サイバーセキュリティのための情報共有分析機関（米国ISAO）に関する調査分析結果および提言

2015年7月14日

Mr. Michael Daniel米大統領およびサイバーセキュリティ調整官特別補佐官The White House1600 Pennsylvania Avenue NW Washington, D.C. 20500

Dear Mr. Daniel

PwCが2015年4月20日に開催した情報共有分析機関（ISAO）に関するサミットにご参加いただきありがとうございます。サミットから得られた効果的な情報共有モデルの実践方法、情報共有分析グループのこれまでの経験、その他のインタビューなどについてまとめたレポートを同封いたしましたので、ご確認ください。米国土安全保障省による、効果的なISAOの確立および維持のための自主標準およびガイドラインの作成にお役立ていただければ幸いです。

サイバー犯罪およびスパイは、PwCのクライアントのみならず、わが国と産業界に差し迫る脅威です。この問題に立ち向かうには、サイバー脅威情報の共有が欠かせません。そのため、効果的で持続可能な情報共有分析モデルの開発が急務です。

ホワイトハウスで2月に開催されたサミットでは、米国のサイバーセキュリティにおけるISAOの重要性が訴えられました。PwCが4月に行ったサミットにも、産官学およびシンクタンクから幅広い参加者が集まりました。このサミットでは、効果的な情報共有分析モデルに共通する本質、組織、手続きについて話し合い、官民がISAOを通じてどのようにサイバー脅威に対応すべきかを探りました。

同封のレポートには、PwCが4月のサミットで得た重要な知見に加え、参加者のワークセッションおよび当社の推奨事項の分析結果をまとめました。サミット終了後に行った関係者へのインタビューも掲載しています。これまでの分析から、ISAOの有用性を最大限に高めるためには次の点が重要と考えられます。

• �メンバーが「信頼できる仲間」になる。メンバー同士の信頼関係を構築するには、メンバーの定義、基準、役割、規模、期待事項（メンバーが積極的に情報を提供しなければならないかどうかなど）についての同意、規定されたルールの遵守（情報の提供元、内容、使用法など）、誓約書への署名（退会条件を含む）を得る必要があります。明確に定義されたミッションも定めなければなりません。

• �ISAOのガバナンスおよび関連プロセスに柔軟性を持たせる。これまで、地域、課題、イベントなどを中心に据えたISAOは存在しませんでした。ISAOはこのニーズに対応して設立されますが、成果を挙げるには明確かつ 適切なガバナンスおよび関連プロセスが必要です。

PricewaterhouseCoopers LLP, 1800 Tysons Boulevard, Suite 900, McLean VA 22102T: (703) 918 3000, F: (703) 918 3001, www.pwc.com/us

• �ISAOを通じて適時かつ信頼性の高いサイバー情報を提供する。ISAOのガバナンスおよび構造は、できるかぎり速やかな情報共有を可能にするものである必要があります。ISAOは単なる情報共有ではなく分析も行う機関です。従って、受け取った情報を検証するメカニズムを備えていなければなりません。標準およびガイドラインは、ISAOが究極的な価値と関係者の需要に基づいて活動する「ISAO市場」の基本要素である情報の品質管理を促します。

• �情報の共有と分析のために、共通の用語と技術仕様を用いる。多くのISAOが共通の用語を使用してサイバー脅威情報を扱うほど、コミュニケーションのコストと時間効率が高まります。スピードが重視される状況において自動的な情報共有にも役立つ他、ISAOの新設と情報共有への迅速な参加も容易になります。

• �他の価値を損なうことなく、拡張が可能である。この課題に対応することは容易ではありません。ISAOが最大限に効果を発揮するには、国際的な関係構築も視野に入れた水平的拡張性に加え、大企業とは違い情報共有の経験が浅くリソースに乏しい中小企業なども参加できるような垂直的拡張性の両方が必要です。しかし、規模を拡大すれば、信頼関係が損なわれる恐れもあります。

• �政府と対等な関係を構築する。政府関係者がISAOに参加し、情報を共有することもあります。政府関係者は主催者でも管理者でもありません。

このレポートを公開するのは、影響を受ける多くの人に役立てていただき、さらなるディスカッションを促すためです。レポートの記載内容は結論ではなく考える手掛かりとお考えください。目的は連邦政府への情報提供ではなく、ディスカッションを前進させることです。レポートの内容は4月20日のサミットで得た情報を基にしています。ISAOを完全に機能させ、軌道に乗せるためには、多方面から力を尽くす必要があります。

PwCのミッションは、信頼関係を構築し、クライアントの最も重要な問題を解決することです。当社はこのファシリテーターとしての立場から、米国、産業界、その他の関係者における共通目標の模索を支援します。国家のサイバーセキュリティにおいて予防の役割を果たす組織としてISAOを実現するために、是非ともご協力を賜りたくお願いいたします。

David Burg Sean Joyceプリンシパル プリンシパルPwCグローバルおよび米国サイバーセキュリティリーダー PwCサイバーセキュリティおよびプライバシー担当

PwC

セクションⅠ：

はじめに

1サイバーセキュリティのための情報共有分析機関（米国ISAO）に関する調査分析結果および提言

セクションⅠ：

はじめに

A.��大統領命令13691号�　�（官民のサイバー情報の共有化の推進）

2015年2月13日、オバマ大統領は大統領命令13691号（官民のサイバー情報の共有化推進）に署名した。この大統領命令では、産官学の幅広い分野にわたりサイバーセキュリティの協力を促すモデルの必要性から、情報共有分析機関（ISAO：Information Sharing and Analysis Organization）の創設が求められた。

大統領は続いて民間、執行機関、議会、その他の関係者にISAOの実現に向けた協力を呼び掛けた。また、米国政府はISAO標準機構としてISAOの創立と運用に関する自主ガイドラインを作成する非政府組織を設立する。

PwCはさまざまな関係者の協力を得て、産官学が参加する情報共有および分析をテーマとする半日のサミットを主催した。サミットでは、情報共有および分析のベストプラクティスの明示と精緻化を目指した。このベストプラクティスを確立することで、ガイドラインを作成するISAO標準機構と、ISAOの創設に取り組む米国土安全保障省（DHS）、ホワイトハウスの両方に情報を提供する。以下に、このサミットで得られた知見と成果に加え、関係者へのインタビューをまとめる。

B.��PwC主催のISAOサミット�　�（2015年4月20日開催）

2015年4月20日にPwCがカリフォルニア大学サンフランシスコ校で開催したサミットでは、産官学およびシンクタンクの参加者が集まった。3部構成のサミットで、効果的なISAOを実現するための詳細を話し合った。

第1部ではMichael Daniel氏（米大統領およびサイバーセキュリティ調整官特別補佐官）、Joseph Demarest氏（FBIサイバー部門次長）、Andy Ozment氏（DHSサイバーセキュリティ・通信局次官補）が政府パネルとして登壇した。政府パネルはサイバーセキュリティを官民共通のミッションとすることの必要性を訴え、ISAOへの参加は任意であり義務ではないことを説明した。政府代表者がISAOへの政府参加が必須ではないと明言したことには大きな意味がある。

サミットでは、情報共有および分析のベストプラクティスの明示と精緻化を目指した。

2 PwC

第2部では、候補となっているさまざまなISAOモデルを挙げ、業界専門家がその要素を説明した。PwCは司会を務め、Michael Allen氏（Beacon Global Strategiesマネージングディレクター )、Rod Beckstrom氏（Rod Beckstrom Groupグローバルサイバーセキュリティアドバイザー )、Jason Healey氏 (Atlantic Councilサイバー国政術イニシアチブ担当ディレクター）、Jeff Moss氏（Atlantic Councilサイバー国政術イニシアチブ担当非滞在型上級フェロー）がパネルを構成した。情報共有分析センター（ISAC）をはじめとする既存の情報共有分析 モデルを取り上げた後、候補となるさまざまなモデルとISAOの構成要素について説明した。

また、情報共有に関する懸念事項についても解説した。例えば、企業間または企業と政府の間で情報を共有している場合の法的リスクだ。この課題は法的に解決されると見られるものの、議会でサイバー法案が行き詰まっていることから、多くの企業の法務顧問にとって気掛かりとなったままだ。この法案は定められた規則に従って情報を共有する場合の免責を提供するものとして下院で可決したものの、上院での先行きは不透明だ。

PwCが進行役を務める中、産官学およびシンクタンクとさまざまな組織に属する参加者がISAOの詳細について話し合った。

3サイバーセキュリティのための情報共有分析機関（米国ISAO）に関する調査分析結果および提言

二手に分かれたパネルが重要点を示した後、サミットは佳境に入った。PwCが進行役を務める中、産官学およびシンクタンクとさまざまな組織に属する参加者がISAOの詳細について話し合った1。この協調セッションでは、ISAOを成功させるために必要なこと、懸念事項、問題点、参加要件を挙げた。次に、代表者をはじめとするインタビュー対象者の発言内容がISAOの実現に対してどのような意味を持つのかを分析するとともに、4月20日のサミット以降も活動を続けるために極めて重要な次のステップを示す。

この最初のサミットでは、米国のISAOと他国のISAOの間での国境を越えた情報共有については触れなかった。管轄外でサイバー脅威が表面化または発生した場合、どこであろうと多国籍組織が対応できる体制を整える必要がある。これは今後協議すべき重要課題だ。

そこで次に、ISAOの詳細な要素を考えるための情報を示す。PwCはISAO実現に向けてサミットを開催していく予定だ。このような会合を重ねることは、どのようなISAOモデルが最適かについて共通認識を持つのに役立つからだ。例えば、PwCのサミット開催日に、バージニア州は初の州レベルのISAOを設立すると発表した。バージニア州がどのようにISAOを構築し運用するかが関心の的だ。

1 全ての議題については、PwCISAOサミットの付録を参照。

4 PwC

セクションⅡ：

既存の情報共有モデル

5サイバーセキュリティのための情報共有分析機関（米国ISAO）に関する調査分析結果および提言

ISAOの設立命令は突然下ったわけではない。1990年代以降、それぞれ異なる理由からさまざまなモデルに基づく情報共有グループが生まれた。1998年5月22日には、クリントン大統領による大統領決定指令63号によりISACが設立された。

ISACは業界ごとに分かれ、メンバーはその業界のみに限られていた。中には効果的なISAOとしてうまく機能したISACもあったが、メンバーが限定される上、メンバー以外にはメリットがなかった。ISAOの目的の一つは、ISACをはじめとする既存の 情報共有組織を補い、多くの参加者、柔軟性、広範な共有を可能にすることだ。

効果的な情報共有および分析を実現したモデルは多くある。PwC主催のサミットでは、さまざまなタイプのモデルの概要を述べ、成功例、失敗例、それぞれの要因を参加者に解説した。この情報は次に示す知見と推奨事項の基となったものだ。

サミットとフォローアップインタビューからは4つのモデルが得られた。それぞれの重複の度合いはさまざまだ。PwCはこれらのモデルを（1）メンバー主導、（2）データ主導、（3）イベント主導、（4）リスク主導に分類した。

ISACは業界限定のメンバー主導モデルだ。

共通フォーマットまたはツールセットを通じて情報を自動共有する構造の自動共有モデルは、データ主導モデルであると言える。データ主導モデルの例としては、電力業界のISAC

（ES-ISAC）が管理するサイバーセキュリティのリスク情報共有プログラム（CRISP）がある。このプログラムでは、ES-ISACが支援して参加者のネットワークに受動的センサーをインストールする。センサーはパシフィック・ノースウエスト国立研究所

（PNNL）が運営するCRISP分析センターに暗号化データを送信する。PNNLは受信したデータを分析し、安全なネットワークを通じて参加者にリスク低減策を連絡する。

情報共有モデル

メンバー主導

イベント主導

データ主導

リスク主導

セクションⅡ：

既存の情報共有モデル

6 PwC

他のデータ主導モデルの例としては、ビジネス情報の交換のための世界標準、Extensible Business Reporting Language

（XBRL）が挙げられる。サイバーセキュリティとの関係はないものの、情報共有標準として広く採用されているXBRLは、ISAOの参考になる。例えば、準備から消費、分析へと至る情報ライフサイクル全体を通して情報共有をするという考え方はISAOでも生かせる。

3番目のイベントモデルは個々の課題や問題を中心としたもので、メンバーは同じ課題を抱えているという共通点がある。PwCサミットでは、Conficker Working Groupが理想的な例として注目された。Conficker Working Groupは、2008年の終わりにConfickerというマルウエアの拡散を食い止めるために集まったセキュリティ研究者で構成されている。世界各国の大企業、非政府組織、ドメインレジストリオペレーター、アンチウイルスベンダー、学術研究者などが参加するこの組織は、さまざまな成果を挙げた。類似例は他にもある。CorefloodまたはZeusワーキンググループなどのボットネット撲滅連合、特定のハッキング脅威に重点を置く脅威情報連合、2000年問題に対応する国家イニシアチブなどがそうだ。

このモデルでは、機関が危機対応、認識された脅威または実際のインシデントへの対策の策定、重大な攻撃が行われた場合は脅威またはインシデントに関する情報の即時収集、公開可能な捜査の実施を引き受け、メンバーが問題を封じ込め、適切に対応できるようにする。

4番目のモデルはリスク主導モデルだ。専門家がセキュリティ調査を行い、個々の新システムの潜在的また想定される脆弱性を把握する。メンバーに共通するのは、個々のシステムの要素

（オペレーティングシステム、ネットワーク、モノのインターネット（IoT）に参加する工業製品クラスなど）だ。特定メーカーのスマートカーのハッキングに関する専門家グループの会合を開こうとする動きについては、インタビューでも耳にした。

サイバーセキュリティとの関係はないものの、情報共有標準として広く採用されているXBRLは、ISAOの参考になる。

7サイバーセキュリティのための情報共有分析機関（米国ISAO）に関する調査分析結果および提言

IoTが進化し、消費者向け技術や運用技術のインターネット接続がますます増えていく今後は、このモデルの重要性が高まるだろう。例えば、さまざまな経歴を持つスペシャリストが集まり、インターネットに完全接続するスマートカーや、ドライバーの個人データや金融データの集約に関するリスクを徹底的に探ることができる。ハッカーがスマートカーを乗っ取る、あるいは接続を悪用してドライバーの個人データを盗み出したり操作したりするといった技術的課題に関する潜在的脆弱性をスペシャリストが調査する。さらに、国境を越えるスマートカーのプライバシーへの影響など、非技術的な課題についても話し合うことができる。

これらのモデルは個々の目的を果たす上では非常に効果的だが、制限事項もある。例えば、イベント主導モデルがうまく機能することが多いのは、メンバーが明確に定められたミッションを共有し、競合を論点とせず、強く信頼し合うからだ。ただし、どのモデルにも本質的に限界がある。拡張や他の情報共有分析ニーズへの転換は容易ではないのだ。そこでISAOでは、メンバーごとに異なるニーズに合わせて適用可能な、標準化されたルール、ガバナンス、プロセスを持つモデルの開発を目指す。

やがてISAOが成熟すれば、営利モデルが登場するだろうか。実用的なサイバー情報を必要とする組織の多さ、そして約200のISAOが設立される期待から、ISAOのメンバーと非メンバーの間には大きな差が生じることが予想される。そのため、ISAOをはじめとする組織からの情報を集約し販売する市場が形成されるかもしれない。ISAOがそのような業者に情報を販売する可能性もある。成功しているISAOの情報は高値で売れるだろう。

8 PwC

セクションⅢ：

分析と推奨事項

9サイバーセキュリティのための情報共有分析機関（米国ISAO）に関する調査分析結果および提言

ワーキングセッションからは、官民がわが国のサイバーセキュリティを有意義に補完するISAOを実現するために対応すべき重要課題として、主に6つのテーマおよび関連項目が導き出された。

1.　 サイバーセキュリティ情報の共有および分析のための既存組織を補う新たな機関が必要とされていることは官民の共通認識だ。

2.　 ISAOが成功を収めるには、メンバー同士の信頼関係を構築する必要がある。

3.　 ISAOのガバナンスおよび関連プロセス標準には、地域、課題、イベント、その他の要因に合わせた運用を可能にする柔軟性が必要だ。

4.　 情報共有および分析の構想では、適時性と情報検証が2つの大きな柱となる。

5.　 ISAOの構造と運用プロセス（共通の用語、情報共有の技術的手段など）を明確に定める必要がある。

6.　 民間企業が多大な投資を行う場合、ISAO参加者としての政府の役割など、行政および立法が対応すべき重要懸念が ある。

A.��サイバーセキュリティ情報の共有および分析の�　�ための既存組織を補う、新たな機関が必要だ。

既存の情報共有モデルでは官民いずれのニーズも満たされないという点で参加者の意見が広く一致した。議論には切迫感が漂っていた。参加者は3つのニーズとして、サイバーセキュリティのレベルの短期的／長期的向上、効果的な予防ツールを使用した積極的な防止策、迅速かつ効果的なインシデント対応を挙げた。

ワーキングセッションでは、ISACのようなモデルの有効性が認識された。金融サービスISACなどのISACの成功例は、ISAOがどのような役割を果たし得るかを示している。ただし、ISACだけで国家のサイバーセキュリティニーズを満たすことができないことは明白だ。業界ベースのISACが合わない、あるいは別の方法での情報共有を望む企業もある。ISACがこのように重要な役割を担うにもかかわらず、そのニーズを完全に満たすモデルがないことから、新たなモデルが模索されるようになった。

例えば、多くの重要課題は業界（金融サービス、製薬など）によって異なるわけではない。むしろ企業の規模や顧客層によって異なるものだ。ウォール街の大手銀行との共通点が多くみられるのは、同じ金融業の地方銀行よりも、大手製薬会社である。中堅企業の課題は大企業の課題とは異なるのが実態だ。

セクションⅢ：

分析と推奨事項

10 PwC

B.��ISAOが成功を収めるには、メンバー同士の�　�信頼関係を構築する必要がある。

サミットのワーキンググループでは、ISAOのメンバー同士が十分に協力するには信頼関係が不可欠だという点で意見が一致した。ISAOのメンバーは極秘情報を共有し、取得した情報に基づいて多大な時間とリソースを費やすことを考えれば、当然だ。金融サービスISACなどの例でも、信頼が積極的な参加を促す基本的要因であることがわかっている。分析によると、信頼関係を構築するには次の点が重要だ。

• �ISAOの規模が適切であること。信頼関係を維持しつつ、ISAOの拡張が水平的（国際的）にも垂直的（経験とリソースに乏しい中堅企業などにも門戸を開く）にも可能であることが望ましい。ただし、大規模になりすぎて信頼関係を維持するのが困難になる懸念がある。

サミットではさらに、国際的規模で信頼関係を維持するにはどうすればよいかが模索された。前述の通り、このサミットでは国際的要素の詳細は取り上げていない。また、中小企業の参加を受け入れた場合の大企業の負担の大きさも懸念される。

ISAOの最適な規模については、数十から300までさまざまな事例や意見がある。あいにく、サイバー情報共有グループの規模や国際的使用について学術的研究は行われていないため、これ らを調査することでISAOの重要な成功要因がわかるだろう。

• �拡張性に関する懸念などさまざまな理由から、参加希望者を全員受け入れられないこともある。メンバーは匿名で参加してはならない。メンバー同士が人間関係を私的なものと感じ、全員が助け合いを当然と考える必要がある。

• �ミッション、価値命題、成果を明確に定める。ISAOの憲章では、特定の問題や課題、ビジョン、期待される結果、メンバーにとっての価値（教訓を得て進歩できることなど）について、全てのメンバーの共通の合意を明記する必要がある。

• �メンバーには必要最小限のサイバーセキュリティ要件を定める。メンバーは機密情報を交換する前に、特定の基本的なサイバー防衛策を導入する。

• �メンバーが積極的に情報提供を行うかどうかを統治する明確なルールを設ける。設立時に合意を形成しておかないと、一部の消極的なメンバーの存在が積極的なメンバーの信頼関係を損なう恐れがある。

• �ISAOの運用ルールを適用し、違反者には責任を問う。

• �信頼関係を構築できるよう、競合の懸念を和らげる。

• �ネットワークコンポーネントを使用する。ネットワークは必須というわけではないが、個人的な人間関係を構築し、信頼を得るのに役立つ。

信頼度を示すには評価システムも有用だ。評価システムの確立は2段階で行われる。まず、DHSなどの組織がサイバーセキュリティへの投資やサイバーセキュリティ防止策、共有している情報の量、その情報の価値などに基づいてさまざまな評価を行う。

次に、ISAOのような機関が有償でレーティングを受ける。このようなシステムがあれば、高評価の組織からの情報を比較的安心して共有、使用できる。

11サイバーセキュリティのための情報共有分析機関（米国ISAO）に関する調査分析結果および提言

C.��ISAOのガバナンスおよび関連プロセス標準には、�　�地域、課題、イベント、その他の要因に合わせた�　�運用を可能にする柔軟性が必要だ。

これまでに述べた理由から、目的の異なるさまざまなISAOに適用できる標準化されたガバナンスおよび関連プロセス標準が必要だ。業界の壁を越えた情報共有および分析は、ISAOの大きな意義の一つである。したがって、標準には次のようなさまざまなISAOへの適応性が求められる。

• 国際、国家、地域、地方のさまざまな区分で成り立っているISAO

• 大きな行事（オリンピック、ワールドカップなど）のため期間限定で設立されるISAO

• 業界や地域ではなく、課題を中心として活動するISAO

• 業界の壁を越えた大規模ISAOから、特定の業界に限定した小規模ISAO

D.��情報共有および分析の構想では、�　�適時性と情報検証が2つの大きな柱となる。

課題の本質である情報共有および分析面で、ISAOが提供すべきサービスは明確だ。

• �情報の「賞味期限」は非常に重要だ。メンバーが新たな脅威を見つけた場合に情報が速やかに共有されるようにISAOの仕組みを構築する必要がある。

• �脅威情報の信頼度とリスクレベルを評価し、評価結果をメンバーに提供する機構をISAO内に設ける。ISAOには、不要な情報を取り除き、品質保証を提供することが求められる。

• �官民間で双方向の情報交換を行う。

• �標準化されたルールおよびプロセスを整備し、ISAO内部だけではなく他のISAOとの共有も可能にする。

• �Red、Yellowなどわかりやすい危険度分類など、標準化されたリスク／脅威レベルを使用する。脅威を低減するための対策について明確な指示を提供することも必要だ。

特に、脅威情報の発信元となるメンバーを明示しなければならないか、匿名のままでよいかをはっきりと決める必要がある。身元を明らかにすることは信頼関係の維持に役立つ。逆に匿名を保てば、競合、法的、評判に関する懸念が和らぐ。

12 PwC

E.��ISAOの構造と運用プロセス（共通の用語、情報共�　�有の技術的手段など）を明確に定める必要がある。

ISAOを完全に機能させるには、明確に定義された簡潔な構造と運用手順が必要だ。サミット参加者からは、複雑性や官僚主義が参加の妨げになるという声が上がった。さらに、標準化された技術仕様を均一に導入するこの必要性も認識されている。特に全ての情報共有組織がサイバー情報を効率的に交換するには、標準化された手順を使用する必要がある。2つの代表例として、Trusted Automated eXchange of Indicator Information（TAXII）とStructured Threat Information eXpression（STIX）が挙げられる。どの技術表現規約を採用しても、技術情報の構成には共通方式を反映する必要がある。また、帯域幅やコンピューティングリソースを不当に消費しないようにデータオーバーヘッドを低く抑えることも求められる。

運用の非技術的側面については、次の明確な原則がある。

• �政府はISAOを管理してはならない。政府はメンバー、またはメンバーが利用する外部組織であるべきだ。

• �ISAOのルール作りは所属しているメンバーが行う。ISAOの構造およびルールはメンバーのフィードバックに基づいて変更可能とする。

• �ISAOの具体的なルール作りはメンバーが行うが、基本となる明確なガバナンス標準やガイドラインは連邦政府が示す必要がある。

• �標準化された連絡ルートを確立する。

• �ISAO自体のサイバー防衛が侵害された場合に備えたセキュリティ対策として、厳密なセキュリティ取り扱い規約に従って情報を管理し、メンバーには厳しい説明責任を課す。

F.��民間が多大な投資を行う場合、行政および�　�立法が対応すべき重要懸念がある。

サミット参加者からは、ISAOなどの情報共有組織への参加について2つの根本的な懸念が挙げられた。法的リスクと評判リスクだ。これらは数年前から、情報共有イニシアチブの最大の関心事として法務顧問の懸念となっている。独占禁止法違反や政府による強制措置などの直接的な懸念と、民事開示手続き、州の情報公開法、連邦情報公開法に基づく情報公開などの間接的な懸念がある。

これらが民事（あるいは刑事）責任を問われる可能性のある真の脅威か、または政策によって解決済みで立法化を待つだけなのかについては、法律専門家や今回のサミットのパネリストの間でも意見が分かれているようだ。情報共有が実際に法的責任を伴うかどうかにかかわらず、この未解決の懸念がある限り、法務顧問は前進をためらい、情報共有に摩擦が生じる。

もちろん、連邦法によって法的責任の問題が解決される可能性はある。下院では今年サイバーネットワーク保護法（PCNA）の法案が可決したが、上院では同様の法案（サイバーセキュリティ情報共有法案）の先行きが危ぶまれる。いずれの法案も、民間企業から民間企業、民間企業から米国政府への情報共有に関する法的責任を免じるものだ。また、共有情報を制限し保護するための分類（サイバー脅威指標）を作成することでプライバシーの懸念にも対応しようとしている。サイバーセキュリティのみを目的として情報を共有できるようにし、政府と情報を共有する前にサイバー脅威指標から個人識別情報（PII）を削除することを義務付ける。

ISAOがこの指標や今後の法案には依存しないことは確かだ。効果的な情報共有および分析は現時点で実現されており、ISAOはその数を増やすにすぎない。しかし、議員らが法的懸念を和らげることで情報を共有する企業の数が増えると考えていることは明らかだ。

13サイバーセキュリティのための情報共有分析機関（米国ISAO）に関する調査分析結果および提言

今期の議会で法案が可決されなくても、ISAOでは脅威情報からPIIを削除すること、サイバーセキュリティ目的でのみ情報を共有すること、誠実さをもって情報を共有することを検討する。これらは全て、法的要求に対する防衛を強化するためだ。さらに、行政機関が法的責任の問題に向けて動くことも考えられる。

例えば、DHSはPCNAの主要要素を標準およびガイドラインに組み込み、ISAO標準機構を通じて公布する可能性がある。特にプライバシーに関するガイドラインでは、法律を遵守していることの「認定」が法的要求に対する有効な防衛策となる可能性がある。ただし、訴訟の結果を見るまでは断言できない。

DHSの構想では、ISAO標準機構は規制や義務ではなく自主的な標準を示す。そのため、政府がこれ以上に免責法案を作ることはない。とはいえ、法案が可決されないかぎり、この不確実性は情報共有に摩擦を生み続けるだろう。法案が否決された場合は、連邦または州の法的組織の出番だ。弁護士協会のようなオープンな法律フォーラムを開催するなど、アイデアと解決策を生み出す支援を行う。

また、ISAOが存在することで、メンバーになっていない企業にも法的責任が生じるのではないかと危惧する声もあった。つまり、ISAOを通じて共有された情報が漏洩し、漏洩によって損失が発生した場合、ISAOに参加していない企業も責任を問われるのではないかという不安が生じている。このように、ISAOの設立を巡ってさまざまな懸念が広がっている。メンバーになっていない企業の法的責任が限定されるのかどうかも定かではない。

さらに、法的責任の懸念が解決されても、ISAO、またはISAOと情報を共有する政府組織で情報漏洩などの事件が起これば、情報共有組織の評判が低下する恐れがあるとの指摘もあった。この懸念は、前述の信頼関係やルール適用の問題に関係している。

最後に、ISAOにおける政府参加は主催者や管理者としてではなく同等な立場からでなければならないとの見解がワーキンググループおよびパネリストから示された。政府は脅威情報を独占せず、情報機関および法執行機関からの成果物を通じて、他の参加者が持つ情報を補う独自情報を提供する。政府は特に外国情報に詳しい。従って、ISAOが中心となり、政府の情報源と、民間企業やセキュリティ業界が持つ情報をひとまとめにすることが理想的だ。

14 PwC

セクションⅣ：

次のステップ

15サイバーセキュリティのための情報共有分析機関（米国ISAO）に関する調査分析結果および提言

ここで、ISAOモデルの詳細を具体的に検討してみよう。これまでに明らかになった特性を備え、関係者のニーズを満たす必要がある。ISAO標準機構の進展に伴い、前述の推奨されるアプローチや慣行の導入を最適化するための4つの主要領域が見えてくる。

1．�組織のルールおよびガバナンス標準、主要業績指標（KPI）を定める

情報共有組織のガバナンス構造およびルールはさまざまであり、有効性も大変異なる。関係者は既存の情報共有組織のガバナンスを検証し、有効性を確認するとともに、これまでの経験に基づく推奨事項を追加する必要がある。DHSは脅威情報の収集および共有に関するこれまでの主要業績指標（KPI）を調査し、進行状況と関係者にとっての価値を把握するためにISAOモデルに適用可能なものを識別する。

2．�ISAOの拡張性と最適な規模を探る

理論的には、情報の既得権を持つ者をメンバーとするために、ISAOには拡張性が求められる。その反面、規模と信頼関係には、ある点で負の相関が見られる。信頼関係はISAOの根幹を成すものだ。現時点では学術的調査が行われていないため、最適な規模と適切な拡張性を判断しにくい状況にある。そのため、しかるべき調査によってこの点を速やかに明らかにすべきで ある。

3．�有用な情報を迅速に伝達するために一律採用する技術仕様を定める

情報共有ではSTIXとTAXIIが二大ツールとなっている。しかし、これらが脅威情報の転送に最適なシステムおよび形式かどうかは定かではなく、分析が必要だ。また、自動化などの技術的ニーズも分析する必要がある。ISAOが一律採用すべき技術仕様と、標準および規約に求められる詳細度を見極めるためだ。

現在の情報共有分析では、STIXやTAXIIのような1次元システムで用が足りるかもしれない。しかしこれから数百のISAOが新設されれば、リソースや経験度の異なる数万のメンバーが参加することになり、情報フローは複雑化する。そのため、1次元システムでは不十分になる恐れがある。ISAOの長期的ニーズを満たすには、XBRLのような3次元システムが適している可能性がある。

4．�ISAOにおける米国政府の役割を定める

政府機関がISAOを管理してはならないという点では満場一致しており、官民での双方向の情報共有ニーズも認識されている。しかし、最適なアプローチについては意見が分かれている。DHSやFBIなどの機関がISAOのメンバーとして参加することも考えられる。あるいは、政府が独自のISAOを設立し、民間のISAOと情報を共有する可能性もある。官民が協力して情報共有を進める必要がある。

セクションⅣ：

次のステップ

16 PwC

セクションⅤ：

まとめ

17サイバーセキュリティのための情報共有分析機関（米国ISAO）に関する調査分析結果および提言

目指す目標も、解決すべき課題もはっきりしている。PwCはISAOの最適な構成要素について合意を形成するという重要な役割を引き続き果たすために、プライバシーおよび消費者保護団体、民間のその他の代表者、多国籍企業、技術専門家を招いてさらにサミットを開催し、ISAOが効果的かつ安全に活動するための技術的アーキテクチャーを探ろうとしている。

このレポートがホワイトハウスと米国土安全保障省による標準開発とISAO創設の準備に役立てられること、そして今後のサミットの前後に焦点を絞った議論が行われることを願う。物事には適切なタイミングがある。わが国のサイバーセキュリティを最大限に強化するために、時を見誤らないよう肝に銘じなければならない。

セクションⅤ：

まとめ

18 PwC

付録

19サイバーセキュリティのための情報共有分析機関（米国ISAO）に関する調査分析結果および提言

ISAOの設立および運用に関する構想

2015年4月20日

12:15�pm PwCからのご挨拶

12:30�pm 米政府パネル司会：David�Burg プリンシパル、PwCグローバルおよび米国サイバーセキュリティリーダー

パネリスト：Michael�Daniel氏 米大統領官邸 大統領およびサイバーセキュリティ調整官特別補佐官Joseph�Demarest氏 米連邦捜査局（FBI）サイバー部門次長Andy�Ozment氏 米国土安全保障省（DHS）国家保護・プログラム局サイバーセキュリティ・通信局次官補

1:15�pm 情報共有に関する懸念事項Rod�Beckstrom氏 Rod Beckstrom Groupグローバル・サイバーセキュリティ・アドバイザー

1:35�pm モデル候補に関する専門家パネル司会：John�Sviokla プリンシパル、PwC米国アドバイザリー・イノベーション・リーダー

パネリスト：Michael�Allen氏 Beacon Global StrategiesマネージングディレクターJason�Healey氏 The Atlantic Councilサイバー国政術イニシアチブ担当ディレクターJeff�Moss氏 Atlantic Councilサイバー国政術イニシアチブ担当非滞在型上級フェロー

2:20�pm 休憩

2:30�pm ISAOモデル候補／情報共有要件に関するワーキングセッション

3:30�pm 休憩

3:45�pm ワーキングセッションのまとめDavid�Burg プリンシパル、PwCグローバルおよび米国サイバーセキュリティリーダーSean�Joyce プリンシパル、PwCサイバーセキュリティおよびプライバシー担当

4:30�pm 総括と次のステップ

付録

www.pwc.com/jpPwCJapanは、日本におけるPwCグローバルネットワークのメンバーファームおよびそれらの関連会社（PwCあらた監査法人、京都監査法人、プライスウォーターハウスクーパース株式会社、PwC税理士法人、PwC弁護士法人を含む）の総称です。各法人は独立して事業を行い、相互に連携をとりながら、監査およびアシュアランス、ディールアドバイザリー、コンサルティング、税務、法務のサービスをクライアントに提供しています。

PwCは、社会における信頼を築き、重要な課題を解決することをPurpose（存在意義）としています。私たちは、世界157カ国に及ぶグローバルネットワークに208,000人以上のスタッフを有し、高品質な監査、税務、アドバイザリーサービスを提供しています。詳細はwww.pwc.comをご覧ください。

本報告書は、PwCメンバーファームが2015年7月に発行した『StudyandconsiderationsonInformationSharingandAnalysisOrganizations』を翻訳したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください。

電子版はこちらからダウンロードできます。 www.pwc.com/jp/ja/japan-knowledge/report.jhtmlオリジナル（英語版）はこちらからダウンロードできます。 www.pwc.com/us/en/increasing-it-effectiveness/publications/technology-publications/isao.html

日本語版発刊月：2015年11月　　　管理番号：I201508-8

©2015 PwC. All rights reserved.PwC refers to the PwC Network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details. This content is for general information purposes only, and should not be used as a substitute for consultation with professional advisors.

プライスウォーターハウスクーパース株式会社〒104-0061東京都中央区銀座8-21-1　住友不動産汐留浜離宮ビル03-3546-8480（代表）

松崎　真樹パートナーmaki.matsuzaki@jp.pwc.com

山本　直樹パートナーnaoki.n.yamamoto@jp.pwc.com

星澤　裕二パートナーyuji.hoshizawa@jp.pwc.com

お問い合わせ先