EthicsfIRST 「インシデント対応およびセキュリティチームのための倫理規範」を読む

FIRSTの「インシデント対応およびセキュリティチームのための倫理規範」の日本語訳が公開されています。

ページ自体はこちらで、文書へのリンクは、これです。

内容をみながら、12の義務を図解してみました。

この倫理の作成に関与したわけではないので、もし、間違っていたのであれば、ご容赦のほどをという感じですが、全体の構造というのは、上のような感じかと思います。

原則

構成員、チーム、関係者に対してもっとも根本的な原則というのが、「信頼性(trustworthiness)」ということになるかと思います。

基盤

それらの構成員・チーム・関係者を支える土台が、健康に対する義務と能力に対する義務かと思います。

規範等の遵守

そして、具体的な構成員は、協調的な開示・機密保持・人権尊重・適用法令の遵守という外部からの規範等に対しての遵守が求められるわけです。

法域の境界を認識する(recognize jurisdictional boundaries)といっても、法域は、その地理的限界で、この法律・あの法律という形で適用されるわけではありません、ひとつの場所で複数の国の法が適用される場合もあります(日本にいても、GDPRに気をつけないといけないみたいなものです)。ですから、この部分は、個人的には「適用されるべき法律の認識の義務」としたほうがいいように思えたりしています。

情報取得・取扱の原則

構成員・チーム・関係者は、情報の伝達・交換に際して、アクノーレッジの義務があって、取得に対しては、その与えられている権限を遵守して、情報を取得する、それらの責任ある収集・発信によってチームの活動が裏付けられるという構造かと思います。

ちなみ「根拠ある推論」というのは、evidence-based reasoningなので、エビデンスに基づいて理由付けしましょう、ということですね。やっぱりニュアンスというのは大事だったりしますね。

自分も構造の図解をしていくなかで詳しく読むことができました。

 

関連記事

  1. Cycon 2019 travel memo day3 fina…
  2. 憲法21条「通信の秘密」が邪魔で諸外国でやってるような大胆な犯罪…
  3. GCSC スタビリティ報告書 推奨事項
  4. 米国で「サイバー犯罪のより良い数値基準法」(Better Cyb…
  5. 意義あり? 誤解?–IoT脅威を可視化する「NOTI…
  6. 対ボットネットの法律問題の総合的考察 その4-法執行機関の積極的…
  7. 国家支援によるサイバー諜報行為 1
  8. データの所在と「地方自治体によるガバメントクラウド」の活用
PAGE TOP