ENISA 鉄道サイバーセキュリティ - サイバーリスク管理のグッドプラクティス
こんにちは、丸山満彦です。
ENISAが、鉄道に関するサイバーリスク管理のグッドプラクティスの報告書を公表していますね。。。
● ENISA
・2021.11.25 (news) Risk Management: Helping the EU Railways Catch the Cybersecurity Train
| Risk Management: Helping the EU Railways Catch the Cybersecurity Train | リスクマネジメント:EUの鉄道会社がサイバーセキュリティの列車に乗るために |
| Risk management for the EU railways drives the attention of a new report by the European Union Agency for Cybersecurity. The report will be announced by Juhan Lepassaar during today’s webinar co-organised with the European Union Agency for Railways. | EU鉄道のリスクマネジメントは、欧州連合(EU)サイバーセキュリティ機関の新しいレポートで注目を集めています。この報告書は、欧州連合鉄道庁との共催による本日のウェビナーでJuhan Lepassaarが発表します。 |
| ENISA, the EU Agency for Cybersecurity, and ERA, the EU Agency for Railways, have joined forces to organise a virtual webinar today on cybersecurity for the railway sector. | EUのサイバーセキュリティ機関であるENISAと、EUの鉄道庁であるERAが共同で、鉄道分野のサイバーセキュリティに関するバーチャルウェビナーを本日開催します。 |
| While ERA is to present the state of play on cybersecurity in the sector, ENISA is to announce the release of its report - Railway Cybersecurity – Good Practices in Cyber Risk Management for railway organisations. | ERAが鉄道分野におけるサイバーセキュリティの現状を紹介する一方で、ENISAは報告書「Railway Cybersecurity - Good Practices in Cyber Risk Management for Railway Organizations(鉄道のサイバーセキュリティ-鉄道組織のサイバーリスク管理における優良事例)」の発表を予定しています。 |
| Juhan Lepassaar, Executive Director of ENISA, is to present the report in his welcome remark. Josef Doppelbauer, Executive Director of ERA is to address closing remarks to conclude the event. | ENISAのエグゼクティブ・ディレクターであるJuhan Lepassaarは、歓迎の挨拶の中でこの報告書を紹介します。ERAのジョセフ・ドッペルバウアー事務局長が閉会の辞を述べ、イベントを締めくくります。 |
| European railway undertakings (RUs) and infrastructure managers (IMs) need to address cyber risks in a systematic way as part of their risk management processes. This need has become even more urgent since the Network and Information Security (NIS) Directive came into force in 2016. | 欧州の鉄道事業者やインフラ管理者は、リスク管理プロセスの一環として、サイバーリスクに体系的に取り組む必要がある。この必要性は、2016年に「ネットワークおよび情報セキュリティ(NIS)指令」が発効して以来、さらに緊急性を増しています。 |
| Objectives of the Railway Cybersecurity report | 「鉄道サイバーセキュリティ」報告書の目的 |
| The purpose of the report is to provide European RUs and IMs with applicable methods and practical examples on how to assess and mitigate cyber risks. | 本報告書の目的は、欧州のRUおよびIMに対して、サイバーリスクの評価および緩和方法に関する適用可能な方法と実践例を提供することです。 |
| The good practices presented are based on feedback from railway stakeholders. They include tools, such as assets and services list, cyber threat scenarios and applicable cybersecurity measures, based on the standards and good practices used in the sector. These resources can be used as a basis for cyber risk management for railway companies. They are therefore intended to be a reference point and to promote collaboration between railway stakeholders across the EU while raising awareness on relevant threats. | 紹介されているグッドプラクティスは、鉄道関係者からのフィードバックに基づいています。これらには、この分野で使用されている基準やグッドプラクティスに基づいた、資産やサービスのリスト、サイバー脅威のシナリオ、適用可能なサイバーセキュリティ対策などのツールが含まれています。これらのリソースは、鉄道会社のサイバーリスク管理の基礎として使用することができます。したがって、これらの資料は、関連する脅威についての認識を高めながら、参照点となり、EU全域の鉄道関係者の協力を促進することを目的としています。 |
| The main takeaways | 主な要点 |
| Existing risk management approaches vary for railway IT and OT systems | 既存のリスク管理アプローチは、鉄道のITおよびOTシステムによって異なる |
| For the risk management of railway Information Technology (IT) systems, the most cited approaches were the requirements of NIS Directive at a national level, the ISO 2700x family of standards, and the NIST cybersecurity framework. | 鉄道の情報技術(IT)システムのリスク管理については、国レベルのNIS指令の要求事項、ISO 2700x規格ファミリー、NISTサイバーセキュリティ・フレームワークが最も引用されたアプローチです。 |
| For Operational Technology (OT) systems, the frameworks cited were ISA/IEC 62443, CLC/TS 50701, and the recommendations of the Shift2Rail project X2Rail-3, or the ones from the CYRail Project. | 運用技術(OT)システムでは、ISA/IEC 62443、CLC/TS 50701、Shift2RailプロジェクトのX2Rail-3の推奨事項、またはCYRailプロジェクトの推奨事項が挙げられます。 |
| Those standards or approaches are often used in a complementary way to adequately address both IT and OT systems. While IT systems are normally evaluated with broader and more generic methods (such as ISO 2700x or NIS Directive), OT systems need specific methods and frameworks that have been designed for industrial train systems. | これらの規格やアプローチは、ITシステムとOTシステムの両方に適切に対応するために、補完的に使用されることが多いです。ITシステムは通常、より広範で汎用的な手法(ISO 2700xやNIS指令など)で評価されますが、OTシステムには、産業用列車システム向けに設計された特定の手法やフレームワークが必要です。 |
| There is no unified approach available to railway cyber risk management yet. Stakeholders who participated in this study indicated that they use a combination of the abovementioned international and European approaches to tackle risk management, which they then complement with national frameworks and methodologies. | 鉄道のサイバーリスク管理に利用できる統一的なアプローチはまだありません。この調査に参加したステークホルダーは、リスク管理に取り組むために、上記の国際的なアプローチと欧州のアプローチを組み合わせて使用しており、それを国内のフレームワークや方法論で補完していると述べています。 |
| Asset taxonomies | 資産の分類法 |
| For RUs and IMs to manage cyber risks, identifying what needs protection is essential. In this report, a comprehensive list is broken down to 5 areas; the services that stakeholders provide, the devices (technological systems) that support these services, the physical equipment used to provide these services, the people that maintain or use them, and the data used. | RUとIMがサイバーリスクを管理するためには、保護が必要なものを特定することが不可欠です。本報告書では、包括的なリストを、ステークホルダーが提供するサービス、これらのサービスをサポートするデバイス(技術システム)、これらのサービスを提供するために使用される物理的な機器、それらを維持または使用する人、そして使用されるデータの5つの分野に分類しています。 |
| Threats taxonomies and risk scenarios | 脅威の分類とリスクシナリオ |
| RUs and IMs need to identify which cyber threats are applicable to their assets and services. The report reviews available threat taxonomies, and provides a list of threats that can be used as the basis. | RUとIMは、自分たちの資産やサービスにどのようなサイバー脅威が当てはまるかを特定する必要があります。本レポートでは、利用可能な脅威の分類法を検討し、基礎となる脅威のリストを提供しています。 |
| Examples of cyber risk scenarios are also analysed, which can assist railway stakeholders when performing a risk analysis. They show how asset and threat taxonomies can be used together and are based on the known incidents of the sector and the feedback received during the workshops. | また、鉄道関係者がリスク分析を行う際に役立つ、サイバーリスクシナリオの例を分析しています。これらの例は、資産と脅威の分類法をどのように併用できるかを示しており、この分野の既知のインシデントやワークショップで得られたフィードバックに基づいています。 |
| Applying cybersecurity measures | サイバーセキュリティ対策の適用 |
| Each scenario is associated with a list of relevant security measures. The report includes cybersecurity measures derived from the NIS Directive, current standards (ISO/IEC 27002, IEC 62443) and good practises (NIST’s cybersecurity framework). | 各シナリオは、関連するセキュリティ対策のリストと関連付けられています。報告書には、NIS指令、現行規格(ISO/IEC 27002、IEC 62443)、グッドプラクティス(NISTのサイバーセキュリティフレームワーク)に由来するサイバーセキュリティ対策が含まれています。 |
| Target audience | 想定読者 |
| Staff and experts responsible for cybersecurity (CISOs, CIOs, CTOs, etc.) within RUs and IMs; | RUおよびIM内のサイバーセキュリティを担当するスタッフおよび専門家(CISO、CIO、CTOなど)。 |
| Regulatory bodies and National Competent Authorities; | 規制機関および国家管轄機関 |
| Decision and policy makers. | 意思決定者および政策立案者 |
| Background | 背景 |
| The study released today builds on the ENISA Report - Railway Cybersecurity - Security measures produced in November 2020 on cybersecurity in the railway sector. This previous report assessed the level of implementation of cybersecurity measures in the sector. | 本日発表された調査は、2020年11月に作成された鉄道分野のサイバーセキュリティに関するENISAレポート-Railway Cybersecurity - Security measuresに基づいています。この前回の報告書は、鉄道セクターにおけるサイバーセキュリティ対策の実施レベルを評価したものです。 |
| ENISA and ERA organised a virtual Conference on Rail Cybersecurity on March 2021. The conference took place virtually over two days and brought together more than 600 experts from railway organisations, policy, industry, research, standardisation and certification. One of the top topics voted by participants was cyber risk management for railways, and this motivated this study. | ENISAとERAは、2021年3月に鉄道のサイバーセキュリティに関するバーチャル会議を開催しました。この会議は2日間にわたって仮想的に行われ、鉄道組織、政策、産業、研究、標準化、認証から600人以上の専門家が集まりました。参加者が投票した上位のテーマの一つが、鉄道のサイバーリスク管理であり、これが本研究の動機となりました。 |
| The European Union Agency for Cybersecurity supports the development of cybersecurity capabilities of the railway sector by: | 欧州連合サイバーセキュリティ機関は、鉄道セクターのサイバーセキュリティ能力の開発を以下の方法で支援しています。 |
| Issuing guidance and recommendation papers together with the community; | コミュニティと協力してガイダンスや勧告文書を発行する。 |
| Organising physical and virtual events; | 物理的および仮想的なイベントを開催する。 |
| Participating in discussions with the Railway community on regulatory matters; | 規制問題に関する鉄道コミュニティとの議論に参加する。 |
| Validating activities through dedicated expert group in transport security (TRANSSEC; | 輸送セキュリティの専門家グループ(TRANSSEC)による活動の検証。 |
| Contributing to standardisation activities. | 標準化活動への貢献。 |
| Further Information | 関連情報 |
| ENISA report - Railway Cybersecurity – Good Practices in Cyber Risk Management – November 2021 | ENISAレポート - 鉄道のサイバーセキュリティ - サイバーリスク管理のグッドプラクティス - 2021年11月 |
| ENISA Report - Railway Cybersecurity - Security measures – November 2020 | ENISAレポート - 鉄道のサイバーセキュリティ - セキュリティ対策 - 2020年11月 |
| ENISA topic – Critical Information Infrastructures and services - Railway | ENISAトピック - 重要な情報インフラとサービス - 鉄道 |
| Videos & presentations: Cybersecurity in Railways | ビデオとプレゼンテーション 鉄道におけるサイバーセキュリティ |
| Cybersecurity in Railways Conference: Key Takeaways – March 2021 | 鉄道におけるサイバーセキュリティ会議。Key Takeaways - 2021年3月 |
| TRANSSEC – Transport Security Experts Group | TRANSSEC - 輸送セキュリティ専門家グループ |
| ERA – European Union Agency for Railways | ERA - European Union Agency for Railways(欧州連合鉄道庁 |
・2121.11.25 Railway Cybersecurity - Good Practices in Cyber Risk Management
| Railway Cybersecurity - Good Practices in Cyber Risk Management | 鉄道のサイバーセキュリティ - サイバーリスク管理のグッドプラクティス |
| This report aims to be a reference point for current good practices for cyber risk management approaches that are applicable to the railway sector. It offers a guide for railway undertakings and infrastructure managers to select, combine or adjust cyber risk management methods to the needs of their organisation. It builds upon the 2020 ENISA report on cybersecurity in the railway sector (ENISA, 2020), which assessed the level of implementation of cybersecurity measures in the railway sector. This report provides actionable guidelines, lists common challenges associated with the performance of the relevant activities, and outlines good practices that can be readily adopted and tailored by individual organisations. Additionally, a list of useful reference material is available, together with practical examples and applicable standards. | 本報告書は、鉄道セクターに適用可能なサイバーリスク管理手法の現在のグッドプラクティスを参照することを目的としています。鉄道事業者やインフラ管理者がサイバーリスク管理手法を選択したり、組み合わせたり、組織のニーズに合わせて調整したりするためのガイドとなっている。本報告書は、鉄道部門におけるサイバーセキュリティ対策の実施レベルを評価した「鉄道部門におけるサイバーセキュリティに関する2020年ENISA報告書」(ENISA, 2020)に基づいている。本報告書では、実行可能なガイドラインを提供し、関連する活動の実施に関連する共通の課題を挙げ、個々の組織が容易に採用し、調整することが可能なグッドプラクティスを概説しています。さらに、実用的な例や適用可能な基準とともに、有用な参考資料のリストも掲載しています。 |
・[PDF]
| 1. INTRODUCTION | 1. 序論 |
| 1.1 OBJECTIVES, SCOPE AND AUDIENCE | 1.1 目的、範囲、対象者 |
| 1.2 METHODOLOGY | 1.2 方法論 |
| 1.3 STRUCTURE OF THE REPORT | 1.3 報告書の構成 |
| 2. CYBER RISK MANAGEMENT | 2. サイバー・リスク・マネジメント |
| 2.1 RISKS MANAGEMENT STEPS | 2.1 リスク管理のステップ |
| 2.2 RISK MANAGEMENT APPROACHES FOR THE RAILWAY SECTOR | 2.2 鉄道分野におけるリスクマネジメントのアプローチ |
| 3. RAILWAY ASSETS AND SERVICES | 3. 鉄道資産およびサービス |
| 3.1 TAXONOMY | 3.1 分類 |
| 4. CYBER-RELATED THREATS | 4. サイバー関連の脅威 |
| 4.1 TAXONOMY | 4.1 分類 |
| 4.2 CYBER RISK SCENARIOS | 4.2 サイバー・リスク・シナリオ |
| 4.2.1 Scenario 1 – Compromising a signalling system or automatic train control system, leading to a train accident | 4.2.1 シナリオ1 - 信号システムまたは自動列車制御システムの危殆化による、列車事故の発生 |
| 4.2.2 Scenario 2 – Sabotage of the traffic supervising systems, leading to train traffic stop | 4.2.2 シナリオ2 - 交通監視システムの妨害行為による、列車の運行停止 |
| 4.2.3 Scenario 3 – Ransomware attack, leading to a disruption of activities | 4.2.3 シナリオ3 - ランサムウェア攻撃、活動の中断につながるもの |
| 4.2.4 Scenario 4 – Theft of clients’ personal data from the booking management system | 4.2.4 シナリオ4 - 予約管理システムからの顧客の個人データの窃盗 |
| 4.2.5 Scenario 5 – Leak of sensitive data due to unsecure, exposed database | 4.2.5 シナリオ5 - 安全でない、露出したデータベースによる機密データの漏洩 |
| 4.2.6 Scenario 6 – DDoS attack, blocking travellers from buying tickets | 4.2.6 シナリオ 6 - DDoS 攻撃による、旅行者のチケット購入の妨害 |
| 4.2.7 Scenario 7 – Disastrous event destroying the datacentre, leading to disruption of IT services | 4.2.7 シナリオ7 - データセンターが破壊され、ITサービスに支障をきたすような悲惨な出来事 |
| 5. CYBERSECURITY MEASURES | 5. サイバーセキュリティ対策 |
| 5.1 APPLYING CYBERSECURITY MEASURES | 5.1 サイバーセキュリティ対策の適用 |
| 5.2 CYBERSECURITY MEASURES | 5.2 サイバーセキュリティ対策 |
| 6. CONCLUSIONS | 6. 結論 |
| 7. BIBLIOGRAPHY | 7. 参考資料 |
| A ANNEX: ASSET DESCRIPTIONS | 附属書A:資産の説明 |
| B ANNEX: THREATS DESCRIPTION | 附属書B:脅威の説明 |
| C ANNEX: SECURITY MEASURES | 附属書C:セキュリティ対策 |
まるちゃんの情報セキュリティ気まぐれ日記
・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16
・2020.11.15 ENISAが鉄道事業向けのセキュリティガイドを公表していますね。
Comments