« SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03 | Main | 一般社団法人次世代基盤政策研究所(NFI) 災害時情報共有に向けた NFI からの 5 つの提言(案) »

2021.03.12

ENISA eIDAS規制の導入を促進するために電子的な識別とトラストサービスに関する技術ガイダンスと勧告を公表

こんにちは、丸山満彦です。

ENISAがeIDAS規制の導入を促進するために電子的な識別とトラストサービスに関する技術ガイダンスと勧告を公表していますね。。。

● ENISA

・2021.03.11 (press) Building Trust in the Digital Era: ENISA boosts the uptake of the eIDAS regulation

The European Union Agency for Cybersecurity issues technical guidance and recommendations on Electronic Identification and Trust Services helping Member States to implement the eIDAS regulation.

 

2021.03.11 Remote ID Proofing リモートIDプルーフィング
20210312-173350 This report provides an overview of the most common methods for identity proofing with some examples received by stakeholders, presents the current legal / regulatory landscape and supporting standards at the international and EU level and provides the status quo in the European Countries of their remote identity proofing laws, regulations and practices. It provides a practical approach to risk management on the basis of examples. The report also discusses the input received though questionnaires from different stakeholders which use, offer or evaluate identity proofing solutions. Finally, it presents a preliminary gap analysis on existing standards and regulations, stresses the need for a harmonised adoption and cross-recognition of remote identity proofing and provides a number of legal and technical recommendations. 本レポートでは、IDプルーフィングの最も一般的な方法の概要を、関係者から寄せられたいくつかの例とともに紹介し、国際およびEUレベルでの現在の法的/規制の状況およびサポートする基準を示し、欧州諸国におけるリモートIDプルーフィングの法律、規制、および慣行の現状を提供している。また、事例に基づいてリスク管理のための実践的なアプローチを提供している。また、IDプルーフソリューションを使用、提供、評価するさまざまな関係者からのアンケートで得られた意見についても考察している。最後に、既存の標準および規制に関する予備的なギャップ分析を行い、リモート ID プルーフィングの調和的な採用および相互承認の必要性を強調し、多くの法的および技術的な提言を行っている。
2021.03.11 Security Framework for Trust Service Providers トラストサービス事業者のためのセキュリティフレームワーク
20210312-173405 This document proposes a security framework to achieve compliance with Article 19 of the eIDAS Regulation. As illustrated below, this security framework includes specific guidelines for TSP on:
1) Risk management related to the security of the eIDAS trust services and based on ISO/IEC 27005 general approach;
2) Security incident management by using the appropriate measures to efficiently detect, measure the impact, respond, report, and recover from security incidents as part of the eIDAS Regulation;
3) Security measures recommended to TSPs from “technical” standards and best practices to treat the risks and contribute to the security incident management.
The level of security of these measures is to be selected by the TSP to be commensurate to the degree of risk bound to the context of the TSP (determined during the “context establishment”).
本文書は、eIDAS 規則の第 19 条への準拠を達成するためのセキュリティ・フレームワークを 提案する。以下に示すように、このセキュリティ・フレームワークには、TSP 向けに以下の具体的なガイドラインが含まれている。
1) ISO/IEC 27005の一般的なアプローチに基づく、eIDASトラストサービスのセキュリティに関するリスク管理
2) eIDAS規則の一環として、セキュリティ・インシデントを効率的に検出し、影響を測定し、対応し、報告し、回復するための適切な手段を用いたセキュリティ・インシデント管理
3) リスクを処理し、セキュリティ・インシデント管理に貢献するために、「技術的」標準およびベストプラクティスからTSPに推奨されるセキュリティ対策。
これらの対策のセキュリティ・レベルは、TSPのコンテキストに結びついたリスクの度合い(「コンテキストの確立」の際に決定される)に見合ったものをTSPが選択することになっている。
2021.03.11 Recommendations for Qualified Trust Service Providers based on Standards 標準に基づく適格トラストサービス事業者のための推奨事項
20210312-173418 This document provides recommendations to help qualified trust service providers and auditors understand the expected mapping between these requirements/obligations and reference numbers of standards, as well as practical recommendations for their usage. The document is structured in two main sections:
1) A section on “Requirements common to all QTSPs” that includes recommendations on the requirements common to all TSPs and on the additional requirements common to all QTSPs;
2) A section on “Requirements for provision of specific QTS”, to be used in addition to the above, that includes specific recommendations for the provision of the qualified trust services defined in eIDAS.
本文書は、適格トラストサービス事業者及び監査人が、これらの要件/義務と規格の参照番号との間で予想される対応関係を理解するための推奨事項、及びその使用に関する実際的な推奨事項を提供する。本文書は2つの主要セクションで構成されている。
1) すべてのTSPに共通する要件およびすべてのQTSPに共通する追加要件に関する推奨事項を含む「すべてのQTSPに共通する要件」のセクション。
2) 上記に加えて使用される「特定のQTSの提供に関する要件」のセクションでは、eIDASで定義された適格トラストサービスの提供に関する具体的な推奨事項が含まれている。
2021.03.11 Security Framework for Qualified Trust Service Providers 適格トラストサービス事業者のためのセキュリティフレームワーク
20210312-173440 This document proposes a security framework to achieve compliance with Article 19 of the eIDAS Regulation, to which both non-QTSP and QTSP are subject. Nevertheless, Article 19.1 states that the security measures “shall ensure that the level of security is commensurate to the degree of risk”. to achieve compliance with Article 19 (valid for both, QTSPs and non-QTSPs), this series of documents recommend that the level of security implemented by non-QTSP, expected to follow ‘best practices’ when operating with due diligence, is equivalent to the one of QTSP. For this reason, the security practices applied by QTSPs are also relevant to – and can also be followed by – non-QTSPs. 本文書は、非QTSPとQTSPの両方が対象となるeIDAS規則の第19条への準拠を達成するためのセキュリティフレームワークを提案している。第19条第1項は、セキュリティ対策が「リスクの程度に見合ったセキュリティレベルを確保しなければならない」としている。第19条(QTSP と QTSP 以外の両方に有効)の遵守を達成するために、本シリーズの文書では、デューデリジェンスを実施する際に「ベストプラクティス」に従うことが期待される QTSP以外の QTSP が実施するセキュリティレベルがQTSPと同等であることを推奨している。このため、QTSP が適用したセキュリティ慣行は、非QTSPにも関連しており、また、非QTSP が従うことも可能である。
2021.03.11 Conformity Assessment of Qualified Trust Service Providers 適格トラストサービス事業者の適合性評価
20210312-173453 This document provides an overview of the conformity assessment framework for QTSPs as set out in the eIDAS Regulation, i.e. aiming to confirm that the assessed QTSP/QTS fulfils its requirements. This report discusses the typical process flow and the methodology used to perform conformity assessments. For each phase of the assessment, guidance is provided to QTSPs for the purpose of preparing and undertaking the conformity assessment, as required by the eIDAS Regulation, in the best possible conditions. 本文書は、eIDAS規則で定められたQTSPのための適合性評価フレームワークの概要を提供する。本報告書は、適合性評価を実施するために使用される典型的なプロセスフロー及び方法論を論じている。評価の各段階では、eIDAS 規則で要求されているように、可能な限り最良の条件で適合性評価を準備し、実施することを目的として、QTSP にガイダンスが提供されている。

 

 

 

20210312-173350 REMOTE ID PROOFING リモートIDプルーフィング
Analysis of methods to carry out identity proofing remotely リモートでIDプルーフィングを行う方法の分析
1. INTRODUCTION 1. はじめに
2. IDENTITY PROOFING METHODS  2. IDプルーフィング方法 
2.1 IDENTITY PROOFING PROCESS  2.1 ID プルーフィングプロセス 
2.2 GENERAL METHODS DESCRIPTION  2.2 一般的な方法の説明 
2.3 CURRENT PRACTICE  2.3 現在の実践 
3. LEGAL LANDSCAPE & STANDARDS  3. 法的状況および標準
3.1 OVERVIEW  3.1 概説 
3.2 LEGISLATION AT THE INTERNATIONAL AND EU LEVEL  3.2 国際的およびEUレベルでの法規制 
3.3 STANDARDIZATION AT THE INTERNATIONAL AND EU LEVEL  3.3 国際的及びEUレベルでの標準化 
3.4 NATIONAL LEVEL LAWS, REGULATIONS AND GUIDELINES  3.4 国レベルの法律、規制およびガイドライン 
3.5 DATA PROTECTION  3.5 データ保護 
3.6 SELF-SOVEREIGN SYSTEMS  3.6 セルフソブリン・システム 
4. RISK MANAGEMENT  4. リスクマネジメント 
4.1 INTRODUCTION  4.1 導入 
4.2 RISK IDENTIFICATION  4.2 リスクの特定 
4.3 RISK BASED SECURITY  4.3 リスクベースのセキュリティ 
5. GAPS AND RECOMMENDATIONS  5. ギャップと提言 
5.1 OVERVIEW  5.1 概説 
5.2 IDENTIFIED GAPS  5.2 特定されたギャップ 
5.3 RECOMMENDATIONS  5.3 推奨事項 
6. BIBLIOGRAPHY/REFERENCES  6. 書誌・参考文献 
A ANNEX: DETAILED SITUATION IN DIFFERENT EU MEMBER STATES  附属書A: EU各加盟国の詳細な状況 
B ANNEX: THREATS AND VULNERABILITIES  附属書B: 脅威と脆弱性 
C ANNEX: SECURITY CONTROLS  附属書C: セキュリティ管理 
     
20210312-173405 SECURITY FRAMEWORK FOR TRUST SERVICE PROVIDERS トラストサービス事業者のためのセキュリティフレームワーク
Technical guidelines on trust services トラストサービスに関する技術ガイドライン
1. INTRODUCTION 1. 序論
1.1 THE ROLE OF ENISA 1.1 ENISAの役割
1.2 BACKGROUND ON EIDAS TRUST SERVICE PROVISIONING 1.2 eIDASトラストサービス提供の背景
1.3 TARGET AUDIENCE  1.3 想定読者 
1.4 PURPOSE AND STRUCTURE OF THIS DOCUMENT  1.4 本文書の目的と構成 
1.5 DISCLAIMER  1.5 免責条項 
2. RISK MANAGEMENT  2. リスクマネジメント 
2.1 PREREQUISITES  2.1 前提条件 
2.2 RISK ASSESSMENT  2.2 リスクアセスメント 
2.3 RISK TREATMENT  2.3 リスク対応
2.4 RISK MANAGEMENT MAINTENANCE  2.4 リスクマネジメントの維持 
3. SECURITY INCIDENT MANAGEMENT  3. セキュリティインシデント管理 
3.1 DETECT INCIDENT  3.1 インシデントの検知 
3.2 MEASURE INCIDENT IMPACT  3.2 インシデントの影響の測定 
3.3 RESPOND AND REPORT INCIDENT  3.3 インシデントへの対応と報告 
3.4 RECOVER FROM THE INCIDENT  3.4 インシデントからの回復 
4. TRUST SERVICES SECURITY MEASURES  4. トラストサービスのセキュリティ対策 
4.1 GENERAL SECURITY MEASURES FOR ALL TSPS  4.1 すべての TSP に対する一般的なセキュリティ対策 
4.2 SECURITY MEASURES FOR PROVISION OF SPECIFIC TRUST SERVICES  4.2 特定のトラストサービスの提供のためのセキュリティ対策 
5. REFERENCES  5. 参考文献 
5.1 ENISA PUBLICATIONS  5.1 ENISAの出版物 
5.2 APPLICABLE LEGISLATION / REGULATION  5.2 適用される法律/規制 
5.3 STANDARDS AND OTHERS  5.3 規格等
A ANNEX: PRACTICAL EXAMPLES FOR TS ISSUING CERTIFICATES  附属書A: 証明書を発行するトラストサービスの実用例 
A.1 EXAMPLES OF ASSETS  A.1 資産の例 
A.2 EXAMPLES OF THREATS  A.2 脅威の例 
A.3 EXAMPLES OF VULNERABILITIES  A.3 脆弱性の例 
A.4 EXAMPLES OF INCIDENT SCENARIOS  A.4 事故シナリオの例 
A.5 EXAMPLES OF CONSEQUENCES  A.5 結果の例 
A.6 EXAMPLES OF SECURITY INCIDENT DETECTION  A.6 セキュリティインシデントの検知の例 
A.7 EXAMPLES OF INCIDENT SCENARIO RESPONSE  A.7 インシデントシナリオ対応の例 
     
20210312-173418 RECOMMENDATIONS FOR QTSPS BASED ON STANDARDS 標準に基づく適格トラストサービス事業者のための推奨事項
Technical guidelines on trust services トラストサービスに関する技術ガイドライン
1. INTRODUCTION  1. 序論 
1.1 THE ROLE OF ENISA  1.1 ENISAの役割 
1.2 BACKGROUND ON TRUST SERVICES PROVISIONING  1.2 トラストサービス・プロビジョニングの背景 
1.3 TARGET AUDIENCE  1.3 想定読者 
1.4 PURPOSE AND STRUCTURE OF THIS DOCUMENT  1.4 本文書の目的と構成 
1.5 DISCLAIMER  1.5 免責事項
2. REQUIREMENTS COMMON TO ALL QTSPS  2. すべてのQTSPに共通する要件 
2.1 ARTICLE 5 (DATA PROTECTION)  2.1 第5条 (データ保護) 
2.2 ARTICLE 13.2 (LIABILITY AND BURDEN OF PROOF)  2.2 第13.2条(責任および立証責任)
2.3 ARTICLE 15 (ACCESSIBILITY FOR PERSONS WITH DISABILITIES)  2.3 第15条(障がい者のためのアクセシビリティ) 
2.4 ARTICLES 19.1 AND 19.2 (SECURITY REQUIREMENTS)  2.4 第19.1条および第19.2条(セキュリティ要件)
2.5 ARTICLES 20 AND 21 (SUPERVISION AND INITIATION)  2.5 第20条及び第21条(監督及び開始)
2.6 ARTICLE 23 (EU TRUST MARK)  2.6 第23条(EUトラストマーク)
2.7 ARTICLE 24.2 (REQUIREMENTS FOR QTSP)  2.7 第24.2条(QTSPの要件)
3. REQUIREMENTS FOR PROVISION OF SPECIFIC QTS  3. 特定のQTの提供に関する要求事項 
3.1 REQUIREMENTS FOR QTSP ISSUING QUALIFIED CERTIFICATES  3.1 適格な証明書を発行するQTPの要求事項 
3.2 REQUIREMENTS FOR QTSP PROVIDING QUALIFIED VALIDATION SERVICES FOR QESIG/QESEAL  3.2 QESig/QESeal のための適格な検証サービスを提供するQTSPの要求事項 
3.3 REQUIREMENTS FOR QTSP PROVIDING QUALIFIED PRESERVATION SERVICE FOR QESIG/QESEAL  3.3 QTSPがQESig/QESealのために適格な保存サービスを提供するための要求事項 
3.4 REQUIREMENTS FOR QTSP ISSUING QUALIFIED ELECTRONIC TIME STAMPS  3.4 QTSPが適格な電子タイムスタンプを発行するための要求事項 
3.5 REQUIREMENTS FOR QTSP PROVIDING QUALIFIED ELECTRONIC REGISTERED DELIVERY SERVICES  3.5 QTSPが適格な電子登録配送サービスを提供するための要件 
3.6 REQUIREMENTS FOR QTSP PROVIDING REMOTE QSCD SERVICES  3.6 QTSPがリモートQSCDサービスを提供するための要求事項 
4. REFERENCES  4. 参考文献 
4.1 ENISA PUBLICATIONS  4.1 ENISAの出版物 
4.2 APPLICABLE LEGISLATION  4.2 適用される法令 
4.3 STANDARDS AND OTHERS  4.3 規格等
     
20210312-173440 SECURITY FRAMEWORK FOR QUALIFIED TRUST SERVICE PROVIDERS 適格トラストサービス事業者の適合性評価
Technical guidelines for conformity assessment of qualified trust service providers 適格トラストサービス事業者の適合性評価のための技術ガイドライン
1. INTRODUCTION  1. 序論 
1.1 THE ROLE OF ENISA  1.1 ENISAの役割 
1.2 BACKGROUND ON QUALIFIED TRUST SERVICE PROVISIONING  1.2 適格トラストサービスの提供に関する背景 
1.3 TARGET AUDIENCE  1.3 想定読者 
1.4 PURPOSE AND STRUCTURE OF THIS DOCUMENT  1.4 本文書の目的と構成 
1.5 DISCLAIMER  1.5 免責事項
2. RISK MANAGEMENT  2. リスク管理 
2.1 RECOMMENDATIONS FOR QTSPS  2.1 QTSPSに関する推奨事項 
3. SECURITY INCIDENT MANAGEMENT  3. セキュリティ・インシデント管理 
3.1 RECOMMENDATIONS FOR QTS  3.1 QTSへの推奨事項 
4. QUALIFIED TRUST SERVICES SECURITY MEASURES  4. 適格トラストサービスのセキュリティ対策 
4.1 SECURITY MEASURES FOR ALL QTSPS  4.1 すべてのQTに対するセキュリティ対策 
4.2 SECURITY MEASURES FOR PROVISION OF SPECIFIC QTS  4.2 特定の QT の提供に関するセキュリティ対策 
5. REFERENCES  5. 参考文献 
5.1 ENISA PUBLICATIONS  5.1 ENISAの出版物 
5.2 APPLICABLE LEGISLATION / REGULATION  5.2 適用される法律/規制 
5.3 STANDARDS AND OTHERS  5.3 規格等
     
20210312-173453 CONFORMITY ASSESSMENT OF QTPS QTPSの適合性評価
Technical guidelines for conformity assessment of qualified trust service providers 適格な信託サービスプロバイダーの適合性評価のための技術ガイドライン
1. INTRODUCTION 1. 序論
1.1 THE EIDAS CONFORMITY ASSESSMENT FRAMEWORK 1.1 eIDAS適合性評価の枠組み
1.1.1 eIDAS requirements for conformity assessments of QTSPs 1.1.1 QTSPの適合性評価に関するeIDASの要求事項
1.1.2 The eIDAS conformity assessment framework 1.1.2 eIDAS適合性評価フレームワーク
1.2 PURPOSE AND STRUCTURE OF THIS DOCUMENT 1.2 本文書の目的と構成
1.3 TARGET AUDIENCE 1.3 想定読者
2. TYPICAL CONFORMITY ASSESSMENT PROCESS FLOW 2. 典型的な適合性評価プロセスフロー
2.1 OVERVIEW 2.1 概観
2.2 PREPARATION OF THE ASSESSMENT 2.2 アセスメントの準備
2.3 CONDUCTION OF THE ASSESSMENT 2.3 アセスメントの実施
2.4 CERTIFICATION 2.4 認証
2.5 SURVEILLANCE AND RE-ASSESSMENT 2.5 サーベイランスおよび再評価
3. DIALOGUE WITH SUPERVISORY BODY 3. 監督機関との対話
4. PREPARATION TO ASSESSMENT 4. 評価の準備
4.1 TARGET OF ASSESSMENT 4.1 評価の対象
4.2 DOCUMENTATION 4.2 ドキュメント
4.3 SELECTION OF CAB 4.3 キャブの選択
4.4 ORGANISATIONAL ASPECTS 4.4 組織的側面
5. CONDUCTION OF THE ASSESSMENT 5. 評価の実施
5.1 STAGE 1 5.1 ステージ1
5.2 STAGE 2 5.2 ステージ2
5.3 ASSESSMENT REPORT 5.3 アセスメント報告書
5.4 NON-CONFORMITIES AND RECOMMENDATIONS FOR IMPROVEMENT 5.4 不適合事項および改善のための推奨事項

|

« SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03 | Main | 一般社団法人次世代基盤政策研究所(NFI) 災害時情報共有に向けた NFI からの 5 つの提言(案) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03 | Main | 一般社団法人次世代基盤政策研究所(NFI) 災害時情報共有に向けた NFI からの 5 つの提言(案) »