ENISA NIS投資動向報告書2021 at 2021.11.17
こんにちは、丸山満彦です。
ENISAが昨年に引き続きNIS投資動向報告書2021を公表していますね。重要インフラ関連企業等のセキュリティ投資についての分析です。。。参考になるところもあるでしょうね。。。
● ENISA
・2021.11.17 (press) Cybersecurity Spending: An analysis of Investment Dynamics within the EU
| Cybersecurity Spending: An analysis of Investment Dynamics within the EU | サイバーセキュリティへの投資:EU域内の投資動向の分析 |
| The European Union Agency for Cybersecurity issues a new report on how cybersecurity investments have developed under the provisions of the NIS directive. | 欧州連合サイバーセキュリティ機関は、NIS指令の規定の下でサイバーセキュリティ投資がどのように発展してきたかについての新しいレポートを発行しました。 |
| The NIS Directive has been implemented by 82% of the 947 organisations identified as Operators of Essential Services (OES) or Digital Service Providers (DSP) surveyed across the 27 Member States, with 67% requiring an additional budget for its implementation. | NIS指令は、27加盟国で調査したOES(Operators of Essential Services)またはDSP(Digital Service Providers)と認定された947の組織の82%が実施しており、67%がその実施のために追加予算を必要としています。 |
| EU Agency for Cybersecurity, Executive Director, Juhan Lepassaar stated that “Measuring the effectiveness of cybersecurity is a challenging task. Looking at information security investments for essential operators and where their resources are focused provides us with an understanding of the state of cybersecurity across the Union.” | EUサイバーセキュリティ機関のエグゼクティブ・ディレクターであるJuhan Lepassaar氏は、「サイバーセキュリティの効果を測定することは困難な作業です。主要事業者の情報セキュリティ投資と、そのリソースがどこに集中しているかを見ることで、EU全体のサイバーセキュリティの状況を理解することができます」と述べています。 |
| The EU Agency for Cybersecurity (ENISA) published last year the first edition of the report - NIS Investments Report 2020 - with an initial insight of the cybersecurity investment approaches of services providers covered by the directive on security of network and information systems (NIS Directive), namely of OES and DSP. | EUサイバーセキュリティ機関(ENISA)は昨年、ネットワークと情報システムのセキュリティに関する指令(NIS指令)の対象となるサービス事業者、すなわちOESとDSPのサイバーセキュリティ投資アプローチを最初に把握した報告書「NIS投資報告書 2020」の初版を発表しました。 |
| The new report - NIS Investments Report 2021 - aggregates data from all 27 EU Member States and looks into the allocation of cybersecurity budget of OES and DSP and how this allocation has possibly changed as result of the need to implement the provisions of the directive. It also analyses the economic impact of cybersecurity incidents and assesses how these organisations monitor their budget and invest in order to meet their cybersecurity requirements. | 新しい報告書「NIS投資報告書 2021」では、EUの全27加盟国のデータを集計し、OESとDSPのサイバーセキュリティ予算の配分と、指令の規定を実施する必要性からこの配分がどのように変化したかを考察しています。また、サイバーセキュリティインシデントの経済的影響を分析し、これらの組織がどのように予算を監視し、サイバーセキュリティの要件を満たすために投資しているかを評価しています。 |
| What is the role and impact of the NIS Directive on NIS investment? | NIS指令のNIS投資に対する役割と影響は? |
| As the first EU-wide legislation on cybersecurity, the objective of the Directive on Security of Network and Information Systems (NIS Directive) is to achieve a high common level of cybersecurity across all Member States. One of the three pillars of the NIS Directive is the implementation of risk management and reporting obligations for OES and DSP. | サイバーセキュリティに関する最初のEU全体の法律として、ネットワークと情報システムのセキュリティに関する指令(NIS指令)の目的は、すべての加盟国で高い共通レベルのサイバーセキュリティを実現することです。NIS指令の3つの柱の1つは、OESとDSPに対するリスク管理と報告義務の実施です。 |
| The report investigates how operators invest in cybersecurity and comply with the objectives of the NIS Directive. It also gives an overview of the situation in relation to such aspects as IT security staffing, cyber insurance and organisation of information security in OES and DSP. | 本報告書では、事業者がどのようにサイバーセキュリティに投資し、NIS指令の目的を遵守しているかを調査しています。また、OESとDSPにおけるITセキュリティスタッフの配置、サイバー保険、情報セキュリティの組織化といった側面に関連した状況の概要を示しています。 |
| In this context, the findings of the report can be used to further feed into the proposal for the directive on measures for a high common level of cybersecurity across the EU currently under discussion in the European Parliament and the Council of the European Union, which is known as the ‘NIS 2’. The report in this sense could also contribute to further policy reflections as it builds on the work already engaged last year. | この意味で、本報告書の調査結果は、現在、欧州議会と欧州連合理事会で議論されている、「NIS 2」と呼ばれる、EU全体で高い共通レベルのサイバーセキュリティを実現するための措置に関する指令の提案にさらに反映させるために利用することができます。また本報告書は、昨年すでに取り組んだ作業の上に構築されているため、さらなる政策的考察にも貢献できるでしょう。 |
| What are the key findings? | 主な調査結果は? |
| Implementing the NIS directive | NIS指令の実施 |
| Almost 50% of surveyed organisations acknowledge either a significant or a very significant impact of the NIS Directive on the management of their information security. Nearly 50% of established OES and DSP consider that their detection capabilities are now strengthened as a result of the implementation of the provisions of the directive. 26% believe that it has improved their ability to recover from incidents. In 2020, only 8.8% of surveyed OES and DSP experienced a major security incident. | 調査対象となった組織のほぼ50%が、情報セキュリティの管理においてNIS指令が大きな影響を与える、あるいは非常に大きな影響を与えると認識しています。設立されたOESとDSPの50%近くが、指令の規定を実施した結果、検出能力が強化されたと考えています。26%は、インシデントからの回復能力が向上したと考えています。2020年には、調査対象となったOESとDSPのうち、大規模なセキュリティインシデントを経験したのは8.8%のみでした。 |
| Even if 67% of those service providers need to allocate additional budget to ensure compliance, 18% still have not implemented any of the provisions at all. | これらのサービスプロバイダーの67%がコンプライアンスを確保するために追加予算を割り当てる必要があるとしていますが、18%はまだ全く条項を実施していません。 |
| A typical OES/DSP spends around 2 million euros on information security. The respective budget for implementing the NIS directive amounts from 5% up to 10% of the overall information security budget. | 典型的なOES/DSPは、情報セキュリティに約200万ユーロを費やしています。NIS指令を実施するための各予算は、情報セキュリティ予算全体の5%から10%までとなっています。 |
| The study reveals that organisations worldwide mainly dedicate their security budget on the following functional security domains, with the remaining budget covering identity access management, data, end point and application security: | この調査では、世界中の組織が主に以下の機能的なセキュリティ領域にセキュリティ予算を割り当てており、残りの予算はアイデンティティ・アクセス・マネジメント、データ、エンドポイント、およびアプリケーション・セキュリティをカバーしていることが明らかになりました。 |
| - vulnerability management and security analytics for 20%; | ・脆弱性管理とセキュリティ分析に20% |
| - governance, risk and compliance for 18%; | ・ガバナンス、リスク、コンプライアンスに18% |
| - network security for 16%. | ・ネットワークセキュリティに16% |
| Sectors | 分野 |
| The survey results indicate that a typical OES or DSP from the energy sector allocates the highest budget to achieve implementation, closely followed by organisations in the banking sector. Drinking water supply and distribution, financial market infrastructures and digital infrastructure allocate the lowest budgets to achieve compliance. | 調査結果によると、エネルギー分野の典型的なOESまたはDSPは、実装を実現するために最も高い予算を割り当てており、これに銀行分野の組織が僅差で続いています。飲料水の供給と配給、金融市場のインフラ、デジタルインフラでは、コンプライアンス達成のための予算が最も低くなっています。 |
| The top 3 domains of implementation of the NIS Directive identified are: | NIS 指令の実施に関する上位 3 領域は以下のとおりです。 |
| - governance risk and compliance (GRC); | ・ガバナンス・リスク・コンプライアンス(GRC) |
| - network security; | ・ネットワークセキュリティ |
| - vulnerability management. | ・脆弱性管理 |
| Cost of incidents | インシデントのコスト |
| The banking and healthcare sectors are the sectors suffering the highest direct costs of major security incidents when they happen, usually ranging from 213 000 to 300 000 EUR when the usual direct cost is about 100 000 EUR. | 大規模なセキュリティ・インシデントが発生した場合の直接コストが最も高いのは、銀行と医療の分野であり、通常の直接コストが約10万ユーロであるのに対し、通常は21~30万ユーロとなっています。 |
| Human resources | 人的資源 |
| Nearly 50% of the established OES and DSP in the EU hire the services of contractors to support their information security workforce. | EUで設立されたOESとDSPの約50%は、情報セキュリティの労働力をサポートするためにコントラクターのサービスを採用しています。 |
| A typical OES and DSP employs on median 60 IT staff, 7 of which are dedicated to information security. On average, 2 staff members are specifically allocated to incident response. The information security workforce in OES and DSP increased due to the implementation of the NIS Directive as 18,7% of surveyed organisations hired additional internal staff and 32% resort to external contractors. | 典型的なOESおよびDSPは、中央値で60名のITスタッフを雇用しており、そのうち7名が情報セキュリティに特化しています。また、平均して2名のスタッフがインシデント対応を専門に担当しています。調査対象となった組織の18.7%が内部スタッフを追加雇用し、32%が外部契約者に頼ったため、OESおよびDSPの情報セキュリティ要員は、NIS指令の実施により増加しました。 |
| Cyber insurance | サイバー保険 |
| Over 57% of organisations have not subscribed to a cyber insurance. Yet, more than half of OES and DSP certify their systems and processes. | 57%以上の組織がサイバー保険に加入していません。一方、OESとDSPの半数以上は、自社のシステムとプロセスの認証を取得しています。 |
| The majority of these services providers assess their information security controls meet or exceed industry standards with only 5% admit they don’t. | これらのサービスプロバイダーの大半は、自社の情報セキュリティ管理が業界標準を満たしているか、それ以上であると評価しており、満たしていないと認めたのはわずか5%でした。 |
| A total of 23% of organisations reported that they do not subscribe to any cyber insurance solution, although they declare the intention to implement one. | また、23%の企業が、サイバー保険を導入する意向を示しながらも、保険に加入していないと回答しています。 |
| Background | 背景 |
| The NIS Directive represents the first EU-wide legislation on cybersecurity, with the objective to achieve a high common level of cybersecurity across all EU Member States. One of the three pillars of the NIS Directive is the implementation of risk management and reporting obligations for Operators of Essential Services (OES) and Digital Service Providers (DSP). OES provide essential services in strategic sectors of energy (electricity, oil and gas), transport (air, rail, water and road), banking, financial market infrastructures, health, drinking water supply and distribution, and digital infrastructure (Internet exchange points, domain name system service providers, top-level domain name registries). DSP operate in an online environment, namely online marketplaces, online search engines and cloud computing services. | NIS指令は、EU加盟国全体で高い共通レベルのサイバーセキュリティを実現することを目的とした、サイバーセキュリティに関するEU初の法律です。NIS指令の3つの柱の1つは、基幹サービス事業者(OES)とデジタルサービスプロバイダ(DSP)に対するリスク管理と報告義務の実施です。OES は、エネルギー(電気、石油、ガス)、輸送(航空、鉄道、水、道路)、銀行、金融市場インフ ラ、健康、飲料水の供給と配給、デジタルインフラ(インターネット交換ポイント、ドメインネームシステムサー ビスプロバイダー、トップレベルドメインネームレジストリー)などの戦略的分野で必須サービスを提供している。DSPは、オンライン環境、すなわち、オンラインマーケットプレイス、オンライン検索エンジン、クラウドコンピューティングサービスで動作します。 |
| Further information | 参考情報 |
| NIS Investments Report 2021 | NIS投資報告書2021 |
| NIS Investments Report 2020 | NIS投資報告書2020 |
| Press Release: NIS Directive has Positive Effect, though Study Finds Gaps in Cybersecurity Investment Exist | プレスリリース:NIS指令はポジティブな効果があるが、サイバーセキュリティ投資にはギャップがあることが調査で判明 |
| ENISA Topic - NIS Directive | ENISAトピック - NIS指令 |
・2021.11.17 NIS Investments Report 2021
| Following the 2020 NIS Investment publication, this report covers all 27 EU Member States and offering additional insights into the allocation of NIS budgets of OES/DSP, the economic impact of cybersecurity incidents and the organisation of cybersecurity in these operators. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics. In this second edition, additional and complementary questions were asked to the surveyed organisations. Overall, 48.9 % of surveyed organisations acknowledge a very significant or significant impact of the NIS Directive on their information security (IS). | 本報告書は、「NIS投資2020」に続くもので、EU加盟国27カ国すべてを対象としており、OES/DSPのNIS予算の配分、サイバーセキュリティ事故の経済的影響、これらの事業者におけるサイバーセキュリティの組織化について、さらなる洞察を提供します。さらに、世界のサイバーセキュリティ市場の動向を、ガートナー社のセキュリティ・データと、世界およびEUで観測された洞察に基づいて紹介し、関連するダイナミクスをより深く理解できるようにしています。この第2版では、調査対象となる組織に対して、追加的かつ補足的な質問を行いました。全体として、調査対象となった組織の48.9%が、NIS指令が自社の情報セキュリティ(IS)に与える影響が非常に大きい、または大きいと認識しています。 |
・[PDF]
目次...
| 1. INTRODUCTION | 1. 序文 |
| 2. INFORMATION SECURITY DYNAMICS AND OUTLOOK | 2. 情報セキュリティのダイナミクスと展望 |
| 2.1 INFORMATION SECURITY BUDGETS | 2.1 情報セキュリティの予算 |
| 2.2 INFORMATION SECURITY SPENDING DISTRIBUTION | 2.2 情報セキュリティ支出の分布 |
| 2.3 INFORMATION SECURITY STAFFING | 2.3 情報セキュリティスタッフの配置 |
| 2.4 INFORMATION SECURITY MARKET OUTLOOK | 2.4 情報セキュリティ市場の展望 |
| 2.5 SECURITY PERFORMANCE | 2.5 セキュリティパフォーマンス |
| 2.6 FUTURE OF INFORMATION SECURITY | 2.6 情報セキュリティの将来性 |
| 2.7 CISO EFFECTIVENESS | 2.7 CISOの有効性 |
| 3. INFORMATION SECURITY INVESTMENTS FOR THE NIS DIRECTIVE IMPLEMENTATION | 3. NIS指令実施のための情報セキュリティ投資 |
| 3.1 METHODOLOGY | 3.1 方法論 |
| 3.2 INFORMATION SECURITY AND NIS SPENDING | 3.2 情報セキュリティとNISへの支出 |
| 3.2.1 IT spending | 3.2.1 IT関連支出 |
| 3.2.2 Information security spending | 3.2.2 情報セキュリティ支出 |
| 3.2.3 Information security spending as a share of IT spending | 3.2.3 IT支出に占める情報セキュリティ支出の割合 |
| 3.2.4 NIS Directive spending | 3.2.4 NIS指令の支出 |
| 3.2.5 NIS spending as a share of information security spending | 3.2.5 情報セキュリティ支出に占めるNIS支出の割合 |
| 3.2.6 Top three security domains for implementing the NIS Directive | 3.2.6 NIS指令を実施するための上位3つのセキュリティ・ドメイン |
| 3.2.7 Technologies and services procured for the NIS Directive | 3.2.7 NIS指令のために調達した技術とサービス |
| 3.3 INFORMATION SECURITY AND NIS STAFFING | 3.3 情報セキュリティと NIS の人員配置 |
| 3.3.1 IT FTEs | 3.3.1 IT の FTEs |
| 3.3.2 Information security FTEs | 3.3.2 情報セキュリティのFTE(臨時雇い)数 |
| 3.3.3 Share of contractors in information security FTEs | 3.3.3 情報セキュリティFTEに占めるコントラクターの割合 |
| 3.3.4 Information security FTEs as a share of IT FTEs | 3.3.4 IT部門のFTEに占める情報セキュリティのFTEの割合 |
| 3.3.5 Specific hires for NIS implementation | 3.3.5 NIS導入のための特定の人材の採用 |
| 3.3.6 FTEs dedicated to security incident response | 3.3.6 セキュリティ・インシデント対応に特化したFTE |
| 3.4 INFORMATION SECURITY INCIDENTS | 3.4 情報セキュリティインシデント |
| 3.4.1 Cost of information security incidents | 3.4.1 情報セキュリティインシデントのコスト |
| 3.4.2 Top components of incident costs | 3.4.2 インシデントコストの上位構成要素 |
| 3.4.3 Trend in security incidents | 3.4.3 セキュリティインシデントの傾向 |
| 3.4.4 Spread of security incidents | 3.4.4 セキュリティインシデントの広がり |
| 3.4.5 Security incident response sourcing | 3.4.5 セキュリティ・インシデント対応のソーシング |
| 3.4.6 NIS impact on incident response | 3.4.6 インシデント対応におけるNISの影響 |
| 3.5 SECURITY ORGANISATION AND PERFORMANCE | 3.5 セキュリティ組織及びパフォーマンス |
| 3.5.1 Reporting line of information security | 3.5.1 情報セキュリティの報告ライン |
| 3.5.2 Cyber insurance | 3.5.2 サイバー保険 |
| 3.5.3 Certification | 3.5.3 認証 |
| 3.5.4 Performance of controls | 3.5.4 コントロールのパフォーマンス |
| 3.6 PERCEPTION OF THE IMPACT OF THE NIS DIRECTIVE | 3.6 nis指令の影響に関する認識 |
| 4. INFORMATION SECURITY DATA FOR SMES AND LARGE ENTERPRISES | 4. 中小企業、大企業の情報セキュリティデータ |
| 4.1 DEMOGRAPHICS OF SMES AND LARGE ENTERPRISES | 4.1 中小企業と大企業の人口統計 |
| 4.1.1 Distribution of SMEs and large enterprises | 4.1.1 中小企業と大企業の分布 |
| 4.1.2 SMEs vs large enterprises by sector | 4.1.2 部門別の中小企業と大企業の比較 |
| 4.1.3 SMEs vs large enterprises by Member State | 4.1.3 加盟国別の中小企業と大企業の比較 |
| 4.2 INFORMATION SECURITY SPENDING FOR SMES AND LARGE ENTERPRISES | 4.2 中小企業および大企業の情報セキュリティ支出 |
| 4.2.1 IT spending | 4.2.1 IT関連支出 |
| 4.2.2 Information security spending | 4.2.2 情報セキュリティ支出 |
| 4.2.3 Information security spending as a share of IT spending | 4.2.3 IT支出に占める情報セキュリティ支出の割合 |
| 4.2.4 NIS budget | 4.2.4 NIS予算 |
| 4.3 INFORMATION SECURITY STAFFING FOR SMES AND LARGE ENTERPRISES | 4.3 中小企業および大企業の情報セキュリティスタッフ数 |
| 4.3.1 IT FTEs for SMEs vs large enterprises | 4.3.1 中小企業と大企業のIT FTE数の比較 |
| 4.3.2 Information security FTEs for SMEs vs large enterprises | 4.3.2 中小企業と大企業の情報セキュリティのFTE(臨時雇い)数 |
| 4.3.3 Information security FTEs as a share of IT FTEs for SMEs vs large enterprises | 4.3.3 中小企業と大企業のIT部門の常時雇用者数に占める情報セキュリティの常時雇用者数の割合 |
| 4.3.4 Incident response FTEs for SMEs vs large enterprises | 4.3.4 中小企業と大企業のインシデント対応の常時雇用者数の比較 |
| 4.4 SECURITY PERFORMANCE FOR SMES VS LARGE ENTERPRISES | 4.4 中小企業と大企業のセキュリティパフォーマンスの比較 |
| 4.5 CYBER INSURANCE FOR SMEs VS LARGE ENTERPRISES | 4.5 中小企業と大企業の間のサイバー保険の違い |
| 5. ADDITIONAL INSIGHTS FROM SELF-ASSESSMENT | 5. 自己評価から得られた新たな知見 |
| 5.1 INDICATORS ASSOCIATED WITH HIGH SELF-ASSESSED SECURITY MATURITY | 5.1 自己評価したセキュリティ成熟度が高い場合の指標 |
| 5.2 INDICATORS ASSOCIATED WITH LOW SELF-ASSESSED SECURITY MATURITY | 5.2 自己評価したセキュリティ成熟度が低いことに関連する指標 |
| 5.3 INFORMATION SECURITY SPENDING | 5.3 情報セキュリティ支出 |
| 6. CONCLUSIONS | 6. 結論 |
| A ANNEX: SURVEY DEMOGRAPHICS | A 附属書:調査対象者の属性 |
| A.1 MEMBER STATE AND SECTOR OF SURVEYED ORGANISATIONS | A.1 調査対象組織の加盟国および業種 |
| A.2 REVENUE BY SECTOR OF SURVEYED ORGANISATIONS | A.2 調査対象組織の部門別売上高 |
| A.3 EMPLOYEE COUNT OF SURVEYED ORGANISATIONS | A.3 調査対象組織の従業員数 |
| A.4 TYPE OF ORGANISATION (OES VS DSP) | A.4 組織のタイプ(OESとDSP) |
| A.5 ADDITIONAL DATA | A.5 追加データ |
| B ANNEX: DEFINITIONS | B 附属書:定義 |
| B.1 MEDIAN AND AVERAGE DEFINITIONS | B.1 中央値と平均値の定義 |
| B.2 CAGR DEFINITION | B.2 CAGRの定義 |
| B.3 SME DEFINITION | B.3 SMEの定義 |
| B.4 FINANCIALS | B.4 財務の定義 |
| B.5 INDUSTRIES | B.5 インダストリー |
| B.6 IT SECURITY ANALYSIS FRAMEWORK | B.6 ITセキュリティ分析フレームワーク |
| B.7 SECURITY ASSET TYPES | B.7 セキュリティ資産の種類 |
OESとDSP
| Operators of Essential Services (OES) | 基幹サービス事業者 (OES) |
| • Energy (electricity, oil and gas) | ・エネルギー(電気,石油,ガス) |
| • Transport (air, rail, water and road) | ・輸送(航空, 鉄道, 海上, 道路) |
| • Banking | ・銀行 |
| • Financial market infrastructures | ・金融市場インフラストラクチャー |
| • Health | ・医療機関 |
| • Drinking water supply and distribution | ・飲料水の供給と配給 |
| • Digital infrastructure | ・デジタルインフラ |
| Digital Service Providers (DSP) | デジタルサービスプロバイダ (DSP) |
| • Online marketplace | ・オンライン・マーケットプレイス |
| • Online search engine | ・オンライン検索エンジン |
| • Cloud computing service | ・クラウドコンピューティングサービス |
Comments