OECD 通信インフラのセキュリティの強化 (2023.09.13)
こんにちは、丸山満彦です。
OECDが通信インフラのセキュリティの強化についての報告書を公表していますね。。。
● OECD
・2023.09.13 Enhancing the security of communication infrastructure
| Enhancing the security of communication infrastructure | 通信インフラのセキュリティを強化する |
| The digital security of communication networks is crucial to the functioning of our societies. Four trends are shaping networks, raising digital security implications: i) the increasing criticality of communication networks, ii) increased virtualisation of networks and use of cloud services, iii) a shift towards more openness in networks and iv) the role of artificial intelligence in networks. These trends bring benefits and challenges to digital security. While digital security ultimately depends on the decisions made by private actors (e.g. network operators and their suppliers), the report underlines the role governments can play to enhance the digital security of communication networks. It outlines key policy objectives and actions governments can take to incentivise the adoption of best practices and support stakeholders to reach an optimal level of digital security, ranging from light-touch to more interventionist approaches. | 通信ネットワークのデジタル・セキュリティは、社会の機能にとって極めて重要である。i) 通信ネットワークの重要性の増大、ii) ネットワークの仮想化とクラウドサービスの利用拡大、iii) ネットワークのオープン化へのシフト、iv) ネットワークにおける人工知能の役割。これらのトレンドは、デジタル・セキュリティに利益と課題をもたらす。デジタル・セキュリティは、最終的には民間事業者(ネットワーク事業者やそのサプライヤーなど)の意思決定に依存するが、本報告書では、通信ネットワークのデジタル・セキュリティを強化するために政府が果たせる役割を強調している。本報告書では、ベストプラクティスの導入にインセンティブを与え、関係者が最適なデジタル・セキュリティ・レベルに到達できるよう支援するために政府が取り得る主な政策目標と行動を、ライトタッチからより介入的なアプローチまで幅広く概説している。 |
・[PDF]
・[DOCX] 仮訳
目次...
| Foreword | 序文 |
| Executive summary | 要旨 |
| Enhancing the security of communication infrastructure | 通信インフラのセキュリティ強化 |
| Introduction | はじめに |
| Scope | スコープ |
| Digital security of communication networks | 通信ネットワークのデジタル・セキュリティ |
| A brief description of communication networks | 通信ネットワークの簡単な説明 |
| Trends in communication networks impacting digital security risk | デジタル・セキュリティ・リスクに影響を与える通信ネットワークの動向 |
| Increasing criticality of communication networks | 高まる通信ネットワークの重要性 |
| Virtualisation of networks and the integration of cloud services | ネットワークの仮想化とクラウドサービスの統合 |
| Towards more openness in networks | ネットワークのオープン化に向けて |
| Artificial Intelligence (AI) in communication networks | 通信ネットワークにおける人工知能(AI) |
| Cross-cutting overview of security implications | 安全保障への影響を横断的に概観する |
| Main security benefits: a potential for increased transparency, automation and supply chain diversification | 主な安全保障上のメリット:透明性の向上、自動化、サプライチェーンの多様化の可能性 |
| High-level challenges: a shift in scale, scope and speed | 高レベルの課題:規模、範囲、スピードの変化 |
| Policy discussion | 政策討議 |
| Policy objectives | 政策目標 |
| Policy actions and country initiatives around the OECD | OECD周辺の政策措置と各国の取り組み |
| Concluding remarks | 結びの言葉 |
| Annex 1. Open Source Software in communication networks | 附属書 1.通信ネットワークにおけるオープンソースソフトウェア |
| Annex 2. Open RAN initiatives in OECD countries | 附属書 2.OECD諸国におけるオープンRANの取り組み |
| Annex 3. Selection of legal requirements for the digital security of communication networks | 附属書 3.通信ネットワークのデジタル・セキュリティに関する法的要件の選択 |
| References | 参考文献 |
エグゼクティブサマリー...
| Executive summary | 要旨 |
| Communication networks are the foundation of the digital transformation. Given their crucial role, digital security and resilience have become a priority for policy makers across the OECD to ensure the functioning of our digitally dependent economies and societies and strengthen trust in the ongoing digital transformation. However, cyberattacks on these networks are on the rise and increasingly sophisticated. At the same time, communication networks are undergoing significant changes and are being upgraded to new technological standards (e.g. 5G and 6G), which, in turn, impact their security. | 通信ネットワークはデジタルトランスフォーメーションの基盤である。その重要な役割を踏まえ、デジタルに依存する経済社会の機能を確保し、進行中のデジタル変革に対する信頼を強化するため、デジタル・セキュリティとレジリエンスはOECD全体の政策決定者にとって優先事項となっている。しかし、こうしたネットワークに対するサイバー攻撃は増加傾向にあるます巧妙になっている。同時に、通信ネットワークは大きな変化を遂げ、新たな技術標準(5Gや6Gなど)に更新されつつあり、その結果、セキュリティにも影響を及ぼしている。 |
| This report considers four trends that are shaping and changing communication networks and the digital security implications these raise: | 本報告書では、通信ネットワークを形成・変化させつつある4つのトレンドと、それらがデジタル・セキュリティに与える影響について考察する: |
| • The increasing criticality of and reliance on communication networks by the economy and society, which is changing the context of digital security of communication networks. | • 経済社会における通信ネットワークの重要性と依存度の高まりは、通信ネットワークのデジタル・セキュリティの文脈を変えつつある。 |
| • An increased virtualisation of networks and a more important use of cloud services. | • ネットワークの仮想化が進み、クラウドサービスの利用がより重要になる。 |
| • A shift towards more openness in networks, including open radio access network (RAN). | • オープンな無線アクセス・ネットワーク(RAN)を含む、ネットワークのオープン化へのシフト。 |
| • The role of artificial intelligence in communication networks. | • 通信ネットワークにおける人工知能の役割。 |
| Each of these trends is shaping communication networks and, therefore, prompts questions on their implications on digital security. | これらのトレンドはそれぞれ通信ネットワークを形成しているため、デジタル・セキュリティーにどのような影響を与えるのか疑問が残る。 |
| On the one hand, these trends benefit digital security risk management of communication infrastructure. They can help improve network visibility and management, enable network segmentation and isolation, allocate security resources more effectively, and automate the early detection of malware and malicious activity. Increased transparency and reduced dependencies on certain suppliers are additional possible benefits to digital security, driven by the shift towards more openness. | 一方では、これらのトレンドは通信インフラのデジタル・セキュリティ・リスク管理に有益である。ネットワークの可視性と管理の向上、ネットワークのセグメンテーションと分離の実現、セキュリティ・リソースの効果的な割り当て、マルウェアや悪意のある活動の早期検出の自動化などに役立つ。透明性の向上や特定のサプライヤーへの依存度の低減も、オープン化へのシフトによってデジタル・セキュリティにもたらされる可能性のあるメリットである。 |
| However, these trends also challenge digital security risk management in communication infrastructure. Overall, they result in: | しかし、こうした傾向は、通信インフラにおけるデジタル・セキュリティ・リスク管理の課題にもなっている。全体として、以下のような結果となっている: |
| • An expanding attack surface (i.e. the set of points of an information system that are potentially vulnerable to an attack). Since the architecture of communication networks is increasingly complex, and because networks are increasingly software-defined, cloud-based and virtualised, they contain more software vulnerabilities that can be exploited. | • 拡大する攻撃対象領域(情報システムにおいて潜在的に攻撃を受けやすいポイントの集合)。通信ネットワークのアーキテクチャはますます複雑化し、ネットワークはますますソフトウェアで定義され、クラウドベースになり、仮想化されているため、悪用される可能性のあるソフトウェアの脆弱性がより多く含まれている。 |
| • A broader and more complex supply chain. Some of the technological advancements outlined in the trends tend to increase the dependency of network operators on some of their suppliers and to redistribute control and responsibility for the management of digital security risk along the entire value chain. These suppliers include providers of telecommunication equipment, as well as providers of cloud, components, servers and managed services, which are likely to play an increasingly important role in the digital security of communication networks. The communication infrastructure supply chain is often complex, which makes the allocation of responsibility in case of a digital security incident even more difficult. | • より広範で複雑なサプライチェーン。トレンドで説明した技術的進歩の中には、ネットワーク事業者の一部のサプライヤーへの依存度を高め、バリューチェーン全体にわたってデジタル・セキュリティ・リスクの管理に対する統制と責任を再分配する傾向があるものもある。こうしたサプライヤーには、通信機器のプロバイダーだけでなく、クラウド、コンポーネント、サーバー、マネージド・サービスのプロバイダーも含まれ、通信ネットワークのデジタル・セキュリティにおいてますます重要な役割を果たすようになると考えられる。通信インフラのサプライチェーンは複雑であることが多いため、デジタル・セキュリティ・インシデントが発生した場合の責任分担はさらに難しくなる。 |
| • An aggravating threat landscape, driven in part by the commoditisation of attacks (e.g., “ransomware-as-a-service”) and the increasing sophistication of State-sponsored and other threat actors. Against this backdrop, malicious actors’ motivation to breach communication networks’ availability, integrity or confidentiality is significantly increasing as communication networks become increasingly critical. | • 攻撃のコモディティ化(例:「ランサムウェア・アズ・ア・サービス」)や、国家やその他の脅威行為者の巧妙化などにより、脅威の状況は悪化の一途をたどっている。このような背景から、通信ネットワークの可用性、完全性、機密性を侵害しようとする悪意のある行為者の動機は、通信ネットワークの重要性が増すにつれて著しく高まっている。 |
| The paradox facing governments is that while communication networks are increasingly considered critical infrastructure, their digital security ultimately depends upon decisions made by third parties, namely network operators and their suppliers. Nevertheless, governments do have a clear role to play to incentivise the adoption of digital security best practices and to support an enabling environment that empowers stakeholders to reach an optimal level of digital security. This can be fostered through the following policy objectives: | 政府が直面しているパラドックスは、通信ネットワークがますます重要なインフラと見なされるようになっている一方で、そのデジタル・セキュリティは最終的に第三者、すなわちネットワーク事業者とその供給業者の意思決定に依存しているということである。とはいえ、政府には、デジタル・セキュリティのベスト・プラクティスを導入するインセンティブを与え、利害関係者がデジタル・セキュリティの最適なレベルに到達できるような環境を支援するという明確な役割がある。これは、以下の政策目標を通じて促進することができる: |
| • First, adopting a holistic and strategic approach towards enhancing the digital security of communication infrastructure, which i) considers the entire lifecycle of products and services on which operators rely, ii) gathers all relevant stakeholders and iii) is co-ordinated across the whole government and at the international level. Importantly, co-ordination across governmental agencies and a clear definition of responsibility and/or mandates between them are essential. | • 第一に、通信インフラのデジタル・セキュリティ強化に向けた全体的かつ戦略的なアプローチを採用することである。このアプローチは、i) 事業者が依存する製品やサービスのライフサイクル全体を考慮し、ii) 関連するすべての利害関係者を集め、iii) 政府全体および国際レベルで調整される。重要なことは、政府機関間の調整と、政府機関間の責任や権限の明確な定義が不可欠であるということである。 |
| • Second, incentivising network operators to enhance digital security and adopt comprehensive risk management frameworks (i.e., risk assessment and risk treatment) and encouraging them to explore more advanced security approaches, such as the “zero trust” model. | • 第二に、ネットワーク事業者がデジタル・セキュリティを強化し、包括的なリスク管理の枠組み(すなわち、リスク評価とリスク処理)を採用するインセンティブを与え、「ゼロトラスト」モデルなど、より高度なセキュリティ・アプローチを模索するよう促すことである。 |
| • Third, addressing supply chain digital security risk by incentivising suppliers to improve supply chain transparency (e.g. through enhanced traceability of components and digital security certification) and supporting diversification within information and communication technology and services supply chains. | • 第三に、サプライチェーンの透明性向上(部品のトレーサビリティ強化やデジタルセキュリティ認証の取得など)や、情報通信技術・サービスのサプライチェーンにおける多様化を支援することにより、サプライチェーンのデジ タルセキュリティ・リスクに対処する。 |
| These three objectives can help structure public policy interventions to improve the digital security of communication infrastructure. Governments can apply several policy actions to address the cross-cutting challenges and uphold policy objectives, ranging from light-touch to more interventionist approaches: voluntary frameworks and guidance, multistakeholder initiatives and funding research, third-party evaluation and certification, public procurement, and legal requirements. These actions can be shaped as needed to carefully address the cross-cutting challenges in terms of scope, scale and speed of cyberattacks. OECD countries have introduced policy initiatives spanning these policy actions, from voluntary frameworks to legal requirements on digital security. However, digital security is an ever-moving target that requires constant re-evaluation, both regarding the best practices available for private stakeholders to implement as well as the structure and objective of public policies to create the enabling environment to incentivise the adoption of best practices by private stakeholders. | これら3つの目的は、通信インフラのデジタル・セキュリティを向上させるための公共政策の介入を構成するのに役立つ。政府は、横断的な課題に対処し、政策目標を堅持するために、自主的な枠組みやガイダンス、マルチステークホルダー・イニシアティブ、研究への資金提供、第三者による評価と認証、公共調達、法的要件など、軽いタッチからより介入的なアプローチまで、いくつかの政策行動を適用することができる。これらの措置は、サイバー攻撃の範囲、規模、スピードといった横断的な課題に注意深く対処するために、必要に応じて形成することができる。OECD加盟国は、自主的な枠組みからデジタルセキュリティに関する法的要件まで、これらの政策行動にまたがる政策イニシアチブを導入している。しかし、デジタル・セキュリティは常に動き続ける目標であり、民間の利害関係者が実施可能なベスト・プラクティスだけでなく、民間の利害関係者によるベスト・プラクティスの採用にインセンティブを与える環境を整備するための公共政策の構造や目的についても、常に再評価が必要である。 |
Comments