欧州検査院 特別報告書：EUの機構・団体・機関のサイバーセキュリティ : 全体的な準備のレベルは脅威に見合っていない

こんにちは、丸山満彦です。

欧州検査院 (European Court of Auditors) がEUの機構・団体・機関のサイバーセキュリティについての特別報告書を公表していますね。。。2022.03.22に欧州委員会がセキュリティ規則を提出したのですが、それは、この検査報告書の結果を受けての。。。ということのようですね。。。

● European Court of Auditors

・2022.03.29 Special report 05/2022: Cybersecurity of EU institutions, bodies and agencies : Level of preparedness overall not commensurate with the threats

Special report 05/2022: Cybersecurity of EU institutions, bodies and agencies : Level of preparedness overall not commensurate with the threats

特別報告書05/2022：EUの機構・団体・機関のサイバーセキュリティ : 全体的な準備のレベルは脅威に見合っていない

The number of cyberattacks on EU institutions, bodies and agencies (EUIBAs) is increasing sharply. As EUIBAs are strongly interconnected, weaknesses in one can expose others to security threats. We examined whether the EUIBAs have adequate arrangements to protect themselves against cyber threats. We found that, overall, EUIBAs’ level of preparedness is not commensurate with the threats, and that they have very different levels of cybersecurity maturity. We recommend that the Commission improve EUIBAs’ preparedness by proposing the introduction of binding cybersecurity rules and an increase in resources for the Computer Emergency Response Team (CERT-EU). The Commission should also promote further synergies among EUIBAs, and CERT-EU and the European Union Agency for Cybersecurity should focus their support on less mature EUIBAs.

EUの機構・団体・機関（EUIBA）に対するサイバー攻撃の件数が急増しています。EUIBAは相互に強く結びついているため、1つの弱点が他をセキュリティの脅威にさらす可能性があります。我々は、EUIBAがサイバー脅威から自らを守るための適切な取り決めを行っているかどうかを調査しました。その結果、全体としてEUIBAの準備レベルは脅威と見合っておらず、サイバーセキュリティの成熟度は大きく異なっていることが分かリマした。我々は、欧州委員会が、拘束力のあるサイバーセキュリティ規則の導入と、コンピュータ緊急対応チーム（CERT-EU）のリソースの増加を提案することにより、EUIBAsの準備態勢を改善することを提言します。また、欧州委員会は、EUIBA間の相乗効果をさらに促進し、CERT-EUと欧州連合サイバーセキュリティ機関は、成熟度の低いEUIBAに支援を集中させるべきでしょう。

 

プレスリリース

・[PDF] EU bodies must step up their cybersecurity preparedness

回答

 欧州委員会

・[PDF] Replies: European Commission 

 ENISA、CERT-EU、欧州議会

・[PDF] Replies: CERT-EU and ENISA

 

報告書

・[HTML]

・[PDF]

目次

Executive summary	エグゼクティブサマリー
Introduction	はじめに
What is cybersecurity?	サイバーセキュリティとは？
Cybersecurity in EU institutions, bodies and agencies	EUの機関、団体、代理店におけるサイバーセキュリティ
Audit scope and approach	監査範囲とアプローチ
Observations	観察事項
EUIBAs have very different levels of cybersecurity maturity and do not always comply with good practice	EUIBAのサイバーセキュリティの成熟度は非常に異なっており、必ずしもグッドプラクティスに準拠しているわけではない。
IT security governance in EUIBAs is often not well developed and risk assessments are not comprehensive	EUIBAのITセキュリティガバナンスは十分に整備されていないことが多く、リスク評価も包括的でない。
EUIBAs do not approach cybersecurity consistently and essential controls are not always in place	EUIBAは一貫してサイバーセキュリティに取り組んでおらず、必要不可欠な管理が必ずしも行われていない。
Several EUIBAs do not have their cybersecurity arrangements subject to regular independent assurance	いくつかのEUIBAは、サイバーセキュリティの取り決めを定期的な独立した保証の対象にしていない。
EUIBAs have established mechanisms for cooperation but there are shortcomings	EUIBAは協力のためのメカニズムを確立しているが、欠点もある。
There is a formalised structure for EUIBAs to coordinate their activities, albeit with some governance issues	ガバナンスの問題はあるが、EUIBAが活動を調整するための公式な構造がある。
Potential synergies through cooperation are not yet fully exploited	協力による潜在的な相乗効果は、まだ十分に活用されていない。
ENISA and CERT-EU have not yet provided EUIBAs with all the support they need	ENISAとCERT-EUは、EUIBAsが必要とするすべてのサポートをまだ提供していない。
ENISA is a key player in the EU cybersecurity landscape, but its support has so far reached very few EUIBAs	ENISAはEUのサイバーセキュリティの状況において重要な役割を担っているが、その支援は今のところごく少数のEUIBAにしか行き届いていない。
CERT-EU is highly valued by its constituents but its means are not commensurate with current cybersecurity challenges	CERT-EUはその構成員から高く評価されているが、その手段は現在のサイバーセキュリティの課題に見合ったものでない。
Conclusions and recommendations	結論と提言
Annexes	附属書
Annex I – List of EUIBAs surveyed	附属書I - 調査対象EUIBAsのリスト
Annex II – Additional information on the key interinstitutional committees	附属書II - 主要な機関間委員会に関する追加情報
Acronyms and abbreviations	頭字語・略語
Glossary	用語集
Replies of the Commission	欧州委員会の回答
Replies of the CERT-EU and ENISA	CERT-EUとENISAの回答
Timeline	タイムライン

 

Executive summary	エグゼクティブサマリー
I The EU Cybersecurity Act defines cybersecurity as “the activities necessary to protect network and information systems, the users of such systems, and other persons affected by cyber threats”. Due to the sensitive information they process, EU institutions, bodies and agencies (EUIBAs) are attractive targets for potential attackers, particularly groups capable of executing highly sophisticated stealth attacks for cyber espionage and other purposes. EUIBAs are strongly interconnected, despite their institutional independence and administrative autonomy. Therefore, weaknesses in individual EUIBAs could expose others to security threats.	I EUサイバーセキュリティ法では、サイバーセキュリティを「ネットワークおよび情報システム、当該システムの利用者、ならびにサイバー脅威の影響を受けるその他の者を保護するために必要な活動」と定義しています。EUの機構・団体・機関（EUIBAs）は、その処理する機密情報のため、潜在的な攻撃者、特にサイバースパイ活動やその他の目的で高度なステルス攻撃を実行することができるグループにとって魅力的な標的となっています。EUIBAは、その制度的独立性と行政的自律性にもかかわらず、強く相互に結びついています。したがって、個々の EUIBA の弱点は、他の EUIBA をセキュリティ上の脅威にさらす可能性があります。
II Given that the number of cyberattacks on EUIBAs is increasing sharply, the objective of this audit was to determine whether the EUIBAs, as a whole, have established adequate arrangements to protect themselves against cyber threats. We conclude that the EUIBA community has not achieved a level of cyber preparedness commensurate with the threats.	II EUIBAに対するサイバー攻撃が急増していることを踏まえ、本監査の目的は、EUIBAが全体としてサイバー脅威から身を守るための適切な取り決めを確立しているかどうかを判断することです。私たちは、EUIBA コミュニティは、脅威に見合ったレベルのサイバー対策を達成していないと結論づけました。
III We found that key cybersecurity good practices were not always implemented, including some essential controls, and a number of EUIBAs are clearly underspending on cybersecurity. Sound cybersecurity governance is also not yet in place in some EUIBAs: IT security strategies are in many cases lacking or are not endorsed by senior management, security policies are not always formalised, and risk assessments do not cover the entire IT environment. Not all EUIBAs have their cybersecurity regularly subject to independent assurance.	III 私たちは、いくつかの必須コントロールを含む主要なサイバーセキュリティのグッドプラクティスが必ずしも実施されておらず、多くのEUIBAがサイバーセキュリティに対する支出を明らかに下回っていることを発見しました。また、いくつかのEUIBAでは、健全なサイバーセキュリティガバナンスがまだ確立されていません。ITセキュリティ戦略は多くの場合、欠如しているか、上級管理職によって承認されておらず、セキュリティポリシーは必ずしも正式なものではなく、リスク評価はIT環境全体を対象としていません。すべてのEUIBAが、サイバーセキュリティを定期的に独立した保証の対象としているわけではありません。
IV Cybersecurity training is not always systematic. Just over half of EUIBAs offer ongoing cybersecurity training for IT staff and IT security specialists. Few EUIBAs provide mandatory cybersecurity training for managers responsible for IT systems containing sensitive information. Phishing exercises are an important tool for training staff and raising awareness, but not all EUIBAs use them systematically.	IV サイバーセキュリティのトレーニングは必ずしも体系化されていません。EUIBAの半数強が、ITスタッフおよびITセキュリティ専門家に対して継続的なサイバーセキュリティ教育を実施しています。機密情報を含むITシステムの責任者に対し、義務的なサイバーセキュリティ教育を実施しているEUIBAはほとんどありません。フィッシング演習は、職員の訓練と意識向上のための重要なツールですが、すべてのEUIBAが体系的に利用しているわけではありません。
V While EUIBAs have established structures for cooperation and information exchange on cybersecurity, we noted that potential synergies are not fully exploited. EUIBAs do not systematically share with each other information on cybersecurity-related projects, security assessments and service contracts. Furthermore, basic communication tools such as encrypted email or videoconference solutions are not fully interoperable. This can lead to less secure exchanges of information, duplication of efforts and increased costs.	V EUIBAsはサイバーセキュリティに関する協力と情報交換のための構造を確立していますが、潜在的な相乗効果が十分に活用されていないことを私たちは指摘しました。EUIBAは、サイバーセキュリティ関連のプロジェクト、セキュリティ評価、サービス契約に関する情報を互いに体系的に共有していません。さらに、暗号化された電子メールやビデオ会議ソリューションのような基本的なコミュニケーションツールは、完全に相互運用可能なものではありません。これは、安全性の低い情報交換、努力の重複、コスト増につながる可能性があります。
VI The Computer Emergency Response Team of the EUIBAs (CERT-EU) and the European Union Agency for Cybersecurity (ENISA) are the two main entities tasked with supporting EUIBAs on cybersecurity. However, due to resource constraints or priority being given to other areas, they have not been able to provide EUIBAs with all the support they need, particularly in relation to capacity building for less mature EUIBAs. Although CERT-EU is highly valued by the EUIBAs, its effectiveness is compromised by an increasing workload, unstable funding and staffing, and insufficient cooperation from some EUIBAs, which do not always share timely information on vulnerabilities and on significant cybersecurity incidents that have impacted them or may impact others.	VI EUIBAsのコンピュータ緊急対応チーム（CERT-EU）と欧州連合サイバーセキュリティ庁（ENISA）は、サイバーセキュリティに関してEUIBAsを支援することを任務とする二つの主要組織です。しかし、リソースの制約や他の分野への優先順位により、EUIBA が必要とするすべての支援、特に成熟度の低い EUIBA の能力向上に関連する支援を提供することはできていません。CERT-EU は EUIBA に高く評価されていますが、作業量の増加、不安定な資金と人員、一部の EUIBA の不十分な協力によって、その有効性が損なわれています。EUIBA は、脆弱性や、自国に影響を与えたか他国に影響を与える可能性のある重大なサイバーセキュリティ事件に関する情報を常にタイムリーに共有しているわけでありません。
VII Based on these conclusions, we recommend that:	VII これらの結論に基づき、私たちは以下のことを提言します。
・the Commission improve the cyber preparedness of EUIBAs through a legislative proposal introducing common binding rules on cybersecurity for all EUIBAs and increased resources for CERT-EU;	・欧州委員会は、すべてのEUIBAのためのサイバーセキュリティに関する共通の拘束力のある規則を導入する立法案と、CERT-EUのためのリソースを増やすことによって、EUIBAのサイバー対策能力を向上させること。
・the Commission, in the context of the Interinstitutional Committee for the Digital Transformation, promotes further synergies among EUIBAs in selected areas;	・欧州委員会は、デジタル変革のための機関間委員会との関連で、特定の分野におけるEUIBAs間の相乗効果をさらに促進すること。
・CERT-EU and ENISA increase their focus on EUIBAs that are less mature in cybersecurity;	・CERT-EUとENISAは、サイバーセキュリティの成熟度が低いEUIBAsへの注力を強化すること。

 

ENISAも発表していますね。。。

 

● ENISA

・2022.03.30 (news) Securing EU Institutions, Bodies and Agencies

Securing EU Institutions, Bodies and Agencies	EUの機構・団体・機関のセキュリティ確保
Today, the European Union Agency for Cybersecurity (ENISA) welcomes the recommendations of the European Court of Auditors on cybersecurity of EUIBAs.	本日、欧州連合サイバーセキュリティ機関（ENISA）は、EUIBAのサイバーセキュリティに関する欧州監査役会の勧告を受け入れます。
The observations and recommendations of the European Court of Auditors’ special report on the cybersecurity of EU institutions, bodies and agencies come at a timely moment, as cyber threats are increasing and discussions about cyber preparedness are taking place across numerous EU communities.	EUの機構・団体・機関のサイバーセキュリティに関する欧州監査院の特別報告書の見解と勧告は、サイバー脅威が増大し、多数のEU共同体でサイバー対策に関する議論が行われている今、時宜を得たものです。
The report highlights the key roles that ENISA and CERT-EU can play in increasing the level of cyber preparedness of EUIBAs as a whole and underscores the need for adequate resources to do so. Furthermore, the findings and recommendations of the report underline the importance of common legal cybersecurity frameworks for all EUIBAs.	この報告書は、EUIBAs全体のサイバー対策レベルを向上させる上で、ENISAとCERT-EUが果たすことのできる重要な役割を強調するとともに、そのための十分なリソースの必要性を強調しています。さらに、本報告書の所見と提言は、すべてのEUIBAに共通の法的サイバーセキュリティの枠組みの重要性を強調しています。
The observations arrive just as the European Commission has proposed a regulation on measures for a high common level of cybersecurity at the EU institutions, bodies and agencies. The regulation aims to establish common cybersecurity measures to boost the resilience and response capacities against cyber threats and incidents.	この見解は、欧州委員会がEUの機構・団体・機関において高い共通レベルのサイバーセキュリティのための措置に関する規則を提案した矢先のことです。この規制は、サイバー上の脅威やインシデントに対する回復力と対応能力を高めるために、共通のサイバーセキュリティ対策を確立することを目的としています。
Background	背景
In 2021, the EU Agency for Cybersecurity and CERT-EU signed an agreement on a structured cooperation to work together on capacity building, operational cooperation and knowledge and information sharing. The provision for a structured cooperation was included in the Cybersecurity Act of 2019. ENISA and CERT-EU meet regularly to agree on joint activities to implement the Annual Cooperation Plans.	2021年、EUサイバーセキュリティ機関とCERT-EUは、能力開発、運用協力、知識・情報共有について協力するための構造的協力に関する協定を締結しました。構造的協力の規定は、2019年のサイバーセキュリティ法に盛り込まれた。ENISAとCERT-EUは定期的に会合を開き、年次協力計画を実施するための共同活動について合意しています。
Further Information	さらなる情報
ECA special report: Cybersecurity of EU institutions, bodies and agencies	ECAスペシャルレポート EUの機構・団体・機関のサイバーセキュリティ
Proposed regulation	規制案
Cybersecurity Act	サイバーセキュリティ法

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.24 欧州委員会 欧州議会、機関等のサイバーセキュリティを強化する規則案

・2022.02.24 ENISA CSIRT成熟度フレームワークの改訂

・2022.02.15 ENISAとCERT-EU EUのすべての官民組織が最低限実施すべきサイバーセキュリティのベストプラクティス14項目

・2021.10.25 欧州連合理事会が「大規模サイバーセキュリティ事件・危機へのEU協調対応を補完する共同サイバーユニット構想の可能性を探るための理事会結論案 」を承認