情報の共有範囲を指定する「TLP」、新バージョン2.0ではどう変わった？

TLPバージョン2.0公開、1.0の使用は2022年末まで

　インシデント対応をはじめとするセキュリティ対応体制の肝の1つに、組織の枠を超えた「情報共有」があります。その重要性については経済産業省による「サイバーセキュリティ経営ガイドライン」でも明確に触れられています。

　しかし、そのような情報共有で気を付けなければならないのは、共有される情報には機密性の高いものが多いため、その取り扱いには十分な注意が必要であるという点です。そこで、1999年に英NISCC（National Infrastructure Security Coordination Centre、現在のCPNI:Centre for the Protection of National Infrastructure）によって作られたのがTLP（Traffic Light Protocol）です。その後、CSIRTの国際的なコミュニティであるFIRST（Forum of Incident Response and Security Teams）によって統一・標準化されたTLPバージョン1.0が2016年8月に正式に公開されました。

　FIRSTによるTLPバージョン1.0は、共有される情報に4つの色で識別されるラベルをつけ、その共有範囲を指定するものです。バージョン1.0の「定義と利用ガイドライン」の日本語訳によれば、各ラベルは以下のように定義されています。なお、この日本語訳では「disclosure」を「公開」と訳していますが、より正確な意味としては「開示」と捉えてください。

　利用方法として、まず電子メールでは共有する情報に先立って件名と本文に、「TLP:RED」「TLP:AMBER」「TLP:GREEN」「TLP:WHITE」のいずれか該当するラベル（アルファベット大文字のままの文字列）を付けます。また、文書内においては、各ページのヘッダとフッタに以下のような色付きのラベルを貼ります。

　貼り付ける場所としては右寄せが推奨されています。また、文字の大きさは12ポイント以上と指定されています。さらに、それぞれの色はRGBおよびCMYKで厳密に定義されています。

文書内でのTLP1.0のラベルの添付例。「TRAFFIC LIGHT PROTOCOL(TLP) FIRST Standards Definitions and Usage Guidance —Version 1.0 日本語版」より

　FIRSTによるTLPバージョン1.0はCSIRTコミュニティに限らず、現在ではセキュリティ関連のコミュニティで一般的に使われるようになってきています。そのような中、2022年8月にFIRSTはTLPバージョン2.0を公開しました。FIRSTによれば、バージョン2.0は2022年8月から有効であり、バージョン1.0は2022年末までなら使用しても良いが、バージョン2.0の使用を強く推奨するとしています。

　バージョン2.0の「Definitions and Usage Guidance（定義と利用ガイドライン）」では、英語を母語としない人にも分かりやすく、また、翻訳しやすい表現にすることを目的に文章が大幅に書き換えられていますが、本質的にはバージョン1.0から大きく変わるものではありません。ただし、以下のような違いがあります。

　その他にも細かい点では、電子メールだけでなく、チャットなどのテキストメッセージでの利用方法についても記載されています。共有する情報の前にTLPラベルを（追加的制限も含めて）明示しなければならないのはもちろん、必要な場合は、TLPラベルが適用されるテキストの末尾がどこかを示すことも忘れないようにとしています。

　他には「TLP:RED」の色が少し変更されています。RGBの指定で、バージョン1.0では「R=255, G=0, B=51」だったものが、バージョン2.0では「R=255, G=43, B=43」となり、若干オレンジがかった赤になっています。

文書内でのTLP2.0のラベルの添付例。「TRAFFIC LIGHT PROTOCOL(TLP) FIRST Standards Definitions and Usage Guidance」より

　今回はあくまでFIRSTによるTLPの概要とバージョン2.0での変更点を簡単に紹介したにすぎず、全てを説明したわけではありません。バージョン2.0の「Definitions and Usage Guidance（定義と利用ガイドライン）」も、いずれは日本語訳が何らかの形で公開されると思いますが、原文は平易な英語で、しかも文章量はA4で3ページと決して多くはないので、既にTLPを使用している組織の方はもちろん、これから使用する予定の組織の方も、まずは原文に目を通しておくことを強くお勧めします。

　TLPは既にセキュリティ関連のコミュニティで一般的に使われるようになってきているとは言え、世の中ではまだご存知でない方も多いでしょう。より使いやすくなったバージョン2.0の公開をきっかけに、さらに広く一般的に使われるようになることを期待しています。

CSIRT成熟度モデルSIM3の自己評価ツール日本語版公開

　自組織のセキュリティ対応体制の成熟度を測る指標として、本連載の2022年4月の記事でも紹介した「SIM3（Security Incident Management Maturity Model）」を既に使用している企業や組織もあると思います。SIM3はCSIRTを含めたインシデント対応体制全体の成熟度モデルで、Open CSIRT Foundation（以降、OCF）が提供しています。また、OCFはSIM3で自組織を評価する際の便利なツールとして「Self Assessment Tool（自己評価ツール）」を無償で公開しています。

参照：Open CSIRT Foundation - SIM3 Self Assessment Tool
https://sim3-check.opencsirt.org/

　このツールはSIM3に基づいて評価した結果を単にグラフや表にまとめてくれるだけではありません。CSIRTの国際的なコミュニティであるFIRST（Forum of Incident Response and Security Teams）への加盟に必要なベースラインや、GFCE（Global Forum on Cyber Expertise）による「Global CSIRT Maturity Framework（GCMF）」などとの比較も行ない、それらに適合させる場合に必要な改善すべきポイントを示してくれます。なお、この自己評価ツールで使用されているSIM3は本稿執筆時点でバージョン1です。

　このツールは標準の英語版に加え、ドイツ語版とアゼルバイジャン語版のみが提供されていましたが、2022年8月に日本語版も提供されるようになりました。上記のOCFによる「SIM3 Self Assessment Tool」のページの右上にある「Language Selection」から「Japanese」を選択してください。表示内容が日本語化されているだけではありますが、日本の企業や組織にとっては格段に使いやすくなっているはずです。是非ご活用ください。

　なお、SIM3による成熟度評価にあたっては、必ずしも全ての項目について「成熟」を目指す必要はないことに注意が必要です。SIM3とは、企業や組織ごとに求められるレベルを設定し、それを目指すための指標に過ぎず、SIM3による評価結果はCSIRTを含むセキュリティ対応体制そのものの優劣を決めるものではありません。