欧州 ENISA 年次報告書 - 2024年トラストサービス・セキュリティ・インシデント (2025.06.23)
こんにちは、丸山満彦です。
ENISAがトラストサービス・セキュリティインシデント 2024年を公表していました。。。今年で8年目でEU27カ国とEEA3カ国が参加しています。。。
2024年に通知された違反の集計概要を提供し、根本原因、統計、傾向を分析したもののようですね。。。
従来は12月ごろ(1年前の話)に報告をしていたのですが、今年は約半年で公表されていますね...(報告の遅い6カ国を待たずに報告をしているようです)
なお、分析はENISAのCIRAS(the Cybersecurity Incident Reporting and Analysis System)でみることができます...
各企業でこれから、サイバーダッシュボードを作成する企業が増えてくると思いますが、CIRASのダッシュボードを参考にしてもよいかもです...
● ENISA
・2025.06.23 Annual Report - Trust Services Security Incidents 2024
| Annual Report - Trust Services Security Incidents 2024 | 年次報告書 - トラストサービスのセキュリティインシデント 2024 |
| Every year national supervisory bodies must send annual summary reports about the notified breaches to ENISA and the Commission according to art 19 of the eIDAS regulation. This is the eighth round of reporting produced by ENISA, for the EU’s trust services sector, analysing root causes, statistics and trends. It is an aggregated overview of the reported breaches for 2024 as reported to ENISA by 21 EU Member States and 3 EFTA countries. | eIDAS 規則第 19 条に基づき、各国の監督機関は、報告された違反について、ENISA および欧州委員会に年次概要報告書を提出しなければならない。これは、ENISA が EU のトラストサービス部門について、根本原因、統計、傾向を分析した 8 回目の報告書である。これは、21 の EU 加盟国および 3 つの EFTA 諸国から ENISA に報告された 2024 年の報告された侵害の集計概要である。 |
・[PDF]
目次...
| EXECUTIVE SUMMARY | エグゼクティブサマリー |
| 1. INTRODUCTION | 1.序論 |
| 1.1 SCOPE | 1.1 範囲 |
| 1.2 EIDAS REGULATION | 1.2 eIDAS規制 |
| 1.3 DISCLAIMER | 1.3 免責事項 |
| 1.4 STRUCTURE | 1.4 構造 |
| 2. INCIDENT REPORTING FRAMEWORK | 2.インシデント報告の枠組み |
| 2.1 OVERVIEW OF INCIDENT REPORTING PROCESS | 2.1 インシデント報告プロセスの概要 |
| 2.2 INCIDENT REPORTING TOOL | 2.2 インシデント報告ツール |
| 2.3 ANONYMISED EXAMPLES OF SECURITY INCIDENTS | 2.3 匿名化されたセキュリティインシデントの例 |
| 3. INCIDENT ANALYSIS | 3.インシデント分析 |
| 3.1 ROOT CAUSE CATEGORIES | 3.1 根本原因のカテゴリー |
| 3.1.1 System Failures | 3.1.1 システム障害 |
| 3.1.2 Human errors | 3.1.2 ヒューマンエラー |
| 3.1.3 Malicious actions | 3.1.3 悪意ある行為 |
| 3.2 TECHNICAL CAUSES | 3.2 技術的原因 |
| 3.3 SERVICES AFFECTED | 3.3 影響を受けるサービス |
| 3.4 ASSETS AFFECTED | 3.4 影響を受ける資産 |
| 3.5 QUALIFIED SERVICES VERSUS NON-QUALIFIED SERVICES | 3.5 適格サービスと非適格サービス |
| 4. MULTIANNUAL TRENDS 2017–2024 | 4.2017~2024年の複数年トレンド |
| 4.1 ROOT CAUSE TRENDS | 4.1 根本原因の傾向 |
| 4.2 IMPACT SEVERITY TRENDS | 4.2 影響の重大性の傾向 |
| 4.3 IMPACT ON SERVICES TRENDS | 4.3 サービスへの影響傾向 |
| 5 CONCLUSIONS | 5 結論 |
エグゼクティブサマリー...
| EXECUTIVE SUMMARY | エグゼクティブサマリー |
| Every year national supervisory bodies must send annual summary reports about the notified breaches to ENISA and the Commission according to art 19 of the eIDAS[1] regulation. | 各国の監督団体は、eIDAS[1] 規則の第19条に従い、ENISAおよび欧州委員会に対し、毎年、被認定違反に関する年次報告書を送付しなければならない。 |
| Highlights 2024 | ハイライト 2024 |
| System failures account for more than half of incidents and have been the dominant root cause for the last 8 years of incident reporting. | システム障害がインシデントの半数以上を占め、過去8年間のインシデント報告の主な根本原因となっている。 |
| Malicious actions is the most impactful root cause in terms of user hours lost with more than 92% of all user hours lost attributed to this root cause. | 悪意のある行為は、ユーザー損失時間の点で最も影響力のある根本原因であり、全ユーザー損失時間の92%以上がこの根本原因によるものである。 |
| This is the eighth round of reporting produced by ENISA, for the EU’s trust services sector, analysing root causes, statistics and trends. It is an aggregated overview of the reported breaches for 2024 as reported to ENISA by 21 EU Member States and 3 EFTA countries. | これは、ENISAがEUのトラストサービス部門向けに作成した、根本原因、統計、傾向を分析した第8回目の報告である。これは、EU加盟国21カ国およびEFTA加盟国3カ国からENISAに報告された、2024年に報告された違反の概要をまとめたものである。 |
| In 2024, a total of 44 incidents were reported by these countries. | 2024年には、これらの国から合計44件のインシデントが報告された。 |
| Key findings from the 2024 incident reports are summarised in the following list of points. | 2024年のインシデント報告から得られた主な知見は、以下のリストにまとめられている。 |
| • Half of the EU supervisory bodies (SBs) – 12 out of 24 – sent their respective reports with 0 incidents reported. | • EUの監督団体(SB)の半数(24カ国中12カ国)は、報告されたインシデントが0件であったとして、それぞれの報告書を送付した。 |
| • Reported incidents decreased to 44, compared to 63 in 2023. However, it should be noted that in 2023 there were 6 more MS reporting incidents. | • 報告されたインシデントは、2023年の63件から44件に減少した。しかし、2023年にはインシデントを報告したMSが6つ多かったことに留意すべきである。 |
| • The distribution of incidents remains similar percentage-wise compared to 2023 with system fail taking the major cut at 63% (64% in 2023), human error 23% (same for 2023) and malicious actions 14% (same for 2023). | • インシデントの分布は、システム障害が63%(2023年は64%)、人為的ミスが23%(2023年も同じ)、悪意ある行為が14%(2023年も同じ)となっており、2023年と比較すると、割合的にはほぼ同じである。 |
| • The overall impact of the incidents amounted to 618 million user hours lost which is a decrease of 5 times compared to 3 184 million user hours lost in 2023[2]. | • インシデントによる全体的な影響は6億1,800万ユーザー時間の損失で、2023年の31億8,400万ユーザー時間の損失と比べると5分の1に減少している[2] 。 |
| • Malicious actions are the most impactful root cause with 571 million user hours lost with over 92% of all hours lost, which is a decline compared to 2023 where we had 98% of all hours lost (3140 million). | • 悪質な行為による影響が最も大きく、5億7,100万時間が失われ、全喪失時間の92%以上を占めた。2023年には全喪失時間の98%(3億1,400万時間)が失われたが、それと比べて減少している。 |
 |
|
| • In terms of impact, large incidents continue to raise | • 影響という点では、大規模なインシデントが引き続き増加している。 |
 |
|
| [1] Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC: [web] |
[1] 2014年7月23日付欧州議会および理事会規則(EU)第910/2014号「域内市場における電子取引のための電子的本人確認およびトラストサービスに関する規則であり、指令1999/93/ECを廃止するもの」 [web] |
| [2] Please, take into consideration that we have 6 member states less reporting at the time of writing of the report than what was on 2023 | [2] 報告書作成時点では、2023年時点よりも6加盟国の報告が少ないことを考慮されたい。 |
ダッシュボード
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.12.29 ENISA 年次報告書 - 2023年トラストサービス・セキュリティ・インシデント (2024.12.20)
・2023.12.09 ENISA トラストサービス・セキュリティインシデント 2022年 (2023.11.30)
« 欧州 ENISA EUサイバーセキュリティ指数 (EU-CUI) 2024 (2025.06.17) | Main | 欧州 ENISA マネージド セキュリティ サービス市場分析 (2025.06.24) »
Comments