« EDPB 意見募集 Privacy指令の対象となるトラッキング技術を明確にするためのガイドライン(案)(2023.11.16) | Main | 個人情報保護委員会 個人情報データベース等不正提供等罪の適用事例等を踏まえた安全管理措置及び漏えい等の報告に関する留意点に関する注意喚起 »

2023.11.18

ENISA EUにおけるサイバーセキュリティ投資 2023

こんにちは、丸山満彦です。

ENISAがセキュリティ投資に関する報告書2023年版を公表していますね。。。

なかなか興味深いです。。。


EU及びその諸国が政策を立案する際の参考にするために、行なっているようです。今年で4年目?。今年度は輸送セクターに焦点を当てていますね。。。

EUもグローバルの比較データが欲しいと思うので(一部は組み込まれていますが、、、)、日本も政策立案の際には必要となるのでしょうから、調整をして同じ調査をしても良いように思うんですけどね。。。どうかしら。。。

日本って政策立案についての定量的な分析を十分にせずに、一部の、政府職員、政治家、一部有識者?、それらの取り巻き?の思い、思いつきできまってしまうことが多くないでしょうかね。。。もう少し定量データ等を取り入れたらどうでしょうかね。。。

 

ENISA

・2023.11.16 Cybersecurity Investment: Spotlight on Vulnerability Management

Cybersecurity Investment: Spotlight on Vulnerability Management サイバーセキュリティ投資: 脆弱性管理にスポットライトを当てる
The new report of the European Union Agency for Cybersecurity (ENISA) confirms investment continues to grow but stresses the importance of vulnerability management. 欧州連合サイバーセキュリティ機関(ENISA)の新しい報告書は、投資が引き続き増加していることを確認する一方で、脆弱性管理の重要性を強調している。
Despite a 25% increase of the cost of major cyber incidents in 2022 compared to 2021, the new report on cybersecurity investment reveals a slight increase of 0,4% of IT budget dedicated to cybersecurity by EU operators in scope of the NIS Directive. 2022年の主要なサイバーインシデントのコストは2021年と比較して25%増加したにもかかわらず、サイバーセキュリティ投資に関する新しい報告書では、NIS指令の適用範囲にあるEUの事業者によるサイバーセキュリティに充てられるIT予算の0.4%のわずかな増加が明らかになった。
However, if organisations are inclined to allocate more budget to cybersecurity, 47% of the total of organisations surveyed do not plan to hire information security Full Time Equivalents (FTEs) in the next two years. Besides, 83% of these organisations claim recruitment difficulties in at least one information security domain. Such hiring issues surfacing in the report could be one of the factors when it comes to managing vulnerabilities. しかし、組織がサイバーセキュリティにより多くの予算を割り当てる傾向があるとしても、調査対象となった組織全体の47%は、今後2年間に情報セキュリティ専任者(FTE)を雇用する予定がない。また、これらの組織の83%は、少なくとも1つの情報セキュリティ分野で採用難に陥っていると主張している。報告書で表面化したこのような雇用の問題は、脆弱性の管理に関して言えば、その要因の一つである可能性がある。
Indeed, an analysis on patching of critical IT and OT assets in the transport sector shows that 51% of the organisations in the transport sector need one month to patch critical vulnerabilities and 21% need a time between 1 month and six months. Only 28% of the surveyed organisations fix critical vulnerabilities on critical assets in one week. 実際、運輸部門における重要なITおよびOT資産のパッチ適用に関する分析によると、運輸部門の組織の51%が重要な脆弱性のパッチ適用に1カ月、21%が1カ月から6カ月の期間を必要としている。調査対象となった組織のうち、重要な資産の脆弱性を1週間で修正しているのは28%に過ぎない。
EU Agency for Cybersecurity, Executive Director, Juhan Lepassaar, said: “Allocating sufficient budgetary and human resources to cybersecurity is key to our success. Managing vulnerabilities is essential and must go hand-in-hand with "secure by design" initiatives. In the meantime, we do need to continually invest in areas such as identifying, managing and reporting vulnerabilities that can have an impact on the security of the whole Digital Single Market.” EUサイバーセキュリティ機関のジュハン・レパサール事務局長は、次のように述べている: 「サイバーセキュリティに十分な予算と人的資源を割くことが成功の鍵である。脆弱性の管理は不可欠であり、"セキュア・バイ・デザイン "の取り組みと密接に連携しなければならない。その一方で、デジタル単一市場全体のセキュリティに影響を与えうる脆弱性の識別、管理、報告といった分野に継続的に投資する必要がある」と述べた。
Objective of the report on cybersecurity investment サイバーセキュリティ投資に関する報告書の目的
The new report investigates how operators invest in cybersecurity and comply with the objectives of the NIS Directive. Collected from a total of 1,080 Operators of Essential Services (OES) and Digital Services Providers (DSP) from all 27 EU Member States, the data apply to reference year 2022. 新しい報告書は、事業者がどのようにサイバーセキュリティに投資し、NIS指令の目的を遵守しているかを調査している。EU全27加盟国の1,080の基幹サービス事業者(OES)およびデジタルサービスプロバイダー(DSP)から収集したもので、2022年を基準年としている。
Scope of the report レポートの範囲
For the purpose of the analysis published today, the survey performed looked at OES and DSP as identified in the European Union's Directive on Network and Information Security Systems (NIS Directive). The objective of the report was to identify how organisation invest in cybersecurity in relation to the objective of meeting the requirements set by the initial NIS Directive. 本日発表された分析では、欧州連合(EU)のネットワークと情報セキュリティシステムに関する指令(NIS指令)で特定されたOESとDSPを対象とした。この報告書の目的は、NIS指令で定められた要件を満たすという目的に関連して、組織がどのようにサイバーセキュリティに投資しているかを明らかにすることである。
However, the concept of investment also extends to the human element. 2023 is the European Year of Skills. This is why particular emphasis was placed on the topic of cybersecurity skills among OES and DSPs and to cybersecurity workforce hiring and gender balance. しかし、投資の概念は人的要素にも及ぶ。2023年は欧州技能年である。このため、OESとDSPのサイバーセキュリティ・スキル、サイバーセキュリティ人材の雇用とジェンダー・バランスに特に重点が置かれている。
The report therefore delves into IT security staffing and organisation of information security by OES and DSP with a special focus on the transport sector. そこで本報告書では、運輸部門に特に焦点を当て、OESとDSPによるITセキュリティの人員配置と情報セキュリティの組織について掘り下げている。
Key findings 主な調査結果
・The part of IT budget OES/DSPs dedicated to cybersecurity reached 7,1% in 2022, representing an increase of 0,4% compared to 2021; ・OES/DSPがサイバーセキュリティに充てるIT予算の割合は、2022年には7.1%に達し、2021年と比較して0.4%増加した;
・42% of OES/DSPs subscribed to a dedicated cyber insurance solution in 2022, representing a 30% increase from 2021. Still only 13% of SMEs subscribe to cyber insurance; ・OES/DSPの42%が2022年にサイバー保険に加入し、2021年から30%増加した。サイバー保険に加入している中小企業はまだ13%に過ぎない;
・OES/DSPs allocate 11,9% of their IT FTEs for information security (IS) a decrease of 0,1% ・OES/DSPは、IT部門の従業員数の11.9%を情報セキュリティ(IS)に割り当てているが、これは0.1%の減少である。
・OES/DSPs employ an average of 11% of women in IS FTEs. With median being at zero percent most of surveyed organisations do not employ any women as part of their IS FTEs; ・OES/DSPは、ISのFTEに平均11%の女性を雇用している。中央値は0%で、調査対象組織のほとんどがIS FTEに女性を雇用していない;
・47% of OES or DSPs do not plan to hire IS FTEs in the next two years, ・OESまたはDSPの47%は、今後2年間にIS FTEを雇用する予定はない、
・The organisations planning to hire information security FTEs in the next two years aim to hire 2 FTEs, with an average of 4 FTEs but 83% of the surveyed organisations claim recruitment difficulties in at least one information security domain. ・今後2年間に情報セキュリティのFTEを採用する予定の組織は、2FTE、平均4FTEを採用することを目標としているが、調査対象組織の83%は、少なくとも1つの情報セキュリティ分野で採用難を訴えている。
T・he NIS Directive is the main driver for cybersecurity investments for 55% of OES in the transport sector; ・NIS指令は、運輸部門のOESの55%にとってサイバーセキュリティ投資の主な推進力となっている;
・51% of the transport organisations manage OT security with the same unit or people as IT cybersecurity. ・運輸組織の51%は、ITサイバーセキュリティと同じ部署や人員でOTセキュリティを管理している。
Vulnerability Management 脆弱性管理
Vulnerability management describes the process to identify and assess the associated risk of security vulnerabilities in order to resolve the cause before these can be exploited or intelligently reduce the risk of it by implementing adequate mitigation measures. 脆弱性マネジメントとは、セキュリティ脆弱性が悪用される前にその原因を解決するため、または適切な軽減策を実施することでリスクを識別し、関連するリスクを評価するプロセスを指す。
Managing vulnerabilities and ensuring patches are available protects the end-users and helps to ensure security is applied across the whole lifecycle of any product. The 2022 edition of the NIS Investments report found that for 46 % of organisations surveyed it takes more than 1 month to patch critical vulnerabilities.   Improving interoperability, automation and streamlined processes in order to exchange information can go a long way towards ensuring vulnerability disclosure. At the same time, vendors need to have the appropriate tools, processes and people in place to implement secure-by-design practices in order to reduce the risk for users, whereas organisations are responsible to reduce the time between the disclosure of vulnerabilities and their remediation by enabling tooling for automated vulnerability information sharing. 脆弱性を管理し、パッチを確実に適用することは、エンドユーザーを保護し、あらゆる製品のライフサイクル全体にわたってセキュリティが確実に適用されることにつながる。NISインベストメンツ・レポートの2022年版によると、調査対象となった組織の46%で、重要な脆弱性のパッチ適用に1カ月以上かかっている。  情報交換のための相互運用性の改善、自動化、合理化されたプロセスは、脆弱性の情報開示を確実にするために大いに役立つ。同時に、ベンダーは、ユーザーのリスクを低減するために、セキュアバイデザインの実践のための適切なツール、プロセス、人材を用意する必要がある。一方、組織は、自動化された脆弱性情報共有のためのツールを有効にすることで、脆弱性の開示からその修復までの時間を短縮する責任がある。
EU Vulnerability Coordination and Vulnerability Database EU脆弱性調整と脆弱性データベース
The NIS2 establishes a basic framework with responsible key actors on coordinated vulnerability disclosure for newly discovered vulnerabilities across the EU and creates an EU vulnerability database for publicly known vulnerabilities in ICT products and ICT services, to be operated and maintained by the EU agency for cybersecurity (ENISA). The combination of national and EU efforts will form the basis for a mature vulnerability disclosure ecosystem within the EU. Importantly, these initiatives will contribute to an enhanced vulnerability management landscape. NIS2は、EU全域で新たに発見された脆弱性について、責任ある主要な関係者が協調して脆弱性を開示する基本的な枠組みを確立し、ICT製品およびICTサービスにおける公知の脆弱性に関するEU脆弱性データベースを構築し、EUのサイバーセキュリティ機関(ENISA)が運営・管理する。国内とEUの取り組みが組み合わさることで、EU域内で成熟した脆弱性情報公開のエコシステムが形成されることになる。重要なことは、これらの取り組みが脆弱性管理の強化に貢献することである。
The EU cybersecurity policy framework includes a number of proposed policy files. These include the Cyber Resilience Act (CRA) and the Cyber Solidarity Act (CSoA) which include provisions that propose to further improve vulnerability management in the EU, such as additional measures ensuring the quality of products and services that will contribute to the application of security aspects throughout the entire product lifecycle. EUのサイバーセキュリティ政策の枠組みには、数多くの政策ファイルが提案されている。これらには、サイバーレジリエンス法(CRA)やサイバー連帯法(CSoA)が含まれ、製品のライフサイクル全体を通じてセキュリティの側面を適用することに貢献する製品やサービスの品質を保証する追加措置など、EUにおける脆弱性管理のさらなる改善を提案する条項が含まれている。
Background 背景
The objective of the Directive on Security of Network and Information Systems (NIS Directive) is to achieve a high common level of cybersecurity across all Member States. The revised directive known as NIS2 came into force on 16 January 2023 extended the scope to new economic sectors. ネットワークと情報システムのセキュリティに関する指令(NIS指令)の目的は、全加盟国に共通するサイバーセキュリティの高いレベルを達成することである。NIS2として知られる改正指令は2023年1月16日に発効し、新たな経済分野にも適用範囲が拡大された。
One of the three pillars of the NIS Directive is the implementation of risk management and reporting obligations for OES and DSP. NIS指令の3つの柱の1つは、OESとDSPに対するリスクマネジメントと報告義務の実施である。
OES provide essential services in strategic sectors of energy (electricity, oil and gas), transport (air, rail, water and road), banking, financial market infrastructures, health, drinking water supply and distribution, and digital infrastructure (Internet exchange points, domain name system service providers, top-level domain name registries). OESは、エネルギー(電力、石油、ガス)、運輸(航空、鉄道、水運、道路)、銀行、金融市場インフラ、健康、飲料水の供給と配給、デジタルインフラ(インターネットエクスチェンジポイント、ドメインネームシステムサービスプロバイダー、トップレベルドメイン名レジストリ)の戦略的セクターで必要不可欠なサービスを提供している。
DSP operate in an online environment, namely online marketplaces, online search engines and cloud computing services. DSPは、オンラインマーケットプレイス、オンライン検索エンジン、クラウドコンピューティング・サービスといったオンライン環境で事業を展開している。
The report investigates how operators invest in cybersecurity and comply with the objectives of the NIS Directive. It also gives an overview of the situation in relation to such aspects as IT security staffing, cyber insurance and organisation of information security in OES and DSP. 本報告書では、事業者がサイバーセキュリティにどのように投資し、NIS指令の目的をどのように遵守しているかを調査している。また、OESとDSPにおけるITセキュリティスタッフの配置、サイバー保険、情報セキュリティの組織化といった側面に関する状況についても概観している。
Further Information 詳細情報
NIS Investments – ENISA report 2023 NIS投資 - ENISAレポート2023
NIS Investments – ENISA report 2022 NIS投資 - ENISAレポート2022
ENISA Topic - NIS Directive ENISAトピック - NIS指令
Directive on measures for a high common level of cybersecurity across the Union (NIS2) 欧州連合全体におけるサイバーセキュリティの高度な共通レベルの対策に関する指令(NIS2)

 

 

・2023.11.16 NIS Investments Report 2023

・[PDF]

20231118-74126

・[DOCX] 仮訳

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.25 ENISA EUにおけるサイバーセキュリティ投資 2022

・2021.11.26 ENISA NIS投資動向報告書2021 at 2021.11.17

|

« EDPB 意見募集 Privacy指令の対象となるトラッキング技術を明確にするためのガイドライン(案)(2023.11.16) | Main | 個人情報保護委員会 個人情報データベース等不正提供等罪の適用事例等を踏まえた安全管理措置及び漏えい等の報告に関する留意点に関する注意喚起 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« EDPB 意見募集 Privacy指令の対象となるトラッキング技術を明確にするためのガイドライン(案)(2023.11.16) | Main | 個人情報保護委員会 個人情報データベース等不正提供等罪の適用事例等を踏まえた安全管理措置及び漏えい等の報告に関する留意点に関する注意喚起 »