« ENISA サイバーセキュリティインシデントの原因を視覚的にわかりやすく表示するツールの公開 | Main | ENISA 人工知能サイバーセキュリティに関するワーキンググループが始動 »

2020.06.12

ENISA セキュリティ認証スキームになりうる領域の調査 他 WebTrust, ISMS, Common Criteria...

こんにちは、丸山満彦です。

ENISAってとってもアクティブに活動していますよね。。。拾いもれがたくさんあります。。。2月4日にセキュリティ認証スキームになりうる領域についての分析報告書を公表していました。

紹介のウェブページでは、認証スキームになりうる領域として

  1. IoT
  2. クラウドサービス
  3. 金融セクターの脅威インテリジェンス
  4. 電子カルテ
  5. トラストサービス

の5つを挙げているのですが、報告書では金融インテリジェンスを除いた4つの分析が公表されています。。。

分析の方法は、

・標準化の状況を分析し、ギャップを特定することで、認証を受けられる可能性のある製品、サービス、プロセスを浮き彫りにした

わかったことは、

・セキュリティ認証スキームが成功するためには、保証のレベルが市場のニーズを反映したものでなければならないということ。

ENISA

・2020.02.04 Standardisation in support of the Cybersecurity Certification

・2019.12 [PDF] STANDARDS SUPPORTING CERTIFICATION

上記のコメントはまさにその通りだと私も思います。

多くの人が認証を安易に考えるのですが、ビジネスと考えると実はかなり難しいですよね。

監査をちゃんとしようとする(保証レベルを上げる)とコストがかかり、社会的に受け入れられなくなる。一方、監査がいい加減(保証レベルが低い)だと、そもそも監査の意味が薄れる。。。どこが落とし所として適切かという合意形成が難しい・・・

 

セキュリティの監査で最もそれに近いのは、いわゆるAICPA/CPA CanadaのTrust Serviceでしょうね。。。

AICPAAssurance and Advisory - System and Organization Controls: SOC Suite of Services

SOC for Cybersecurity

Criteriaは以下の通りです。

・[PDF] trust services criteria

CPA CanadaWebTrust seal program

Principles and criteria

 

ISMSはどうかというと、そもそもISMSがセキュリティの認証かどうかは微妙で、認証の対象はセキュリティそのものではなく、マネジメントシステムですからね。(ISO 9001の審査が品質の審査かどうかという話と同じです)

ISOCERTIFICATION & CONFORMITY - THE ISO SURVEY

 ・ISO Survey of certifications to management system standards 2018 - Full results /2019.12.31

これは推計値なのですが、ISO/IEC 27001の認証数は、世界で31,910サイトと推計されていますね。

・[PDF] 0. explanatory note on iso survey 2018

・[EXEL] 1. iso survey 2018 results  number of certificates and sites per country and the number of sector overall

・[EXEL] 2. iso survey 2018 results  number of sectors by country for each standard

・[EXEL] 3. iso survey 2018  comparison with 2017  using data from providers taking part both years

 

あとは、製品セキュリティのCommon Criteriaですかね。。。

Common Criteria Portal - Certified Products

Certified Products List - Statistics

認定された製品・サービスは1,481(@2020.06.11)ですね。。。

 

なお日本では、政府情報システムのためのセキュリティ評価制度(ISMAP)が始まりましたね。。。

まるちゃんの情報セキュリティ気まぐれ日記

・2020.06.05 内閣官房 総務省 経済産業省 「政府情報システムのためのセキュリティ評価制度(ISMAP)」の運用を開始しました

 

 

TABLE OF CONTENTS

1. INTRODUCTION

2. CYBERSECURITY ACT

3. INTERNET OF THINGS (IOT)
 3.1 IOT LANDSCAPE
  3.1.1 Eurosmart cybersecurity certification scheme for IoT
  3.1.2 ETSI 303 645
  3.1.3 Other relevant frameworks and suggestions
 3.2 POTENTIAL CANDIDATE FOR A EUROPEAN

4. ANALYSIS OF THE STANDARDS LANDSCAPE FOR CLOUD SERVICES
 4.1 OVERVIEW OF LANDSCAPES
 4.2 POTENTIAL CANDIDATE FOR AN EU CYBERSECURITY CERTIFICATION SCHEME FOR CLOUD

5. ANALYSIS OF THE STANDARDS LANDSCAPE ON EHEALTH RECORDS
 5.1 OVERVIEW OF LANDSCAPE FOR EHR
 5.2 POTENTIAL CANDIDATE CYBERSECURITY CERTIFICATION SCHEME FOR SHARING EHRS
  5.2.1 Potential product/service or process that can be evolved to a cybersecurity certification scheme.
  5.2.2 Assurance levels based on risk assessment
  5.2.3 Potential rules/standards for the schemes

6. ANALYSIS OF THE STANDARDS LANDSCAPE IN RELATION TO QUALIFIED TRUST SERVICE PROVIDERS
 6.1 OVERVIEW OF EIDAS REGULATION ON QUALIFIED TSP AND TRUST SERVICES
  6.1.1 Initiation and supervision
  6.1.2 TSP supervisory scheme
 6.2 OVERVIEW OF STANDARDS’ LANDSCAPE
  6.2.1 eIDAS Regulation requirements
  6.2.2 ETSI certification scheme
  6.2.3 WebTrust for CAs assurance audit
  6.2.4 Cab Forum, CAs and browsers
  6.2.5 ISO/IEC 27000 series
  6.2.6 Identification of gaps in current practice to acquire a qualified status.
 6.3 POTENTIAL CANDIDATE FOR A CYBERSECURITY CERTIFICATION SCHEME
  6.3.1 Potential product/service or process that can be evolved to a cybersecurity certification scheme.
  6.3.2 Identification of potential rules/standards for the schemes

7. CONCLUSIONS

REFERENCES

-----

7. CONCLUSIONS

This report examined four areas of interest, where standards and policies can evolve to become potential candidates for EU cybersecurity certification schemes.
These four areas were Internet of Things (IoT), cloud infrastructure and services, electronic health records in the healthcare and qualified trust services.
By providing an analysis of the standards’ landscape and identifying the gaps, this report highlighted potential products, services and processes that can be certified.
For every suggested potential candidate scheme, reasonable recommendations were provided based on Articles 51, 52 and 54 of CSA.
In all four areas there were opportunities for products (smart home devices for Internet of Things area, test-beds for validating interoperability in the electronic heath records domain), processes (accreditation schemes to harmonise the process of providing a qualified status to Trust Service Providers) and services (cloud services such as Platform as a Service).
A key finding of this exercise was that for a potential EU candidate scheme to be successful, the levels of assurance should reflect the market needs.
There exist technical rules in standards that can underpin guiding principles for assurance levels in all four areas.
Further investigation is required on how these rules will be allocated to different levels, specifically for technical metrics which are present in all three levels with variant objectives (i.e., time to perform patch management).

 

 

|

« ENISA サイバーセキュリティインシデントの原因を視覚的にわかりやすく表示するツールの公開 | Main | ENISA 人工知能サイバーセキュリティに関するワーキンググループが始動 »

Comments

Post a comment



(Not displayed with comment.)




« ENISA サイバーセキュリティインシデントの原因を視覚的にわかりやすく表示するツールの公開 | Main | ENISA 人工知能サイバーセキュリティに関するワーキンググループが始動 »