ENISA テレコム業界における利用者へのサイバー脅威の支援活動 (2022.03.10)

こんにちは、丸山満彦です。

ENISAがテレコム業界における利用者へのサイバー脅威の支援活動についてのガイドのようなものを公表していました。。。

 

● ENISA

・2022.03.10 (news) Cyber Threat Warnings: The Ins and Outs of Consumer Outreach

Cyber Threat Warnings: The Ins and Outs of Consumer Outreach	サイバー脅威の警告 利用者向け支援活動の内と外
The European Union Agency for Cybersecurity (ENISA) issues a report and a leaflet on how to ensure effective consumer outreach in relation to cyber threats in the telecommunications sector.	欧州連合サイバーセキュリティ機関（ENISA）が、電気通信分野におけるサイバー脅威に関して、利用者への効果的な働きかけを確保する方法について報告書とリーフレットを発行しています。
The European Electronic Communications Code or EECC, the current EU telecom framework, sets new requirements in relation to the notification of threats to users by their telecommunications services providers.	現在のEUの電気通信の枠組みである欧州電子通信規約（EECC）は、電気通信サービスプロバイダーによる利用者への脅威の通知に関して、新たな要件を定めています。
Under this new legislation, providers of public electronic communications networks or services are now required to notify their users when a particular and significant threat has occurred affecting their networks or services. Warning customers on cyber threats is already an industry good practice.	この新しい法律の下で、公衆電子通信ネットワークまたはサービスのプロバイダーは、そのネットワークまたはサービスに影響を及ぼす特定の重大な脅威が発生した場合、利用者に通知することが義務付けられました。サイバー脅威について利用者に警告することは、すでに業界のグッドプラクティスとなっています。
Scope and content of the report	報告書の範囲と内容
The report published today provides a framework to help assess the necessity to carry out outreach activities.	本日発表した報告書は、支援活動の実施の必要性を評価するためのフレームワークを提供するものです。
The analysis revealed that the contents of the outreach messages disseminated by providers are usually adjusted to the knowledge and competency level of users. Communication about specific threats often includes facts about the nature of the threat, potential impact, measures taken by the provider, etc. Electronic communications providers generally target those users directly affected by the threat.	分析の結果、プロバイダーが発信するアウトリーチメッセージの内容は、通常、利用者の知識や能力レベルに合わせて調整されていることが明らかになりました。具体的な脅威に関するコミュニケーションには、脅威の性質、潜在的な影響、プロバイダがとった対策などに関する事実が含まれることが多い。電子通信事業者は、一般に、脅威の影響を直接受ける利用者を対象としている。
The outreach framework consists of 3 steps developed in the report. A checklist is also available to help structuring the information.	アウトリーチの枠組みは、報告書で開発された3つのステップで構成されています。また、情報の構造化に役立つチェックリストも用意されています。
1. Trigger: to assess the need of consumer outreach;	1. トリガー：利用者への支援活動の必要性を評価する。
2. Communication: to decide on the right channel, and on the right message;	2. コミュニケーション：適切なチャネルと適切なメッセージを決定する。
3. Evaluation: to define the parameters needed to measure the effectiveness of the outreach.	3. 評価：支援活動の効果を測定するために必要なパラメータを定義する。
Although an important activity, consumer outreach is a complementary measure not intended to replace the mitigation and/or preventive actions by the relevant authorities or by the providers.	重要な活動ではあるが、利用者の支援活動チは補完的な手段であり、関係当局や事業者による 緩和措置や予防措置に取って代わることを意図したものではない。
36th meeting of the ECASEC Expert Group	ECASEC専門家グループ第36回会合
The ECASEC group met for the first time this year yesterday and today. The meeting was organised in a hybrid format, in Croatia and online. Almost 60 experts from national authorities from EU, EFTA, EEA, and EU candidate countries, who are supervising the European telecom sector attended the meeting.	ECASECグループは、昨日と今日、今年初めての会合を開きました。会議はクロアチアとオンラインのハイブリッド形式で開催された。EU、EFTA、EEA、EU加盟候補国の各国当局から、欧州の通信セクターを監督する約60名の専門家が出席した。
The meeting engaged in discussions on the resilience of telecom networks particularly given the latest developments in Ukraine.	会議では、特にウクライナの最新情勢を踏まえ、通信ネットワークの回復力について議論が行われました。
The group discussed their strategy in view of the revision of the Directive on Network and Information Security also referred to as NIS2. This was the opportunity to get an update on the activities of the 5G cybersecurity WS of the NIS Cooperation Group and of the ad-hoc working group on 5G certification.	また、NIS2と呼ばれるネットワークと情報のセキュリティに関する指令の改定を視野に入れた戦略についても議論されました。この機会に、NIS協力グループの5GサイバーセキュリティWSと5G認証に関するアドホック・ワーキンググループの活動に関する最新情報を入手することができました。
The attendees had a chance to learn about the activities of the hosting regulatory Authority, HAKOM and also be informed by the Croatian CSIRT about the platform used for exchange of information on computer security incidents.	また、クロアチアのCSIRTから、コンピュータセキュリティインシデントに関する情報交換のためのプラットフォームについて説明を受けました。
ENISA presented some first insights on the submitted security incidents for 2021 and discussed the work programme for 2022.	ENISAは、2021年に提出されたセキュリティインシデントに関する最初の洞察を発表し、2022年の作業プログラムについて議論しました。
Finally, the Swedish competent Authority analysed their auditing mechanisms and the participants exchanged views on the supervision of the Number-Independent Interpersonal Communication Service (NI-ICS) providers under EECC.	最後に、スウェーデンの所轄庁が監査体制を分析し、参加者はEECCの下での番号独立型対人通信サービス（NI-ICS）プロバイダーの監督について意見交換を行った。
Background on ECASEC Expert Group, formerly known as the ENISA Article 13a group	ECASEC専門家グループ（旧ENISA13条aグループ）の背景
Established in 2010, the ENISA ECASEC expert group, formerly known as the ENISA Article 13a group, consists of about 60 experts from national telecom security authorities from EU Member States, EFTA countries, and EU candidate countries.	2010年に設立されたENISA ECASEC専門家グループ（旧ENISA 13aグループ）は、EU加盟国、EFTA諸国、EU加盟候補国の国家電気通信安全当局の専門家約60名で構成されています。
The group is a forum for exchanging information and good practices on telecom security. It produces policy guidelines for European authorities on the implementation of EU telecom security legislation, and publishes an annual summary report about major telecom security incidents.	同グループは、電気通信セキュリティに関する情報やグッドプラクティスを交換するためのフォーラムです。また、EUの通信セキュリティ法の施行に関する欧州当局の政策ガイドラインを作成し、主要な通信セキュリティインシデントに関する年次総括報告書を発行しています。
This group meets 3 times a year in order to discuss and agree on a common approach to telecom security supervision in the EU.	このグループは、EUにおける通信セキュリティ監督への共通のアプローチについて議論し、合意するために、年に3回会合を開いています。
Further Information:	さらに詳しい情報はこちら
Cyber Threats Outreach in Telecom	テレコム業界におけるサイバー脅威についての支援活動
Consumer Outreach Leaflet	利用者アウトリーチリーフレット
For more information about the ENISA ECASEC expert group see ENISA ECASEC EG portal	ENISA ECASEC専門家グループの詳細については、ENISA ECASEC EGポータルを参照してください。
If you want to join the ENISA telecom security mailing list, to be kept up to date about this group and our telecom security work, and to receive invitations for events and projects, please contact us via resilience (at) enisa.europa.eu	ENISA電気通信セキュリティメーリングリストに参加し、このグループや電気通信セキュリティに関する最新情報を入手したり、イベントやプロジェクトの招待を受けたりしたい場合は、resilience (at) enisa.europa.euまでご連絡ください。
ENISA Incident Reporting webpage	ENISA Incident Reporting ウェブページ
European Electronic Communications Code	欧州電子通信規約
NIS Directive – ENISA topic	NIS指令 - ENISAトピック

 

・2022.03.10 Cyber Threats Outreach In Telecom

Cyber Threats Outreach In Telecom	テレコム業界におけるサイバー脅威についての支援活動
In this paper, we aim to give guidance to national Authorities and providers of electronic communications networks and services regarding how to strike the right balance and carry out efficient and effective outreach to users about cyber threats.	この論文では、国家機関や電子通信ネットワーク・サービスのプロバイダーが、サイバー脅威について正しいバランスを取り、効率的かつ効果的に利用者に働きかける方法について指針を与えることを目的としています。

・[PDF]

 

1.   INTRODUCTION	1.   はじめに
1.1   TARGET AUDIENCE	1.1 対象者
1.2   POLICY CONTEXT	1.2 政策的背景
1.3   METHODOLOGY	1.3 方法論
2.   CASE STUDIES	2.   ケーススタディ
2.1   CASE STUDIES FROM THE TELECOM SECTOR	2.1 通信セクターのケーススタディ
2.2   CASE STUDIES FROM THE BANKING SECTOR	2.2 銀行セクターのケーススタディ
3.   STOCK TAKING OF CURRENT PRACTICES	3.   現行プラクティスの棚卸し
3.1   GENERAL APPROACH	3.1 一般的なアプローチ
3.2   TRIGGERS FOR OUTREACH	3.2 アウトリーチのトリガー
3.3   CONTENT OF THE COMMUNICATION	3.3 コミュニケーションの内容
3.4   TARGET AUDIENCE	3.4 対象者
3.5   COMMUNICATION CHANNELS USED	3.5 利用したコミュニケーション・チャンネル
3.6   MEASURING EFFECTIVENESS	3.6 効果の測定
4.   OUTREACH FRAMEWORK	4.   支援活動のフレームワーク
4.1   FRAMEWORK	4.1 フレームワーク
4.2   TRIGGER	4.2 トリガー
4.3   COMMUNICATION	4.3 コミュニケーション
4.4   EVALUATION	4.4 評価
4.5   CHECKLIST	4.5 チェックリスト
4.6   ISSUES/CHALLENGES	4.6 課題/問題点
5.   CONCLUSIONS	5.   結論
ANNEX: EXAMPLES	附属書：事例
A.1   WARNING USERS ABOUT FLUBOT SCAM MESSAGES	A.1 flubot詐欺のメッセージに関するユーザーへの警告
A.2   WARNING CUSTOMERS ABOUT SIM SWAPPING ATTACKS	A.2 SIMスワッピング攻撃に関する顧客への警告
A.3  WARNING CUSTOMERS ABOUT WHATSAPP EXPLOIT	A.3 Whatsappの悪用に関する顧客への警告

 

・2022.03.10 Cyber Threats Outreach In Telecom - Leaflet

Cyber Threats Outreach In Telecom - Leaflet	テレコム業界におけるサイバー脅威の支援活動 - リーフレット
This leaflet provides basic guidelines for National Authorities and telecom providers on how to inform users about cyber threats.	このリーフレットは、国家機関や電気通信事業者が、利用者にサイバー脅威を知らせるための基本的なガイドラインを提供するものです。

・[PDF]

 

CHECKLIST – WHEN AND HOW TO CARRY OUT OUTREACH ACTIVITIES

THREAT INFORMATION	Short name	Descriptive name of the threat
	Date	Date
	Description	Short description of the threat
	References	Reference to background information, media reports, etc
	Nature of the threat	Choose from: System failures, Natural phenomena, Malicious actions, human errors, third-party failures.
1. TRIGGER	Particular	Determine if the threat is particular or common/general.
	Significant risk	Determine if there is a significant risk: Assess the likelihood and the potential impact to find the level of risk
	Outreach or not	Yes or no
2. COMMUNICATE	Channel	Choose from: SMS, emails, social media (general or direct), company’s app, company’s website, other (please specify)
	Measures or remedy	List specific measures the customer can take or, if there are none, explain what the outreach aims to achieve.
	Include threat information	Assess whether information about the threat itself can be included in the outreach.
3. EVALUATE	Communication received	Describe how to measure if the communication reached the customers.
	Did customers take action?	Describe how to measure if the customers reacted
	Other KPIs	Describe other KPIs that can be used to assess effectiveness.

 

脅威情報	略称	脅威の具体的な名称
	日付	日付
	内容	脅威の簡単な説明
	参考文献	背景情報、メディア報道などの参照
	脅威の性質	システム障害、自然現象、悪意ある行為、ヒューマンエラー、第三者の障害から選択。
1. トリガー	性質	その脅威が特殊なものか、一般的なものかを判断する。
	重大なリスク	重大なリスクがあるかどうかを判断する。可能性と潜在的な影響を評価し、リスクのレベルを見出す
	支援必要性の有無	はい または いいえ
2. コミュニケーション	チャンネル	選択項目：SMS、メール、ソーシャルメディア（一般・ダイレクト）、自社アプリ、自社サイト、その他（具体的にご記入ください）
	対策・改善策	顧客ができる具体的な対策を挙げるか、ない場合は、アウトリーチが何を目的としているかを説明する。
	脅威情報を含む	脅威そのものに関する情報をアウトリーチに含めることが可能かどうかを評価する。
3. 評価	コミュニケーション	コミュニケーションが顧客に届いたかどうかを測定する方法を記述する。
	顧客が行動を起こしたか？	顧客が反応したかどうかを測定する方法を説明する。
	その他のKPI	効果を評価するために使用できる他のKPIを記述する。