一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月9日、注意喚起や情報共有活動における受信者側の「コスト」の問題について同法人の公式ブログで考察している。早期警戒グループの佐々木勇人氏が執筆を行っている。
同ブログ投稿では、注意喚起等の「情報の受け取り」に係る課題、特に、「自己目的化」した注意喚起や情報共有(提供)が受け取り手側にコストを与えてしまう問題点について解説し、効果的な注意喚起や情報共有活動に向けて情報発信者側が留意すべき点について触れている。
佐々木氏の投稿記事では、「情報の受け取り」に係る現状の課題として、下記を挙げている。
・「注意喚起」があまりに頻繁に発信されれば、受信組織側の対応コスト負担が増え続け、注意喚起の効果が弱まってしまう
・被害予防や根本的な原因解消のためには、公開による注意喚起発信ではなく、水面下での中長期的な取り組みが必要な場合があるが、アリバイ的に「予防原則」的な注意喚起を発信されやすい
・情報共有活動の”成果”として件数が評価されてしまうと、情報共有効果が乏しい情報の流量が増えてしまい、受信組織側のコスト負担を増やし活動の活性度が下がってしまう
・情報発信/提供の「目的」がいくら正しくでも、情報を伝える「タイミング」(短期的な注意喚起か中長期的な取組か)と示すべき「手段」(受信組織側で実施可能な対策方法か)を誤ると、受信組織にコスト負担だけを強いることになり、本来の目的を達成できなくなる
・複数の情報発信に対して受信組織側がその調整コストを負担している現状を改善すべく、情報発信側の組織間連携などが必要
JPCERT/CCでは「注意喚起の発行基準」について最低限考慮しているのは、脆弱性の内容に加え、
・悪用シナリオの現実性
・悪用の難易度
・悪用する可能性のある攻撃者の有無/動向
・悪用された場合の想定被害内容
・PoC(Proof of Concept)の存在有無
・スキャン/攻撃試行の観測状況
・国内外での悪用/試行事例有無
・(発見者等による)脆弱性の詳細情報公表の有無/予定
・国内における対象台数/利用者数
・注意喚起以外の情報伝達手段の有無
といった要素を加味し、脆弱性悪用の「可能性」だけでなく、「蓋然性」がどの程度あるのか判断をしているとのこと。
JPCERT/CCが判断要素を念頭に置く理由について、注意喚起をすることで受信組織側において対応コストが発生すること、「空振り」に終わる注意喚起が連発することで、その後の注意喚起の効果が弱まることの懸念を挙げている。また、「空振り」に終わる注意喚起が乱発されることで、対応コストだけが積み重なり、受信組織側に注意喚起対応「疲れ」が発生し、毎度の対応の温度感・スピード感を受信者側が下げてしまうことにつながる懸念があるとしている。
その他、予防原則的な「注意喚起」について、情報発信側が責任追及を回避するためにアリバイ的にやってしまいやすい手段であるとし、「注意喚起」をやったことで本来取るべきだった他の手段の遂行から逃れることができてしまうことを指摘している。
同ブログでは、受信組織側の「コスト」負担を最小限にしつつ、目的を達成するために「タイミング」と「手段」の観点が共通して重要であると延べ、注意喚起の場合は予防原則的な、速報的な注意喚起だけが被害予防のための唯一の手段ではなく、時間がかかったとしても商流上の伝達(あるいはその改善)が望まれる場合があり、情報共有活動の場合も「情報共有に適した対象」を選別するにあたり、対象とする情報が他の手段による伝達の方が素早く、必要な範囲に伝わる可能性があるとしている。
JPCERT/CC自身も「情報発信側」である以上、受信組織側の「コスト」負担を常に意識した注意喚起情報の発信の改善や、情報共有活動における情報展開の改善、通知オペレーションの改善などに取り組むと締めくくっている。
