« 欧州検査院 特別報告書 EUに影響を与える偽情報:対処しても対処しきれない | Main | 欧州委員会 個人データの域外移転のための標準契約約款 (SCC) »

2021.06.04

ENISA エネルギー・ヘルスケア分野のPSIRTの専門知識と能力開発

こんにちは、丸山満彦です。

ENISAから、エネルギー・ヘルスケア分野のPSIRTの専門知識と能力開発に関する報告書が公表されていますね。。。

● ENISA

・2021.06.03 (press) New Light Shed on Capabilities in Energy & Healthcare

A new report released today by the EU Agency for Cybersecurity (ENISA) showcases the product vulnerability management landscape, unveiling challenges faced by sectoral CSIRTs and PSIRTs.

・2021.06.03 PSIRT Expertise and Capabilities Development

This study focuses on the Sectoral CSIRT and PSIRT capabilities status and development within the Energy and Health sectors as specified within the NIS directive. A desk research has been conducted, followed by a survey which was answered by 7 PSIRTs and 22 CSIRTs dispatched in 18 EU Member States. The relatively low number of PSIRTs, especially with a scope limited to the Energy and Health sectors, led us to include more CSIRTs, and more sectors in the study. The findings and recommendations still apply to the Energy and Health sectors, but also offer a wider view of the products vulnerability management landscape. As a result, 12 key findings were identified, and 9 recommendations are proposed. 本研究は、NIS 指令で規定されているエネルギー、ヘルスケア分野におけるセクター別 CSIRT および PSIRT の能力の現状と発展に焦点を当てています。机上調査を行った後、アンケートを実施し、EU 加盟国 18 カ国の 7 つの PSIRT と 22 の CSIRT から回答を得ました。PSIRTの数が比較的少なかったため、特にエネルギーと健康の分野に限定して調査を行った結果、より多くのCSIRT、より多くの分野を調査対象とすることになりました。調査結果と提言は、依然としてエネルギーと健康の分野に適用されていますが、製品の脆弱性管理の状況をより広く捉えています。その結果、12の重要な発見があり、9つの提言が提案されました。

 

・[PDF] PSIRT Expertise and Capabilities Development

20210604-151314

EXECUTIVE SUMMARY 要旨
This study focuses on the Sectoral Computer Security Incident Response Team (CSIRT) and Product Security Incident Response Team (PSIRT) capabilities status and development within the energy and healthcare sectors as specified within the NIS directive. This report follows the December 2020 publication of Sectoral CSIRT Capabilities - Status and Development in the Energy and the Air Transport sectors. 本調査は、NIS指令により指定されているエネルギーよヘルスケアセクター内のセクター別コンピュータセキュリティインシデント対応チーム(CSIRT)および製品セキュリティインシデント対応チーム(PSIRT)の能力の現状と開発に焦点を当てています。本報告書は、2020年12月に発行された「エネルギーおよび航空輸送セクターにおけるセクター別CSIRT能力-ステータスと開発」に続くものです。
Desk research has been conducted, followed by a survey which was answered by 7 PSIRTs and 22 CSIRTs from 19 EU Member States. The relatively low number of PSIRTs, especially of those with a scope limited to the energy and healthcare sectors, led us to include more CSIRTs and more sectors in the study. The findings and recommendations still apply to the energy and healthcare sectors, but also offer a wider view of the product vulnerability management landscape. 机上調査を行った後、アンケート調査を行い、EU加盟国19カ国の7つのPSIRTと22のCSIRTから回答を得ました。PSIRTの数が比較的少なく、特にエネルギーとヘルスケア分野に限定された範囲のものが多かったため、より多くのCSIRTとより多くの分野を調査対象としました。調査結果と提言は、依然としてエネルギーとヘルスケア分野に適用されていますが、製品の脆弱性管理の状況をより広い視点で捉えています。
As a result, 12 key findings were identified, and 9 recommendations have been proposed. その結果、12の重要な発見事項があり、9つの提言が提案されました。
One of the main findings is the lack of visibility of PSIRTs: from an external point of view, it is not always clear what their activities are and who to contact. Even from an internal point of view, the PSIRTs are not sufficiently identified in their role. This report offers recommendations in terms of standardised presentation and increased visibility to improve this issue. 1つ目の発見事項は、PSIRTの認知度の低さです。外部から見た場合、PSIRTの活動内容や連絡先は必ずしも明確ではありません。内部から見ても、PSIRTはその役割を十分に認識されていません。本報告書では、この問題を改善するために、標準化された表示と可視性の向上という観点から提言を行っています。
The second main finding is the current difficulties for different stakeholders of the vulnerability ecosystem (PSIRTs, CSIRTs, national/sectoral CSIRTs, end clients, Operators of Essential Services (OES)) in communicating and collaborating efficiently with each other in order to improve product cybersecurity as a whole. The associated recommendations revolve around technical standards to improve interoperability and automation, and processes to streamline the exchange of sensitive information, especially with OES which would greatly benefit from early notification in the case of vulnerability disclosure. 2つ目の発見事項は、脆弱性エコシステムの様々な関係者(PSIRT、CSIRT、国/セクターのCSIRT、エンドクライアント、基幹サービス事業者(OES))が、製品のサイバーセキュリティ全体を向上させるために、相互にコミュニケーションを取り、効率的に協力することが現在困難であるということです。関連する推奨事項は、相互運用性と自動化を向上させるための技術標準、および機密情報の交換を合理化するためのプロセス、特に脆弱性が開示された場合に早期に通知を受けることで大きな利益を得ることができるOESとの間のプロセスを中心としています。
As to the role of ENISA, the respondents to the survey expect the Agency to provide them with guidelines, general security recommendations and, at a more global level, a high-level cooperation framework intended to help develop best practices and improve exchanges among PSIRTs and other incident response (IR) teams within the European Union (EU). NIS 2 should bring improvements in this area, as some of these expectations have already been outlined in the NIS 2 proposal, for instance regarding a vulnerability registry for OES and their suppliers, and regarding the important role of CSIRTs in global coordination. ENISAの役割については、回答者はENISAがガイドラインや一般的なセキュリティ勧告を提供することを期待しており、よりグローバルなレベルでは、欧州連合(EU)内のPSIRTやその他のインシデント対応(IR)チームの間でベストプラクティスを開発し、交流を深めることを目的としたハイレベルな協力フレームワークを提供することを期待しているようです。例えば、OESとそのサプライヤーの脆弱性登録や、グローバルな調整におけるCSIRTの重要な役割など、これらの期待の一部はすでにNIS 2の提案で説明されているため、NIS 2はこの分野での改善をもたらすはずです。
KEY FINDINGS 主な発見
The research highlighted the following 12 key findings: 今回の調査では、以下の12の重要な発見がありました。
ORGANISATION, PROCESSES & TOOLS 組織、プロセス、ツール
#1 Outside their IR Processes, PSIRTs’ activities and their involvement in product lifecycle is heterogeneous. #1 IRプロセス以外のPSIRTの活動と製品ライフサイクルへの関与が異なる。
#2 The adoption of third-party vulnerability management platforms is uncommon. Those who use one do so because it is easier to manage and improves visibility. #2 サードパーティの脆弱性管理プラットフォームをあまり採用していない。サードパーティ製の脆弱性管理プラットフォームを採用している企業は、管理が容易で可視性が向上するために採用しているようだ。
#3 Measuring the efficiency of a PSIRT proves to be challenging, as most PSIRTs essentially track efficiency with the number of vulnerabilities reported and mitigated. #3 ほとんどのPSIRTでは、報告された脆弱性の数と緩和された数で効率性を把握しているため、PSIRTの効率性を測定することは難しいようである。
#4 PSIRT members have both technical skills in product security areas and soft skills which enable smoother exchanges and cooperation between all the stakeholders. #4 PSIRT のメンバーは、製品のセキュリティ分野における技術的なスキルと、すべての関係者の間でよりスムーズな交流と協力を可能にするソフトスキルの両方を持っている。
COLLABORATION 協力関係
#5 PSIRTs do not have specific procedures to address vulnerabilities affecting OES and the NIS directive does not seem to have impacted PSIRT activities much. #5 PSIRT は OES に影響を与える脆弱性に対処するための具体的な手順を持っておらず、NIS 指令は PSIRT の活動にあまり影響を与えていないように見える。
#6 PSIRTs collaborate one with each other, but their collaboration is hindered by the lack of formalised communication and information exchange procedures/standards/framework. #6 PSIRT はお互いに協力し合っているが、正式なコミュニケーションや情報交換の手順・基準・枠組みがないため、その協力関係はスムーズにいっていない。
#7 Collaboration between PSIRTs and external CSIRTs (sectoral/national) is underdeveloped because of difficulties in establishing contact and sharing sensitive information even though CSIRTs are demanding more regular contact. #7 PSIRT と外部 CSIRT(セクター/国家)との連携は、CSIRT がより定期的なコンタクトを要求しているにもかかわらず、コンタクトの確立と機密情報の共有が困難なため、未発達である。
#8 EU companies that run a PSIRT almost always have a CSIRT, but these are mostly distinct in terms of budget, team members and scope. The collaboration between both entities seems to be strong and efficient when needed. #8 EU の企業で PSIRT を運営しているところはほぼ必ず CSIRT を持っているが、予算、チームメンバー、範囲などの点で異なる状況である。両者の連携は強固で、必要に応じて効率的に行われているようだ。
DEVELOPMENT & VISIBILITY 開発と認知度
#9 PSIRTs are more common in the industry and digital sectors than in the healthcare and energy sectors. #9 PSIRT は、ヘルスケアやエネルギー分野よりも、産業やデジタル分野でより一般的である。
#10 The presentation of PSIRTs’ service offering and activities is not standardised. This is a source of difficulty for reporting vulnerabilities as no standard document references who should be addressed, what evidence should be provided, or what communication tools should be used. #10 PSIRT のサービス提供と活動のプレゼンテーションは標準化されていない。このことは、誰に対処すべきか、どのような証拠を提供すべきか、どのようなコミュニケーションツールを使用すべきかを参照する標準的な文書がないため、脆弱性の報告を困難にする原因となっている。
#11 As PSIRTs emerge, their visibility remains low outside their company. Some of them even lack visibility from internal stakeholders. #11 PSIRT が出現しても、その社外での認知度は低いままである。中には社内のステークホルダーからの認知度が低いものもある。
#12 Most PSIRTs did not ask or look for specific support or guidance from external stakeholders to design and implement their team although they agree on the necessity that ENISA/EU develop best practices, standards, and harmonised certifications. #12 ほとんどの PSIRT は ENISA/EU がベストプラクティス、標準、調和のとれた認証を開発する必要性に同意しているものの、チームを設計・実施するために外部のステークホルダーから特定のサポートやガイダンスを求めたり、探したりしなかった。
RECOMMENDATIONS 推奨事項
The research highlighted the following 9 recommendations, along with the targeted population: 今回の調査では、以下の9つの提言が、対象となる人々とともに強調された。
ORGANISATION, PROCESSES & TOOLS 組織、プロセス、ツール
#1 Security teams | PSIRT #1 Security teams | PSIRT
The adoption of an agile approach by product teams could be an opportunity for PSIRTs and security teams to tackle security issues, whether by introducing new tools in the DevOps pipelines or more globally by providing an internal catalogue of product security related services. 製品チームがアジャイルアプローチを採用することは、PSIRTとセキュリティチームがセキュリティ問題に取り組む機会となり得る。それは、DevOpsパイプラインに新しいツールを導入することでも、よりグローバルに製品のセキュリティ関連サービスの内部カタログを提供することでもよい。
#2  PSIRT #2  PSIRT
PSIRTs should strive to build a multidisciplinary team composed of application and software development experts with security training, and security experts with application and software development training. The members of a PSIRT should have a good technical understanding of the security and applicative issues at hand but also good soft skills to communicate effectively with all stakeholders, whether internally or externally, and ensure smooth IR processing. PSIRT は、セキュリティのトレーニングを受けたアプリケーションやソフトウェア開発の専門家と、アプリケーションやソフトウェア開発のトレーニングを受けたセキュリティの専門家で構成される学際的なチームを構築するよう努めるべきである。PSIRT のメンバーは、目の前のセキュリティとアプリケーションの問題を十分に技術的に理解しているだけでなく、社内外を問わずすべての関係者と効果的にコミュニケーションをとり、円滑な IR 処理を実現するための優れたソフトスキルを備えている必要がある。
COLLABORATION 協力体制
#3  CSIRT | PSIRT #3  CSIRT | PSIRT
To facilitate the sharing of disclosed vulnerability information among IR teams, and considering the ever-increasing volume of vulnerabilities, a machine-readable standard should be promoted to automate this process. These exchanges should rely on a secure communication channel. 開示された脆弱性情報をIRチーム間で共有することを容易にするために、また、脆弱性の量が増え続けていることを考慮して、このプロセスを自動化するための機械読み取り可能な標準規格を推進すべきである。これらの交換は、安全な通信チャネルに依存すべきである。
#4 OES | PSIRT #4 OES | PSIRT
There needs to be a stronger link between OES and PSIRTs in terms of information exchange quality, fluidity, and transparency. On the matter that PSIRTs may not know whether their products are used by OES, it could be more efficient to build and implement a legal and technical framework that would allow OES to receive vulnerability information from vendor PSIRTs, possibly in advance of their official disclosure, to mitigate their impact. 情報交換の質、流動性、透明性の観点から、OES と PSIRT の間にはより強い連携が必要である。PSIRT は自社の製品が OES で使用されているかどうかを知らない可能性があるため、OES がベンダーの PSIRT から脆弱性情報を受け取ることができるような法的・技術的枠組みを構築・実施することで、その影響を軽減することができる。
#5  ENISA | PSIRT #5  ENISA | PSIRT
To foster links between PSIRTs and develop the overarching community, regular events dedicated to PSIRTs could be developed either through a centralised initiative, or at the initiative of a small group of PSIRTs, at the national or the EU level. Such events could also be encouraged worldwide to develop a wider community and to account for increasingly global information security issues. PSIRT 間の連携を促進し、包括的なコミュニティを発展させるために、PSIRT に特化した定期的なイベントを、中央のイニシアティブ、または国や EU レベルの PSIRT の小グループのイニシアティブで展開することができる。このようなイベントは、より広範なコミュニティを発展させ、ますますグローバル化する情報セキュリティ問題に対応するために、世界中で奨励されるべきである。
DEVELOPMENT & VISIBILITY  開発と知名度 
#6  ENISA #6  ENISA
PSIRTs, both emerging and well-established, are eager to have more guidance and support from ENISA. These could come in the form of guidelines, general security recommendations, and at a more global level, a high-level cooperation framework intended to help develop best practices and improve exchanges among PSIRTs and other IR teams within the Union Members. 新興および既存のPSIRTは、ENISAからのガイダンスとサポートを強く望んでいる。これらはガイドラインや一般的なセキュリティ勧告の形で提供され、よりグローバルなレベルでは、ベストプラクティスの開発やPSIRTとEU加盟国の他のIRチームとの交流の改善を目的としたハイレベル協力フレームワークの形で提供される可能性がある。
#7 PSIRT #7 PSIRT
The use of a presentation standard, like the one defined in RFC 2350, may help improve the understandability of the offer, the visibility of the PSIRT team and facilitate the vulnerability reporting process. This document could be largely based on the template defined in RFC 2350. RFC 2350 で定義されているようなプレゼンテーション規格を使用することで、オファーの理解性、PSIRT チームの可視性を向上させ、脆弱性報告プロセスを促進することができる。このドキュメントは、RFC 2350 で定義されたテンプレートを主に使用することができる。
#8  PSIRT #8  PSIRT
To facilitate communication and collaboration with external stakeholders, be they reporters or other IR teams, PSIRTs should be encouraged to register their team and contact information on a specialised directory. レポーターや他の IR チームなど、外部のステークホルダーとのコミュニケーションとコラボレーションを促進するために、PSIRT はチームと連絡先を専門のディレクトリに登録することを推奨する。
#9 PSIRT #9 PSIRT
IR teams should strive to improve their external visibility to facilitate and develop their vulnerability reporting process. This could be achieved through communication with clients or a stronger involvement in the IR community (conferences, working groups, etc.). IR チームは、脆弱性報告プロセスを促進、発展させるために、外部からの視認性を向上させる努力をすべきである。これは顧客とのコミュニケーションやIRコミュニティ(カンファレンス、ワーキンググループなど)への参加を強化することで達成できる。

 

関連

・2020.12.10 How to set up CSIRT and SOC

・[PDF

20210604-195610

・2020.12.10 Sectoral CSIRT Capabilities - Energy and Air Transport

・[PDF

20210604-192144

これについては、

まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.11 ENISA 「CSIRTとSOCをいかに構築するか - グッドプラクティスガイド」、「分野別CSIRTの能力 - エネルギー・航空輸送分野における現状と発展」を公表していますね。。。

 

 

・2019.11.27 EU Member States incident response development status report

・[PDF]

20210604-192006


 

|

« 欧州検査院 特別報告書 EUに影響を与える偽情報:対処しても対処しきれない | Main | 欧州委員会 個人データの域外移転のための標準契約約款 (SCC) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 欧州検査院 特別報告書 EUに影響を与える偽情報:対処しても対処しきれない | Main | 欧州委員会 個人データの域外移転のための標準契約約款 (SCC) »