欧州 ENISA サイバーレジリエンス法要件標準マッピング - 共同研究センター&ENISA共同分析
こんにちは、丸山満彦です。
ENISAが、サイバーレジリエンス法の要件と標準のマッピングを試行してみたいです...
・[PDF]
目次...
Abstract | 要旨 |
1 Introduction | 1 序文 |
2 Methodology | 2 方法論 |
3 Requirements-Standards mapping and analysis | 3 要件と標準の対応付けと分析 |
3.1 Security requirements relating to the properties of products with digital elements | 3.1 デジタル要素を含む製品の特性に関するセキュリティ要件 |
3.1.1 (1) Products with digital elements shall be designed, developed and produced in such a way that they ensure an appropriate level of cybersecurity based on the risks; | 3.1.1 (1) デジタル要素を含む製品は、リスクに応じた適切なレベルのサイバーセキュリティを確保するように設計、開発、製造されなければならない; |
3.1.2 (2) Products with digital elements shall be delivered without any known exploitable vulnerabilities; | 3.1.2 (2) デジタル要素を含む製品は、悪用可能な既知の脆弱性なしに提供されなければならない; |
3.1.3 (3) On the basis of the risk assessment referred to in Article 10(2) and where applicable, products with digital elements shall: | 3.1.3 (3) 第10条(2)で言及されたリスクアセスメントに基づき、該当する場合、デジタル要素を含む製品は、次のことを行わなければならない: |
(a) be delivered with a secure by default configuration, including the possibility to reset the product to its original state; | (a) 製品を元の状態にリセットする可能性を含め、デフォルトで安全な構成で提供されること; |
3.1.4 (3b) ensure protection from unauthorised access by appropriate control mechanisms, including but not limited to authentication, identity or access management systems; | 3.1.4 (3b) 認証、本人認証、アクセス管理システムを含むがこれに限定されない、適切な管理メカニズ ムによる不正アクセスからの保護を確保すること; |
3.1.5 (3c) protect the confidentiality of stored, transmitted or otherwise processed data, personal or other, such as by encrypting relevant data at rest or in transit by state of the art mechanisms; | 3.1.5 (3c) 保存、送信、またはその他の方法で処理された個人データまたはその他のデータの機密性 を、最新のメカニズムにより、静止中または転送中の関連データを暗号化するなどして保護すること; |
3.1.6 (3d) protect the integrity of stored, transmitted or otherwise processed data, personal or other, commands, programs and configuration against any manipulation or modification not authorised by the user, as well as report on corruptions; | 3.1.6 (3d) 保存、送信、またはその他の方法で処理された個人またはその他のデータ、コマン ド、プログラム、設定の完全性を、ユーザが許可していない操作や変更から保護するとともに、 破損について報告すること; |
3.1.7 (3e) process only data, personal or other, that are adequate, relevant and limited to what is necessary in relation to the intended use of the product (‘minimisation of data’); | 3.1.7 (3e) 適切かつ関連性があり、製品の意図された使用に関して必要なものに限定された、個人 またはその他のデータのみを処理すること(「データの最小化」); |
3.1.8 (3f) protect the availability of essential functions, including the resilience against and mitigation of denial of service attacks; | 3.1.8 (3f) サービス妨害(DoS)攻撃に対するレジリエンスと低減を含め、必須機能の可用性を保護する; |
3.1.9 (3g) minimise their own negative impact on the availability of services provided by other devices or networks; | 3.1.9 (3g) 他のデバイスまたはネットワークによって提供されるサービスの可用性に対す る悪影響を最小限に抑えること; |
3.1.10 (3h) be designed, developed and produced to limit attack surfaces, including external interfaces; | 3.1.10 (3h) 外部インタフェースを含む攻撃面を制限するように設計、開発、製造されること; |
3.1.11 (3i) be designed, developed and produced to reduce the impact of an incident using appropriate exploitation mitigation mechanisms and techniques; | 3.1.11 (3i) 適切な悪用低減メカニズム及び技術を用いて、インシデントの影響を低減するように設計、開発、製造されること; |
3.1.12 (3j) provide security related information by recording and/or monitoring relevant internal activity, including the access to or modification of data, services or functions; | 3.1.12 (3j) データ、サービス又は機能へのアクセス又は変更を含む、関連する内部活動を記録及び/又は監視することにより、セキュリティ関連情報を提供すること。 |
3.1.13 (3k) ensure that vulnerabilities can be addressed through security updates, including, where applicable, through automatic updates and the notification of available updates to users | 3.1.13 (3k) 該当する場合、自動更新や利用可能な更新のユーザーへの通知など、セキュ リティ更新を通じて脆弱性に対処できるようにすること。 |
3.2 Vulnerability handling requirements | 3.2 脆弱性対応要件 |
3.2.1 Manufacturers of the products with digital elements shall: (1) identify and document vulnerabilities and components contained in the product, including by drawing up a software bill of materials in a commonly used and machine-readable format covering at the very least the top-level dependencies of the product; | 3.2.1 デジタル要素を含む製品の製造事業者は、次のことを行わなければならない: (1) 製品に含まれる脆弱性及びコンポーネントを特定し、文書化する。これには、一般的に使用され、機械が読み取り可能な形式で、少なくとも製品のトップレベルの依存関係を網羅するソフトウェア部品表を作成することを含む; |
3.2.2 (2) in relation to the risks posed to the products with digital elements, address and remediate vulnerabilities without delay, including by providing security updates; | 3.2.2 (2) デジタル要素を含む製品にもたらされるリスクに関連して、セキュリティ更新を提供することを含め、脆弱性に遅滞なく対処し、是正すること; |
3.2.3 (3) apply effective and regular tests and reviews of the security of the product with digital elements; | 3.2.3 (3) デジタル要素を含む製品のセキュリティについて、効果的かつ定期的なテストとレ ビューを適用する; |
3.2.4 (4) once a security update has been made available, publically disclose information about fixed vulnerabilities, including a description of the vulnerabilities, information allowing users to identify the product with digital elements affected, the impacs of the vulnerabilities, their severity and information helping users to remediate the vulnerabilities; | 3.2.4 (4) セキュリティアップデートが利用可能になったら、修正された脆弱性に関する情報(脆弱性の説明、影響を受けるデジタル要素を含む製品をユーザが識別できる情報、脆弱性の影響、深刻度、ユーザが脆弱性を修正するのに役立つ情報を含む)を公に開示すること; |
3.2.5 (5) put in place and enforce a policy on coordinated vulnerability disclosure; | 3.2.5 (5) 協調的な脆弱性の開示に関するポリシーを定め、実施すること; |
3.2.6 (6) take measures to facilitate the sharing of information about potential vulnerabilities in their product with digital elements as well as in third party components contained in that product, including by providing a contact address for the reporting of the vulnerabilities discovered in the product with digital elements; | 3.2.6 (6) デジタル要素を含む製品に発見された脆弱性を報告するための連絡先をプロバイダ に提供するなど、デジタル要素を含む製品およびその製品に含まれるサードパーティ製コンポーネ ントに潜在する脆弱性に関する情報の共有を促進するための手段を講じること; |
3.2.7 (7) provide for mechanisms to securely distribute updates for products with digital elements to ensure that exploitable vulnerabilities are fixed or mitigated in a timely manner; | 3.2.7 (7) 悪用可能な脆弱性が適時に修正または低減されるよう、デジタル要素を含む製品の更新を安全に配布する仕組みを提供すること; |
3.2.8 (8) ensure that, where security patches or updates are available to address identified security issues, they are disseminated without delay and free of charge, accompanied by advisory messages providing users with the relevant information, including on potential action to be taken | 3.2.8 (8)特定されたセキュリティ問題に対処するためのセキュリティパッチ又はアップデー トが利用可能な場合、それらのパッチ又はアップデートが遅滞なく、かつ無償で配布され、 取るべき潜在的な措置を含め、関連情報をユーザに提供する勧告メッセージを伴うことを 確実にする。 |
4 Summary of the identified standards and overall remarks | 4 識別された標準の概要と総論 |
5 Conclusion | 5 まとめ |
References | 参考文献 |
List of abbreviations and definitions | 略語と定義のリスト |
List of figures | 図表一覧 |
Annexes | 附属書 |
Annex 1. High level pre-screening of standardisation activities with potential relevance for the CRA requirements | 附属書 1. CRA の要求事項に関連する可能性のある標準化活動の高度な事前審査 |
サイバーレジリエンス法 (CRA)
・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)
・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択
・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)
・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意
・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...
« 米国 意見募集 NIST SP 800-61 Rev.3(初期公開ドラフト) サイバーセキュリティリスクマネジメントのためのインシデント対応の推奨と考慮事項: CSF 2.0 コミュニティプロファイル | Main | 米国と英国 AIの安全性に関する提携を発表 (2024.04.01) »
Comments