ENISA サイバーセキュリティ認証市場調査についての報告書

こんにちは、丸山満彦です。

ENISAがサイバーセキュリティ認証市場調査についての報告書を公開していますね。。。市場分析結果ではなく、方法論の提案です。。。

・目的は、EUのサイバーセキュリティ認証の枠組みや、欧州委員会、欧州サイバーセキュリティ認証グループ (ECCG) 、利害関係者のサイバーセキュリティ認証グループ (SCCG) の計画活動に貢献すること

・そのために、サイバーセキュリティ認証の将来的な分野を特定する

・そのために、ICTの製品、サービス、プロセスについてのサイバーセキュリティ認証に関する市場分析に向けて、初期の方法論的ステップを提案する

ということのようですね。。。

これはある意味興味深いです。。。こういう分析をしてから、監査制度とか、ISMS制度とかを検討するのがよかったのでしょうね。。。と思いました。。。

もちろん、方法論が良くても、それを進めるために必要なデータ等が集まるのか？という話はありますが、問題を切り分けられるということで前には進みますよね。。。

● ENISA

・2021.04.09  Cybersecurity Certification Market Study

・[PDF] Cybersecurity Certification Market Study - Towards a research and analysis methodology

 

EXECUTIVE SUMMARY	要旨
Drawing up EU cybersecurity certification schemes aims at providing harmonised criteria to carry out conformity assessments to demonstrate the degree of adherence of ICT products, ICT services or ICT processes against specific predefined cybersecurity requirements. From an economic perspective, these evaluations might subsequently also address imbalances in the market that could lead to suboptimal outcomes. Cybersecurity certification also touches upon socio-economic aspects such as user trust and market responsibility of the owner of the certificate. Further to that it also touches upon the need to provide a reasonable level of cybersecurity for a ‘duty of care’ throughout the ICT product, ICT service or ICT process lifecycle and the prevention of costs of a cybersecurity failure and subsequent loss of market reputation. Therefore, the drivers for cybersecurity certification in the EU go beyond cybersecurity requirements.	EUのサイバーセキュリティ認証制度の策定は、ICT製品、ICTサービス、またはICTプロセスが、特定の定義済みサイバーセキュリティ要件にどの程度準拠しているかを示す適合性評価を実施するための調和された基準を提供することを目的としています。経済的な観点から、これらの評価制度は、最適解にならない可能性のある市場の不均衡に対処することにもなります。サイバーセキュリティ認証は、ユーザの信頼や認証制度の責任者の市場への責任など、社会経済的な側面にも関係してきます。さらに、ICT 製品、ICT サービス、または ICT プロセスのライフサイクル全体を通じた「注意義務」のために合理的なレベルのサイバーセキュリティを提供する必要性や、サイバーセキュリティの失敗によるコストやその後の市場評判の低下を防ぐ必要性にも触れています。したがって、EUにおけるサイバーセキュリティ認証の推進力は、サイバーセキュリティの要件を超えている。
This study proposes a set of initial methodological steps to work towards a market analysis on cybersecurity certification of ICT products, ICT services and ICT processes. The performance of a market analysis on cybersecurity certification aims to contribute to the EU cybersecurity certification framework and the planning activities of the European Commission, the ECCG and the SCCG by identifying future areas for cybersecurity certification.	本研究は、ICT製品、ICTサービス、ICTプロセスのサイバーセキュリティ認証に関する市場分析に向けて、一連の初期の方法論的ステップを提案します。サイバーセキュリティ認証に関する市場分析の実施は、サイバーセキュリティ認証の将来的な分野を特定することで、EUのサイバーセキュリティ認証の枠組みや、欧州委員会、ECCG、SCCGの計画活動に貢献することを目的としています。
The proposed steps described in this study are divided into four main sections and cover:	本研究で述べられている提案されたステップは、4つの主要セクションに分かれており、以下の内容をカバーしています。
i) the identification of the context of the market analysis,	i) 市場分析の文脈の特定
ii) the scope of the target of analysis,	ii) 分析対象の範囲
iii) assessing the impact of a cybersecurity certification initiative and	iii) サイバーセキュリティ認証イニシアチブの影響の評価
iv) the identification of the available options and possible initiatives.	iv) 利用可能なオプションと可能なイニシアチブの特定
The goal is to be able to identify certification needs or ‘gaps’ in the market without relying solely on input of stakeholders, but rather to provide evidence both from the supply and demand sides while factoring societal and economic aspects.	目標は、利害関係者の意見だけに頼ることなく、市場における認証のニーズや「ギャップ」を特定できるようにすることであり、むしろ、社会的・経済的側面を考慮しながら、供給側と需要側の両方から証拠を提供することです。
This first attempt on proposing such a methodology is expected to evolve and to be further developed and improved after the publication of the Union Rolling Work Programme by the European Commission. It is expected that a more mature market analysis methodology will be able to generate information that feeds the identification of the strategic priorities set by the European Commission, the ECCG and the SCCG. The methodology also aims to provide valuable input to the preparations of candidate cybersecurity certification schemes.	このような方法論を提案する最初の試みは、欧州委員会によるUnion Rolling Work Programmeの発表後に発展し、さらに開発・改良されることが期待されている。より成熟した市場分析手法は、欧州委員会、ECCG、SCCGが設定した戦略的優先事項の特定に役立つ情報を生み出すことができると期待されています。また、この方法論は、サイバーセキュリティ認証制度の候補の準備に貴重な情報を提供することも目的としています。

 

目次です。

1. INTRODUCTION	1. 序論
1.1 SCOPE - OBJECTIVES	1.1 範囲と目的
1.2 STRUCTURE OF THE DOCUMENT	1.2 文書の構成
2. CONSIDERATIONS PRIOR TO THE ANALYSIS	2. 分析に先立つ検討事項
2.1 SCOPING AND SEGMENTATIONS OF THE CYBERSECURITY MARKET	2.1 サイバーセキュリティ市場の調査とセグメント化
2.2 DEVELOPING RESEARCH QUESTIONS	2.2 調査質問の作成
3. PROPOSED WORKFLOW	3. 作業案
4. PROPOSED METHODOLOGICAL STEPS	4. 方法論的ステップ案
4.1 STEP 1: DETERMINE THE CONTEXT AND THE SCOPE OF THE TOA	4.1 ステップ1：文脈とTOAの範囲の決定
4.2 STEP 2: PRELIMINARY ASSESSMENT OF THE IMPACT OF A CERTIFICATIO INITIATIVE	4.2 ステップ2：認証イニシアティブの影響の予備評価
4.3 STEP 3: IDENTIFY AVAILABLE OPTIONS	4.3 ステップ3：利用可能なオプションの特定
4.4 STEP 4: COMPARE THE IMPACT OF POSSIBLE OPTIONS	4.4 ステップ4：可能な選択肢の影響の比較
4.5 STEP 5: SELECT THE OPTIMAL OPTION	4.5 ステップ5：最適なオプションの選択
5. CONCLUSIONS AND NEXT STEPS	5. 結論と次のステップ
A ANNEX: HOW TO ASSESS THE COSTS AND BENEFI OF A CERTIFICATION INITIATIVE	附属書A：認証イニシアティブのコストとベネフィットの評価方法
B ANNEX: CHECKLIST OF POTENTIAL ACTIVITIES PERTYPE OF COST OF A CERTIFICATION INITIATIVE	附属書B：認証イニシアティブのコストタイプごとの潜在的活動のチェックリスト
C ANNEX: LIST OF VARIOUS METHODS TO GATHER INFORMATION ON COSTS AND BENEFITS	附属書C：コストと便益に関する情報を収集するための様々な方法のリスト
D ANNEX: POTENTIAL DATA SOURCES	附属書D：潜在的なデータソース

 

 

---

■ 参考

● 欧州委員会 (European Commission)

・2021.03.26 The Cybersecurity Certification Group (ECCG)

・2021.03.26 The EU Cybersecurity Act

・2020.12.16 Revised Directive on Security of Network and Information Systems (NIS2)

・2020.06.24 Stakeholder Cybersecurity Certification Group (SCCG)

サイバーセキュリティ法の条文は,,,

● 欧州連合官報 (Official Journal of the European Union)

・209.04.17  ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act)

[html][pdf]

 

●まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂（NIS2指令）提案 at 2020.12.16