ENISA サイバーセキュリティ脅威状況の評価方法 (2025.08.01)
こんにちは、丸山満彦です。
ENISAが脅威分析の方法論について説明をした資料を公表しています。これからは、機械可読データに基づく分析の効率化等を増やしていくようですね...
インテリジェンス活動というのは、全体のフレームワークについての論理的な整理は歴史があるのである程度されていますが、サイバー脅威といった個別の内容についての分析手法を整理したものは多くないように感じています。
これは参考になりそうですね...
● ENISA
・2025.08.01 ENISA Cybersecurity Threat Landscape Methodology
| ENISA Cybersecurity Threat Landscape Methodology | ENISAサイバーセキュリティ脅威状況の評価方法 |
| This publication outlines the updated ENISA Cybersecurity Threat Landscape (CTL) methodology, building on the 2021 Threat Landscape Report and the 2022 methodology. It aims to provide a more actionable and streamlined approach for producing horizontal, thematic, and sectorial threat landscapes. The methodology defines key processes, stakeholders, tools, and content elements, supporting ENISA’s commitment to transparency and systematic threat analysis across Europe. | 本書は、2021年版の脅威ランドスケープレポートと2022年版の手法に基づき、更新されたENISAサイバーセキュリティ脅威状況の評価方法(CTL)の概要をまとめたものである。これは、水平的、テーマ別、分野別の脅威状況を作成するための、より実用的で合理的なアプローチを提供することを目的としている。本方法論は、主要なプロセス、関係者、ツール、コンテンツ要素を定義し、欧州全体の透明性と体系的な脅威分析に対するENISAのコミットメントを支援する。 |
・[PDF]
目次...
| 1. INTRODUCTION | 1.序論 |
| 1.1 CTL SCOPE AND DRIVING PRINCIPLES | 1.1CTL の範囲と基本原則 |
| 2. CTL METHODOLOGY | 2.CTL の方法論 |
| 2.1 OVERVIEW OF THE METHODOLOGICAL APPROACH | 2.1方法論的アプローチの概要 |
| 2.2 DIRECTION | 2.2方向性 |
| 2.2.1 Establish CTL Purpose | 2.2.1CTL の目的を確立する |
| 2.2.2 Define Audience | 2.2.2対象者を定義する |
| 2.2.3 Define Intelligence Requirements | 2.2.3インテリジェンス要件の定義 |
| 2.3 COLLECTION | 2.3収集 |
| 2.3.1 Define collection plan | 2.3.1収集計画を定義する |
| 2.3.2 Validate Sources | 2.3.2情報源の妥当性確認 |
| 2.3.3 Input data collection | 2.3.3収集データの入力 |
| 2.4 PROCESSING | 2.4処理 |
| 2.4.1 Preparation for processing | 2.4.1処理の準備 |
| 2.4.2 Language processing | 2.4.2言語処理 |
| 2.4.3 Cyber threat taxonomy | 2.4.3サイバー脅威の分類 |
| 2.4.4 CTI frameworks | 2.4.4CTI 枠組み |
| 2.4.5 Consolidate processed content | 2.4.5処理済みコンテンツの統合 |
| 2.4.6 Correlate and enrich processed content | 2.4.6処理済みコンテンツの相関付けと充実 |
| 2.5 ANALYSIS & PRODUCTION | 2.5分析と作成 |
| 2.5.1 Analysis preparation | 2.5.1分析の準備 |
| 2.5.2 Performing analysis | 2.5.2分析の実施 |
| 2.5.3 Validate CTL | 2.5.3CTL の妥当性確認 |
| 2.5.4 Validate dissemination medium | 2.5.4配信媒体の妥当性確認 |
| 2.5.5 Deliverable production | 2.5.5成果物の制作 |
| 2.6 DISSEMINATION | 2.6配布 |
| 2.6.1 Prepare dissemination | 2.6.1配布の準備 |
| 2.6.2 Disseminate CTL deliverable | 2.6.2CTL 成果物の配布 |
| 2.7 FEEDBACK | 2.7フィードバック |
| 2.7.1 Receiving feedback | 2.7.1フィードバックの受領 |
| 2.7.2 Actioning feedback | 2.7.2フィードバックに基づく対応 |
| 3. FUTURE WORK | 3.今後の作業 |
| 3.1 MOVING TOWARDS AUTOMATED INFORMATION PROCESSING | 3.1自動化された情報処理への移行 |
序論...
| 1. INTRODUCTION | 1. 序論 |
| Policy makers, risk managers and information security practitioners need up to date and accurate information on the current threat landscape, supported by situational awareness and threat analysis. The EU Agency for Cybersecurity (ENISA) Cyber Threat Landscape (CTL) reports have been published on an annual basis since 2013. These reports use publicly available data and provides an independent view on observed threats agents, trends and attack vectors, with a focus on the EU threat landscape. | 政策立案者、リスクマネージャー、情報セキュリティ実務者は、状況認識と脅威分析に裏打ちされた、現在の脅威の状況に関する最新かつ正確な情報を必要としている。EU サイバーセキュリティ機関(ENISA)のサイバー脅威の状況(CTL)報告書は、2013 年から毎年発行されている。この報告書は、公開されているデータを使用し、EU の脅威の状況に焦点を当て、観察された脅威エージェント、傾向、攻撃ベクトルに関する独立した見解を提供している。 |
| ENISA aims at building on its expertise and enhancing this activity for its stakeholders to receive relevant information for policy-creation and decision-making, as well as in increasing knowledge and information for specialised cybersecurity communities or for establishing a solid understanding of the cybersecurity challenges. By providing a snapshot of the constantly shifting cyber threat landscape, ENISA's cyber threat analysis efforts add value. By identifying mid- to long-term trends, these initiatives foster situational awareness and the ability to anticipate future difficulties. | ENISA は、その専門知識を活用し、この活動を強化することで、政策立案や意思決定に必要な関連情報をステークホルダーに提供するとともに、サイバーセキュリティの専門コミュニティの知識と情報を増進し、サイバーセキュリティの課題について確固たる理解を確立することを目指している。絶えず変化し続けるサイバー脅威の状況を把握することで、ENISA のサイバー脅威分析活動は付加価値を生み出している。 中長期的な傾向を識別することで、これらの取り組みは状況認識と将来の困難を予測する能力の向上に貢献している。 |
| ENISA seeks to provide targeted as well as general reports, recommendations, analyses and other actions on threat landscapes, supported through a clear and publicly available methodology. By establishing the ENISA CTL methodology, the Agency aims at setting a baseline for the transparent and systematic delivery of horizontal, thematic, and sectorial cybersecurity threat landscapes. The overall focus of the methodological framework involves the identification and definition of the process, methods, stakeholders and tools as well as the various elements which, content-wise, constitute a CTL. | ENISA は、明確で公開されている方法論に基づいて、脅威の状況に関する的を絞った報告、勧告、分析、その他の措置を提供することを目指している。ENISA CTL 方法論の確立により、ENISA は、水平的、主題別、および分野別のサイバーセキュリティ脅威の状況に関する透明かつ体系的な情報の提供のための基準を設定することを目指している。この方法論的枠組みの全体的な焦点は、CTL を構成するプロセス、手法、利害関係者、ツール、および内容的な要素の特定と定義にある。 |
| Following the revised form of the ENISA Threat Landscape Report 202[1]1 and the ENISA Threat Landscape Report methodology 2022[2], ENISA continues to further develop and document this initiative. This updated methodology aims at synthetizing the document to make it more actionable, and provide further details as to the different phases of the CTL production process. | ENISA 脅威状況報告書 2021[1] の改訂版および ENISA 脅威状況報告書 2022 の方法論[2] に従い、ENISA はこの取り組みのさらなる発展と文書化を進めている。この更新された方法論は、文書をより実用的なものにし、CTL 作成プロセスの各段階に関する詳細情報を提供することを目的としている。 |
| 1.1 CTL SCOPE AND DRIVING PRINCIPLES | 1.1 CTL の範囲と基本原則 |
| This methodology applies to ENISA’s annual (ENISA Threat Landscape, ETL), sectorial (STL), and other thematic (TTL) threat landscapes, as well as all other reports written by ENISA’s Threat Analysis Services (TAS) for situational awareness purposes. | この手法は、ENISA の年次(ENISA Threat Landscape、ETL)、セクター別(STL)、およびその他のテーマ別(TTL)の脅威状況、ならびに状況認識を目的として ENISA の脅威分析サービス(TAS)が作成するその他すべての報告書に適用される。 |
| The following considerations and principles are considered critical when drafting a CTL: | CTL をドラフトする際には、以下の考慮事項および原則が重要であると考える。 |
| • Accuracy: a report’s accuracy depends on the information collected, processed, correlated and analysed. The TAS team reflects on the information input strategy and scores the quality of sources based on their accuracy, relevancy and comprehensiveness, the types of presentation format (e.g., report or machine-readable formats) and focus areas (e.g., sector, EU victimology, adversary nexus, threat group, threat type). This is also of particular importance when ENISA publishes sectorial threat landscapes (STL) since their input strategy will need to be refined accordingly. In addition, the accuracy of the report is directly influenced by the quality of analysis and the inferences derived. | • 正確性:報告書の正確性は、収集、処理、相関分析、および分析された情報に依存する。TASチームは、情報入力戦略を検討し、情報源の正確性、関連性、網羅性、提示形式の種類(例:報告書または機械可読形式)、および重点分野(例:セクター、EU被害者分析、攻撃者関連性、脅威グループ、脅威の種類)に基づいて情報源の品質を評価する。これは、ENISA がセクター別脅威状況(STL)を公開する場合にも特に重要だ。その場合は、情報入力戦略を適宜改良する必要があるからだ。さらに、報告書の正確性は、分析の品質およびそこから導き出された推論に直接影響される。 |
| • Timeliness: Time influences a report’s actionability, especially when a report also accounts for tactical or operational information. The periodicity of a report is influenced by its scope, criticality and the stakeholder requirements it addresses. Based on those criteria, reports can be published as it happens, monthly, quarterly, biannually or annually. | • 適時性:時間は、特に報告書が戦術的または運用上の情報も記載している場合、その実行可能性に影響を与える。報告書の発行頻度は、その範囲、重要度、および対応すべき利害関係者の要件によって決まる。これらの規準に基づき、報告書は、発生時、毎月、四半期、半年、または毎年発行することができる。 |
| • Actionability: the CTL should increase stakeholders’ awareness of threats in the cyber domain, support their decision-making processes and improve their proactive, active defence, and retroactive postures against cyber threats. This can be achieved at both strategic and operational levels. ENISA focuses on this aspect of the CTL by providing cybersecurity recommendations for different categories of threats in its reports, at both operational level and at strategic level. The operational aspect is covered by delivering the basis for the development of a mitigation strategy for prevention against and response to a given threat. The strategic high-level aspect is covered in its annual review of the threat landscape. When delivering thematic or sectorial threat landscapes, the countermeasures proposed reflect the specificity of the sector or the thematic topic under analysis. | • 実行可能性:CTL は、サイバー領域における脅威に対するステークホルダーの認識を高め、意思決定プロセスを支援し、サイバー脅威に対する予防的、積極的、事後対応的な姿勢を改善すべきだ。これは、戦略レベルと運用レベルの両方で達成できる。ENISA は、運用レベルと戦略レベルの両方で、さまざまなカテゴリーの脅威に関するサイバーセキュリティの推奨事項を報告書に記載することで、CTL のこの側面に重点を置いている。運用面については、特定の脅威の予防および対応のための緩和戦略の策定の基礎を提供することでカバーしている。戦略的な高レベルな側面については、脅威の動向に関する年次レビューでカバーしている。テーマ別またはセクター別の脅威の動向を報告する場合、提案される対策は、分析対象のセクターまたはテーマの特性を反映したものとなる。 |
[1] https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends
[2] https://www.enisa.europa.eu/publications/enisa-threat-landscape-methodology
全体像...
Figure 1: High level overview of ENISA CTL methodology
ENISA CTL作成プロセスの概要
Figure 2: Overview of ENISA CTL production process
● まるちゃんの情報セキュリティ気まぐれ日記
・2025.03.30 欧州ENISA 宇宙脅威状況 2025 (2025.03.26)
・2025.02.23 欧州 ENISA 脅威状況 (2023.01-2024.06):金融セクター
・2024.12.09 欧州 ENISA 欧州連合におけるサイバーセキュリティの状況に関する報告書(2024)(2024.12.03)
・2024.09.26 ENISA 脅威状況2024
・2023.10.26 ENISA 脅威状況2023 - AIによる情報操作の台頭でEUの選挙がリスクにさらされる
・2023.09.20 ENISA 2030の脅威の展望 (2023.09.13)
・2023.07.10 ENISA 健康分野のサイバーセキュリティ状況 (2023.07.05)
・2023.03.22 ENISA 輸送セクターのサイバー脅威状況
・2022.12.14 ENISA 外国人による情報操作と干渉(FIMI)とサイバーセキュリティ - 脅威状況
・2022.11.08 ENISA 脅威状況 2022:不安定な地政学がサイバーセキュリティ脅威状況の傾向を揺るがす
・2022.08.01 ENISA ランサムウェアについての脅威状況
・2022.07.29 ENISA サイバーセキュリティ脅威ランドスケープの方法論 (2022.07.06) ENISA流サイバーインテリジェンスの方法論?
・2021.10.29 ENISA Threat Landscape 2021:ランサムウェア、クリプトジャッキングを利用した金銭目的のサイバー犯罪が急増
・2020.12.18 ENISA AI サイバーセキュリティのチャレンジ - AI脅威状況報告を公表していますね。
・2020.12.15 ENISA 5Gネットワークの脅威状況報告書のアップデート
・2020.10.21 ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。
Comments