ENISA サプライチェーンサイバーセキュリティのためのグッドプラクティス

こんにちは、丸山満彦です。

ENISAから、サプライチェーンサイバーセキュリティのためのグッドプラクティスの報告書が公表されています。eIDASもそうですが、NIS2対応でENISAもいろいろと活動をしていますね。。。

調査結果のまとめという感じですかね。。。

 

● ENISA

・2023.06.13 Good Practices for Supply Chain Cybersecurity

Good Practices for Supply Chain Cybersecurity	サプライチェーンサイバーセキュリティのためのグッドプラクティス
The report provides an overview of the current supply chain cybersecurity practices followed by essential and important entities in the EU, based on the results of a 2022 ENISA study which focused on investments of cybersecurity budgets among organisations in the EU.	本報告書は、EU内の組織におけるサイバーセキュリティ予算への投資に焦点を当てた2022年のENISA調査の結果に基づき、EUの必須・重要な事業体が現在行っているサプライチェーンサイバーセキュリティの実践について概観している。

 

・[PDF]

 

・目次...

1.   INTRODUCTION	1.   序文
1.1   SUPPLY CHAIN IN THE NIS2 DIRECTIVE	1.1 NIS2指令におけるサプライチェーン
1.2   AIM AND AUDIENCE	1.2 目的と対象者
1.3   METHODOLOGY AND STRUCTURE	1.3 方法論と構造
2.   CURRENT PRACTICES	2.   現在の実践
2.1   FINDINGS	2.1 調査結果
2.2   SUMMARY	2.2 まとめ
3.   SUPPLY CHAIN CYBERSECURITY GOOD PRACTICES	3.   サプライチェーンサイバーセキュリティのグッドプラクティス
3.1   STRATEGIC CORPORATE APPROACH	3.1 戦略的な企業アプローチ
3.2   SUPPLY CHAIN RISK MANAGEMENT	3.2 サプライチェーンリスクマネジメント
3.3   SUPPLIER RELATIONSHIP MANAGEMENT	3.3 サプライヤーとの関係管理
3.4   VULNERABILITY HANDLING	3.4 脆弱性の取り扱い
3.5   QUALITY OF PRODUCTS AND PRACTICES FOR SUPPLIERS AND SERVICE PROVIDERS	3.5 サプライヤー及びサービスプロバイダーに対する製品及び実務の品質
4.   CHALLENGES	4.   課題
REFERENCES	参考文献
ANNEX A: RECENT SUPPLY CHAIN ATTACKS	附属書 A：最近のサプライチェーンにおける攻撃事例
ANNEX B: STANDARDS AND GOOD PRACTICES	附属書 B：標準及び優良慣行
ANNEX C: TERMINOLOGY	附属書 C：用語集

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
Directive (EU) 2022/2555 (the NIS2 directive) [1] requires Member States to ensure that essential and important entities take appropriate and proportionate technical, operational and organisational measures to manage the risks posed to the security of network and information systems, which those entities use in the provision of their services. Supply chain cybersecurity is considered an integral part of the cybersecurity risk management measures under Article 21(2) of the NIS2 directive.	指令（EU）2022/2555（NIS2指令）[1]は、必須かつ重要な事業体が、そのサービスの提供において使用するネットワークおよび情報システムのセキュリティにもたらされるリスクを管理するために、適切かつ比例した技術、運用および組織的な措置をとることを、加盟国に求めています。サプライチェーンのサイバーセキュリティは、NIS2指令の第21条2項に基づくサイバーセキュリティリスクマネジメントの不可欠な部分と考えられています。
The report provides an overview of the current supply chain cybersecurity practices followed by essential and important entities in the EU, based on the results of a 2022 ENISA study which focused on investments of cybersecurity budgets among organisations in the EU.	本報告書は、EU内の組織におけるサイバーセキュリティ予算への投資に焦点を当てた2022年のENISA調査の結果に基づき、EUの重要な事業体が現在行っているサプライチェーンのサイバーセキュリティ対策の概要を示しています。
Among the findings the following points are observed.	調査結果の中で、以下の点が確認されました。
• 86 % of the surveyed organisations implement information and communication technology / operational technology (ICT/OT) supply chain cybersecurity policies.	・調査対象組織の86 %が、情報通信技術/運用技術（ICT/OT）サプライチェーンサイバーセキュリティポリシーを実施している。
• 47 % allocate budget for ICT/OT supply chain cybersecurity.	・47 %がICT/OTサプライチェーンサイバーセキュリティのための予算を割り当てている。
• 76 % do not have dedicated roles and responsibilities for ICT/OT supply chain cybersecurity.	・76 %は、ICT/OTサプライチェーンサイバーセキュリティのための専任の役割と責任を持っていない。
• 61 % require security certification from suppliers, 43% use security rating services and 37% demonstrate due diligence or risk assessments. Only 9 % of the surveyed organisations indicate that they do not evaluate their supply chain security risks in any way.	・61 %がサプライヤーにセキュリティ認証を要求し、43 %がセキュリティ評価サービスを利用し、37 %がデューデリジェンスまたはリスク評価を実施している。調査対象組織のうち、サプライチェーンのセキュリティリスクを何ら評価していないと回答したのはわずか9%であった。
• 52 % have a rigid patching policy, in which only 0 to 20 % of their assets are not covered. On the other hand,	・52 %が厳格なパッチ適用方針をとっており、その中でカバーされていないのは資産の0～20 %に過ぎない。その一方で
• 13.5 % have no visibility over the patching of 50 % or more of their information assets.	・13.5 %は、50 %以上の情報資産に対するパッチ適用を可視化できていない。
• 46 % patch critical vulnerabilities within less than 1 month, while another 46 % patch critical vulnerabilities within 6 months or less.	・また、46%は重要な脆弱性を1ヶ月以内にパッチしており、さらに46%は重要な脆弱性を6ヶ月以内にパッチしている。
The report also gathers good practices on supply chain cybersecurity derived from European and international standards. It focuses primarily on the supply chains of ICT or OT. Good practices are provided and can be implemented by customers (such as organisations identified as essential and important entities under the NIS2 directive) or their respective suppliers and providers. The good practices cover five areas, namely:	また、本報告書は、欧州および国際的な基準から得られたサプライチェーンのサイバーセキュリティに関するグッドプラクティスを集めている。主にICTやOTのサプライチェーンに焦点をあてている。グッドプラクティスは、顧客（NIS2指令で必須・重要事業体と認定された組織など）またはそのサプライヤーやプロバイダーが実施できるように提供されている。グッドプラクティスは、次の5つの分野をカバーしている：
• strategic corporate approach;	・戦略的な企業アプローチ
• supply chain risk management;	・サプライチェーンリスクマネジメント
• supplier relationship management;	・サプライヤーリレーションシップマネジメント
• vulnerability handling;	・脆弱性の取り扱い；
• quality of products and practices for suppliers and service providers.	・製品の品質とサプライヤーおよびサービスプロバイダーに対する慣行である。
Finally, the report concludes the following.	最後に、報告書は次のように結論付けている。
• There is confusion with respect to terminology around the ICT/OT supply chain.	・ICT/OTのサプライチェーンをめぐる用語に関して混乱がある。
• Organisations should establish a corporate-wide supply chain management system based on third party risk management (TRM) and covering risk assessment, supplier relationship management, vulnerability management and quality of products.	・組織は、第三者リスクマネジメント（TRM）に基づき、リスクアセスメント、サプライヤー関係管理、脆弱性管理、製品の品質を網羅する全社的なサプライチェーンマネジメントシステムを確立すべきである。
• Good practices should cover all various entities which play a role in the supply chain of ICT/OT products and services, from production to consumption.	・グッドプラクティスは、生産から消費に至るまで、ICT/OT 製品・サービスのサプライチェーンで役割を果たすすべての様々な主体を対象とする必要がある。
• Not all sectors demonstrate the same capabilities concerning ICT/OT supply chain management.	・すべての部門が ICT/OT のサプライチェーン・マネジメントに関して同じ能力を発揮するわけではない。
• The interplay between the NIS2 directive and the proposal for a cyber resilience act or other legislation, sectorial or not, which provides cybersecurity requirements for products and services, should be further examined.	・NIS2 指令と、製品およびサービスに対するサイバーセキュリティ要件を規定するサイバーレジリエンス法 または他の法律の提案（部門別かどうかは問わない）との相互作用は、さらに検討されるべきである。

 

[1] Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (OJ L 333, 27.12.2022, p. 80). https://eur-lex.europa.eu/eli/dir/2022/2555