欧州航空安全機関(EASA) 「情報セキュリティリスクの管理」に関する意見を発表
こんにちは、丸山満彦です。
欧州航空安全機関(European Union Aviation Safety Agency; EASA) [wikipedia]が「情報セキュリティリスクの管理」に関する意見を発表していますね。。。
● European Union Aviation Safety Agency
・2021.06.11 EASA publishes Opinion on “Management of information security risks”
| EASA publishes Opinion on “Management of information security risks” | EASA、"情報セキュリティ・リスクの管理 "に関する意見書を公表 |
| COLOGNE, June 11, 2021 – The European Union Aviation Safety Agency published an Opinion on Management of Information Security Risks, aimed at safeguarding the entire civil aviation system against potential safety effects caused by cyberattacks. | 2021年6月11日、コローニュ - 欧州航空安全機関は、サイバー攻撃による潜在的な安全性への影響から民間航空システム全体を守ることを目的とした「情報セキュリティリスクの管理」に関する意見書を発行しました。 |
| As information systems become more and more interconnected and are increasingly the target of malicious acts (whether directly or indirectly), the risks of such attacks, events and incidents in civil aviation are constantly increasing. The proposed new rules will make the aviation system more resilient to these information security events. | 情報システムの相互接続が進み、悪意のある行為(直接的、間接的を問わず)の標的となることが増える中、民間航空におけるこのような攻撃、イベント、インシデントのリスクは常に高まっています。提案されている新規則は、航空システムをこれらの情報セキュリティイベントに対してより耐性のあるものにします。 |
| “Such attacks typically target the weakest link in the chain,” said EASA Executive Director Patrick Ky. “We need to take a holistic view to guard against situations where one weak link can compromise the entire aviation system. This Opinion is an important milestone in mitigating these emerging and growing risks.” | EASA事務局長のパトリック・カイは、「このような攻撃は、通常、連鎖の中で最も弱いリンクを標的にしています。一つの弱いリンクが航空システム全体を危険にさらすような状況を防ぐためには、全体的な視点で考える必要があります。この意見書は、このような新たに発生し、拡大するリスクを軽減するための重要なマイルストーンです」と述べています。 |
| The Opinion defines ways to identify and manage information security risks which could affect communication technology systems and data used for civil aviation purposes, and so in turn have an impact on aviation safety. In particular, it proposes the introduction of an information security management system (ISMS) for the competent authorities - including EASA - and for organisations in all aviation domains and requires them to report incidents and vulnerabilities related to information security. | 本意見書は、民間航空の目的で使用される通信技術システムやデータに影響を与え、ひいては航空安全に影響を与える可能性のある情報セキュリティリスクを特定し、管理する方法を定義しています。特に、EASAを含む所轄官庁およびすべての航空分野の組織に対して、情報セキュリティ管理システム(ISMS)の導入を提案し、情報セキュリティに関連するインシデントや脆弱性の報告を求めています。 |
| This ISMS will complement the existing management systems which these organisations and authorities already have in place. | このISMSは、これらの組織や当局がすでに実施している既存の管理システムを補完するものです。 |
| In an indication of its breadth, the scope of organisations covered by the Opinion is listed out as follows: production and design organisations, air operators, maintenance organisations, continuing airworthiness management organisations (CAMOs), training organisations, aero-medical centres, operators of flight simulation training devices (FSTDs), air traffic management/air navigation services (ATM/ANS) providers, U-space service providers and single common information service providers, aerodrome operators and apron management service providers. | 意見の対象となる組織の範囲は、製造・設計組織、航空会社、整備組織、継続的耐空性管理組織(CAMO)、訓練組織、航空医療センター、飛行シミュレーション訓練装置(FSTD)の運営者、航空交通管理・航空航法サービス(ATM/ANS)提供者、U空間サービス提供者および単一の共通情報サービス提供者、飛行場運営者、エプロン管理サービス提供者となっており、その幅広さがうかがえます。 |
| The proposed provisions include high-level, performance-based requirements, and will be supported by acceptable means of compliance (AMC), guidance material (GM), and industry standards. | 提案されている規定には、性能ベースのハイレベルな要求事項が含まれており、許容可能な遵守手段(AMC)、ガイダンス資料(GM)、および業界標準によってサポートされます。 |
| The proposed measures should contribute to the creation of a seamless and consistent regulatory framework where the interfaces between security and safety are appropriately covered, and where special attention is paid to avoiding gaps, loopholes and duplications with other information security and cybersecurity requirements, such as those contained in Commission Implementing Regulation (EU) 2015/1998 and in the national requirements stemming from Directive (EU) 2016/1148 (NIS Directive). | 提案されている措置は、セキュリティと安全の間のインターフェースが適切にカバーされ、欧州委員会実施規則(EU)2015/1998や指令(EU)2016/1148(NIS指令)に由来する国内要件など、他の情報セキュリティおよびサイバーセキュリティ要件とのギャップ、抜け穴、重複を回避することに特別な注意が払われている、シームレスで一貫性のある規制の枠組みの構築に貢献するものです。 |
| The Opinion was developed in close coordination, consultation and discussion with the European Strategic Coordination Platform (ESCP). It will now enter the adoption process of the European Commission. | 本意見書は、欧州戦略調整プラットフォーム(ESCP)との緊密な連携、協議、議論を経て作成されました。今後、欧州委員会の採択プロセスに入ります。 |
・[PDF] Opinion No 03/2021 Management of information security risks
| EXECUTIVE SUMMARY | 要旨 |
| The objective of this Opinion is to efficiently contribute to the protection of the aviation system from information security risks, and to make it more resilient to information security events and incidents. To achieve this objective, this Opinion proposes the introduction of provisions for the identification and management of information security risks which could affect information and communication technology systems and data used for civil aviation purposes, detecting information security events, identifying those which are considered information security incidents, and responding to, and recovering from, those information security incidents to a level commensurate with their impact on aviation safety. | 本意見書の目的は、情報セキュリティ・リスクから航空システムを効率的に保護し、情報セキュリティ・イベントやインシデントへの耐性を高めることにあります。この目的を達成するために、本意見書は、民間航空目的に使用される情報通信技術システムおよびデータに影響を及ぼす可能性のある情報セキュリティリスクの特定および管理、情報セキュリティイベントの検出、情報セキュリティインシデントとみなされるものの特定、および航空安全への影響に見合ったレベルでの情報セキュリティインシデントへの対応と回復のための規定の導入を提案します。 |
| These provisions shall apply to competent authorities and organisations in all aviation domains (i.e. production and design organisations, air operators, maintenance organisations, continuing airworthiness management organisations (CAMOs), training organisations, aero-medical centres, operators of flight simulation training devices (FSTDs), air traffic management/air navigation services (ATM/ANS) providers, U-space service providers and single common information service providers, aerodrome operators and apron management service providers), shall include high-level, performance-based requirements, and shall be supported by acceptable means of compliance (AMC), guidance material (GM), and industry standards. | これらの規定は、すべての航空分野における所轄官庁および組織(すなわち、以下)に適用されるものとします。これらの規定は、すべての航空分野の主務官庁および組織(生産・設計機関、航空会社、整備機関、継続耐空性管理機関(CAMO)、訓練機関、航空医療センター、飛行シミュレーション訓練装置(FSTD)の運営者、航空交通管理・航空航法サービス(ATM/ANS)提供者、U空間サービス提供者および単一共通情報サービス提供者、飛行場運営者およびエプロン管理サービス提供者)に適用され、ハイレベルで性能ベースの要件を含み、許容可能な遵守手段(AMC)、ガイダンス資料(GM)および業界標準によってサポートされなければなりません。 |
| This Opinion proposes a new Implementing Regulation and a new Delegated Regulation (depending on the specific aviation domains covered) regarding information security management systems for organisations and competent authorities. | 本意見書は、組織と主務官庁の情報セキュリティ管理システムに関して、新しい実施規則と新しい委任規則(対象となる特定の航空分野に応じて)を提案します。 |
| In addition, this Opinion proposes amendments to Commission Regulations (EU) No 748/2012, No 1321/2014, 2017/373, 2015/340, No 139/2014, No 1178/2011, No 965/2012 and 2021/664, in order to introduce requirements to comply with the proposed new Implementing and Delegated Regulations described above, and to add the elements necessary for the competent authorities to perform their certification and oversight activities. | さらに、本意見書は、上述の提案された新たな実施規則および委任規則に準拠するための要件を導入し、主務官庁が認証および監視活動を行うために必要な要素を追加するために、委員会規則(EU)No 748/2012、No 1321/2014、2017/373、2015/340、No 139/2014、No 1178/2011、No 965/2012、2021/664の改正を提案します。 |
目次
| Table of contents | 目次 |
| 1. About this Opinion | 1. 本意見書について |
| 1.1. How this Opinion was developed | 1.1. 本意見書の作成経緯 |
| 1.2. The next steps | 1.2. 次のステップ |
| 2. In summary — why and what | 2. 要約 - なぜ、何を |
| 2.1. Why we need to amend the rules — issue/rationale | 2.1. なぜルールを改正する必要があるのか - 問題・理由 |
| 2.2. What we want to achieve — objectives | 2.2. 我々が達成したいこと - 目的 |
| 2.3. How we want to achieve it — overview of the proposals | 2.3. どのように達成したいのか - 提案の概要 |
| 2.4. What are the stakeholders’ views — outcome of the consultation | 2.4. ステークホルダーの皆様のご意見 - コンサルテーションの結果 |
| 2.5. What are the expected benefits and drawbacks of the proposal | 2.5. 提案に期待されるメリットとデメリットは何か |
| 2.5.1. The expected benefits | 2.5.1. 期待されるメリット |
| 2.5.2. The expected drawbacks | 2.5.2. 予想される欠点 |
| 2.6. How we monitor and evaluate the rules | 2.6. ルールをどのように監視・評価するか |
| 3. References | 3. 参考文献 |
| 3.1. Affected regulations | 3.1. 影響を受ける規則 |
| 3.2. Related decisions | 3.2. 関連する決定事項 |
| 3.3. Other reference documents | 3.3. その他の参考資料 |
| 4. Related document | 4. 関連文書 |
Comments