ENISAが鉄道事業向けのセキュリティガイドを公表していますね。

こんにちは、丸山満彦です。

ENISAが鉄道事業向けのセキュリティガイドを公表していますね。ENISAとERAが共同で鉄道事業のセキュリティについてのウェビナーも開催していましたね。後日ERAのYouTube chanelで公開されるようです。。。

セキュリティガイドでは、欧州の各加盟国におけるネット・情報システム指令 (Network and Information System Directive)の施行に関連して、鉄道部門におけるサイバーセキュリティ対策の実施レベルを調査し、重要な鉄道サービスの概要を紹介した上で最後に、鉄道運行管理システムのサイバーセキュリティに関するいくつかの重要な考慮事項と推奨事項を紹介していますね。。。

● ENISA

・2020.11.13 (PRESS) European Rail: Report unveils challenges and stresses the need for investment in cybersecurity

Basic protection measures are no longer enough. More cybersecurity expertise is needed to build up secure digital capacities for Europe’s rail sector to charge forward.

・2020.11.13 Railway Cybersecurity

This ENISA study regards the level of implementation of cybersecurity measures in the railway sector, within the context of the enforcement of the NIS Directive in each European Member State. It presents a thorough list of essential railway services accompanied by a high level overview of the railway systems they support. Finally, the European Railway Traffic Management System is presented together with some key cybersecurity considerations and recommendations.

・・[PDF] RAILWAY CYBERSECURITY - Security measures in the Railway Transport Sector

原文	仮訳
1. INTRODUCTION	1. 序文
1.1 POLICY AND REGULATORY CONTEXT	1.1 方針と規制の文脈
1.2 STUDY SCOPE	1.2 研究範囲
1.3 STUDY OBJECTIVES	1.3 研究目的
1.4 TARGET AUDIENCE	1.4 想定読者
1.5 METHODOLOGICAL APPROACH	1.5 方法論的アプローチ
1.6 STRUCTURE OF THE REPORT	1.6 報告書の構成
2. THE RAILWAY SECTOR	2. 鉄道セクター
2.1 RAILWAY STAKEHOLDERS	2.1 鉄道所有者
2.1.1 NIS Directive implementation – Authorities	2.1.1 ネット・情報システム指令の実施-当局
2.2 ESSENTIAL RAILWAY SERVICES	2.2 重要な鉄道サービス
2.2.1 NIS Directive Implementation – Essential Services	2.2.1 ネット・情報システム指令の実施 - 必須サービス
2.3 RAILWAY SYSTEMS	2.3 鉄道システム
3. CYBERSECURITY MEASURES	3. サイバーセキュリティ対策
3.1 CYBERSECURITY CHALLENGES	3.1 サイバーセキュリティの課題
3.2 MINIMUM SECURITY MEASURES	3.2 最低限のセキュリティ対策
3.2.1 Governance and ecosystem	3.2.1 ガバナンスとエコシステム
3.2.2 Protection	3.2.2 保護
3.2.3 Defence	3.2.3 防衛
3.2.4 Resilience	3.2.4 レジリエンス
4. CYBERSECURITY IN ERTMS	4. 欧州鉄道運行システムにおけるサイバーセキュリティ
4.1 ERTMS DEFINITION AND ARCHITECTURE	4.1 欧州鉄道運行システムの定義と構造
4.2 CYBERSECURITY ON ERTMS	4.2 欧州鉄道運行システムのサイバーセキュリティ
5. CONCLUSIONS	5. 結論
5.1 SECURITY MEASURES	5.1 セキュリティ対策
5.2 CONSIDERATIONS	5.2 考察
5.3 NEXT STEPS	5.3 次のステップ

 

---

● ERA (Europa Union Agency for Railways) 

・2020.11.13 Free webinar: Cybersecurity in Railways

・・YouTube Channel

・関連文書

・・[PDF] ERA activities on cybersecurity 

・・[PDF] ENISA activities for rail 

 

 

原文	仮訳
EXECUTIVE SUMMARY	エグゼクティブ・サマリー
The railway sector enables goods and passengers to be transported within countries and across borders, and is key to the development of the European Union. The main players within this sector are the railway undertakings (RU), in charge of providing services for the transport of goods and/or passengers by rail; and the infrastructure managers (IM), in charge of establishing, managing and maintaining railway infrastructure and fixed installation, including traffic management, control-command and signalling, but also station operation and train power supply. Both are in the scope of the NIS Directive, and their identification as operator of essential service (OES) respects the transposition of laws to the majority of member states.	鉄道部門は、国の内外や国境を越えて商品や旅客を輸送することを可能にし、欧州連合の発展の鍵を握っている。このセクターの主な事業者は、鉄道による物品や旅客の輸送のためのサービスを提供する鉄道事業者（RU）と、交通管理、管制指令、信号を含む鉄道インフラや固定設備の設置、管理、維持を担当するインフラ管理者（IM）であり、駅の運営や列車への電力供給も行っている。両者はNIS指令の範囲内にあり、必須サービス（Operator of essential service）として認定され、大多数の加盟国に法整備を委譲している。
Trends	トレンド
According to surveys and interviews conducted under this study, overall trends for the implementation of the NIS Directive for operator of essential service (OES) in the railway sector are as follows:	本調査で実施した調査・インタビューによると、鉄道分野における必須サービス (OES) に対するNIS指令の実施状況の全体的な傾向は以下の通りである。
· The general implementation of security measures regarding governance and the ecosystem is heterogeneous and low compared to other types of measures. Most mature OES have already been applying these measures for a long time. Meanwhile for less mature OES, implementation of these measures has just started.	· ガバナンスとエコシステムに関するセキュリティ対策の実施は、他の種類の対策に比べて非常に低い。成熟した OES は、すでに長い間これらの対策を適用している。一方、あまり成熟していない OES では、これらの対策の実施が始まったばかりである。
· Protective security measures seem to be the best implemented. While cybersecurity basics appear to be already implemented, security measures requiring advanced technical expertise show a lower level of implementation. In the special context of operational technology (OT) (legacy, number of systems, dependence on suppliers, safety concerns), it is often impossible to implement security basics without applying compensating countermeasures,	· 保護的なセキュリティ対策については、最もよく実施されているようだ。基本的なサイバーセキュリティ対策は既に実施されているようだが、高度な技術的専門知識を必要とするセキュリティ対策の実施レベルは低い。運用技術（OT）という特殊な状況（レガシー、システム数、サプライヤーへの依存、安全性への懸念）では、補償対策を適用せずにセキュリティの基本を実施することは不可能であることが多い。
· For defensive security measures , the simplest security measures (e.g. communications with competent authorities and computer security incident response teams) seem to be well implemented. Others, however, are rarely or not implemented, as they require considerable cybersecurity expertise and maturity (e.g. log correlation and analysis),	· 防御的セキュリティ対策については、最も単純なセキュリティ対策（所管官庁との連絡やコンピュータセキュリ ティインシデント対応チームなど）は十分に実施されているようだ。しかし、その他の対策は、かなりのサイバーセキュリティの専門知識と成熟度（ログの相関関係や分析など）を必要とするため、ほとんど実施されていないか、全く実施されていない。
· For resilience measures, the level of implementation appears to be good. Managing crises and incidents is part of the daily business of the railway sector. However, this must be qualified: there are still opportunities to improve the full integration of new cybersecurity threats into existing processes for dealing with crises and ensuring resilience.	· レジリエンス対策については、実施レベルは良好であるようだ。危機やインシデントの管理は、鉄道部門の日常業務の一部である。しかし、危機に対処し、回復力を確保するための既存のプロセスに、新たなサイバーセキュリティの脅威を完全に統合して改善機会はまだある。
Challenges	課題
The study also identifies the main challenges faced by the sector to enforce the NIS Directive:	また、この調査では、NIS 指令の施行に向けて鉄道業界が直面している主な課題も明らかにしている。
· Railway stakeholders must strike a balance between operational requirements, business competitiveness and cybersecurity, while the sector is undergoing digital transformation which increases the need for cybersecurity.	· 鉄道の利害関係者は、運用要件、ビジネス競争力、サイバーセキュリティのバランスをとる必要があり、一方で、鉄道部門はデジタルトランスフォーメーションを進めているため、サイバーセキュリティの必要性が高まっている。
· Railway stakeholders depend on suppliers with disparate technical standards and cybersecurity capabilities, especially for operational technology.	· 鉄道の利害関係者は、特に運用技術に関しては、技術基準やサイバーセキュリティ能力が異なるサプライヤーに依存している。
· OT systems for railways have been based on systems that were at a point in time secure according to the state-of-the art but due to the long lifetime of systems they eventually become outdated or obsolete. This makes it difficult to keep them up-to-date with current cybersecurity requirements. Furthermore, these systems are usually spread across the network (stations, track, etc.), making it difficult to comprehensively control cybersecurity.	· 鉄道向けのOTシステムは、ある時点では最先端の技術によって安全性が確保されていたシステムをベースにしているが、システムの寿命が長いため、最終的には時代遅れになってしまう。このため、現在のサイバーセキュリティ要件に合わせて最新の状態に保つことが困難になっている。さらに、これらのシステムは通常、ネットワーク（駅や線路など）に分散しており、サイバーセキュリティを総合的に管理することが困難である。
· Railway operators report issues of low cybersecurity awareness and differences in culture, especially among safety and operations personnel.	· 鉄道事業者は、特に安全担当者や運用担当者の間で、サイバーセキュリティに対する意識の低さや文化の違いなどの問題を報告している。
· Existing rail specific regulation doesn’t include cybersecurity provisions. OES often have to comply with non-harmonized cybersecurity requirements deriving from different regulations.	· 既存の鉄道特有の規制には、サイバーセキュリティに関する規定が含まれていない。OES は、異なる規制から派生した非調和的なサイバーセキュリティ要件を遵守しなければならないことが多い。
ERTMS is also covered in this study as a separate infrastructure due to its special requirements and its cross-European nature.	ERTMS は、その特別な要件と欧州横断的な性質のため、本研究では別個のインフラとしても取り上げられている。
Finally, trying to address some of the challenges described above, several European initiatives which are presented in this report take place. ENISA is teaming up with the European Railway Agency and the overall Railway community to bring these activities in the forefront.	最後に、上述した課題のいくつかに対処するために、本報告書で紹介するいくつかの欧州の取り組みが始まっている。ENISAは、欧州鉄道庁や鉄道コミュニティ全体と連携して、これらの活動を推進していく。