EthicsfIRST 「インシデント対応およびセキュリティチームのための倫理規範」を読む

FIRSTの「インシデント対応およびセキュリティチームのための倫理規範」の日本語訳が公開されています。

ページ自体はこちらで、文書へのリンクは、これです。

内容をみながら、12の義務を図解してみました。

この倫理の作成に関与したわけではないので、もし、間違っていたのであれば、ご容赦のほどをという感じですが、全体の構造というのは、上のような感じかと思います。

原則

構成員、チーム、関係者に対してもっとも根本的な原則というのが、「信頼性(trustworthiness)」ということになるかと思います。

基盤

それらの構成員・チーム・関係者を支える土台が、健康に対する義務と能力に対する義務かと思います。

規範等の遵守

そして、具体的な構成員は、協調的な開示・機密保持・人権尊重・適用法令の遵守という外部からの規範等に対しての遵守が求められるわけです。

法域の境界を認識する(recognize jurisdictional boundaries)といっても、法域は、その地理的限界で、この法律・あの法律という形で適用されるわけではありません、ひとつの場所で複数の国の法が適用される場合もあります(日本にいても、GDPRに気をつけないといけないみたいなものです)。ですから、この部分は、個人的には「適用されるべき法律の認識の義務」としたほうがいいように思えたりしています。

情報取得・取扱の原則

構成員・チーム・関係者は、情報の伝達・交換に際して、アクノーレッジの義務があって、取得に対しては、その与えられている権限を遵守して、情報を取得する、それらの責任ある収集・発信によってチームの活動が裏付けられるという構造かと思います。

ちなみ「根拠ある推論」というのは、evidence-based reasoningなので、エビデンスに基づいて理由付けしましょう、ということですね。やっぱりニュアンスというのは大事だったりしますね。

自分も構造の図解をしていくなかで詳しく読むことができました。

 

関連記事

  1. 国家支援によるサイバー諜報行為 1
  2. Cycon 2019 travel memo day1 (5)
  3. サイバー規範に関する国連GGEの失敗
  4. お知らせ:当社社員の不正指令電磁的記録(ウイルス)保管容疑で逮捕…
  5. CyCon2017 travel memo 3) before…
  6. 中国の協調された脆弱性開示と国家データベースへの提供
  7. CyCon2017 travel memo 10) Day3
  8. 米国における「脆弱性の協調された開示」(CVD) の歴史と現在
PAGE TOP