ENISA テレコムのセキュリティガイドラインと5G関連の補足版の公表
こんにちは、丸山満彦です。
ENISAがテレコムのセキュリティガイドライン(2014年の第2版からの改訂)と5G関連の補足版の公表を行っていますね。。。
テレコムのセキュリティガイドラインは、 EU各国の電気通信事業監督当局が、European Electronic Communications Code(欧州電子通信法指令)のTITLE V SECURITY(第V款 安全性)Article 40 Security of networks and services(第40条 ネットワーク及びサービスの安全性)、Article 41 Implementation and enforcement(第41条 実装及び執行)に基づくセキュリティ監督を行う際に参考となる(法的拘束力のない)技術的ガイダンスということになります。
5Gの補足版は、5Gネットワークのサイバーセキュリティに焦点を当てたものとして新規に開発されたものです。
● ENISA
・2020.12.10 (press) New Guidelines for Telecom and 5G Security
■ 参考情報
・European Electronic Communications Code [HTML][PDF]
・[PDF] EECCの夏井先生による参考訳(法と情報雑誌第 4 巻第 2 号(2019 年 2 月))
● EECC対応用セキュリティ対策に関するガイドライン
・2020.12.10 (pubulications) Guideline on Security Measures under the EECC
・・[PDF]
このガイドラインには、8つのセキュリティ領域に分類された29のハイレベルなセキュリティ目標が記載されていますね。
原文 | 仮訳 |
D1: GOVERNANCE AND RISK MANAGEMENT | D1:ガバナンスとリスク管理 |
SO1: Information security policy | SO1:情報セキュリティポリシー |
SO2: Governance and risk management | SO2:ガバナンスとリスク管理 |
SO3: Security roles and responsibilities | SO3:セキュリティの役割と責任 |
SO4: Security of third party assets | SO4:第三者の資産のセキュリティ |
D2: HUMAN RESOURCES SECURITY | D2:人的資源のセキュリティ |
SO5: Background checks | SO5:身元調査 |
SO6: Security knowledge and training | SO6:セキュリティの知識とトレーニング |
SO7: Personnel changes | SO7:人事異動 |
SO8: Handling violations | SO8:違反行為への対応 |
D3: SECURITY OF SYSTEMS AND FACILITIES | D3:システムと施設のセキュリティ |
SO9: Physical and environmental security | SO9:物理的・環境的セキュリティ |
SO10: Security of supplies | SO10:サービス提供に関するセキュリティ |
SO11: Access control to network and information systems | SO11:ネットワークと情報システムのアクセス制御 |
SO12: Integrity of network and information systems | SO12:ネットワークと情報システムの完全性 |
SO13: Use of encryption | SO13:暗号の使用 |
SO14: Protection of security critical data | SO14:セキュリティ上重要なデータの保護 |
D4: OPERATIONS MANAGEMENT | D4:運用管理 |
SO15: Operational procedures | SO15:運用手順 |
SO16: Change management | SO16:変更管理 |
SO17: Asset management | SO17:資産管理 |
D5: INCIDENT MANAGEMENT | D5:インシデント管理 |
SO18: Incident management procedures | SO18:インシデント管理手順 |
SO19: Incident detection capability | SO19:インシデント検知能力 |
SO20: Incident reporting and communication | SO20:インシデントの報告とコミュニケーション |
D6: BUSINESS CONTINUITY MANAGEMENT | D6:事業継続管理 |
SO21: Service continuity strategy and contingency plans | SO21:サービス継続戦略と緊急時対応計画 |
SO22: Disaster recovery capabilities | SO22:災害復旧能力 |
D7: MONITORING, AUDITING AND TESTING | D7:モニタリング、監査、テスト |
SO23: Monitoring and logging policies | SO23:モニタリングとログ収集ポリシー |
SO24: Exercise contingency plans | SO24:緊急時対応計画の演習 |
SO25: Network and information systems testing | SO25:ネットワークと情報システムのテスト |
SO26: Security assessments | SO26:セキュリティ評価 |
SO27: Compliance monitoring | SO27:遵守状況のモニタリング |
D8: THREAT AWARENESS | D8:脅威に対する知見 |
SO28: Threat intelligence | SO28:脅威インテリジェンス |
SO29: Informing users about threats | SO29:ユーザへの脅威情報の提供 |
さらに対策については、basic(基本)、industry standard(業界標準)、state-of-the-art (最先端)の3つのランクが示されていますね。。。
また、各セキュリティ対策には、対策が実施されているかどうかを評価するのに役立つ証拠の例が含まれていて、監督当局が確認する際に役立ちそうですね。。。
目次ですが、
原文 | 仮訳 |
1. INTRODUCTION | 1. 序論 |
1.1 TARGET AUDIENCE | 1.1 想定読者 |
1.2 GOAL | 1.2 目標 |
1.3 VERSIONS AND CHANGES | 1.3 バージョンと変更 |
2. BACKGROUND | 2. 背景 |
2.1 EU POLICY CONTEXT | 2.1 EU政策の文脈 |
2.2 ENISA’S ROLE | 2.2 ENISAの役割 |
3. EECC DEFINITIONS AND TERMINOLOGY | 3. EECCの定義と用語集 |
3.1 EECC DEFINITIONS AND TERMINOLOGY | 3.1 EECCの定義と用語集 |
3.1.1 EECC: Articles 40 and 41 and relevant recitals | 3.1.1 EECC. 第40条及び第41条並びに関連規定 |
3.2 TERMINOLOGY | 3.2 T用語集 |
3.2.1 Security of networks and services | 3.2.1 ネットワークとサービスのセキュリティ |
3.2.2 Security incidents | 3.2.2 セキュリティ事故 |
3.2.3 Competent authorities | 3.2.3 監督当局 |
3.2.4 Security measures | 3.2.4 セキュリティ対策 |
3.2.5 NI-ICS | 3.2.5 NI-ICS |
4. SECURITY MEASURES | 4. セキュリティ対策 |
4.1 ASSETS IN SCOPE AND RISK ASSESSMENT | 4.1 対象の資産とリスク評価 |
4.1.1 Primary and secondary assets | 4.1.1 一次および二次資産 |
4.2 CRITICAL ASSETS | 4.2 重要な資産 |
4.2.1 Personnel and key personnel | 4.2.1 人員と主要人員 |
4.2.2 Third parties and outsourcing | 4.2.2 サードパーティとアウトソーシング |
4.3 STRUCTURE OF THE SECURITY MEASURES | 4.3 セキュリティ評価の構造 |
4.4 SECURITY OBJECTIVES AND SECURITY MEASURES | 4.4 セキュリティ目標とセキュリティ評価 |
4.4.1 D1: Governance and risk management | 4.4.1 D1: ガバナンスとリスク管理 |
4.4.2 D2: Human resources security | 4.4.2 D2:人的資源のセキュリティ |
4.4.3 Security of systems and facilities | 4.4.3 D3:システムと施設のセキュリティ |
4.4.4 D4: Operations management | 4.4.4 D4:運用管理 |
4.4.5 D5: Incident management | 4.4.5 D5:インシデント管理 |
4.4.6 D6: Business continuity management | 4.4.6 D6:事業継続管理 |
4.4.7 D7: Monitoring, auditing and testing | 4.4.7 D7:モニタリング、監査、テスト |
4.4.8 D8: Threat awareness | 4.4.8 D8:脅威に対する知見 |
5. TECHNICAL SUPERVISION OF SECURITY MEASURES | 5. セキュリティ対策の技術的監督 |
5.1 MANDATING OR RECOMMENDING A SECURITY STANDARD | 5.1 セキュリティ基準の強制または推奨 |
5.1.1 Mandating versus recommending a security standard | 5.1.1 セキュリティ標準の義務化と推奨 |
5.1.2 Using the ENISA guideline as a recommendation | 5.1.2 勧告としてのENISAガイドラインの利用 |
5.1.3 Using the ENISA guideline as a mapping | 5.1.3 マッピングとしてのENISAガイドラインの利用 |
5.1.4 Using existing national or international standards or best practices | 5.1.4 既存の国内または国際的な標準またはベストプラクティスの使用 |
5.2 ASSESSING COMPLIANCE ACROSS THE MARKET | 5.2 市場におけるコンプライアンスの評価 |
5.3 SUPERVISION REGIME FOR NI-ICS PROVIDERS | 5.3 NI-ICS プロバイダに対する監視体制 |
5.4 TECHNOLOGY PROFILES | 5.4 技術プロフィール |
5.5 TAKING A STAGED APPROACH | 5.5 段階的アプローチの実施 |
5.6 AUDITING PROVIDERS | 5.6 監査業者 |
5.6.1 Assessment types | 5.6.1 評価の種類 |
5.6.2 Auditor types | 5.6.2 監査人の種類 |
5.6.3 Audit timing and objectives | 5.6.3 監査の時期と目的 |
5.7 AUTHORISATIONS CONDITIONS | 5.7 認可条件 |
5.7.1 Authorisations | 5.7.1 認可 |
5.7.2 Conditions | 5.7.2 条件 |
6 MAPPING TO INTERNATIONAL STANDARDS | 6 国際基準へのマッピング |
5.8 MAPPING SECURITY DOMAINS | 5.8 セキュリティドメインのマッピング |
5.9 MAPPING SECURITY OBJECTIVES | 5.9 セキュリティ目標のマッピング |
6. REFERENCES | 6. 参考文献 |
となっています。。。
● EECC対応用セキュリティ対策に関するガイドライン 5G補足版
・2020.12.10 (publications) 5G Supplement - to the Guideline on Security Measures under the EECC
・・[PDF]
EUの5Gツールボックスに関連する政策レベル、仮想化、スライシング、エッジコンピューティングなどの5Gネットワーク関連のサイバーセキュリティに焦点を当てていますね。。。
29のハイレベルのコントロールに関連して5G用に70の追加確認項目が記載されています。。。
原文 | 仮訳 |
1. INTRODUCTION | 1. 序論 |
1.1 OBJECTIVES AND SCOPE | 1.1 目的と範囲 |
1.2 POLICY CONTEXT | 1.2 政策の文脈 |
1.3 STRUCTURE OF THIS DOCUMENT | 1.3 この文書の構造 |
2. BACKGROUND: 5G RISKS AND MEASURES | 2. 背景:5G のリスクと評価 |
2.1 COORDINATED EU APPROACH TO CYBERSECURITY OF 5G | 2.1 5Gのサイバーセキュリティに対するEUの協調的アプローチ |
2.2 TERMINOLOGY AND DEFINITIONS | 2.2 用語と定義 |
2.3 5G ASSETS | 2.3 5G資産 |
2.4 5G RISKS | 2.4 5Gのリスク |
2.5 MITIGATING MEASURES IN THE 5G CYBERSECURITY TOOLBOX | 2.5 5G サイバセキュリテイ・ツールボックスによる対策の低減 |
2.6 TECHNICAL GUIDELINE ON SECURITY MEASURES UNDER THE EECC | 2.6 EECC対応用セキュリティ対策に関する技術ガイドライン |
3. 5G TECHNOLOGY PROFILE | 3. 5G技術プロフィール |
3.1 DOMAIN D1: GOVERNANCE AND RISK MANAGEMENT | 3.1 領域 D1. ガバナンスとリスク管理 |
3.2 DOMAIN D2: HUMAN RESOURCES SECURITY | 3.2 領域 D2: 人的資源のセキュリティ |
3.3 DOMAIN D3: SECURITY OF SYSTEMS AND FACILITIES | 3.3 領域 D3:システムと施設のセキュリティ |
3.4 DOMAIN D4: OPERATIONS MANAGEMENT | 3.4 領域 D4:運用管理 |
3.5 DOMAIN D5: INCIDENT MANAGEMENT | 3.5 領域 D5: インシデント管理 |
3.6 DOMAIN D6: BUSINESS CONTINUITY MANAGEMENT | 3.6 領域 D6:事業継続管理 |
3.7 DOMAIN D7: MONITORING, AUDITING AND TESTING | 3.7 領域 D7: モニタリング、監査、テスト |
3.8 DOMAIN D8: THREAT AWARENESS | 3.8 領域 D8: 脅威に対する知見 |
4. SECURITY OF SPECIFIC 5G TECHNOLOGIES | 4. 特定の5G技術の安全性 |
4.1 NETWORK VIRTUALISATION SECURITY | 4.1 ネットワーク仮想化のセキュリティ |
4.2 NETWORK SLICING SECURITY | 4.2 ネットワークスライシングのセキュリティ |
4.3 EDGE COMPUTING SECURITY | 4.3 エッジコンピューティングのセキュリティ |
ANNEX I: LIST OF ACRONYMS | 付録 I. 略語リスト |
ANNEX II: 3GPP SECURITY REFERENCE LIST | 付録 II: 3GPP セキュリティ参照リスト |
ANNEX III: TOOLBOX MAPPING | 付録 III: ツールボックスのマッピング |
EECCの夏井先生による参考訳(法と情報雑誌第 4 巻第 2 号(2019 年 2 月))の第40条、第41条部分の抜粋。
↓
第V款 安全性
第40条 ネットワーク及びサービスの安全性
1. 構成国は、公共電子通信ネットワークのプロバイダまたは公衆が利用可能な電子通信サービスのプロバイダが、ネットワーク及びサービスに対して示されるリスクを適切に管理するための適切かつ比例的な技術上の措置及び組織上の措置を講ずることを確保する。最新技術を考慮して、それらの措置は、示されたリスクに適切に対応するレベルの安全性を確保する。
とりわけ、それが適切なときは暗号化を含め、措置は、利用者並びに他のネットワーク及びサービス上のセキュリティインシデントの影響を防止し、それをミニマムのものとするために講じられる。
欧州連合ネットワーク情報セキュリティ局(「ENISA」)は、欧州議会及び理事会の規則(EU)526/20131に従い、セキュリティ上のリスク及び域内市場を妨げる障壁をつくり出し得る国内要件の多様化を避けるための構成国の共働を促進する。
2. 構成国は、公共電子通信ネットワークのプロバイダまたは公衆が利用可能な電子通信サービスのプロバイダが、職務権限を有する機関に対し、不適切な遅滞なく、ネットワークまたはサービスの運営に対して大きな影響のあったセキュリティインシデントを通知することを確保する。
セキュリティインシデントの影響の大きさを判断するため、それが利用可能なときは、とりわけ、以下のパラメータが考慮に入れるものとする:
(a) そのセキュリティインシデントによって害された利用者の数;
(b) そのセキュリティインシデントの持続期間;
(c) そのセキュリティインシデントによって害された領域の地理的範囲;
(d) ネットワークまたはサービスの機能が害を受けた範囲;
(e) 経済活動及び社会活動に対する影響の及ぶ範囲。
それが適切なときは、関係する職務権限を有する機関は、他の構成国の職務権限を有する機関及びENISAに対し、情報提供する。関係する職務権限を有する機関は、セキュリティインシデントを開示することが公共の利益に適うものであるとその機関が判断した場合、公衆に対して情報提供でき、または、プロバイダに対してそのようにすることを要求できる。
関係する職務権限を有する機関は、1年に1度、欧州委員会及びENISAに対し、受領した通知及び本項に従って講じられた措置に関する報告書を送付する。
3. 構成国は、公共電子通信ネットワークまたは公衆が利用可能な電子通信サービスにおけるセキュリティインシデントの特別かつ重大な脅威の場合において、そのようなネットワークのプロバイダまたはサービスのプロバイダが、そのような脅威により害を受けた可能性のあるそれらのプロバイダの利用者に対し、可能な防護措置またはその利用者によって講じられ得る救済手段について情報提供することを確保する。それが適切なときは、プロバイダは、そのプロバイダの利用者に対し、脅威それ自体についても情報提供する。
4. 本条は、規則(EU) 2016/679 及び指令2002/58/ECを妨げない。
5. 欧州委員会は、ENISA の意見を最大限考慮に入れた上で、第1 項に示す技術上の措置及び組織上の措置、並びに、第2 項による通知義務に適用される状況、フォーマット及び手続の細目を定める実装行為を採択できる。それらの実装行為は、可能な限り大きな範囲で、欧州標準及び国際標準を基礎とするものとし、かつ、構成国が、第1項に定める諸目的を追求するための追加的な義務を採択することを妨げてはならない。
これらの実装行為は、第118条 第4項に示す審議手続に従って採択される。
第41条 実装及び執行
1. 構成国は、第40条を実装するため、セキュリティインシデントを解消するため、または、重大な脅威が発見された場合においてインシデントが発生することを防止するために要求される措置と関連する指示並びに実装期限に関する指示を含め、職務権限を有する機関が、公共電子通信ネットワークのプロバイダまたは公衆が利用可能な電子通信サービスのプロバイダに対して拘束力のある指示を発する権限をもつことを確保する。
2. 構成国は、職務権限を有する機関が、公共電子通信ネットワークのプロバイダまたは公衆が利用可能な電子通信サービスのプロバイダに対し、以下のことを要求する権限をもつことを確保する:
(a) 文書化されたセキュリティ基本方針を含め、それらのプロバイダのネットワーク及びサービスを評価するために必要な情報を提供すること;並びに、
(b) 適格な独立の組織または職務権限を有する機関によって実施されるセキュリティ監査を実施し、かつ、職務権限を有する機関に対し、その監査結果を利用できるようにすること;その監査の費用は、そのプロバイダから支払われるものとする。
3. 構成国は、職務権限を有する機関が、ネットワークまたはサービスのセキュリティに関する不遵守の場合及びその影響を調査するために必要となる全ての権限をもつことを確保する。
4. 構成国は、第40条を実装するため、職務権限を有する機関が、指令(EU) 2016/1148の別紙Iの第2号によるコンピュータセキュリティインシデント対応チーム(「CSIRT」)の職務の範囲内にある問題との関係において、同指令の第9条により指定される CSIRT の補助を得るための権限をもつことを確保する。
5. 職務権限を有する機関は、それが適切なときは、かつ、国内法に従い、国内法執行機関、指令(EU) 2016/1148の第8 条第1 項の意味における職務権限を有する機関、及び、国内データ保護機関と協議し、かつ、共働する。
1 欧州連合ネットワーク情報セキュリティ局に関する、及び、規則(EC) No 460/2004を廃止する欧州議会及び理事会の2013年5月21日の規則(EU) No 526/2013(OJ L 165, 18.6.2013, p.41)
« ENISA 「CSIRTとSOCをいかに構築するか - グッドプラクティスガイド」、「分野別CSIRTの能力 - エネルギー・航空輸送分野における現状と発展」を公表していますね。。。 | Main | Interpolによって調整されたFirst Light作戦2020により電話・インターネット詐欺犯を2万人以上を逮捕し、約160億円を押収したようですね。 »
Comments