« NIST NIST SP 800-140B Rev. 1 暗号モジュール検証プログラム(CMVP)セキュリティポリシー要件: ISO/IEC 24759 及び ISO/IEC 19790 附属書 B に対する CMVP 検証機関 | Main | 世界経済フォーラム (WEF) 産業用環境におけるサイバー・レジリエンスを明らかにする: 5つの原則 »

2023.11.24

世界経済フォーラム (WEF) 電力セクターにおけるサイバー規制のグローバルな相互運用性の促進 (2023.11.17)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が、電力セクターにおけるサイバー規制のグローバルな相互運用性の促進に関する報告書を公表していますね。。。

島国の日本というよりも、大陸の国向けの話ですね。。。

ただ、The Systems of Cyber Resilienceの考え方は重要だと思います。。。

 

World Economic Forum - Report

・2023.11.17 Facilitating Global Interoperability of Cyber Regulations in the Electricity Sector

 

Facilitating Global Interoperability of Cyber Regulations in the Electricity Sector 電力セクターにおけるサイバー規制のグローバルな相互運用性の促進
This position paper on cybersecurity in the electricity sector advocates for interoperability among nations to cultivate a secure, resilient and standardized approach globally. 電力セクターにおけるサイバーセキュリティに関する本ポジションペーパーは、安全でレジリエンスに優れ、標準化されたアプローチをグローバルに展開するために、各国間の相互運用性を提唱するものである。
The evolution of technology has reshaped the electricity industry, ushering in smarter grids, integration of renewable energy and improved operational efficiencies. However, a new set of challenges has emerged, particularly in safeguarding these intricate systems from cyber threats. The increasing interdependencies among power systems across borders and the escalating sophistication of cyberattacks underscore the necessity of a harmonized, global approach to cybersecurity regulations in the electricity sector. テクノロジーの進化は電力業界の形を変え、よりスマートな送電網、再生可能エネルギーの統合、業務効率の改善をもたらした。しかし、特にサイバー脅威からこれらの複雑なシステムを守る上で、新たな課題が浮上している。国境を越えた電力システム間の相互依存の高まりと、サイバー攻撃の高度化は、電力セクターにおけるサイバーセキュリティ規制の調和されたグローバルなアプローチの必要性を強調している。
The Systems of Cyber Resilience: Electricity initiative of the World Economic Forum has scrutinized the current landscape of cyber regulations to tackle existing gaps and complexities, and in this paper, proposes collective positions on behalf of the sector to standardize cybersecurity practices across diverse regulatory environments. システムズ・オブ・サイバー・レジリエンス: 世界経済フォーラムの「サイバー・レジリエンスのシステム:電力」イニシアチブは、既存のギャップと複雑性に取り組むため、サイバー規制の現状を精査し、本稿では、多様な規制環境全体でサイバーセキュリティの実践を標準化するため、セクターを代表して集団的な立場を提案する。

 

・[PDF

20231124-41731

 

目次...

Introduction  序文 
1 Current state of affairs 1 現状
2 Importance of global regulatory interoperability 2 グローバルな規制の相互運用性の重要性
3 10 key themes for global regulatory interoperability 3 グローバルな規制の相互運用性に関する 10 の主要テーマ
4 Community position on the key themes 4 主要テーマに関するコミュニティの見解
Conclusion 結論
Contributors 協力者
Annex 1: Related publications 附属書1:関連出版物

 

Introduction 序文
In today’s interconnected world, the electricity sector stands as a cornerstone of societal functioning, powering industries, homes and critical infrastructure. As power systems go through rapid digital transformation, the critical link between cybersecurity and the energy landscape becomes increasingly evident. The need for global interoperability in cyber regulations in the electricity sector has become paramount.  今日の相互接続された世界において、電力部門は社会機能の要として、産業、家庭、重要インフラに電力を供給している。電力システムが急速なデジタル変革を遂げるにつれ、サイバーセキュリティとエネルギー状況の重要な関連性がますます明らかになっている。電力セクターのサイバー規制におけるグローバルな相互運用性の必要性は、最重要となっている。
The evolution of technology has significantly reshaped the electricity industry, ushering in smarter grids, integration of renewable energy and improved operational efficiencies. However, this evolution presents a new set of challenges, particularly in safeguarding these intricate systems from cyber threats. The increasing interdependencies among power systems across borders and the growing sophistication of cyberattacks underscore the importance of a harmonized, global approach to cybersecurity regulations in the electricity sector. テクノロジーの進化は電力業界を大きく変貌させ、よりスマートな送電網、再生可能エネルギーの統合、運用効率の改善をもたらした。しかし、この進化は、特にサイバー脅威からこれらの複雑なシステムを保護する上で、新たな一連の課題を提示している。国境を越えた電力システム間の相互依存の高まりと、サイバー攻撃の巧妙化は、電力セクターにおけるサイバーセキュリティ規制の調和されたグローバルなアプローチの重要性を強調している。
This position paper from the Systems of Cyber Resilience: Electricity (SCRE) initiative aims to consolidate a cohesive stance from the electricity sector on cybersecurity. It advocates for interoperability among nations to cultivate a cybersecure, resilient and standardized approach around the world. By scrutinizing the current landscape of cyber regulations, the paper endeavours to tackle existing gaps and complexities while proposing collective positions to standardize cybersecurity practices across diverse regulatory environments. Its objective is to champion international cooperation, mutual understanding and the adoption of common standards to fortify the electricity sector against emerging cyber threats while encouraging innovation and growth. 本ポジションペーパーは、Systems of Cyber Resilience: 電力(SCRE)イニシアティブのこのポジションペーパーは、サイバーセキュリティに関する電力セクターの一貫した姿勢をまとめることを目的としている。世界中でサイバーセキュリティ、レジリエンス、標準的なアプローチを育成するために、国家間の相互運用性を提唱している。サイバー規制の現状を精査することで、既存のギャップや複雑性に取り組むと同時に、多様な規制環境におけるサイバーセキュリティの実践を標準化するための集団的な立場を提案している。その目的は、イノベーションと成長を促しながら、新たなサイバー脅威に対して電力セクターを強化するために、国際協力、相互理解、共通標準の採用を支持することである。
Ultimately, this position paper strives to contribute to the ongoing discourse on harmonization of regulations to nurture a secure, interoperable and resilient global electricity ecosystem, ensuring a reliable and safe energy supply for the world’s population in an increasingly digitalized world. 最終的に、本ポジションペーパーは、安全で相互運用可能かつレジリエンスに優れた世界的な電力エコシステムを育成し、デジタル化が進む世界において、世界の人々のために信頼性が高く安全なエネルギー供給を確保するための規制の調和に関する現在進行中の議論に貢献することを目指している。
The Systems of Cyber Resilience: Electricity Initiative サイバー・レジリエンスのシステム: 電力イニシアティブ
Since 2018, the World Economic Forum’s Systems of Cyber Resilience: Electricity (SCRE) initiative has brought together representatives of over 60 electricity utilities, energy service providers, regulatory bodies and other pertinent organizations worldwide. Their efforts aim to achieve cooperation and fortify a cyber resilient electricity ecosystem. The SCRE stands out as the only global publicprivate partnership tailored for the electricity industry, where cybersecurity experts collaborate to enhance resilience across the electricity ecosystem. 2018年以来、世界経済フォーラムのSystems of Cyber Resilience: 電力(SCRE)イニシアチブは、世界中の60以上の電力会社、エネルギー・サービス・プロバイダ、規制団体、その他の関連団体の代表者を集めている。彼らの努力は、協力を達成し、サイバーレジリエンスに強い電力エコシステムを強化することを目的としている。SCREは、サイバーセキュリティの専門家が電力エコシステム全体のレジリエンスを強化するために協力する、電力業界向けに調整された唯一のグローバルな官民パートナーシップとして際立っている。
“It is a great opportunity to create a collaborative environment, focused on increasing global cyber resilience, based on the sharing of information, on the development of common initiatives, on the definition of principles and the alignment around them by the main actors of our industry.”  「SCREは、情報の共有、共通のイニシアティブの開発、原則の定義に基づき、電力業界の主要な関係者が連携することで、世界的なサイバーレジリエンスの強化に焦点を当てた協力的な環境を構築する絶好の機会である。
Jesús Sánchez, Head of Global Cybersecurity, Naturgy ヘスス・サンチェス、ナトゥルギー社グローバル・サイバーセキュリティ部門責任者
The Global Regulations Working Group グローバル規制ワーキンググループ
In September 2022, the SCRE community had identified global regulatory interoperability in the electricity sector as one of its key focus areas, and had set up the Global Regulations working group towards this end.  2022年9月、SCREコミュニティは、電力セクターにおけるグローバルな規制の相互運用性を重要な重点分野のひとつと位置づけ、この目的のためにグローバル規制ワーキンググループを立ち上げた。
The working group addresses the intricate global regulatory challenges prevalent throughout the electricity sector, marked by fragmentation, inconsistency and sporadic conflicts. These regulatory barriers impede the attainment of global interoperability, resulting in increased costs, inefficiencies and missed opportunities. Resources are diverted to resolve regulatory issues rather than improving cybersecurity postures specific to the sector and its various organizations. この作業部会は、断片化、矛盾、散発的な対立によって特徴づけられる、電力セクター全体に蔓延する複雑なグローバル規制の課題に取り組んでいる。このような規制上の障壁は、グローバルな相互運用性の達成を妨げ、コスト増、非効率、機会損失をもたらしている。リソースは、セクターやそのさまざまな組織に特有のサイバーセキュリティ態勢の改善よりも、規制上の問題の解決に振り向けられている。
1. Current state of affairs 1. 現状
Regulators and government agencies responsible for establishing cybersecurity requirements in various industries worldwide often adopt different approaches to tackle similar cybersecurity challenges due to the lack of a global consensus. This results in complex, industry-agnostic, fragmented, inconsistent and occasionally conflicting sets of regulations. These regulations not only lack mutual interoperability but actively hinder it. The dynamic nature of cybersecurity threats further compounds the problem as regulators frequently tighten regulations in response. This forces organizations to allocate their limited resources towards compliance rather than concentrating on bolstering their cybersecurity defences.  世界のさまざまな業界でサイバーセキュリティ要件の確立を担当するガバナンスや政府機関は、世界的なコンセンサスがないため、同様のサイバーセキュリティ課題に取り組むために異なるアプローチを採用することが多い。その結果、複雑で、業種にとらわれず、断片的で、一貫性がなく、時には矛盾する規制が生み出される。こうした規制は相互運用性を欠くだけでなく、積極的にそれを妨げている。サイバーセキュリティの脅威の動的な性質は、規制当局がそれに対応して頻繁に規制を強化するため、問題をさらに複雑にしている。このため、組織は限られたリソースをサイバーセキュリティ防御の強化に集中させるのではなく、コンプライアンスに振り向けざるを得なくなる。
Achieving regulatory interoperability may present challenges. Differences in cybersecurity standards, legal systems and national priorities among various jurisdictions can lead to conflicts and inconsistencies, making it difficult to establish and maintain interoperability over time. One notable challenge is the issue of data privacy laws, as different countries have unique data protection regulations tailored to their cultural, economic and political landscapes.  規制の相互運用性を実現するには、課題があるかもしれない。サイバーセキュリティの標準、法制度、国の優先事項がさまざまな法域で異なるため、矛盾や不整合が生じ、相互運用性の確立と長期的な維持が困難になる可能性がある。注目すべき課題の一つはデータプライバシー法の問題であり、国によって文化的、経済的、政治的景観に合わせた独自のデータ保護規制があるからである。
A similar challenge arises in incident reporting laws. For instance, some countries mandate the reporting of all data breaches, regardless of their severity, while others have thresholds for reporting based on the number of affected individuals or the level of harm. These differences can create difficulties in incident response and information sharing, particularly in cases where a breach spans multiple jurisdictions. Creating synergy among these diverse regulations is a complex and intricate process, especially given the rapid pace of digital innovation. This dynamic environment necessitates constant updates and revisions to ensure the regulations remain relevant and effective. インシデント報告法にも同様の課題がある。例えば、重大性に関係なくすべてのデータ漏洩の報告を義務付けている国もあれば、影響を受けた個人の数や被害のレベルに応じて報告のしきい値を設けている国もある。このような違いは、特に情報漏えいが複数の管轄区域にまたがる場合、インシデント対応や情報共有に困難をもたらす可能性がある。これらの多様な規制の間で相乗効果を生み出すことは、特にデジタル革新の急速なペースを考えると、複雑で入り組んだプロセスである。このようなダイナミックな環境では、規制が適切かつ効果的であり続けるよう、常に更新や改定を行う必要がある。
Moreover, there is a pressing concern to ensure that regulatory interoperability does not compromise national security. Nations must strike a balance between the need for a collective cybersecurity front and the need to protect their individual interests and security.  さらに、規制の相互運用性が国家の安全保障を損なわないようにすることも急務である。各国は、集団的なサイバーセキュリティ前線の必要性と、個々の利益と安全保障を守る必要性との間でバランスを取らなければならない。
Despite the obstacles, solutions can be found. Initiatives such as working groups, international forums and collaborative agreements can play a pivotal role in promoting dialogue and establishing robust systems to monitor, evaluate and update regulatory frameworks. These mechanisms not only contribute to a more secure and resilient digital landscape but also foster innovation and growth.  障害はあるが、解決策は見つかる。ワーキンググループ、国際フォーラム、協力協定などのイニシアチブは、対話を促進し、規制の枠組みを監視、評価、更新する強固なシステムを確立する上で極めて重要な役割を果たすことができる。こうした仕組みは、より安全でレジリエンスに優れたデジタル環境の実現に貢献するだけでなく、イノベーションと成長の促進にもつながる。
Many regulators and government agencies have begun to recognize the need for regulatory harmonization and multiple efforts have been put into practice, such as the European Commission’s Cyber Resilience Act (CRA) and the White House Office of the National Cyber Director (ONCD)’s request for information (RFI) on cybersecurity regulatory harmonization.  多くの規制当局や政府機関が規制調和の必要性を認識し始めており、欧州委員会のサイバーレジリエンス法(CRA)やホワイトハウスの国家サイバー長官室(ONCD)のサイバーセキュリティ規制調和に関する情報提供要請(RFI)など、複数の取り組みが実践されている。
Simultaneously, several international dialogues are going on between states, such as the EU-US Cyber Dialogue, US-Japan Cyber Dialogue and FranceUnited Kingdom Cyber Dialogue, in addition to regulatory reciprocity schemes such as the EU-US Data Privacy Framework, Singapore Cybersecurity Labelling Scheme and APEC Cross-Border Privacy Rules (CBPR) system.  同時に、EU-米国サイバーダイアログ、日米サイバーダイアログ、フランス-英国サイバーダイアログなど、国家間の国際対話がいくつか行われており、EU-米国データプライバシーフレームワーク、シンガポールサイバーセキュリティラベル制度、APEC越境プライバシー規則(CBPR)制度などの規制相互主義制度もある。
While these efforts are in the right direction, they are far from achieving global interoperability and much work remains to be done by both the public and private sectors to build a more cyber resilient electricity ecosystem. これらの努力は正しい方向にあるが、グローバルな相互運用性を達成するには程遠く、よりサイバーレジリエンスに強い電力エコシステムを構築するためには、官民両セクターによる多くの作業が残されている。
2. Importance of global regulatory interoperability 2. グローバルな規制の相互運用性の重要性
Aligning cybersecurity regulations globally ensures uniform cybersecurity practices, enabling companies operating across multiple regions to adhere to consistent standards. Harmonization reduces complexity and confusion, simplifying compliance efforts. Moreover, interoperability fosters enhanced collaboration and information sharing among various entities globally, facilitating joint efforts to combat cyber threats and exchange best practices.  サイバーセキュリティ規制をグローバルに整合させることで、統一されたサイバーセキュリティの実践が保証され、複数の地域で事業を展開する企業が一貫した標準を遵守できるようになる。相互運用性により、複雑さと混乱が緩和され、コンプライアンスへの取り組みが簡素化される。さらに、相互運用性により、世界各地のさまざまな事業体間の連携と情報共有が強化され、サイバー脅威との戦いやベストプラクティスの交換に向けた共同の取り組みが促進される。
A unified approach to cybersecurity regulations allows for a comprehensive understanding and management of risks, transcending different regions in the electricity industry. Standardizing regulations minimizes the complexity and costs of compliance for global corporations, eliminating the need to navigate a multitude of divergent regulations.  サイバーセキュリティ規制への統一的なアプローチにより、電力業界のさまざまな地域を超えて、リスクを包括的に理解しマネジメントすることが可能になる。規制を標準化することで、グローバル企業のコンプライアンスの複雑さとコストを最小限に抑え、多数の異なる規制をナビゲートする必要がなくなる。
Global interoperability also leads to more robust defence mechanisms against cyber threats by enabling standardized cybersecurity practices, bolstering overall cyber resilience. A harmonized regulatory landscape fosters a fair playing field, encouraging innovation and the development of new cybersecurity technologies, free from varying compliance requirements.  また、グローバルな相互運用性は、標準化されたサイバーセキュリティの実践を可能にすることで、サイバー脅威に対するより強固な防御メカニズムにつながり、全体的なサイバーレジリエンスを強化する。規制の調和は公平な競争の場を促進し、さまざまなコンプライアンス要件から解放されたサイバーセキュリティ技術の革新と発展を促す。
In a cyber incident with global implications, uniform regulations enable a coordinated and efficient response across multiple jurisdictions, significantly mitigating the impact of such incidents. Given the global spread of supply chains, being able to rely on shared prevention, mitigation, information sharing and incident response practices will lead to a more sustainable, cyber resilient ecosystem worldwide. Ultimately, regulatory interoperability for cybersecurity around the world is imperative to foster a more secure digital and physical environment. It can align standards, promote collaboration, reduce costs and effectively manage and respond to cyber threats worldwide. グローバルな影響を及ぼすサイバーインシデントが発生した場合、統一された規制によって、複数の法域にまたがる協調的かつ効率的な対応が可能になり、そのようなインシデントの影響が大幅に低減される。サプライチェーンがグローバルに広がっていることを考えると、予防、低減、情報共有、インシデント対応のプラクティスを共有できることは、世界的により持続可能で、サイバーレジリエンスの高いエコシステムにつながる。最終的には、世界中のサイバーセキュリティに関する規制の相互運用性は、より安全なデジタルおよび物理的環境を促進するために不可欠である。これにより、標準を合わせ、協力を促進し、コストを削減し、世界中のサイバー脅威を効果的に管理し、対応することができる。
3. 10 key themes for global regulatory interoperability 3. グローバルな規制の相互運用性のための10の主要テーマ
After analysing multiple regulations, the community has identified 10 key global regulatory themes for regulators to consider. 複数の規制を分析した結果、コミュニティは、規制当局が検討すべき10の主要なグローバル規制テーマを特定した。
FIGURE 1. Key themes for facilitating global interoperability of cyber regulations 図 1. サイバー規制のグローバルな相互運用性を促進するための主要テーマ
20231124-45847
1. Compliance and enforcement 1. コンプライアンスと執行
2. Data protection and privacy 2. データ保護とプライバシー
3. Information sharing 3. 情報共有
4. Incident response and reporting 4. インシデント対応と報告
5. Cybersecurity hygiene internal policies and procedures 5. サイバーセキュリティ衛生に関する社内方針と手順
6. Penetration testing 6. 侵入テスト
7. Vulnerability disclosure and management 7. 脆弱性の開示と管理
8. Risk assessment and management 8. リスクアセスメントとマネジメント
9. Third-party risk management 9. サードパーティリスク管理
10. Adoption of existing international standards versus creation of unique, national (or regional) standards 10. 既存の国際標準の採用か、独自の国内(または地域)標準の策定か。
4. Community position on the key themes 4. 主要テーマに関するコミュニティの見解
The SCRE Global Regulations working group has adopted the following positions on the 10 key global regulatory themes: SCRE Global Regulations ワーキンググループは、10 の主要なグローバル規制テーマについて以下の立場を採択した:
1. Compliance and enforcement: Global commitment to prioritize cybersecurity best practices over compliance. This implies a shift in mindset. Instead of merely meeting regulatory requirements, the focus is on prioritizing cybersecurity measures and protocols, sometimes beyond what is mandated. This approach emphasizes a proactive stance in ensuring a high level of cybersecurity rather than just checking the boxes to comply with regulations.  1. コンプライアンスと執行:コンプライアンスよりもサイバーセキュリティのベストプラクティスを優先することを世界的に約束する。これは、考え方の転換を意味する。単に規制要件を満たすのではなく、サイバーセキュリティ対策やプロトコルを優先させることに重点を置く。このアプローチは、規制を遵守するために単にチェックボックスをチェックするのではなく、高いレベルのサイバーセキュリティを確保するための積極的な姿勢を強調するものである。
2. Data protection and privacy: Global commitment to support data protection and privacy regulations such as the General Data Protection Regulation (GDPR) of the European Union (EU). This commitment indicates a recognition of the importance of safeguarding sensitive information. Its ambit includes data privacy, ensuring the confidentiality, integrity and availability of data while aligning with the principles of privacy by design and default.  2. データ保護とプライバシー: 欧州連合(EU)の一般データ保護規則(GDPR)のようなデータ保護とプライバシー規制を支持するグローバルなコミットメント。このコミットメントは、機密情報を保護することの重要性を認識していることを示している。その範囲にはデータプライバシーが含まれ、プライバシー・バイ・デザインとデフォルトの原則に沿いながら、データの機密性、完全性、可用性を確保する。
3. Information sharing: Global commitment to create and use a common information-sharing protocol and taxonomy worldwide, and to support the respective electricity information sharing and analysis centres (ISACs). Establishing a common information-sharing protocol and taxonomy globally is vital. It allows for consistent communication and collaboration among various stakeholders in the electricity sector, enhancing the ability to promptly identify and respond to threats. This commitment extends to supporting ISACs.  3. 情報共有: 世界共通の情報共有プロトコルと分類法を作成・使用し、各電力の情報共有・分析センター(ISAC)を支援することを約束する。世界共通の情報共有プロトコルと分類法を確立することは極めて重要である。これによって、電力セクターのさまざまな利害関係者の間で一貫したコミュニケーションと協力が可能になり、脅威を迅速に特定し対応する能力が強化される。このコミットメントはISACの支援にも及ぶ。
4. Incident response and reporting: Global commitment to adopt a common and efficient international incident reporting taxonomy and requirements. This commitment would ensure a standardized approach to reporting cybersecurity incidents. Such a taxonomy facilitates a better and shared understanding of the nature and impact of incidents, enabling a coordinated and timely response both within and across borders.  4. インシデント対応と報告: 共通かつ効率的な国際的インシデント報告分類法と要件を採用することを世界的に約束する。このコミットメントにより、サイバーセキュリティインシデントを報告するための標準化されたアプローチが確保される。このような分類法は、インシデントの性質と影響に関するより良い共通の理解を促進し、国内および国境を越えた協調的かつタイムリーな対応を可能にする。
5. Cybersecurity hygiene internal policies and procedures: Global commitment to establish basic cyber hygiene principles specific to the electricity sector. This commitment would provide for a foundational level of security across all operations, reducing vulnerabilities, enhancing overall resilience and promoting a cybersecurity culture.  5. サイバーセキュリティ衛生に関する内部の方針と手順: 電力部門に特化したサイバー衛生の基本原則を確立するための世界的なコミットメント。このコミットメントは、すべての業務にわたって基礎的なレベルのセキュリティを提供し、脆弱性を低減し、全体的なレジリエンスを強化し、サイバーセキュリティ文化を促進する。
6. Penetration testing: Global commitment to regular internal penetration testing, which includes operational technology (OT) penetration testing. This allows for identifying and addressing potential weaknesses in systems and infrastructure, fortifying defences against cyber threats.  6. 侵入テスト: 運用技術(OT)侵入テストを含む、定期的な内部侵入テストへのグローバルなコミットメント。これにより、システムやインフラの潜在的な弱点を特定して対処し、サイバー脅威に対する防御を強化することができる。
7. Vulnerability disclosure and management: Global commitment to sectorial vulnerability disclosure among closed groups of sectorspecific, pre-authorized entities. This would foster a secure environment for information sharing within closed groups, allowing for proactive resolution of vulnerabilities without risking widespread exposure.  7. 脆弱性の開示と管理: セクターごとに事前に認可された事業体のクローズドなグループ間で、セクターごとの脆弱性開示に世界的に取り組む。これにより、クローズドなグループ内での情報共有のための安全な環境が醸成され、広範なエクスポージャーのリスクを冒すことなく、脆弱性を事前に解決することが可能となる。
8. Risk assessment and management: Global commitment to applying risk assessment methodology consistently across information technology and operational technology environments. Applying consistent risk assessment methodology across IT and OT environments ensures a comprehensive understanding of potential risks, allowing for better-informed and timely decision-making regarding cybersecurity matters.  8. リスクアセスメントとマネジメント: 情報技術(IT)および業務技術(IT)環境全体で一貫したリスクアセスメント手法の適用にグローバルに取り組む。IT 環境と OT 環境に一貫したリスクアセスメント手法を適用することで、潜在的なリスクを包括的に 理解し、サイバーセキュリティに関する意思決定をより的確かつタイムリーに行うことができる。
9. Third-party risk management: Global commitment that every organization in the supply chain must consider and be responsible for the cybersecurity of its scope of work. This would ensure a comprehensive approach to managing and mitigating risks associated with third-party involvement, securing and embracing ecosystem-wide resilience in the electricity sector.  9. サードパーティリスクマネジメント: サプライチェーン内のすべての組織が、その業務範囲のサイバーセキュリティを検討し、責任を負わなければならないというグローバルなコミットメント。これにより、サードパーティの関与に関連するリスクを管理・低減する包括的なアプローチが確保され、電力セクターにおけるエコシステム全体のレジリエンスが確保され、包含されることになる。
10. Adoption of existing international standards versus creation of unique, national (or regional) standards: Global commitment to adoption of mature existing international standards such as ISO 27001 and the ISA/IEC 62443 series. Adopting existing international standards rather than creating unique regional standards would ensure a more universally accepted and harmonized approach to cybersecurity practices, leveraging established best practices. These standards should be updated when needed to allow for a harmonized approach to global regulations instead of frequent changes trying to account for evolving technologies and threats. 10. 既存の国際標準の採用と、各国(または地域)独自の標準の作成との比較: ISO 27001 や ISA/IEC 62443 シリーズなど、成熟した既存の国際標準の採用に世界的に取り組む。地域ごとに独自の標準を策定するのではなく、既存の国際標準を採用することで、確立されたベストプラクティスを活用したサイバーセキュリティの実践がより普遍的に受け入れられ、調和されたアプローチとなる。これらの標準は、進化する技術や脅威を考慮して頻繁に変更するのではなく、グローバルな規制に調和したアプローチを可能にするために、必要に応じて更新されるべきである。
Conclusion 結論
These collective commitments help regulators and other stakeholders in the electricity sector to share a common vision and understand what the electricity sector deems as important to be cyber resilient. Together, they embody the direction that the global community is heading towards.  これらの集団的なコミットメントは、規制当局と電力セクターの他の利害関係者が共通のビジョンを共有し、電力セクターがサイバーレジリエンスを高めるために何が重要だと考えているかを理解するのに役立つ。これらは共に、国際社会が目指す方向を体現している。
Achieving global interoperability of cybersecurity regulations in the electricity sector demands a significant shift in approach. This transformation involves prioritizing security measures over mere regulatory compliance, taking a proactive stance to bolster cybersecurity standards and ensuring a higher level of protection. It requires the establishment of consistent risk evaluations, uniform standards and shared responsibility throughout the supply chain to strengthen the cybersecurity structure of the sector.  電力セクターにおけるサイバーセキュリティ規制のグローバルな相互運用性を達成するには、アプローチの大幅な転換が必要である。この転換には、単なる規制遵守よりもセキュリティ対策を優先し、サイバーセキュリティ標準を強化するために積極的な姿勢をとり、より高いレベルの保護を確保することが含まれる。そのためには、一貫したリスク評価、標準の統一、サプライチェーン全体での責任分担を確立し、このセクターのサイバーセキュリティ体制を強化する必要がある。
Additionally, the adoption of international standards and the promotion of secure information-sharing environments play a critical role. These actions encourage collaboration, innovation and effective strategies for responding to incidents worldwide. Support for standardized data protection laws, such as GDPR, highlights the commitment to safeguarding sensitive information and ensuring its integrity and confidentiality.  さらに、国際標準の採用と安全な情報共有環境の促進も重要な役割を果たす。これらの行動は、世界的なインシデントに対応するための協力、革新、効果的な戦略を促進する。GDPRのような標準化されたデータ保護法の支持は、機密情報を保護し、その完全性と機密性を確保するというコミットメントを強調するものである。
Ultimately, the journey towards a more secure and robust electricity sector involves aligning regulations, fostering collaboration and streamlining endeavours across diverse jurisdictions. This collective endeavour not only mitigates cyber threats but also promotes innovation and coordinated response mechanisms, thus establishing a resilient and unified global cybersecurity approach within the electricity industry. 最終的に、より安全で堅牢な電力セクターを目指すには、規制を整え、協力を促進し、多様な管轄区域にまたがる努力を合理化する必要がある。この集団的な努力は、サイバー脅威を軽減するだけでなく、イノベーションと協調的な対応メカニズムを促進し、電力業界におけるレジリエンスと統一されたグローバルなサイバーセキュリティ・アプローチを確立する。

 

Annex 1: Related publications  附属書1:関連出版物 
1. Cyber Resilience in the Electricity Ecosystems: Principles and Guidance for Boards  1. 電力エコシステムにおけるサイバーレジリエンス: 理事会のための原則とガイダンス 
https://www3.weforum.org/docs/WEF_Cyber_Resilience_in_the_Electricity_Ecosystem.pdf 
2. Cyber Resilience in the Electricity Industry: Analysis and Recommendations on Regulatory Practices for the Public and Private Sectors  2. 電力業界におけるサイバーレジリエンス: 官民セクターの規制慣行に関する分析と提言 
https://www3.weforum.org/docs/WEF_Cyber_Resilience_in_the_Electricity_Ecosystem_Policy_ makers_2020.pdf 
3. Cyber Resilience in the Electricity Ecosystems: Playbook for Boards and Cybersecurity Officers  3. 電力エコシステムにおけるサイバーレジリエンス: 取締役会とサイバーセキュリティ・オフィサーのためのプレイブック 
https://www3.weforum.org/docs/WEF_Cyber_Resilience_in_the_Electricity_Ecosystem_Playbook_for_ Boards_and_Cybersecurity_Officers_2020.pdf 
4. Cyber Resilience in the Electricity Ecosystems: Securing the Value Chain  4. 電力エコシステムにおけるサイバーレジリエンス: バリューチェーンの確保 
https://www3.weforum.org/docs/WEF_Securing_the_Electricity_Value_Chain_2020.pdf 
5. European Commission’s Cybersecurity Package: Commentary in light of recent sophisticated supply chain attacks  5. 欧州委員会のサイバーセキュリティ・パッケージ: 最近の高度なサプライチェーン攻撃を踏まえた解説 
https://www3.weforum.org/docs/WEF_Commentary_in_light_of_recent_sophisticated_supply_chain_ attacks_2021.pdf 
6. Response to the White House’s Request on Harmonizing Cybersecurity Regulations  6. サイバーセキュリティ規制の調和に関するホワイトハウスの要請への回答 
https://www3. weforum.org/docs/WEF_Response_to_the_White_House%E2%80%99s_Request_on_Harmonizing_ Cybersecurity_Regulations_2023.pdf

|

« NIST NIST SP 800-140B Rev. 1 暗号モジュール検証プログラム(CMVP)セキュリティポリシー要件: ISO/IEC 24759 及び ISO/IEC 19790 附属書 B に対する CMVP 検証機関 | Main | 世界経済フォーラム (WEF) 産業用環境におけるサイバー・レジリエンスを明らかにする: 5つの原則 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST NIST SP 800-140B Rev. 1 暗号モジュール検証プログラム(CMVP)セキュリティポリシー要件: ISO/IEC 24759 及び ISO/IEC 19790 附属書 B に対する CMVP 検証機関 | Main | 世界経済フォーラム (WEF) 産業用環境におけるサイバー・レジリエンスを明らかにする: 5つの原則 »