ENISA 年次報告書 - 2023年トラストサービス・セキュリティ・インシデント (2024.12.20)

こんにちは、丸山満彦です。

ENISAがトラストサービス・セキュリティインシデント 2023年を公表していました。。。EUのトラストサービス部門のセキュリティインシデント報告が公表されていましたね。。。今年で7年目でEU27カ国とEEA3カ国が参加しています。。。
2023年に通知された違反の集計概要を提供し、根本原因、統計、傾向を分析したもののようですね。。。

1年前の話ですが、ENISAが各国から情報を受け取るのが定期的なので、分析期間も含めると、時間がたった報告書になってしまいますね...

なお、分析はENISAのCIRAS（the Cybersecurity Incident Reporting and Analysis System）でみることができます...

各企業でこれから、サイバーダッシュボードを作成する企業が増えてくると思いますが、CIRASのダッシュボードを参考にしてもよいかもです...

 

● ENISA

・2024.12.20 Annual Report - Trust Services Security Incidents 2023

Annual Report - Trust Services Security Incidents 2023	年次報告書 - 2023年トラストサービス・セキュリティ・インシデント
ENISA’s 2023 report on trust services security incidents provides the seventh round of security incident reporting for the EU’s trust services sector, analysing root causes, statistics and trends. It is an aggregated overview of the reported breaches for 2023 as conveyed to ENISA and the Commission by 27 EU Member States and 3 EEA countries.	ENISAのトラストサービス・セキュリティ・インシデントに関する2023年版報告書は、EUのトラストサービス部門に関する第7回目のセキュリティ・インシデント報告であり、根本原因、統計、傾向を分析している。本報告書は、EU加盟27カ国およびEEA3カ国からENISAおよび欧州委員会に報告された2023年のセキュリティ侵害の概要をまとめたものである。

 

・[PDF]

仮対訳...

 

・CIRAS

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.12.09 ENISA トラストサービス・セキュリティインシデント 2022年 (2023.11.30)

 

---

 

仮対訳...

 

 

本文...

ANNUAL REPORT: TRUST SERVICES SECURITY INCIDENTS 2023	年次報告書：トラストサービスセキュリティインシデント 2023年
Dec-24	2024年12月
TABLE OF CONTENTS	目次
1. INTRODUCTION	1. 序文
1.1 SCOPE	1.1 範囲
1.2 EIDAS REGULATION 5	1.2 EIDAS規則 5
1.3 DISCLAIMER	1.3 免責事項
1.4 STRUCTURE	1.4 構成
2. INCIDENT REPORTING FRAMEWORK	2. インシデント報告の枠組み
2.1 OVERVIEW OF INCIDENT REPORTING PROCESS	2.1 インシデント報告プロセスの概要
2.2 INCIDENT REPORTING TOOL	2.2 インシデント報告ツール
2.3 ANONYMISED EXAMPLES OF SECURITY INCIDENTS 8	2.3 匿名化されたセキュリティインシデントの例 8
3. INCIDENT ANALYSIS	3. インシデント分析
3.1 ROOT CAUSE CATEGORIES	3.1 根本原因カテゴリー
3.2 DETAILED CAUSES	3.2 詳細な原因
3.3 TYPES OF TRUST SERVICES AFFECTED	3.3 影響を受けるトラストサービスの種類
3.4 QUALIFIED SERVICES VERSUS NON-QUALIFIED SERVICES	3.4 適格サービスと非適格サービス
4. MULTIANNUAL TRENDS 2016–2023	4. 複数年トレンド 2016～2023年
4.1 MULTIANNUAL TREND IN ROOT CAUSE CATEGORIES	4.1 根本原因カテゴリーにおける複数年トレンド
4.2 MULTIANNUAL TREND IN SEVERITY OF IMPACT	4.2 影響の深刻度における複数年トレンド
4.3 MULTIANNUAL TREND IN IMPACT ON SERVICES	4.3 サービスへの影響における複数年トレンド
5. CONCLUSIONS	5. 結論
EXECUTIVE SUMMARY	エグゼクティブサマリー
Every year national supervisory bodies must send annual summary reports about the notified breaches to ENISA and the Commission.	毎年、各国の監督団体は、被認定の違反に関する年次サマリー報告書をENISAおよび欧州委員会に送付しなければならない。
ENISA’s 2023 report on trust services security incidents provides the seventh round of security incident reporting for the EU’s trust services sector, analysing root causes, statistics and trends.	ENISAの2023年のトラストサービス・セキュリティインシデントに関する報告書は、EUのトラストサービス部門における7回目のセキュリティインシデント報告書であり、根本原因、統計、傾向を分析している。
It is an aggregated overview of the reported breaches for 2023 as conveyed to ENISA and the Commission by 27 EU Member States and 3 EEA countries.	これは、EU加盟27カ国および欧州経済領域（EEA）加盟3カ国からENISAおよび欧州委員会に報告された2023年のセキュリティ侵害に関する概要をまとめたものである。
In 2023, a total of 63 incidents were reported and analysed (1).	2023年には、合計63件のインシデントが報告され、分析された（1）。
Key findings from the 2023 incident reports are summarised in the following list of points.	2023年のインシデント報告書の主な調査結果は、以下の項目にまとめられている。
• Two thirds of EU supervisory bodies (SBs) – 18 out of 27 – sent their respective reports with 0 incidents reported (2).	EU監督機関（SB）の3分の2にあたる27カ国のうち18カ国は、インシデントの報告がゼロの報告書を提出した（2）。
• Reported incidents increased by 80 % to a total of 63 incidents, compared with 35 in 2022 (3).	報告されたインシデントは、2022年の35件から80%増加し、合計63件となった（3）。
• The number of incidents caused by malicious actions – 9 – has increased since 2022 – 5 –, reaching the same level as in 2021. However, with 14 % of the total, it remains a constant percentage since 2022 for this root cause.	悪意のある行為によるインシデントの数は9件で、2022年の5件から増加し、2021年と同水準となった。しかし、全体の14%を占めており、この根本原因については2022年以降、一定の割合を維持している。
• The overall impact of the incidents amounted to 3 184 million user hours lost, compared with 405 million in 2022. 3 140 million hours were lost due to malicious actions, amounting to 98 % of the total (4). One million hours were lost due to system failures and 43 million hours due to human errors (5).	• インシデントの全体的な影響は、2022年の4億500万ユーザー時間から、31億8400万ユーザー時間に増加した。悪意のある行為による損失時間は31億4000万時間で、全体の98％を占めた（4）。システム障害による損失時間は100万時間、ヒューマンエラーによる損失時間は4300万時間であった（5）。
• In terms of impact, in all four categories – no impact, minor, large, very large – the number of incidents almost doubled:	• 影響の観点では、影響なし、軽微、重大、非常に重大の4つのカテゴリーすべてにおいて、インシデント件数はほぼ倍増した。
- in 2023, 5 incidents with no impact were reported, 35 with minor impact, 18 large incidents and 5 very large incidents;	・2023年には、影響なしのインシデントが5件、軽微な影響のインシデントが35件、重大なインシデントが18件、非常に重大なインシデントが5件報告された。
- the number of incidents with minor impact has almost doubled compared with 2022, but remains in line with data from previous years;	・軽微な影響のインシデント件数は2022年と比較してほぼ倍増したが、前年までのデータと比較するとほぼ同水準である。
- the number of large and very large incidents has continued to increase.	・大規模および超大型インシデントの数は増加し続けている。
Highlights 2023	2023年のハイライト
The number of reported incidents increased by 80 %.	報告されたインシデントの数は80%増加した。
The number of incidents with minor impact has increased and five very large incidents were reported.	軽微な影響のインシデントの数は増加し、5件の超大型インシデントが報告された。
As in previous years, most reported incidents concern qualified certificates (95 %).	例年通り、報告されたインシデントのほとんどは有効な証明書に関するもの（95%）であった。
System failures account for more than half of incidents and have been the dominant root cause for the last 8 years of incident reporting.	システム障害はインシデントの半分以上を占め、過去8年間のインシデント報告において支配的な根本原因となっている。
2023 witnessed an increase in the number of incidents caused by malicious actions	2023年には、悪意のある行為によるインシデントの数が増加し、
affecting, in particular, the number of user hours lost (98 %).	特にユーザーの損失時間数（98%）に影響を与えた。
(1) One type D incident, which is not analysed here, was reported under eIDAS in 2023. Type D: threat or vulnerability.    For instance, the discovery of a cryptographic weakness would be categorised as a type D incident.	(1) ここでは分析対象外のタイプDインシデントが、2023年にeIDASで報告された。タイプD：脅威または脆弱性。例えば、暗号の脆弱性が発見された場合、タイプDインシデントに分類される。
(2) 2022:13/27; 2021: 17/27; 2020: 19/27; 2019: 17/27; 2018: 18/27; 2017: 17/27; 2016: 26/27.	(2) 2022年：13/27、2021年：17/27、2020年：19/27、2019年：17/27、2018年：18/27、2017年：17/27、2016年：26/27。
(3) Among them, 46 incidents occurred in 9 EU SBs and 21 in SBs from EEA countries.	(3) そのうち、EU加盟国のSBで46件、EEA加盟国のSBで21件のインシデントが発生した。
(4) In 2022 it was 0 million.	(4) 2022年には0件であった。
(5) In 2022 it was 34 million and 371 million, respectively.	(5) 2022年にはそれぞれ34百万件、371百万件であった。
1 INTRODUCTION	1 序文
1.1 SCOPE	1.1 適用範囲
Under Article 19 of the eIDAS regulation (6), trust service providers (TSPs) in the EU have to notify their national supervisory bodies of any security incidents. The supervisory bodies send summaries of these incident reports to the European Union Agency for Cybersecurity (ENISA) on an annual basis. Subsequently, ENISA publishes an aggregated overview of the reported security incidents.	eIDAS規則（6）第19条に基づき、EUのトラストサービス・プロバイダ（TSP）は、セキュリティインシデントを各国の監督団体に通知しなければならない。監督団体は、これらのインシデント報告の概要を毎年欧州連合サイバーセキュリティ機関（ENISA）に送付する。その後、ENISAは報告されたセキュリティインシデントの概要を公表する。
ENISA publishes detailed statistics about trust services security incidents in an online visual tool, ENISA’s cybersecurity incident reporting and analysis system (CIRAS) (7). This tool allows for a custom analysis of trends and patterns and supports the quantitative and qualitative analysis of the data collected.	ENISAは、オンラインの視覚ツールであるENISAのサイバーセキュリティインシデント報告・分析システム（CIRAS）で、トラストサービスのセキュリティインシデントに関する詳細な統計を公開している（7）。このツールでは、傾向やパターンをカスタマイズして分析することができ、収集したデータの定量的および定性的分析をサポートする。
This document gives an aggregate overview of the security incident reports submitted by the supervisory bodies during 2023. This annual report marks the seventh round of security incident reporting in the EU’s trust services sector, covering security incidents that occurred in 2023.	本書では、2023年に監督団体から提出されたセキュリティインシデント報告の概要をまとめる。本年次報告書は、EUのトラストサービス分野における7回目のセキュリティインシデント報告であり、2023年に発生したセキュリティインシデントをカバーする。
1.2 EIDAS REGULATION	1.2 EIDAS規則
The EU Regulation 910/2014 (eIDAS) sets rules for electronic identity schemes and trust services in Europe, national electronic identification schemes, cross-border interoperability and recognition. Article 19 sets the obligation for qualified and non-qualified trust service providers (TSPs) to report any breach of security or loss of integrity that has a significant impact on the trust service provided or on the personal data maintained therein.	EU規則910/2014（eIDAS）は、欧州における電子IDスキームおよびトラストサービス、各国の電子IDスキーム、国境を越えた相互運用性および承認に関する規則を定めている。第19条では、適格および非適格トラストサービス・プロバイダ（TSP）が、提供するトラストサービスまたはそこに保管されている個人データに重大な影響を及ぼすセキュリティ侵害または完全性の喪失を報告する義務を定めている。
The eIDAS regulation aims to:	eIDAS規則の目的は以下の通りである。
• ensure that electronic signatures can have the same legal standing as traditional signatures;	• 電子署名が従来の署名と同等の法的地位を持つことを保証する。
• remove barriers to electronic commerce and all types of electronic transactions in the EU, with a view to building a European internal market for trust services	• EUにおける電子商取引およびあらゆる種類の電子取引の障壁を取り除くことで、トラストサービスにおける欧州域内市場の構築を目指す。
• by ensuring that they will work across borders and have the same legal status as their traditional paperbased equivalents.	• 電子署名が国境を越えて機能し、従来の紙ベースの署名と同等の法的地位を持つことを保証する。
1.3 DISCLAIMER	1.3 免責事項
As per Article 19, this document only contains aggregated and anonymised information about incidents and does not include details about individual countries or individual TSPs.	第19条に従い、本書にはインシデントに関する集計および匿名化された情報のみが記載されており、個々の国または個々のTSPに関する詳細情報は含まれていない。
1.4 STRUCTURE	1.4 構成
This document is structured as follows:	本書は以下の構成となっている。
- Section 2 briefly reviews the processes, incl. CIRAS tool and describes anonymised examples of reported incidents;	・第2章では、CIRASツールを含むプロセスを簡単にレビューし、報告されたインシデントの匿名化された事例を説明する。
- Section 3 presents the categories of root causes, the detailed causes and the affected services; - Section 4 describes the multiannual trends in incidents from 2016-2023; - Section 5 draws conclusions and observations based on the available datasets.	・第3章では、根本原因のカテゴリー、詳細な原因、影響を受けたサービスについて説明する。 - 第4章では、2016年から2023年までのインシデントの複数年トレンドについて説明する。 - 第5章では、入手可能なデータセットに基づいて結論と所見を導き出す。
(6) Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC  [web]	(6) 2014年7月23日付欧州議会および理事会規則（EU）第910/2014号、域内市場における電子商取引のための電子識別およびトラストサービスに関する規則、および指令1999/93/ECの廃止 [web]
(7)[web]	(7)[web]
2. INCIDENT REPORTING FRAMEWORK	2. インシデント報告の枠組み
In this section, we give an overview of the formats and procedures for the reporting of incidents (breaches) under Article 19 of the eIDAS regulation.	このセクションでは、eIDAS規則第19条に基づくインシデント（違反）の報告の形式と手順の概要を説明する。
2.1 OVERVIEW OF INCIDENT REPORTING PROCESS	2.1 インシデント報告プロセスの概要
The mandatory security breach notification process has three steps, as displayed in Figure A.	セキュリティ侵害の通知に関する必須プロセスは、図Aに示されているように、3つのステップから構成される。
1. TSPs notify their national supervisory body about security breaches that have significant impact.	1. TSPは、重大な影響を及ぼすセキュリティ侵害について、自国の監督機関に通知する。
2. National supervisory bodies inform each other and ENISA if there is a cross-border impact.	2. 国の監督機関は、国境を越えた影響がある場合は、相互に、およびENISAに通知する。
3. National supervisory bodies send annual summary reports about the reported breaches to ENISA and the Commission.	3. 国の監督機関は、報告されたセキュリティ侵害に関する年次要約報告書をENISAおよび委員会に送付する。
eIDAS	eIDAS
Article 19 requires TSPs in the EU to:	第19条では、EU内のTSPに対して、
1) assess risks;	1) リスクアセスメント、
2) take appropriate security measures to mitigate security breaches; and	2) セキュリティ侵害を緩和するための適切なセキュリティ対策の実施、
3) report breaches to national supervisory bodies.	3) セキュリティ侵害の各国監督団体への報告を義務付けている。
Figure A. Security breach notification process	図A. セキュリティ侵害の通知プロセス
2.2 INCIDENT REPORTING TOOL	2.2 インシデント報告ツール
Experts from national authorities have access to CIRAS, ENISA’s incident reporting tool, where they can upload incident reports and search for and study specific incidents.	各国当局の専門家は、ENISA のインシデント報告ツールである CIRAS にアクセスでき、そこからインシデント報告をアップロードしたり、特定のインシデントを検索したり調査したりすることができる。
ENISA reporting template starts with a type selector and contains three parts.	ENISA の報告テンプレートは、タイプ選択から始まり、3つの部分から構成されている。
1. Impact of the incident: which trust services are impacted and by how much?	1. インシデントの影響：どのトラストサービスがどの程度影響を受けたか？
2. Nature of the incident: what caused the incident?	2. インシデントの性質：何が原因でインシデントが発生したか？
3. Details about the incident: short description, types of services and assets, severity level, etc.	3. インシデントの詳細：簡単な説明、サービスおよび資産の種類、深刻度レベルなど。
Figure B. Incident reporting tool	図B. インシデント報告ツール
▪ Type A: service outage (e.g. continuity, availability). For example, an outage caused by a cable being cut by mistake by the operator of an excavation machine used for building a new road would be categorised as a type A incident.	▪ タイプA：サービス停止（継続性、可用性など）：例えば、道路建設用の掘削機のオペレーターが誤ってケーブルを切断したために発生したサービス停止は、タイプ A のインシデントに分類される。
▪ Type B: other impact on service (e.g. confidentiality, authenticity, integrity). For example, a popular collaboration tool has not encrypted the content of the media channels which are established when a session is started between the endpoints participating in the shared session. This leads to the interception of the media (voice, pictures, video, files, etc.) through a man-in-the-middle attack. This incident would be categorised as a type B incident.	▪ タイプB：サービスへのその他の影響（例：機密性、真正性、完全性）。例えば、人気のコラボレーションツールが、共有セッションに参加するエンドポイント間でセッションが開始された際に確立されるメディアチャネルのコンテンツを暗号化していない場合。これにより、中間者攻撃によってメディア（音声、画像、動画、ファイルなど）が傍受される可能性がある。このインシデントはタイプBに分類される。
▪ Type C: impact on other systems (e.g. ransomware in an office network, no impact on the service). For example, malware is detected on several workstations and servers of the office network of a telecom provider. This incident would be categorised as a type C incident.	▪ タイプC：他のシステムへの影響（例：オフィスネットワークにおけるランサムウェア、サービスへの影響なし）。例えば、通信プロバイダのオフィスネットワークの複数のワークステーションやサーバー上でマルウェアが検知された場合。このインシデントはタイプCのインシデントに分類される。
▪ Type D: threat or vulnerability (e.g. discovery of crypto flaw). For instance, the discovery of a cryptographic weakness would be categorised as a type D incident.	▪ タイプD：脅威または脆弱性（暗号の欠陥の発見など）。例えば、暗号の脆弱性が発見された場合は、タイプDのインシデントに分類される。
▪ Type E: impact on redundancy (e.g. failover or backup system). For example, the breaking of one of two redundant submarine cables would be categorised as a type E incident.	▪ タイプE：冗長性への影響（フェイルオーバーまたはバックアップシステムなど）。例えば、2本の冗長海底ケーブルのうちの1本が切断された場合は、タイプEのインシデントに分類される。
▪ Type F: near-miss incident (e.g. activation of security measures). For instance, a malicious attempt that ends up in the honeypot network of a telecom provider would be categorised as a type F incident.	▪ タイプF：ニアミスインシデント（例：セキュリティ対策の起動）。例えば、通信プロバイダのハニーポットネットワークで終わる悪意のある試みは、タイプFのインシデントとして分類される。
Depending on the type selected, some fields in the template are deactivated. For example, in the case of a Type A incident, the fields ‘threat severity factors’ and ‘severity of threat’ are not active.	選択したタイプに応じて、テンプレートのいくつかのフィールドは非アクティブ化される。例えば、タイプAのインシデントの場合、「脅威の深刻度要因」および「脅威の深刻度」のフィールドはアクティブ化されない。
2.3 ANONYMISED EXAMPLES OF SECURITY INCIDENTS	2.3 匿名化されたセキュリティインシデントの例
In this paragraph, some kinds of incidents that are reported are presented by providing detailed and anonymised examples.	この段落では、報告されたインシデントのいくつかの種類について、詳細かつ匿名化された例を挙げて説明する。
Incident example 1:	インシデントの例 1:
Incident type: A – core service outage	インシデントの種類: A - コアサービスの停止
Service affected: e-signature, e-seal, e-timestamp	影響を受けたサービス: 電子署名、電子捺印、電子タイムスタンプ
Root cause: System failure	根本原因: システム障害
Technical causes: Overload	技術的原因: 過負荷
Assets affected: Generation (signatures, seals and timestamps)	影響を受けた資産：署名、電子印、タイムスタンプの生成
Certificate management (registration and creation of certificates, suspension, revocation) Validation	証明書管理（証明書の登録および作成、一時停止、失効） 妥当性確認
Comment: Unavailability of the e-signature/e-seal/e-timestamp services due to a backend system overload.	コメント：バックエンドシステムの過負荷により、電子署名/電子印/電子タイムスタンプサービスが利用できなくなった。
Incident example 2:	インシデント例2：
Incident type: A – core service outage	インシデントの種類：A - コアサービスの停止
Service affected: e-signature, e-seal	影響を受けたサービス：電子署名、電子印
Root cause: Malicious actions	根本原因：悪意のある行為
Technical causes: Ransomware	技術的原因：ランサムウェア
Assets affected: Certification authority (CA) platform; generation and validation of signatures/seals platform; network platform	影響を受けた資産：認証局（CA）プラットフォーム、署名/電子印の生成および妥当性確認プラットフォーム、ネットワークプラットフォーム
Comment: Provider suffered a ransomware attack, but no systems supporting trust services were affected. As a precaution, all systems were disconnected from the network.	コメント：プロバイダはランサムウェア攻撃を受けたが、トラストサービスをサポートするシステムは影響を受けなかった。予防措置として、すべてのシステムがネットワークから切断された。
No certificates had to be revoked.	証明書の失効は必要なかった。
Incident example 3:	インシデント例3：
Incident type: A – core service outage	インシデントのタイプ：A - コアサービスの停止
Service affected: e-signature, e-timestamp	影響を受けたサービス：電子署名、電子タイムスタンプ
Root cause: System failure	根本原因：システム障害
Technical causes: Software bug; configuration issue	技術的原因：ソフトウェアのバグ、設定の問題
Assets affected: Generation and validation of signatures/seals platform; software	影響を受けた資産：署名/タイムスタンププラットフォームの生成および妥当性確認、ソフトウェア
Comment: An issue with the configuration of a supporting system led to the loss of availability of the e-signature and e-timestamp services.	コメント：サポートシステムの構成の問題により、電子署名および電子タイムスタンプサービスの可用性が失われた。
Incident example 4:	インシデントの例4：
Incident type: B – other impact on core service	インシデントのタイプ：B - その他のコアサービスへの影響
Service affected: e-signature	影響を受けたサービス：電子署名
Root cause: Malicious actions	根本原因：悪意のある行為
Technical causes: Malware and viruses	技術的原因：マルウェアおよびウイルス
Assets affected: Generation and validation of signatures/seals platform	影響を受けた資産：署名/シールプラットフォームの生成および妥当性確認
Comment: The incident concerns the leak of credentials for qualified signatures. The affected qualified certificates were revoked and users informed.	コメント：このインシデントは、適格署名の認証情報の漏洩に関するものである。影響を受けた適格証明書は失効され、ユーザーに通知された。
Incident example 5:	インシデントの例5：
Incident type: D – active threat or vulnerability	インシデントのタイプ：D – 活動中の脅威または脆弱性
Service affected: Generation of signatures/seals platform	影響を受けたサービス：署名/シール生成プラットフォーム
Root cause: Human errors	根本原因：人的エラー
Technical causes: Faulty software change/update malware and viruses	技術的原因：ソフトウェア変更/更新の不具合によるマルウェアおよびウイルス
Assets affected: Software	影響を受けた資産：ソフトウェア
Comment: Potential malware in qualified signature creation device middleware, which was removed immediately after notification.	コメント：適格署名作成デバイス・ミドルウェアに潜在するマルウェアの可能性があり、通知後ただちに除去された。
3. INCIDENT ANALYSIS	3. インシデント分析
The 2023 annual summary reporting, by the 27 EU Member States and 3 EEA countries participating in this process, included in total 63 security incidents. This is the seventh round of annual summary reporting since eIDAS came into force on 1 July 2016.	このプロセスに参加したEU加盟国27カ国およびEEA加盟国3カ国による2023年の年次報告書では、合計63件のセキュリティインシデントが報告された。これは、2016年7月1日にeIDASが施行されて以来、7回目の年次報告書となる。
Figure 1. Number of reported incidents from 2016–2023	図1. 2016年から2023年までの報告されたインシデントの件数
In 2023, the number of incidents increased by 80 %, despite the 25 % decrease in reported incidents in 2022. However, this 2023 data is aligning with the trend observed over the period analysed.	2022年には報告されたインシデント数が25%減少したにもかかわらず、2023年にはインシデント数が80%増加した。しかし、この2023年のデータは分析された期間にわたって観察された傾向と一致している。
3.1 ROOT CAUSE CATEGORIES	3.1 根本原因カテゴリー
Figure 2 shows the distribution of the incidents according to their underlying root cause.	図2は、根本的な原因別に分類したインシデントの分布を示している。
The overall impact of the incidents amounted to 3 184 million user hours lost, one million hours of which reflected system failures, 43 million hours human errors and 3 140 million hours malicious actions.	インシデントによる全体的な影響は、31億8400万ユーザー時間の損失となり、そのうち100万時間はシステム障害、4300万時間はヒューマンエラー、31億4000万時間は悪意のある行為によるものだった。
Incidents are divided into four categories of root causes.	インシデントは根本原因の4つのカテゴリーに分類される。
• System failures continue to be the dominant root cause, accounting for more than half of total trust services incidents reported (63 %, 40 incidents). Typically, system failures are due to either hardware failures or software bugs.	• システム障害は依然として最も多い根本原因であり、報告されたトラストサービスインシデントの半分以上を占めている（63%、40件）。通常、システム障害はハードウェアの故障またはソフトウェアのバグが原因である。
• With 14 incidents, 22 % of incidents were categorised as being caused by human errors.	• 14件のインシデント、つまりインシデント全体の22%は、人的エラーによるものと分類された。
• With nine incidents, 14 % of the incidents were flagged as malicious actions.	• 9件のインシデント、つまりインシデント全体の14%は、悪意のある行為によるものと分類された。
• Natural phenomena did not account for any of the reported incidents.	• 自然現象によるインシデントは報告されていない。
Figure 2. Root causes of TSP security incidents – 2023	図2. TSPセキュリティインシデントの根本原因 - 2023年
We also keep track of third-party failures, i.e. when the incident really originated from a third party, with a view to assessing the impact on the supplier or the provider. For 2023, 19 incidents out of 63 were flagged as third-party failures (33 %). Out of those reported in 2023:	また、インシデントが実際にサードパーティに起因するものである場合、すなわちサードパーティの障害についても追跡調査を行い、サプライヤまたはプロバイダへの影響をアセスメントする。2023年には、63件のインシデントのうち19件がサードパーティの障害として分類された（33％）。2023年に報告されたインシデントのうち、
- 15 out of 19 were categorised as system failures (40);	- 19件のうち15件はシステム障害（40％）として分類された。
- 2 out of 19 were categorised as being caused by human errors (14); and	- 19件中2件は、人的エラーによるものと分類された（14%）。
- 2 out of 19 were categorised as malicious actions (9).	- 19件中2件は、悪意のある行為によるものと分類された（9%）。
3.2 DETAILED CAUSES	3.2 詳細な原因
It is important to note that an incident is often not only triggered by one cause (8) but by multiple detailed causes (i.e. a chain of events).	インシデントは、1つの原因（8）だけでなく、複数の詳細な原因（一連の出来事）によって引き起こされることが多い点に留意することが重要である。
The two most common detailed causes of incidents in 2023 were faulty software changes/updates (20 %) and software bugs (17 %). Flaws in the organisation’s policy or procedures and faulty hardware changes/updates each account for around 15 % of the incidents, and hardware failures for 14 %. Note that the category ‘Other’ with 15 % is not defined in the dataset.	2023年に発生したインシデントの最も一般的な詳細原因は、ソフトウェアの変更/アップデートの不具合（20%）とソフトウェアのバグ（17%）であった。 組織のポリシーや手順の欠陥、およびハードウェアの変更/アップデートの不具合はそれぞれインシデントの約15%を占め、ハードウェアの故障は14%であった。 カテゴリー「その他」は15%を占めるが、データセットでは定義されていないことに注意が必要である。
Moreover, supply-chain causes (9), which were first introduced 2 years ago, accounted for 6 % of reported incidents in 2023 (8 % in 2022). A percentage equivalent was found for the faulty hardware change/update and distributed denial-of-service (DDoS) attacks.	さらに、2年前に初めて登場したサプライチェーンが原因（9）は、2023年に報告されたインシデントの6％を占めた（2022年は8％）。同等の割合は、ハードウェアの変更/更新の不具合と分散型サービス拒否（DDoS）攻撃でも確認された。
The full breakdown of detailed causes for reported incidents can be seen in Figure 3.	報告されたインシデントの詳細な原因の全内訳は、図3を参照のこと。
Figure 3. Detailed causes of trust services security incidents – 2023	図3：トラストサービスセキュリティインシデントの詳細な原因 - 2023年
3.3 TYPES OF TRUST SERVICES AFFECTED	3.3 影響を受けたトラストサービスの種類
The most commonly affected services are e-signatures, e-seals and e-stamps.	最も影響を受けたサービスは、電子署名、電子シール、電子スタンプである。
Most of the reported incidents (95 %) had an impact on electronic signatures (10), as can be seen in Figure 4, compared with 82 % in 2022. Among them, 65 % were related to system failures, 22 % to human errors and 13 % to malicious actions.	報告されたインシデントのほとんど（95%）は、電子署名（10）に影響を与えており、図4に示されているように、2022年の82%と比較すると、その割合は高くなっている。そのうち、65%はシステム障害、22%は人的エラー、13%は悪意のある行為に関連していた。
Interestingly, 26 % of incidents reported affected electronic seals (11), compared with 14 % in 2022. Among them, 76 % were related to system failures, 12 % to human errors and 12 % to malicious actions.	興味深いことに、報告されたインシデントの26%が電子シール（11）に影響を与えたと報告されており、これは2022年の14%と比較すると高い割合である。そのうち、76%がシステム障害、12%がヒューマンエラー、12%が悪意のある行為に関連していた。
Electronic timestamps make up 12 % of the total.	電子タイムスタンプは全体の12%を占めている。
Figure 4. Impact of incidents on trust services – 2023	図4. トラストサービスへのインシデントの影響 – 2023年
Please note that several incidents affected multiple services, hence the numbers in the figure adding up to more than 100 %.	複数のインシデントが複数のサービスに影響を与えているため、図の数値の合計は100%を超えることに注意されたい。
In Figure 5, for each incident we kept track of the underlying subservices affected in 2023, i.e. certificate management, validation and generation of signatures/seals/timestamps.	図5では、各インシデントについて、2023年に影響を受けた基本的なサブサービス、すなわち証明書管理、署名/シール/タイムスタンプの妥当性確認および生成を追跡した。
- Incidents most frequently affected certificate management: 49 of 63, representing 77.77 % (71.43 % in 2022 and 63.04 % in 2021).	- 最も頻繁に証明書管理に影響を与えたインシデント：63件中49件、77.77%（2022年は71.43%、2021年は63.04%）を占めた。
- Incidents affecting the generation of signatures/seals/timestamps continued to decrease, reaching 39.68 % (42.86 % in 2022).	- 署名/シール/タイムスタンプの生成に影響を与えたインシデントは引き続き減少しており、39.68%（2022年は42.86%）となった。
- Incidents affecting the validation subservice accounted for 14.28 % of the total in 2023 (17.14 % in 2022 and 15.22 % in 2021).	- 2023年には、妥当性確認サブサービスに影響を及ぼすインシデントが全体の14.28%を占めた（2022年は17.14%、2021年は15.22%）。
Once again, impact on multiple subservices may be reported for incidents, hence the numbers in Figure 5 adding up to more than 100 %.	繰り返しになるが、インシデントについては複数のサブサービスに影響が及ぶ可能性があるため、図5の数値は合計すると100%を超える。
Figure 5. Impact of incidents on subservices – 2023	図5. サブサービスへのインシデントの影響 - 2023年
Please note that several incidents affected multiple services, hence the numbers in the figure adding up to more than 100 %.	複数のインシデントが複数のサービスに影響を与えているため、図の数値の合計が100％を超えることに注意されたい。
Finally, we also keep track of the underlying assets affected by incidents.	最後に、インシデントの影響を受けた基盤となる資産についても追跡している。
- The CA platform (43 %, compared with 33 % in 2022).	・CAプラットフォーム（43％、2022年は33％）。
- The generation and validation of the signatures/seals platform (29 %, compared with 45 % in 2022).	・署名/シール生成および妥当性確認プラットフォーム（29%、2022年は45%）
- The network platform (24 %, compared with 11 % in 2022).	・ネットワークプラットフォーム（24%、2022年は11%）
- The registration authority’s platform (21 %, a constant).	・登録局プラットフォーム（21%、一定）
- Software assets represented 8 % of affected assets over the reported period.	・報告期間中、ソフトウェア資産は影響を受けた資産の8%を占めた。
The dispersion of affected assets calls for a comprehensive approach when it comes to the security of trust services, taking into account assets from across the entire life cycle and supply chain. See the impact on technical assets in Figure 6.	影響を受けた資産の分散は、ライフサイクル全体およびサプライチェーンにわたる資産を考慮した包括的なアプローチを、トラストサービスのセキュリティに求めることになる。 技術資産への影響については、図6を参照のこと。
Figure 6. Technical assets affected – TSP security incidents 2023	図6. 影響を受けた技術資産 - TSPセキュリティインシデント 2023年
By looking deeper into the affected technical assets, one can ascertain noteworthy differences between the corresponding technical causes, as detailed in Figure 7.	影響を受けた技術資産をさらに詳しく見ていくと、図7に示されているように、対応する技術的要因の間に顕著な違いがあることがわかる。
In the case of the platform for the generation and validation of signatures/seals, 38 % of the incidents report that flaws in policies and procedures were the main root cause in 2023, compared with 25 % in 2022. Software bugs account for 22 %.	署名/シールを生成および妥当性確認するためのプラットフォームの場合、2023年のインシデントの38%は、ポリシーおよび手順の欠陥が主な根本原因であったと報告している。これは2022年の25%と比較すると増加している。ソフトウェアのバグは22%を占めている。
Figure 7a - generation and validation of signatures/seals	図7a - 署名/シールの生成および妥当性確認
In the case of the CA’s platform, the three main root causes are flaws in processes/procedures (25 %), software bugs (18 %) an	CAのプラットフォームの場合、主な根本原因は、プロセス/手順の欠陥（25%）、ソフトウェアのバグ（18%）、
d faulty software changes/updates (18 %).	ソフトウェアの変更/更新の不具合（18%）である。
Figure 7b – CA’s platform	図7b – CAのプラットフォーム
The registration platform incidents have a lower percentage (15 %) of flaws in policies and procedures as their root cause, but higher percentages of faulty software changes/updates (23 %) and supply-chain and software bugs related incidents (15 %). Note that the column ‘Other’ with 23 % is not defined in the dataset. Figure 7c – Registration’s platform	登録プラットフォームのインシデントでは、ポリシーや手順の欠陥が根本原因である割合は15%と低いが、ソフトウェアの変更/更新の欠陥（23%）やサプライチェーンおよびソフトウェアのバグに関連するインシデント（15%）の割合は高い。「その他」の列は23%だが、データセットでは定義されていないことに注意。図7c – 登録プラットフォーム
The network platform has 20 % of DDoS attacks as a root cause, followed by 13 % of supply-chain attacks.	ネットワークプラットフォームが根本原因となっているDDoS攻撃は20%で、サプライチェーン攻撃が13%で続いている。
The category ‘Other’ with 26 % in this table is not defined in the dataset.	この表の「その他」カテゴリー（26%）は、データセットでは定義されていない。
Figure 7d. Network platform	図7d. ネットワークプラットフォーム
This comprehensive breakdown is extremely important to understand where emphasis should be prioritised when it comes to targeted security controls in the various technical assets of TSPs.	この包括的な内訳は、TSPのさまざまな技術的資産における標的型セキュリティ対策に重点を置くべきかを理解する上で極めて重要である。
3.4 QUALIFIED SERVICES VERSUS NON-QUALIFIED SERVICES	3.4 適格サービスと非適格サービス
This year nearly 84 % of total trust services security incidents had an impact on qualified services (i.e. qualified signature certificate creation, qualified seal certificate creation, etc.) with 85 qualified services and 6 non-qualified services. Again, it is important to note that one incident report could involve multiple trust services, which explains why the total number of incidents in Figure 8 adds up to more than 63 (i.e. the total number of incidents reported in 2023).	今年、トラストサービスセキュリティインシデントのほぼ84%が適格サービス（適格署名証明書の作成、適格印鑑証明書の作成など）に影響を与えており、適格サービス85件、非適格サービス6件であった。繰り返しになるが、1件のインシデント報告が複数のトラストサービスに関わる可能性があることに留意すべきである。これが、図8のインシデント総数が63件（すなわち、2023年に報告されたインシデント総数）を超える理由である。
Figure 8. Reported incidents affecting qualified v non-qualified services – 2023	図8. 適格サービスおよび非適格サービスに影響を及ぼす報告されたインシデント - 2023年
Note that, in most cases, the TSP reporting an incident also offers qualified services and that the impact on nonqualified services is usually reported as part of an incident report for a qualified trust service (hence the numbers adding up to more than 100 %). This suggests that there is a gap in the reporting and that, while Article 19 is also concerned with non-qualified services, only the TSPs offering qualified trust services are reporting incidents, and mostly do so for incidents that impact qualified services. Moreover, we need to underline a decrease in the number of non-qualified service incidents being reported compared with 2022 (7), which indicates the need to promote the importance of incident reporting to the respective providers.	ほとんどの場合、インシデントを報告するTSPは適格サービスも提供しており、非適格サービスへの影響は通常、適格トラストサービスのインシデント報告の一部として報告されることに留意されたい（そのため、合計数は100％を超える）。これは、報告にギャップがあることを示唆しており、第19条は非適格サービスにも関心を持っているが、適格トラストサービスを提供するTSPのみがインシデントを報告しており、そのほとんどは適格サービスに影響を与えるインシデントである。さらに、2022年と比較して、報告された非適格サービスのインシデント件数が減少していることを強調する必要がある（7）。これは、各プロバイダにインシデント報告の重要性を推進する必要性を示している。
(8) ‘Other’ is not defined here.	(8) 「その他」はここでは定義されていない。
(9) See ENISA Threat Landscape for Supply Chain Attacks (2021)    [web]	(9) ENISAのサプライチェーン攻撃に関する脅威の概観（2021年）を参照。 [web]
In 2022 only 8 % of the incidents were denoted as being supply-chain-related (6 % in 2021).	2022年には、インシデントのわずか8％がサプライチェーン関連とされた（2021年は6％）。
(10) Article 3(10) ‘electronic signature’ means data in electronic form which is attached to or logically associated with other data in electronic form and which is used by the signatory to sign.	(10) 第3条(10)「電子署名」とは、電子形式のデータで、他の電子形式のデータに添付されるか、または論理的に関連付けられ、署名者が署名を行うために使用するものを意味する。
(11) Article 1(25) ‘electronic seal’ means data in electronic form, which is attached to or logically associated with other data in electronic form to ensure the latter’s origin and integrity.	(11) 第1条(25)「電子シール」とは、電子形式のデータで、他の電子形式のデータに添付されるか、または論理的に関連付けられ、後者の真正性と完全性を確保するものを意味する。
4. MULTIANNUAL TRENDS 2016–2023	4. 複数年間の傾向 2016～2023年
ENISA has been collecting and aggregating trust services incident reports since 2016. In this section, we look at multiannual trends over the last 8 years, covering 2016–2023. The dataset contains a total of 244 reported incidents.	ENISAは2016年以降、トラストサービスに関するインシデント報告を収集・集計している。このセクションでは、2016～2023年を対象に、過去8年間の複数年間の傾向を分析する。データセットには、合計244件の報告されたインシデントが含まれている。
4.1 MULTIANNUAL TREND IN ROOT CAUSE CATEGORIES	4.1 根本原因カテゴリーの複数年トレンド
Root-cause categories, i.e. system failures, human errors, malicious actions and natural phenomena, are analysed over the period of reference (12).	根本原因カテゴリー、すなわちシステム障害、ヒューマンエラー、悪意のある行為、自然現象は、対象期間（12）にわたって分析されている。
From 2016–2023 system failures represented 57 % of all reported incidents, human errors represented 27 % of all reported incidents, 15 % involved malicious actions and 2 % natural phenomena, as displayed in Figure 9.	2016年から2023年の期間に報告されたインシデントの57%はシステム障害、27%はヒューマンエラー、15%は悪意のある行為、2%は自然現象によるものだった（図9参照）。
Figure 9. Nature of reported incidents – trust services security incidents in the EU (reported from 2016–2023)	図9. EUにおけるトラストサービスセキュリティインシデントの報告されたインシデントの性質（2016年から2023年に報告されたもの）
Over the period of reference, out of 244 incidents reported:	参照期間中に報告された244件のインシデントのうち、
- system failures accounted for 139 of all reported incidents,	- システム障害が報告されたインシデント全体の139件を占め、
- human errors accounted for 65 of all reported incidents,	- 人為的エラーが報告されたインシデント全体の65件を占め、
- 37 involved malicious actions, and	- 37件が悪意のある行為に関与し、
- 3 involved natural phenomena.	- 3件が自然現象に関与した。
Percentage trends of related incidents over the last 8 years are displayed in Figure 10, arranged by category.	過去8年間の関連インシデントの割合の傾向は、カテゴリー別に分類して図10に示されている。
Figure 10. Root-cause categories – trust services security incidents in the EU (reported from 2016–2023)	図10：EUにおけるトラストサービスセキュリティインシデントの根本原因カテゴリー（2016年～2023年に報告されたもの）
Over the last few years of trust services security incident reporting, the most common root cause has been system failures, with a total of 139 reported incidents. The percentage of system-failure-related incidents over the last 8 years has varied as follows: 100 % in 2016, 71.4 % in 2017, 44.4 % in 2018, 62.5 % in 2019, 52.8 % in 2020, 46.7 % in 2021, 57.1 % in 2022 and 63.5 % in 2023, representing an average of 57 % over the period analysed.	トラストサービスセキュリティインシデントの報告が寄せられたここ数年の間、最も多い根本原因はシステム障害であり、報告されたインシデントの合計は139件であった。過去8年間のシステム障害関連インシデントの割合は、以下のとおり変動している。2016年は100%、2017年は71.4%、2018年は44.4%、2019年は62.5%、2020年は52.8%、 2020年には46.7%、2021年には57.1%、2022年には63.5%となり、分析対象期間の平均は57%となる。
Moreover, incidents concerning human errors have remained constant since 2020 with an average of circa 14 incidents per year. In terms of percentage of total incidents, this data has been steadily decreasing over the last few years, from 38.9 % in 2020 to 31.1 % in 2021, 28.6 % in 2022 and 22.2 % in 2023.	さらに、ヒューマンエラーに関するインシデントは2020年以降一定しており、年間約14件のインシデントが発生している。インシデント総数に占める割合でみると、このデータはここ数年着実に減少しており、2020年の38.9%から、2021年には31.1%、2022年には28.6%、2023年には22.2%となっている。
In the trust services sector, natural phenomena are not a common root cause. From 2016–2023 only three incidents were reported, accounting for 1 % of the total. No such incidents were reported in 2022 or 2023.	トラストサービス部門では、自然現象は一般的な根本原因ではない。2016年から2023年の間に報告されたインシデントはわずか3件で、全体の1%を占めるに過ぎなかった。2022年と2023年には、そのようなインシデントは報告されていない。
Malicious actions vary across the years, with the peak of 38.9 % observed during 2018 and a value as low as 5.6 % recorded in 2020. In 2023, malicious actions were the root cause for 14.3 % of the reported incidents with nine incidents, likewise in 2022 with five incidents, and for 20 % of reported incidents in 2021 with nine incidents.	悪意のある行為は年によって異なり、2018年には38.9%のピークが観測され、2020年には5.6%という低い値が記録された。2023年には、悪意のある行為が報告されたインシデントの14.3%の原因となっており、9件のインシデントが発生している。2022年も同様に5件のインシデントが発生しており、2021年には報告されたインシデントの20%が原因となっており、9件のインシデントが発生している。
For the 37 incidents reported under the malicious actions category, the most common technical causes over the years are given in Figure 11.	悪意のある行為カテゴリーで報告された37件のインシデントについて、長年にわたって最も一般的な技術的な原因は、図11に示されている。
Figure 11. Detailed technical causes – trust services security incidents in the EU (reported from 2016–2023)	図11. 詳細な技術的原因 - EUにおけるトラストサービスのセキュリティインシデント（2016年～2023年に報告されたもの）
It is interesting to contrast these findings with the latest version of the ENISA threat landscape and the identified prime threats (threats against data, malware, threats against availability, non-malicious threats, etc.).	これらの調査結果を、ENISAの最新の脅威の概観と識別された主な脅威（データに対する脅威、マルウェア、可用性に対する脅威、非悪意のある脅威など）と比較してみるのも興味深い。
4.2 MULTIANNUAL TREND IN SEVERITY OF IMPACT	4.2 影響の深刻さに関する複数年間の傾向
In the multiannual trend concerning the severity of impact, the EU cybersecurity incident taxonomy (13) is again followed, where the severity of the impact has the following values: no impact, minor, large and very large impact.	影響の深刻度に関する複数年間の傾向では、EUサイバーセキュリティインシデント分類（13）が引き続き採用されており、影響の深刻度は「影響なし」、「軽微」、「大規模」、「非常に大規模」の4段階で評価されている。
Over time, TSPs are reporting more incidents regardless of their severity.	時が経つにつれ、TSPは深刻度に関係なくより多くのインシデントを報告するようになっている。
The number of incidents with no impact was 5 in 2023.	影響なしのインシデント数は2023年には5件であった。
It is interesting to see that there is a mostly linear increase in minor incidents (in green) over the course of the last years from 2 incidents in 2018, to 19 in 2019, 26 in 2020 and 30 in 2021, with a drop to 19 in 2022 and a rise to 35 in 2023.	興味深いのは、軽微なインシデント（緑）が、2018年の2件から、2019年には19件、2020年には26件、2021年には30件と、ここ数年でほぼ直線的に増加していることだ。2022年には19件に減少したが、2023年には35件に増加している。
While comparing the statistics for severity since 2016, it is quite clear that large impact incidents (in yellow) have continued to increase (by one third) in frequency, reaching 18 incidents this year, despite the drop observed in 2020.	2016年以降の深刻度に関する統計を比較すると、大規模インパクトインシデント（黄色）が頻度を増し続けていることが明らかである（3分の1増）。2020年に減少が見られたものの、今年は18件のインシデントに達した。
With respect to the five very large impact incidents reported this year, the trend since 2021 shows an increase over time.	今年報告された5件の非常に大きな影響を及ぼすインシデントに関しては、2021年以降の傾向は時間の経過とともに増加していることを示している。
In terms of impact, in all four categories, the number of incidents almost doubled compared with 2022.	影響の観点では、4つのカテゴリーすべてにおいて、インシデントの件数は2022年と比較してほぼ2倍に増加している。
However, looking at the trends, the increase has followed a steady path since 2018, as detailed in Figure 12.	しかし、傾向を見ると、増加は2018年以降、着実に増加していることが図12に示されている。
Figure 12. Severity of impact – trust services security incidents in the EU (reported from 2016–2023)	図12 EUにおけるトラストサービスのセキュリティインシデントによる影響の深刻度（2016年～2023年に報告されたもの）
4.3 MULTIANNUAL TREND IN IMPACT ON SERVICES	4.3 サービスへの影響に関する複数年トレンド
In this section, the impact per service from 2016–2023 for reported incidents for trust services is detailed in Figure 13.	このセクションでは、トラストサービスに関する報告されたインシデントについて、2016年～2023年のサービスごとの影響について、図13で詳しく説明する。
It is evident that the majority of reported incidents relate to electronic signatures, with numbers ranging consistently between 65 % and 95 % since 2017, reaching 95 % in 2023 to give an average of 85.5 % over the period analysed. This may be attributed to their widespread deployment and uptake in comparison to electronic seals and timestamping services.	報告されたインシデントの大部分が電子署名に関連していることは明らかであり、2017年以降、その割合は常に65％から95％の間で推移しており、2023年には95％に達し、分析対象期間の平均は85.5％であった。これは、電子印鑑やタイムスタンプサービスと比較して、電子署名の展開と普及がより進んでいることが原因であると考えられる。
For these categories, if we look back at the past years of reporting (2016–2023), we see a similar pattern: 23 % affected electronic seals and 14 % affected timestamping services.	これらのカテゴリーについて、過去数年の報告（2016年～2023年）を振り返ってみると、同様のパターンが見られる。電子シールが23%、タイムスタンピングサービスが14%の影響を受けている。
Web certificates and electronic delivery services consistently have low values. The latter two categories require further attention to explore the reason for the low number of reported incidents, to investigate whether this is due to a reduced usage of the services, better security provisions or a lack of reporting.	ウェブ証明書と電子配信サービスは、一貫して低い値を示している。後者の2つのカテゴリーについては、報告されたインシデントの数が少ない理由をさらに詳しく調べる必要がある。これは、サービスの利用が減少したことによるものなのか、セキュリティ対策が改善されたことによるものなのか、あるいは報告が不足していることによるものなのかを調査する必要がある。
Figure 13. Impact on services – trust services security incidents in the EU (reported from 2016–2023)	図13：サービスへの影響 – EUにおけるトラストサービスのセキュリティインシデント（2016年から2023年に報告されたもの）
(12) Peak of 100 % in 2016, first year of trust services annual incident reporting.	(12) トラストサービスの年間インシデント報告の初年度である2016年に100%のピーク。
(13) See Cybersecurity Incident Taxonomy (2018)	(13) サイバーセキュリティインシデント分類（2018年）を参照。
5. CONCLUSIONS	5. 結論
The key takeaways from the 2023 incident reports are as follows.	2023年のインシデント報告から得られた主な結論は以下の通りである。
• Two thirds of EU SBs – 18 out of 27 – sent their respective reports with 0 incidents reported (14).	• EU SB の 3 分の 2（27 組織中 18 組織）は、インシデントの報告がゼロのままそれぞれの報告書を提出した（14）。
• Reported incidents increased by 80 % to a total of 63 incidents, compared with 35 in 2022 (15).	• 報告されたインシデントは、2022 年の 35 件から 80% 増の合計 63 件となった（15）。
• The number of incidents (9) caused by malicious actions has increased compared with 2022 (5) reaching the same level as in 2021. However, with 14 % of the total, it remains a constant percentage since 2022 for this root cause.	• 悪意のある行為によるインシデント（9）の数は、2022年（5）と比較して増加し、2021年と同水準に達した。しかし、全体の14%を占めるこの根本原因は、2022年以降、一定の割合で推移している。
• The overall impact of the incidents amounted to 3 184 million user hours lost, compared with 405 million in 2022, among which 3 140 million hours (98 %) were lost due to malicious actions (16). One million hours were lost due to system failures and 43 million hours were lost due to human errors (17).	• インシデントによる全体的な影響は、2022年の4億500万ユーザー時間から31億8400万ユーザー時間に増加した。このうち、悪意のある行為による影響は31億4000万時間（98%）であった（16）。システム障害による影響は100万時間、ヒューマンエラーによる影響は4300万時間であった（17）。
• In terms of impact, in all four categories the number of incidents almost doubled:	• 影響の観点では、4つのカテゴリーすべてにおいてインシデントの件数がほぼ倍増した。
- in 2023, 5 incidents with no impact were reported, 35 with minor impact, 18 large incidents and 5 very large incidents;	・2023年には、影響なしのインシデントが5件、軽微な影響のインシデントが35件、重大なインシデントが18件、非常に重大なインシデントが5件報告された。
- the number of incidents with minor impact has almost doubled compared with 2022, but remains in line with data from previous years;	・軽微な影響のインシデントの件数は2022年と比較してほぼ倍増したが、前年までのデータと比較するとほぼ同水準である。
- the number of large and very large incidents has continued to increase.	・大規模および超大型インシデントの数は増加し続けている。
• Third-party failures continue to be monitored, with a view to assessing the impact on suppliers and providers. For 2023, 19 incidents out of 63 were flagged as third-party failures (33 %).	• サプライヤおよびプロバイダへの影響をアセスメントする目的で、サードパーティの障害は引き続きモニタリングされている。2023年には、63件のインシデントのうち19件（33%）がサードパーティの障害としてフラグ付けされた。
• Qualified trust services versus non-qualified trust services – in 2023, 84 % of total incidents had an impact on qualified trust services.	• 適格トラストサービスと非適格トラストサービス – 2023年には、インシデント全体の84%が適格トラストサービスに影響を与えた。
(14) 2022: 13/27; 2021: 17/27; 2020: 19/27; 2019: 17/27; 2018: 18/27; 2017: 17/27; 2016: 26/27.	(14) 2022年：13/27、2021年：17/27、2020年：19/27、2019年：17/27、2018年：18/27、2017年：17/27、2016年：26/27。
(15) Among them, 46 incidents occurred in 9 EU SBs and 21 in SBs from EEA countries.	(15) そのうち、EUのSBで46件、EEA諸国のSBで21件のインシデントが発生した。
(16) In 2022 it was 0 million.	(16) 2022年には0百万だった。
(17) In 2022 it was 34 million and 371 million, respectively.	(17) 2022年にはそれぞれ34百万と371百万だった。