2017.10.30

【CSIRT通信】セキュリティー業界でよく使われるチャタムハウスルールとは?

Sansan-CSIRT CISO補佐の河村です。

今回は、セキュリティー系の会合に行くと適用されることが多い「チャタムハウスルール」について紹介します。

セキュリティーの会合ではセンシティブな情報が扱われる

Sansan-CSIRTが参加している日本シーサート協議会(NCA)の各種ワーキンググループなどの会合では、参加企業の各社で発生したインシデント情報などが共有されます。共有される情報の中には、公にはされていないもの、情報の発信元が特定された状態で公にされると困るものも含まれています。

そういった機微情報が会合で共有される理由として、よく顔を知った仲間内で信頼関係が構築されていること、その場ではチャタムハウスルールが適用されていることが大きいと思います。

20171030113324 09b374e013516579ec23059782a09f7a7d6c5acf 1080x720 - 【CSIRT通信】セキュリティー業界でよく使われるチャタムハウスルールとは?

情報共有しなければ攻撃者とイタチごっこすらできない

攻撃者は、ツールや攻撃対象の情報を共有したり売買したりしています。その一方で、守る側では「どのような攻撃があったか」「どのような被害が出て、そこからどのように対処、回復したか」といった情報が共有されることはほとんどありません。

これではいつまでたっても、攻撃者に有利な状況が変わりません。

セキュリティー専業ではなく、Sansanのようなユーザー企業の場合はSI企業やベンダー企業に比べてセキュリティーに割けるリソースにも限りがあるため、他社の事例などを参考にして効率よく対策を取っていくことが重要だと考えています。

そうであったとしても、何の保証もなしに情報共有することは心配ですし、会合のたびに相互にNDA(秘密保持契約)を全ての参加企業などと結ぶことなんて非現実的ですよね。

そこでよく使用されるのが、チャタムハウスルールです。

チャタムハウスルールとは?

情報の公開と共有の自由を促すためのルールです。

1927年に考案され、イギリスのシンクタンクであるチャタムハウス(王立国際問題研究所)で採用されたことに由来して名付けられた、会議参加者の行動規範がチャタムハウスルールです。

このルールの下では、参加者は受け取った情報を自由に引用・公開することができますが、「その情報を誰が発言したのか」「その会議にどのような参加者が居たのか」という情報は伏せなければなりません。

また、会合でよりセンシティブな情報をその場限りで伝えたい場合は、「その場限り」と発表者・発言者が宣言なり明記なりする必要があります。

このチャタムハウスルールが会合で適用されることで、自由に意見を述べることが促され、よりリラックスした状態で議論を行うことができるようになるというメリットが生じます。ただし、その一方でルールを守らなかった参加者については、会合のオーナーから以後の参加を断られるなどの懲戒処分が下されることがあります。

Sansan-CSIRTは、今後もこのブログや各種勉強会で積極的に情報を発信していく予定です。また、次回の記事でお会いしましょう。

参考文献

王立国際問題研究所「Chatham House Rule」, <www.chathamhouse.org/about/chatham-house-rule>(参照2017-10-26). 

王立国際問題研究所」, 『フリー百科事典 ウィキペディア日本語版』, <http://ja.wikipedia.org/>(2017/10/26 13:33 UTC 版).

text: Sansan-CSIRT CISO補佐 河村辰也

Pickup