ENISA 国家サイバーセキュリティ戦略の実施に向けた効果的なガバナンスフレームワークの構築: まるちゃんの情報セキュリティ気まぐれ日記

June 2023
Sun	Mon	Tue	Wed	Thu	Fri	Sat
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30

2023.03.03

ENISA 国家サイバーセキュリティ戦略の実施に向けた効果的なガバナンスフレームワークの構築

こんにちは、丸山満彦です。

この報告書は、EUサイバーセキュリティ法が、加盟国によるネットワークと情報システムのセキュリティに関する国家戦略の策定をENISAが支援し、これらの戦略の正しい展開を促進し、国家戦略（国家サイバーセキュリティ戦略 - NCSS）の持続性を確保するガバナンスの枠組みを設定しなければならないと定めていることから発行されているようですね。。。

ガバナンスを

政治的 (Political) ガバナンス
戦略的 (Strategic) ガバナンス
運用 (Operational) ガバナンス
技術的 (Technical) ガバナンス

にわけているのが興味深いですね。。。

個人的には、サイバーセキュリティ戦略よりも、英国のサイバー戦略のほうが腹落ちをする感じだったりします。。。

● ENISA

・2023.02.28 Building Effective Governance Frameworks for the Implementation of National Cybersecurity Strategies

Building Effective Governance Frameworks for the Implementation of National Cybersecurity Strategies

国家サイバーセキュリティ戦略の実施に向けた効果的なガバナンスフレームワークの構築

This study is focusing on the good practices around the set-up and deployment of a governance framework to support the implementation of the NCSS in the EU. The objective is to systematically review existing governance models relevant to the deployment of a NCSS and to identify and select the most relevant instances, lessons learned, and good practices from the EU Member States. The report aims to collect insights on the definition of processes, roles, and responsibilities, the subsequent deployment of monitoring measures, and to identify the main challenges and good practices that the EU Member States put in place to ensure an effective governance framework for the implementation of NCSSs.

本研究は、EUにおけるNCSSの実施を支援するためのガバナンスフレームワークの設定と展開に関するグッドプラクティスに焦点をあてている。その目的は、NCSSの展開に関連する既存のガバナンスモデルを体系的にレビューし、EU加盟国から最も関連性の高い事例、教訓、グッドプラクティスを特定・選択することである。本報告書は、プロセス、役割、責任の定義、その後のモニタリング手段の展開に関する洞察を収集し、EU加盟国がNCSS実施のための効果的なガバナンスの枠組みを確保するために導入した主な課題とグッドプラクティスを特定することを目的としている。

・[PDF]

目次...

1. EXECUTIVE SUMMARY	1. エグゼクティブサマリー
2. ABBREVIATIONS	2. 用語解説
3. INTRODUCTION	3. 序文
3.1 METHODOLOGICAL APPROACH	3.1 方法論的アプローチ
4. COMMON ELEMENTS OF GOVERNANCE MODELS	4. ガバナンスモデルに共通する要素
4.1 DEFINITION OF GOVERNANCE, CYBER GOVERNANCE AND GOVERNANCE MODELS	4.1 ガバナンス、サイバーガバナンス、ガバナンスモデルの定義
4.1.1 Governance	4.1.1 ガバナンス
4.1.2 Cyber governance	4.1.2 サイバー・ガバナンス
4.1.3 Governance Models	4.1.3 ガバナンス・モデル
4.2 THE STATE OF ART OF GOVERNANCE MODEL FOR NCSS	4.2 NCSSのガバナンスモデルの現状
4.2.1 Political governance	4.2.1 政治的ガバナンス
4.2.2 Strategic governance	4.2.2 戦略的ガバナンス
4.2.3 Operational governance	4.2.3 運用ガバナンス
4.2.4 Technical governance	4.2.4 技術的ガバナンス
4.3 THE STATE OF THE ART: STATUS OF THE NCSS ACROSS THE EU MEMBER STATES	4.3 最先端技術の現状 EU加盟国のNCSSの状況
5. SETTING UP A GOVERNANCE MODEL	5. ガバナンスモデルの設定
5.1 POLITICAL GOVERNANCE	5.1 政治的ガバナンス
5.1.1 Political processes	5.1.1 政治的プロセス
5.1.2 Roles and responsibilities	5.1.2 役割と責任
5.1.3 Legal measures	5.1.3 法的措置
5.2 STRATEGIC GOVERNANCE	5.2 戦略的ガバナンス
5.2.1 Elements concerning the NCSS itself	5.2.1 NCSSそのものに関する要素
5.2.2 Elements related to the planning of the governance model and strategy’s implementation	5.2.2 ガバナンスモデルと戦略実行の計画に関する要素
5.2.3 Elements of the strategic aspects of risk identification and mitigation	5.2.3 リスクの特定と軽減の戦略的側面に関する要素
5.3 OPERATIONAL GOVERNANCE	5.3 運用ガバナンス
5.3.1 Elements about awareness raising campaigns, outreach campaigns and trainings to foster capacity-building	5.3.1 能力開発を促進するための意識向上キャンペーン、アウトリーチキャンペーン及び研修に関する要素
5.3.2 Elements of the incident response	5.3.2 インシデント対応に関する要素
5.3.3 Elements of the information sharing processes	5.3.3 情報共有プロセスの要素
5.4 TECHNICAL GOVERNANCE	5.4 技術的ガバナンス
5.4.1 Technological standardisation	5.4.1 技術的標準化
5.4.2 Use of technology, tools and certification schemes	5.4.2 技術、ツール及び認証スキームの利用
6. MONITORING A GOVERNANCE MODEL	6. ガバナンスモデルのモニタリング
6.1 MONITORING MECHANISMS OF GOVERNANCE MODELS DEPLOYED ACROSS THE MEMBER STATES	6.1 加盟国間で展開されているガバナンスモデルの監視メカニズム
6.2 POTENTIAL RE-USE OF EXISTING KPIS	6.2 既存の KPI の再利用の可能性
6.2.1 NCAF KPIs	6.2.1 NCAFのKPI
6.2.2 EU Cybersecurity Index	6.2.2 EUサイバーセキュリティ指標
6.2.3 ITU Global Cybersecurity Index indicators	6.2.3 ITUグローバル・サイバーセキュリティ・インデックス（ITU Global Cybersecurity Index）の指標
6.2.4 Cybersecurity Capacity Maturity Model for Nations (CMM)	6.2.4 国家のためのサイバーセキュリティ能力成熟度モデル（CMM）
7. CONCLUSION	7. 結論
8. BIBLIOGRAPHY / REFERENCES	8. 書誌事項・参考文献
A ANNEX: ORGANISATIONAL CHARTS OF MEMBER STATES CYBERSECURITY EN55	A 附属書：加盟国の組織図サイバーセキュリティ EN55
A.1 AUSTRIA	A.1 オーストリア
A.2 BELGIUM	A.2 ベルギー
A.3 CROATIA	A.3 クロアチア
A.4 CYPRUS	A.4 キプロス
A.5 CZECH REPUBLIC	A.5 チェコ共和国
A.6 ESTONIA	A.6 エストニア
A.7 ITALY	A.7 イタリア
A.8 NETHERLANDS	A.8 オランダ
A.9 SPAIN	A.9 スペイン
B ANNEX: EXISTING SETS OF KPIS	B 附属書：既存のKPIセット
B.1 NCAF INDICATORS	B.1 NCAF指標
B.1.1 Cluster #1: Cybersecurity governance and standards	B.1.1 クラスター#1: サイバーセキュリティのガバナンスと基準
B.1.2 Cluster #2: Capacity-building and awareness	B.1.2 クラスター#2: キャパシティービルディングと意識向上
B.1.3 Cluster #3: Legal and regulatory	B.1.3 クラスター#3: 法的規制
B.1.4 Cluster #4: Cooperation	B.1.4 クラスター#4:協力関係
B.2 ITU GLOBAL CYBERSECURITY INDEX KPIS AND SPECIFIC QUESTIONS ON NATIONAL CYBERSECUIRTY STRATEGY	B.2 ITU グローバル・サイバーセキュリティ指標 KPI と国家サイバーセキュリティ戦略に関する具体的質問事項
B.2.1 Indicators	B.2.1 指標
B.2.2 Questions on national cybersecurity strategy	B.2.2 国家のサイバーセキュリティ戦略に関する設問
B.3 CYBERSECURITY CAPACITY MATURITY MODEL FOR NATIONS (CMM)	B.3 国家のサイバーセキュリティ能力成熟度モデル(CMM)
B.3.1 Factor - D 1.1: National Cybersecurity Strategy	B.3.1 要素 - D 1.1：国家サイバーセキュリティ戦略
B.3.2 Factor - D 1.2: Incident Response and Crisis Management	B.3.2 要素 - D 1.2：インシデントレスポンスとクライシスマネジメント
B.3.3 Factor - D 1.3: Critical Infrastructure (CI) Protection	B.3.3 要素 - D 1.3：重要インフラ（CI）保護
B.3.4 Factor - D 1.4: Cybersecurity in Defence and National Security	B.3.4 要素 - D 1.4：国防及び国家安全保障におけるサイバーセキュリティ
B.3.5 Factor - D 2.1: Cybersecurity Mindset	B.3.5 要素 - D 2.1：サイバーセキュリティのマインドセット
B.3.6 Factor - D 2.2: Trust and Confidence in Online Services	B.3.6 要素 - D 2.2：オンラインサービスに対する信頼と信用
B.3.7 Factor - D 2.3: User Understanding of Personal Information Protection Online	B.3.7 要素 - D 2.3：オンライン上の個人情報保護に関する利用者の理解度
B.3.8 Factor - D 2.4: Reporting Mechanisms	B.3.8 要素 - D 2.4：通報の仕組み
B.3.9 Factor - D 2.5: Media and Online Platforms	B.3.9 要素 - D 2.5：メディア及びオンラインプラットフォーム
B.3.10 Factor - D 3.1: Building Cybersecurity Awareness	B.3.10 要素 - D 3.1：サイバーセキュリティに対する意識の構築
B.3.11 Factor - D 3.2: Cybersecurity Education	B.3.11 要素 - D 3.2：サイバーセキュリティ教育
B.3.12 Factor - D 3.3: Cybersecurity Professional Training	B.3.12 要素 - D 3.3：サイバーセキュリティの専門家養成
B.3.13 Factor - D 3.4: Cybersecurity Research and Innovation	B.3.13 要素 - D 3.4：サイバーセキュリティの研究と革新
B.3.14 Factor - D 4.1: Legal and Regulatory Provisions	B.3.14 要素 - D 4.1：法的規制条項
B.3.15 Factor - D 4.2: Related Legislative Frameworks	B.3.15 要素 - D 4.2：関連する法的枠組み
B.3.16 Factor - D 4.3: Legal and Regulatory Capability and Capacity	B.3.16 要素 - D 4.3：法的・規制的能力・制度
B.3.17 Factor - D 4.4: Formal and Informal Co-operation Frameworks to Combat Cybercrime	B.3.17 要素 - D 4.4：サイバー犯罪に対抗するための公式・非公式な協力体制
B.3.18 Factor - D 5.1: Adherence to Standards	B.3.18 要素 - D 5.1：標準への準拠
B.3.19 Factor - D 5.2: Security Controls	B.3.19 要素 - D 5.2：セキュリティ管理
B.3.20 Factor – D 5.3 Software Quality	B.3.20 要素 - D 5.3：ソフトウエアの品質
B.3.21 Factor - D 5.4: Communications and Internet Infrastructure Resilience	B.3.21 要素 - D 5.4：通信及びインターネットインフラストラクチャのレジリエンス
B.3.22 Factor - D 5.5: Cybersecurity Marketplace	B.3.22 要素 - D 5.5：サイバーセキュリティ市場

エグゼクティブサマリー

1. EXECUTIVE SUMMARY	1. エグゼクティブサマリー
The importance of a sound governance model for the implementation of the National	国家サイバーセキュリティ戦略（NCSE）の実施には、健全なガバナンスモデルが重要である。
Cybersecurity Strategies (NCSSs) has been highlighted in numerous testimonies of the Member States as well as included in the NIS and NIS2 Directive. However, each country deploys its own governance model with a different level of maturity.	サイバーセキュリティ戦略 (NCSS) の実施における健全なガバナンスモデルの重要性は、NIS および NIS2 指令に含まれるだけでなく、加盟国の数多くの証言でも強調されている。しかし、各国はそれぞれ異なる成熟度のガバナンスモデルを展開している。
ENISA, taking on its mandate to support and promote the development, deployment and implementation of the NCSS and accompanying governance models, produced this study on "Building Effective Governance Frameworks for The Implementation of National Cybersecurity Strategies". It analyses existing governance models to share a set of good practices when developing a governance model and putting in place the different governance elements.	ENISAは、NCSSとそれに付随するガバナンスモデルの開発、展開、実施を支援・促進する任務を担い、「国家サイバーセキュリティ戦略の実施のための効果的なガバナンスフレームワークの構築」に関するこの研究を作成した。この研究では、既存のガバナンスモデルを分析し、ガバナンスモデルを開発し、様々なガバナンス要素を導入する際のグッドプラクティスを共有している。
The proposed governance model consists of four layers with 10 sub-categories, and provides a total of 28 good practices:	提案するガバナンスモデルは、4つのレイヤーと10のサブカテゴリーで構成されており、合計28のグッドプラクティスを提供している。
• Political governance	• 政治的ガバナンス
o Political processes;	o 政治的プロセス
o Roles and responsibilities; and	o 役割と責任
o Legal measures.	o 法的措置
• Strategic governance	• 戦略的ガバナンス
o Strategy itself and its implementation; and	o 戦略そのものとその実施
o Risk identification and mitigation.	o リスクの特定と緩和
• echnical governance	• 技術的ガバナンス
o International standards and technical guidelines; and	o 国際規格及び技術指針
o Use of technology, tools and certification schemes.	o 技術、ツール、認証スキームの使用
• Operational governance	• 運用ガバナンス
o Awareness raising;	o 意識改革
o Incident response; and	o インシデント対応、及び
o Information sharing.	o 情報共有
The good practices have been defined based on data collected through desk research and interviews with experts and relevant stakeholders from the Member States. The data collected has been analysed to identify trends, and effective instances across the different elements of governance. While the interviews had a European focus with 19 interviews with stakeholders from 18 EU Member States, the geographical scope of the desk research includes a global outreach.	グッドプラクティスは、加盟国の専門家や関係者との机上調査やインタビューを通じて収集されたデータに基づいて定義されている。収集したデータを分析し、ガバナンスのさまざまな要素における傾向や効果的な事例を特定した。インタビューはヨーロッパに焦点を当て、18のEU加盟国から19人の関係者にインタビューを行ったが、である机上調査の地理的範囲には、グローバルなアウトリーチが含まれている。
Finally, this report provides insights on KPIs and general indicators to monitor and evaluate the status of implementation of the NCSS and its governance model.	最後に、本報告書はNCSSとそのガバナンスモデルの実施状況を監視・評価するためのKPIと一般的な指標に関する洞察を提供するものである。

序文、ガバナンスの要素...

3. INTRODUCTION	3. 序文
With the publication of the Network and Information Security (NIS) Directive^[1] in July 2016 and issuing of the draft agreement of the NIS2 in June 2022, the EU Member States have been required to adopt a National Cybersecurity Strategy (NCSS). The NCSS should put forward strategic principles, and guidelines, objectives and priorities to improve and maintain a higher level of security in the context of network and information systems.	2016年7月のネットワークと情報セキュリティ（NIS）指令[1]の発行と2022年6月のNIS2の合意案発行により、EU加盟国は国家サイバーセキュリティ戦略（NCSS）を採択することが求められるようになった。NCSSは、ネットワークと情報システムの文脈でより高いレベルのセキュリティを改善し維持するための戦略的原則、およびガイドライン、目標、優先順位を提示する必要がある。
In this relation, and as stated by the EU Cybersecurity Act^[2], ENISA shall not only support the Member States in developing national strategies but shall also promote the effective deployment of those strategies and support the set-up of a governance model ensuring the sustainability of the NCSS.	この関連で、またEUサイバーセキュリティ法[2]にあるように、ENISAは加盟国による国家戦略の策定を支援するだけでなく、これらの戦略の効果的な展開を促進し、NCSSの持続可能性を確保するガバナンスモデルの構築を支援しなければならない。
As part of its mandate, ENISA publishes a study focusing on the good practices around the setup and deployment of a governance framework to support the implementation of the NCSS in the EU. The objective of this study is to systematically review existing governance models relevant to the deployment of a NCSS and to identify and select the most relevant instances, lessons learned, and good practices from the EU Member States.	ENISAは、その任務の一環として、EUにおけるNCSSの実施を支援するためのガバナンスの枠組みの構築と展開に関するグッドプラクティスに焦点を当てた研究を発表している。この研究の目的は、NCSSの展開に関連する既存のガバナンスモデルを体系的にレビューし、EU加盟国から最も関連性の高い事例、学んだ教訓、優れた実践を特定・選択することである。
This study aims to collect insights on the definition of processes, roles, and responsibilities, the subsequent deployment of monitoring measures, and to identify the main challenges and good practices that the EU Member States put in place to ensure an effective governance framework for the implementation of NCSSs.	この研究の目的は、プロセス、役割、責任の定義、その後のモニタリング手段の展開に関する見識を収集し、EU加盟国がNCSSの実施のための効果的なガバナンスの枠組みを確保するために導入した主な課題とグッドプラクティスを特定することである。
3.1 METHODOLOGICAL APPROACH	3.1 方法論的アプローチ
The methodological approach used to gather the best practices of governance frameworks relies on four main steps:	ガバナンスの枠組みのベストプラクティスを収集するために用いた方法論的アプローチは、4 つの主要なステップに依存している。
1. Desk Research: The first step involved conducting an extensive literature review to collect good practices and trends on governance models. The desk research has been focused on good practices adopted in the EU Member States, while insights collected from around the world complement the analysis. A systematic literature review approach has been deployed to review all documents coherently and to methodologically assess the insights of each source in terms of relevance, usefulness, and applicability.	1. 机上調査：最初のステップでは、ガバナンスモデルに関するグッドプラクティスや傾向を収集するため、広範な文献調査を行った。机上調査は、EU加盟国で採用されているグッドプラクティスに焦点を当てましたが、世界各国から収集した知見も分析を補完するものである。すべての文献を一貫してレビューし、各出典の洞察を関連性、有用性、適用可能性の観点から方法論的に評価するために、体系的な文献レビューアプローチを展開した。
2. Collection of experts and stakeholders’ points of view: In this context, 19 stakeholders from 18 EU Member States have been interviewed to gain first-hand insights on the status of governance models across the EU Member States, and to identify good practices, as well as challenges, needs and lessons learned. The national stakeholders have all been part of the national authority or government body in charge of the cybersecurity strategy.	2. 専門家およびステークホルダーの見解の収集：この文脈では、EU加盟国全体のガバナンスモデルの状況について直接的な洞察を得るとともに、グッドプラクティス、ならびに課題、ニーズ、教訓を特定するために、EU加盟18カ国から19人のステークホルダーをインタビューした。各国のステークホルダーは、いずれもサイバーセキュリティ戦略を担当する国の当局や政府機関の一員であった。
3. Analysis of stocktaking input: The data collected through desk research and interviews were subsequently analysed to identify good practices in the design of a governance framework.	3. 棚卸しインプットの分析：その後、机上調査とインタビューを通じて収集したデータを分析し、ガバナンスのフレームワークを設計する際のグッドプラクティスを特定した。
4. Definition of best practices for governance: Thereafter, good practices and trends in setting up governance models have been defined and validated with national experts, before publication.	4. ガバナンスのベストプラクティスの定義：その後、ガバナンスモデルを設定する際のグッドプラクティスや傾向を定義し、国内の専門家による検証を経て、発行に至った。
The target audience of this study includes policymakers, experts, and government officials responsible for or involved in designing, implementing, and monitoring the NCSS, its processes, actions, and objectives.	本調査の想定読者は、NCSS、そのプロセス、行動、目的の設計、実施、モニタリングに責任を持つ、または関与する政策立案者、専門家、政府関係者である。
4. COMMON ELEMENTS OF GOVERNANCE MODELS	4. ガバナンスモデルに共通する要素
This section defines a common understanding of the concepts of governance, cyber governance, and governance models. Moreover, it highlights the main results and insights from the literature review conducted on the topic of governance models of NCSS. By doing so it outlines the main elements of different levels of governance and builds the framework for analysis leveraged on in chapter 5.	本節では、ガバナンス、サイバーガバナンス、ガバナンスモデルという概念の共通認識を定義する。さらに、NCSS のガバナンスモデルをテーマとして実施した文献レビューの主な結果と考察を明らかにする。これにより、さまざまなレベルのガバナンスの主要な要素を概説し、第5章で活用する分析の枠組みを構築する。
4.1 DEFINITION OF GOVERNANCE, CYBER GOVERNANCE AND GOVERNANCE MODELS	4.1 ガバナンスの定義、サイバーガバナンスとガバナンスモデル
The desk research on governance models included 49 sources, reaching from academic and scientific articles, over reports, to guides on how to develop governance models as well as governance models themselves. The main focus of the geographical scope has been the EU, nevertheless, inputs from other countries (e.g., USA) have been considered to ensure a wide array of results and to also take into account the developments in other parts of the world.	ガバナンスモデルに関する机上調査では、学術論文から報告書、ガバナンスモデルの開発方法に関するガイド、ガバナンスモデルそのものに至るまで、49の情報源を対象とした。地理的には EU を中心に調査したが、他の国（例：米国）からのインプットも考慮し、幅広い結果を得るとともに、世界の他の地域の発展も考慮した。
4.1.1 Governance	4.1.1 ガバナンス
The term governance is used in a plethora of different topics and different contexts. Following the vast amount of available literature on the topic of governance, there is not one, allencompassing definition that would hold across its different areas of application. Rather, multiple but complementary, partly overlapping definitions exist to describe and detail what ‘governance’ entails.	ガバナンスという用語は、様々なテーマや文脈で使用されている。ガバナンスに関する膨大な文献を見ると、様々な分野で通用する包括的な定義は存在しないことがわかる。むしろ、複数の定義が存在するが、補完的であり、部分的に重なり合いながら、「ガバナンス」が何を意味するのかを説明している。
Stemming from the original meaning of ‘governing’ in the context of individual rule it is and has been used throughout time often about institutional structures. The concept originally describes actions and processes to lead, structure, and enable institutions and organisations to exist, function, and persist. Only recently, governance has been related to international institutions and gained popularity. It has started to be used by international organisations such as the European Union, World Bank, the International Monetary Fund (IMF), and the Organisation for Economic Co-operation and Development (OECD) more frequently. Further, it has been stated that since the concept has gained more popularity, governance became one of the most controversially discussed topics when it comes to democracy theory and democratisation.[3] Governance is predominantly seen as:	元来、「統治」は個人の支配という意味で使われていたが、時代とともに制度的な構造について使われることが多くなった。この概念はもともと、制度や組織が存在し、機能し、存続できるように導くための行動やプロセスを説明するものである。最近になって、ガバナンスは国際的な制度と関連づけられ、広く知られるようになった。欧州連合（EU）、世界銀行、国際通貨基金（IMF）、経済協力開発機構（OECD）などの国際機関でも頻繁に使用されるようになった。さらに、この概念が普及して以来、ガバナンスは民主主義論や民主化に関して最も議論されるテーマの1つとなったとも言われている[3]。
• a process to coordinate a network of stakeholders with independent positions, opposing and conflicting opinions and interests;	・独立した立場,対立する意見,利害を持つステークホルダーのネットワークを調整するプロセス
• a mechanism to steer and control society, and results from the interaction of political, economic and social actors;	・社会を舵取りし,コントロールするメカニズムであり,政治的,経済的,社会的なアクターの相互作用から生じるもの。
• a complex system including different stakeholders from the public administration, the private sector and non-governmental organizations, influenced by interactions thereof; and	・行政,民間企業,非政府組織などのさまざまな利害関係者を含み,それらの相互作用の影響を受ける複雑なシステム。
• a triangle composed of participation, transparency and accountability and creates a framework “regulating socio-economic conditions, developing social and physical infrastructures, and providing social security nets”.[4]	- 参加、透明性、説明責任からなる三角形で、「社会経済的条件の調整、社会的・物理的インフラの開発、社会保障網の提供」の枠組みを作る[4]。
For the remainder of this study, we will use the following definition of governance:	本研究の残りの部分では、以下のようなガバナンスの定義を用いることにする。
Governance describes a complex system, defining roles, responsibilities, processes and relationships between involved actors. Governance includes stakeholders from the private sector, public administration as well as civil society and spans over different topics such as economic, social and political priorities.	ガバナンスとは、複雑なシステムを記述するものであり、関係者間の役割、責任、プロセス、関係を定義するものである。ガバナンスは、民間企業、行政、市民社会などのステークホルダーを含み、経済的、社会的、政治的な優先順位など、さまざまなトピックにまたがる。
4.1.2 Cyber governance	4.1.2 サイバー・ガバナンス
The domains of cyber, cybersecurity and cyber threats experienced increasing importance, and cyber governance became a popular topic. While the field of cyber or ‘cyberspace’ describes the environment consisting of the global information systems and their connecting network, cybersecurity entails the prevention of damage and the protection against attacks on, among others, computers, information and communication systems as well as processes, data, hard- and software.^[5] Threats in the cyberspace arise from attacks on the processed information or the systems themselves. Cybersecurity is also part of the cyberspace and aims at securing the confidentiality, integrity, accessibility, availability and privacy of the information processed, stored and used.^[6] Given the interconnections in the cyberspace, cybersecurity cannot be assessed, analysed or described without taking into account other aspects of cyberspace as well.	サイバー、サイバーセキュリティ、サイバー脅威の領域は重要性を増し、サイバーガバナンスは人気のトピックとなった。サイバー又は「サイバースペース」の分野がグローバルな情報システムとその接続ネットワークからなる環境を説明する一方で、サイバーセキュリティは、特にコンピュータ、情報通信システム、プロセス、データ、ハード及びソフトウェアに対する損傷の防止と攻撃からの保護を含む[5]。サイバーセキュリティもまたサイバースペースの一部であり、処理、保存、使用される情報の機密性、完全性、アクセス性、可用性、プライバシーを確保することを目的としている[6]。サイバースペースの相互接続を考えると、サイバースペースの他の側面も考慮に入れずにサイバーセキュリティを評価、分析、記述することはできない。
The functioning of the cyberspace depends on various stakeholders, processes and elements within cyber governance. International organisations started to find solutions for challenges related to cyber governance, for example developing and signing the ‘Cyber Crime	サイバースペースの機能は、サイバーガバナンスにおける様々な利害関係者、プロセス、要素に依存している。国際組織は、サイバーガバナンスに関連する課題の解決策を模索し始め、例えば、「サイバー犯罪条約」を開発し、署名した[7]。
Convention’'.^[7] In addition, international standardisation has been adopted, i.e., ISO/IEC 38500:2015 providing guiding principles^[8] for governing bodies’ members on “effective, efficient and acceptable use of IT in their organizations”.^[9]	さらに、国際標準化が採用され、ISO/IEC 38500:2015は、統治機関のメンバーに対して「組織における効果的、効率的かつ許容可能なITの使用」に関する指導原則[8]を提供している[9]。
Definitions of cyber governance are emerging and describe it as the	サイバーガバナンスの定義が登場し、次のように記述されている。
“Operation of decision-making processes” which increase and ensure “participation, transparency, and accountability in taking measures related to cyberspace together with the mechanism of international agreements, strategies, laws, measures, regulations, and standards that interlock in the best way”.[10]	「最良の方法で連動する国際協定、戦略、法律、措置、規制、標準のメカニズムとともに、サイバースペースに関連する措置をとる際の参加、透明性、説明責任」を高め、確保する「意思決定プロセスの運用」[10]。
This definition will be used for the remainder of this study.	この定義は、この研究の残りの部分で使用されることになる。
4.1.3 Governance Models	4.1.3 ガバナンス・モデル
Similar to the definition of governance, a single definition of the governance model is not agreed upon in the literature. Different types, descriptions and definitions have been developed covering different levels of granularity. This section aims to provide an overview of the current state of the art of developing governance models. To this end, structured desk research has been conducted focusing on the development and set-up of governance models in general, and specifically, the ones related to the implementation of NCSSs.	ガバナンスの定義と同様に、ガバナンスモデルの定義も、文献上では統一されていない。さまざまなタイプの説明や定義が開発され、さまざまなレベルの粒度をカバーしている。このセクションでは、ガバナンスモデル開発の現状を概観することを目的としている。この目的のために、一般的なガバナンスモデルの開発とセットアップ、特にNCSSの実施に関連するものに焦点を当てた構造化された机上調査を実施した。
In the literature, two main patterns of defining governance models are predominant, one focusing on the different layers of governance and one targeting the stakeholders and objectives of the model. An advantage of the latter is that overarching and transversal activities can be integrated, analysed and evaluated. However, this might come at the expense of the accuracy of the definition of the roles and responsibilities of the stakeholders involved and their accountability. The Government Cyber Security Strategy of the British Government employs this path in defining its governance model and focuses on the overall objectives of the implementation of the cybersecurity strategy.[11]	文献上では、ガバナンスモデルの定義として、ガバナンスの各層に焦点を当てたものと、ステークホルダーとモデルの目的に焦点を当てたものの2つのパターンが主流となっている。後者の利点は、包括的かつ横断的な活動を統合し、分析・評価できることである。しかし、このことは、関係する利害関係者の役割と責任及びその説明責任の定義の正確さを犠牲にすることになるかもしれない。英国政府の政府サイバーセキュリティ戦略は、ガバナンスモデルを定義する際にこの道を採用し、サイバーセキュリティ戦略の実施に関する全体的な目標に焦点を合わせている[11]。
Defining a governance model based on its different layers might increase the overall complexity of the framework, however, this option yields several benefits, including a more thorough description of its components (e.g., stakeholders, objectives, etc.). In addition, it is possible to provide a clear allocation of responsibilities and describe more detailed channels of communication, information exchange and collaboration. The different levels of governance include the political aspect, definition of processes, roles and responsibilities, operationalisation of actions and their technical implementation. The Global Cybersecurity Index divides governance models into legal, technical, organisational, capacity development and cooperative measures.^[12] Similarly, cybersecurity governance in some US States focuses on the following areas of governance, as identified by the Department of Homeland Security: Strategy and planning, budget and acquisition, risk identification and mitigation, incident response, information sharing, workforce and education.^[13]	異なる層に基づいてガバナンスモデルを定義することは、フレームワークの全体的な複雑さを増すかもしれないが、このオプションは、その構成要素（利害関係者、目的など）をより徹底的に説明することを含むいくつかの利点をもたらす。さらに、責任の分担を明確にし、コミュニケーション、情報交換、協力のチャンネルをより詳細に記述することが可能である。ガバナンスの異なるレベルには、政治的側面、プロセスの定義、役割と責任、アクションの運用化、およびその技術的実装が含まれる。グローバルサイバーセキュリティインデックスでは、ガバナンスモデルを法的、技術的、組織的、能力開発、協力的措置に分類している[12]。同様に、いくつかの米国州におけるサイバーセキュリティガバナンスは、国土安全保障省が特定した以下のガバナンス領域に焦点をあてている。戦略と計画、予算と買収、リスクの特定と軽減、インシデント対応、情報共有、労働力と教育[13]。
This report will follow the majority of sources analysed and will define governance models along different levels or layers. This allows the provision of a more granular assessment of governance models. The elements of the framework such as objectives, stakeholders and actions can be described per level, providing a holistic approach to their definition.	本報告書では、分析したソースの大部分に従い、さまざまなレベルまたは層に沿ったガバナンスモデルを定義する。これにより、ガバナンスモデルのより詳細な評価を提供することができる。目的、利害関係者、行動といったフレームワークの要素をレベルごとに説明し、その定義に全体的なアプローチを提供することができる。
While governance can be divided into a variety of levels, most sources assessed governance along similar layers. Based on the conducted desk research four main levels of governance have been identified as predominant, thus, these were selected to build the governance framework of this report:	ガバナンスは様々なレベルに分けられるが、ほとんどの情報源は同様のレイヤーに沿ってガバナンスを評価している。本報告書では、机上調査の結果、4つの主要なガバナンスのレベルが明らかになったので、これらを選んでガバナンスのフレームワークを構築した。
a) Political governance;	a) 政治的ガバナンス
b) Strategic governance;	b) 戦略的ガバナンス
c) Operational governance; and	c) 運用ガバナンス、および
d) Technical governance.	d) 技術的ガバナンス
The next section will provide an overview of the main elements driving each of the four levels of governance.	次章では、4 つのガバナンスの各レベルを推進する主な要素について概観する。
4.2 THE STATE OF ART OF GOVERNANCE MODEL FOR NCSS	4.2 NCSS のガバナンスモデルの現状
In general, political governance is the most thoroughly covered level of governance in literature. Specifically, the set-up of processes and the allocation of responsibilities to ensure a successful governance framework are the most prominent elements.^[14] In addition, elements concerning incident response in the context of operational governance have been pointed out by several sources.^[15] While their importance is highlighted and aspects are clearly defined, elements of the strategic and technical layers are less thoroughly covered.	一般に、政治的ガバナンスは、文献上最もよく取り上げられているガバナンスのレベルである。具体的には、ガバナンスの枠組みを成功させるためのプロセスの設定と責任の分担が最も顕著な要素である[14]。また、運用ガバナンスの文脈では、インシデント対応に関する要素が複数の情報源から指摘されている[15]。その重要性が強調され、側面が明確に定義されている一方で、戦略的、技術的なレイヤーの要素はあまりカバーされていない。
In addition to the main elements governing the different levels of governance, the literature emphasises the importance of monitoring mechanisms across all levels. Their establishment along with the ones of key performance indicators (KPIs) or other measures for coherent evaluation is important for the successful implementation of NCSSs. Chapter 6 covers the monitoring of governance models in detail.	異なるレベルのガバナンスを支配する主要な要素に加えて、文献は、すべてのレベルにわたる監視メカニズムの重要性を強調している。KPI（主要業績評価指標）やその他の一貫した評価のための指標とともに確立することが、NCSSの成功のために重要である。第6章では、ガバナンスモデルのモニタリングについて詳述する。
The remainder of this chapter will highlight the findings and point out the identified trends from the desk research across the four levels of governance: political, strategic, operational and technical. This provides the framework for the analysis carried out under chapter 5, which focuses on the inputs shared by the Member States.	本章では、政治、戦略、運用、技術という 4 つのガバナンスのレベルについて、机上調査から得られた知見とその傾向について述べる。これは、加盟国が共有するインプットに焦点を当てた第 5 章で行われる分析のための枠組みを提供する。
4.2.1 Political governance	4.2.1 政治的ガバナンス
Political governance provides a framework of defined processes and relationships as well as legal guidelines. It establishes the formal angle of governance and is often seen as governance itself, as it is tightly related to the execution of political actions and entails governing, leading and overseeing processes and actions implemented. The main objective of the political layer is the establishment of processes, roles and responsibilities to ensure the implementation of the NCSSs and their related policies. In turn, official processes, clearly defined roles and proper legal measures foster the creation of accountability, ensure transparency and facilitate the acceptance of the NCSSs among all the relevant stakeholders.	政治的ガバナンスは、定義されたプロセスや関係、法的ガイドラインの枠組みを提供する。政治的ガバナンスは、政治的行動の実行と密接に関連し、実行されるプロセスと行動を管理、指導、監督することを伴うため、ガバナンスの正式な角度を確立し、しばしばガバナンスそのものとみなされる。政治層の主な目的は、NCSSとその関連政策の実施を確実にするためのプロセス、役割、責任を確立することである。そして、公的なプロセス、明確に定義された役割、適切な法的措置は、説明責任の創設を促進し、透明性を確保し、すべての関係者の間でNCSSの受け入れを促進するものである。
Political bodies, such as dedicated cybersecurity agencies or departments within different ministries are leading the political level. Hence, oftentimes, decision-makers are included in some of the processes to ensure accountability and political acceptance. Other actors actively participating in building and executing political governance are academia, consultancies and other expert bodies, which provide topical expertise and support to political actors in setting up, organising and executing political governance. Public-Private Partnerships (PPPs) play an important role in the enforcement and accountability of political governance, as they help build bridges between the private and the public sector, ensuring the implementation of actions responding to industry needs.[16]	異なる省庁内のサイバーセキュリティ専門機関や部局といった政治的な機関が、政治レベルを主導している。したがって、説明責任と政治的受容を確保するために、意思決定者がプロセスの一部に含まれることがよくある。政治的ガバナンスの構築と実行に積極的に参加するその他のアクターは、学界、コンサルタント会社、その他の専門機関であり、政治的ガバナンスの設定、組織化、実行において、話題の専門知識と政治的アクターのサポートを提供する。官民パートナーシップ（PPP）は、政治的ガバナンスの実施と説明責任において、民間と公共部門の橋渡しをし、業界のニーズに対応したアクションの実施を保証する重要な役割を担っている[16]。
Common elements of political governance can be clustered into three main groups, as defined in Figure 1, namely: i) Political processes, ii) Roles and responsibilities, and iii) Legal measures.	政治的ガバナンスの共通要素は、図1に定義したように、i) 政治的プロセス、ii) 役割と責任、iii) 法的措置という3つの主要なグループに分類することができる。
Figure 1: Main elements of political governance	図1：政治的ガバナンスの主な要素

Source: Authors’ own elaboration.	出典著者による推敲
In general, political governance seems to be the most advanced of all four levels of governance, in fact, measures to define political processes, roles and responsibilities seem to be most actively discussed and analysed by the literature. Legal measures are not equally assessed, however, their importance is vital as they set the basis for the country’s legal framework and the obligations of the different stakeholders.	一般に、政治的ガバナンスは、4つのレベルのガバナンスの中で最も進んでいると思われ、実際、政治的プロセス、役割と責任を定義するための措置が、文献上、最も活発に議論され分析されているようである。法的措置も同様に評価されてはいないが、国の法的枠組みの基礎となるものであり、様々な利害関係者の義務を定めるものであるため、その重要性は極めて高い。
Political Processes	政治的プロセス
Among the elements of political processes, particular emphasis is put on initiating cooperative and collaborative approaches and ensuring joint dialogues. In this context, the inclusion and active participation of various stakeholder groups across different levels has been stressed^[17], together with the creation and active integration of PPPs in the political processes given their contribution in actively shaping the implementation, monitoring and evaluation of NCSSs.^[18] Additionally, the importance of inter-sectoral cooperation has been highlighted due to the possibility of creating synergies and ensuring commitment to the implementation of actions among stakeholders.^[19]	政治的プロセスの要素のうち、特に強調されているのは、協力的・協調的なアプローチを開始し、共同対話を確保することである。この文脈では、異なるレベルの様々な利害関係者グループの包含と積極的な参加が強調されており[17]、NCSSの実施、モニタリング及び評価を積極的に形成する上での寄与を考慮した政治プロセスにおけるPPPの創設と積極的な統合も併せて強調されている[18]。さらに、シナジーの創出と利害関係者の行動実施へのコミットメントの確保が可能であることから、部門間協力の重要性が強調されてきた[19]。
In addition, cooperation and collaboration across the different governmental institutions are essential to guarantee a coherent approach towards the implementation of the NCSSs. Intragovernmental coordination and cooperation are considered core functions and prerequisites for functioning governance mechanisms, such as the application of standards, regulations and market incentives. Hence, cooperation between government institutions is ultimately important to ensure that the desired outcomes are met, and that the objectives of the governance model and the strategy are fulfilled.[20]	さらに、NCSSの実施に向けた首尾一貫したアプローチを保証するためには、異なる政府機関間の協力と連携が不可欠である。政府内の調整と協力は、基準、規制、市場インセンティブの適用など、ガバナンスメカニズムが機能するための中核的な機能であり、前提条件であると考えられている。したがって、政府機関間の協力は、望ましい結果が満たされ、ガバナンスモデルと戦略の目的が達成されることを保証するために、究極的に重要である[20]。
Lastly, international cooperation and collaboration have been pointed out as highly important. It has been stated that, given the international character of the cyberspace, a complete solution for cyber governance cannot be based on national understanding alone, but needs to be embedded and coordinated in the international arena.^[21] Further, international cooperation, collaboration and exchange on the set-up of a governance model will benefit all parties through the development and improvement of cyber governance. In this regard, the development of an international common language for cyber defence is considered an immediate necessity to enable international exchange among experts.^[22]	最後に、国際的な協力・連携も重要性が高いと指摘されている。サイバー空間の国際性を考えると、サイバーガバナンスの完全な解決策は、国の理解だけでは不可能であり、国際的な場に組み込まれ調整される必要があると述べられている[21]。さらに、ガバナンスモデルの設定に関する国際協力、連携、交流は、サイバーガバナンスの発展と改善を通じて全ての関係者に利益をもたらすことになる。この点で、サイバー防衛のための国際的な共通言語の開発は、専門家間の国際的な交流を可能にするために直ちに必要であると考えられている[22]。
Definition of roles and responsibilities	役割と責任の定義
After the political processes, the definition of roles and responsibilities is the most covered aspect in literature. All stakeholders must have clearly allocated roles, and responsibilities to ensure the successful implementation of the strategy and achieving its objectives.[23] In this relation, it has been mentioned that personnel and financial resources should be clearly defined and allocated. The clear allocation of responsibilities is important to ensure accountability of the responsible actors, while the clear allocation of roles is important to set up an effective and efficient governance system and avoid overlapping of mandates.	政治的なプロセスに続いて、役割と責任の定義が、文献上最も多く取り上げられている側面である。すべての利害関係者は、戦略の成功裏の実施とその目的の達成を確実にするために、明確に割り当てられた役割と責任を持たなければならない[23]。この関連で、人材と財源が明確に定義され、割り当てられるべきであることが言及されている。責任の明確な配分は、責任ある関係者の説明責任を確保するために重要であり、役割の明確な配分は、効果的かつ効率的なガバナンスシステムを構築し、任務の重複を避けるために重要である。
A common trend emerging from desk research is the setting-up of a lead authority or body. While different options can be deployed to do so, a central body or actor taking the main coordinating responsibilities and roles seems beneficial and is important to allocate actions and monitor the progress of implementation.^[24] There are three commonly applied options: building an entirely new body dedicated to the implementation of the NCSS; expanding the mandate and the responsibilities of an already existing central body; or extending the responsibilities of several decentralized political entities, such as ministries. In addition, working groups on different topics might be established to enable engagement across bodies and entities involved.^[25] They facilitate and develop formalized cooperation mechanisms to enable international collaboration.^[26] Finally, the establishment of an advisory council built by academic and industry experts to be consulted by responsible government officials has been pointed out as particularly beneficial.^[27]	机上調査から浮かび上がってきた共通の傾向は、主導的な当局や組織の設置である。そのために様々なオプションを展開することができるが、中央の機関またはアクターが主な調整責任と役割を担うことは有益であり、行動を割り当て、実施の進捗を監視することが重要である[24]。一般的に適用されるオプションは、NCSSの実施を専門とする全く新しい機関の設立、既存の中央機関の任務と責任の拡大、省庁などいくつかの分権的政治機関の責任の拡大という3つである。さらに、関係機関や団体間の連携を可能にするために、異なるトピックに関するワーキンググループを設置することも考えられる[25]。また、国際協力を可能にするための正式な協力メカニズムを促進・発展させる[26]。最後に、学術・産業の専門家によって構成され、担当政府職員の諮問を受ける諮問委員会の設置が特に有益であると指摘されている[27]。
Another option refers to the partial or full outsourcing of the cybersecurity services to PPPs by establishing them as stand-alone organisations. This is particularly helpful if the government misses the expertise or capacity to react to the identified needs for action. The PPPs provide cybersecurity services, while the national public authorities remain in an overseeing position.^[28] The different set-ups of and the collaboration with PPPs are widely discussed, and there is a common agreement on the strategic importance of including them within the NCSS and its governance model. The organisation, structure and legal basis of PPPs differentiate from country to country, however, a common factor pointed out by several sources is the relevance of including governmental and private sector representatives (e.g., SMEs) in the PPP decisionmaking process.^[29]	もう一つの選択肢は、独立した組織として設立することによって、サイバーセキュリティサービスの一部または全部を PPP にアウトソーシングすることである。これは、政府が特定された対策ニーズに対応するための専門知識や能力を欠く場合に特に有用である。PPP はサイバーセキュリティサービスを提供し、国の公的機関は監督する立場にとどまる[28]。PPP のさまざまな設定と連携については広く議論されており、NCSS とそのガバナンスモデルに組み込むことの戦略的重要性については共通の合意が得られている。PPPの組織、構造、法的基盤は国によって異なるが、いくつかの情報源から指摘されている共通の要因は、PPPの意思決定プロセスに政府及び民間部門の代表（例：中小企業）を含めることの関連性である[29]。
Legal measures	法的措置
Regarding legal measures for governance models, it has been stressed that the establishment of a legal framework or a legal governance system is important to provide guidance and support. Additionally, the existence of legal measures provides legally binding mandates and ensures enforcement, accountability and transparency during the implementation process.^[30] On implementing legal measures, it has been specified that they should be built in a far-sighted approach to be able to accompany future changes brought by digitalisation.^[31]	ガバナンスモデルのための法的措置については、ガイダンスとサポートを提供するために法的枠組みや法的ガバナンスシステムの確立が重要であることが強調されている。さらに、法的措置の存在は法的拘束力のある指令を提供し、実施プロセスにおける執行、説明責任、透明性を確保する[30]。法的措置の実施については、デジタル化がもたらす将来の変化に対応できるよう、先見性のあるアプローチで構築されるべきであると明記されている[31]。
To support the cooperative and collaborative approach, legal measures should be inclusive and have general validity, to ensure that all institutions, organisations and related stakeholders are committed to the NCSS, its governance model and the implementing actions. Legal measures also help giving policies and actions for the implementation of a governance model a binding character and are hence essential tools of a complete governance model.[32]	協力的で協調的なアプローチを支援するために、法的措置は包括的で一般的な効力を持ち、すべての機関、組織、関連する利害関係者がNCSS、そのガバナンスモデル、実施行動にコミットすることを保証するものでなければなりません。法的措置はまた、ガバナンスモデルの実施のための政策と行動に拘束力を与えるのに役立ち、それゆえ完全なガバナンスモデルの不可欠なツールである[32]。
In line with the importance of setting up international cooperation and collaboration, the legal framework should reflect this by international guidelines and cooperation on the definition of legal measures internationally. Lastly, it is emphasised that human rights should be tightly connected to and taken into account in all processes of setting-up a cybersecurity governance model, but specifically related to the legal framework. Of particular importance is ensuring trust, transparency, and equity through the legal framework.[33]	国際的な協力と協調を設定することの重要性とともに、法的枠組みは、国際的なガイドラインと法的措置の定義に関する協力によって、これを反映する必要がある。最後に、サイバーセキュリティのガバナンスモデルを構築するすべてのプロセスにおいて、人権が密接に関連し、考慮されるべきであるが、特に法的枠組みに関連することが強調される。特に重要なのは、法的枠組みを通じて信頼性、透明性、衡平性を確保することである[33]。
4.2.2 Strategic governance	4.2.2 戦略的ガバナンス
Strategic governance describes the level of governance directly linked to the NCSS. It is important to tightly connect the processes of designing the strategy and designing its governance model to ensure continuity and coherence. Strategic governance targets linking and coordinating the processes of drafting the strategy and building the governance model from the outset. Additionally, strategic elements of identifying and mitigating risks necessitate strong cooperation and collaboration between actors involved in both, the governance model, as well as the strategy development.	戦略的ガバナンスは、NCSS に直結するガバナンスのレベルを示す。戦略設計とガバナンスモデル設計のプロセスを緊密に結びつけ、継続性・一貫性を確保することが重要である。戦略的ガバナンスは、戦略のドラフトとガバナンスモデルの構築のプロセスを当初からリンクさせ、調整することを目標とする。また、リスクの特定と軽減という戦略的要素には、戦略策定だけでなくガバナンスモデルにも関与する関係者間の強い協力と連携が必要である。
The main stakeholders involved in the strategic governance level are political actors drafting the strategy. Often, working level government officials are main actors here, while higher level government officials are involved for validation, acceptance, accountability and enforcement purposes. Political actors are often supported by working groups, consulting bodies and other stakeholders providing expertise to draft the strategy and corresponding implementation actions.	戦略的ガバナンスレベルに関与する主なステークホルダーは、戦略を起草する政治的アクターである。多くの場合、実務レベルの政府関係者がここでの主役であり、より高いレベルの政府関係者は、検証、受容、説明責任、執行の目的のために関与する。政治的アクターは、戦略および対応する実施措置をドラフトするために専門知識を提供するワーキンググループ、コンサルティング機関、その他のステークホルダーの支援を受けることが多い。
Overall, three clusters have been identified in which the main elements of strategic governance can be grouped, namely elements concerning: i) the strategy itself, ii) the implementation of the governance model, iii) strategic aspects of risk identification and mitigation. Figure 2 illustrates them.	全体として、戦略的ガバナンスの主要な要素が、i）戦略そのもの、ii）ガバナンスモデルの実施、iii）リスクの特定と緩和の戦略的側面に関する要素という3つのクラスターに分類されることが確認されている。図2はその説明である。
Figure 2: Main elements of strategic governance	図2：戦略的ガバナンスの主な要素

Source: Authors’ own elaboration.	出典著者による推敲。
Elements concerning the strategy itself and the implementation of a governance model	戦略そのものとガバナンス・モデルの実施に関する要素
Firstly, the literature on strategic governance emphasises that already at the set-up stage of the strategy, the development of a governance framework should be taken into account and included in the strategy. Drafting the strategy and at the same time already including possible operational, political and legal measures, which should be put in place for the strategy’s implementation, is argued to be beneficial, as processes and timelines are streamlined.[34]	まず、戦略的ガバナンスに関する文献では、戦略の策定段階で、すでにガバナンスの枠組みを考慮に入れ、戦略に盛り込むことが強調されている。戦略のドラフトを作成すると同時に、戦略の実施のために配置されるべき可能な運用、政治、法的措置をすでに含めることは、プロセスとスケジュールが合理化されるため有益であると主張されている[34]。
Secondly, after the strategy has been drafted, the implementation should be guided by an implementation plan to point out specific actions and ensure the support of the strategy across the different governmental and civil society levels.[35]	第二に、戦略がドラフトされた後、具体的な行動を指摘し、異なる政府及び市民社会レベルにわたる戦略の支持を確保するために、実施は実施計画によって導かれるべきである[35]。
Thirdly, thorough planning and a clear indication of the overall planned priorities, the foreseen budget and resources is important to integrate the implementation of cybersecurity in the general national planning and governance approaches. It is important to align priorities of the cybersecurity strategy with other governmental priorities on national level. This fosters commitment and support from different bodies, and actors across the government.[36]	第三に、サイバーセキュリティの実施を一般的な国家計画と統治アプローチに統合するために、徹底的な計画と全体的な計画優先事項、予見される予算と資源の明確な表示が重要である。サイバーセキュリティ戦略の優先順位を、国家レベルの他の政府の優先順位と一致させることが重要である。これは、政府内の様々な機関やアクターからのコミットメントと支援を促進するものである[36]。
Risk identification and mitigation	リスクの特定と軽減
Regarding the strategic elements of risk identification and mitigation, it has been stressed that a coherent approach across all government entities and critical infrastructure operators should be aimed for. Having a sound approach for risk identification and mitigation, which is coherent across the different actors, facilitates exchange and information-sharing and fosters cooperation.^[37] In fact, the creation of specific agencies providing services of risk identification and mitigation has been pointed out, as centralizing these aspects facilitates exchanges. However, challenges related to accountability, transparency and the protection of human rights. This should be taken into account and mitigated from an early stage of the strategy.^[38]	リスクの特定と緩和の戦略的要素については、すべての政府機関及び重要インフラ事業者にまたがる首尾一貫したアプローチを目指すべきであることが強調されている。実際、リスクの特定と緩和のサービスを提供する特定の機関の設立が指摘されており、これらの側面を一元化することで交流が促進されるからである[37]。しかし、説明責任、透明性、人権の保護に関する課題もある。これは戦略の初期段階から考慮され、軽減されるべきものである[38]。
4.2.3 Operational governance	4.2.3 オペレーショナル・ガバナンス
Operational governance entails the level of governance focusing on elements related with the translation of NCSSs into actions to improve cybersecurity within the country. The objective of the operational governance level is to increase cybersecurity across all sectors of a nation’s society, economy, and government. The main group of stakeholders, actively involved in the set-up and execution of this governance layer includes specialised bodies such as Computer Security Incident Response Teams (CSIRTs) and Computer Emergency Response Teams (CERTs), government officials and consulting and training bodies. Nevertheless, it is important to mention that the complete society and population is connected to this level of governance. Effectively improving cybersecurity can only be successful if the general public of a country is included and capacity and community-building efforts are undertaken across society.	運用ガバナンスは、NCSS を国内のサイバーセキュリティを向上させるための行動に移すことに関連する要素に焦点を当てたガバナンスのレベルを意味する。運用ガバナンスレベルの目的は、国家の社会、経済、政府のすべての部門にわたってサイバーセキュリティを向上させることである。このガバナンス層の設定と実行に積極的に関与する主なステークホルダーには、コンピュータセキュリティインシデント対応チーム（CSIRT）やコンピュータ緊急対応チーム（CERT）などの専門機関、政府職員、コンサルティング・トレーニング機関などが含まれる。とはいえ、このガバナンスのレベルには、完全な社会と人口がつながっていることを言及することが重要である。サイバーセキュリティを効果的に向上させるには、その国の一般市民が参加し、社会全体の能力向上とコミュニティ形成の取り組みが行われて初めて成功するのである。
As pointed out, some aspects falling under the operational governance level are well covered in literature on governance models. This applies particularly to aspects in the context of incident response and capacity-building.[39] During the desk research, three main clusters governing operational governance have been identified: i) awareness-raising campaigns, outreach campaigns and trainings to foster capacity-building, ii) incident response, iii) information sharing and channels Figure 3 illustrates them:	指摘したように、運用ガバナンスレベルに該当するいくつかの側面は、ガバナンスモデルに関する文献で十分にカバーされている。これは特に、事故対応と能力構築の文脈における側面に当てはまる[39]。机上調査中に、運用ガバナンスを管理する3つの主要なクラスタが特定された：i）意識向上キャンペーン、アウトリーチキャンペーンおよび能力構築を促進するためのトレーニング、ii）事故対応、iii）情報の共有とチャネル図3はそれらを示している。
Figure 3: Main elements of operational governance	図3：オペレーションガバナンスの主な要素

Source: Authors’ own elaboration.	出典著者自身の推敲によるもの。
Awareness raising campaigns, outreach campaigns and trainings to foster capacity-building	意識向上キャンペーン、アウトリーチキャンペーン、キャパシティービルディングを促進するためのトレーニング
Awareness raising and outreach campaigns accompanying the implementation of NCSSs foster the acceptance and uptake of cybersecurity measures. It is of utmost importance to train stakeholders, which are involved either directly with the set-up or implementation of the strategy or involved in combating cybercrime.[40] Nevertheless, there is a strong trend incentivising the creation of initiatives to raise awareness within the general population. Through explaining “why”, “how” to use certain standards, tools and technologies, or “what” to do and “why” to do so, would increase the safety of the general population.	NCSSの実施に伴う啓発活動やアウトリーチキャンペーンは、サイバーセキュリティ対策の受容と浸透を促進する。戦略の策定や実施に直接関わるステークホルダーやサイバー犯罪対策に携わるステークホルダーを教育することが最も重要である[40]が、一般住民の意識を高めるための取り組みを奨励する傾向も強い。ある標準、ツール、技術を「なぜ」「どのように」使うか、あるいは「何を」「なぜ」行うかを説明することで、一般住民の安全性が高まる。
In this sense, it has been repeatedly stated that not only stakeholders and actors directly working with the NCSSs should be targeted by education campaigns and trainings, but that instead the whole population, starting from a young age, should be integrated in these activities to close the ‘cyber skill gap’.^[41]This would be important to ensure success of the NCSS, as huge cyber risks emerge from untrained persons, which are not aware of risks or how to protect against cyber threats effectively. A more holistic approach should be taken in order to build a cybersecurity culture and enhance capacity- and community-building across the population. In this way, by shifting away from pure information-sharing and problem-related approaches, cybersecurity could yield efficiency and performance gains for the private sector and the national economy.^[42]	この意味で、NCSSに直接関わるステークホルダーやアクターだけを教育キャンペーンやトレーニングの対象とするのではなく、「サイバースキルギャップ」を解消するために、若い頃から国民全体をこれらの活動に取り込むべきであることが繰り返し述べられている[41]。サイバーセキュリティ文化を構築し、国民全体の能力向上とコミュニティ形成を促進するために、より包括的なアプローチを取る必要がある。このように、純粋な情報共有や問題に関連したアプローチから移行することによって、サイバーセキュリティは民間部門と国民経済のために効率とパフォーマンスの向上をもたらすことができる[42]。
Incident response mechanisms	インシデント対応メカニズム
Operational governance is also driven by formalised mechanisms for incident response. Literature suggests the creation of CSIRTs and CERTs to provide support in case of cybersecurity incidents. Specialised teams dedicated to cybersecurity mechanisms should be implemented, driven by thorough action plans in case of incidents.^[43] CSIRTs and CERTs provide a centralised contact point on national level and enable a quick and systematic reaction during incidents. CSIRT and CERT bodies should hence take proactive as well as reactive functions and measures to not only support during incidents, but to also prevent incidents from happening and support countries in learning from experience to build resilience against cyberthreats.^[44]	運用上のガバナンスは、インシデントレスポンスのための正式なメカニズムによっても推進される。文献によると、サイバーセキュリティのインシデントに際して支援を提供する CSIRT と CERT の設立が示唆されている。CSIRT と CERT は、国家レベルで集中的なコンタクトポイントを提供し、インシデント発生時に迅速かつ体系的な対応を可能にする。したがって、CSIRT と CERT は、インシデント発生時の支援だけでなく、インシデントの発生を予防し、サイバー脅威に対するレジリエンスを構築するために経験から学習する国を支援する、プロアクティブかつリアクティブな機能と措置を取るべきである[44]。
Information sharing	情報共有
Setting-up formal information-sharing programmes as well as defining possible informal information-sharing programmes through an operational framework would foster effective and consistent coordination.^[45] Trusted relationships are highly important, more specifically, the development of informal networks would be highly beneficial as information-sharing based on personal interests is most authentic.^[46] However, trusted relationships need time to develop and hence, the involvement of different stakeholders and close cooperation from the start seem to be important.^[47] Additionally, according to research, shaping information-sharing processes should be supported by CERTs and CSIRTs.^[48]	公式の情報共有プログラムを設定することと同様に、運用フレームワークを通じて可能な非公式の情報共有プログラムを定義することは、効果的かつ一貫した調整を促進するだろう[45]。信頼された関係は非常に重要であり、より具体的には、個人的な関心に基づく情報共有が最も信頼できるので、非公式なネットワークの発展が非常に有益であろう[46]。しかしながら、信頼された関係が発展するためには時間を必要とし、それゆえ、異なる利害関係者の関与と当初からの緊密な協力が重要であるように思われる[47]。さらに、研究によれば、情報共有プロセスの形成は CERT と CSIRT によって支援されるべきである[48]。
For a successful incident response, it is highly important in this context to firstly define clearly what a cybersecurity incident constitutes, and how processes, roles and responsibilities are allocated and performed during an incident.	インシデント対応を成功させるためには、まずサイバーセキュリティインシデントが何を構成するのか、そしてインシデント発生中にどのようにプロセス、役割、責任が割り当てられ実行されるのかを明確に定義することがこの文脈では非常に重要である。
4.2.4 Technical governance	4.2.4 技術的ガバナンス
The technical level of governance relates to the inclusion of technology and technical elements accompanying the implementation of the strategy. Its objective is to link the implementation of the strategy to technical and technological developments happening in parallel. This is particularly important in the cyberspace, a fast-evolving field, in which new threats and challenges arise at the same time of new technological possibilities and solutions. The main stakeholders involved in this level are technology experts from industry and academia, supporting political actors in choosing and applying technological tools as well as technical standardisation bodies on a national and international scale.	技術的なガバナンスのレベルは、戦略の実施に伴う技術と技術的な要素の取り込みに関連するものである。その目的は、戦略の実施を、並行して起こっている技術的、技術的な発展と結びつけることである。これは、技術的な可能性や解決策と同時に新たな脅威や課題が発生する、進化の早いサイバースペースにおいて特に重要である。このレベルに関わる主なステークホルダーは、産業界と学界の技術専門家、技術ツールの選択と適用を支援する政治的アクター、そして国内および国際的規模の技術標準化団体である。
Currently, the elements of technical governance are covered least in the literature and seem to not yet been heavily focussed on. Although some trends have been identified, due to the low coverage of technical aspects across literature, these trends might not be representative, given the fast technical advancements and developments. Two main clusters of elements governing technical governance have been identified during the desk research: i) definition of standards and specification, and ii) use of technology, tools and certification schemes to foster cybersecurity. They are illustrated in Figure 4.	現在、技術的ガバナンスの要素は、文献の中で最もカバーされておらず、まだ大きく取り上げられていないように思われる。いくつかの傾向は確認されているものの、技術的な側面が文献にあまり取り上げられていないため、技術の進歩や発展が速いことを考えると、これらの傾向は代表的なものではないかもしれません。技術的ガバナンスを支配する要素として、机上調査において、i) 標準と仕様の定義、ii) サイバーセキュリティを促進するための技術、ツール、認証制度の利用、という 2 つの主要なクラスタが特定された。これらは図4に示されている。
Figure 4: Main elements of technical governance	図 4：技術的ガバナンスの主な要素

Source: Authors’ own elaboration.	出典著者自身の推敲による
Standardisation	標準化
The use and definition of standards has been emphasised in order to build a technical governance framework for cybersecurity. Particularly important in this relation would be the use of international and global standards to not only provide technical guidelines but to base cybersecurity governance on existing and globally established technical standards.[49]	サイバーセキュリティのための技術的ガバナンスの枠組みを構築するために、標準の使用と定義が強調されてきた。この関連で特に重要なのは、技術的ガイドラインを提供するだけでなく、既存のグローバルに確立された技術標準にサイバーセキュリティガバナンスを基づかせるための国際標準とグローバル標準の使用であろう[49]。
Use of technology, tools and certification schemes	技術、ツール、認証制度の利用
The technical layer also includes the undertaking of appropriate and proportionate technical and organisational measures to manage risks. To this end the NIS2 directive emphasises the importance of certification schemes and stresses the importance for the Member States to require essential and important entities to certify certain ICT products, ICT services and ICT processes under specific European cybersecurity certification schemes.	技術的な層には、リスクをマネジメントするための適切で均整のとれた技術的・組織的な措置の実施も含まれる。この目的のために、NIS2指令は認証制度の重要性を強調し、加盟国が必須かつ重要なエンティティに対し、特定の欧州サイバーセキュリティ認証制度の下で特定のICT製品、ICTサービス、ICTプロセスを認証するよう要求することの重要性を強調している。
Moreover, CSA article 58 defines mandatory obligations for the Member States to designate NCCAs (National Cybersecurity Certification Authorities) or to reuse the existing NCCA of another Member State, as to supervise certification; this entails the implementation and assessment of the technical governance activities related to such obligations (which entity has been designated, to which ministry it belongs, how it is staffed, how it interacts with other national authorities having a cybersecurity role, etc.).	さらに、CSA第58条は、加盟国が認証を監督するために、NCCA（国家サイバーセキュリティ認証機関）を指定するか、他の加盟国の既存のNCCAを再利用する義務について規定している。これには、このような義務に関連する技術的ガバナンス活動の実施と評価（どの団体が指定されているか、どの省に属しているか、どのように人員を配置しているか、サイバーセキュリティ上の役割を持つ他の国家当局とどのように相互作用するか、など）が必要とされる。
A second main element emerges from the use of technology and tools to support the set-up of a governance model and the implementation of the NCSSs. Updating tools and technologies used in industry, by the government or other communication systems, can support reaching the NCSS’s objectives. In addition, technology and tools such as mobile devices can not only support security but can also provide technological guidance and open possibilities to promote human rights in the sphere of cybersecurity.[50] However, if not updated, tools and technology may pose risks to cybersecurity.	第二の主要要素は、ガバナンスモデルの構築と NCSS の実施を支援するための技術とツールの利用から生まれるものである。産業界、政府、その他の通信システムで使用されているツールや技術を更新することで、NCSSの目標達成を支援することができる。さらに、モバイル機器などの技術やツールは、セキュリティをサポートするだけでなく、技術的なガイダンスを提供し、サイバーセキュリティの領域で人権を促進する可能性を開くことができる[50]。しかし、ツールや技術が更新されていない場合、サイバーセキュリティにリスクを与える可能性がある。
4.3 THE STATE OF THE ART: STATUS OF THE NCSS ACROSS THE EU MEMBER STATES	4.3 技術の現状。EU加盟国全体のNCSSの状況
Currently, all EU Member States have a NCSS in place. Figure 5 below showcases the status of each country of developing updated versions and new editions of their NCSS.	現在、すべての EU 加盟国が NCSS を導入している。以下の図 5 は、各国の NCSS の更新版、新版の開発状況を示している。
Figure 5: State of Art: NCSSs across the EU Member States	図5：State of Art: EU 加盟国の NCSS の現状

All 18 Member States[51] interviewed for this report have currently a governance model in place to support the implementation of the NCSS. Similarly, all Member State representatives stated that having in place a governance model is highly important when implementing the NCSS. Figure 5 provides an overview of the EU Member States which have deployed their first NCSS governance model and highlights in a darker blue those countries which already employed later editions of the governance model. In general, it can be said that the NCSSs are updated every three to seven years. The governance model would need to be updated as well, taking into account recent developments in the cyberspace due to its close relationship with the NCSS.	本報告書のためにインタビューした 18 の加盟国[51]はすべて、現在 NCSS の実施を支援するためのガバナンスモデルを備えている。同様に、すべての加盟国の代表者が、NCSS を実施する上でガバナンスモデルがあることは非常に重要であると述べている。図5は、最初のNCSSガバナンスモデルを導入したEU加盟国の概要であり、既にそれ以降のガバナンスモデルを導入している国は濃い青色でハイライトされている。一般に、NCSSは3～7年ごとに更新されると言われている。NCSSと密接な関係にあるサイバースペースの最近の動向を踏まえ、ガバナンスモデルも更新が必要であろう。
Figure 6: State of Art: Deployment of governance models for NCSS across the EU Member States	図6：State of Art: EU加盟国でのNCSSのガバナンスモデルの展開状況

From Figure 6, it can be noticed that some countries introduced an accompanying governance model over the years, and that some countries introduced it only after the first NCSS was already deployed. While this shows that the Member States used to have different approaches to implementing their NCSSs, it also indicates growing agreement of the importance of settingup a governance model. It is interesting to notice that maturity of the governance model does not necessarily depend on or correlate with the number of further editions of the NCSS.	図 6 からは、何年もかけて付随するガバナンスモデルを導入した国もあれば、既に最初の NCSS が配備された後に導入した国もあることが分かる。これは加盟国間でNCSS導入のアプローチが異なっていたことを示しているが、同時にガバナンスモデル構築の重要性についての合意が高まっていることを示している。ガバナンスモデルの成熟度は、必ずしもNCSSの追加版数には依存しない、あるいは相関しないことに気づくのは興味深いことである。

・2023.02.28 A Governance Framework for National Cybersecurity Strategies

A Governance Framework for National Cybersecurity Strategies

国家サイバーセキュリティ戦略のためのガバナンス・フレームワーク

This study focuses on the good practices around the set-up and deployment of a governance framework to support the implementation of the NCSS in the EU. The main aim of this statistical outline is to give an overview of the key findings of the study, link them with the main elements of the proposed governance framework and support them by insightful statistics. Moreover, this lightweight report highlights a collection of good practices for the different elements of governance that the European countries put in place to ensure an effective framework for the implementation of current and future NCSSs of the EU Member States.

本研究は、EUにおけるNCSSの実施を支援するためのガバナンスフレームワークの構築と展開に関するグッドプラクティスに焦点を当てたものである。この統計の概要の主な目的は、研究の主要な発見を概観し、提案されているガバナンスの枠組みの主要な要素と関連づけ、洞察に満ちた統計によってそれらをサポートすることである。さらに、この軽量レポートでは、EU加盟国の現在および将来のNCSS実施のための効果的な枠組みを確保するために、欧州諸国が実施したガバナンスのさまざまな要素に関するグッドプラクティスをまとめて紹介している。

・[PDF]