« NATO COE 書籍紹介:NATOの集団防錆を可能にする:重要インフラとレジリエンス | Main | ENISA サプライチェーンサイバーセキュリティのためのグッドプラクティス »

2023.06.14

ENISA トラストサービス-eIDASエコシステムのクラウドへの安全な移転

こんにちは、丸山満彦です。

これからの方向性ですかね。。。欧州は議論が進んでいますが、日本はどうなんでしょうか?

 

ENISA

・2023.06.12 Trust Services & Digital Wallets: Moving to the Cloud and Remote Identity Proofing

Trust Services & Digital Wallets: Moving to the Cloud and Remote Identity Proofing トラストサービス&デジタルウォレット: クラウドへの移行とリモートIDプルーフィング
In order to address the cybersecurity questions of remote identity proofing, the European Union Agency for Cybersecurity (ENISA) organised a workshop to support the area of Trust Services and Digital Wallets and published a report on moving trust services to the cloud. 欧州連合サイバーセキュリティ機関(ENISA)は、遠隔IDプルーフィングに関するサイバーセキュリティ上の疑問を解決するため、トラストサービスとデジタルウォレットの分野を支援するワークショップを開催し、トラストサービスのクラウドへの移行に関する報告書を発表した。
Report on Trust Services: Secure Move to the Cloud of the eIDAS ecosystem トラストサービスに関する報告書: eIDASエコシステムのクラウドへの安全な移行について
For the purpose of the report, ENISA conducted a survey with more than 120 stakeholders from over 29 countries in the EU and globally. The survey allowed to get an insight of practical experiences of Trust Service Providers, Conformity Assessment Bodies, Supervisory Bodies and Cloud Service Providers regarding the transition of trust services to the cloud. 報告書の作成にあたり、ENISAはEUおよび世界の29カ国以上から120名以上の関係者にアンケートを実施した。 この調査により、トラストサービスのクラウドへの移行に関するトラストサービスプロバイダー、適合性評価機関、監督機関、クラウドサービスプロバイダーの実務経験を把握することができた。
Moving trust services to the cloud must be understood as an ongoing process that has to be followed step by step. While some services – such as the validation of signatures, registered delivery, time stamp or signature preservation – are moved rather quickly, other services – such as the issuance of certificates and remote control over the signing device – require in-depth analysis and preparation. The transition of data to the cloud has to be secure at all times and, in the best case, must remain in the data centre of the trust services provider. 信頼サービスのクラウドへの移行は、一歩一歩進めていかなければならない継続的なプロセスとして理解する必要がある。署名の検証、書留、タイムスタンプ、署名の保存など、すぐに移行できるサービスもあれば、証明書の発行や署名装置のリモートコントロールなど、綿密な分析と準備が必要なサービスもある。クラウドへのデータ移行は常に安全でなければならず、最良のケースでは、トラストサービスプロバイダーのデータセンターに留まる必要がある。
This report has given a detailed overview of the issues to be addressed for such a transition, including the related challenges, impediments and opportunities. 本報告書では、このような移行に取り組むべき課題、阻害要因、機会について詳しく解説した。
Workshop on Remote Video Identification: Attacks and Foresight 遠隔ビデオ識別に関するワークショップ: 攻撃と予見
The workshop was the occasion for ENISA to publish its report exploring the secure move to the cloud of the eIDAS ecosystem. In cooperation with the European Competent Authorities for Trust Services (ECATS) expert group, ENISA organised a workshop on 10 May 2023 in Amsterdam, Netherlands. The purpose of the workshop was to explore and discuss the latest national implementations, existing and emerging attacks, and the security measures envisaged for the protection of remote identity proofing across the EU. このワークショップを機に、ENISAはeIDASエコシステムのクラウドへの安全な移行を検討する報告書を発表した。欧州トラストサービス権限機関(ECATS)専門家グループと協力して、ENISAは2023年5月10日にオランダのアムステルダムでワークショップを開催した。このワークショップの目的は、最新の各国での実装、既存の攻撃と新たな攻撃、EU全域での遠隔IDプルーフィングの保護に想定されるセキュリティ対策について調査・議論することであった。
Over 100 participants attended the workshop and included representatives from Supervisory Bodies, Identity and trust service providers, conformity assessment bodies, standardisation bodies and research community. ワークショップには、監督機関、アイデンティティおよびトラストサービスプロバイダー、適合性評価機関、標準化機関、研究コミュニティの代表者ら100人以上が出席した。
The workshop addressed the following main challenges: ワークショップでは、以下のような主な課題が取り上げられた:
・lack of EU legislation harmonisation; ・EU法の調和がとれていない;
・how to keep up with technological advancements connected to AI; ・AIに関連する技術的進歩にどのように対応するか;
・the testing and performance measuring landscape; ・テストと性能測定の状況
・how to continuously follow the supply chain of products and services. ・製品・サービスのサプライチェーンを継続的にフォローする方法。
Access the workshop’s summary and presentations here ワークショップの概要とプレゼンテーションについては、こちらをご覧ください。
Meeting of the European Competent Authorities for Trust Services (ECATS) Expert Group 欧州トラストサービス機関(ECATS)専門家グループ会議
The Dutch Supervisory Authority hosted the 21st meeting of the ECATS on 11 and 12 May, back-to-back with the meeting of FESA (Forum of European Supervisory Authorities). オランダ監督庁は、FESA(欧州監督機関フォーラム)の会議と並行して、5月11日と12日にECATSの第21回会議を主催した。
The group discussed latest developments in eIDAS2, the connection between the upcoming implementation of the NIS 2 and eIDAS2, as well as updates on standardisation and certification in relation to trust services. ECATSでは、eIDAS2の最新動向、NIS 2の導入とeIDAS2の関連性、トラストサービスに関連する標準化と認証に関する最新情報を議論した。
The ECATS EG is the informal group focusing to facilitates voluntary and informal collaboration between competent authority experts from EU Member States, European Economic Area (EEA) and European Free Trade Association (EFTA) States, EU Candidate countries and other relevant stakeholders to ensure smooth and secure functioning of trust services. ECATS EGは、EU加盟国、欧州経済領域(EEA)、欧州自由貿易連合(EFTA)諸国、EU候補国、その他の関連ステークホルダーの所轄官庁専門家が、トラストサービスを円滑かつ安全に機能させるために、自主的かつ非公式な協力を促進することを目的とした非公式グループである。
Save the date for the next Trust Services and eID Forum 次回のTrust Services and eID Forumの開催日
The Trust Services Forum will be renamed Trust Services and eID Forum and its 9th edition will take place on 11 -12 October 2023 in Vienna, Austria back-to-back with the 15th Certificate Authority (CA) Day. トラストサービスフォーラムは、トラストサービス&eIDフォーラムに名称を変更し、第9回を2023年10月11日~12日にオーストリア・ウィーンで、第15回認証局(CA)デーと同時開催する予定である。
Further Information 詳細情報
Trust Services-Secure move to the cloud of the eIDAS ecosystem - ENISA report 2023 トラストサービス-eIDASエコシステムのクラウドへの安全な移行-ENISA報告書2023年版
ENISA topic on Trust Service トラストサービスに関するENISAのトピック
ENISA topic on Incident Reporting インシデント報告書に関するENISAのトピック
Remote ID Proofing — ENISA (europa.eu) リモートIDプルーフィング - ENISA (europa.eu)
Security Framework for Qualified Trust Service Providers – ENISA report 2021 認定トラストサービスプロバイダのためのセキュリティフレームワーク - ENISA報告書2021年
The electronic identification and trust services for electronic transactions in the internal market Directive (eIDAS regulation) 域内市場における電子取引のための電子識別およびトラストサービスに関する指令(eIDAS規制)

 

 

・2023.06.12 Trust Services-Secure move to the cloud of the eIDAS ecosystem

Trust Services-Secure move to the cloud of the eIDAS ecosystem トラストサービス-eIDASエコシステムのクラウドへの安全な移行
This report includes a detailed analysis on the different technical requirements that must be addressed considering the relevant standards. It also gives an overview of practical experiences on the move of trust services to the cloud, based on the results of a survey conducted with over 120 participants. The report finds that there are many existing requirements on the TSP side that can be considered and potentially applied to cloud service providers (CSPs). 本報告書では、関連する規格を考慮して対処しなければならないさまざまな技術的要件について、詳細な分析を行っている。また、120名以上の参加者を対象に実施したアンケート結果に基づき、トラストサービスのクラウド化に関する実践的な経験の概要も紹介している。本報告書では、クラウドサービスプロバイダー(CSP)に適用できる可能性のある、TSP側の既存要件が多数存在することを明らかにしている。

 

・[PDF]

20230614-05433

 

目次...

1 INTRODUCTION TO EIDAS, TSPS AND THE CLOUD  1 EIDAS、TSPS、クラウドへの序文 
1.1. eIDAS TRUST SERVICES  1.1. eIDAS TRUST SERVICES(イーダス・トラスト・サービス 
1.2. STRUCTURE OF THE REPORT  1.2. 報告書の構成 
1.3. WHAT IS IN THE CLOUD  1.3. クラウドにあるもの 
1.3.1. Cloud computing  1.3.1. クラウドコンピューティング 
1.3.2. General purpose of cloud platforms  1.3.2. クラウドプラットフォームの一般的な目的 
1.4. USE OF CLOUD SEVICES IN SUPPORT OF TRUST SERVICES  1.4. トラストサービスのサポートにおけるクラウドサービスの利用 
1.4.1. Main cloud service provisions  1.4.1. 主なクラウドサービスの規定 
2 GENERAL REQUIREMENTS APPLICABLE TO TSPS AND CSPS  2 TSPS 及び CSP に適用される一般要件 
2.1. OVERVIEW OF THE REQUIREMENTS FOR TRUST SERVICES  2.1. トラストサービスに関する要求事項の概要 
2.2. INFORMATION SECURITY REQUIREMENTS OF CLOUD SERVICE  2.2. クラウドサービスにおける情報セキュリティ要件 
2.2.1. ISO standards  2.2.1. ISO規格 
2.2.2. Cloud Security Alliance STAR self-assessment and certification  2.2.2. クラウドセキュリティアライアンスSTARの自己評価と認証 
2.2.3. EU cloud certification scheme  2.2.3. EUのクラウド認証スキーム 
2.2.4. EU GDPR  2.2.4. EU GDPR 
2.2.5. NIS 2 Directive  2.2.5. NIS 2指令 
3 PROVISION OF SPECIFIC TRUST SERVICES IN THE CLOUD  3 クラウドにおける特定信用サービスの提供 
3.1. COMPARISON OF GENERAL CSP STANDARDS WITH GENERAL TSP REQUIREMENTS  3.1. 一般的なCSP標準と一般的なTSP要求事項の比較 
3.1.1. Information security management  3.1.1. 情報セキュリティ管理 
3.1.2. Privacy  3.1.2. プライバシー 
3.1.3. Risk assessment and policy and security requirements  3.1.3. リスクアセスメントとポリシー、セキュリティ要件 
3.2. GENERAL CONCLUSIONS  3.2. 一般的結論 
3.3. OPERATING TRUST SERVICES IN THE CLOUD  3.3. クラウドにおけるトラストサービスの運用 
3.3.1. Certificate issuance  3.3.1. 証明書の発行 
3.3.2. Remote signing service using cloud services  3.3.2. クラウドサービスを利用したリモート署名サービス 
3.3.3. Time stamping  3.3.3. タイムスタンプ付与 
3.3.4. e-delivery services  3.3.4.電子納品サービス 
3.3.5. Signature Preservation services  3.3.5. 署名保存サービス 
3.3.6. Signature validation  3.3.6. 署名の検証 
3.4. PRACTICAL EXPERIENCES  3.4. 実践経験 
3.5. GENERAL CONCLUSIONS  3.5. 一般的な結論 
4 EVALUATION OF TRUST SERVICES IN THE CLOUD  4 クラウドにおけるトラストサービスの評価 
4.1. ACCREDITATION AND CONFORMITY ASSESSMENT SCHEME UNDER eIDAS  4.1. eIDASに基づく認定と適合性評価スキーム 
4.2. PRACTICAL EXPERIENCES  4.2. 実践的な経験 
5 CONCLUSIONS  5 結論 
6 BIBLIOGRAPHY/REFERENCES  6 書誌・参考文献 
6.1. BIBLIOGRAPHY  6.1. 書誌情報 
6.2. ENISA PUBLICATIONS  6.2. ENISA出版 
6.3. APPLICABLE LEGISLATION/REGULATION  6.3. 適用される法律/規制 
7 ANNEX – SURVEY RESULTS  7 附属書-調査結果 
7.1. TTUST SERVICE PROVIDERS  7.1. TTUSTサービスプロバイダー 
7.2. CLOUD SERVICE PROVIDERS  7.2. クラウドサービスプロバイダー 
7.3. PROVIDERS OF SOLUTIONS TO TSPs  7.3. TSP向けソリューションのプロバイダー 
7.4. NATIONAL AUTHORITIES  7.4. 国家機関 
7.5. CONFORMITY ASSESSMENT BODIES  7.5. 適合性評価機関 

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Since Regulation (EU) No 910/2014 on electronic identification and trust services for electronic transactions (hereafter the eIDAS regulation or eIDAS) (1) entered into force in July 2016, the EU has offered a trust framework for online and digital transactions in the EU. Qualified trust services (QTS), as defined in the regulation, are the core of the framework establishing trust between businesses, EU Member States and individuals. Not only has eIDAS established trust in the EU, but also opened a new market for trust service providers (TSPs). With over 200 companies listed in the EU trusted list of service providers, the market is developing constantly, changing and adapting to its environment.  2016年7月に電子取引のための電子的識別およびトラストサービスに関する規則(EU)No 910/2014(以下、eIDAS規則またはeIDAS)(1)が発効して以来、EUではオンラインおよびデジタル取引に対する信頼の枠組みが提供されている。同規則で定義されたQualified Trust Services(QTS)は、企業、EU加盟国、個人間の信頼を確立する枠組みの中核となるものである。eIDASはEUにおける信頼を確立しただけでなく、トラストサービスプロバイダー(TSP)にとっても新たな市場を開拓した。EUの信頼できるサービスプロバイダーのリストには200社以上が掲載されており、市場は絶えず発展し、変化し、環境に適応している。
Clouds and cloud computing nowadays are a commonly used platform for sharing and storing data. They can be used for many purposes and are often an inherent part of large, small and medium-sized enterprises. The benefits of using clouds are flexibility, cost effectiveness, the easy transfer of data and the availability to extend services as usage grows. In recent years, TSPs have been moving their services to the cloud in order to take advantage of these benefits. Many providers have already moved all or parts of their services to the cloud. Cloud providers have realised their market goals for this transition and conformity assessment bodies (CABs) are investigating the means to audit trust services from the cloud.  クラウドとクラウドコンピューティングは現在、データの共有と保存のための一般的なプラットフォームとして使用されている。様々な用途に利用でき、大企業、中小企業に内在していることが多い。クラウドを利用する利点は、柔軟性、費用対効果、データの容易な転送、利用の拡大に応じてサービスを拡張することが可能なことである。近年、TSPはこれらの利点を生かすために、サービスのクラウド化を進めている。すでに多くのプロバイダーが、自社サービスの全部または一部をクラウドに移行している。クラウドプロバイダーはこの移行に向けた市場目標を実現し、適合性評価機関(CAB)は、クラウドからのトラストサービスを監査する手段を検討している。
This report includes a detailed analysis on the different technical requirements that must be addressed considering the relevant standards. It also gives an overview of practical experiences on the move of trust services to the cloud, based on the results of a survey conducted with over 120 participants. The report finds that there are many existing requirements on the TSP side that can be considered and potentially applied to cloud service providers (CSPs). The two most important standards against which conformance is often assessed by CSPs and which have much in common with the standards for trust services are:   本報告書では、関連する規格を考慮して対処しなければならないさまざまな技術的要件について詳細に分析している。また、120名以上の参加者を対象に実施した調査結果に基づき、トラストサービスのクラウドへの移行に関する実務経験の概要を説明している。本報告書では、クラウドサービスプロバイダー(CSP)に適用できる可能性のある、TSP側の既存要件が多数存在することを明らかにしている。CSPが適合性を評価することが多く、トラストサービスの標準と共通点が多い、最も重要な2つの標準は以下の通りである:  
• ISO/IEC 27017: Code of practice for information security controls, based on ISO/IEC 27002 for cloud services;  ・ISO/IEC 27017:ISO/IEC 27002 に基づくクラウドサービス向けの情報セキュリティ管理に関する実践規範; 
• ISO/IEC 27001: Information security management systems.  ・ISO/IEC 27001:情報セキュリティマネジメントシステム。
The results of the survey have shown that trust services are moving to the cloud. The findings of the comparison of standards adopted by CSPs and TSPs in the theoretical part of this report show that there are mostly minor disparities. The trust services that stakeholders consider most appropriate to be operated on a cloud are:  今回の調査結果から、トラストサービスのクラウド化が進んでいることがわかった。本報告書の理論編でCSPとTSPが採用している規格を比較した結果、ほとんど軽微な格差があることがわかった。関係者がクラウド上での運用に最も適していると考えるトラストサービスは、以下の通りである: 
• qualified certificates for electronic signature;  ・電子署名のための適格な証明書
• qualified validation for electronic signature;  ・電子署名のための適格なバリデーション
• qualified certificates for electronic seals;  ・電子印鑑のための適格な証明書
• provision of revocation status information.  ・失効状況情報の提供
From the audit perspective, the survey results have particularly shown that there is still insecurity and open questions when it comes to auditing the trust services remotely. While there are standards which CABs recognise as supporting compliance audits of TSPs providing services in the cloud (ISO 27017, ISO 27701, EU cloud cyber certification), most CABs think that the terms and conditions of CSPs contain adequate clauses allowing access for auditors to perform TSP assessments. While some impediments from the audit perspective exist, the survey results have shown that CABs can already perform audits on many trust services.  監査の観点からは、今回の調査結果では、特に、遠隔地でのトラストサービスの監査に関して、まだ不安や未解決の問題があることが示された。クラウドでサービスを提供するTSPのコンプライアンス監査をサポートする規格(ISO 27017、ISO 27701、EUクラウドサイバー認証)があると認証機関は認識しているが、ほとんどの認証機関は、CSPの利用規約には、監査人がTSP評価を実施するためのアクセスを許可する適切な条項があると考える。監査の観点からはいくつかの障害が存在するものの、調査結果から、CABはすでに多くのトラストサービスについて監査を実施できることがわかった。
Moving trust services to the cloud must be understood as an ongoing process that has to be followed step by step. While some services – such as the validation of signatures, registered delivery, time stamp or signature preservation – are moved rather quickly, other services – such as the issuance of certificates and remote control over the signing device – require in-depth analysis and preparation. The transition of data to the cloud has to be secure at all times and, in the best case, must remain in the data centre of the TSP. Some services might not be suitable for operation on the cloud. This report gives a detailed overview of the issues to be addressed for such transitions, along with the related challenges and opportunities. トラストサービスをクラウドに移行することは、一歩一歩進めなければならない継続的なプロセスとして理解する必要がある。署名の検証、登録デリバリー、タイムスタンプ、署名の保存など、すぐに移行できるサービスもあれば、証明書の発行や署名装置のリモートコントロールなど、綿密な分析と準備が必要なサービスもある。クラウドへのデータ移行は常に安全でなければならず、最良のケースでは、TSPのデータセンター内に留まらなければならない。サービスによっては、クラウド上での運用に適さない場合もある。本報告書では、このような移行に取り組むべき課題を、関連する課題と機会とともに詳しく解説している。

 

欧州のトラストサービスに関しては、昨年7月に[PDF] 報告書を出して終了した、「トラストを確保したDX推進サブワーキンググループ」の議論でつかわれた、

第4回 資料3 濱口氏提出資料(欧州eIDAS規則におけるアシュアランスレベル)

第5回 資料2 手塚氏提出資料(トラストサービスのアシュアランスレベルの考え方)

第7回 資料2 濱口氏提出資料(eIDAS2.0とEUDIW)

の資料がまとまっているように思います。。。

 

 

|

« NATO COE 書籍紹介:NATOの集団防錆を可能にする:重要インフラとレジリエンス | Main | ENISA サプライチェーンサイバーセキュリティのためのグッドプラクティス »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NATO COE 書籍紹介:NATOの集団防錆を可能にする:重要インフラとレジリエンス | Main | ENISA サプライチェーンサイバーセキュリティのためのグッドプラクティス »