ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る
こんにちは、丸山満彦です。
IoT製品とか、AIとか、、、新しい製品、サービス等がでてくると、利用者側からすると、それがセキュリティ的に大丈夫か?という話になり、ちゃんと確認して、大丈夫だったらシールを貼ってくれ、、、という話になりますよね。。。
問題は、何に対して(対象)、どんな物差(クライテリア)で、誰(監査人の要件)が、どの程度確認する(保証水準)のか???という話ですかね。。。
⚫︎ ENISA
・2023.05.25 Exploring the Feasibility of EU Cybersecurity Certification in support of New Technologies
Exploring the Feasibility of EU Cybersecurity Certification in support of New Technologies | 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る |
Once more, the European Union Agency for Cybersecurity (ENISA), organises the Cybersecurity Certification Conference, during the twice annually cybersecurity certification week that brings together experts, private stakeholders and public authorities representatives. | 欧州連合サイバーセキュリティ機関(ENISA)は、専門家、民間関係者、公的機関の代表者が集まる年2回のサイバーセキュリティ認証週間において、今年もサイバーセキュリティ認証会議を開催する。 |
The annual ENISA Cybersecurity Certification Conference 2023 | 毎年開催されるENISAサイバーセキュリティ認証会議 2023年 |
The ENISA Cybersecurity Certification Conference 2023, is the public highlight of the spring certification week held in Athens on 25 May 2023. The conference tackled the impact of upcoming EU laws and frameworks on cybersecurity certification and addressing the challenge of cybersecurity certification requirements concerning new technologies. | ENISAサイバーセキュリティ認証会議2023は、2023年5月25日にアテネで開催された春の認証週間のハイライトとして公開されました。この会議では、サイバーセキュリティ認証に対する今後のEUの法律や枠組みの影響や、新しい技術に関するサイバーセキュリティ認証要件の課題への取り組みに取り組んでいる。 |
In particular, the conference is a forum to discuss the requirements of the Cybersecurity Act, the proposed Cyber Resilience Act, the EU Digital Identity Wallet as well as preliminary observations stemming from the new ENISA feasibility study on cybersecurity certification of Artificial Intelligence (AI). | 特に、この会議は、サイバーセキュリティ法、提案されているサイバーレジリエンス法、EUデジタルアイデンティティウォレットの要件、および人工知能(AI)のサイバーセキュリティ認証に関する新しいENISAのフィージビリティスタディから生じる予備的見解を議論する場となる。 |
The Cybersecurity Certification Week | サイバーセキュリティ認証週間 |
During the last week of May 2023 ENISA hosts the certification week with plenary sessions of the three ad hoc certification working groups building the candidate schemes on: | 2023年5月最終週、ENISAは認証週間を開催し、3つのアドホック認証ワーキンググループの本会議で候補スキームを構築する: |
・EUCC – the European Common Criteria-based European candidate cybersecurity certification scheme; | ・EUCC - 欧州共通基準ベースの欧州サイバーセキュリティ認証候補スキーム; |
・EUCS – the European Cybersecurity Certification Scheme for Cloud Services; and, | ・EUCS - クラウドサービスのための欧州サイバーセキュリティ認証スキーム、および、 |
・EU5G – concerning an EU cybersecurity certification scheme for 5G network equipment and identities. | ・EU5G:5Gネットワーク機器とIDのEUサイバーセキュリティ認証スキームに関するもの。 |
Furthermore, experts also get together in a joint session to discuss horizontal topics that include: | さらに、専門家が一堂に会するジョイントセッションでは、以下のような水平的なトピックについて議論する: |
・Vulnerability handling for certified solutions; | ・認証ソリューションの脆弱性対応; |
・Pen testing methodologies during evaluations; | ・評価時のペンテストの方法論 |
・Certification: Market Uptakes & Building the Community; | ・認証取得: 認証:市場のアップテイクとコミュニティの構築; |
・New developments such as feasibility studies on the EU Digital Identity Wallet and on AI. | ・EU Digital Identity WalletやAIに関するフィージビリティ・スタディなど、新たな展開。 |
Delegates from across the EU Member States are also meeting at the European Cybersecurity Certification Group (ECCG) and the Stakeholders Cybersecurity Certification Group (SCCG), also convenes in hybrid form. | また、欧州サイバーセキュリティ認証グループ(ECCG)とステークホルダーズサイバーセキュリティ認証グループ(SCCG)には、EU加盟国全体から代表者が集まり、ハイブリッド形式で開催されている。 |
Highlights of the Certification Conference | 認証会議のハイライト |
・Reconciling with the complex cybersecurity policy ecosystem | ・複雑なサイバーセキュリティ政策のエコシステムと調和する |
This year’s conference focuses on the challenges related to the implementation of cybersecurity certification in a moving regulation landscape such as NIS2, and proposals including the AI Act and the Cyber Resilience Act currently under legislative scrutiny. | 今年のカンファレンスでは、NIS2のような動きのある規制の状況や、現在立法が検討されているAI法やサイバーレジリエンス法などの提案の中で、サイバーセキュリティ認証の実施に関連する課題に焦点を当てている。 |
Panels seek to assess how the developed schemes adequately meet the requirements of new and upcoming regulations as well as whether they are fit for purpose and sufficiently address the challenges raised by new technologies or their developments. | パネルディスカッションでは、開発されたスキームが新しい規制や今後の規制の要件をいかに適切に満たしているか、また、目的に合っているか、新しい技術やその発展によってもたらされる課題に十分に対処しているかを評価することを目的としている。 |
・Cybersecurity certification for AI | ・AIのためのサイバーセキュリティ認証 |
As the discussion on the European approach to AI is ramping up, with the European Parliament's leading committees having just adopted their position on the proposal for a EU regulation on AI (the so called “AI Act”), the need for a cyber secure AI and the question of how it can be achieved are ever-more pressing. Earlier this year ENISA published a report on standardisation and cyber secure AI and is now continuing this work with an assessment on the feasibility of a cybersecurity certification scheme for AI. | 欧州議会の主要委員会がAIに関するEU規制案(いわゆる「AI法」)に対する見解を採択したばかりで、AIに対する欧州のアプローチに関する議論が活発化する中、サイバーセキュアなAIの必要性とそれをどのように実現するかという問題は、ますます切実になっている。ENISAは今年初め、標準化とサイバーセキュアAIに関する報告書を発表し、現在、AI向けのサイバーセキュリティ認証スキームの実現可能性に関する評価でこの作業を継続している。 |
As part of this work, the Certification Week hosts an expert panel of representatives of governments and standardisation bodies to review the challenges in implementing policies on AI of course with a focus on cybersecurity and certification. | この作業の一環として、認証週間では、各国政府と標準化団体の代表による専門家パネルを開催し、サイバーセキュリティと認証に焦点を当てた、もちろんAIに関する政策の実施における課題を検討する。 |
・The EU Digital Identity Wallet and the Cybersecurity Act | ・EUのデジタルIDウォレットとサイバーセキュリティ法 |
On the occasion of the conference, ENISA animates a panel to engage discussions on the EUID Wallet in regards with the EU Cybersecurity Certification Framework. | ENISAは、この会議の機会に、EUサイバーセキュリティ認証フレームワークに関するEUIDウォレットについて議論するパネルを作成した。 |
Cybersecurity certification: the minute account | サイバーセキュリティ認証:議事録 |
The EU cybersecurity certification framework has the objective to establish and maintain trust and security in Information and Communications Technology (ICT) products, ICT services and ICT processes. | EUのサイバーセキュリティ認証フレームワークは、情報通信技術(ICT)製品、ICTサービス、ICTプロセスにおける信頼とセキュリティを確立し維持することを目的としている。 |
Beyond the purely technical requirements certification establishes, these EU frameworks are also developed to strengthen the EU market. Certification is therefore to be seen as a tool to deal with socio-economic aspects such as users’ trust, the duty of care of a manufacturer or provider and prevention of cybersecurity failure to protect market reputation. | 認証が確立する純粋な技術的要件にとどまらず、これらのEUの枠組みは、EU市場の強化のためにも開発されている。したがって、認証は、ユーザーの信頼、製造者やプロバイダの注意義務、市場の評判を守るためのサイバーセキュリティの失敗の防止といった社会経済的側面に対処するためのツールとみなされる。 |
Certification, however, faces the challenge of addressing new technologies and usage. | しかし、認証は、新しい技術や使い方に対応するという課題に直面している。 |
Target audience of the ENISA Cybersecurity Certification Conference | ENISAサイバーセキュリティ認証会議の対象者 |
・Experts from public authorities that are competent for cybersecurity certification and market across the EU Member States; | ・EU加盟国のサイバーセキュリティ認証と市場を管轄する公的機関の専門家; |
・European Institutions with a competence or an interest in cybersecurity; | ・サイバーセキュリティに能力または関心を持つ欧州の機関; |
・Conformity Assessment Bodies, Cybersecurity evaluators and auditors; | ・適合性評価機関、サイバーセキュリティの評価者、監査人; |
・Business and industry representatives; | ・ビジネスおよび産業界の代表者; |
・Researchers and the academic community. | ・研究者、学術界 |
Further Information | 詳細情報 |
ENISA Certification Conference | ENISA認証会議 |
ENISA Certification mini-site | ENISA認証ミニサイト |
ENISA Topic on Certification | ENISA認証に関するトピック |
Cybersecurity of AI and standardisation – 2023 ENISA report | AIのサイバーセキュリティと標準化 - 2023年ENISAレポート |
Cyber Resilience Act Proposal | サイバーレジリエンス法の提案 |
AI Act Proposal | AI法提案 |
Cybersecurity Act | サイバーセキュリティ法 |
⚫︎ まるちゃんの情報セキュリティ気まぐれ日記
・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設
欧州のサイバーセキュリティラベル
・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開
・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す
・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)
・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)
・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品
・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与
・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。
米国のサイバーセキュリティラベル
・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書
・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル
・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。
・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準
・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準
・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集
Comments