• サイバーディフェンス研究所及びそのクライアントにおけるサイバーセキュリティ（コンピュータ、ネットワーク、情報、インターネットに関する包括的なセキュリティの概念）のレベル向上に寄与すること
  To contribute to the progress of the security level of the cyber (computer / network / information / internet) security in Cyber Defense Institute and its clients.

• アラート（注意喚起）及びサイバーインシデントにかかるインシデントのハンドリング及びコーディネーションの拠点となり、サイバーディフェンス研究所及びそのクライアントを支援すること
  To be the center for alert and cyber security related incidents handling and coordination, helping Cyber Defense Institute and its clients.

• サイバーディフェンス研究所及びそのクライアントのサイバー（コンピュータ及びネットワーク等）システムに影響を与える脅威に対して、迅速かつ的確に対応すること
  To respond to threats that affect Cyber Defense Institute and its clients’ cyber system in a fast and efficient manner.

1. 人間の物理的安全に対する脅威
   Threats to the physical safety of human beings.
2. あらゆる経営情報システムやバックボーンネットワーク基盤の一部におけるルートやシステムレベルの攻撃
   Root or system-level attacks on any Management Information System (MIS), or any part of the backbone network infrastructure.
3. マルチユーザー或いは特定使途の大規模な公的サービス機器に対するルートやシステムレベルの攻撃
   Root or system-level attacks on any large public service machine, either multi-user or dedicated-purpose.
4. 制限されている信用サービスのアカウントやソフトウェア、特に、機密情報を含む経営管理システムやシステム管理者のために使用されるシステムに対するセキュリティ侵害
   Compromise of restricted confidential service accounts or software installations, in particular those used for MIS applications containing confidential data, or those used for system administration.
5. 上記 1. から 3. のシステム等に対する DoS 攻撃
   Denial of service attacks on any of the above three items.
6. サイバーディフェンス研究所を起因とする、他のサイト（場所）における上記の攻撃等
   Any of the above at other sites, originating from Cyber Defense Institute.
7. あらゆる種類の広域的な攻撃　（例：スニッフィング攻撃、IRC ソーシャルエンジニアリング攻撃、パスワードクラッキング攻撃）
   Large-scale attacks of any kind, e.g. sniffing attacks, IRC "social engineering" attacks, password cracking attacks.
8. 個人ユーザーアカウントに絡む脅威、嫌がらせ、犯罪行為
   Threats, harassment, and other criminal offenses involving individual user accounts.
9. マルチユーザーシステム上の個人ユーザーアカウントへのセキュリティ侵害
   Compromise of individual user accounts on multi-user systems.
10. デスクトップシステムへのセキュリティ侵害
    Compromise of desktop systems.
11. 偽装と不当表示、そして、ローカル・ルールと規則のセキュリティに関する違反（例：ネットニュースとEメールの偽装、IRC　ポットの不正使用）
    Forgery and misrepresentation, and other security-related violations of local rules and regulations, e.g. netnews and e-mail forgery, unauthorized use of IRC bots.
12. 個人ユーザーアカウントに関する DoS 攻撃　（例： メールボム）
    Denial of service on individual user accounts, e.g. mailbombing.

• 個人のユーザー情報は、特定のユーザーに関する情報であるが、場合によっては特定のアプリケーションの情報でもある。これらは、法律、契約、及び／或いは、倫理上の信用情報とみなすべきものである。
  Private user information is information about particular users, or in some cases, particular applications, which must be considered confidential for legal, contractual, and/or ethical reasons.

• 個人のユーザー情報は、以下に示されること以外、CDI-CIRT の外部において識別可能なフォームで公開されることはない。ユーザーを識別することが困難にするものであれば、情報を制限なく公開することができる。（例えば、侵入者によって書き換えられた.cshrc ファイルを見せることや、特定のソーシャルエンジニアリング攻撃のデモをすることなど）
  Private user information will be not be released in identifiable form outside CDI-CIRT, except as provided for below. If the identity of the user is disguised, then the information can be released freely (for example to show a sample .cshrc file as modified by an intruder, or to demonstrate a particular social engineering attack).

• 侵入者の情報は、侵入行為に関すること以外は、個人のユーザー情報と同義である。
  Intruder information is similar to private user information, but concerns intruders.
  
  特定の識別可能な情報を伴う侵入者の情報は、一般に公開することはないが、システム管理者とインシデントの追跡活動をする CISRT と、制限なく情報交換する。ただし、刑事責任があるために、その情報が公記録になる場合は、この限りではない。
  While intruder information, and in particular identifying information, will not be released to the public (unless it becomes a matter of public record, for example because criminal charges have been laid), it will be exchanged freely with system administrators and CSIRT's tracking an incident.

• 個人のサイト情報は、特定のシステム或いはサイトの技術情報である
  Private site information is technical information about particular systems or sites.
  
  以下に示されること以外、問題があるサイトの許可がない状態で公開することはない。
  It will not be released without the permission of the site in question, except as provided for below.

• 脆弱性の情報は、修正及び回避策を含めた、脆弱性或いは攻撃に関する情報である。脆弱性の情報は、制限なく公開されるが、不特定多数の人に公開される前に、関係するベンダーに通知し、働きかけるようなあらゆる努力をする。
  Vulnerability information is technical information about vulnerabilities or attacks, including fixes and workarounds. Vulnerability information will be released freely, though every effort will be made to inform and work with the relevant vendor before the general public is informed.

• 当惑させる情報には、インシデントが発生したという宣言と、その伝達範囲と重要性に関する情報を含んでいる。当惑させる情報は、サイト、及び、特定のユーザー或いはユーザーグループと関係する場合がある。
  Embarrassing information includes the statement that an incident has occurred, and information about its extent or severity. Embarrassing information may concern a site or a particular user or group of users.
  
  当惑させる情報は、いかに示されること以外、問題を持つサイト或いはユーザーの許可なく、公開することはない。
  Embarrassing information will not be released without the permission of the site or users in question, except as provided for below.
  

• 統計情報は、特定可能な情報が取り除かれた、当惑させる情報である。統計情報は、CDI-CIRT の裁量によって公開される。
  Statistical information is embarrassing information with the identifying information stripped off. Statistical information will be released at the discretion of CDI-CIRT.

• 連絡先情報は、CSIRT のセキュリティ連絡担当者へ連絡手段を説明するものである。連絡先情報は、サービス対象のメンバに対して、制限なく公開される。ただし、実際とは異なると要求してきた連絡担当者等や、CDI-CIRT に、この情報を露出させることが適切でないと信じるに足りる理由がある場合は、この限りではない。
  Contact information explains how to reach Security Contact Persons and CSIRT's. Contact information will be released freely to members of the constituency, except where the contact person or entity has requested that this not be the case, or where CDI-CIRT has reason to believe that the dissemination of this information would not be appreciated.

CDI-CIRT からの情報を受領する可能性のある主体は、次のように分類される：
Potential recipients of information from CDI-CIRT will be classified as follows:

• サービス対象の管理層のメンバは、 守秘義務の責任及び説明責任の性質を有するため、管理すべき範囲で発生したコンピュータセキュリティインシデントをハンドリングを促進させる必要がある情報は何でも受領するはずである。
  Because of the nature of their responsibilities and consequent expectations of confidentiality, members of the constituency's management are entitled to receive whatever information is necessary to facilitate the handling of computer security incidents which occur in their jurisdictions.

• サービス対象のメンバであるセキュリティ連絡担当者も、その職責に基づいき、機密情報の扱いを委ねられる。しかしながら、CDI-CIRT メンバのような人でない限り、セキュリティ連絡担当者は、調査を事実調査の支援或いは所有するシステムを安全にするために十分な、最小限の機密情報を受け取るべきである。
  Security Contact Persons at organizations that are members of the constituency are also, by virtue of their responsibilities, trusted with confidential information. However, unless such people are also members of CDI-CIRT, they will be given only that confidential information which they must have in order to assist with an investigation, or in order to secure their own systems.

• サービス対象範囲のユーザーは、CIRT とは出来るだけ少ないやり取りにすべきである。そのかわり、必要ならば、主となる連絡窓口は、ユーザーが所属する組織のセキュリティチームがなるはずである。そこが、CIRT と同様な連絡をする。
  Users within the constituency should have as little interaction with CIRT as possible. Instead, their primary point of contact should be their parent institution's security team, that in turn would contact CIRT if necessary.

• サービス対象全体は、情報開示の許可が与えられた影響を受けるところを除き、制限された情報を受け取ることはない。インシデントをサービス対象全体に対してインシデントを報告する CDI-CIRT には、いかなる義務も負うことはない。しかしながら、報告をするという選択肢を選ぶ場合がある。特に、CDI-CIRT が、影響を受けるに至った流れについて、影響を受けるところにすべてに対して通知すると思われる。
  The constituency community will receive no restricted information, except where the affected parties have given permission for the information to be disseminated. Statistical information may be made available to the general community. There is no obligation on the part of CDI-CIRT to report incidents to the community, though it may choose to do so; in particular, it is likely that CDI-CIRT will inform all affected parties of the ways in which they were affected, or will encourage the affected site to do so.

• 社会全般は、制限された情報を受け取ることはない。現実的に、社会全般に対してコミュニケーションをとる特段の努力が図られることない。しかしながら、CDI-CIRT は、あらゆる観点から見て、サービス対象全体に対して提供した情報は、実際には、一般社会に提供する情報であることと、結果からみると、その情報をよく吟味していることを認めている。
  The public at large will receive no restricted information. In fact, no particular effort will be made to communicate with the public at large, though CDI-CIRT recognizes that, for all intents and purposes, information made available to its constituency community is in effect made available to the community at large, and will tailor the information in consequence.

• コンピューターセキュリティコミュニティは、一般社会と同じ要領で取り扱われる。CDI-CIRT のメンバは、ニュースグループ、full-disclosure リストである「bugtraq」を含む メーリングリスト、そして、カンファレンス等の、コンピューターセキュリティコミュニティでのディスカッションに参加するか場合があるが、そのようなフォーラムは、一般社会として取り扱う。脆弱性を含むような技術的な話題が、あらゆるレベルで議論されるかもしれないが、CDI-CIRT の経験から得られた例示は、影響を受けたところが識別されないように隠ぺいされる。
  The computer security community will be treated the same way the general public is treated. While members of CDI-CIRT may participate in discussions within the computer security community, such as newsgroups, mailing lists (including the full-disclosure list "bugtraq"), and conferences, they will treat such forums as though they were the public at large. While technical issues (including vulnerabilities) may be discussed to any level of detail, any examples taken from CDI-CIRT experience will be disguised to avoid identifying the affected parties.

• 報道機関も、一般社会の一部としてみなす。CDI-CIRT は、通常、一般社会に対して既知の情報を提供する窓口として以外、コンピュータセキュリティインシデントに関心を寄せる報道機関と直接のやり取りをしない。CDI-CIRT は、報道機関の役割は、一般社会と特にサービス対象全体に対して知らしめるための手段であると認識している。この役割を適切な形で活用するために、CDI-CIRT の渉外担当部署が、報道機関に対する一元化した窓口業務する。
  The press will also be considered as part of the general public. CDI-CIRT will generally not interact directly with the Press concerning computer security incidents, except to point them toward information already released to the general public. However, CDI-CIRT acknowledges the role of the Press as a vehicle to inform the broad public in general and its own constituency in particular. To properly accommodate this function, the CDI-CIRT Public Relations department acts as the focal point in Press contacts.
  
  サイバーディフェンス研究所の渉外担当部署は、CDI-CIRT の声明が必要になる場合、CDI-CIRT に支援を求める。CDI-CIRT のみが、CDI-CIRT として声明を作成することができる。情報セキュリティの最高責任者、CDI-CIRT のコーディネーター及び監督責任者が、CDI-CIRT に代わって、公式見解を作成する責任がある。このことは、CDI-CIRT のメンバ個人がコンピュータセキュリティのトピック全般に関するインタービューを受け入れることを妨げるようなものではない。現実には、サービス対象全般に対する公的サービスをとして圧力がかけられている。ここで留意すべきことは、すべての CDI-CIRT メンバは、特定のインシデントに関する厳格な守秘義務の責任を持っていることである。
  The Cyber Defense Institute Public Relations department will call in CDI-CIRT in case a CDI-CIRT statement is needed. Only CDI-CIRT can make statements on behalf of CDI-CIRT. The Chief Information Officer, the CERT Coordinator and the Supervising Director are responsible for making public statements on behalf of CDI-CIRT. The above does not affect the ability of individual members of CDI-CIRT to grant interviews on general computer security topics; in fact, they are encouraged to do so, as a public service to the community. Note that all CDI-CIRT members are committed to absolute confidentiality pertaining specific incidents.

• その他のサイトや CSIRT は、コンピュータセキュリティインシデントの調査に関する連携をする際、場合によっては機密情報を委ねる。これは、他のサイトの誠実さが確認された場合に限りなされるものであり、送付される情報が、インシデントの解決に役立つようなものである場合に限られる。このような情報共有は、多くの場合、CDI-CIRT と十分な付き合いがあるサイト間で実施される。（例えば、日本国内の幾つかの CSIRT は、コンピュータセキュリティインシデント問題について、CDI-CIRT と非公式ではあるが、確立された連携関係がある。）
  Other sites and CSIRT's, when they are partners in the investigation of a computer security incident, will in some cases be trusted with confidential information. This will happen only if the other site's bona fide can be verified, and the information transmitted will be limited to that which is likely to be helpful in resolving the incident. Such information sharing is most likely to happen in the case of sites well known to CDI-CIRT (for example, several other Japanese CSIRT's have informal but well-established working relationships with CDI-CIRT in such matters).

  セキュリティインシデントの解決のために、ユーザーアカウントの接続元のようなあたりさわりのないような個人に準じた情報は、機密情報とみなすことはせずに、必要以上の事前注意をすることなく、外部のサイトに転送することができる。「侵害情報」については、セキュリティ連絡担当者と CSIRT に制限なく転送する。「当惑させる情報」は、守秘義務が保持できることが確実であることが十分であり、かつ、インシデントの解決に必要である場合に転送することができる。
  For the purposes of resolving a security incident, otherwise semi-private but relatively harmless user information such as the provenance of connections to user accounts will not be considered highly sensitive, and can be transmitted to a foreign site without excessive precautions. "Intruder information" will be transmitted freely to other Security Contact Persons and CSIRT's. "Embarrassing information" can be transmitted when there is reasonable assurance that it will remain confidential, and when it is necessary to resolve an incident.

• 他の CSIRT とのやり取りにおいて、CDI-CIRT は、他に対して提供する情報は、（非拒否のため）署名する。また、必要があると考えられるときには暗号化をする。詳細は 4.3 章を参照。
  In its contact with other CSIRT's, CDI-CIRT will see to it that the information which is made available to others, will be signed (so as to provide for non-repudiation), and, whenever deemed necessary, crypted. See also 4.3 for more details.

• ベンダーは、あらゆる点で外国の CSIRT とみなしている。CDI-CIRT は、さまざまなネットワーク及びコンピュータ機器、ソフトウェア、並びにサービスのベンダーに、それぞれが提供するプロダクトのセキュリティ向上を働きかけたいと考えている。このようなことに寄与するため、それらのプロダクトで発見された脆弱性は、問題の特定と修正に必要な技術詳細とともに、そのベンダーに報告されるようにする。判明した詳細情報は、影響を受ける主体の許可を得ないでベンダーに与えられない。
  Vendors will be considered as foreign CSIRT's for most intents and purposes. CDI-CIRT wishes to encourage vendors of all kinds of networking and computer equipment, software, and services to improve the security of their products. In aid of this, a vulnerability discovered in such a product will be reported to its vendor, along with all technical details needed to identify and fix the problem. Identifying details will not be given to the vendor without the permission of the affected parties.

• 法執行機関（警察）は、守秘義務に関する事前の取り決めにかかわらず、法執行機関（警察）が調査を目的のために要求する情報など、法に基づいた形での CDI-CIRT から全面協力を受ける。
  Law enforcement officers will receive full cooperation, as permitted by law, from CDI-CIRT, including any information they require to pursue an investigation, notwithstanding the earlier statements made about confidentiality.
  

5.2 事前対応サービス
      Proactive Services

• CSIRT のための報告ガイドライン及び連絡先情報
  reporting guidelines and contact information for the CSIRT
• 注意喚起、警報、及び 他のアナウンスメントのアーカイブ
  archives of alerts, warnings, and other announcements
• 現在のベストプラクティスに関するドキュメント
  documentation about current best practices
• 一般的なコンピュータセキュリティガイダンス
  general computer security guidance
• ポリシー、プロシージャ、及び チェックリスト
  policies, procedures, and checklists
• パッチ開発および流通情報
  patch development and distribution information
• ベンダーのリンク情報
  vendor links
• インシデント報告に関する現在の統計と動向
  current statistics and trends in incident reporting
• 全体的なセキュリティ施策の向上につながる他の情報
  other information that can improve overall security practices
  

5.3 セキュリティ品質管理サービス
      Security Quality Management Services