欧州委員会 電気通信および電力分野におけるサイバーセキュリティリスク低減のためのEUの勧告
こんにちは、丸山満彦です。
欧州委員会が、インフラの中のインフラと言われている(ような気がする)電気通信分野、電料分野におけるサイバーセキュリティリスク低減のための勧告を公表していますね。。。
プレス...
EU’s recommendations for mitigating cybersecurity risks in telecommunications and electricity sectors published | 電気通信および電力分野におけるサイバーセキュリティ・リスク低減のためのEUの勧告が発表される |
Today, EU Member States, with the support of the Commission and of the EU Agency for Cybersecurity (ENISA), published a report on the cybersecurity of the telecommunications and electricity sectors in the EU, as well as recommendations to bolster their resilience. | 本日、EU加盟国は、欧州委員会およびEUサイバーセキュリティ機関(ENISA)の支援の下、EUにおける電気通信および電力分野のサイバーセキュリティに関する報告書と、そのレジリエンスを強化するための勧告を発表した。 |
The report identifies threats such as cyber-attacks and espionage activities from state-sponsored threat actors and cyber criminals in both sectors. Supply chains, especially regarding 5G networks and renewable energy infrastructures, are at particular risk. | 報告書では、両分野における国家に支援された脅威行為者やサイバー犯罪者によるサイバー攻撃やスパイ活動などの脅威を特定している。特に5Gネットワークや再生可能エネルギーインフラに関するサプライチェーンは、特にリスクにさらされている。 |
To mitigate the identified risks, the report contains recommendations to Member States, the Commission and ENISA to timely implement resilience-enhancing measures. These recommendations include sharing good practices on mitigating ransomware, improving collective cyber-situational awareness and information sharing; improving contingency planning, crisis management and operational collaboration; assessing dependencies on high-risk third-country providers to strengthen supply chain security. | 特定されたリスクを軽減するため、報告書は加盟国、欧州委員会、ENISAに対し、レジリエンス強化策を適時に実施するよう勧告している。これらの勧告には、ランサムウェアの低減に関するグッドプラクティスの共有、集団的なサイバー状況認識と情報共有の改善、緊急時計画、危機マネジメント、業務協力の改善、サプライチェーンセキュリティを強化するためのリスクの高い第三国プロバイダへの依存度の評価などが含まれる。 |
The report follows Council conclusions calling for the development of the EU’s Cyber Posture and follows-up on the report on the cybersecurity and resilience of the EU communications infrastructures and networks. | 本報告書は、EUのサイバー態勢の整備を求める理事会の結論に続くものであり、EUのコミュニケーション・インフラおよびネットワークのサイバーセキュリティとレジリエンスに関する報告書をフォローアップするものである。 |
報告書...
・2024.07.24 Risk assessment report on cyber resilience on EU’s telecommunications and electricity sectors
Risk assessment report on cyber resilience on EU’s telecommunications and electricity sectors | EUの通信・電力分野のサイバーレジリエンスに関するリスクアセスメント報告書 |
EU Member States, with the support of the European Commission and ENISA, the EU Agency for Cybersecurity, published the first report on the cybersecurity and resilience of Europe’s telecommunications and electricity sectors. | EU加盟国は、欧州委員会とEUサイバーセキュリティ機関ENISAの支援を受けて、欧州の通信・電力分野のサイバーセキュリティとレジリエンスに関する初の報告書を発表した。 |
The report points to concerns about a number of risks, including risks to supply chain security, the lack of cyber professionals and the risks posed by malicious activities from cyber criminals and state-sponsored threat actors. | 本報告書では、サプライチェーンの安全性に対するリスク、サイバー専門家の不足、サイバー犯罪者や国家に支援された脅威行為者による悪質な活動がもたらすリスクなど、多くのリスクに対する懸念が指摘されている。 |
The risk evaluation identified technical and non-technical risks in more detail. In both the telecommunications and electricity sectors, supply chain risks remain the main concern, especially regarding 5G rollout and renewable energy infrastructures. Ransomware, data wipers and exploitation of zero-day vulnerabilities were also identified as an ongoing but pressing concerns in both sectors, especially where operational technology is concerned. | リスク評価では、技術的リスクと非技術的リスクをより詳細に特定した。電気通信と電力の両セクターにおいて、サプライチェーンのリスクは、特に5Gの展開と再生可能エネルギーのインフラに関して、依然として主な懸念事項である。ランサムウェア、データワイパー、ゼロデイ脆弱性の悪用も、特に運用技術に関わる両分野において、継続的ではあるが喫緊の懸念事項として認識された。 |
For the electricity sector, the most critical risk identified is malicious insiders, spurred by a difficulty in adequately vetting new personnel and attracting local cybersecurity talent. For the telecommunications sector, the main threats include attacks via roaming infrastructures and attacks originating from large bot networks. | 電力セクターでは、最も重大なリスクは悪意のある内部関係者であり、新しい身元を適切に審査し、地域のサイバーセキュリティ人材を集めることが困難であることがこれに拍車をかけている。電気通信分野では、ローミング・インフラを介した攻撃や、大規模なボット・ネットワークから発信される攻撃が主な脅威となっている。 |
In addition, the physical sabotage of cable infrastructure and the jamming of satellite signals were identified as specific risks that are particularly difficult to mitigate. | さらに、ケーブルインフラの物理的妨害行為や衛星信号の妨害行為も、特に軽減が困難な特定のリスクとして識別された。 |
To mitigate these risks, the report puts forward a number of recommendations across 4 areas for improvement, which can be summarised as follows: | これらのリスクを軽減するため、報告書は4つの改善分野にわたって多くの提言を提示しており、その要約は以下の通りである: |
1. Resilience and cybersecurity posture can be improved through sharing good practices on mitigating ransomware, vulnerability monitoring, human resources security and asset management. Additionally, cooperation with technical Member States’ network, the Computer Security Incident Response Team (CSIRTs), law enforcement and international partners needs to be stepped up. Member States should conduct further self-assessments for the sectors as per the NIS2 Directive and CER Directive. | 1. ランサムウェア、脆弱性監視、人材セキュリティ、資産管理の軽減に関するグッドプラクティスを共有することにより、レジリエンスとサイバーセキュリティ態勢を改善することができる。さらに、技術的な加盟国のネットワーク、コンピュータセキュリティ・インシデント対応チーム(CSIRT)、法執行機関、国際的なパートナーとの協力を強化する必要がある。 加盟国は、NIS2指令およびCER指令に従って、各セクターの自己アセスメントをさらに実施すべきである。 |
2. Collective cyber situational awareness and information sharing needs to be improved and include the geopolitical context, potential physical harm and disinformation. | 2. 集団的なサイバー状況認識と情報共有を改善し、地政学的背景、潜在的な物理的被害、偽情報を含める必要がある。 |
3. Contingency planning, crisis management and operational collaboration needs to be improved by shortening lines between sectors and cybersecurity authorities in procedures. | 3. 緊急時計画、危機管理、作戦上の協力は、セクターとサイバーセキュリティ当局との間の手続きを短縮することによって改善される必要がある。 |
4. Supply chain security should be further addressed with follow-up assessments of dependencies on high-risk third-country providers and the development of an EU framework for supply chain security. | 4. サプライチェーンのセキュリティについては、リスクの高い第三国のプロバイダへの依存度をフォローアップアセスメントし、サプライチェーンのセキュリティに関するEUの枠組みを策定することにより、さらに取り組むべきである。 |
Given the criticality of the infrastructures and networks in the scope of this report and in view of the fast-evolving threat landscape, and without prejudice to the Member States’ competences as regards national security, Member States, Commission and ENISA are encouraged to implement these resilience-enhancing measures as soon as possible, based on the work that has already started on the implementation of some of the recommendations. | 本報告書の対象範囲に含まれるインフラおよびネットワークの重要性を考慮し、また、急速に進化する脅威の状況を考慮し、加盟国の国家安全保障に関する権限を害することなく、加盟国、欧州委員会およびENISAは、勧告の一部の実施に関してすでに開始されている作業に基づいて、これらのレジリエンス強化策を可能な限り早期に実施することが奨励される。 |
Download the report below for more information. | 詳細は以下の報告書をダウンロードのこと。 |
Background | 背景 |
The Council, in its Conclusions on the development of the European Union’s cyber posture of 23 May 2022, ‘invite[d] the Commission, the High Representative and the NIS Cooperation Group, in coordination with relevant civilian and military bodies and agencies and established networks, including the EU CyCLONe, to conduct a risk evaluation and build risk scenarios from a cybersecurity perspective in a situation of threat or possible attack against Member States or partner countries and present them to the relevant Council bodies.’ | EU理事会は、2022年5月23日のEUのサイバー態勢の整備に関する結論において、「欧州委員会、上級代表、NIS協力グループが、関連する文民・軍事機関およびEUサイクロンを含む確立されたネットワークと連携して、加盟国またはパートナー諸国に対する脅威または攻撃の可能性がある状況において、サイバーセキュリティの観点からリスク評価を実施し、リスクシナリオを構築し、理事会の関連団体に提示するよう求める」とした。 |
Moreover, in its 23 May 2023 Conclusions on the EU Policy on Cyber Defence, the Council ‘invite[d] the above-mentioned actors to ensure that risk evaluations, scenarios and subsequent recommendations are taken into account when defining and prioritising measures and support, at EU and where appropriate national level’. The Council furthermore calls for ‘the risk scenarios to be considered by all relevant actors in risk assessment processes, as well as in the development of cyber exercises’. | さらに理事会は、2023年5月23日の「サイバー防衛に関するEU政策に関する結論」において、「上記の関係者に対し、EUレベルおよび適切な場合には国レベルで、リスク評価、シナリオ、およびそれに続く勧告が、対策や支援を定義し、優先順位を決定する際に考慮されるように要請する」と述べている。さらに理事会は、「リスクシナリオが、リスクアセスメントプロセスやサイバー演習の開発において、すべての関係者によって考慮される」ことを求めている。 |
The risk evaluation follows up on a recent report on the cybersecurity and resilience of the EU communications infrastructures and networks, which was published in February 2024. | このリスク評価は、2024年2月に発表された、EUのコミュニケーションインフラとネットワークのサイバーセキュリティとレジリエンスに関する最近の報告書に続くものである。 |
You can read further information about Cybersecurity Policies. | サイバーセキュリティ政策についての詳細はこちらをご覧いただきたい。 |
・[PDF]
目次...
Executive summary | エグゼクティブサマリー |
1. Introduction | 1.はじめに |
1.1 Request for this report from Council | 1.1 審議会からの本報告書の要請 |
1.2 Scope | 1.2 スコープ |
1.3 Relationship to related exercises | 1.3 関連エクササイズとの関係 |
1.4 Methodology | 1.4 方法論 |
1.5 Structure of this report | 1.5 本報告書の構成 |
2. Context of the risk evaluation | 2.リスク評価の背景 |
2.1 Threat landscape | 2.1 脅威の状況 |
2.2 Sectoral threat landscape: telecommunications | 2.2 分野別の脅威の状況:電気通信 |
2.3 Sectoral threat landscape: electricity | 2.3 分野別の脅威の状況:電力 |
3. Risk evaluation | 3.リスク評価 |
3.1 Risk evaluation for the EU’s telecommunications sector | 3.1 EUの電気通信分野のリスク評価 |
3.2 Risk evaluation for the EU’s electricity sector | 3.2 EUの電力分野のリスク評価 |
3.3 Spill-over risks and interdependencies across sectors, Member States and with third countries | 3.3 分野間、加盟国間、第三国間の波及リスクと相互依存 |
4. Risk scenarios | 4.リスクシナリオ |
4.1 Telecommunications sector scenarios | 4.1 通信分野のシナリオ |
4.2 Electricity sector scenarios | 4.2 電力分野シナリオ |
5. Conclusions for areas of improvement | 5.改善点の結論 |
(1) Resilience and cybersecurity posture (Addresses Scenarios TRS1, TRS2, ERS1, ERS3, ERS4, ERS5) | (1) レジリエンスとサイバーセキュリティ態勢(シナリオ TRS1、TRS2、ERS1、ERS3、ERS4、ERS5 に対応) |
(2) Collective cyber situational awareness and information sharing (TRS3, TRS4, ERS2) | (2) 集団的サイバー状況認識と情報共有 (TRS3, TRS4, ERS2) |
(3) Contingency planning, crisis management and operational collaboration (TRS2, ERS1, ERS5) | (3) コンティンジェンシー・プランニング、危機管理、作戦協力 (TRS2, ERS1, ERS5) |
(4) Supply chain security (TRS1, ERS5, ERS6) | (4) サプライ・チェーン・セキュリティ(TRS1、ERS5、ERS6) |
Annex 1: Relationship between this report and related exercises | 附属書1:本報告書と関連演習の関係 |
Annex 2 – Risk scenario building blocks | 附属書2 - リスクシナリオの構成要素 |
Annex 2.1: Threat actors | 附属書2.1:脅威要因 |
Annex 2.2: Threats | 附属書2.2:脅威 |
Annex 2.3: Assets | 附属書2.3:資産 |
Annex 2.4: Vulnerabilities | 附属書2.4:脆弱性 |
Annex 2.5: Harms | 附属書2.5:被害 |
エグゼクティブサマリー...
Executive summary | エグゼクティブサマリー |
The Council, in its May 2022 Conclusions on the EU’s cyber posture, requested the Commission, the High Representative, and the NIS Cooperation Group (NIS CG) to carry out a risk evaluation and develop risk scenarios from a cybersecurity perspective in a situation of threat or possible attack against Member States or partner countries. It was decided to focus this report on two sectors: telecommunications (mobile networks, fixed networks, satellite, and core internet infrastructure) and electricity (including gas to the extent it supports the generation of electricity). | EU理事会は、2022年5月のEUのサイバー態勢に関する結論において、欧州委員会、上級代表、NIS協力グループ(NIS CG)に対し、加盟国またはパートナー諸国に対する脅威または攻撃の可能性がある状況におけるサイバーセキュリティの観点から、リスク評価を実施し、リスクシナリオを策定するよう要請した。本報告書は、電気通信(モバイル・ネットワーク、固定ネットワーク、衛星、コア・インターネット・インフラ)と電力(発電をサポートする範囲でのガスを含む)の2分野に焦点を当てることが決定された。 |
Dependencies on critical components from third countries and supply chain-related vulnerabilities are a particular risk for both sectors. Many specific components have limited suppliers based outside the EU which may be considered high-risk due to susceptibility to government interference without adequate legal or judicial constraints. Moreover, the increasing importance of renewable energy sources, such as wind and solar power, introduces many new - and often less secure - digital technologies into energy networks critical to society. The EU’s cyber posture would greatly benefit from further research on potential security measures. | 第三国からの重要部品への依存とサプライチェーン関連の脆弱性は、両分野にとって特に大きなリスクである。多くの特定部品は、EU域外を拠点とする限られたサプライヤーしか供給しておらず、十分な法的・司法的制約がないまま政府の干渉を受けやすいため、高リスクとみなされる可能性がある。さらに、風力発電や太陽光発電のような再生可能エネルギーの重要性が高まるにつれ、社会にとって重要なエネルギー・ネットワークに、多くの新しい(そしてしばしば安全性の低い)デジタル技術が導入される。EUのサイバー態勢は、潜在的なセキュリティ対策に関するさらなる研究から大きな恩恵を受けるだろう。 |
For the telecommunications sector, the top risks identified are risks to mobile and fixed telecommunications networks, risks to the internet’s core infrastructure and risks to the satellite communications. The enormous databases of sensitive information held by the mobile subsector are a major target for ransomware. The unavailability of communication sector services caused by ransomware and destructive malware carries large potential for spillover harm into other sectors. Moreover, the risk of disruption is heightened in areas where a telecommunications operator is the sole provider for critical entities or in a particular region. The risk of espionage resulting from infiltration of malicious insiders, or from hostile third countries exercising pressure on 5G suppliers to facilitate cyberattacks scores equally likely, though its impact is much harder to assess. Vulnerabilities in roaming infrastructure can be exploited to geolocate users, intercept calls and SMS messages, while smishing (using deceptive text messages) and vishing (using voice and telephone technologies) attacks can be used to harvest credentials and gain access to critical systems. Unpatched devices used to connect to the Internet are susceptible to compromise and can be used as part of botnets controlled by malicious actors. For core Internet infrastructure, including the around 200 undersea cables around the world, physical sabotage is the most salient risk. The highest risk concerning satellite networks is signals jamming, due to its low cost and the ease with which it can be orchestrated. | 電気通信分野では、モバイルおよび固定通信ネットワークへのリスク、インターネットの中核インフラへのリスク、衛星通信へのリスクが上位に挙げられている。モバイル・サブ分野が保有する機密情報の膨大なデータベースは、ランサムウェアの主要な標的である。ランサムウェアや破壊的なマルウェアによって通信分野のサービスが利用できなくなると、他の分野にも被害が波及する可能性が大きい。さらに、電気通信事業者が重要な事業体や特定の地域の唯一のプロバイダーである地域では、混乱のリスクが高まる。悪意のある内部者の侵入や、敵対的な第三国がサイバー攻撃を促進するために5Gサプライヤーに圧力をかけることによるスパイ活動のリスクも同様に考えられるが、その影響を評価するのははるかに難しい。ローミングインフラストラクチャの脆弱性を悪用してユーザーを地理的に特定したり、通話やSMSメッセージを傍受したり、スミッシング(欺瞞的なテキストメッセージを使用)やビッシング(音声や電話技術を使用)攻撃を使って認証情報を採取し、重要なシステムにアクセスしたりすることができる。インターネットに接続するために使用されるパッチ未適用のデバイスは、侵害の影響を受けやすく、悪意のある行為者によって制御されるボットネットの一部として使用される可能性がある。世界中に張り巡らされた約200本の海底ケーブルを含む中核的なインターネット・インフラについては、物理的な妨害行為が最も顕著なリスクである。衛星ネットワークに関する最も高いリスクは、低コストで簡単に組織化できる信号妨害である。 |
For the electricity sector, the highest identified risks concern entities directly connected to the electricity grid (including gas infrastructure). The most salient threats are insiders who either work for hostile actors and infiltrate organisations, or are manipulated via social engineering, along with cyberattacks from the outside, where ransomware and malware are used to gain control over, or otherwise disrupt, operational technology relied on by gas producers and electricity generators. Additionally, espionage is an important risk for the energy sector, for two reasons: first, there are large amounts of sensitive intellectual property in the sector and, second, the sector attracts considerable pre-positioning activity by advanced threat actors with the aim of later executing destructive attacks. | 電力分野では、電力網(ガスインフラを含む)に直結する事業体に関するリスクが最も高いことが確認されている。最も顕著な脅威は、敵対的な行為者のために働き、組織に潜入するか、ソーシャル・エンジニアリングによって操られる内部関係者であり、外部からのサイバー攻撃では、ランサムウェアやマルウェアが、ガス製造業者や発電事業者が信頼する運用技術を制御したり、そうでなければ混乱させるために使用される。第一に、エネルギー分野には機密性の高い知的財産が大量に存在すること、第二に、エネルギー分野は、後に破壊的な攻撃を実行することを目的とした高度な脅威行為者による事前準備活動をかなり誘引していることである。 |
Ten risk scenarios have been developed for use in both EU and national risk preparedness exercises on the basis of the results. The scenarios reflect the most salient risks across a wide range of subsectors and are designed to stress test current preparedness measures. | この結果に基づいて、EUと各国のリスク対策演習で使用するための10のリスクシナリオが作成された。シナリオは、幅広いサブ分野にまたがる最も顕著なリスクを反映しており、現在の準備態勢をストレステストするように設計されている。 |
The conclusions include 17 suggestions over four areas of improvement for the civilian electricity and telecommunications sectors’ overall cybersecurity posture and resilience, collective intelligence, cross-sectoral crisis management and follow-up risk assessments. They take into account recent policy and legislative developments: notably, the adoption of the Cyber Resilience Act will create conditions for the development of secure products with digital elements by ensuring that hardware and software products are placed on the market with fewer vulnerabilities and ensure that manufacturers take security seriously throughout a product’s life cycle. | 結論には、民間の電力・通信分野の全体的なサイバーセキュリティ態勢と回復力、集合的インテリジェンス、分野横断的な危機管理、フォローアップのリスク評価に関する4つの改善分野にわたる17の提案が含まれている。特に、サイバーレジリエンス法の採択は、ハードウェアやソフトウェア製品がより脆弱性の少ない状態で市場に投入され、製造業者が製品のライフサイクルを通じてセキュリティに真剣に取り組むようにすることで、デジタル要素を含む安全な製品を開発するための条件を整えることになる。 |
Member States and cyber networks are recommended to take this report into account when organising their future risk preparedness exercises. This includes any national and EU-level risk assessments, as well as organisational readiness exercises and stress testing of critical infrastructures in the electricity and/or telecommunications sectors. | 加盟国およびサイバーネットワークは、今後リスク準備演習を実施する際には、本報告書を考慮することが推奨される。これには、国レベルおよびEUレベルのリスクアセスメント、組織的な準備演習、電力・通信分野の重要インフラのストレステストなどが含まれる。 |
« 米国 司法省監察官室 米国の選挙に対する外国の悪質な影響力の脅威に関する情報共有を調整するための司法省の取り組みの評価 | Main | 米国 国家情報長官室(ODNI) NCSC他 米国の新興技術企業への外国の脅威行為者による投資についての警告 »
Comments