ENISA トラストサービス・セキュリティインシデント 2022年 (2023.11.30)

こんにちは、丸山満彦です。

ENISAがトラストサービス・セキュリティインシデント 2022年が公表されていました。。。EUのトラストサービス部門のセキュリティインシデント報告が公表されていましたね。。。今年で6年目でEU27カ国とEEA3カ国が参加しています。。。

2022年に通知された違反の集計概要を提供し、根本原因、統計、傾向を分析したもののようですね。。。

 

ハイライト...

Highlights 2022	ハイライト 2022
The number of notified incidents had a 25% decrease compared to 2021.	通知されたインシデント件数は、2021年と比較して25％減少した。
The number of incidents with minor impact has increased and 2 very large incidents were reported.	影響が軽微なインシデントが増加し、非常に大規模なインシデントが2件報告された。
As in previous years, most reported incidents concern qualified certificates.	例年通り、報告されたインシデントの大半は資格証明書に関するものである。
System failures account for more than half of incidents and have been the dominant root cause for the last seven years of incident reporting.	システム障害がインシデントの半数以上を占め、過去7年間のインシデント報告の根本原因として支配的であった。
2022 witnessed a minor decrease in incidents caused by malicious actions (14,3%).	2022年は、悪意ある行為によるインシデントがわずかに減少した（14.3％）。

 

● ENISA

・2023.11.30 Trust Services Security Incidents 2022

・[PDF] 

 

目次...

1. INTRODUCTION	1. 序文
1.1 SCOPE	1.1 範囲
1.2 TARGET AUDIENCE	1.2 対象読者
1.3 CONTENT	1.3 内容
1.4 DISCLAIMER	1.4 免責事項
2. INCIDENT REPORTING FRAMEWORK	2. インシデント報告の枠組み
2.1 OVERVIEW OF INCIDENT REPORTING PROGRESS	2.1 インシデント報告進捗状況の概要
2.2 INCIDENT REPORTING TOOL	2.2 インシデント報告ツール
2.3 ANONYMIZED EXAMPLES OF SECURITY INCIDENTS	2.3 匿名化されたセキュリティインシデントの例
3. INCIDENT ANALYSIS	3. インシデント分析
3.1 ROOT CAUSE CATEGORIES	3.1 根本原因のカテゴリー
3.2 DETAILED CAUSES	3.2 詳細な原因
3.3 TYPES OF TRUST SERVICES AFFECTED	3.3 影響を受けたトラストサービスのタイプ
3.4 QUALIFIED SERVICES VERSUS NON-QUALIFIED SERVICES	3.4 適格サービス対非適格サービス
4. MULTI-ANNUAL TRENDS 2016-2022	4. 2016～2022年の複数年動向
4.1 MULTI-ANNUAL TREND IN ROOT CAUSE CATEGORIES	4.1 根本原因カテゴリーにおける複数年の傾向
4.2 MULTI-ANNUAL TREND IN SEVERITY OF IMPACT	4.2 影響の重大性における複数年ごとの傾向
4.3 MULTI-ANNUAL TREND IN IMPACT ON SERVICES	4.3 サービスへの影響における複数年の傾向
5. CONCLUSIONS	5. 結論

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
The EU’s eIDAS regulation (EU Regulation 910/2014) sets rules for electronic identity schemes and trust services in Europe, national eID schemes, cross-border interoperability and recognition. eIDAS was adopted in July 2014 and came into force in 2016. One of the goals of eIDAS is to ensure that electronic signatures can have the same legal standing as traditional signatures and to remove barriers to electronic commerce and all types of electronic transactions in the EU. The eIDAS regulation aims to:	EUのeIDAS規則（EU規則910/2014）は、欧州における電子IDスキームおよびトラストサービス、各国のeIDスキーム、国境を越えた相互運用性および承認に関する規則を定めている。eIDASは2014年7月に採択され、2016年に発効した。eIDASの目標の1つは、電子署名が従来の署名と同等の法的地位を確保し、EUにおける電子商取引およびあらゆる種類の電子取引に対する障壁を取り除くことである。eIDAS規制の目的は以下の通りである：
• ensure that people and businesses can voluntarily use their own national electronic identification schemes (eIDs) to access public services available online in other EU countries.	・国民や企業が自発的に自国の電子IDスキーム（eID）を使用し、他のEU諸国のオンライン公共サービスにアクセスできるようにする。
• create a European internal market for trust services by ensuring that they will work across borders and have the same legal status as their traditional paper-based equivalents.	・トラストサービスが国境を越えて機能し,従来の紙ベースの同等サービスと同じ法的地位を有することを保証することにより,トラストサービスの欧州域内市場を創出する。
Article 19 of the eIDAS regulation sets out the security requirements for the trust service providers (TSPs) and introduces mandatory security breach reporting for trust service providers (TSPs) in the EU. The reporting obligations have three parts:	eIDAS規則第19条は、トラスト・サービス・プロバイダ（TSP）のセキュリティ要件を定めており、EU域内のトラスト・サービス・プロバイダ（TSP）に対して、セキュリティ侵害の報告義務を導入している。報告義務には3つの部分がある：
• Trust service providers must notify security breaches that have a significant impact to the national supervisory bodies.	・トラスト・サービス・プロバイダは,重大な影響を及ぼすセキュリティ侵害を各国の監督機関に通知しなければならない。
• The national supervisory bodies must inform each other and ENISA if there are breaches which have an impact across borders.	・各国の監督団体は,国境を越えて影響を及ぼす違反があった場合,相互およびENISAに通知しなければならない。
• Every year national supervisory bodies must send annual summary reports about the notified breaches to ENISA and the Commission.	・各国の監督機関は毎年,通知された違反に関する年次総括報告書をENISAと欧州委員会に送付しなければならない。
This report, the Annual Report Trust Services Security Incidents 2022, provides an aggregated overview of the notified breaches for 2022, analysing root causes, statistics and trends. This report marks the sixth round of security incident reporting for the EU’s trust services sector.	本報告書「トラストサービス・セキュリティ・インシデント年次報告書2022」は、2022年に通知されたインシデントの概要を集約し、根本原因、統計、傾向を分析したものである。本報告書は、EUのトラストサービス部門におけるセキュリティインシデント報告の第6回目となる。
In this round of annual summary reporting a total of 27 EU countries and 3 EEA countries took part. They reported a total of 35 incidents.	今回の年次概要報告には、EU27カ国とEEA3カ国が参加した。合計35件のインシデントが報告された。
We summarize the key findings from the 2022 incident reports:	2022年のインシデント報告から得られた主な知見を要約する：
• A steep decrease in notified incidents: in 2021 notified incidents increased by around 18%, same as the growth observed in 2020. However, in 2022 only 35 incidents were notified, signifying a drop by around 25%. Give that 33% of minor incidents were reported, the reason behind the drop might be due to the fact that several minor incidents did not get reported. In the context of eIDAS Art. 19 incident reporting and the relevant requirements for TSPs, even minor incidents would nonetheless need to be reported. This suggests that authorities should reinforce the necessity and significance of the breach reporting process and raise awareness to TSPs on their obligations under eIDAS.	・通告されたインシデントの急減：2021年に通告されたインシデントは約18％増加したが、これは2020年に観察された増加率と同じであった。しかし、2022年には35件のインシデントしか報告されておらず、これは約25％の減少を意味する。33％の軽微なインシデントが報告されていることから、この減少の背景には、いくつかの軽微なインシデントが報告されなかったという事実があるのかもしれない。eIDAS Art. 19のインシデント報告およびTSPの関連要件に照らせば、軽微なインシデントであっても報告される必要がある。このことは、認可機関が違反報告プロセスの必要性と重要性を強化し、eIDASに基づく義務についてTSPの認識を高めるべきであることを示唆している。
• The number of incidents with a large impact has slightly increased: in 2022, 12 incidents with large impact were reported, continuing the trend observed over the past years. By comparison, in 2020 only 3 incidents were characterized as having had a “large impact” as opposed to 2021 when 11 such incidents had been reported (translating into approximately a quadruple increase). Additionally, 2 very large impact incidents were reported in 2022.	・大きな影響を及ぼすインシデントの数はわずかに増加している。2022年には、大きな影響を及ぼすインシデントが12件報告され、ここ数年の傾向が続いている。これに対し、2020年には「大きな影響」を持つインシデントが3件しか報告されなかったが、2021年には11件報告された（約4倍の増加）。さらに、2022年には非常に大きな影響を与えるインシデントが2件報告された。
The ratio of reported incidents concerning qualified trust services over non-qualified ones remains high. In 2022, 75% of total incidents had an impact on qualified trust services when compared with approximately 15% of incidents reported on non-qualified trust services and 10% of incidents having provided no relevant information. Although non-qualified trust services are widely used, not so much effort is made by operators on related incident reporting. In most cases, notifications are performed by a TSP offering all types of services (qualified and non-qualified), reporting an incident that has affected both their qualified and non-qualified services. It needs to be highlighted that in 2021 significant improvement in this particular area was noted compared to 2020 when the observation was first made, and this trend persists in 2022. This is a testament to the value of the work on incident reporting and the relevant analysis, which had a direct positive impact on the overall process. However, we need to highlight the 10% of reported incidents lacking this very piece of information: providing accurate and complete information on reported incidents is essential for proper analysis and follow-up actions.	報告されたインシデントのうち、適格トラストサービスに関するものが非適格トラストサービスに関するものを上回る比率は依然として高い。2022年には、インシデント全体の75％が適格トラスト・サービスに影響を与えたのに対し、非適格トラスト・サービスについて報告されたインシデントは約15％、関連情報を提供しなかったインシデントは10％であった。非適格トラストサービスは広く利用されているが、事業者による関連インシデント報告への取り組みはそれほど多くない。ほとんどの場合、すべての種類のサービス（適格および非適格）を提供するTSPが、適格および非適格の両方のサービスに影響を与えたインシデントを報告する。2021年には、最初にこの観察が行われた2020年と比較して、この特定の分野で大幅な改善が見られ、この傾向は2022年も続いていることを強調する必要がある。これは、インシデント報告に関する作業と関連分析が価値あるものであり、全体的なプロセスに直接的な好影響を与えたことの証左である。報告されたインシデントに関する正確で完全な情報をプロバイダに提供することは、適切な分析とフォローアップのために不可欠である。
Although non-qualified trust services are widely used by citizens and enterprises, it seems that the respective trust services operators do not make much effort to report related incidents. In most cases, the notification is done by a TSP that also offers qualified services, reporting an incident that has affected both their qualified and non-qualified services. Having said this, compared to 2021, 2022 witnessed a slightly downward trend in this direction with 7 incidents affecting solely non-qualified services being reported (given the 25% decrease in overall reported incidents, the downward trend is justified).	適格トラストサービスは市民やエンタープライズによって広く利用されているが、それぞれのトラストサービス運営者は関連インシデントを報告する努力をあまりしていないように思われる。多くの場合、有資格サービスも提供しているTSPが、有資格サービスと非有資格サービスの両方に影響するインシデントを報告している。とはいえ、2021年と比較すると、2022年は、非適格サービスのみに影響するインシデントが7件報告され、この方向でやや減少傾向が見られた（報告されたインシデント全体が25%減少していることを考えると、減少傾向は正当である）。
The impact on subservices is mainly divided between certificate management (71,43% of the incidents) and certificate generation (42,86% of the incidents), with 17% of the incidents affecting validation services (Figure 6 in the report provides further details).	サブサービスへの影響は、主に証明書管理（インシデントの 71,43%）と証明書生成（インシデントの 42,86%）に分かれ、検証サービスに影響を与えたインシデントは 17%であった（報告書の図 6 に詳細を示す）。
Approximately 54% (19 incidents) of the reported incidents were rated as minor, showing a stabilisation compared to 2021 if one takes into account the smaller number of reported incidents. 2 disastrous incidents of very large impact were reported in 2022, whereas a slight increase by 1 was observed for incidents with large impact, which overall quadrupled compared to 2020. Furthermore, a decrease by 50% in minor incidents of no impact has been observed, indicating (combined with the overall smaller number of reported incidents) that while the incident reporting mechanism has become more familiar to the providers and there are still challenges in reporting incidents regardless of their severity.	報告されたインシデントの約54%（19件）が軽微なインシデントと評価され、報告されたインシデントの件数が少なかったことを考慮すると、2021年と比べて安定していることがわかる。2022年には、非常に大きな衝撃を伴う悲惨な事故が2件報告されたが、大きな衝撃を伴うインシデントについては1件の微増が観察され、全体としては2020年と比較して4倍に増加した。さらに、影響のない軽微なインシデントが50％減少している。これは（報告されたインシデントの数が全体的に少ないことと相まって）、インシデント報告の仕組みがプロバイダになじんできた一方で、重大性にかかわらずインシデントの報告にはまだ課題があることを示している。
Severity of impact per year	年間影響度
ENISA publishes detailed statistics about trust services security incidents in an online visual tool, CIRAS Visual. This tool allows for custom analysis of trends and patterns .	ENISAは、トラストサービスのセキュリティインシデントに関する詳細な統計を、オンラインビジュアルツール「CIRAS Visual」で公表している。このツールにより、傾向とパターンをカスタム分析することができる。
Currently the European Commission, Member States and the European Parliament are discussing policy changes. With the advent of the revised NIS (Network and Information Security) Directive 2, incident reporting under Article 19 of eIDAS is repealed and relevant incident reporting will follow the guidelines and process of NIS2 as of October 17th 2024. The goal of this Commission Directive, the NIS2, is to simplify EU cybersecurity legislation and to ensure that there is a similar approach across the different sectors, including the telecom sector and the trust services sector, which are currently addressed under separate pieces of legislation. In 2023, the Commission is also working a proposal for a new eIDAS regulation.	現在、欧州委員会、加盟国、欧州議会は政策の変更について議論している。改正NIS（ネットワークと情報セキュリティ）指令2の登場により、eIDASの第19条に基づくインシデント報告は廃止され、関連するインシデント報告は2024年10月17日以降、NIS2のガイドラインとプロセスに従うことになる。この欧州委員会指令であるNIS2の目的は、EUのサイバーセキュリティに関する法律を簡素化し、現在別々の法律で扱われている電気通信部門やトラストサービス部門を含むさまざまな部門で同様のアプローチができるようにすることである。2023年には、欧州委員会は新たなeIDAS規制の提案も進めている。
ENISA will continue to support national supervisory bodies with the implementation of breach reporting under Article 19 of eIDAS and to work towards making this process efficient and effective, yielding useful data, for the supervising bodies, for the national authorities, as well as for the trust service providers and the organisations relying on these trust services.	ENISAは引き続き、eIDAS第19条に基づく違反報告の実施に関して各国の監督団体を支援し、このプロセスを効率的かつ効果的なものにし、監督団体、各国当局、トラストサービス・プロバイダおよびこれらのトラストサービスに依存する組織にとって有益なデータを提供できるよう取り組んでいく。
Highlights 2022	ハイライト 2022
The number of notified incidents had a 25% decrease compared to 2021.	通知されたインシデント件数は、2021年と比較して25％減少した。
The number of incidents with minor impact has increased and 2 very large incidents were reported.	影響が軽微なインシデントが増加し、非常に大規模なインシデントが2件報告された。
As in previous years, most reported incidents concern qualified certificates.	例年通り、報告されたインシデントの大半は資格証明書に関するものである。
System failures account for more than half of incidents and have been the dominant root cause for the last seven years of incident reporting.	システム障害がインシデントの半数以上を占め、過去7年間のインシデント報告の根本原因として支配的であった。
2022 witnessed a minor decrease in incidents caused by malicious actions (14,3%).	2022年は、悪意ある行為によるインシデントがわずかに減少した（14.3％）。

 

インシデントの原因

いつもの通り...システムエラーとヒューマンエラー...

 

6年間の推移

 

6年間の累計