ENISA 相互運用可能なEUのリスク管理フレームワーク・ツールボックス
こんにちは、丸山満彦です。
ENISAは相互運用可能なEUのリスク管理フレームワークについての文書を発行しておりますが、その文書を補完?する位置付けとしてソリューションを紹介するツールボックスを公表しましたね。。。
サイバーセキュリティ対策はリスクマネジメントの一部ですから、当たり前なのですが、組織内にリスクマネジメントの仕組みがあればそれと整合するように設計、運用するのが良いわけです。。。組織が参考しているリスクマネジメントのフレームワークを理解し、このような文書を利用して整合性をとることが容易になるかもですね。。。
● ENISA
・2023.02.21 Interoperable EU Risk Management Toolbox
Interoperable EU Risk Management Toolbox | 相互運用可能なEUリスクマネジメント・ツールボックス |
This document presents the EU RM toolbox, a solution proposed by ENISA to address interoperability concerns related to the use of information security RM methods. The toolbox aims to facilitate the smooth integration of various RM methods in an organisation’s environment or across organisations and bridge the gaps associated with the methods’ disparate respective approaches. With the help of the toolbox, shareholders will be able to have a common understanding of risks and report interoperable risk assessment results to the community and competent authorities. | 本書は、情報セキュリティのリスクマネジメント手法の使用に関連する相互運用性の懸念に対処するためにENISAが提案したソリューションであるEU RMツールボックスを提示するものである。このツールボックスは、組織の環境内または組織間の様々なリスク管理手法の円滑な統合を促進し、手法ごとの異種アプローチに関連するギャップを埋めることを目的としている。本ツールボックスを利用することで、株主はリスクを共通に理解し、相互運用可能なリスク評価結果をコミュニティや所轄官庁に報告することができるようになる。 |
・[PDF]
エグゼクティブサマリー...
Executive summary | エグゼクティブサマリー |
The benefits of the European digital economy and society can only be fully attained under the premise of cybersecurity. All layers of society can be affected and the EU needs to be ready to respond to massive (large-scale and cross-border) cyberattacks and cyber crises. Cross-border interdependencies have highlighted the need for effective cooperation between EU Member States and EU institutions for a faster response and proper coordination of efforts at all levels (strategic, operational, technical and communications). Under this perspective, it is important not only to define interoperable terms in EU risk management (RM) and regulatory frameworks, but also to develop common/comparative risk scales, which will allow for the interpretation of the risk analysis outputs that result from different RM methods, so that the risk levels are comparable. | 欧州のデジタル経済・社会がもたらす恩恵は、サイバーセキュリティを前提として初めて完全に達成される。社会のあらゆる層が影響を受ける可能性があり、EUは大規模な(大規模で国境を越えた)サイバー攻撃やサイバー危機に対応する準備が必要である。国境を越えた相互依存関係は、より迅速な対応とあらゆるレベル(戦略、運用、技術、コミュニケーション)における努力の適切な調整のために、EU加盟国とEU機関の間の効果的な協力の必要性を浮き彫りにしている。このような観点から、EUのリスクマネジメント(RM)および規制の枠組みにおいて相互運用可能な用語を定義するだけでなく、異なるRM手法から得られるリスク分析結果の解釈を可能にする共通/比較可能なリスク尺度を開発し、リスクレベルを比較可能にすることが重要である。 |
This document presents the EU RM toolbox, a solution proposed by ENISA to address interoperability concerns related to the use of information security RM methods. The toolbox aims to facilitate the smooth integration of various RM methods in an organisation’s environment or across organisations and bridge the gaps associated with the methods’ disparate respective approaches. With the help of the toolbox, shareholders will be able to have a common understanding of risks and report interoperable risk assessment results to the community and competent authorities. | 本書は、情報セキュリティのRM手法の使用に関連する相互運用性の懸念に対処するためにENISAが提案したソリューションであるEU RMツールボックスを提示するものである。ツールボックスは、組織環境内または組織間での様々なRM手法の円滑な統合を促進し、手法ごとの異質なアプローチに関連するギャップを埋めることを目的としている。ツールボックスの支援により、株主はリスクについて共通の理解を持ち、相互運用可能なリスク評価結果をコミュニティや所轄官庁に報告することができるようになる。 |
序文...
1. Introduction | 1. 序文 |
1.1. Purpose and scope | 1.1. 目的及び範囲 |
This report is part of ENISA’s project ‘Building interoperable EU risk management frameworks vol. 02’, which extends and builds on prior work carried out in 2021 and produced the following reports: | 本報告書は、ENISAのプロジェクト「相互運用可能なEUリスクマネジメントの枠組み構築 vol.02」の一部であり、2021年に実施された先行作業を拡張・構築して、以下の報告書を作成したものである。 |
1. 相互運用が可能なリスクマネジメントフレームワークの大要 | 1. 相互運用可能な EU リスクマネジメントフレームワーク |
2. Compendium of Risk Management Frameworks with Potential Interoperability | 2. 相互運用が可能なリスクマネジメントフレームワークの大要 |
The interoperable EU RM toolbox (also referred to in this document as the ‘toolbox’) aims to provide a reference framework that supports the interpretation, comparison and aggregation of the results produced by different risk assessment methods. The EU RM toolbox will allow different stakeholders to work on common threats and risk scenarios and compare their risk levels, even if they are assessed through different or proprietary tools and methods. Such comparative results on the security posture of the organisations will allow different organisations, along with policymakers and regulators, to develop an integrated view on the cybersecurity posture of organisations against specific and/or emerging threats in specific sectors, and across different sectors and countries. | 相互運用可能なEUリスクマネジメントツールボックス(本書では「ツールボックス」と呼ぶ)は、異なるリスク評価手法によって得られた結果の解釈、比較、集計を支援する参照フレームワークを提供することを目的としている。EUのRMツールボックスは、異なる利害関係者が共通の脅威とリスクシナリオに取り組み、異なるまたは独自のツールや手法で評価されたとしても、そのリスクレベルを比較することを可能にするものである。組織のセキュリティ態勢に関するこのような比較結果は、政策立案者や規制当局とともに、異なる組織が、特定の部門、異なる部門や国にわたる特定の脅威や新たな脅威に対する組織のサイバーセキュリティ態勢について、統合的な見解を展開することを可能にする。 |
To this end, the EU RM toolbox will provide directions and facilitate the comparison and interpretation of the cybersecurity readiness of different information systems infrastructures against a specific threat scenario or a set of threat scenarios (e.g. physical threats). | この目的のために、EU RM ツールボックスは、特定の脅威シナリオまたは一連の脅威シナリオ(例:物理的脅威)に対する異なる情報システム基盤のサイバーセキュリティ準備の方向性を提供し、比較と解釈を促進するものである。 |
The objective of this document is to define a scheme and the required set of components (common terminology, assets classification, threat taxonomy and impact/risk scales) that will allow for the interpretation of the risk analysis outputs that result from different RM frameworks. | この文書の目的は、異なる RM フレームワークから得られるリスク分析結果の解釈を可能にするスキームと必要な構成要素(共通用語、資産分類、脅威分類法、影響・リスク尺度)を定義することである。 |
1.2. Report structure | 1.2. 報告書の構成 |
This report includes four sections: Section 1 (Introduction) defines the toolbox’s purpose and scope; Section 2 (Interoperable EU RM toolbox) presents the concept, the scheme and the components of the toolbox; Section 3 (Method of use) outlines the way in which the EU RM toolbox will be used by stakeholders; and Section 4 (Toolbox evolvement) proposes ways in which the toolbox can be further enriched with additional information to achieve its long-term objectives. Section 5 (Conclusions) summarises our conclusions. | 本報告書は 4 つのセクションから構成されている。セクション1(序文)はツールボックスの目的と範囲を定義し、セクション2(相互運用可能なEU RMツールボックス)はコンセプト、スキーム、ツールボックスの構成要素を示し、セクション3(使用方法)はEU RMツールボックスの関係者による使用方法の概要を示し、セクション4(ツールボックス進化)はツールボックスがその長期目的を達するために追加情報でさらに充実できる方法を提案している。セクション5(結論)は、我々の結論を要約したものである。 |
This report also includes the following annexes: | 本報告書には、以下の附属書も含まれている。 |
• Annex I – Terminology | ・附属書 I - 用語集 |
• Annex II – Assets | ・附属書II - 附属書II - 資産 |
• Annex III – Threats | ・附属書III - 脅威 |
• Annex IV – Impact levels | ・附属書IV - 影響度 |
• Annex V – Risk levels | ・附属書V - リスクレベル |
• Annex VI – Risk calculation interoperability samples | ・附属書VI - リスク算出の相互運用性サンプル |
• Annex VII – Toolbox libraries | ・附属書VII - ツールボックスライブラリ |
• Annex VIII – Use case example. | ・附属書VIII - ユースケース例 |
Figure 1: The role of the EU RM toolbox and its positioning in the RM process
Figure 2: EU RM toolbox evolvement
目次...
1. INTRODUCTION | 1. 序文 |
1.1. Purpose and scope | 1.1. 目的及び範囲 |
1.2. Report structure | 1.2. 報告書の構成 |
1.3. Definitions of abbreviations | 1.3. 略語の定義 |
2. INTEROPERABLE EU RM TOOLBOX | 2. 相互運用可能な EU RM ツールボックス |
2.1. Method of work | 2.1. 作業方法 |
2.2. EU RM toolbox description | 2.2. EU RM ツールボックスの説明 |
2.3. Toolbox components | 2.3. ツールボックスの構成要素 |
2.3.1.Knowledge base | 2.3.1.ナレッジベース |
2.3.2. Functional components | 2.3.2. 機能コンポーネント |
3. METHOD OF USE | 3. 使用方法 |
3.1. Basic concepts and terms | 3.1. 基本的な考え方と用語 |
3.2. Risk evaluation against a specific threat | 3.2. 特定の脅威に対するリスク評価 |
3.3. Use case development process | 3.3. ユースケース開発プロセス |
4. TOOLBOX EVOLVEMENT | 4. ツールボックスの進化 |
5. CONCLUSIONS | 5. 結論 |
A Annex I – Toolbox terminology | A 附属書 I - ツールボックスの用語集 |
B Annex II – Toolbox asset classification | B 附属書II - ツールボックスの資産分類 |
C Annex III – Toolbox threat taxonomy | C 附属書III - ツールボックスの脅威分類法 |
D Annex IV – Toolbox impact scale | D 附属書IV - ツールボックスの影響尺度 |
E Annex V – Toolbox risk scale | E 附属書V - ツールボックスのリスク尺度 |
F ANNEX VI – Risk calculation interoperability samples | F 附属書VI - リスク計算の相互運用性サンプル |
G Annex VII – Toolbox libraries | G 附属書VII - ツールボックスライブラリ |
H Annex VIII – Use case example | H 附属書VIII - ユースケース例 |
Scenario description | シナリオの説明 |
Indicative assets in scope | 対象範囲に含まれる主な資産 |
Attack path | 攻撃経路 |
Attack scenarios | 攻撃シナリオ |
Deliverables | 成果物 |
6. BIBLIOGRAPHY / REFERENCES | 6. 書誌・参考文献 |
ツール...
- [XLSX] EU RM Toolbox Library 01 - Terms Mappings
- [XLSX] EU RM Toolbox Library 02 - Assets Mappings
- [XLSX] EU RM Toolbox Library 03 - Threats Mappings
- [XLSX] EU RM Toolbox Library 04 - Risk-Impact Levels Mappings
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.01.25 ENISA 相互運用可能なEUのリスク管理フレームワーク 2022年更新版 (2023.01.16)
・2022.01.18 ENISA 相互運用可能なEUのリスク管理フレームワーク
Comments