TLP v2の日本語版が公開されました
はじめに
2022年8月に、FIRSTがTraffic Light Protocol(以下「TLP」といいます。)のVersion 2.0を公開しました。そして、JPCERT/CCを含めた複数の日本のサイバーセキュリティ関係者が協力して翻訳とレビューを行い、9月15日には日本語版がFIRSTのWebサイトで公開されました。本記事では、TLPとは何か、そして新たに公開されたバージョン(以下「TLP v2」といいます。)で何が変わったのかを解説します。
TLPとは何か
TLPとは、情報の発信者が受信者に対して、共有の範囲を指定するための決まりです。情報の発信者は、メールの件名、文書のヘッダーにTLPに沿ってラベルを書き加えます。情報の受信者は、ラベルが意味する共有範囲に従い、自組織内で共有するのか、Webサイトに掲載し広く世に広めるのかなどを判断します。
TLPは、情報が誰と共有されるべきかを明確にします。サイバーセキュリティのインシデント対応においては、機微な情報を扱うことが多くあります。この「機微な情報」という言葉の持つ広い意味が誤解を引き起こしてきました。ある機微な情報を閲覧できるのは、場合によって、「外部の専門家を含めた特定コミュニティに属する人すべて」かもしれませんし、「自組織内の特定の部門の社員のみ」かもしれませんし、「特定の個人のみ」かもしれません。後述するTLPの定義において、機微な情報は4つのラベルに分類されることになります。
TLPは、上記の情報の分類をシンプルかつ直感的に示すことを重視するルールです。電子メールや文書ファイルなど、それぞれの場合について、決められた色、決められた大きさの文字でラベルを明記します。
標準化(2017年)、そして改訂(2022年)
FIRSTコミュニティでは、メンバー間のメーリングリストなどでTLPが使われてきました。私自身も2010年代からTLP:AMBER、TLP:REDなどとラベルが付けられた、情報を受け取るようになったと記憶しています。それまでの複雑な情報共有のルールと比較して、信号の色で表すTLPは分かりやすい決まりでした。
ところが、そうしてTLPの利用が広まり、独自のTLP定義が増えて行った結果、さまざまな似て非なるTLPが生まれました。TLP:REDとラベルされた情報について、電子媒体で保存可能か否かなど個別に確認を取ることもしばしばでした。TLP:DARK AMBER(濃いオレンジ)、 TLP:BLOODY RED(血の色の赤)など、ユニークなラベルを見かけたこともありました。
このTLP定義の乱立を解決するために、FIRSTがTLPワーキンググループ(FIRSTコミュニティはそれをSIGと呼びます)を作りました。TLPに関心のあるFIRSTメンバーが集まり、より汎用的で使いやすいTLPを目指して議論を重ねました。その結果、2017年にFIRST TLP version 1.0として公開されました。2017年以降実際にCSIRTコミュニティが使用した経験を元に、改善を施したのが、今回ご紹介するTLP v2です。
TLPの新バージョンで何が変わるのか
4つの主な変更点が挙げられます。
- メールだけでなくチャットなどのテキストメッセージにもルール適用
- 新たなラベルTLP:AMBER+STRICTが誕生
- TLP:WHITEから、TLP:CLEARへ名称変更
- コミュニティ、組織、クライアントの定義付けにより、共有の範囲がより明確に
1. メールだけでなくチャットにもルール適用
TLP v2では、チャットを代表するテキストメッセージもTLPラベルの対象として明確に位置付けられましたが、表記のルールはv1で規定されたものとほぼ同じです。(例:TLPと追加の共有制限を機微な情報の直前に書くことや、ラベルの色付けやデザインは定められていないことなど。)
2. TLP:AMBER+STRICT
TLP:AMBERの区分の中に、情報共有の対象者を限定したTLP:AMBER+STRICTが追加されました。TLP:AMBER+STRICTが指定された情報は、一組織のNeed to knowなメンバーのみが共有の対象になります。(注:Need to knowの原則とは、必要とする人だけが情報にアクセスでき、不要なアクセスは禁ずるという考え方です。)
3. TLP:CLEAR へ名称変更
TLP:WHITEは、TLP:CLEARに名称が変わりましたが、ルールに大きな変更はありません。
4. コミュニティ、組織、クライアントの定義付けで、共有範囲が明確に
コミュニティ、組織、クライアントを文書内で定義したことで、特にTLP:AMBERと、TLP:GREENの区別が整理されました。簡単にまとめると以下のようになります。詳細は、FIRST Webサイトに掲載のオリジナルをご確認ください。
正しいTLPラベルの書き方
コロンの前後にスペースは入れず、翻訳せずにアルファベット大文字で書きましょう。例えばTLP:REDを、「TLP:赤」などと表記することはできません。さらに、文書においては文字の大きさは12ポイント以上で、右に寄せて配置することや、ロービジョンのユーザーに配慮した指定のカラーコードを遵守することなどが求められています。
おわりに
以上、TLPとは何か、そしてTLP v2によって何が変わるのかを解説しました。
これまでに「自社で独自に定義したTLP、もしくはFIRSTの古いTLPを使用している。これをTLP v2の定義に改めた方が良いのだろうか」というお問い合わせをいただきました。私自身は、現在動いているシステムや仕組みを無理に改める必要はないという立場を取っています。TLPは情報共有を促進するための、手段であって目的ではないからです。TLPは今回のv2で、より直感的に使いやすくなりました。システムや仕組みを今から設計される場合は是非、TLP v2に準拠ください。
国際部 小宮山 功一朗、登山 昌恵
