監査 / 認証

2024.12.09

米国 CISA 継続的診断と緩和(CDM)プログラムアーキテクチャ CDMデータモデル文書 Ver. 5 (公開版) (2024.12.04)

こんにちは、丸山満彦です。

CISAが継続的診断と緩和(CDM)プログラムアーキテクチャ CDMデータモデル文書 Ver. 5 (公開版)を公表していました...

今回公開されているバージョンの変更履歴をみえていると2016年から取り組んでいますよね...米国連邦政府で8年間...

CDMって日本のデジタル庁で今どれくらい取り組んでいるのでしょうかね...

 

CISA

・2024.12.04 CDM Data Model Document 5.0.1

・[PDF] Continuous Diagnostics and Mitigation (CDM) Program Architecture CDM Data Model Document

20241209-02436

 

目次...

1  INTRODUCTION 1 序文
1.1  Purpose 1.1 目的
1.2  Scope 1.2 範囲
1.3  Audience 1.3 対象者
1.4  Context for the Model Derivation Process 1.4 モデル導出プロセスの文脈
2  CDM GUIDANCE IN INTERPRETING THE DATA MODEL 2 データモデルの解釈におけるCDMガイダンス
2.1  CDM Datasets 2.1 CDMデータセット
2.2  Relational Structure and Implications 2.2 関係構造とその意味合い
2.3  Specialization/Generalization 2.3 特殊化/一般化
2.4  Multivalued Attributes 2.4 多値属性
2.5  Master Device Record: Unique Identification of Hardware Devices 2.5 マスター・デバイス・レコード: ハードウェア・デバイスの一意な識別
2.6  Creating a Software Inventory: Unique Identification of Software 2.6 ソフトウェアインベントリの作成: ソフトウェアの一意識別
2.7  Managed Applications: Risk Accountability Based on HWAM and SWAM Datasets 2.7 管理されたアプリケーション HWAMおよびSWAMデータセットに基づくリスク説明責任
2.8  Master User Record: Unique Identification of People 2.8 マスターユーザーレコード: 人の一意な識別
2.9  Creating the Master Incident Record: Tying Incidents, Related Events, Actors, and Activities Together 2.9 マスターインシデントレコードを作成する: インシデント、関連イベント、アクター、アクティビティを結びつける
2.10 Organizational Unit Containers (Organizational Unit Boundaries) 2.10 組織単位のコンテナ(組織単位の境界)
2.11 FISMA System Containers (System Boundaries) 2.11 FISMAシステムコンテナ(システム境界)
2.12 CVE and CCE Dictionaries 2.12 CVE辞書とCCE辞書
2.13 CyHy “Findings” Datasets 2.13 CyHy「発見」データセット
2.14 Threat Intelligence Within CDM 2.14 CDM内の脅威インテリジェンス
2.15 CDM-Required Data 2.15 CDMが要求するデータ
3  DATA MODEL KEY TERMS 3 データモデルのキーワード
4  DATA DICTIONARY FOR THE LOGICAL DATA MODEL 4 論理データモデルのデータ辞書
APPENDIX A: REFERENCES 附属書A:参考文献
APPENDIX B: THREAT ACTION VALUES 附属書B:脅威アクション値
APPENDIX C: RELEASE NOTES FOR THIS VERSION 附属書C:本バージョンのリリースノート

 

 

序文...

INTRODUCTION 序文
Purpose 目的
The Cybersecurity and Infrastructure Security Agency (CISA) Continuous Diagnostics and Mitigation (CDM) program operates on the premise of a common architecture that relies on capabilities provided by commercialoff-the-shelf (COTS) tools and sensors. In keeping with that approach, the CDM program has identified a need to overlay similar data requirements on the solution to ensure that common program objectives are met and to provide proper clarity to integration needs. This document outlines fundamental data elements that the program expects each CDM solution deployed at agencies to incorporate.  サイバーセキュリティ・インフラセキュリティ庁(CISA)の継続的診断・緩和(CDM)プログラムは、市販 (COTS)ツールやセンサが提供する機能に依存する共通アーキテクチャを前提に運用されている。このアプローチに従って、CDM プログラムは、共通のプログラム目標が満たされることを保証し、統合ニーズを適切に明確にするために、同様のデータ要件をソリューションに重ねる必要性を特定した。この文書は、プログラムが各機関に展開されるCDMソリューションが取り入れることを期待する基本的なデータ要素の概要を示している。
It identifies the minimum set of data requirements needed to leverage the CDM solution to accomplish the program’s objectives: to reduce agency threat surface, increase visibility into the federal cybersecurity posture, improve federal cybersecurity response capabilities, and streamline Federal Information Security Modernization Act (FISMA) reporting.  CDM ソリューションを活用して、省庁の脅威サーフェスを削減し、連邦政府のサイバーセキュリティ態勢を可視化し、連邦政府のサイバーセキュリティ対応能力を向上させ、連邦情報セキュリティ近代化法(FISMA)報告を合理化するというプログラムの目的を達成するために必要な、データ要件の最小セットを特定している。
Additionally, this document delivers guidance regarding the data that CDM solutions at agencies must collect, with an explicit understanding that the system will be required to produce datasets from specific interrogations of the CDM data. It is expected that agencies and CDM integrators will enrich these datasets with other relevant Information Security Continuous Monitoring (ISCM) data that fulfill their agency-specific needs.  さらに、この文書は、CDM データに対する特定の質問からデータセットを生成することがシステムに要求されることを明確に理解した上で、各省庁の CDM ソリューションが収集しなければならないデータに関するガイダンスを提供する。各機関とCDMインテグレーターは、これらのデータセットを、各機関固有のニーズを満たす他の関連する情報セキュリティの継続的なモニタリング(ISCM)データで充実させることが期待される。
CDM integrators should use this document to drive development and refinement of the implementation of the holistic solution, incorporating these data requirements into the operational rhythm of security tools and sensors. This will provide data to facilitate the execution of the CDM program’s mission objectives.  CDMインテグレーターは、これらのデータ要件をセキュリティツールやセンサーの運用リズムに組み込んで、全体的なソリューションの実装の開発と改良を推進するためにこの文書を使用すべきである。これにより、CDMプログラムのミッション目標の実行を促進するためのデータが提供される。
Scope 適用範囲
The data requirements discussed in this document represent the minimum required dataset to accomplish the critical objectives of CDM, as foreseen by the CDM Program Management Office (PMO), across different solutions, while achieving consistent results. Currently, the scope is focused on data requirements related to the technical capabilities found under “Asset Management” (formerly Phase 1), “Identity & Access Management” (formerly Phase 2), and “Network Security Management” (formerly Phase 3). Detailed operational capabilities are found under the following decomposed tool functionalities:  この文書で議論されるデータ要件は、CDM プログラム管理室(PMO)が予見した CDM の重要な目的を、異なるソリューション間で、一貫した結果を達成しながら達成するために最低限必要なデータセットである。現在、この範囲は、「資産管理」(旧フェーズ1)、「アイデンティティ&アクセス管理」 (旧フェーズ2)、「ネットワークセキュリティ管理」(旧フェーズ3)の技術的能力に関連するデータ要 件に焦点を当てている。詳細な運用機能は、以下の分解されたツール機能の下にある: 
§ Asset Management (inclusive of mobile devices) (formerly known as Phase1) § 資産管理(モバイル・デバイスを含む)(旧Phase1)
o Hardware Asset Management (HWAM) o ハードウェア資産管理(HWAM)
o Software Asset Management (SWAM) o ソフトウェア資産管理(SWAM)
▪ Application Execution Control (AEC) ・アプリケーション実行制御(AEC)
o Configuration Settings Management (CSM) o
構成設定管理(CSM)
o Vulnerability Management (VUL) o
脆弱性管理(VUL)
▪ Enterprise Mobility Management (EMM) Mobile Threat Defense ・エンタープライズ・モビリティ管理(EMM) モバイル脅威防御
§ Identity & Access Management [formerly known as Phase 2] § アイデンティティ&アクセス管理(旧フェーズ 2]
o Manage Trust in People Granted Access (TRUST) o アクセスを許可された人の信頼を管理する(TRUST)
o Manage Security Related Behavior (BEHAVE) o セキュリティ関連の行動を管理する(BEHAVE)
o Manage Credentials and Authentication (CRED) o クレデンシャルと認証の管理(CRED)
o Manage Account Access (PRIV) o アカウントアクセスの管理(PRIV)
§ Network Security Management [formerly known as Phase 3] § ネットワーク・セキュリティ管理[旧フェーズ 3]
o Manage Events (MNGEVT) o イベントの管理(MNGEVT)
▪ Incident Response ・インシデント対応
▪ Ongoing Assessment (supporting Asset Management data only) ・継続的アセスメント(資産管理データのサポートのみ)
o Operate, Manage, and Improve (OMI) o 運用・管理・改善(OMI)
▪ System and Information Integrity (supporting incident response) ・システム及び情報の完全性(インシデント対応をサポートする)
o BOUND-E o BOUND-E
▪ Certificate Management (non-person entities only) ・証明書管理(非個人事業体のみ)
o BOUND-F to Manage Network Filters and Boundary Controls o BOUND-F ・ネットワーク・フィルタおよびバウンダリ・コントロールの管理
▪ Network Access Protection ・ネットワーク・アクセス防御
It is anticipated that additional content will be incorporated in subsequent iterations of this artifact as new technical capabilities are added to the CDM program operational baseline.  新たな技術的能力が CDM プログラムの運用ベースラインに追加されるにつれて、この成果物の 以降の反復において追加コンテンツが組み込まれることが予想される。
CDM’s conceptual architecture and associated security frameworks, which convey program needs through CDM Technical Capabilities, Volume 1 and Volume 2, are also used to derive necessary data requirements that are reflected in this model. Specifically in scope are the definitions of the logical groupings of key cybersecurity information in the following constructs:  CDM の概念アーキテクチャーと関連するセキュリティの枠組みは、CDM 技術能力第 1 巻と第 2 巻を通じてプログラムのニーズを伝えるものであるが、このモデルに反映される必要なデータ要件を導き出すためにも使用される。具体的には、以下の構成要素における主要なサイバーセキュリティ情 報の論理的グループ化の定義が対象となる: 
§ Master Device Records (MDRs) § マスターデバイスレコード(MDR)
§ Master User Records (MURs) § マスター・ユーザ・レコード(MUR)
§ Master Incident Records (MIRs) § マスターインシデントレコード(MIR)
§ FISMA and Organizational Unit (OU) Containers § FISMA および組織単位(OU)コンテナ
The CDM datasets included are decomposed into entities and attributes within the interrogation specifications section. They provide strong traceability for data requirements laid out for agencies (i.e., “must have” data).  含まれる CDM データセットは、質問仕様セクション内で事業体と属性に分解される。CDMデータセットは、各機関に提示されたデータ要件(すなわち 「なくてはならない 」データ)に対して、強力なトレーサビリティを提供する。
Another core principle of the program that influences the common schema is the system’s capability of “standardized scoring” through an algorithm that produces a quantitative measurement to facilitate prioritization and enumeration of risk-relevant states across the .gov enterprise. To support this effort, the CDM  共通スキーマに影響を与えるプログラムのもう一つの基本原則は、.govエンタープライズ全体のリスクに関連する状態の優先順位付けと列挙を容易にする定量的な測定値を生成するアルゴリズムによる「標準スコアリング」のシステムの機能である。この取り組みを支援するため、CDM 
Data Model includes data requirements for a standardized federal risk score, the Agency-Wide Adaptive Risk Enumeration (AWARE) methodology.[1] AWARE requires that specific data be collected or calculated to successfully implement the algorithm, and the data model acquiesces to these data requirements.  データ・モデルには、標準化された連邦リスク・スコアであるAWARE(Agency-Wide Adaptive Risk Enumeration)手法のためのデータ要件が含まれている[1]。AWAREは、アルゴリズムをうまく実装するために特定のデータを収集または計算することを要求しており、データ・モデルはこれらのデータ要件に従う。
Finally, it is important to note that physical schemas and as-built designs are largely out of scope of this document. It is the CDM dashboard developer’s responsibility to develop and align the physical data schema (i.e., CDM “data target”) to the intent of this logical model through the requirements and solution engineering activities within the program.[2] 最後に、物理的なスキーマと構築時の設計は、この文書の範囲外であることに注意することが重要である。物理的なデータスキーマ(すなわちCDMの 「データターゲット」)を開発し、プログラム内の要求とソリューションエンジニアリングの活動を通じてこの論理モデルの意図に合わせることは、CDMダッシュボード開発者の責任である[2]
1.3 Audience 1.3 想定読者
This document’s intended audience is assumed to have a working knowledge of the CDM program. The audience primarily includes CISA Cybersecurity Division staff,[3] CDM participating agencies’ staff, CDM Dynamic and Evolving Federal Network Defense (DEFEND) integrators, and the CDM dashboard provider.  本文書の対象読者は、CDMプログラムについて実務的な知識を持っていることを想定している。主な読者には、CISAサイバーセキュリティ・ディビジョンのスタッフ、[3]CDM参加機関のスタッフ、CDM動的・進化型連邦ネットワーク防御(DEFEND)インテグレータ、CDMダッシュボード・プロバイダが含まれる。
1.4 Context for the Model Derivation Process モデル導出プロセスの背景
CDM is:  CDMとは 
§ A process within an agency’s ISCM strategy, as originally mandated in the Office of Management and Budget (OMB) Memorandum (M) 14-03[4] (now superseded by OMB M-19-02[5]), to strengthen the security posture of the federal civilian networks by enabling operators to continuously search for flaws, collect results, triage and analyze results, fix the worst flaws first, and report progress. § 行政管理予算局(OMB)の覚書(M)14-03[4](現在は OMB M-19-02[5] に取って代わられている)で元々義務付けられていたように、オペレータが継続的に欠陥を検索し、結果を収集し、結果をトリアージして分析し、最も悪い欠陥を最初に修正し、進捗を報告することを可能にすることによって、連邦民間ネットワークのセキュリティ体制を強化するための、省庁の ISCM 戦略内のプロセスである。
§ A program that provides continuous monitoring, diagnosis, and mitigation capabilities by centrally coordinating the procurement, installation, operation, and maintenance of diagnostic sensors (tools) and dashboards deployed to participating agencies and a federal-level cyber diagnostic dashboard maintained at the Department of Homeland Security (DHS). § 参加省庁に展開される診断センサー(ツール)とダッシュボード、および国土安全保障省 (DHS)で維持される連邦レベルのサイバー診断ダッシュボードの調達、設置、運用、保守を一元 的に調整することにより、セキュリティの継続的なモニタリング、診断、緩和の機能を提供するプログラム。
§ A system consisting of multiple instantiations of tools and dashboards that work together to enable the CDM process. § CDM プロセスを実現するために連携するツールやダッシュボードの複数のインスタンスから構成されるシステムである。
The CDM Data Model is a common schema of data elements and attributes based on recommendations and requirements conveyed in the CDM architecture. This common schema is authoritative in developing the data requirements for the CDM program and represents the to-be state of the data both within (as ingested and stored) and outside of (as queried and reported) Layer C of the CDM architecture (see Figure 1-1). With regard to data queried or reported, a core set of data interrogation actions were captured based on input from various sources that were solicited in developing this artifact, including the CDM Technical Capabilities,[6] Volume 1 and Volume 2 and the Chief Information Officer (CIO) Federal Information Security Modernization Act (FISMA) Metrics. In the case of the FISMA metrics, this document focused on information that could be specifically tied to CDM asset, identity and access, network security, and data management capabilities (formerly Phase 1, 2, 3, and 4 security capabilities, respectively). Each data interrogation action represents key fundamental mechanisms of the CDM solution, satisfying mission requirements for summary reporting, scoring, and/or defect prioritization.  CDM データモデルは、CDM アーキテクチャで伝達された勧告と要件に基づく、データ要素と属性 の共通スキーマである。この共通スキーマは、CDM プログラムのデータ要件を策定する際の代表者であり、CDM アーキテクチャのレイヤ C 内(取り込まれ、保存された状態)とレイヤ C 外(照会され、報告された状態)の両方のデータのあるべき状態を表している(図 1-1 参照)。照会または報告されるデータに関しては、CDM 技術能力[6]第 1 巻と第 2 巻、および最高情報責任者(CIO)の連邦情報セキュリ ティ近代化法(FISMA)メトリクスを含む、この成果物を開発する際に募集された様々な情報源からのインプットに基 づいて、データ照会アクションの中核となるセットが取り込まれた。FISMA メトリクスの場合、本文書は、CDM 資産、ID とアクセス、ネットワークセキュリティ、およびデータ管理能力(それぞれ旧フェーズ 1、2、3、および 4 のセキュリティ能力)に特に結び付けられる情報に焦点を当てた。各データ調査アクションは、CDM ソリューションの主要な基本メカニズムを表し、概要報告、スコアリング、欠陥の優先順位付けなどのミッション要件を満たす。
The cohesive philosophy of normalizing metrics and key machine information is required to facilitate a standard CDM dashboard platform across all agencies (representing the aforementioned “Layer C “of the architecture as shown below). As one of the central aspects of CDM, the dashboard serves as the primary means by which the CDM Logical Data Model (LDM) can be physically implemented. Through the development and deployment of the CDM agency dashboard, a physical schema (“as-built” by the dashboard developer), which is aligned to the intent and requirements of the LDM, provides the realized vision of a normalized CDM dataset (i.e., common schema).  メトリックスと主要なマシン情報を正規化するという一貫した哲学は、すべての機関にわたって標準的なCDMダッシュボード・プラットフォームを促進するために必要である(以下に示すように、前述のアーキテクチャの「レイヤーC」を代表する)。CDMの中心的な側面の一つとして、ダッシュボードはCDM論理データモデル(LDM)を物理的に実装するための主要な手段として機能する。CDM機関ダッシュボードの開発と展開を通じて、LDMの意図と要件に沿った物理スキーマ(ダッシュボード開発者による 「as-built」)が、正規化されたCDMデータセット(すなわち共通スキーマ)の実現ビジョンを提供する。
Leveraging this architecture, the federal dashboard collates the summary information and risk scores produced by the multiple agency dashboards to enable standardized, comprehensive cyber visibility into the entire civilian government enterprise. This CDM dashboard hierarchy represents the operationalization of the data architecture within this artifact. It allows for the common schema to be enumerated and queried at each agency, with the results providing stronger cybersecurity measurements across the agencies.  このアーキテクチャを活用して、連邦政府のダッシュボードは、複数の省庁のダッシュボードによって作成されたサマリー情報とリスクスコアを照合し、民間政府エンタープライズ全体に対する標準化された包括的なサイバー可視化を可能にする。この CDM ダッシュボードの階層構造は、この成果物におけるデータアーキテクチャの運用の代表者である。これによって、共通のスキーマを各機関で列挙してクエリし、その結果によって各機関全体でより強力なサイバーセキュリティ測定を行うことができる。
The CDM Data Model entities and attributes[7] described in this document were iteratively derived using the following process:  本文書で説明する CDM データモデルの事業体と属性[7]は、以下のプロセスで繰り返し導出された: 
1. Enumerate all relevant data interrogation actions that have traceability to one or more of the key reference materials (see Appendix A). 1. 1 つ以上の鍵材料(附属書 A 参照)にトレーサビリティを持つ、関連するすべてのデータ問 い合わせアクションを列挙する。
2. Generate specifications for each data interrogation action identified in a fully defined, common standard format (e.g., SQL[8]). 2. 完全に定義された共通の標準形式(例えば、SQL[8])で、識別された各データ問合せ 操作の仕様を生成する。
3. Derive data entities and attributes to meet the interrogation specifications (i.e., a common schema for CDM technical capabilities). 3. 質問仕様(すなわち、CDM技術仕様の共通スキーマ)を満たすデータ事業体と属性を導出する。
4. Develop a data dictionary that clearly describes the required entities and attributes to provide a consistent understanding for the audience. 4. 必要な事業体と属性を明確に記述したデータ辞書を作成し、利用者に一貫した理解を提供する。

 

[1] For more information of the AWARE algorithm, refer to Appendix A.  [1]AWAREアルゴリズムの詳細については、附属書Aを参照のこと。
[2] For more information on how to use and interpret this document, refer to the guidance within Section 2. [2]本書の使用方法および解釈の詳細については、セクション 2 のガイダンスを参照のこと。
[3] Specifically, this includes CISA Cybersecurity Division staff who support operationalization or oversight of the CDM program.  [3]具体的には、CDMプログラムの運用化または監視を支援するCISAサイバーセキュリティ部門のスタッフを含む。
[4] “Enhancing the Security of Federal Information and Information Systems,” M-14-03, November 18, 2013. [PDF] [4]「Enhancing the Security of Federal Information and Information Systems,」 M-14-03, November 18, 2013. [PDF]
[5] “Management Requirements,” M-19-02, October 25, 2018. [PDF] [5]「Management Requirements,」 M-19-02, October 25, 2018. [PDF]
[6] These documents describe the requirements for the CDM program that are consistent with the overarching goal of enabling U.S. government entities to assess and improve the security posture of an agency’s information systems. These requirements will be used for the CDM solicitations called Dynamically Evolving Federal Enterprise Network Defense (DEFEND) program as well as the Schedule 70 CDM-SIN Approved Product List (APL). [6]これらの文書は、米国政府機関が機関の情報システムのセキュリティ態勢をアセスメントし、改善できるようにするという包括的な目標に合致するCDMプログラムの要件を記述している。これらの要件は、ダイナミックに進化する連邦エンタープライズ・ネットワーク防御(DEFEND)プログラムと呼ばれるCDMの募集、およびSchedule 70 CDM-SIN Approved Product List (APL)に使用される。
[7] Refer to Section 2 for more information regarding Unified Modeling Language (UML) entity relationship (ER) diagraming, entities, and attributes.  [7] 統一モデリング言語(UML)の実体関係(ER)図、事業体、属性に関する詳細は、セクション2を参照のこと
[8] Structured Query Language (SQL) is a special purpose language for accessing data in databases. In this case, it is a well-known formal language that can be used to specify the interaction of the data interrogation action with the object data within the CDM system. [8]構造化クエリー言語(Structured Query Language:SQL)は、データベースのデータにアクセ スするための特別な目的の言語である。この場合、CDMシステム内のオブジェクト・データとデータ質問アクションの相互作用を指定するために使用できる、よく知られた形式言語である。

 

 

 

| | Comments (0)

2024.12.08

CISA サイバーレジリエンスを強化する: 米国の重要インフラ部門組織のCISAレッドチームアセスメントからの洞察 (2024.11.21)

こんにちは、丸山満彦です。

CISAが、米国の重要インフラ部門組織に対して、CISAレッドチームが実施したアセスメントからの洞察を公表していますね...

Mitigation(緩和策)の部分に

重要インフラ組織のシステムに財弱性(内部統制の不備といってもよいと思います)があるが、それは、、、

CISAは、安全でないソフトウェアがこれらの欠陥の多くの根本原因であり、エンドユーザーに責任が及ぶべきでないことを認識し、ソフトウェア製造事業者に以下のことを実施するよう促している:

ということで、

  • ソフトウェア開発ライフサイクル(SDLC)全体を通じて、製品アーキテクチャにセキュリティを組み込む。

  • デフォルトのパスワードをなくす。ソフトウェアにデフォルトのパスワードをプロバイダしてはならない。デフォルトパスワードをなくすには、インストールと構成の際に、管理者が強力なパスワードを設定するよう要求する [CPG 2.B]。

  • 一つのセキュリティ管理が侵害されても、システム全体が侵害されないように製品を設計する。例えば、危殆化したアカウントの影響を軽減するために、デフォルトでユーザ特権を狭く設定し、ACL を採用する。これにより、悪意のあるサイバー行為者が特権をエスカレートさせ、横展開がより困難になる。

  • 特権ユーザーに対してMFA(理想的にはフィッシングに強いMFA)を義務付けMFAをオプトインではなくデフォルトの機能にする。

  • システムをデフォルトでセキュアにすることに重点を置き、ハードニング・ガイドのサイズを小さくする。このシナリオでは、レッドチームは、特権アカウントの列挙を可能にする Windows Server 2012 のデフォルト設定に気づいた。

 

  • 重要なこと:製造事業者は、ハードニング・ガイドを解釈する時間、専門知識、および認識を持つ輸入事業者に依存するのではなく、製品に組み込まれた日常的なナッジを実装する必要がある。

といっています。。。

事業者で発生しているサイバーインシデントの多くの原因は、しょぼいベンダーのシステムのせいで、ベンダーはまともにシステムつくれや...といっているようにも聞こえます。個人の感想です(^^)

この雰囲気からすると、ベンダーが開発したシステムの脆弱性について、場合によっては厳しく対応をしていくようになるかもしれませんね...

 

それから、重要インフラのシステムについては、(止められないという問題があるかもしれませんが...)レッドチームアセスメントはデフォルトdえするという方がよさそうですね...

 

CISA

・2024.11.21 Enhancing Cyber Resilience: Insights from CISA Red Team Assessment of a US Critical Infrastructure Sector Organization

Alert Code: AA24-326A

 

Enhancing Cyber Resilience: Insights from CISA Red Team Assessment of a US Critical Infrastructure Sector Organization サイバーレジリエンスを強化する: 米国の重要インフラ部門組織のCISAレッドチームアセスメントからの洞察
Executive Summary エグゼクティブサマリー
The Cybersecurity and Infrastructure Security Agency (CISA) conducted a red team assessment (RTA) at the request of a critical infrastructure organization. During RTAs, CISA’s red team simulates real-world malicious cyber operations to assess an organization’s cybersecurity detection and response capabilities. In coordination with the assessed organization, CISA is releasing this Cybersecurity Advisory to detail the red team’s activity—including their tactics, techniques, and procedures (TTPs) and associated network defense activity. Additionally, the advisory contains lessons learned and key findings from the assessment to provide recommendations to network defenders and software manufacturers for improving their organizations’ and customers’ cybersecurity posture. サイバーセキュリティ・インフラセキュリティ庁(CISA)は、重要インフラ組織の要請を受けてレッドチーム評価(RTA)を実施した。RTAの間、CISAのレッドチームは、組織のサイバーセキュリティ検知・対応能力を評価するために、実際の悪意あるサイバー操作をシミュレートする。アセスメントを受けた組織と連携して、CISA はこのサイバーセキュリティ勧告を発表し、レッドチームの活動(戦術、技術、手順(TTP)、関連するネットワーク防御活動を含む)を詳述する。さらに、本アドバイザリーには、アセスメントから得られた教訓や重要な発見が含まれており、ネットワーク防御者やソフトウェア製造事業者に対し、組織や顧客のサイバーセキュリティ態勢を改善するための推奨事項を提示している。
Within this assessment, the red team (also referred to as ‘the team’) gained initial access through a web shell left from a third party’s previous security assessment. The red team proceeded to move through the demilitarized zone (DMZ) and into the network to fully compromise the organization’s domain and several sensitive business system (SBS) targets. The assessed organization discovered evidence of the red team’s initial activity but failed to act promptly regarding the malicious network traffic through its DMZ or challenge much of the red team’s presence in the organization’s Windows environment. このアセスメントの中で、レッドチーム(「チーム」とも呼ぶ)は、サードパーティが以前に行ったセキュリティアセスメントから残されたウェブシェルを通じて最初のアクセスを得た。レッドチームは、非武装地帯(DMZ)を通過してネットワークに侵入し、組織のドメインと複数の機密業務システム(SBS)を完全に侵害した。アセスメントを受けた組織は、レッドチームの最初の活動の証拠を発見したが、DMZを通過する悪意のあるネットワーク・トラフィックに関して迅速に行動することができず、組織のWindows環境におけるレッドチームの存在に異議を唱えることもできなかった。
The red team was able to compromise the domain and SBSs of the organization as it lacked sufficient controls to detect and respond to their activities. The red team’s findings illuminate lessons learned for network defenders and software manufacturers about how to respond to and reduce risk. レッドチームは、彼らの活動を検知し対応するための十分な管理体制を欠いていたため、組織のドメインとSBSを侵害することができた。レッドチームの調査結果は、ネットワーク防御者とソフトウェア製造事業者にとって、リスクへの対応とリスク軽減のための教訓となった。
・Lesson Learned: The assessed organization had insufficient technical controls to prevent and detect malicious activity. The organization relied too heavily on host-based endpoint detection and response (EDR) solutions and did not implement sufficient network layer protections. ・教訓:アセスメントを受けた組織は、悪意のある活動を防止・検知するための技術的コントロールが不十分であった。この組織は、ホストベースのエンドポイント検知・対応(EDR)ソリューションに過度に依存し、十分なネットワーク層の防御を実装していなかった。
・Lesson Learned: The organization’s staff require continuous training, support, and resources to implement secure software configurations and detect malicious activity. Staff need to continuously enhance their technical competency, gain additional institutional knowledge of their systems, and ensure they are provided sufficient resources by management to have the conditions to succeed in protecting their networks. ・教訓:この組織のスタッフは、安全なソフトウェア設定を実装し、悪意のある活動を検知するために、継続的なトレーニング、サポート、およびリソースを必要としている。職員は継続的に技術的能力を向上させ、機構に関する知識を深め、経営陣からネットワーク保護に成功するための十分なリソースを提供されるようにする必要がある。
・Lesson Learned: The organization’s leadership minimized the business risk of known attack vectors for the organization. Leadership deprioritized the treatment of a vulnerability their own cybersecurity team identified, and in their risk-based decision-making, miscalculated the potential impact and likelihood of its exploitation. ・教訓:この組織のリーダーシップは、組織にとって既知の攻撃ベクトルによるビジネスリスクを最小化した。リーダーシップは、自分たちのサイバーセキュリティチームが特定した脆弱性の扱いの優先順位を下げ、リスクベースの意思決定において、その脆弱性が悪用された場合の潜在的な影響と可能性を誤って計算した。
To reduce risk of similar malicious cyber activity, CISA encourages critical infrastructure organizations to apply the recommendations in the Mitigations section of this advisory to ensure security processes and procedures are up to date, effective, and enable timely detection and mitigation of malicious activity. 同様の悪意あるサイバー活動のリスクを低減するため、CISA は重要インフラ組織に対し、セキュリティ・プロセスと手順が最新かつ効果的で、悪意ある活動のタイムリーな検知と緩和を可能にするよう、本アドバイザリの緩和セクションの推奨事項を適用することを推奨する。
This document illustrates the outsized burden and costs of compensating for insecure software and hardware borne by critical infrastructure owners and operators. The expectation that owners and operators should maintain the requisite sophisticated cyber defense skills creates undue risk. Technology manufacturers must assume responsibility for product security. Recognizing that insecure software contributes to these identified issues, CISA urges software manufacturers to embrace Secure by Design principles and implement the recommendations in the Mitigations section of this advisory, including those listed below: この文書は、重要インフラの所有者と運用者が負担する、安全でないソフトウェアとハードウェアを補償するための過大な負担とコストを示している。所有者や運用者が必要な高度なサイバー防御スキルを維持すべきとの期待は、過度のリスクを生み出す。技術製造事業者は、製品セキュリティに対する責任を負わなければならない。安全でないソフトウェアがこれらの特定された問題の一因であることを認識し、CISA はソフトウェア製造事業者に対し、セキュア・バイ・デザインの原則を受け入れ、以下に列挙するものを含め、この勧告の緩和セクションにある勧告を実施するよう促す:
・Embed security into product architecture throughout the entire software development lifecycle (SDLC). ・ソフトウェア開発ライフサイクル(SDLC)全体を通じて、製品アーキテクチャにセキュリティを組み込む。
・Eliminate default passwords. ・デフォルトのパスワードをなくす。
・Mandate MFA, ideally phishing-resistant MFA, for privileged users and make MFA a default, rather than opt-in, feature. ・特権ユーザには MFA(理想的にはフィッシングに強い MFA)を義務付け、MFA をオプトインではなくデフォルトの機能にする。

 

・[PDF]

20241208-23135

 

目次...

Executive Summary エグゼクティブサマリー
Introduction 序文
Technical Details 技術的詳細
Phase I: Red Team Cyber Threat Activity 第一段階 レッドチームのサイバー脅威活動
Overview 概要
Initial Access 初期アクセス
Linux Infrastructure Compromise Linux インフラの侵害
Local Privilege Escalation and Credential Access ローカル特権の昇格とクレデンシャル・アクセス
Linux Command and Control Linux コマンドと制御
Lateral Movement and Persistence 横展開と永続性
Windows Domain Controller Compromise Windows ドメイン コントローラの侵害
Windows Command and Control Windows コマンドと制御
Post-Exploitation Activity: Gaining Access to SBSs 悪用後の活動: SBS にアクセスする
Admin Workstations 管理ワークステーション
Additional Host and Other Subnets 追加のホストおよびその他のサブネット
Corporate Workstations of Critical Infrastructure Administrators and Operators 重要インフラの管理者とオペレーターの企業ワークステーション
Command and Control コマンド・アンド・コントロール
Defense Evasion and Victim Network Defense Activities 防御回避と被害者ネットワーク防御活動
Phase II: Red Team Measurable Events Activity フェーズ II: レッドチームの測定可能イベント活動
Lessons Learned and Key Findings 教訓と主な発見
Lesson Learned: Insufficient Technical Controls 教訓 不十分な技術的コントロール
Lesson Learned: Continuous Training, Support, and Resources 教訓 継続的なトレーニング、サポート、リソース
Lesson Learned: Business Risk 教訓 ビジネスリスク
Additional Findings 追加発見事項
Noted Strengths 指摘された強み
Mitigations 緩和策
Network Defenders ネットワーク・ディフェンダー
Software Manufacturers ソフトウェア製造事業者
Validate Security Controls セキュリティ・コントロールの妥当性確認
Resources リソース
Appendix: MITRE ATT&CK Tactics and Techniques 附属書 MITRE ATT&CK の戦術とテクニック

 

 

 

| | Comments (0)

2024.12.07

JIPDEC ISO/IEC/JTC 1/SC 27/WG 1における国際規格の策定/改訂状況 (2024.12.04)

こんにちは、丸山満彦です。

JIPDECが、ISO/IEC/JTC 1/SC 27/WG 1における国際規格の策定/改訂状況を公表していますね...

 

JIPDEC

・2024.12.05 ISO/IEC 27001ファミリー「ISO/IEC JTC 1/SC 27/WG 1に おける検討状況」を更新しました

・2024.12.04 [PDF]

20241207-72126

 

現在の全体はこんな感じのようです...

20241207-72651

ガイドラインを作りすぎなんじゃないですかね...

もちろん、本当に必要なものもありますが、ガイドラインの中では、なくてもよいのもあるんじゃないですかね...

社会的にどの程度引用されているのか、分析して利用率が少ないものは、本当に必要なものだけ残して、他の要求事項やガイドラインに附則として、追加するのがよいようにも思います。

私も一度も見たことがないのが、いくつかあります...

  • 緑色は発行済規格
  • 薄黄色は改訂中/追補作成中規格
  • 灰色は中止プロジェクト
  • 白は作成中
ISO/IEC番号  規格内容  規格作成の段階* 
2024年10月会議
(今回) 
2025年3月会議
(予定) 
27000 ISMS概要  (CD)  (DIS) 
27001 ISMS要求事項  IS  IS 
27002 情報セキュリティ管理策  IS  IS 
27003 ISMSの手引  (WD)  (2nd WD) 
27004 ISM - 監視、測定、分析及び評価  (PWI)  (WD) 
27005 情報セキュリティリスクマネジメントに関する指針  IS  IS 
27006-1  ISMS認証機関に対する要求事項  (PWI)  (PWI) 
TS 27006-2  ISO/IEC 27701認証機関に対する要求事項  (DIS)  (FDIS) 
27007 ISMS監査の指針  IS  (PWI) 
TS 27008  IS管理策の評価(assessment)のための指針  (CD)  (2nd CD) 
27009 セクターへ規格の27001適用-要求事項  (廃止)  (廃止) 
27010 セクター間及び組織間コミュニケーションのための情報セキュリティマネジメント  IS  IS 
27011 ISO/IEC 27002に基づく電気通信組織のための情報セキュリティ管理策  IS  IS 
27013 ISO/IEC 27001とISO/IEC 20000-1との統合導入についての手引  (DAM)  (IS<追補1>) 
27014 情報セキュリティのガバナンス  IS  IS 
TR 27015  金融サービスに対する情報セキュリティマネジメントの指針  (廃止)  (廃止) 
TR 27016  ISM-組織の経済的側面(Organizational economics)  (PWI)  TR 
27017 ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範  (CD)  (DIS) 
27019 エネルギー業界のための情報セキュリティ管理策  (FDIS)  IS 
27021 ISMS専門家の力量に関する要求事項  IS  IS 
TS 27022  ISMSプロセスに関する手引  (PWI)  TS 
TR 27023  ISO/IEC 27001及びISO/IEC 27002改訂版のマッピング  (廃止)  (廃止) 
TR 27024  各国の規制要求事項等におけるISO/IEC 27001ファミリー規格の使用  DTR  DTR 
27028 ISO/IEC 27002:2022の属性の利用及び作成に関する手引  CD  DIS 
27029 ISO/IEC 27002の管理策及び手引を参照している規格一覧  SD  SD 
TS 27100  サイバーセキュリティの概要及びコンセプト  TS  TS 
27102 ISM-サイバー保険のためのガイドライン  IS  IS 
TR 27103  サイバーセキュリティとISO及びIEC規格  (CD)  (DIS) 
TR 27109  サイバーセキュリティに関する教育・訓練  DTR  DTR 
TS 27110  サイバーセキュリティフレームワーク策定の指針  TS  TS 

 

 

| | Comments (0)

欧州 EDPB 第三国当局へのデータ移転に関するGDPR第48条に関するガイドラインを発表し、新しい欧州データ保護シールを承認

こんにちは、丸山満彦です。

European data Protection Board;EDPBが、第三国当局へのデータ移転に関するGDPR第48条に関するガイドラインを発表し、新しい欧州データ保護シールを承認していますね。ガイドラインは、2025.01.27までパブリックコメントを受け付けています。

欧州の組織が「第三国」(すなわち欧州以外の国)の当局からデータ移転の要請を受けた場合、一般データ保護規則(GDPR)を遵守しなければならないことになりますね。(したがって、第三国当局の判決または決定は、欧州では自動的に承認または執行されることない)。

そこで、第三国当局に個人データを移転するよう要請された場合に、合法的に移転できるかどうかを組織が判断するために策定したのが、このガイドラインということになりますね...

もう一つの決定は、新しい欧州データ保護シールですね...GDPR認証は、組織がデータ保護法を遵守していることを証明することできます。 オランダで実施されている規準が欧州全体でつかえることになったということですね...規準自体は2023.09.19に策定されていますね...

 

European data Protection Board;EDPB

・2024.12.03 EDPB clarifies rules for data sharing with third country authorities and approves EU Data Protection Seal certification

EDPB clarifies rules for data sharing with third country authorities and approves EU Data Protection Seal certification EDPB、第三国当局とのデータ共有ルールを明確化し、EUデータ保護シールを認可
Brussels, 03 December - During its latest plenary, the European Data Protection Board (EDPB) published guidelines on Art.48 GDPR about data transfers to third country authorities and  approved a new European Data Protection Seal. ブリュッセル、12月3日 - 欧州データ保護委員会(EDPB)は最新の本会議で、第三国当局へのデータ移転に関するGDPR第48条に関するガイドラインを発表し、新たな欧州データ保護シールを承認した。
EDPB helps organisations assess data transfer requests by third country authorities EDPBは第三国当局からのデータ移転要請に対する認可を支援する。
In a highly interconnected world, organisations receive requests from public authorities in other countries to share personal data. The sharing of data can, for instance, be of help to collect evidence in the case of crime, to check financial transactions or approve new medications. 高度に相互接続された世界では、認可組織は他国の公的機関から個人データの共有要請を受ける。データの共有は、例えば、犯罪の証拠収集、金融取引のチェック、新薬の承認などに役立つ。
When a European organisation receives a request for a transfer of data from a ‘third country’ (i.e. non-European countries) authority, it must comply with the General Data Protection Regulation (GDPR). In its guidelines, the EDPB zooms in on Art. 48 GDPR and clarifies how organisations can best assess under which conditions they can lawfully respond to such requests. In this way, the guidelines help organisations to make a decision on whether they can lawfully transfer personal data to third country authorities when asked to do so. 欧州の組織が「第三国」(すなわち欧州以外の国)の当局からデータ移転の要請を受けた場合、一般データ保護規則(GDPR)を遵守しなければならない。EDPBはそのガイドラインの中で、GDPR第48条に焦点を当てている。48 GDPRに焦点を当て、どのような条件下でそのような要請に合法的に対応できるかを、組織がどのように評価するのが最善かを明確にしている。このように、ガイドラインは、第三国当局に個人データを移転するよう求められた場合に、合法的に個人データを移転することができるかどうかについて、認可組織が判断する際の一助となるものである。
Judgements or decisions from third countries authorities cannot automatically be recognised or enforced in Europe. If an organisation replies to a request for personal data from a third country authority, this data flow constitutes a transfer and the GDPR applies. An international agreement may provide for both a legal basis and a ground for transfer. In case there is no international agreement, or if the agreement does not provide for an appropriate legal basis or safeguards, other legal bases or other grounds for transfer could be considered, in exceptional circumstances and on a case by case basis.* 第三国当局の判決や決定は、欧州では自動的に承認されたり、執行されたりすることはない。認可機関が第三国当局からの個人データの要求に応じる場合、このデータフローは移転に該当し、GDPRが適用される。国際協定は、移転の法的根拠と根拠の両方をプロバイダに提供することができる。国際協定がない場合、または協定が適切な法的根拠や保護措置を規定していない場合は、例外的な状況において、ケースバイケースで、他の法的根拠や他の移転根拠を考慮することができる*。
The guidelines are subject to public consultation until 27 January 2025. ガイドラインは、2025年1月27日まで公開協議の対象となる。
Approval of EU Data Protection Seal EUデータ保護シールの承認
During the plenary meeting, the Board also adopted an opinion approving the Brand Compliance certification criteria concerning processing activities by controllers or processors. In September 2023, the Board already adopted an opinion on the approval of the Brand Compliance national certification criteria, making them officially recognised certification criteria in the Netherlands for data processing by organisations. The approval of the new opinion means that these criteria will now be applicable across Europe and as a European Data Protection Seal. 理事会は本会議において、管理者または処理者による処理活動に関するブランドコンプライアンスの認証規準を承認する意見書も採択した。理事会はすでに2023年9月に、Brand Complianceの国内認証規準の承認に関する意見を採択しており、これによりオランダでは、組織によるデータ処理に関する認証規準として正式に認められている。新たな意見の承認は、これらの規準が欧州全域で、欧州データ保護シールとして適用されることを意味する。
GDPR certification helps organisations demonstrate their compliance with data protection law. This transparency helps people trust the product, service, process or system for which organisations process their personal data. GDPRの防御は、組織がデータ保護法を遵守していることを証明するのに役立つ。この透明性は、組織が個人データの処理を行う製品、サービス、プロセス、システムを人々がトラストするのに役立つ。

 


 

まずは、「第三国当局へのデータ移転に関するGDPR第48条に関するガイドライン」...

2025.01.27まで受け付けています...

・2024.12.03 Guidelines 02/2024 on Article 48 GDPR

20241207-15431

・[DOCX][PDF] 仮訳

 


個人情報保護委員会

・[PDF] 一般データ保護規則(GDPR)の条文

移転の一般原則...第44条

Article 44 General principle for transfers 第44 条 移転に関する一般原則
Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation. All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons guaranteed by this Regulation is not undermined. 現に取扱われている又は第三国又は国際機関への移転の後に取扱いを意図した個人データ移転は、その第三国又は国際機関か別の第三国又は国際機関への個人データの転送に関するものを含め、本規則の他の条項に従い、本章に定める要件が管理者及び処理者によって遵守される場合においてのみ、行われる。本章の全ての条項は、本規則によって保証される自然人保護のレベルが低下しないことを確保するために適用される。

 

第48条

Article 48 Transfers or disclosures not authorised by Union law 第48 条 EU 法によって認められない移転又は開示
Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer pursuant to this Chapter. 管理者又は処理者に対して個人データの移転又は開示を命ずる第三国の裁判所若しくは法廷の判決及び公的機関の決定は、本章による移転のための別の法的根拠を妨げることなく、いかなる態様によるにせよ、司法共助条約のような要請元である第三国と EU 又は加盟国との間で有効な国際合意に基づく場合においてのみ、認められるか又は執行力を有することができる。

 

ちなみに、日欧間、日英間については、同等性の認定をうけていますので、日欧の間のデータ移転については、EU国内での移転と同様におこなえることになっていますよね...

日EU間・日英間のデータ越境移転について

 


 

次は、GDPR認証...

 

オランダの個人データ保護機関

● Autoriteit Persoonsgegevens

GDPR certificate

GDPR certificate GDPR証明書
A GDPR certificate is a written statement that a product, process or service meets all or certain specific requirements from the General Data Protection Regulation (GDPR). With a GDPR certificate, organisations can show their target group that they process and protect personal data with due care. A GDPR certificate is not mandatory. Applying for a GDPR certificate is currently not yet possible. GDPR証明書とは、製品、プロセス、またはサービスが、一般データ保護規則(GDPR)のすべてまたは特定の要件を満たしていることを示す文書である。GDPR証明書により、組織は個人データを適切に処理し、保護していることをターゲット・グループに示すことができる。GDPR証明書は義務ではない。GDPR証明書の申請は現在まだできない。
Applying for a GDPR certificate GDPR証明書を申請する
Currently, there are no accredited certification bodies in the Netherlands for issuing GDPR certificates. These are bodies that have been accredited by the Dutch Accreditation Council (RvA). As soon as the RvA has accredited certification bodies, you will find this information on our website and in the register on the RvA website. 現在、オランダにはGDPR証明書を発行する認定認証団体はない。これらはオランダ認定審議会(RvA)によって認定された団体である。RvAが認証団体を認定し次第、当社のウェブサイトおよびRvAのウェブサイト上の登録簿にこの情報が掲載される。
As a controller or processor, you can then apply to such certification body for a GDPR certificate. The certification body will then assess whether your product, process or service is eligible for a GDPR certificate 管理者または処理者として、GDPR証明書を当該認証団体に申請することができる。認証団体はその後、貴社の製品、プロセスまたはサービスがGDPR認証の対象となるかどうかをアセスメントする。
Note: The Dutch Data Protection Authority (Dutch DPA) does not issue GDPR certificates itself. If you wish to apply for a GDPR certificate, you need to contact a certification body. 注:オランダデータ保護局(Dutch Data Protection Authority:DPA)はGDPR証明書自体を発行しない。GDPR証明書の申請を希望する場合は、認証団体に連絡する必要がある。
Approval of Brand Compliance criteria ブランドコンプライアンス規準の承認
The Dutch DPA has approved the Brand Compliance criteria (Certification Standard and Criteria BC 5701:2023). However, requesting a GDPR certificate from Brand Compliance is not yet possible. For this, Brand Compliance must first be accredited by the RvA. オランダDPAはブランドコンプライアンス規準(認証標準および規準BC 5701:2023)を承認している。しかし、Brand ComplianceにGDPR証明書を要求することはまだできない。そのためには、まずBrand ComplianceがRvAの認定を受ける必要がある。
If you have any questions about the course of that procedure, please contact Brand Compliance. You may already be able to start preparing for a certification process. Brand Compliance can inform you about this. その手続きの経過について質問がある場合は、ブランド・コンプライアンスに問い合わせること。すでに認証手続きの準備を始めることができるかもしれない。ブランドコンプライアンスからお知らせすることができる。
Only official GDPR certificate is valid GDPRの公式証明書のみが妥当性確認に有効である
To demonstrate your GDPR compliance, you can only use an official GDPR certificate. This is a certificate issued by an organisation accredited by the RvA. A certificate issued by a non-accredited organisation will not be considered a GDPR certificate. GDPRへの準拠を証明するには、公式のGDPR証明書のみを使用することができる。これは、RvAの認定を受けた組織が発行した証明書である。認定を受けていない組織が発行した証明書は、GDPR証明書とはみなされない。
Do you want to be sure that you are dealing with an accredited organisation that is allowed to issue GDPR certificates? Check the register on the RvA website. GDPR証明書の発行を許可されている認定組織と取引していることを確認したい。RvAのウェブサイト上の登録を確認する。
Have you been approached by an organisation offering you a GDPR certificate? GDPR証明書を提供する組織からアプローチを受けたことがあるか?
You may be approached by organisations that offer you a GDPR certificate, but that are still in the process of being accredited. An example is if they are looking for (prospective) customers to demonstrate how their scheme works. This is part of the accreditation process. GDPR証明書を提供しているが、まだ認定を受けていない組織からアプローチされる可能性がある。例えば、そのスキームがどのように機能するかを実証する(見込みのある)顧客を探している場合である。これは認定プロセスの一部である。
Would you like to check whether an organisation you are approached by has an accreditation application pending with the RvA and the Dutch DPA? You can ask the organisation to demonstrate this by showing its correspondence with the Dutch DPA. Are you still having doubts? You can ask your DPO to contact the Dutch DPA to make inquiries. あなたが接触した組織が、RvAとオランダのDPAに認定申請中かどうかを確認したい。オランダのDPAとのやり取りを示すことで、それを証明するよう組織に求めることができる。まだ疑問があるのか?オランダのDPAに問い合わせるようDPOに依頼することができる。
Applying for accreditation as a certification body 認証団体としての認定を申請する
Do you want to issue GDPR certificates as a certification body? You can submit an application for accreditation to the RvA. The Dutch DPA does not accredit certification bodies itself. 認証団体としてGDPR証明書を発行したいのか。RvAに認定申請書を提出することができる。オランダDPAは認証団体を認定しない。
Drawing up a certification scheme for the application 申請のための認証スキームを作成する
Before making an application to the RvA, you have to draw up a certification scheme. As a certification body, you can draw up a scheme yourself. Or you can have this scheme drawn up and managed by an external scheme manager. RvAに申請する前に、認証スキームを作成する必要がある。認証団体として、自らスキームを作成することもできる。または、外部のスキーム管理者にスキームの作成と管理を依頼することもできる。
The certification scheme contains requirements that the certificate holder must meet. The scheme also contains additional requirements for you as a certification body. The Dutch DPA has established these additional requirements and coordinated them with the European Data Protection Board (EDPB). 認証スキームには、認証保有者が満たさなければならない要求事項が含まれている。スキームには、認証機関としての追加要件も含まれている。オランダDPAはこれらの追加要件を定め、欧州データ保護委員会(EDPB)と調整した。
ISO/IEC 17065 standard ISO/IEC 17065標準
The GDPR prescribes the use of the ISO/IEC 17065 standard for accreditation by the RvA. This is the standard for accreditation of certification bodies for products, processes and services. The standard is the basis of the certification scheme. GDPRは、RvAによる認定にISO/IEC 17065標準の使用を規定している。これは、製品、プロセス、サービスに関する認証団体の認定標準である。この標準は、認証スキームの基礎となる。
Assessing the scheme スキームのアセスメント
If you apply to the RvA for accreditation, the RvA will evaluate your certification scheme. The Dutch DPA will then assess whether your certification scheme gives sufficient substance to the relevant requirements under the GDPR. Did the Dutch DPA approve the scheme? Then the accreditation process at the RvA can continue. RvAに認定を申請した場合、RvAは認証スキームを評価する。その後、オランダのDPAは、貴社の認証スキームがGDPRの関連要件を十分に満たしているかどうかを評価する。オランダDPAはスキームを承認したか?その後、RvAにおける認定プロセスを継続することができる。
Note: It is possible that multiple certification schemes that lead to a GDPR certificate will be used in the market. 注:GDPR認証につながる複数の認証スキームが市場で使用される可能性がある。
Steps for accreditation with the Dutch Accreditation Council (RvA) and the role of the Dutch DPA オランダ認定審議会(RvA)による認定のステップとオランダDPAの役割
The accreditation process of the RvA and the role of the Dutch DPA in the approval of certification schemes comprise a number of steps: RvAの認定プロセスおよび認証スキームの承認におけるオランダDPAの役割は、いくつかのステップから構成される:
evaluation by the RvA; RvA による評価
assessment by the Dutch DPA; オランダDPAによるアセスメント
accreditation by the RvA. RvA による認定である。
Evaluation by the RvA RvAによる評価
The RvA assesses whether your application for accreditation can be admitted. RvAは、認定申請が認められるかどうかを評価する。
The RvA conducts a preliminary investigation. This includes an evaluation of the certification scheme drawn up by you or an external scheme manager. RvAは予備調査を行う。これには、本人または外部のスキーム管理者が作成した認証スキームの評価が含まれる。
The RvA concludes the preliminary investigation, subject to approval of the certification scheme by the Dutch DPA. RvAは、オランダDPAによる認証スキームの承認を条件として、予備調査を終了する。
Assessment by the Dutch DPA オランダDPAによるアセスメント
After a positive conclusion of the evaluation by the RvA, the Dutch DPA assesses whether the certification scheme gives sufficient substance to the relevant requirements under the GDPR. RvAによる評価が肯定的に終了した後、オランダDPAは認証スキームがGDPRに基づく関連要件を十分に満たしているかどうかを評価する。
As the certification body or scheme manager, you send the certification scheme to the Dutch DPA. The Dutch DPA will only process your application if the RvA has concluded the evaluation of the scheme with a positive result. And you can demonstrate this. 認証団体またはスキーム管理者として、オランダDPAに認証スキームを送付する。オランダDPAは、RvAがスキームの評価を肯定的な結果で終了した場合にのみ、申請を処理する。そして、それを証明することができる。
The Dutch DPA coordinates the draft decision for approval of the certification scheme with the EDPB. This procedure with the EDPB is in English. This means that you will have to supply the documentation to the EDPB in English. This also applies if you draw up a scheme that is only used in the Netherlands. The further communication from the EDPB to you will also be in English. There is no free translation option through the Dutch DPA or the EDPB. That is why the Dutch DPA recommends that you arrange for a translation into English of all your documentation yourself. オランダDPAは認証スキームの承認決定案をEDPBと調整する。このEDPBとの手続きは英語で行われる。つまり、EDPBに対して英語で文書を提出する必要がある。これは、オランダ国内でのみ使用されるスキームを作成する場合にも適用される。EDPBからあなたへのコミュニケーションも英語で行われる。オランダDPAやEDPBには無料の翻訳オプションはない。そのためオランダDPAは、すべての書類の英訳を自分で手配することを推奨している。
After the Dutch DPA has approved the certification scheme, you send this decision for approval to the RvA. The RvA will then continue the accreditation procedure. オランダDPAが認証スキームを承認した後、この承認決定をRvAに送付する。その後、RvAが認定手続きを継続する。
Accreditation by the RvA RvAによる認定
The RvA will perform an accreditation assessment. RvAは認定審査を行う。
The RvA will make an accreditation decision. After accreditation by the RvA, you are authorised to grant GDPR certificates for the relevant certification scheme. RvAは認定決定を行う。RvAによる認定後、関連する認証スキームのGDPR証明書を付与する権限が付与される。
If the RvA has accredited you, the RvA will also assess you periodically. RvAが貴社を認定した場合、RvAは貴社に対しても定期的にアセスメントを行う。
For more information, see the Accreditation process on the RvA website. 詳細については、RvAのウェブサイトの認定プロセスを参照のこと。
Do you have any questions? 質問はあるか?
Do you have any questions about submitting a certification scheme to the Dutch DPA and having this assessed? Please contact the Dutch DPA by email. 認証スキームをオランダDPAに提出し、アセスメントを受けることについて質問があるか。オランダDPAにEメールで問い合わせること。
Obtaining an approved certification scheme 承認された認証スキームを取得する
Would you like to find out more about an approved certification scheme? Or would you like to know if you can obtain the certification scheme? Please contact the scheme owner. That is the party that developed the certification scheme. 承認された認証スキームについてもっと知りたいか?または、認証スキームを取得できるかどうかを知りたいか。スキーム所有者に連絡すること。認証スキームを開発した当事者である。

 

EDPB...

ブランド・コンプライアンス認証規準に関するオランダ監督当局の決定草案に関する意見15/2023

・2023.09.19 Opinion 15/2023 on the draft decision of the Dutch Supervisory Authority regarding the Brand Compliance certification criteria

・[PDF

20241207-15203

 

 

 

| | Comments (0)

2024.12.03

欧州 EUROPOL 「SIRIUS EU電子証拠状況レポート 2024年」 (2024.11.28)

こんにちは、丸山満彦です。

EUROPOLが、「SIRIUS EU電子証拠状況レポート 2024年」を公表していますね。。。

犯罪捜査、起訴等にために、証拠としてデジタルデータを利用することは重要となってくるが、それが国境を超えていたり、サービスプロバイダーの協力なしには、アクセスできなかったりという状況の中、どうすれば社会全体が適切な状況に保てるのかというのは、なかなか難しい問題ではあります。

日本ではNPOデジタルフォレンジック研究会が20年前の2004年に設立されたわけですので、新しい話ではないが、世の中が変わってきてるが、状況はあまり変わっていないような気もします。これからAIが大量にデジタルデータを作成し始めると、ますます、多くのデータの中に紛れ込む犯罪に関連するデータをどのように入手し、証拠として採用できるようにするのか?というのは重要なんですよね...

 

EUROPOL

・2024.11.28 SIRIUS EU Electronic Evidence Situation Report 2024

SIRIUS EU Electronic Evidence Situation Report 2024 SIRIUS EU 電子証拠状況報告書 2024
The SIRIUS EU Electronic Evidence Situation Report 2024 provides a comprehensive status update based on direct exchange with public and private stakeholders in the field. It also sheds light on some of the challenges – and advantages – offered by the current situation, and looks at possible future developments shaping cross-border access to digital evidence by law enforcement authorities. SIRIUS EU Electronic Evidence Situation Report 2024は、この分野における官民の利害関係者との直接的な意見交換に基づく包括的な最新状況を提供する。また、現在の状況によってもたらされる課題と利点のいくつかに光を当て、法執行当局によるデジタル証拠への国境を越えたアクセスを形成する、将来起こりうる展開についても考察している。
As legislation regulating the EU digital sphere evolves, the needs of law enforcement remain unchanged; to take speedy action and keep communities safe. For EU law enforcement authorities, the criminal investigations and prosecutions of today cannot be disconnected from the need to access digital data and electronic evidence. EUのデジタル領域を規制する法律が進化しても、法執行当局のニーズは変わらない。EU法執行当局にとって、今日の犯罪捜査と訴追は、デジタルデータと電子証拠へのアクセスの必要性と切り離すことはできない。
Sirius Electronic Evidence Situation Report 2024 SIRIUS電子証拠状況報告書2024
2024 Sirius Report factsheet from perspective of judicial authorities SIRIUS報告書2024 ファクトシート:司法当局の視点から
2024 Sirius Report factsheet from perspective of service providers SIRIUS報告書2024 ファクトシート:サービスプロバイダーの視点から
2024 Sirius Report factsheet from perspective of EU law enforcement SIRIUS報告書2024 ファクトシート:EU法執行機関の視点から

 

報告書...

・[PDF] Sirius Electronic Evidence Situation Report 2024

20241203-20630

・[DOCX][PDF] 仮訳

 

EXECUTIVE SUMMARY  エグゼクティブサマリー 
For EU competent authorities, the investigation and prosecution of crime in the current EU landscape cannot be disconnected from the need to access digital data and reliance on electronic evidence. As legislation regulating the EU digital sphere evolves, the panorama of cross-border access to electronic evidence remains largely unchanged compared to previous years, as emerging from the annual editions of this report.   EUの管轄当局にとって、現在のEUの状況における犯罪の捜査と訴追は、デジタルデータへのアクセスや電子証拠への依存の必要性と切り離すことはできない。EUのデジタル領域を規制する法律が進化するにつれ、本報告書の年次版から浮かび上がるように、電子証拠への国境を越えたアクセスのパノラマは、以前と比較してほとんど変わっていない。  
Despite significant advancements, such as the EU Digital Services Act, the EU Electronic Evidence legislative package, and the Second Additional Protocol to the Budapest Convention on Cybercrime, the approach of EU competent authorities towards current instruments of judicial cooperation and voluntary cooperation with foreign service providers remains unchanged. Both channels, despite their advantages, face ongoing challenges. While judicial cooperation proves inadequate due to its cumbersome and lengthy procedures, the immediacy of voluntary cooperation exchanges lacks legal certainty for the entities affected. It may, for example, put service providers in a position where complying with data requests from foreign authorities could conflict with their home jurisdiction’s laws. Operating within a fragmented national and international legal framework, EU competent authorities involved in criminal investigations requiring access to cross-border digital data do not yet see their duties simplified.   EUデジタルサービス法、EU電子証拠法パッケージ、サイバー犯罪に関するブダペスト条約第2追加議定書といった重要な進歩にもかかわらず、司法協力や外国のプロバイダとの自主的協力といった現行の手段に対するEUの管轄当局のアプローチは変わっていない。どちらの手段も、その利点にもかかわらず、現在進行中の課題に直面している。司法協力はその煩雑で長い手続きのために不十分であることが判明しているが、自主的な協力交換の即時性は、影響を受ける事業体にとって法的確実性に欠ける。例えば、プロバイダが外国当局からのデータ要求に応じることで、自国の司法管轄区域の法律に抵触する可能性がある。断片化された国内および国際的な法的枠組みの中で活動するEUの認可当局は、国境を越えたデジタルデータへのアクセスを必要とする犯罪捜査に関与しているが、その義務はまだ簡素化されていない。  
Pooling together strengths and weaknesses, and threats and opportunities affecting the wide field of cross-border access to electronic evidence for the purpose of EU criminal investigations, this report is based on direct exchange with main stakeholders in the field.  本報告書は、EUの犯罪捜査のために、国境を越えて電子証拠にアクセスするという広い分野に影響を与える強みと弱み、脅威と機会をまとめ、この分野の主要な利害関係者との直接の意見交換に基づいている。 
From the perspective of EU law enforcement, the report highlights that direct requests under voluntary cooperation remain the primary tool for acquiring data in electronic format from social media platforms, messaging apps and cryptocurrency exchanges. Confirmed as the most relevant service providers in criminal investigations in 2023, they were mainly targeted for the disclosure of non-content data – such as connection logs, user names and IP addresses. While the relevance of Single Points of Contact (SPoCs) (1) in all aspects of cross-border engagement with the industry remains significant in guaranteeing higher compliance rates of requests, EU law enforcement also benefits from a steady increase in the level of training received, year after year, on electronic evidence matters. Challenges, however, persist, particularly in the form of lengthy judicial cooperation procedures as well as fragmentation of companies’ policies for cross-border cooperation. The new legislative instruments in the EU Electronic Evidence legislative package, though not yet known in detail by authorities, appear to be met with a mixture of positive expectations, as well as some concerns. The lack of clarity over key concepts, the exact scope or providers covered, as well as the potential transformation of the roles of law enforcement authorities, are some of the issues highlighted by the direct feedback of the EU law enforcement surveyed. From a more general point of view, although not yet a concrete issue, the potential abuse of AI-related technological developments is expected to present new challenges for investigating authorities.  EU法執行機関の視点から、報告書は、自主的な協力に基づく直接請求が、ソーシャルメディア・プラットフォーム、メッセージングアプリ、暗号通貨取引所から電子形式のデータを取得するための主要な手段であり続けていることを強調している。2023年の犯罪捜査において最も関連性の高いプロバイダとして確認されたこれらのプロバイダは、主に非コンテンツデータ(接続ログ、ユーザー名、IPアドレスなど)の開示を対象としていた。この業界との国境を越えた関与のあらゆる側面において、シングル・コンタクト・ポイント(SPoC)(1) の関連性は、より高い要求遵守率を保証する上で依然として重要であるが、EUの法執行機関もまた、電子証拠に関する研修のレベルが年々着実に向上している恩恵を受けている。しかし、特に司法協力手続きに時間がかかることや、国境を越えた協力に対する企業の方針が断片的であることなど、課題も残っている。EUの電子証拠法パッケージにおける新たな立法措置は、当局によってまだ詳細に知られていないものの、肯定的な期待といくつかの懸念が混在しているように思われる。重要な概念、対象となる正確な範囲やプロバイダ、法執行当局の役割の変容の可能性などが明確になっていないことは、調査対象となったEU法執行当局の直接のフィードバックによって強調された問題点の一部である。より一般的な視点からは、まだ具体的な問題ではないが、AI関連の技術開発の潜在的な悪用は、捜査当局に新たな課題をもたらすと予想される。 
From the perspective of judicial authorities, judicial cooperation channels remain the preferred method for obtaining electronic data from service providers located abroad. However, these channels often prove inadequate due to their slow processes, which can lead to the loss of crucial data. To mitigate these delays, some EU Member States’ authorities have resorted to direct voluntary cooperation with foreign service providers.  司法当局の視点からは、海外にあるサービス・プロバイダから電子データを入手する方法として、司法協力ルートが依然として好まれている。しかし、このような手段は、そのプロセスの遅さゆえに不十分であることがしばしば判明し、重要なデータの喪失につながりかねない。こうした遅れを軽減するため、EU加盟国の当局の中には、海外のサービスプロバイダーとの直接的な自発的協力に頼っているところもある。 
Significant advancements are anticipated with the introduction of the EU Electronic Evidence legislative package and the Second Additional Protocol to the Budapest Convention on Cybercrime. Designed to be more efficient and flexible than existing judicial cooperation tools, these instruments will significantly enhance the toolkit available to EU judicial authorities, providing more robust and streamlined mechanisms for accessing electronic evidence across borders. However, these new legal frameworks will not address one of the key challenges identified by EU judicial authorities: the absence of a data retention framework for law enforcement purposes.  EU電子証拠法パッケージおよびサイバー犯罪に関するブダペスト条約第2追加議定書の序文により、大きな進展が期待される。既存の司法協力ツールよりも効率的で柔軟なものに設計されたこれらの文書は、EU司法当局が利用できるツールキットを大幅に強化し、国境を越えて電子証拠にアクセスするための、より強固で合理的なメカニズムを提供する。しかし、これらの新しい法的枠組みは、EU司法当局が指摘する重要な課題のひとつ、法執行目的のデータ保持の枠組みの欠如には対処できない。 
Additionally, the report underscores the importance of continuous capacity building on both existing and forthcoming data acquisition modalities. This is crucial for enabling EU judicial authorities to navigate the complexities of the legal landscape and maximise the benefits of the new instruments for effective cross-border access to electronic evidence.   さらに報告書は、既存のデータ取得方法と今後導入されるデータ取得方法の両方について、継続的に能力開発を行うことの重要性を強調している。これは、EUの司法当局が複雑な法的状況を乗り切り、電子証拠への効果的な国境を越えたアクセスを可能にする新たな手段の利点を最大化するために極めて重要である。  
From the perspective of service providers, the volume of requests for data disclosure has increased, but the processes for direct and voluntary cooperation have not recorded additional challenges as reported in the past, as this report shows. Conversely, as public-private cooperation improves, the challenges reported – such as overly broad requests, lack of contextual information or misunderstandings of services and policies provided, appear solvable through better communication and more targeted educational effort. SPoCs remain, also in the eyes of the industry, an efficient model to be multiplied and expanded within the current legislative framework and maintained in the future framework following the implementation of the EU Electronic Evidence legislative package.   サービス・プロバイダの視点から見ると、データ開示請求の量は増加しているが、本報告書が示すように、直接協力や自発的協力のプロセスは、過去に報告されたような新たな課題を記録していない。逆に、官民協力が改善されるにつれて、報告された課題-過度に広範な要求、文脈に沿った情報の欠如、提供されるサービスや政策に対する誤解など-は、より良いコミュニケーションと、より的を絞った教育努力によって解決可能であるように思われる。SPoCは、業界の目から見ても、現行の法的枠組みの中で増殖・拡大されるべき効率的なモデルであり、EU電子証拠法パッケージの実施後の将来の枠組みにおいても維持されるべきものである。  
On legislative developments affecting the electronic evidence field, while feedback remains varied, providers are more vocal about their expectations for improved quality and frequency of efforts by main EU Institutions responsible for policy implementation. Recognising the substantial changes the new framework will introduce, providers regard the envisaged decentralised IT system for secure digital communication and data exchange as raising the biggest concerns.  電子証拠分野に影響を及ぼす法整備については、依然として様々な意見があるが、プロバイダは、政策実施を担当する主要なEU機構による取り組みの質と頻度の改善に対する期待について、より大きな声を上げている。プロバイダは、新しい枠組みが導入する大幅な変化を認識しつつ、安全なデジタルコミュニケーションとデータ交換のために想定される分散型ITシステムが最大の懸念を引き起こしていると考えている。 
Finally, all public and private stakeholders involved in the preparation of this report view the SIRIUS Project, with its knowledge acquired and developed thus far, and its pivotal role as a centre of excellence in the EU on electronic evidence matters, as an essential actor in the present and future of the electronic evidence field.  最後に、本報告書の作成に関わったすべての官民の利害関係者は、SIRIUSプロジェクトが、これまでに獲得・開発された知識、および電子証拠に関するEUにおける卓越したセンターとしての極めて重要な役割を持つことから、電子証拠分野の現在および将来において不可欠なアクターであると考えている。 

 

 

 

| | Comments (0)

2024.11.25

欧州 ENISA NIS投資報告書 2024

こんにちは、丸山満彦です。

ENISAが、Network and Information Security Investments Report 2024を公表していますね...

2020年から初めて今年で5年目ですね...

NIS2の施行も始まりましたし、サイバーセキュリティがますます注目されますね...今年の調査からNIS2であらたに規制対象となる産業分野も調査しているようですね...

情報セキュリティ支出は増加ている一方、IT部門の従業員に占める情報っセキュリティ専任者の割合は4年連続で低下しているようですね...特に技術的な専門知識を必要とする職務の充足に苦労しているとのこと...特に中小企業...

日本もそうですが、欧州も同じですね...きっと米国も...

事業体の90%が、来年はサイバー攻撃の量、コストが増加すると予想しているようです...

 

EU及びその諸国が政策を立案する際の参考にするために、行なっているようです。今年で5年目!

EUもグローバルの比較データが欲しいと思うので(一部は組み込まれていますが、、、)、日本も政策立案の際には必要となるのでしょうから、調整をして同じ調査をしても良いように思うんですけどね。。。どうかしら。。。

日本って政策立案についての定量的な分析を十分にせずに、一部の、政府職員、政治家、一部有識者?、それらの取り巻き?の思い、思いつきできまってしまうことが多くないでしょうかね。。。もう少し定量データ等を取り入れたらどうでしょうかね。。。

IPAが情報セキュリティ白書をだしていますが、読み物だけでなく、経年データのあるデータ編があると良いと思うんですよね...

 

ENISA

プレス...

・2024.11.21 Navigating cybersecurity investments in the time of NIS 2

Navigating cybersecurity investments in the time of NIS 2 NIS 2の時代にサイバーセキュリティ投資をナビゲートする
The latest report of the European Union Agency for Cybersecurity (ENISA) aims to support policy makers in assessing the impact of the current EU cybersecurity framework, and particularly the NIS 2 Directive, on cybersecurity investments and the overall maturity of organisations in scope. 欧州連合サイバーセキュリティ機関(ENISA)の最新報告書は、現在のEUサイバーセキュリティの枠組み、特にNIS 2指令がサイバーセキュリティ投資と対象組織の全体的な成熟度に与える影響を評価し、政策立案者を支援することを目的としている。
The fifth iteration of the NIS Investments report provides key insights into how organisations in scope of the NIS 2 Directive allocate their cybersecurity budgets, build their capabilities, and mature in line with the Directive’s provisions, while also exploring global cybersecurity trends, workforce challenges, and the impact of AI.  NIS投資報告書の第5版では、NIS 2指令の適用範囲にある組織がどのようにサイバーセキュリティ予算を配分し、能力を構築し、指令の規定に沿って成熟しているかについて重要な洞察を提供するとともに、世界のサイバーセキュリティの動向、労働力の課題、AIの影響についても探求している。
The report further provides insights into the readiness of entities to comply with new requirements introduced by key horizontal (e.g. CRA) and sectorial (e.g. DORA, NCCS) legislation, while also exploring the challenges they face.   本報告書はさらに、事業体が直面する課題を探りながら、主要な水平法(CRAなど)や分野別法(DORA、NCCSなど)によって導入された新たな要件を遵守するための準備態勢についての洞察を提供している。
The EU Agency for Cybersecurity Executive Director, Juhan Lepassaar, highlighted: “The NIS 2 Directive signifies a turning point in Europe's approach to cybersecurity. Within a fast evolving and complex threat landscape, the proper implementation of the NIS 2 requires adequate investments and especially into the new sectors which fall under the scope of the updated Directive. The ENISA NIS Investments report provides evidence-based feedback to policymakers and stakeholders regarding NIS-driven investments. These insights are essential for informed decision-making and addressing potential hurdles and gaps in cybersecurity policy implementation.”  EUサイバーセキュリティ機関のジュハン・レパサー事務局長は、次のように強調した: 「NIS 2指令は、サイバーセキュリティに対する欧州のアプローチの転換点を意味する。急速に進化する複雑な脅威の状況の中で、NIS 2を適切に実施するためには、適切な投資が必要であり、特に更新された指令の範囲に含まれる新しいセクターへの投資が必要である。ENISA NIS投資報告書は、NIS主導の投資に関して、政策立案者や利害関係者にエビデンスに基づくフィードバックを提供する。これらの洞察は、十分な情報に基づいた意思決定や、サイバーセキュリティ政策の実施における潜在的なハードルやギャップに対処するために不可欠である」。
The 2024 edition features a significant enhancement compared to previous versions, as it extends the survey sample to include sectors and entities that are in scope of NIS 2. Through this approach, this report provides a pre-implementation snapshot of relevant metrics for the new sectors and entities under NIS 2, laying a foundation for future assessments of the impact of NIS 2. Additionally, it includes a sectorial deep dive in the Digital infrastructure and Space sectors.  2024年版の特徴は、NIS 2の対象となる事業体やセクターを調査対象に加えたことである。 このアプローチにより、本報告書は、NIS 2の対象となる新たなセクターや事業体に関する関連指標の導入前スナップショットを提供し、NIS 2の影響に関する将来のアセスメントの基礎を築く。 さらに、デジタルインフラと宇宙セクターのセクター別深堀り調査も含まれている。
Data were collected from 1350 organisations from all EU Member States covering all NIS2 sectors of high criticality, as well as the manufacturing sector.  データは、製造事業者だけでなく、重要度の高いNIS2の全分野をカバーする全EU加盟国の1350組織から収集された。
Key findings  主な調査結果 
Information security now represents 9% of EU IT investments, a significant increase of 1.9 percentage points from 2022, marking the second consecutive year of growth in cybersecurity investment post-pandemic.  EUのIT投資に占める情報セキュリティの割合は9%となり、2022年から1.9ポイントの大幅な伸びを示し、パンデミック以降2年連続でサイバーセキュリティへの投資が増加している。
In 2023, median IT spending for organisations rose to EUR 15 million, with information security spending doubling from EUR 0.7 million to EUR 1.4 million.  2023年には、組織のIT支出の中央値は1,500万ユーロに上昇し、情報セキュリティ支出は0.7百万ユーロから1.4百万ユーロに倍増する。
For the fourth consecutive year, the percentage of IT  Full Time Equivalents (FTEs) dedicated to information security has declined, from 11.9% to 11.1%. This decrease may reflect recruitment challenges, with 32% of organisations—and 59% of SMEs—struggling to fill cybersecurity roles, particularly those requiring technical expertise. This trend is especially notable given that 89% of organisations expect to need additional cybersecurity staff to comply with NIS2.  IT部門のフルタイム従業員(FTE)に占める情報セキュリティ専任者の割合は4年連続で低下し、11.9%から11.1%になった。この減少は、サイバーセキュリティの職務、特に技術的な専門知識を必要とする職務の充足に苦労している組織が32%、中小企業が59%に上るという、採用上の課題を反映している可能性がある。89%の組織がNIS2に準拠するためにサイバーセキュリティ担当者の増員を必要としていることを考えると、この傾向は特に注目に値する。
New NIS2 sectors are comparable in cybersecurity spending to existing NIS Directive entities, with their investments largely focused on developing and maintaining baseline cybersecurity capabilities. Emerging areas, such as post-quantum cryptography, receive limited attention with only 4% of surveyed entities investing and 14% planning future investments.  新規のNIS2セクターは、既存のNIS指令事業体と同程度のサイバーセキュリティ支出を行っており、その投資は主に基本的なサイバーセキュリティ能力の開発と維持に集中している。耐量子暗号のような新分野への注目度は低く、調査対象事業体のわずか4%が投資し、14%が将来の投資を計画しているにすぎない。
The majority of organisations anticipate a one-off or permanent increase in their cybersecurity budgets for compliance with NIS 2. Notably, a substantial number of entities will not be able to ask for the required additional budget, a percentage that is especially high for SMEs (34%).   大半の事業体は、NIS 2に準拠するためにサイバーセキュリティ予算の単発的または恒久的な増加を見込んでいる。注目すべきは、相当数の事業体が必要な追加予算を要求できないことであり、その割合は特に中小企業(34%)で高い。 
90% of entities expect an increase in cyberattacks next year, in terms of volume, costliness or both. Despite that, 74% focus their cybersecurity preparedness efforts internally, with much lower participation in national or EU-level initiatives. This gap underscores a critical area for improvement, as effective cross-border cooperation in managing large-scale incidents can only be achieved at these higher levels.  事業体の90%が、来年はサイバー攻撃の量、コスト、またはその両方が増加すると予想している。にもかかわらず、74%はサイバーセキュリティ対策に社内で注力しており、国やEUレベルのイニシアティブへの参加はかなり低い。このギャップは、大規模なインシデントに対処するための効果的な国境を越えた協力は、これらのより高いレベルでしか達成できないため、改善すべき重要な領域であることを強調している。
Overall awareness among in-scope entities is encouraging, with 92% being aware of the general scope or specific provisions of the NIS 2 Directive. However, a notable percentage of entities in certain new NIS 2 sectors remain unaware of the Directive, suggesting a potential need for increased awareness campaigns by the national competent authorities.  対象事業体の全体的な認知度は高く、92%がNIS 2指令の一般的な範囲または特定の規定を知っている。しかし、特定の新しいNIS 2セクターの事業体では、依然としてこの指令を知らない事業体の割合が目立っており、各国の所轄官庁による認知度向上キャンペーンの潜在的な必要性を示唆している。
Entities in sectors already covered by NIS outperform those newly included under NIS 2 across various cybersecurity governance, risk, and compliance metrics. Similarly, entities in new NIS 2 sectors show lower engagement and higher non-participation rates in cybersecurity preparedness activities. This highlights the positive impact the NIS Directive has had on the sectors already in scope; and creates anticipation for the impact NIS 2 will have on the new sectors.  すでにNISの対象となっているセクターの事業体は、さまざまなサイバーセキュリティガバナンス、リスク、コンプライアンスの指標において、新たにNIS 2の対象となったセクターを上回っている。同様に、新たにNIS 2の対象となった事業体では、サイバーセキュリティ対策活動への参加率が低く、不参加率が高い。このことは、NIS指令がすでに対象となっているセクターにプラスの影響を与えていることを浮き彫りにしており、NIS 2が新たなセクターに与える影響への期待を高めている。
Through the years, the series of the NIS Investments report provide a rich historical dataset which, building on this year’s foundation, will allow us to gain insights into the effect of NIS 2 on new entities within its scope.   長年にわたり、NIS投資報告書のシリーズは豊富な歴史的データセットを提供しており、今年の基礎の上に、NIS 2がその範囲内の新たな事業体に与える影響についての洞察を得ることができるだろう。 
Further Information  詳細情報 
NIS Investments Report 2024  NIS投資報告書2024
NIS Investments Report 2023 — ENISA  NIS投資報告書2023 - ENISA
NIS Investments 2022 — ENISA  NIS投資報告書2022 - ENISA
Cybersecurity Investment: Spotlight on Vulnerability Management — ENISA  サイバーセキュリティ投資: 脆弱性管理に注目 - ENISA

 

・2024.11.21 NIS Investments 2024

NIS Investments 2024 NIS投資 2024
This report aims at providing policy makers with evidence to assess the effectiveness of the existing EU cybersecurity framework specifically through data on how the NIS Directive has influenced cybersecurity investments and overall maturity of organisations in scope. As 2024 is the year of the transposition of NIS 2, this report also intends to capture a pre-implementation snapshot of the relevant metrics for new sectors and entities in scope of NIS 2 to help future assessments of the impact of NIS 2. This fifth iteration of the report presents data from 1350 organisations from all 27 EU Member States covering all NIS 2 sectors of high criticality, as well as the manufacturing sector. 本報告書の目的は、NIS指令が対象組織のサイバーセキュリティ投資と全体的な成熟度にどのような影響を与えたかに関するデータを通じて、特に政策立案者に既存のEUサイバーセキュリティの枠組みの有効性を評価するための証拠を提供することである。2024年はNIS 2の移行の年であるため、本レポートは、NIS 2の適用対象となる新たなセクターや事業体に関する関連指標の導入前のスナップショットを取得し、NIS 2の影響に関する将来のアセスメントに役立てることも意図している。 本報告書の第5版では、NIS 2のすべての重要度の高いセクターと製造事業者を対象に、EU全27加盟国の1350組織のデータを紹介している。

 

・[PDF]

20241125-01614

 

目次...

EXECUTIVE SUMMARY エグゼクティブサマリー
1. INTRODUCTION 1. 序文
2. INFORMATION SECURITY DYNAMICS AND OUTLOOK 2. 情報セキュリティの動態と展望
2.1 INFORMATION SECURITY SPENDING 2.1 情報セキュリティ支出
2.1.1 Forecast spending on information security and risk management 2.1.1 情報セキュリティとリスクマネジメントへの支出の見通し
2.1.2 Information security spending 2.1.2 情報セキュリティ支出
2.2 CYBERSECURITY PRIORITIES 2.2 サイバーセキュリティの優先事項
2.2.1 Investment Priorities 2.2.1 投資の優先順位
2.2.2 Third-Party Cyber Risk Management 2.2.2 サードパーティサイバーリスク管理
2.3 CYBERSECURITY WORKFORCE CHALLENGES 2.3 サイバーセキュリティ人材の課題
2.3.1 Information security staffing 2.3.1 情報セキュリティ人材の確保
2.3.2 Talent scarcity and impacts 2.3.2 人材不足とその影響
2.4 IMPACT OF ARTIFICIAL INTELLIGENCE (AI) 2.4 人工知能(AI)の影響
2.4.1 Cybersecurity of AI and AI for cybersecurity 2.4.1 AIのサイバーセキュリティとサイバーセキュリティのためのAI
2.5 CYBERSECURITY INCIDENTS AND VULNERABILITIES 2.5 サイバーセキュリティのインシデントと脆弱性
2.5.1 Cybersecurity incidents 2.5.1 サイバーセキュリティ事件
2.5.2 Vulnerabilities 2.5.2 脆弱性
3. INFORMATION SECURITY INVESTMENTS 3. 情報セキュリティ投資
3.1 METHODOLOGY 3.1 方法論
3.2 SPENDING ON INFORMATION SECURITY 3.2 情報セキュリティへの支出
3.2.1 IT spending 3.2.1 IT投資
3.2.2 IS spending 3.2.2 IS投資
3.2.3 IS spending as a share of IT spending 3.2.3 IT支出に占めるIS支出の割合
3.2.4 Investment in post-quantum cryptography (PQC) 3.2.4 耐量子暗号(PQC)への投資
3.3 INFORMATION SECURITY AND NIS STAFFING 3.3 情報セキュリティとNISの人員配置
3.3.1 IT FTEs 3.3.1 IT FTE
3.3.2 IS FTEs 3.3.2 IS FTE
3.3.3 IS FTEs as a share of IT FTEs 3.3.3 IT FTEに占めるIS FTEの割合
3.3.4 Security domains with difficulties in hiring 3.3.4 採用が困難なセキュリティ領域
3.3.5 Staffing evolution to comply with the DORA 3.3.5 DORAに対応するための人員配置の変遷
3.3.6 Staffing evolution to comply with the cybersecurity network code for electricity 3.3.6 電力のサイバーセキュリティネットワークコードに準拠するための人員配置の変遷
4. NIS 2 DIRECTIVE READINESS 4. NIS 2指令の準備
4.1 NIS 2 AWARENESS 4.1 NIS 2に対する認識
4.2 MOST CHALLENGING NIS 2 REQUIREMENTS 4.2 最も困難なNIS 2要件
4.3 NIS 2 BUDGET ARRANGEMENTS 4.3 NIS 2予算の取り決め
4.4 STAFFING EVOLUTION TO COMPLY WITH NIS2 4.4 NIS2に準拠するためのスタッフの進化
5. CYBERSECURITY GOVERNANCE AND RISK MANAGEMENT 5. サイバーセキュリティガバナンスとリスクマネジメント
5.1 LEADERSHIP INVOLVEMENT IN CYBERSECURITY 5.1 リーダーシップによるサイバーセキュリティへの関与
5.2 CYBERSECURITY RISK MANAGEMENT FOR THIRD PARTIES 5.2 サードパーティのサイバーセキュリティリスクマネジメント
5.3 IT/OT PRODUCTS SECURITY 5.3 IT/OT製品のセキュリティ
5.4 PERCEIVED CYBER-RISK MANAGEMENT MATURITY 5.4 認知されたサイバーリスクマネジメントの成熟度
5.5 PERCEIVED NETWORK AND INFORMATION SECURITY MATURITY 5.5 ネットワークと情報セキュリティの成熟度の認識
5.6 INFORMATION SHARING 5.6 情報共有
5.7 CYBER RESILIENCE ACT (CRA) 5.7 サイバーレジリエンス法(CRA)
5.8 EU CYBERSECURITY CERTIFICATION 5.8 EUサイバーセキュリティ認証
6. CYBER ATTACK EXPECTATIONS AND PREPAREDNESS 6. サイバー攻撃に対する期待と準備
6.1 CYBER ATTACK EXPECTIONS 6.1 サイバー攻撃への期待
6.2 PERCEIVED CYBER-ATTACK DETECTION AND RESPONCE CAPABILITY MATURITY 6.2 サイバー攻撃の検知と対応能力の成熟度の認識
6.3 PARTICIPATION TO CYBERSECURITY PREPAREDNESS INITIATIVES 6.3 サイバーセキュリティ対策への参加
7. SECTORAL ANALYSIS: DIGITAL INFRASTRUCTURE 7. セクター別分析:デジタルインフラ
7.1 DIGITAL INFRASTRUCTURE SERVICES 7.1 デジタルインフラサービス
7.2 TELECOMMUNICATION SERVICES 7.2 電気通信サービス
7.3 SCOPE OF OPERATIONS 7.3 業務範囲
7.4 INCIDENT NOTIFICATION OBLIGATIONS 7.4 インシデント通知義務
7.5 CYBERSECURITY FRAMEWORKS 7.5 サイバーセキュリティの枠組み
7.6 CYBERSECURITY SERVICES 7.6 サイバーセキュリティサービス
7.7 HIGH RISK VENDORS 7.7 リスクの高いベンダー
8. SECTORAL ANALYSIS: SPACE 8. セクター別分析:宇宙
8.1 SPACE ENTITIES PROFILE 8.1 宇宙事業体のプロフィール
8.2 COTS (COMMERCIAL OFF THE SHELF) USAGE 8.2 COT(市販品)の使用状況
8.3 SECURITY OF COTS PRODUCTS 8.3 市販製品のセキュリティ
8.4 USE OF CLOUD SERVICES 8.4 クラウドサービスの利用
8.5 USE OF 3RD PARTY SUPPLIERS 8.5 第三者サプライヤーの利用
8.6 CYBERSECURITY POSTURE STRENGTHENING 8.6 サイバーセキュリティ態勢の強化
9. COMPARING SMES AND LARGE ENTERPRISES 9. 中小企業と大企業の比較
10.CONCLUSIONS 10.結論
11.ANNEX A – DEMOGRAPHICS 11.附属書 A - 人口統計
12.ANNEX B – DEFINITIONS 12.附属書 B - 定義
12.1MEDIAN AND AVERAGE DEFINITIONS 12.1 中央値と平均値の定義
12.2CAGR DEFINITION 12.2 CAGRの定義
12.3SME DEFINITION 12.3 SMEの定義
12.4MAPPING OF ECSF PROFILES TO SECURITY DOMAINS 12.4 セキュリティ・ドメインへのECSFプロファイルのマッピング

 

エグゼクティブサマリーと序文...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
This report aims at providing policy makers with evidence to assess the effectiveness of the existing EU cybersecurity framework specifically through data on how the NIS Directive has influenced cybersecurity investments and overall maturity of organisations in scope. As 2024 is the year of the transposition of NIS 2, this report also intends to capture a pre-implementation snapshot of the relevant metrics for new sectors and entities in scope of NIS 2 to help future assessments of the impact of NIS 2.  本報告書の目的は、NIS指令が対象組織のサイバーセキュリティ投資と全体的な成熟度にどのような影響を与えたかに関するデータを通じて、特に政策立案者に既存のEUサイバーセキュリティフレームワークの有効性を評価するための証拠を提供することである。2024年はNIS 2の移行の年であるため、本報告書は、NIS 2の適用対象となる新たなセクターや事業体に関する関連指標の実施前スナップショットを取得し、NIS 2の影響に関する将来のアセスメントに役立てることも意図している。
This fifth iteration of the report presents data from 1350 organisations from all 27 EU Member States covering all NIS 2 sectors of high criticality, as well as the manufacturing sector. As the past couple of years have been characterised by a proliferation of the EU cybersecurity policy framework with the introduction of key horizontal (e.g. CRA) and sectorial (e.g. DORA, NCCS) legislation, the report provides insights into the readiness of entities to comply with these new requirements, as well as into the challenges they face. Moreover, a sectorial deep dive was conducted for entities in the Digital infrastructure and Space sectors. Key findings from the report include: 本報告書の5回目となる今回は、製造事業者に加え、重要度の高いNIS 2の全分野をカバーするEU加盟国全27カ国の1350組織のデータを紹介する。ここ数年、EUのサイバーセキュリティ政策の枠組みは、重要な水平法(CRAなど)および分野別法(DORA、NCCSなど)の序文が導入され、その拡散が特徴となっている、 本報告書は、事業体がこれらの新たな要件に準拠するための準備態勢や直面する課題についての洞察を提供している。さらに、デジタルインフラと宇宙分野の事業体について、分野別の深堀りを行った。本レポートの主な調査結果は以下の通りである:
• Organisations earmark 9,0% of their IT investments for Information Security, a significant increase of 1.9 percentage points compared to last year.  - 組織はIT投資の9.0%を情報セキュリティに充てており、昨年と比較して1.9ポイントの大幅増となった。
• Organisations allocate 11,1% of their IT FTEs for information security a decrease of 0,8% compared to last year, despite the overall increase in cybersecurity spending and the fourth year in a row where a decrease in this metric is observed.  - サイバーセキュリティへの支出が全体的に増加しているにもかかわらず、組織はIT FTE数の11.1%を情報セキュリティに割り当てており、昨年と比較して0.8%減少している。
• 89% of organisations will require more cybersecurity staff to comply with NIS 2, primarily in the cybersecurity architecture and engineering (46%) and cybersecurity operations (40%) domains. - 組織の89%は、NIS 2に準拠するために、サイバーセキュリティ・アーキテクチャとエンジニアリング(46%)とサイバーセキュリティ・オペレーション(40%)を中心に、より多くのサイバーセキュリティ・スタッフを必要としている。
• Organisations will also need additional FTEs to comply with other horizontal (CRA - 85%) or vertical (DORA - 84%; NCCS - 81%) cybersecurity legislation.  - 組織はまた、他の水平的(CRA - 85%)または垂直的(DORA - 84%、NCCS - 81%)サイバーセキュリティ法制に準拠するために、FTEを追加する必要がある。
• Most organisations anticipate a one-off or permanent increase in their cybersecurity budgets for compliance with NIS 2 though a substantial number of entities will not be able to ask for the required additional budget, a percentage that is especially high for SMEs (34%).  - ほとんどの事業体は、NIS 2に準拠するためにサイバーセキュリティ予算が単発的または恒久的に増加すると見込んでいるが、必要な追加予算を要求できない事業体も相当数あり、その割合は特に中小企業で高い(34%)。
• 51% of surveyed organisations reported that their leadership participates in dedicated cybersecurity training a 2% increase compared to last year. - 調査対象となった組織の51%が、自社のリーダーシップがサイバーセキュリティの専門トレーニングに参加していると回答した。
• Sectors previously covered by NIS reported higher perceived maturity in cyberrisk management (6.8 vs. 6.2), network and information security arrangements (7 vs. 6.3), and cyber-attack detection and response capability (7.1 vs. 6.3) compared to new sectors.  - 以前NISの対象であったセクターは、新しいセクターと比較して、サイバーリスク管理(6.8対6.2)、ネットワークと情報セキュリティの取り決め(7対6.3)、サイバー攻撃の検知と対応能力(7.1対6.3)において、より高い成熟度を認識していると報告した。
• Sectors newly covered by the NIS 2 Directive in most cases lag behind sectors already covered by it in areas such as participation in information-sharing initiatives (60% non-participation), participation in cybersecurity preparedness initiatives, controls to establish trust in supply chain (20% implicitly trust it).  - 情報共有イニシアティブへの参加(60%が不参加)、サイバーセキュリティ準備イニシアティブへの参加、サプライチェーンにおける信頼確立のための管理(20%が暗黙のうちに信頼している)といった分野では、ほとんどの場合、新たにNIS 2指令の対象となったセクターは、すでに対象となったセクターに遅れをとっている。
• Only 4% of organisations have already invested in Post-Quantum Cryptography, while 68% of respondents indicated that they will not invest in QSC.  - 耐量子暗号に投資済みの組織はわずか4%で、回答者の68%は耐量子暗号には投資しないと回答している。
• 90% of entities expect an increase in cyberattacks in the coming year. Despite this, participation in cybersecurity preparedness initiatives is predominantly internal, with 74% of organisations engaging in such activities within their own companies. - 事業体の90%が、来年はサイバー攻撃が増加すると予想している。にもかかわらず、サイバーセキュリティ対策への参加は主に社内で行われており、74%の組織が社内でそのような活動に従事している。
1. INTRODUCTION 1. 序文
This report is the fifth edition of the NIS Investments study published by the ENISA to understand how the Directive concerning measures for a high common level of security of network and information systems across the Union (NIS Directive) 1 has impacted the cybersecurity investments, cybersecurity strategy and cybersecurity posture of organisations in scope, and what is the respective projected impact of the Directive on measures for a high common level of cybersecurity across the Union (NIS 2 Directive) 2 which replaced the NIS Directive as of October 2024.  本報告書は、ENISAが発表したNIS投資調査の第5版であり、欧州連合全体におけるネットワークと情報システムの高度な共通レベルのセキュリティ対策に関する指令(NIS指令)1が、対象組織のサイバーセキュリティ投資、サイバーセキュリティ戦略、サイバーセキュリティ態勢にどのような影響を与えたか、また、2024年10月時点でNIS指令に代わる欧州連合全体における高度な共通レベルのサイバーセキュリティ対策に関する指令(NIS 2指令)2が、それぞれどのような影響を及ぼすと予測されるかを把握することを目的としている。
The NIS 2 Directive which, during the time of this study, is being transposed across the EU (European Union), represents a significant update to the previous NIS Directive. It expands the scope of the NIS Directive to cover a wider range of organisations and imposes more stringent cybersecurity requirements. These changes are likely to have a significant impact on how entities in scope allocate their cybersecurity budgets and manage their risks.  本調査の期間中、EU(欧州連合)全域に適用されるNIS 2指令は、従来のNIS指令の大幅な更新を意味する。NIS指令の適用範囲が拡大され、より広範な組織が対象となり、より厳しいサイバーセキュリティ要件が課される。これらの変更は、対象事業体のサイバーセキュリティ予算の配分やリスクマネジメントに大きな影響を与える可能性が高い。
As the implementation of the NIS 2 Directive is under progress, it will be essential to monitor its effectiveness and assess its impact on the cybersecurity posture of organisations across the EU. The insights provided in this report can serve as a valuable baseline for future analysis and inform policy decisions related to cybersecurity.  NIS 2指令の施行は現在進行中であり、その有効性を監視し、EU全域の組織のサイバーセキュリティ態勢に与える影響を評価することが不可欠である。本報告書でプロバイダが提供する洞察は、今後の分析のための貴重なベースラインとして役立ち、サイバーセキュリティに関連する政策決定に情報を提供することができる。
To ensure representative results, a total of 1,350 organisations were surveyed across 27 EU Member States, hence 50 organisations per Member State. Additional information on the demographics of the survey is available in Annex A. This report collects data from entities already in scope of the NIS Directive as well as entities that will be in scope of NIS 2. The terms “organisations” or “entities” will be used throughout chapters 3 – 9 to refer to surveyed entities.  代表者を確実にするため、EU加盟国27カ国で合計1,350団体、つまり1加盟国あたり50団体を調査した。本報告書では、すでにNIS指令の適用範囲にある事業体およびNIS 2の適用範囲となる事業体からデータを収集している。第3章から第9章を通じて、調査対象事業体を指す場合は「組織」または「事業体」という用語を使用する。
For this study, entities from all sectors of high criticality (listed in Annex I of NIS 2 Directive) and the manufacturing sector (listed in Annex II of NIS 2 Directive) have been surveyed. This year’s report also provides a more in-depth analysis for entities in the Digital Infrastructure and Space sectors.  本調査では、臨界性の高いすべてのセクター(NIS 2指令の附属書Iに記載)と製造セクター(NIS 2指令の附属書IIに記載)の事業体を調査した。今年の報告書では、デジタルインフラと宇宙分野の事業体についても、より詳細な分析を行っている。
The target audience of this report is EU and national policymakers. It is part of a series designed to produce historical datasets to track the development of key indicators – such as information security (IS) budgets – over time. These reports also assess how policy influences these indicators, providing insights and evidence to inform policy decisions. This work is part of ENISA’s Cybersecurity Policy Observatory (CSPO) activities. 本報告書の対象読者はEUおよび各国の政策立案者である。本報告書は、情報セキュリティ(IS)予算などの主要指標の経年変化を追跡するためのヒストリカル・データセットを作成することを目的としたシリーズの一部である。また、これらの報告書では、政策がこれらの指標にどのような影響を与えるかをアセスメントし、政策決定に役立つ洞察とエビデンスを提供している。この作業は、ENISAのサイバーセキュリティ政策観測所(CSPO)活動の一環である。

 

・2023.11.16 NIS Investments Report 2023 [PDF]

・2022.11.23 NIS Investments 2022 [PDF]

・2021.11.17 NIS Investments Report 2021 [PDF]

・2020.11.11 NIS Investments Report 2020 [PDF]

 

NIS Investments 2024 NIS投資 2024
This report aims at providing policy makers with evidence to assess the effectiveness of the existing EU cybersecurity framework specifically through data on how the NIS Directive has influenced cybersecurity investments and overall maturity of organisations in scope. As 2024 is the year of the transposition of NIS 2, this report also intends to capture a pre-implementation snapshot of the relevant metrics for new sectors and entities in scope of NIS 2 to help future assessments of the impact of NIS 2. This fifth iteration of the report presents data from 1350 organisations from all 27 EU Member States covering all NIS 2 sectors of high criticality, as well as the manufacturing sector. 本報告書の目的は、NIS指令が対象組織のサイバーセキュリティ投資と全体的な成熟度にどのような影響を与えたかに関するデータを通じて、特に政策立案者に既存のEUサイバーセキュリティの枠組みの有効性を評価するための証拠を提供することである。2024年はNIS 2の移行の年であるため、本レポートは、NIS 2の適用対象となる新たなセクターや事業体に関する関連指標の導入前のスナップショットを取得し、NIS 2の影響に関する将来のアセスメントに役立てることも意図している。 本報告書の第5版では、NIS 2のすべての重要度の高いセクターと製造事業者を対象に、EU全27加盟国の1350組織のデータを紹介している。
NIS Investments Report 2023 NIS投資報告書2023
This report aims at providing policy makers with evidence to assess the effectiveness of the existing EU cybersecurity framework specifically through data on how Operators of Essential Services (OES) and Digital Service Providers (DSP) identified in the European Union’s directive on security of network and information systems (NIS Directive) invest their cybersecurity budgets and how the NIS Directive has influenced this investment. This fourth iteration of the report presents data from 1,080 OES/DSPs from all 27 EU Member States. 本報告書は、ネットワークと情報システムのセキュリティに関する欧州連合指令(NIS指令)で特定された Operators of Essential Services(OES)およびDigital Service Providers(DSP)がサイバーセキュリティ予算をどのように投資しているか、またNIS指令がこの投資にどのような影響を与えたかに関するデータを通じて、政策立案者に既存のEUサイバーセキュリティの枠組みの有効性を評価するためのエビデンスを提供することを目的としている。本報告書の第4版では、EU加盟国全27カ国の1,080のOES/DSPのデータを紹介している。
NIS Investments 2022 2022年のNIS投資
This report marks the third iteration of ENISA's NIS Investments report, which collects data on how Operators of Essential Services (OES) and Digital Service Providers (DSP) identified in the European Union’s directive on security of network and information systems (NIS Directive) invest their cybersecurity budgets and how this investment has been influenced by the NIS Directive. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics. This year's report presents data collected from 1080 OES/DSPs from all 27 EU Member States and can now provide a historical dataset that allows for year-on-year comparison and identification of trends. Moreover, sectorial deep dives were conducted for the Energy and Health sectors. Overall, a number of absolute values, such as IT and Information Security (IS) budgets or % of IT budgets spent on IS seem to be significantly lower compared to last year. This can be attributed to the composition of the survey sample and to the higher representation of OES from the Energy and Health sectors due to the sectorial deep dives, but also to the macroeconomic environment, such as the COVID-19 impact on the respective budgets. 本報告書は、欧州連合(EU)のネットワークと情報システムのセキュリティに関する指令(NIS指令)で特定されたOES(Operators of Essential Services)とDSP(Digital Service Providers)がサイバーセキュリティ予算をどのように投資しているか、またこの投資がNIS指令の影響をどのように受けているかに関するデータを収集したENISAのNIS投資報告書の3回目の改訂版である。さらに、関連するダイナミクスをより深く理解するために、ガートナーのセキュリティデータと世界およびEUで観察された洞察を通じて、世界のサイバーセキュリティ市場の動向を紹介している。今年の報告書では、EU全27加盟国の1080のOES/DSPから収集したデータを紹介しており、前年比やトレンドの特定を可能にする過去のデータセットを提供できるようになった。さらに、エネルギー分野と保健分野については、分野別の深堀りが行われた。全体として、ITおよび情報セキュリティ(IS)予算や、ISに費やされるIT予算の割合など、絶対的な数値の多くが、昨年と比較して大幅に減少しているようだ。これは、調査サンプルの構成や、部門別ディープダイブによりエネルギー部門と保健医療部門のOESの割合が高くなったことに起因すると考えられるが、COVID-19が各予算に与えた影響などマクロ経済環境も影響している。
NIS Investments Report 2021 2021年NIS投資報告書
Following the 2020 NIS Investment publication, this report covers all 27 EU Member States and offering additional insights into the allocation of NIS budgets of OES/DSP, the economic impact of cybersecurity incidents and the organisation of cybersecurity in these operators. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics. In this second edition, additional and complementary questions were asked to the surveyed organisations. Overall, 48.9 % of surveyed organisations acknowledge a very significant or significant impact of the NIS Directive on their information security (IS). 2020年のNIS投資報告書に続き、本報告書ではEU加盟国27カ国すべてをカバーし、OES/DSPのNIS予算の配分、サイバーセキュリティインシデントが及ぼす経済的影響、これらの事業者のサイバーセキュリティ組織に関するさらなる洞察を提供する。さらに、関連するダイナミクスをよりよく理解するために、ガートナーのセキュリティデータと世界およびEUで観察された洞察を通じて、世界のサイバーセキュリティ市場の動向を示している。この第2版では、調査対象組織に対して追加的・補足的な質問を行った。全体として、調査対象組織の48.9%が、NIS指令が自社の情報セキュリティ(IS)に与える影響が非常に大きい、または大きいと認識している。
NIS Investments Report 2020 NIS投資報告書2020
Four years after the NIS Directive entered into force and two years after the transposition by Member States into their national laws, this report presents the findings of a survey of 251 organisations across five EU Member States (France, Germany, Italy, Spain and Poland) with regards to NIS investments. The report depicts and analyses how OES and DSPs spend their information security budget and provides indications as to how this spending has been influenced by the introduction of the NIS Directive. The results of this NIS survey were correlated with Gartner security data and insights observed globally and in the EU in order to better understand the current NIS Directive adoption dynamics and impact on related investments. NIS指令の発効から4年、加盟国による国内法への移管から2年を経て、本報告書はEU加盟5カ国(フランス、ドイツ、イタリア、スペイン、ポーランド)の251組織を対象に実施したNIS投資に関する調査結果をまとめたものである。報告書は、OESとDSPが情報セキュリティ予算をどのように使っているかを描き、分析し、この支出がNIS指令の序文によってどのような影響を受けたかを示している。このNIS調査の結果は、現在のNIS指令導入の動きと関連投資への影響をよりよく理解するために、ガートナーのセキュリティデータおよび世界とEUで観察された洞察と関連づけられた。

 

 

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.18 ENISA EUにおけるサイバーセキュリティ投資 2023

・2022.11.25 ENISA EUにおけるサイバーセキュリティ投資 2022

・2021.11.26 ENISA NIS投資動向報告書2021 at 2021.11.17

 

| | Comments (0)

欧州 サイバーレジリエンス法、官報に掲載 (2024.11.20)

こんにちは、丸山満彦です。

脆弱性報告義務、IoTセキュリティの認証制度とか話題のサイバーレジリエンス法ですが、2024.10.10に欧州理事会で採択され、2024.11.20にEur-Lexに掲載されたので、20日後の2024.12.10に発効ということですかね...

全面適用は36ヶ月後なので、2027.12.10ということになりますね...ただし、脆弱性報告義務は21ヶ月後ですから、2026.09.20ということですかね...

 

EUR - Lex

・2024.11.20 Regulation (EU) 2024/2847 of the European Parliament and of the Council of 23 October 2024 on horizontal cybersecurity requirements for products with digital elements and amending Regulations (EU) No 168/2013 and (EU) No 2019/1020 and Directive (EU) 2020/1828 (Cyber Resilience Act) (Text with EEA relevance)
 

・EN [HTEML][PDF]

20241124-213140

 

CHAPTER I GENERAL PROVISIONS 第1章 一般規定
Article 1 Subject matter 第1条 対象
Article 2 Scope 第2条 適用範囲
Article 3 Definitions 第3条 定義
Article 4 Free movement 第4条 自由な移動
Article 5 Procurement or use of products with digital elements 第5条 デジタル要素を含む製品の調達または使用
Article 6 Requirements for products with digital elements 第6条 デジタル要素を含む製品の要件
Article 7 Important products with digital elements 第7条 デジタル要素を含む重要な製品
Article 8 Critical products with digital elements 第8条 デジタル要素を含む重要製品
Article 9 Stakeholder consultation 第9条 利害関係者の協議
Article 10 Enhancing skills in a cyber resilient digital environment 第10条 サイバーレジリエンスデジタル環境における技能の向上
Article 11 General product safety 第11条 一般的な製品安全
Article 12 High-risk AI systems 第12条 ハイリスクAIシステム
CHAPTER II OBLIGATIONS OF ECONOMIC OPERATORS AND PROVISIONS IN RELATION TO FREE AND OPEN-SOURCE SOFTWARE 第2章 経済的事業者の義務およびフリーソフトウェアおよびオープンソースソフトウェアに関する規定
Article 13 Obligations of manufacturers 第13条 製造事業者の義務
Article 14 Reporting obligations of manufacturers 第14条 製造事業者の報告義務
Article 15 Voluntary reporting 第15条 自主報告
Article 16 Establishment of a single reporting platform 第16条 単一通報プラットフォームの設立
Article 17 Other provisions related to reporting 第17条 報告に関するその他の規定
Article 18 Authorised representatives 第18条 認定代表者
Article 19 Obligations of importers 第19条 輸入事業者の義務
Article 20 Obligations of distributors 第20条 頒布事業者の義務
Article 21 Cases in which obligations of manufacturers apply to importers and distributors 第21条 製造事業者の義務が輸入事業者及び頒布事業者に適用される場合
Article 22 Other cases in which obligations of manufacturers apply 第22条 製造事業者の義務が適用されるその他の場合
Article 23 Identification of economic operators 第23条 経済的事業者の特定
Article 24 Obligations of open-source software stewards 第24条 オープンソースソフトウェアのスチュワードの義務
Article 25 Security attestation of free and open-source software 第25条 フリー・オープンソースソフトウェアのセキュリティ認証
Article 26 Guidance 第26条 ガイダンス
CHAPTER III CONFORMITY OF THE PRODUCT WITH DIGITAL ELEMENTS 第3章 デジタル要素を含む製品の適合性
Article 27 Presumption of conformity 第27条 適合の推定
Article 28 EU declaration of conformity 第28条 EU適合宣言
Article 29 General principles of the CE marking 第29条 CEマーキングの一般原則
Article 30 Rules and conditions for affixing the CE marking 第30条 CEマーキングの貼付に関する規則及び条件
Article 31 Technical documentation 第31条 技術文書
Article 32 Conformity assessment procedures for products with digital elements 第32条 デジタル要素を含む製品の適合性評価手続き
Article 33 Support measures for microenterprises and small and medium-sized enterprises, including start-ups 第33条 新興企業を含む零細企業及び中小企業に対する支援措置
CHAPTER IV NOTIFICATION OF CONFORMITY ASSESSMENT BODIES 第4章 適合性評価団体の届出
Article 35 Notification 第35条 届出
Article 36 Notifying authorities 第36条 認定機関
Article 37 Requirements relating to notifying authorities 第37条 認定機関に関する要件
Article 38 Information obligation on notifying authorities 第38条 認定機関の情報義務
Article 39 Requirements relating to notified bodies 第39条 被認証団体に関する要求事項
Article 40 Presumption of conformity of notified bodies 第40条 被認定団体の適合性の推定
Article 41 Subsidiaries of and subcontracting by notified bodies 第41条 被認定団体の子会社及び被認定団体による下請け業務
Article 42 Application for notification 第42条 届出の申請
Article 43 Notification procedure 第43条 通知手続き
Article 44 Identification numbers and lists of notified bodies 第44条 被認定団体の識別番号及びリスト
Article 45 Changes to notifications 第45条 届出の変更
Article 46 Challenge of the competence of notified bodies 第46条 被認定団体の権限の挑戦
Article 47 Operational obligations of notified bodies 第47条 被認定団体の運営上の義務
Article 48 Appeal against decisions of notified bodies 第48条 被認定団体の決定に対する異議申し立て
Article 49 Information obligation on notified bodies 第49条 被認証団体に対する情報義務
Article 50 Exchange of experience 第50条 経験の交換
Article 51 Coordination of notified bodies 第51条 被認定団体の調整
CHAPTER V MARKET SURVEILLANCE AND ENFORCEMENT 第5章 市場監視及び執行
Article 52 Market surveillance and control of products with digital elements in the Union market 第52条 組合市場におけるデジタル要素を含む製品の市場監視および管理
Article 53 Access to data and documentation 第53条 データおよび文書へのアクセス
Article 54 Procedure at national level concerning products with digital elements presenting a significant cybersecurity risk 第54条 重大なサイバーセキュリティリスクをもたらすデジタル要素を含む製品に関する国レベルでの手続
Article 55 Union safeguard procedure 第55条 連邦セーフガード手続
Article 56 Procedure at Union level concerning products with digital elements presenting a significant cybersecurity risk 第56条 サイバーセキュリティ上の重大なリスクをもたらすデジタル要素を含む製品に関する欧州連合レベルでの手続
Article 57 Compliant products with digital elements which present a significant cybersecurity risk 第57条 重大なサイバーセキュリティリスクをもたらすデジタル要素を含む製品の準拠
Article 58 Formal non-compliance 第58条 正式な不遵守
Article 59 Joint activities of market surveillance authorities 第59条 市場監視当局の共同活動
Article 60 Sweeps 第60条 掃討
CHAPTER VI DELEGATED POWERS AND COMMITTEE PROCEDURE 第6章 委任された権限および委員会の手続き
Article 61 Exercise of the delegation 第61条 委任の行使
Article 62 Committee procedure 第62条 委員会の手続き
CHAPTER VII CONFIDENTIALITY AND PENALTIES 第7章 守秘義務と罰則
Article 63 Confidentiality 第63条 守秘義務
Article 64 Penalties 第64条 罰則
Article 65 Representative actions 第65条 代表者行動
CHAPTER VIII TRANSITIONAL AND FINAL PROVISIONS 第8章 経過措置および最終規定
Article 66 Amendment to Regulation (EU) 2019/1020 第66条 規則(EU)2019/1020の改正
Article 67 Amendment to Directive (EU) 2020/1828 第67条 指令(EU)2020/1828の改正
Article 68 Amendment to Regulation (EU) No 168/2013 第68条 規則(EU)No 168/2013の改正
Article 69 Transitional provisions 第69条 経過規定
Article 70 Evaluation and review 第70条 評価および審査
Article 71 Entry into force and application 第71条 発効及び適用
ANNEX 附属書
ANNEX I ESSENTIAL CYBERSECURITY REQUIREMENTS 附属書 I サイバーセキュリティに関する必須要件
Part I Cybersecurity requirements relating to the properties of products with digital elements 第 I 部 デジタル要素を含む製品の特性に関するサイバーセキュリティ要件
Part II Vulnerability handling requirements 第 II 部 脆弱性ハンドリング要件
ANNEX II INFORMATION AND INSTRUCTIONS TO THE USER 附属書 II  使用者に対する情報及び指示
ANNEX III IMPORTANT PRODUCTS WITH DIGITAL ELEMENTS 附属書 III  デジタル要素を含む重要な製品
ANNEX IV CRITICAL PRODUCTS WITH DIGITAL ELEMENTS 附属書 IV デジタル要素を含む重要製品
ANNEX VI SIMPLIFIED EU DECLARATION OF CONFORMITY 附属書 VI 簡易 EU 適合宣言書
ANNEX VII CONTENT OF THE TECHNICAL DOCUMENTATION 附属書 VII 技術文書の内容
ANNEX VIII CONFORMITY ASSESSMENT PROCEDURES 附属書 VIII 適合性評価手順
Part I Conformity assessment procedure based on internal control (based on module A) 第 I 部 内部統制に基づく適合性評価手順(モジュール A に基づく)
Part II EU-type examination (based on module B) 第 Ⅱ 部 EUタイプ審査(モジュールBに基づく)
Part III Conformity to type based on internal production control (based on module C) 第 III 部 内部製造管理に基づく型式への適合(モジュール C に基づく)
Part IV Conformity based on full quality assurance (based on module H) 第 IV 部 完全な品質保証に基づく適合性(モジュール H に基づく)

 

全文の対比は、こちら...

 

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

 

サイバーレジリエンス法、セッキュリティ認証... 

・2024.11.09 ドイツ 連邦セキュリティ室 (BSI) 意見募集 TR-03183: 製造者及び製品に対するサイバーレジリエンス要件(一般要求事項、SBOM、脆弱性報告)

・2024.10.12 欧州理事会 サイバーレジリエンス法を採択 (2024.10.10)


・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。


 

SBOMなど...

・2024.09.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0 (2024.08.29)

・2024.05.26 中国 TC260 意見募集 国家標準「ネットワークセキュリティ技術ソフトウェア部品表 (SBOM) データフォーマット」案 (2024.05.16)

・2024.03.14 IPA NIST SP 800-161 rev.1 システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティスの翻訳 (2024.01.31)

・2024.01.08 米国 NSA SBOM管理のための推奨事項 (Ver. 1.1)

・2023.11.12 米国 NSA CISA ソフトウェアサプライチェーンの確保: ソフトウェア部品表の開示に関する推奨事項

・2023.11.09 米国 CISA 脆弱性悪用可能性交換情報の発行時期

・2023.09.26 米国 CISA サプライチェーンリスクマネジメント(SCRM)のためのハードウェア部品表フレームワーク(HBOM)

・2023.09.18 米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ

・2023.09.01 NIST SP 800-204D(初期公開ドラフト)DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略

・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183:製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)

・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

・2023.04.25 米国 CISA SBOM関連の二文書

・2023.04.18 国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13)

・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...

・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践

・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善

・2022.09.18 米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表

・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

Continue reading "欧州 サイバーレジリエンス法、官報に掲載 (2024.11.20)"

| | Comments (0)

2024.11.24

米国 国防総省 サイバーセキュリティ成熟度モデル認証プログラムの最終規則 (2024.10.15)

こんにちは、丸山満彦です。

少し古くなってしまったのですが、米国国防総省の調達に関連するCMMCの最終規則。。。

日本の企業でも米国国防総省と取引をする会社は気にしないといけないですね...

調達全体の一部の話なので、調達全体の理解がないと、これだけ読んでもわからないことが多いと思いますが、とりあえず...

 

U.S. Department of Defense

・2024.10.11 Cybersecurity Maturity Model Certification Program Final Rule Published

Cybersecurity Maturity Model Certification Program Final Rule Published サイバーセキュリティ成熟度モデル認証プログラムの最終規則が公表される
Today, the final program rule for the Cybersecurity Maturity Model Certification (CMMC) Program was released for public inspection on federalregister.gov and is anticipated to be published in the Federal Register, Tuesday, October 15. 本日、サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの最終規則がfederalregister.govで公開され、10月15日(火)の連邦官報に掲載される予定である。
The purpose of CMMC is to verify that defense contractors are compliant with existing protections for federal contract information (FCI) and controlled unclassified information (CUI) and are protecting that information at a level commensurate with the risk from cybersecurity threats, including advanced persistent threats.  CMMCの目的は、防衛請負業者が連邦契約情報(FCI)と管理対象非機密情報(CUI)に対する既存の防御を遵守し、高度持続的脅威を含むサイバーセキュリティの脅威からのリスクに見合ったレベルで情報を保護していることを検証することである。
This rule streamlines and simplifies the process for small-and medium-sized businesses by reducing the number of assessment levels from the five in the original program to three under the new program. この規則は、アセスメント・レベルの数を当初のプログラムの5段階から新プログラムの3段階に減らすことで、中小企業のプロセスを合理化・簡素化するものである。
This final rule aligns the program with the cybersecurity requirements described in Federal Acquisition Regulation part 52.204-21 and National Institute of Standards and Technology (NIST) Special Publications (SP) 800-171 Rev 2 and -172.  It also clearly identifies the 24 NIST SP 800-172 requirements mandated for CMMC Level 3 certification. この最終規則は、連邦調達規則パート 52.204-21 および国立標準技術研究所(NIST)の特別刊行物(SP)800-171 Rev 2 および -172 に記載されているサイバーセキュリティ要件とプログラムを整合させるものである。 また、CMMCレベル3認証に義務付けられている24のNIST SP 800-172要件も明確に識別している。
With the publication of this updated 32 CFR rule, DoD will allow businesses to self-assess their compliance when appropriate. Basic protection of FCI will require self-assessment at CMMC Level 1.General protection of CUI will require either third-party assessment or self-assessment at CMMC Level 2.A higher level of protection against risk from advanced persistent threats will be required for some CUI. This enhanced protection will require a Defense Industrial Base Cybersecurity Assessment Center led assessment at CMMC Level 3. この更新された 32 CFR 規則の公表により、DoD は、適切な場合、企業がそのコンプライアンスを自己評価できるようにする。FCIの基本的な防御には、CMMCレベル1での自己アセスメントが必要となる。CUIの一般的な防御には、サードパーティによるアセスメントかCMMCレベル2での自己アセスメントが必要となる。この強化された防御には、防衛産業基盤サイバーセキュリティ・アセスメント・センターが主導するCMMCレベル3のアセスメントが必要となる。
CMMC provides the tools to hold accountable entities or individuals that put U.S. information or systems at risk by knowingly misrepresenting their cybersecurity practices or protocols, or knowingly violating obligations to monitor and report cybersecurity incidents and breaches.  The CMMC Program implements an annual affirmation requirement that is a key element for monitoring and enforcing accountability of a company's cybersecurity status. CMMCは、サイバーセキュリティの慣行やプロトコルを故意に偽って伝えたり、サイバーセキュリティのインシデントや侵害を監視し報告する義務に故意に違反したりすることによって、米国の情報やシステムをリスクにさらした事業体や個人に責任を問うためのツールを提供する。 CMMCプログラムは、企業のサイバーセキュリティ状況を監視し、説明責任を実施するための重要な要素である年次確認要件を実施している。
With this revised CMMC Program, the Department also introduces Plans of Action and Milestones (POA&Ms).  POA&Ms will be granted for specific requirements as outlined in the rule to allow a business to obtain conditional certification for 180 days while working to meet the NIST standards. このCMMCプログラムの改訂に伴い、同省は行動計画とマイルストーン(POA&M)も導入する。 POA&Mは、NIST標準に適合するよう努力する間、企業が180日間条件付きで認証を取得できるよう、規則に概説された特定の要件に対して付与される。
The benefits of CMMC include: CMMCの利点は以下の通りである:
・Safeguarding sensitive information to enable and protect the warfighter ・機密情報を保護し、戦闘員を有効かつ保護する。
・Enforcing DIB cybersecurity standards to meet evolving threats DIB のサイバーセキュリティ標準を実施し、進化する脅威に対応す・る。
Ensuring accountability while minimizing barriers to compliance with DoD ・requirements ・国防総省の要件に準拠するための障壁を最小限に抑えながら、説明責任を確保する。
・Perpetuating a collaborative culture of cybersecurity and cyber resilience ・サイバーセキュリティとサイバーレジリエンスの協力的な文化を永続させる。
・Maintaining public trust through high professional and ethical standards ・高い専門性と倫理基準を通じて国民の信頼を維持する
The Department understands the significant time and resources required for industry to comply with DoD's cybersecurity requirements for safeguarding CUI and is intent upon implementing CMMC requirements to assess the degree to which they have done so.  The Department would like to thank all the businesses and industry associations that provided input during the public comment period.  Without this collaboration, it would not have been possible to meet our goals of improving security of critical information and increasing compliance with cybersecurity requirements while simultaneously making it easier for small and medium-sized businesses to meet their contractual obligations. 国防総省は、CUIを保護するための国防総省のサイバーセキュリティ要件を遵守するために産業界が多大な時間とリソースを必要としていることを理解しており、CMMCの要件を実施し、その程度を評価することを意図している。 国防総省は、パブリックコメント期間中に意見を提供してくれたすべての企業および業界団体に感謝したい。 このような協力がなければ、重要情報のセキュリティを改善し、サイバーセキュリティ要件への準拠を高めると同時に、中小企業が契約上の義務を果たしやすくするという目標を達成することはできなかっただろう。
Businesses in the defense industrial base should take action to gauge their compliance with existing security requirements and preparedness to comply with CMMC assessments.  Members of the defense industrial base may use cloud service offerings to meet the cybersecurity requirements that must be assessed as part of the CMMC requirement.  The DoD CIO DIB Cybersecurity Program has compiled a list of current resources available at dibnet.dod.mil under DoD DIB Cybersecurity-as-a-Service (CSaaS) Services and Support. 防衛産業基盤に属する企業は、既存のセキュリティ要件へのコンプライアンスとCMMCアセスメントへの準備態勢を評価するために行動を起こすべきである。 防衛産業基盤のメンバーは、CMMC 要件の一部としてアセスメントされなければならないサイバーセキュリティ要件を満たすために、クラウドサービスを利用することができる。 国防総省 CIO DIB サイバーセキュリティ・プログラムは、dibnet.dod.mil の「DoD DIB Cybersecurity-as-a-Service (CSaaS) Services and Support」に、現在利用可能なリソースのリストをまとめている。
The DoD's follow-on Defense Federal Acquisition Regulation Supplement (DFARS) rule change to contractually implement the CMMC Program will be published in early to mid-2025.  Once that rule is effective, DoD will include CMMC requirements in solicitations and contracts.  Contractors who process, store, or transmit FCI or CUI must achieve the appropriate level of CMMC as a condition of contract award.  More information on the timing of the proposed DFARS rule can be found at [web]. CMMCプログラムを契約的に実施するためのDoDの国防連邦調達規則補足(DFARS)規則変更は、2025年初頭から半ばにかけて公表される予定である。 この規則が発効すれば、国防総省はCMMCの要件を募集や契約に盛り込むことになる。 FCIまたはCUIを処理、保管、伝送する請負業者は、契約締結の条件として、適切なレベルのCMMCを達成しなければならない。 提案されているDFARS規則の時期に関する詳細は、 [web]
More information on the CMMC Program can be found at [web]. CMMCプログラムに関する詳細は、[web]

 

 

CMMCのウェブページ

U.S. DoD - CIO

Cybersecurity Maturity Model Certification

・・About CMC

 

1_20241124061401

About CMMC  CMMCについて
Cybersecurity is a top priority for the Department of Defense (DoD). The defense industrial base (DIB) faces increasingly frequent, and complex cyberattacks. To strengthen DIB cybersecurity and better safeguard DoD information, the DoD developed the Cybersecurity Maturity Model Certification (CMMC) Program to assess existing DoD cybersecurity requirements. サイバーセキュリティは国防総省(DoD)の最優先課題である。防衛産業基盤(DIB)は、ますます頻繁に、そして複雑なサイバー攻撃に直面している。DIBのサイバーセキュリティを強化し、DoDの情報をより良く保護するために、DoDは既存のDoDサイバーセキュリティ要件を評価するサイバーセキュリティ成熟度モデル認証(CMMC)プログラムを開発した。
Overview of the CMMC Program CMMC プログラムの概要
The CMMC Program aligns with the DoD’s existing information security requirements for the DIB. It is designed to enforce the protection of sensitive unclassified information shared by the Department with its contractors and subcontractors. The program provides the DoD with increased assurance that contractors and subcontractors are meeting the cybersecurity requirements for nonfederal systems processing controlled unclassified information. CMMC プログラムは、DIB に対する DoD の既存の情報セキュリティ要件と整合している。これは、国防総省が請負業者や下請業者と共有する機密性の高い非分類情報の保護を強化するために設計されている。このプログラムにより、国防総省は、請負業者および下請業者が管理対象非機密情報を処理する連邦政府のシステムに対するサイバーセキュリティ要件を満たしていることをより確実に保証することができる。
Key features of the CMMC Program: CMMC プログラムの主な特徴
Tiered Model: CMMC requires companies entrusted with sensitive unclassified DoD information to implement cybersecurity standards at progressively advanced levels, depending on the type and sensitivity of the information. The program also outlines the process for requiring protection of information flowed down to subcontractors. 階層モデル: CMMCは、国防総省の機密情報を預かる企業に対し、情報の種類と機密性に応じて、段階的に高度なレベルのサイバーセキュリティ標準を実施することを求めている。また、このプログラムでは、下請け企業に流される情報の保護を要求するプロセスの概要も示している。
Assessment Requirement: CMMC assessments allow the DoD to verify DIB implementation of existing cybersecurity standards. アセスメント要件: CMMC のアセスメントにより、DoD は既存のサイバーセキュリティ標準の DIB による実施を検証することができる。
Implementation through Contracts: DoD contractors and subcontractors handling sensitive unclassified DoD information must achieve a specific CMMC level as a condition of contract award. 契約による実施: 契約による実施:国防総省の請負業者および下請業者は、機密の非分類国防総省情報を扱う場合、契約締結の条件として特定の CMMC レベルを達成しなければならない。
Protected Information 保護情報
The CMMC model is designed to protect Federal Contract Information (FCI) and Controlled Unclassified Information (CUI) shared with defense contractors and subcontractors during contract performance. CMMCモデルは、契約履行中に防衛請負業者および下請業者と共有される連邦契約情報(FCI)および管理対象非機密情報(CUI)を保護するように設計されている。
・Federal Contract Information (FCI): As defined in section 4.1901 of the Federal Acquisition Regulation (FAR), FCI is “information, not intended for public release, that is provided by or generated for the Government under a contract to develop or deliver a product or service to the Government, excluding information provided by the Government to the public (such as that on public websites) or simple transactional information, such as that necessary to process payments.” ・連邦契約情報(FCI): 連邦調達規則(FAR)のセクション 4.1901 で定義されているように、FCI は、「一般公開を意図していない情報であり、政府に対する製品またはサービスを開発または提供する契約に基づき、政府によって提供される、または政府のために生成される。
・Controlled Unclassified Information (CUI): As outlined in Title 32 CFR 2002.4(h), CUI is “information the Government creates or possesses, or that an entity creates or possesses for or on behalf of the Government, that a law, regulation, or Government-wide policy requires or permits an agency to handle using safeguarding or dissemination controls.” For more information regarding specific CUI categories and subcategories, see the DoD CUI Registry website. ・管理対象非機密情報(CUI): Title 32 CFR 2002.4(h)に概説されているように、CUI は、「政府が作成または保有する情報、あるいは事業体が政府のためにまたは政府を代表して作成または保有する情報であって、法律、規則、または政府全体の方針が、保護管理または普及管理を使用して取り扱うことを機関に要求または許可するもの」である。特定のCUIカテゴリーおよびサブカテゴリーに関する詳細は、DoD CUIレジストリのウェブサイトを参照のこと。
Overview of Assessments アセスメントの概要
The CMMC Program provides assessments at three levels, each incorporating security requirements from existing regulations and guidelines. CMMCプログラムでは、3つのレベルのアセスメントをプロバイダとして提供しており、各レベルには既存の規制やガイドラインのセキュリティ要件が盛り込まれている。
Level 1: Basic Safeguarding of FCI レベル1:FCIの基本的な保護
Requirements: Annual self-assessment and annual affirmation of compliance with the 15 security requirements in FAR clause 52.204-21. 要件 毎年セルフアセスメントを行い、FAR条項52.204-21の15のセキュリティ要件を遵守していることを毎年確認する。
Level 2: Broad Protection of CUI レベル2:CUIの広範な防御
Requirements: 要件:
1. Either a self-assessment or a C3PAO assessment every three years, as specified in the solicitation. 1. セルフアセスメントまたは C3PAO アセスメントのいずれかを、募集要項に指定されたとおりに 3 年ごとに実施すること。
 ・Decided by the type of information processed, transmitted, or stored on the contractor or subcontractor information systems. ・請負業者または下請業者の情報システムで処理、送信、または保存される情報の種類によって決定される。
2. Annual affirmation, verify compliance with the 110 security requirements in NIST SP 800-171 Revision 2. 2. 年1回の確認、NIST SP 800-171 Revision 2 の 110 のセキュリティ要件への準拠を検証する。
Level 3: Higher-Level Protection of CUI Against Advanced Persistent Threats レベル 3:高度な持続的脅威に対する CUI の高レベル防御
Requirements: 要件
1. Achieve CMMC Status of Final Level 2. 1. 最終レベル2のCMMCステータスを達成する。
2. Undergo an assessment every three years by the Defense Contract Management Agency’s Defense Industrial Base Cybersecurity Assessment Center (DIBCAC). 2. 防衛契約管理局の防衛産業基盤サイバーセキュリティアセスメントセンター(DIBCAC)によるアセスメントを 3 年ごとに受ける。
3. Provide an annual affirmation verifying compliance with the 24 identified requirements from NIST SP 800-172. 3. NIST SP 800-172 から識別された 24 の要件への準拠を検証する年次確認書を提出する。
   
CMMC Post-Assessment Remediation: Plans of Actions and Milestones CMMCのアセスメント後の是正: 行動計画とマイルストーン
The CMMC Program allows limited use of Plans of Action and Milestones (POA&Ms). CMMCプログラムでは、行動計画とマイルストーン(POA&M)の限定的な使用を認めている。
・Level 1: POA&Ms are not permitted. ・レベル1:POA&Mは許可されない。
・Level 2 and Level 3: Refer to §170.21 of the 32 CFR CMMC Program final rule for POA&M requirements, including critical requirements that cannot be included in a POA&M. ・レベル2およびレベル3:POA&Mに含めることができない重要な要求事項を含むPOA&Mの要求事項については、32 CFR CMMCプログラム最終規則の§170.21を参照のこと。
A POA&M closeout assessment is a CMMC assessment that evaluates only the NOT MET requirements identified in the initial assessment. The closing of a POA&M must be confirmed by a POA&M closeout assessment within 180 days of the Conditional CMMC Status Date. If the POA&M is not successfully closed out within this timeframe, the Conditional CMMC Status for the information system will expire. POA&Mのクローズアウトアセスメントは、最初のアセスメントで識別されたNOT MET要件のみを評価するCMMCアセスメントである。POA&Mのクローズは、条件付CMMCステータス日から180日以内にPOA&Mクローズアウトアセスメントによって確認されなければならない。この期間内にPOA&Mが正常に終了しなかった場合、情報システムの条件付CMMCステータスは失効する。
・Level 2 Self-Assessment: The POA&M closeout self-assessment shall be performed by the OSA in the same manner as the initial self-assessment. ・レベル2のセルフアセスメント: POA&M クローズアウトセルフアセスメントは、初回のセルフアセスメントと同じ方法で OSA が実施する。
・Level 2 Certification Assessment: The POA&M closeout certification assessment must be performed by an authorized or accredited C3PAO. ・レベル 2 認証アセスメント: POA&M クローズアウト認証アセスメントは、認可または認定された C3PAO が実施しなければならない。
・Level 3 Certification Assessment: The POA&M closeout certification assessment will be performed by DCMA DIBCAC. ・レベル 3 認証アセスメント: POA&M クローズアウト認証アセスメントは、DCMA DIBCAC によって実施される。
CMMC Implementation CMMCの実施
The CMMC Program implementation date is 60 days after the publication of the final Title 48 CFR CMMC acquisition rule. CMMC assessment requirements will be implemented using a four-phase plan over three years. The phases add CMMC Level requirements incrementally, starting with self-assessments in Phase 1 and ending with full implementation of program requirements in Phase 4. This phased approach allows time to train assessors and for companies to understand and implement CMMC assessment requirements. CMMCプログラムの実施日は、Title 48 CFR CMMCの最終取得規則の公表から60日後である。CMMCアセスメント要件は、3年間にわたる4段階計画で実施される。フェーズ1でのセルフアセスメントから始まり、フェーズ4でのプログラム要件の完全実施まで、段階的にCMMCレベルの要件が追加される。この段階的アプローチにより、アセスメント担当者を訓練し、企業がCMMCアセスメント要件を理解し実施するための時間を確保することができる。

 

CMMC Status Source & Number of Security Reqts. Assessment Reqts. Plan of Action & Milestones (POA&M) Reqts. Affirmation Reqts.
Level 1 (Self) 15 required by FAR clause 52.204-21 Conducted by Organization Seeking Assessment (OSA) annually Not permitted After each assessment
  Results entered into the Supplier Performance Risk System (SPRS)   Entered into SPRS
Level 2 (Self)
 
110 NIST SP 800-171 R2 required by DFARS clause 252.204-7012 Conducted by OSA every 3 years Permitted as defined in § 170.21(a)(2) and must be closed out within 180 days After each assessment and annually thereafter
  Results entered into SPRS Final CMMC Status will be valid for three years from the Conditional CMMC Status Date Assessment will lapse upon failure to annually affirm
  CMMC Status will be valid for three years from the CMMC Status Date as defined in § 170.4   Entered into SPRS
Level 2 (C3PAO)
 
110 NIST SP 800-171 R2 required by DFARS clause 252.204-7012 Conducted by C3PAO every 3 years Permitted as defined in § 170.21(a)(2) and must be closed out within 180 days After each assessment and annually thereafter
  Results entered into CMMC Enterprise Mission Assurance Support Service (eMASS) Final CMMC Status will be valid for three years from the Conditional CMMC Status Date Assessment will lapse upon failure to annually affirm
  CMMC Status will be valid for three years from the CMMC Status Date as defined in § 170.4   Entered into SPRS
Level 3 (DIBCAC)
  
110 NIST SP 800-171 R2 required by DFARS clause 252.204-7012 Pre-requisite CMMC Status of Level 2 (C3PAO) for the same CMMC Assessment Scope, for each Level 3 certification assessment Permitted as defined in § 170.21(a)(3) and must be closed out within 180 days After each assessment and annually thereafter
24 selected from NIST SP 800-172 Feb2021, as detailed in table 1 to § 170.14(c)(4) Conducted by DIBCAC every 3 years Final CMMC Status will be valid for three years from the Conditional CMMC Status Date Assessment will lapse upon failure to annually affirm
  Results entered into CMMC eMASS   Level 2 (C3PAO) affirmation must also continue to be completed annually
  CMMC Status will be valid for three years from the CMMC Status Date as defined in § 170.4   Entered into SPRS

 

CMMC Status 出典とセキュリティ要求数 アセスメント要件 行動計画&マイルストーン(POA&M)要求事項 アファメーションの必要条件
Level 1
(セルフ)
15 FAR条項52.204-21による要求 アセスメントを求める組織(OSA)により毎年実施される。 許可されない 各アセスメント後
  結果をサプライヤー・パフォーマンス・リスク・システム(SPRS)に入力する。   SPRSに登録される
Level 2
(セルフ)
 
110 DFARS条項252.204-7012により要求されるNIST SP 800-171 R2 3年ごとにOSAが実施する 170.21条(a)(2)で定義されている通り許可され、180日以内に終了しなければならない。 各審査後およびその後毎年アセスメント
  結果はSPRSに入力される 最終CMMCステータスは、条件付CMMCステータス日から3年間有効である。 アセスメントは、毎年確認しなかった時点で失効する。
  CMMCステータスは、§170.4に定義されるCMMCステータス日から3年間妥当性確認される。   SPRSに記載される
Level 2
(C3PAO)
 
110 DFARS 第 252.204-7012 項により要求される NIST SP 800-171 R2 C3PAOにより3年毎に実施される。 170.21条(a)(2)に定義される通り許可され、180日以内に閉鎖されなければならない。 各審査後およびその後毎年アセスメント
  結果はCMMCエンタープライズミッション保証支援サービス(eMASS)に入力される。 最終CMMCステータスは、条件付CMMCステータス日から3年間有効である。 アセスメントは、毎年確認しなかった時点で失効する。
  CMMCステータスは、§170.4に定めるCMMCステータス日から3年間有効である。   SPRSに登録される
Level 3
(DIBCAC)
  
110 DFARS 第 252.204-7012 条により要求される NIST SP 800-171 R2 レベル3の認証審査ごとに、同じCMMCアセスメントスコープでレベル2(C3PAO)のCMMCステータスが前提条件となる。 170.21条(a)(3)に定義される通り許可され、180日以内に終了しなければならない。 各審査後およびその後毎年アセスメント
170.14 条(c)(4)の表 1 に詳述されているように、NIST SP 800-172 Feb2021 から選択された 24 件 DIBCACにより3年毎に実施される。 最終CMMCステータスは、条件付CMMCステータス日から3年間有効である。 アセスメントは、毎年確認しなかった時点で失効する。
  結果はCMMC eMASSに入力される。   レベル2(C3PAO)の確認も毎年継続しなければならない
  CMMCステータスは、§170.4で定義されるCMMCステータス日から3年間有効である。   SPRSに登録される

 

1_20241124073601

 

 

・・CMMC Resources & Documentation

Internal Resources 内部リソース
CMMC 101 Brief CMMC101概要
CMMC Overview Briefing (Audio) CMMC概要説明(音声)
CMMC Model Overview CMMCモデル概要
CMMC Level 1 Scoping Guidance CMMCレベル1ガイダンス
CMMC Level 1 Self-Assessment Guide CMMCレベル1セルフアセスメントガイド
CMMC Level 2 Scoping Guidance CMMCレベル2スコーピング・ガイダンス
CMMC Level 2 Assessment Guide CMMCレベル2アセスメントガイド
CMMC Level 3 Scoping Guidance CMMCレベル3スコーピング・ガイダンス
CMMC Level 3 Assessment Guide CMMCレベル3アセスメントガイド
CMMC Hashing Guide CMMCハッシングガイド CMMCハッシングガイド
External Resources 外部リソース
CMMC Defense Federal Acquisition Regulation Supplement (DFARS) Proposed Rule CMMC 国防連邦調達規則補足(DFARS)提案規則
DFARS Clause 252.204-7012: Safeguarding Covered Defense Information and Cyber Incident Reporting DFARS条項252.204-7012: 対象となる防衛情報の保護およびサイバーインシデントの報告
DFARS Provision 252.204-7019: Notice of NIST SP 800-171 DoD Assessment Requirements DFARS条項252.204-7019:NIST SP 800-171 DoDアセスメント要件の通知
DFARS Clause 252.204-7020: NIST SP 800-171 DoD Assessment Requirements DFARS 規定 252.204-7020: NIST SP 800-171 DoD アセスメント要件
DFARS Clause 252.204-7021: TBD DFARS 条項 252.204-7021: 未定
NIST SP 800-171 Rev. 2: Protecting CUI in Nonfederal Systems NIST SP 800-171 改訂 2 版:連邦政府以外のシステムにおける CUI の保護
NIST SP 800-171A: Assessing Security Requirements for Controlled Unclassified Information NIST SP 800-171A: 管理対象非機密情報のセキュリティ要件のアセスメント
NIST SP 800-172: Enhanced Security Requirements for Protecting Controlled Unclassified Information NIST SP 800-172: 管理対象非機密情報を保護するための拡張セキュリティ要件
NIST SP 800-172A: Assessing Enhanced Security Requirements for Controlled Unclassified Information NIST SP 800-172A: 管理対象非機密情報の拡張セキュリティ要件のアセスメント
DoD CUI Program Website: DoD CUI Program 国防総省CUIプログラムのウェブサイト 国防総省CUIプログラム
Supplier Performance Risk System (SPRS) サプライヤー・パフォーマンス・リスク・システム(SPRS)
CMMC Accreditation Body Website: CMMC Accreditation Body CMMC認定団体ウェブサイト: CMMC認定団体
DODI 5200.48 – Controlled Unclassified Information: DODI 5200.48 DODI 5200.48 - 管理対象非機密情報: DODI 5200.48
DODI 5000.90 – Cybersecurity for Acquisition Decision Authorities and Program Managers: DODI 5000.90 DODI 5000.90 - 取得決定権者及びプログラム管理者のためのサイバーセキュリティ: DODI 5000.90
Executive Order on Improving the Nation’s Cybersecurity (May 12, 2021): Executive Order 国家サイバーセキュリティ向上に関する大統領令(2021年5月12日): 大統領令
Additional Resources その他のリソース
NIST SP 800-53: Security and Privacy Controls for Information Systems and Organizations NIST SP 800-53: 情報システムおよび組織のセキュリティおよびプライバシー管理
NIST Cybersecurity Framework (CSF) NISTサイバーセキュリティ枠組み(CSF)
Cybersecurity & Infrastructure Security Agency (CISA) Resources: CISA Resources サイバーセキュリティ・インフラセキュリティ庁(CISA)リソース: CISA リソース
Federal Risk and Authorization Management Program (FedRAMP) 連邦リスク認可マネジメントプログラム(FedRAMP)
National Defense Industrial Association (NDIA): NDIA Cybersecurity 全米防衛産業協会(NDIA): NDIA サイバーセキュリティ
Defense Acquisition University (DAU): DAU Cybersecurity Courses 国防調達大学(DAU): DAU サイバーセキュリティコース
CMMC Marketplace: CMMC Marketplace CMMCマーケットプレイス CMMCマーケットプレイス
Cybersecurity and Privacy Reference Tool (CPRT) サイバーセキュリティとプライバシーリファレンスツール(CPRT)

 

FAQ

 ・・CMMC FAQs

20241124-64042

ABOUT CMMC  CMMCについて
Q1. What is CMMC trying to address?  Q1. CMMCは何を目指しているのか?
A1. The defense industrial base (DIB) is the target of more frequent and complex cyberattacks.  CMMC is a key component of the Department’s expansive DIB cybersecurity improvement effort.  The program is designed to help ensure that defense contractors and subcontractors are compliant with existing information protection requirements for Federal Contract Information (FCI) and Controlled Unclassified Information (CUI) and are protecting that sensitive unclassified information at a level commensurate with the risk from cybersecurity threats, including advanced persistent threats.  A1. 防衛産業基盤(DIB)は、より頻繁で複雑なサイバー攻撃の標的となっている。CMMCは、国防総省の広範なDIBサイバーセキュリティ改善努力の重要な構成要素である。このプログラムは、防衛請負業者と下請け業者が連邦契約情報(FCI)と管理対象非機密情報(CUI)に対する既存の情報保護要件を遵守し、高度な持続的脅威を含むサイバーセキュリティの脅威からのリスクに見合ったレベルで機密非機密情報を保護していることを確認するのを支援するように設計されている。
Q2. Where can I find the 32 CFR CMMC Program rule?  Q2. 32 CFR CMMCプログラム規則はどこで入手できるか。
A2. The 32 CFR CMMC Program Rule can be found here. ([web] A2. 32 CFR CMMCプログラム規則は、([web])  にある。
Q3. Where can I find the 48 CFR CMMC Acquisition rule?  Q3. 48 CFR CMMC取得規則はどこで入手できるか?
A3. The 48 CFR CMMC Acquisition Rule can be found here. ([web]
A3. 48 CFR CMMC取得規則はここにある。([web]
Q4. Will companies need to comply with CMMC 1.0 after the revised program is implemented?  Q4. 改正プログラム実施後もCMMC 1.0に準拠する必要があるのか。
A4. No, there is only one CMMC Program.  The requirements have been revised since the initial publication, often referred to as “CMMC 1.0”.  A4. CMMCプログラムは1つしかない。要件は、しばしば 「CMMC 1.0 」と呼ばれる最初の発行から改訂されている。
Q5. Why did the DoD initiate rulemaking for CMMC?  Q5. なぜDoDはCMMCのルール作りを開始したのか?
A5. Rulemaking under Title 32 CFR is required to formally establish the DoD CMMC Program in regulation, and separate rulemaking under Title 48 CFR is required to update contractual requirements in the Defense Federal Acquisition Regulation Supplement (DFARS) to implement the program.  A5. DoDのCMMCプログラムを正式に規定するためには、Title 32 CFRに基づく規則制定が必要であり、プログラムを実施するためにDefense Federal Acquisition Regulation Supplement (DFARS)の契約要件を更新するためには、Title 48 CFRに基づく別の規則制定が必要である。
Q6. When will CMMC be required for Department of Defense contracts?  Q6. 国防総省の契約にCMMCが要求されるのはいつからか?
A6. CMMC will be implemented contractually in the DoD when the DFARS clause 252.204-7021 is revised, and 60 days after the 48 CFR rule is published as final in the Federal Register.  A6. CMMCは、DFARS条項252.204-7021が改訂され、48 CFR規則が連邦官報に最終版として掲載されてから60日後に、国防総省において契約上実施される。
Q7. Why did the Department revise CMMC?  Q7. なぜ国防総省はCMMCを改訂したのか?
A7. The Department revised CMMC in response to feedback from industry, Congress, and other stakeholders.  The DoD initiated an internal review of the program to focus on enhancing CMMC by (1) reducing costs, particularly for small businesses; (2) increasing trust in the CMMC assessment ecosystem; and (3) clarifying and aligning cybersecurity requirements to existing federal requirements and commonly accepted standards.  DoD designed the revised CMMC framework to meet these goals, align with FY 2020 congressional guidance.  A7. 国防総省は、産業界、議会、その他の利害関係者からのフィードバックに応じてCMMCを改訂した。DoDは、(1)特に中小企業にとってのコスト削減、(2)CMMCアセスメント・エコシステムに対する信頼の向上、(3)既存の連邦政府要件および一般に受け入れられている標準に対するサイバーセキュリティ要件の明確化および整合化によってCMMCを強化することに重点を置くため、プログラムの内部レビューを開始した。DoDは、これらの目標を達成し、2020年度議会のガイダンスに沿うように、改訂されたCMMC枠組みを設計した。
Q8. How much will it cost to implement CMMC?  Q8. CMMCの導入にはどれくらいの費用がかかるのか。
A8. The cost of implementing CMMC depends on various factors, including the CMMC level, the complexity of the DIB company’s unclassified network, and market forces.  However, costs incurred to meet existing contract requirements for safeguarding information (DFARS 252.204-7012) are not considered part of the CMMC implementation cost.  A8. CMMCの導入コストは、CMMCレベル、DIB企業の非機密ネットワークの複雑さ、市場原理など、さまざまな要因に依存する。ただし、情報保護に関する既存の契約要件(DFARS 252.204-7012)を満たすために発生したコストは、CMMCの導入コストの一部とは見なされない。
Q9. What resources are available to assist companies in complying with DoD cybersecurity requirements?  Q9. DoDのサイバーセキュリティ要件に準拠する企業を支援するために、どのようなリソースが利用可能か?
A9. The DoD provides various no-cost Cybersecurity-as-a-Service resources to reduce barriers to DIB community compliance and support contract cybersecurity efforts.  The DoD CIO DIB Cybersecurity Program has compiled a list of these services that is available at dibnet.dod.mil under DoD DIB Cybersecurity-As-A Service (CSaaS) Services and Support.  A9. 国防総省は、DIB コミュニティのコンプライアンスに対する障壁を減らし、契約のサイバーセキュリティの取り組みを支援するために、さまざまな無償のサイバーセキュリティ・アズ・ア・サービス・リソースを提供している。国防総省 CIO DIB サイバーセキュリティ・プログラムは、これらのサービスのリストをまとめており、dibnet.dod.mil の「DoD DIB Cybersecurity-As-A Service (CSaaS) Services and Support」で入手できる。
CMMC MODEL  CMMC モデル
Q10. How will my organization know what CMMC level is required for a contract?  Q10. 契約に必要な CMMC レベルはどのようにして知ることができるのか。
A10. Once CMMC is implemented, the DoD will specify the required CMMC level in the solicitation and the resulting contract.  A10. CMMCが導入されると、DoDは、募集とその結果の契約に必要なCMMCレベルを指定する。
Q11. What is the relationship between National Institute of Standards and Technology (NIST) Special Publication (SP) 800-171 and CMMC?  Q11. 国立標準技術研究所(NIST)の特別刊行物(SP)800-171とCMMCの関係は?
A11. DoD requires defense contractors’ compliance with NIST SP 800-171 security requirements through inclusion of DFARS clause 252.204-7012 in contracts.  CMMC assessment requirements will be included in DoD solicitations when the revised Title 48 CFR CMMC acquisition rule (DFARS 252.204-7021) becomes effective.  Defense contractors will be required to undergo a self-assessment or a third-party assessment to determine whether that defense contractor has met applicable NIST SP 800-171 requirements.  A11. DoDは、契約にDFARS条項252.204-7012を含めることにより、防衛請負業者がNIST SP 800-171セキュリティ要件に準拠することを要求している。CMMCアセスメント要件は、改正Title 48 CFR CMMC取得規則(DFARS 252.204-7021)が発効した時点で、DoDの募集に含まれることになる。国防請負業者は、該当する NIST SP 800-171 の要件を満たしているかどうかを判断するために、セルフアセスメントまたはサードパーティによるアセスメントを受けることが要求される。
Q12. What is the relationship between National Institute of Standards and Technology (NIST) Special Publication (SP) 800-172 and CMMC?  Q12. 国立標準技術研究所(NIST)の特別刊行物(SP)800-172とCMMCの関係はどのようになっているか。
A12. NIST SP 800-172 provides security requirements designed to address advanced persistent threats and forms the basis for CMMC level 3 security requirements.  Contractors must implement 24 requirements from NIST SP 800-172 when DoD identifies CMMC Level 3 as a contract requirement.  A12. NIST SP 800-172は、高度な持続的脅威に対処するために設計されたセキュリティ要件を提供し、CMMCレベル3セキュリティ要件の基礎を形成する。DoDがCMMCレベル3を契約要件として特定した場合、請負業者はNIST SP 800-172の24の要件を実装しなければならない。
Q13. The CMMC model uses NIST SP 800-171, Revision 2.  Will the Department update the program to use NIST SP 800-171, Revision 3?  Q13. CMMCモデルはNIST SP 800-171、改訂2を使用している。国防総省は、NIST SP 800-171改訂3を使用するようにプログラムを更新するのか。
A13. The Department followed federal rulemaking guidelines when including NIST SP 800-171 Revision 2 in the Title 32 CFR CMMC rule.  The Department will incorporate Revision 3 with future rulemaking.  The Department has issued a class deviation to DFARS clause 252.204-7012 to allow contracting officials to assess against Revision 2 until Revision 3 has been incorporated through rulemaking.  You can find more info on that deviation here A13. 同省は、Title 32 CFR CMMC規則にNIST SP 800-171改訂2を含める際、連邦規則制定ガイドラインに従った。同省は、今後の規則制定で改訂3を取り入れる予定である。同省は、DFARS条項252.204-7012に対するクラス逸脱を発行し、改訂3が規則制定を通じて組み込まれるまで、契約担当者が改訂2に対してアセスメントできるようにしている。この逸脱に関する詳細は、こちらを参照されたい。
Q14. Will prime contractors and subcontractors be required to maintain the same CMMC level?  Q14. 元請けと下請けは同じCMMCレベルを維持する必要があるのか。
A14. No, a lower CMMC level may apply to the subcontractor if the prime only flows down limited information.  Additionally, if a prime contractor requires a CMMC level 3 certification, then a CMMC level 2 certification is the minimum requirement for CUI flowed down to the subcontractor, unless otherwise specified in the contract.  A14. 元請業者が限られた情報しか流さない場合、下請業者にはより低いCMMCレベルが適用される。さらに、元請業者がCMMCレベル3の認定を要求する場合、契約に別段の定めがない限り、CMMCレベル2の認定が下請業者にフローダウンされるCUIの最低要件となる。
Q15. What is the difference between FCI and CUI?  Q15. FCIとCUIの違いは何か?
A15. FCI is any information that is ‘not intended for public release,’ CUI is information that requires safeguarding and may also be subject to dissemination controls.  FCI is defined in FAR clause 52.204-21, and CUI is defined in Title 32 CFR Part 2002.  The Department’s CUI Quick Reference Guide includes additional information on the marking and handling of CUI.  A15. FCIは「一般公開を意図していない」情報であり、CUIは保護が必要な情報であり、また普及管理の対象となる場合もある。FCIはFAR条項52.204-21で定義され、CUIはTitle 32 CFR Part 2002で定義されている。同省のCUIクイック・リファレンス・ガイドには 、CUIのマーキングと取扱いに関する追加情報が記載されている。
Q16. Will the CMMC Program address proper marking of legacy FOUO information and CUI?  Q16. CMMCプログラムは、レガシーFOUO情報やCUIの適切なマーキングに対応するのか?
A16. Marking of legacy FOUO and CUI is outside the purview of the CMMC Program and the CMMC Program makes no change to information marking requirements.  The CUI Program was established federally through Title 32 CFR Part 2002 and within DoD through DoD Instruction 5200.48.  Not all, but some information previously marked as FOUO will qualify as CUI.  Contactors should seek DoD guidance to understand which legacy FOUO information should be marked and controlled as CUI.  A16. レガシーFOUOおよびCUIのマーキングは、CMMCプログラムの権限外であり、CMMCプログラムは情報のマーキング要件に変更を加えない。CUIプログラムは、連邦政府ではTitle 32 CFR Part 2002により、国防総省ではDoD Instruction 5200.48により確立された。すべてではないが、以前はFOUOとしてマークされていた情報の一部は、CUIとして適格となる。接触者は、どのレガシーFOUO情報がCUIとしてマークされ管理されるべきかを理解するために、DoDのガイダンスを求めるべきである。
ASSESSMENTS  アセスメント
Q17. How does my company become a C3PAO?  Q17. どのようにしてC3PAOになるのか?
A17. Interested organizations should refer to the CMMC AB website (currently Cyber AB) for additional information on becoming a candidate C3PAO.  A17. C3PAO候補になるための追加情報については、CMMC ABのウェブサイト(現在はCyber AB)を参照されたい。
Q18. What is the difference between authorized and accredited C3PAOs.  Q18. 認可C3PAOと認定C3PAOの違いは何か。
A18. The only difference between authorization and accreditation is the status of the CMMC Accreditation Body.  Prior to the CMMC AB achieving its full ISO/IEC 17011 compliance, the interim term “authorized” is used for C3PAOs.  A18. 認可と認定の唯一の違いは、CMMC認定団体のステータスである。CMMC ABがISO/IEC 17011への完全な適合を達成する前は、C3PAOに対して暫定的に「認可(authorized)」という用語が使用される。
Q19. How frequently will assessments be required?  Q19. アセスメントの頻度はどの程度か。
A19. Once CMMC is implemented through the Title 48 CFR rule, Level 1 selfassessments will be required on an annual basis and CMMC Levels 2 and 3 will be required every 3 years.  An affirmation of continued compliance is required for all CMMC levels at the time of assessment and annually thereafter.  A19. CMMCがTitle 48 CFR規則を通じて実施されると、レベル1のセルフ評価は年1回、CMMCレベル2と3は3年ごとに必要となる。すべてのCMMCレベルについて、アセスメント時およびその後毎年、遵守継続の確認が必要となる。
Q20. Who will perform independent CMMC assessments?  Q20. 独立したCMMCアセスメントは誰が行うのか?
A20. DoD will only accept CMMC Level 3 assessments provided by the DIBCAC and CMMC Level 2 assessments conducted by an authorized or accredited C3PAO.  C3PAOs shall use only certified CMMC assessors to conduct CMMC assessments.  A20. DoDは、DIBCACが提供するCMMCレベル3のアセスメントと、認可または認定されたC3PAOが実施するCMMCレベル2のアセスメントのみを受け入れる。C3PAOは、認定されたCMMCアセッサーのみを使用してCMMCアセスメントを実施しなければならない。
Q21. Will my organization need to be independently assessed if it does not handle CUI?  Q21. CUIを取り扱わない組織は、独立したアセスメントを受ける必要があるのか。
A21. No, if a DIB company does not process, store, or transmit CUI but does handle FCI, then only a CMMC Level 1 self-assessment would be required.  Contractors are required to safeguard information by inclusion of contract clauses such as FAR 52.20421 (for FCI) or DFARS 252.204-7012 (for CUI).  DoD’s intent under the CMMC Program is to require assessment against the required cybersecurity standards (i.e., NIST SP 800-171) only when safeguarding of CUI is required.  For some CUI, DoD will accept a self-assessment rather than requiring certification based on assessment by a C3PAO or the Government.  A21. DIB 企業が CUI を処理、保管、または送信しないが、FCI を取り扱う場合は、CMMC レベル 1 のセルフアセスメントのみが必要となる。請負業者には、FAR 52.20421(FCI用)またはDFARS 252.204-7012(CUI用)などの契約条項を含めることにより、情報を保護することが求められる。CMMCプログラムにおけるDoDの意図は、CUIの保護が要求される場合にのみ、要求されるサイバーセキュリティ標準(すなわち、NIST SP 800-171)に対するアセスメントを要求することである。一部の CUI については、DoD は、C3PAO またはガバナンスによるアセスメントに基づく認証 を要求するのではなく、セルフアセスメントを受け入れる。
Q22. Will CMMC independent assessments be required for classified systems and / or classified environments within the DIB?  Q22. DIB内の機密システムおよび/または機密環境に対して、CMMCの独立アセスメントは要求されるか?
A22. No, CMMC only applies to DIB contractors’ nonfederal systems unclassified networks that process, store, or transmit FCI or CUI.  A22. いいえ。CMMC は、FCI または CUI を処理、保管、または伝送する DIB 契約者の非フ ェデラル・システム非機密ネットワークにのみ適用されます。
Q23. Will the results of a DIB company’s assessment be made public?  Will the DoD be able to see assessment results?  Q23. DIB 企業のアセスメント結果は公開されるのか。DoD はアセスメント結果を見ることができるか。
A23. No, DIB companies’ assessments will not be made public. However, the DoD will have access to assessment information.  A23. DIB 企業のアセスメントは公開されない。ただし、DoD は評価情報にアクセスできる。
Q24. How much will CMMC certification assessment cost?  Q24. CMMC認証アセスメントの費用はいくらかかるのか。
A24. The cost of a CMMC Level 2 certification assessment will depend upon several factors, including the complexity of the DIB company’s unclassified network for the certification scope, and market forces.  DIBCAC assessments required for CMMC Level 3 certification will be conducted free of charge.  A24. CMMC レベル 2 認証アセスメントの費用は、認証範囲に対する DIB 企業の非機密ネットワークの複雑さ、市場動向など、いくつかの要因に左右される。CMMCレベル3認証に必要なDIBCACアセスメントは、無料で実施される。
Q25. When will we know which requirements are considered "critical" and won't be allowed in a Plan of Actions and Milestones (POA&M)?  Q25. どの要件が「クリティカル」とみなされ、行動計画およびマイルストーン(POA&M)で認められないかは、いつわかるのか。
A25. Critical requirements are identified in the Title 32 CFR CMMC final rule section §170.21.  A25. クリティカルな要求事項は、Title 32 CFR CMMC最終規則§170.21で特定される。
Q26. How would a company deal with operational requirements where full CMMC implementation breaks required information system functionality?  Q26. CMMCを完全に実施することにより、必要な情報システムの機能が損なわれるような運用上の要求事項には、どのように対処するのか。
A26. If an information system is not able to provide adequate information security, DoD CUI should not be processed, stored, or transmitted in or on that system.  A26. 情報システムが適切な情報セキュリティをプロバイダできない場合、DoD CUIをそのシステムで、またはそのシステム上で処理、保存、または伝送すべきではない。
Q27. Can DoD contractors implement NIST SP 800-171 Revision 3?  Q27. 国防総省の請負業者は NIST SP 800-171 改訂 3 版を実装できるか。
A27. Yes, DoD contractors can implement NIST SP 800-171 Revision 3 at will. But the CMMC assessment will still be conducted against NIST SP 800-171 Revision 2 using NIST SP 800-171A (June 2018) per the DoD and CMMC Assessment Methodology.  A27. はい、国防総省の請負業者は NIST SP 800-171 改訂第 3 版を自由に実施することができる。しかし、CMMCアセスメントは、DoDおよびCMMCアセスメント方法論に従って、NIST SP 800-171A(2018年6月)を使用してNIST SP 800-171改訂2に対して実施される。
Q28. What NIST SP 800-171 Revision 2 requirements would have to be implemented that are not covered in NIST SP 800-171 Revision 3?  Q28. NIST SP 800-171 改訂 3 でカバーされていない NIST SP 800-171 改訂 2 のどのような要求事項を実施しなければならないのか。
A28. Full compliance with NIST SP 800-171 Revision 3 does not automatically guarantee compliance with all aspects of NIST SP 800-171 Revision 2. To ensure compliance, contractors need to identify and implement any security requirements, and their assessment objectives, from NIST SP 800-171A (June 2018) that are not covered in NIST SP 800-171 Revision 3. This may include specific security requirements that were revised, removed, or altered in the transition from NIST SP 800-171 Revision 2 to NIST SP 800-171 Revision 3. Furthermore, NIST SP 800-171 Revision 3 includes numerous organization-defined parameters (ODP) – each ODP selection will impact the alignment with the corresponding security requirements or assessment objectives from NIST SP 800-171A (June 2018).  It is important to document and demonstrate compliance with the revision specified in your contract to meet all applicable requirements.  A28. NIST SP 800-171 改訂第 3 版への完全な準拠は、NIST SP 800-171 改訂第 2 版のすべての側面への準拠を自動的に保証するものではない。コンプライアンスを確保するために、請負業者は、NIST SP 800-171改訂3でカバーされていないNIST SP 800-171A(2018年6月)のセキュリティ要件とそのアセスメント目標を特定し、実施する必要がある。これには、NIST SP 800-171改訂2版からNIST SP 800-171改訂3版への移行において改訂、削除、変更された特定のセキュリティ要件が含まれる可能性がある。さらに、NIST SP 800-171改訂3には、多数の組織定義パラメータ(ODP)が含まれており、各ODPの選択は、NIST SP 800-171A(2018年6月)の対応するセキュリティ要求事項又はアセスメント目的との整合に影響を与える。適用されるすべての要件を満たすために、契約で指定された改訂に準拠していることを文書化し、証明することが重要である。
Q29. Does my cloud service provider (CSP) require FedRAMP authorization?  Q29. クラウドサービスプロバイダ(CSP)はFedRAMP認可を必要とするか?
A29. Yes, if the product/service provided by the CSP is used to process, store, or transmit Controlled Unclassified Information (CUI), the Cloud Service Offering (CSO) must meet FedRAMP Moderate, or equivalency requirements as determined by DoD policy at the time of the assessment.  A29. はい。CSPが提供する製品/サービスが管理対象非機密情報(CUI)の処理、保管、送信に使用される場合、クラウド・サービス・オファリング(CSO)はFedRAMP Moderate、またはアセスメント時にDoDポリシーが決定する同等要件を満たさなければならない。
Q30. An OSA stores CUI in a system provided by our Managed Service Provider. It is not a cloud offering. Does the MSP require its own CMMC assessment?  Q30. OSAが、マネージド・サービス・プロバイダーが提供するシステムにCUIを保存している。これはクラウド提供ではない。MSPは独自のCMMCアセスメントを必要とするか。
A30. No, but because CUI is stored in the MSP’s systems, the services provided are in scope for the OSA’s CMMC assessment and shall be assessed as part of the assessment. The MSP must satisfy all security requirements related to the processing, storage, or transmission of CUI. The MSP is not required to have its own CMMC assessment but may elect to perform its own self-assessment or undergo a certification assessment. The MSP’s assessment level and type need to be the same, or above, as the level and type specified in the OSA’s contract with the DoD and cover those assets that are in scope for the OSA’s assessment.  A30. MSPのシステム内にCUIが保管されているため、提供されるサービスはOSAのCMMCアセスメントの対象であり、アセスメントの一環として評価されなければならない。MSPは、CUIの処理、保管、または送信に関連するすべてのセキュリティ要件を 満たさなければならない。MSPは、独自のCMMCアセスメントを受ける必要はないが、独自のセルフアセスメ ントを実施するか、または認証アセスメントを受けることを選択できる。MSP のアセスメント・レベルおよびタイプは、OSA と国防総省との契約で指定されたレベルおよびタ イプと同じかそれ以上である必要があり、OSA のアセスメントの対象となる資産をカバーする。
Q31. We separately outsource our IT support to an MSP and our security tools are managed by a different MSSP.  No CUI is with either vendor. Are they required to be assessed?  Q31. ITサポートをMSPに委託し、セキュリティ・ツールは別のMSPが管理している。どちらのベンダーにもCUIはない。アセスメントが必要か。
A31. In both cases, the MSP and MSSP services provided are both considered ESPs are the services are assessed as a Security Protection Asset Critical.  A31. いずれの場合も、MSPとMSSPが提供するサービスは、いずれもESPとみなされ、そのサービスは「重要なセキュリティ保護資産(Security Protection Asset Critical)」として評価される。
Q32. Our MSP uses cloud tools to collect asset inventory, perform vulnerability scans, administer some assets, etc. Is the MSP a CSP?  Q32. 当社のMSPは、クラウドツールを使用して、資産インベントリの収集、脆弱性スキャンの実行、一部の資産の管理などを行っている。MSPはCSPか。
A32. No. The use of cloud tools to deliver a service does not make the MSP a CSP.  A32. サービスを提供するためにクラウド・ツールを使用したからといって、MSP が CSP になるわけではない。
Q33. Our MSP remotely accesses our on-premises and cloud environments. CUI is stored in both environments. Does the MSP require a CMMC certification?  Q33. 当社のMSPは、オンプレミスとクラウドの環境にリモート・アクセスする。CUIは両方の環境に保存されている。MSPはCMMC認証を必要とするか。
A33. No, as long as CUI is not processed, stored, or transmitted on MSP systems.  A33. MSPのシステム上でCUIが処理、保存、送信されない限り、必要ない。
Q34. We store CUI in the cloud and our MSP administers the environment. Is the MSP a CSP?  Q34. 当社はCUIをクラウドに保管し、MSPがその環境を管理している。MSPはCSPか。
A34. It depends on the relationships between the CSP, the MSP, and the OSA. If the cloud tenant is subscribed/licensed to the OSA (even if the MSP resells the service), then the MSP is not a CSP. If the MSP contracts with the CSP and further modifies the basic cloud service, then the MSP is a CSP and must meet applicable FedRAMP or equivalency requirements. A Cloud Service Provider (CSP) means an external company that provides cloud services based on cloud computing. Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.  A34. CSP、MSP、およびOSAの関係による。クラウド・テナントがOSAにサブスクライブ/ライセンスされている場合(MSPがサービスを再販している場合でも)、MSPはCSPではない。MSPがCSPと契約し、基本クラウド・サービスをさらに変更する場合、MSPはCSPであり、適用されるFedRAMPまたは同等の要件を満たさなければならない。クラウド・サービス・プロバイダ(CSP)とは、クラウド・コンピューティングに基づくクラウド・サービスを提供する外部の企業をいう。クラウド・コンピューティングは、構成可能なコンピューティング・リソース(ネットワーク、サー バー、ストレージ、アプリケーション、サービスなど)の共有プールへのユビキタスで便利なオンデマンド のネットワーク・アクセスを可能にするモデルであり、最小限のマネージド・エフォートまたはサービ ス・プロバイダーの相互作用で迅速にプロビジョニングおよび解放できる。
Q35. CUI is processed, stored, and transmitted in a Virtual Desktop Infrastructure (VDI). Are the endpoints used to access the VDI in scope as CUI assets?  Q35. CUIは、仮想デスクトップ基盤(VDI)で処理、保存、転送される。VDIにアクセスするために使用されるエンドポイントは、CUI資産の範囲内か?
A35. An endpoint hosting a VDI client is considered an Out-of-Scope Asset if it is configured to not allow any processing, storage, or transmission of CUI beyond the Keyboard/Video/Mouse sent to the VDI client. Proper configuration of the VDI client must be verified. If the configuration allows the endpoint to process, store, or transmit CUI, the endpoint will be considered a CUI Asset and is in scope of the assessment.  A35. VDIクライアントをホストするエンドポイントは、VDIクライアントに送信されるキーボード/ビデオ/マウスを超えるCUIの処理、保存、送信を許可しないように構成されている場合、範囲外の資産とみなされる。VDIクライアントの適切な構成が検証されなければならない。構成によりエンドポイントがCUIを処理、保存、または送信できる場合、そのエンドポイントはCUIアセスメントとみなされ、アセスメントの対象となる。
IMPLEMENTATION  実装
Q36. How will the DoD implement CMMC?  Q36. DoDはCMMCをどのように実施するのか。
A36. Once the Title 32 CFR CMMC Program rule and the Title 48 CFR CMMC acquisition rule are effective, the DoD will implement CMMC requirements in 4 phases over a three-year period to reduce implementation risk.  The phased implementation plan is intended to address ramp-up issues, provide time to train the necessary number of assessors, and allow companies the time needed to understand and implement CMMC requirements.  It will also minimize financial impacts to defense contractors, especially small businesses, and disruption to the existing DoD supply chain.   A36. Title 32 CFR CMMC Program規則およびTitle 48 CFR CMMC取得規則が発効した後、DoDは、実施リスクを低減するために、3年間で4つのフェーズに分けてCMMC要件を実施する。段階的実施計画は、立ち上げの問題に対処し、必要な数の評価者を訓練する時間を提供し、企業がCMMC要件を理解し実施するのに必要な時間を確保することを意図している。また、防衛請負業者、特に中小企業への財政的影響や、既存の国防総省サプライチェーンへの混乱を最小限に抑える。
Following this phased implementation plan, solicitations and resulting defense contracts involving the processing, storing, or transmitting of FCI or CUI on a nonfederal system will have a CMMC level and assessment type requirement that a contractor must meet to be eligible for a contract award.    この段階的実施計画に従って、連邦政府以外のシステムでFCIまたはCUIを処理、保管、または送信することを含む募集およびその結果としての防衛契約には、契約締結の資格を得るために請負業者が満たさなければならないCMMCレベルおよびアセスメントタイプの要件が設けられる。 
Q37. How can businesses best prepare for CMMC implementation?  Q37. 企業はどのようにCMMC導入の準備をすればよいか。
A37. Whether your company has previously been awarded a DoD contract that includes DFARS clause 252.204-7012 or is brand new to DoD contracting, the best way to prepare for implementation of CMMC is to carefully conduct a self-assessment of your contractor-owned information systems to make sure you have implemented the necessary cybersecurity measures to comply with each requirement of FAR clause 52.204-21 or DFARS clause 252.204-7012.  Review the appropriate security requirements and carefully consider whether they have been implemented to secure any contractor-owned information systems which will be used to process, store, or transmit DoD controlled unclassified information during contract performance.  Before initiating an assessment, take corrective actions to meet any security requirements that necessitate implementation to comply with CMMC requirements. Companies may use cloud service offerings to meet the cybersecurity requirements that must be assessed as part of the CMMC requirement. The DoD CIO DIB Cybersecurity Program has compiled a list of current resources available at dibnet.dod.mil under DoD DIB Cybersecurity-as-a-Service (CSaaS) Services and Support.  A37. 貴社が過去にDFARS条項252.204-7012を含むDoD契約を締結したことがあるにせよ、DoD契約に新規参入するにせよ、CMMCの実施に備える最善の方法は、FAR条項52.204-21またはDFARS条項252.204-7012の各要件に準拠するために必要なサイバーセキュリティ対策を実施しているかどうかを確認するために、請負業者が所有する情報システムのセルフアセスメントを慎重に実施することである。適切なセキュリティ要件を確認し、契約履行中に国防総省の管理対象非機密情報の処理、保存、送信に使用される請負業者が所有する情報システムのセキュリティ確保が実施されているかどうかを慎重に検討する。アセスメントを開始する前に、CMMC要件に準拠するために実施が必要なセキュリティ要件を満たすための是正措置を講じる。企業は、CMMC 要件の一部として評価されなければならないサイバーセキュリティ要件を満たすために、クラウドサービスを利用することができる。国防総省 CIO DIB サイバーセキュリティ・プログラムは、dibnet.dod.mil の「DoD DIB Cybersecurity-as-a-Service (CSaaS) Services and Support」で利用可能な最新のリソースのリストをまとめている。
Q38. Will CMMC apply to non-U.S. companies?  Q38. CMMCは米国以外の企業にも適用されるのか。
A38. Yes, when CMMC requirements are identified in DoD solicitations, they will apply to all companies performing under the resulting DoD contract.  A38. はい。DoDの募集においてCMMC要件が特定された場合、その結果生じるDoD契約の下で業務を行うすべての企業に適用される。
Q39. Can non-U.S. citizens or organizations be part of the CMMC Ecosystem, e.g., C3PAOs?  Q39. C3PAOなど、米国以外の市民や組織もCMMCエコシステムに参加できるか。
A39. Individuals and organizations that meet all requirements established under the  A39. Title32CFRのCMMCプログラム規則で定められたすべての要件を満たす個人および組織は、CMMCエコシステムの一員となることができる。
Title 32 CFR CMMC Program rule are eligible, as appropriate, to be members of the CMMC Ecosystem, regardless of nationality.  Title 32 CFR CMMC Program Ruleに定められたすべての要件を満たす個人および組織は、国籍に関係なく、CMMCエコシステムのメンバーになる資格がある。
Q40. Do foreign countries need to develop their own assessment and training organizations, then obtain CMMC Program acceptance agreements with the U.S.?  Q40. 外国は、自国のアセスメントおよびトレーニング組織を開発し、その後、米国とCMMCプログラム受入協定を締結する必要があるのか。
A40. No, foreign partners need not establish unique assessment, training, or a nonU.S. based CMMC program; rather, they can use the CMMC program established by the Title 32 CFR CMMC Program rule.  For instance, the Cyber AB may accredit, as appropriate, international organizations that meet all requirements established under the Title 32 CFR CMMC Program rule.  Non-U.S. companies may then choose to use either an approved U.S.-based or foreign-based C3PAO to assess them.  A40. 外国のパートナーは、独自のアセスメント、訓練、または米国をベースとしないCMMCプログラムを確立する必要はない。例えば、サイバーABは、Title 32 CFR CMMC Program規則の下で確立されたすべての要件を満たす国際組織を、必要に応じて認定することができる。その場合、米国以外の企業は、承認された米国を拠点とする C3PAO または外国を拠点とする C3PAO のいずれかを選択して評価を受けることができる。
Q41. Our corporate security team provides our SOC and monitors deployed security tools. They are not a part of our business unit or CAGE code, but we are all employees of the same company. Is the security team/SOC an External Service Provider?  Q41. 当社のコーポレート・セキュリティ・チームがSOCをプロバイダし、展開されているセキュリティ・ツールを監視している。彼らは当社の事業部門やCAGEコードには属していないが、全員が同じ会社の従業員である。セキュリティ・チーム/SOCは外部サービス・プロバイダか。
Possibly. In this context, EXTERNAL can include organizations within the same corporate entity; they do not need to be independent third parties. According to the CMMC Program, Controlled Unclassified Information (CUI) or Security Protection Data (SPD) (e.g., log data, configuration data) must be processed, stored, or transmitted on the External Service Provider (ESP) assets to be considered an ESP (170.4). In this case, the SOC is handling SPD on behalf of the Organizational Subunit (OSA). The organizational structure within the company will determine if the SOC is external to the OSA. Since the SOC is at a different organizational level and is not covered by the same CAGE code, it is likely to be considered an ESP. For the SOC to be considered an ESP during an assessment, a “service description and customer responsibility matrix (CRM)” are required.  It is also possible to assign a CAGE code and include the SOC in the assessment.  その可能性はある。この文脈では、EXTERNAL には同じ事業体内の組織を含めることができる。独立したサードパーティである必要はない。CMMCプログラムによると、管理対象非機密情報(CUI)またはセキュリティ防御データ(SPD)(例えば、ログデータ、構成データ)が、外部サービスプロバイダー(ESP)資産上で処理、保存、または送信されなければ、ESPとみなされない(170.4)。この場合、SOC は組織サブユニット(OSA)に代わって SPD を取り扱う。SOC が OSA の外部であるかどうかは、企業内の組織構造によって決定される。SOC は組織レベルが異なり、同じ CAGE コードの適用を受けないため、ESP とみなされる可能性が高い。アセスメントにおいてSOCがESPとみなされるためには、「サービス内容および顧客責任マトリックス(CRM)」が必要である。CAGE コードを割り当て、SOC をアセスメントに含めることも可能である。

 

 

 

 


 

官報...

Fedral Register

・2024.10.15 Cybersecurity Maturity Model Certification (CMMC) Program

 

仮訳..

.20241124-63330

・[DOCX][PDF]

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

国防総省の委託先の管理の話...

・2024.01.03 米国 国防総省 パブコメ サイバーセキュリティ成熟度認証規則案 (2023.12.26)

・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)

・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

・2021.12.10 米国 CMMC Ver.2.0

・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.05.01 Cybersecurity成熟度モデル認証制度は普及するか、しないか・・・

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

 

 

SP800-53, 171, 172関係...

・2024.11.17 米国 NIST SP 800-172 Rev.3(初公開ドラフト) 管理対象非機密情報保護のための拡張セキュリティ要件

・2024.05.20 米国 NIST SP 800-171 改訂 3 版 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護とNIST SP 800-171A 改訂3版 管理対象非機密情報のセキュリティ要件の評価 (2024.05.14)

・2023.11.13 NIST 意見募集 SP 800-171 Rev.3(最終ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護、NIST SP 800-171A 改訂第3版(初期公開ドラフト) 管理対象非機密情報のセキュリティ要件の評価

・2023.05.13 米国 NIST 意見募集 SP 800-171 Rev.3(ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護

・2022.07.21 NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開

・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第4版の更新分析、ISO/IEC27001とのマッピング表等の追加

・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン

・2020.03.17 NIST SP 800-53 Rev. 5(Draft) Security and Privacy Controls for Information Systems and Organizations (Final Public Draft)

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

 

少し前...

・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations

・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog

・2010.05.10 NIST SP800-53関係の情報

 

| | Comments (0)

2024.11.23

CSA AIリスクマネジメント: 規制の枠を超えて考える

こんにちは、丸山満彦です。

CSAAIリスクマネジメントについての文書を公表しています。。。

この手の文書はたくさん出ていますが、特徴的な点として、附属書として、監査をする際のポイントを記載したものがかなりの分量であることですかね...

ISACAArtificial Intelligence Audit Toolkitを公表していますが、こちらは有料となっていますね...

 

さて、このAIリスクマネジメントの文書ですが、項目によって詳細な説明がある部分と薄い部分とマダラ模様のような気がします...まぁ、必要そうなところを先に分厚くしたのかもしれません...

 

Cloud Security Alliance

・2024.11.13 AI Risk Management: Thinking Beyond Regulatory Boundaries

AI Risk Management: Thinking Beyond Regulatory Boundaries AIリスクマネジメント: 規制の枠を超えて考える
While artificial intelligence (AI) offers tremendous benefits, it also introduces significant risks and challenges that remain unaddressed. A comprehensive AI risk management framework is the only way we can achieve true trust in AI. This approach will need to proactively consider compliance with improvements beyond the regulatory necessities. 人工知能(AI)は多大な恩恵をもたらす一方で、未解決の重大なリスクや課題ももたらす。包括的なAIリスクマネジメントの枠組みは、AIに対する真の信頼を実現する唯一の方法である。このアプローチでは、規制上の必要性を超えた改善によるコンプライアンスを積極的に検討する必要がある。
In response to this need, this publication presents a holistic methodology for impartially assessing AI systems beyond mere compliance. It addresses the critical aspects of AI technology, including data privacy, security, and trust. These audit considerations apply to a wide range of industries and build upon existing AI audit best practices. This innovative approach spans the entire AI lifecycle, from development to decommissioning. このニーズに応えるため、本書では単なるコンプライアンスを超えてAIシステムを公平にアセスメントするための総合的な方法論を提示する。データ・プライバシー、セキュリティ、信頼など、AI技術の重要な側面を取り上げている。これらの監査上の考慮事項は、幅広い業界に適用され、既存のAI監査のベストプラクティスを基礎としている。この革新的なアプローチは、開発から廃止まで、AIのライフサイクル全体に及ぶ。
The first part establishes a comprehensive understanding of the components used to assess AI end-to-end. It shares considerations for a broad range of technologies, enabling critical thinking and supporting risk assessment activities. パート1では、AIをエンド・ツー・エンドで評価するために使用されるコンポーネントの包括的な理解を確立する。広範なテクノロジーに関する検討事項を共有し、批判的思考を可能にし、リスクアセスメント活動を支援する。
The second part consists of appendices with potential questions corresponding to each technology covered in the first section. The questions are not exhaustive, but serve as guidelines to identify potential risks. The aim is to stimulate unconventional thinking and challenge existing assumptions, thereby enhancing AI risk assessment practices and increasing overall trustworthiness in intelligent systems. パート2は、パート2で取り上げた各技術に対応する潜在的な質問事項を記した附属書で構成されている。質問は網羅的なものではなく、潜在的なリスクを特定するためのガイドラインとなるものである。その目的は、型にはまらない思考を刺激し、既存の前提に挑戦することで、AIのリスクアセスメントの実践を強化し、インテリジェントシステム全体の信頼性を高めることにある。
Key Takeaways: 主な要点
・Fundamental concepts, principles, and vocabulary used to assess AI end-to-end ・AIをエンド・ツー・エンドで評価するために使用される基本的な概念、原則、語彙。
・Key metrics used to evaluate an intelligent systems ・インテリジェントシステムの評価に使用される主な指標
・The value of AI trustworthiness beyond regulatory compliance ・規制遵守を超えたAIの信頼性の価値
・How to assess risk during all stages of the AI lifecycle, including development, deployment, monitoring, and decommissioning ・開発、展開、モニタリング、デコミッショニングを含むAIライフサイクルの全ステージにおけるリスクアセスメントの方法
・Key factors that contribute to effective AI governance  ・効果的なAIガバナンスに寄与する主な要因 
・How to comply with global AI regulations such as the General Data Protection Regulation (GDPR) and EU AI Act ・一般データ保護規則(GDPR)やEU AI法などのグローバルなAI規制を遵守する方法
・Specific aspects to consider when evaluating an AI system, including AI infrastructure, sensors, data storage, communication interfaces, control systems, privacy methods, and much more ・AIインフラ、センサー、データ・ストレージ、コミュニケーション・インターフェイス、制御システム、プライバシーの方法など、AIシステムを評価する際に考慮すべき具体的な側面。
・Assessment questions pertaining to the above concepts ・上記概念に関連するアセスメント問題

 

簡単な登録でダウンロードできます...

 

20241123-103607

・[DOCX][PDF] 仮訳

 

目次...

AI Risk Management: Thinking Beyond Regulatory Boundaries AIリスクマネジメント:規制の枠を超えて考える
Introduction 序文
Executive Summary エグゼクティブサマリー
Parts 1 and 2: How They Play Together パート1と2:どのように連携して利用するか
Definitions 定義
AI Resilience: Robustness, Resilience, and Plasticity AIレジリエンス:ロバスト性、レジリエンス、可塑性
Intelligent Systems: AI Systems, AI Agents, and Robots インテリジェント・システム:AIシステム、AIエージェント、ロボット
Accountability, Responsibility, and Liability 説明責任、責任、賠償責任
Assess the Auditor 監査人のアセスメント
AI Governance AIガバナンス
Applicable Laws, Regulations, and Standards 適用法、規制、標準
Use Cases as the Starting Point 出発点としてのユースケース
Infrastructure for Intelligent Systems インテリジェント・システム・インフラ
Data Processing Unit データ処理ユニット
The Role of Sensors センサーの役割
The Role of Data データの役割
The Role of Supply Chains サプライチェーンの役割
Data and Privacy データ・プライバシー
Data and Copyright データと著作権
Data Sources データソース
Organic Versus Synthetic Data 有機データと合成データ
Data Quality データの質
Data Storage データ保管
Networking, Connectivity, and Communication Interfaces ネットワーキング、コネクティビティ、コミュニケーション・インターフェイス
Fog and Cloud Computing フォグ・コンピューティングとクラウド・コンピューティング
Software Components ソフトウェア・コンポーネント
Algorithms, Training Methods, and Models アルゴリズム、トレーニング方法、モデル
Algorithms and Models アルゴリズムとモデル
Frontiers フロンティア
Fine-Tuning and Validation of the Model モデルの微調整と妥当性確認
Overfitting and Generalization オーバーフィットと汎化
Fine-Tuning 微調整
Validation 妥当性確認
Model Robustness and Stability モデルの頑健性と安定性
Ongoing Maintenance 継続保守
Frontiers in Fine-Tuning and Model Validation 微調整とモデル妥当性確認の最前線
Actuators アクチュエーター
Power Supply 電源
User Interfaces ユーザ・インターフェース
Control Systems 制御システム
Safety Systems 安全システム
Security Systems セキュリティ・システム
Advanced Privacy Methods 高度なプライバシー手法
Development and Debugging 開発とデバッグ
End-User Training and Documentation エンドユーザ・トレーニングとドキュメンテーション
Documentation for the End-User エンドユーザ向け文書
(Mandatory) Training and Training Record Keeping for the End-User (義務)エンドユーザに対するトレーニングとトレーニング記録の保管
Deployment and Monitoring 展開とモニタリング
Decommissioning 廃止措置
Conclusion 結論
Appendices 附属書
Appendix 1: Audit Questions “Audit the Auditor” 附属書1:監査の質問 "監査人を監査する"
Appendix 2: Audit Questions “AI Governance” 附属書 2:監査の質問 "AI ガバナンス"
Appendix 3: Audit Questions “Accountability, Responsibility, and Liability” 附属書3:監査の質問 "説明責任、責任、賠償責任"
Appendix 4: Audit Questions “Laws, Regulations, and Standards” 附属書4:監査の質問 "法律、規制、標準"
Appendix 5: Audit Questions “AI Business Case” 附属書5:監査の質問 "AIビジネスケース"
Appendix 6: Audit Questions “AI Infrastructure” 附属書6:監査の質問 "AI インフラ"
Appendix 7: Audit Questions “Sensors” 附属書7:監査の質問 "センサー"
Appendix 8: Audit Questions “Data” 附属書8:監査の質問 "データ"
Appendix 9: Audit Questions “Data Processing Unit” 附属書9:監査の質問 "データ処理ユニット"
Appendix 10: Audit Questions “Data Storage” 附属書 10: 監査の質問 "データ保管"
Appendix 11: Audit Questions “Networking, Connectivity, and Communication Interfaces” 附属書 11:監査の質問 "ネットワーキング、コネクティビティ、コミュニケーション・インターフェイス"
Appendix 12: Audit Questions “Fog and Cloud Computing” 附属書 12:監査の質問 "フォグ・コンピューティングとクラウド・コンピューティング"
Appendix 13: Audit Questions “Software Components” 附属書 13:監査の質問 "ソフトウェア・コンポーネント"
Appendix 14: Audit Questions “Algorithms, Training, and Models” 附属書 14:監査の質問 "アルゴリズム、トレーニング、モデル"
Appendix 15: Audit Questions “Fine-Tuning and Validation” 附属書 15:監査の質問 "微調整と妥当性確認"
Appendix 16: Audit Questions “Actuators” 附属書 16:監査の質問 "アクチュエーター"
Appendix 17: Audit Questions “Power Supplies” 附属書 17:監査の質問 "電源"
Appendix 18: Audit Questions “User Interfaces” 附属書 18:監査の質問 "ユーザ・インターフェース"
Appendix 19: Audit Questions “Control Interfaces” 附属書 19:監査の質問 "コントロール・インターフェイス"
Appendix 20: Audit Questions “Safety Systems” 附属書 20:監査の質問 "安全システム"
Appendix 21: Audit Questions “Security Systems” 附属書 21:監査の質問 "セキュリティ・システム"
Appendix 22: Audit Questions “Development and Debugging” 附属書 22:監査の質問 "開発とデバッグ"
Appendix 23: Audit Questions “End-User Training and Documentation” 附属書 23:監査の質問 "エンドユーザのトレーニングと文書化"
Appendix 24: Audit Questions for “Deployment and Monitoring” 附属書 24:監査の質問 "展開とモニタリング "
Appendix 25: Audit Questions “Decommissioning” 附属書25:監査の質問 "廃止"
Abbreviations and Glossary 略語と用語集
Bibliography 参考文献

 

パワーポイントもあります...

概要レベルを把握するにはこちらが良いかもです...

20241123-103818

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.05 CSA-JC AI ワーキンググループ AIレジリエンス:AIの安全性に関する革命的なベンチマークモデル (2024.09.20) +過去分も...

 

| | Comments (0)

2024.11.19

欧州議会 マネージド・セキュリティ・サービスを認証の枠組みに加える方向でNIS2を改正? (2024.10.25)

こんにちは、丸山満彦です。

マネージド・セキュリティ・サービスは今後ますます重要となっていくことが想定されていますが、セキュリティ認証制度の枠組みに組み込まれていないので、セキュリティ認証の枠組みに組み込もうと考えているようですね...

 

European Parliament - Think Tank

・2024.10.25 Managed security services

Managed security services マネージド・セキュリティ・サービス
Managed security services are services carrying out or providing assistance for activities relating to customers' cybersecurity risk management. They are gaining increasing importance in the prevention and mitigation of cybersecurity incidents. Yet they were not included in the scope of the EU cybersecurity certification framework in the 2019 Cybersecurity Act. As some Member States have begun adopting certification schemes for managed security services that are divergent or inconsistent, there is a need to avoid fragmentation in the internal market. The present proposal therefore includes targeted amendments to the scope of the Cybersecurity Act, seeking to enable managed security services schemes by means of Commission implementing acts. In the European Parliament, the file has been assigned to the Committee on Industry, Research and Energy (ITRE). ITRE adopted its report on 25 October 2023. On 9 November 2023, the committee decision to enter into interinstitutional negotiations was confirmed by plenary. Trilogue negotiations started on 4 December 2023. On 6 March 2024, the EU co-legislators reached a provisional agreement on the file, which was adopted by Parliament in first reading on 24 April 2024. The text still needs to be formally adopted by the Council before it can enter into force. Second edition. The 'EU Legislation in Progress' briefings are updated at key stages throughout the legislative procedure. マネージド・セキュリティ・サービス・プロバイダーは、顧客のサイバーセキュリティ・リスクマネジメントに関する活動を実施または支援するサービスである。サイバーセキュリティインシデントの予防と低減において、その重要性はますます高まっている。しかし、2019年のサイバーセキュリティ法では、EUのサイバーセキュリティ認証枠組みの範囲には含まれていない。加盟国の中には、マネージド・セキュリティ・サービスの認証制度が乖離していたり、一貫していなかったりするところも出てきており、域内市場の分断を避ける必要がある。そのため、本提案には、サイバーセキュリティ法の適用範囲に的を絞った改正が盛り込まれており、欧州委員会の実施法によって、マネージドセキュリティサービスのスキームを可能にしようとしている。欧州議会では、この案件は産業・研究・エネルギー委員会(ITRE)に付託されている。ITREは2023年10月25日に報告書を採択した。2023年11月9日、機関間交渉に入るという委員会の決定が本会議で承認された。2023年12月4日、トリローグ交渉が開始された。2024年3月6日、EUの共同立法担当者はこの案件に関する暫定合意に達し、2024年4月24日に議会で第一読が採択された。発効にはまだ理事会での正式採択が必要である。第2版 EU Legislation in Progress」ブリーフィングは、立法手続きの主要な段階で更新される。

 

・[PDF] Managed security services


20241118-233828

 

Managed security services  マネージド・セキュリティ・サービス 
OVERVIEW  概要 
Managed security services are services carrying out or providing assistance for activities relating to customers' cybersecurity risk management. They are gaining increasing importance in the prevention and mitigation of cybersecurity incidents. Yet they were not included in the scope of the EU cybersecurity certification framework in the 2019 Cybersecurity Act. As some Member States have begun adopting certification schemes for managed security services that are divergent or inconsistent, there is a need to avoid fragmentation in the internal market. The present proposal therefore includes targeted amendments to the scope of the Cybersecurity Act, seeking to enable managed security services schemes by means of Commission implementing acts.  マネージド・セキュリティ・サービス・プロバイダーは、顧客のサイバーセキュリティ・リスクマネジメントに関する活動を実施または支援するサービスである。サイバーセキュリティインシデントの予防と低減において、重要性が増している。しかし、2019年のサイバーセキュリティ法では、EUのサイバーセキュリティ認証枠組みの範囲には含まれていない。加盟国の中には、マネージド・セキュリティ・サービスの認証制度が乖離していたり、一貫していなかったりするところも出てきているため、域内市場の分断を避ける必要がある。そのため、本提案には、サイバーセキュリティ法の適用範囲に的を絞った改正が盛り込まれており、欧州委員会の実施法によって、マネージドセキュリティサービスのスキームを可能にしようとしている。
In the European Parliament, the file has been assigned to the Committee on Industry, Research and Energy (ITRE). ITRE adopted its report on 25 October 2023. On 9 November 2023, the committee decision to enter into interinstitutional negotiations was confirmed by plenary. Trilogue negotiations started on 4 December 2023. On 6 March 2024, the EU co-legislators reached a provisional agreement on the file, which was adopted by Parliament in first reading on 24 April 2024. The text still needs to be formally adopted by the Council before it can enter into force.   欧州議会では、この案件は産業・研究・エネルギー委員会(ITRE)に割り当てられた。ITREは2023年10月25日に報告書を採択した。2023年11月9日、機関間交渉に入るという委員会の決定が本会議で承認された。2023年12月4日、トリローグ交渉が開始された。2024年3月6日、EUの共同立法担当者はこの案件に関する暫定合意に達し、2024年4月24日に議会で第一読が採択された。この文書が発効するには、理事会で正式に採択される必要がある。
Introduction  序文 
Cybersecurity attacks continue on the rise. According to the EU Cybersecurity Agency ENISA's 2024 report, cybersecurity threats such as distributed denial of service (DDoS) and ransomware attacks ranked at the top, accounting for over half all observed incidents. Statista predicts that the overall global cost of cybercrime (e.g. ransomware, malware and cryptocrime) will reach US $15.63 trillion by 2029. These attacks are getting larger and more complex, with mobile networks and the internet of things (IoT) now being used in cyberwarfare. ENISA's report further reveals that all sectors are under threat, including the health sector, with public administration, online service providers and the general public being most exposed to cyberthreats. According to a Eurobarometer survey, the majority of citizens believe that there is a growing risk of falling victim to cybercrime, through personal data abuse or theft, malicious software or phishing.  サイバーセキュリティ攻撃は増加の一途をたどっている。EUサイバーセキュリティ機関ENISAの2024年版報告書によると、分散型サービス妨害(DDoS)やランサムウェア攻撃といったサイバーセキュリティの脅威が上位を占め、観測されたインシデントの半数以上を占めている。スタティスタは、サイバー犯罪(ランサムウェア、マルウェア、暗号犯罪など)の世界全体のコストは、2029年までに15兆6300億米ドルに達すると予測している。これらの攻撃は、モバイルネットワークやモノのインターネット(IoT)がサイバー戦に利用されるようになるなど、大規模化・複雑化している。ENISAの報告書はさらに、医療分野を含むあらゆる分野が脅威にさらされており、中でも行政、オンライン・サービス・プロバイダ、一般市民が最もサイバー脅威にさらされていることを明らかにしている。ユーロバロメーターの調査によると、国民の大多数が、個人データの悪用や窃盗、悪意のあるソフトウェアやフィッシングなど、サイバー犯罪の被害に遭うリスクが高まっていると考えている。
Cyber-attacks, besides being among the fastest-growing form of crime worldwide, are also growing in scale, cost and sophistication. According to Cybersecurity Ventures, ransomware alone will cost its victims around US$265 billion annually by 2031, with a new attack (on a consumer or business) every 2 seconds. As a result, businesses have to invest more money to make cyberspace safer for themselves and their customers. Not only businesses but also citizens and entire countries have been affected by cyber-attacks. The first known cyber-attack on a country was mounted on Estonia in April 2007, affecting the online services of banks, media outlets and government bodies for weeks. Since then, many other countries have suffered cyberattacks, including on critical infrastructure, which according to some is becoming a new weapon.  サイバー攻撃は、世界で最も急成長している犯罪のひとつであるばかりでなく、その規模、コスト、巧妙さも増している。サイバーセキュリティ・ベンチャーズによると、ランサムウェアだけでも2031年までに年間約2,650億米ドルの被害が発生し、2秒に1回の割合で新たな攻撃が(消費者や企業に対して)行われるという。その結果、企業は自社と顧客のためにサイバー空間をより安全にするため、より多くの資金を投資しなければならなくなる。企業だけでなく、市民や国全体がサイバー攻撃の影響を受けている。2007年4月、エストニアが初めてサイバー攻撃を受け、銀行、メディア、政府団体のオンラインサービスが数週間にわたって影響を受けた。それ以来、他の多くの国々が重要インフラを含むサイバー攻撃を受けており、これは新たな武器になりつつあるとも言われている。
Given the growing number and cost of cyber-attacks, spending on information security is also increasing worldwide. Critical sectors, such as transport, energy, health and finance, have become increasingly dependent on digital technologies to run their core business. While growing digital connectivity brings enormous opportunities, it also exposes economies and societies to cyberthreats. As the number, complexity and scale of cybersecurity incidents grows, so does their economic and social impact.  サイバー攻撃の件数とコストが増加していることから、情報セキュリティへの支出も世界的に増加している。運輸、エネルギー、医療、金融などの重要部門は、中核事業を運営する上でデジタル技術への依存度を高めている。デジタル・コネクティビティの向上は大きな機会をもたらす一方で、経済や社会をサイバー脅威にさらすことにもなる。サイバーセキュリティインシデントの数、複雑さ、規模が拡大するにつれ、その経済的・社会的影響も大きくなっている。
The growing challenges in the cybersecurity landscape have led the EU to reflect on how to enhance the protection of its citizens and companies against cyberthreats and attacks.   サイバーセキュリティをめぐる課題の増大を受けて、EUは、サイバー脅威や攻撃から市民や企業を守るための対策を強化する方法を検討する必要に迫られている。 
Existing situation  現状 
Cybersecurity is one of the EU's top priorities for a digital and connected Europe, as stated in the European Commission's EU cybersecurity strategy for the digital decade. It is also in line with the EU's priorities to create a Europe fit for the digital age in which digital transformation will benefit both people and businesses. The cybersecurity strategy acknowledges that improving cybersecurity is essential in order both to benefit from innovation, connectivity and automation and safeguard fundamental rights and freedoms (e.g. protection of personal data and freedom of expression). The existing EU cybersecurity framework comprises several pieces of legislation that cover specific aspects of cybersecurity from different angles.   サイバーセキュリティは、欧州委員会の「デジタルの10年に向けたEUサイバーセキュリティ戦略」にもあるように、デジタルとコネクテッド・ヨーロッパを目指すEUの最優先課題のひとつである。また、デジタルトランスフォーメーションが人々と企業の双方に恩恵をもたらすような、デジタル時代にふさわしい欧州を創造するというEUの優先事項とも一致している。サイバーセキュリティ戦略は、技術革新、接続性、自動化の恩恵を受け、基本的権利と自由(個人データの保護や表現の自由など)を守るためには、サイバーセキュリティの改善が不可欠であることを認めている。既存のEUサイバーセキュリティの枠組みは、さまざまな角度からサイバーセキュリティの特定の側面をカバーするいくつかの法律で構成されている。 
The Directive on Security of Network and Information Systems across the EU (NIS Directive) entered into force in 2016, bringing in horizontal legal measures to boost the overall level of cybersecurity in the EU, with a focus on protecting critical infrastructure. The threat landscape has changed considerably since the NIS Directive came into force in 2016, and the scope of the directive needed updating and expanding to meet current risks and future challenges such as ensuring that 5G technology is secure. In addition, its transposition and implementation brought to light inherent flaws in certain provisions and approaches. Thus, the NIS Directive has been replaced by the recently adopted Directive on the Security of Network and Information Systems (NIS2), which tackles its predecessor's limitations and broadens its scope. In addition, sectoral legislation, such as the Directive on the Resilience of Critical Entities (CER) and the Regulation on Operational Resilience of the Financial Sector (DORA) set specific security and reporting requirements in their fields.  EU全域のネットワークと情報システムのセキュリティに関する指令(NIS指令)が2016年に発効し、重要インフラの保護に重点を置いたEU全体のサイバーセキュリティのレベルを高めるための水平的な法的措置が導入された。2016年にNIS指令が発効して以来、脅威の状況は大きく変化しており、現在のリスクや5G技術の安全性確保など将来の課題に対応するため、指令の範囲を更新・拡大する必要があった。さらに、その移管と実施により、特定の条項やアプローチに内在する欠陥が明るみに出た。そのため、NIS指令は、最近採択されたネットワークと情報システムのセキュリティに関する指令(NIS2)に置き換えられ、前任者の限界に取り組み、その範囲を拡大した。さらに、「重要事業体のレジリエンスに関する指令」(CER)や「金融セクターのオペレーショナル・レジリエンスに関する規則」(DORA)などのセクター別法制は、それぞれの分野で特定のセキュリティ要件や報告要件を定めている。
As far as information and communication technology (ICT) products, services and processes are concerned, back in 2019 the EU Cybersecurity Act strengthened the powers of ENISA and introduced the cybersecurity certification framework for the creation of voluntary certification schemes to apply to the cybersecurity features of an ICT product, service or process.1 Although the schemes remain voluntary for businesses, they could be used for compliance with the mandatory safety requirements of other legal acts, for the purpose of avoiding the fragmentation of the internal market with regard to cybersecurity certification schemes in the EU. More recently, the EU Cyber Resilience Act has put forward new rules to ensure safer hardware and software.  情報通信技術(ICT)製品、サービス、プロセスに関しては、2019年にEUサイバーセキュリティ法がENISAの権限を強化し、ICT製品、サービス、プロセスのサイバーセキュリティ機能に適用される自主的な認証スキームを構築するためのサイバーセキュリティ認証フレームワークを導入した1。この制度は、企業にとっては任意であることに変わりはないが、EUにおけるサイバーセキュリティ認証制度に関する域内市場の分断化を回避する目的で、他の法律による強制的な安全要件の遵守のために利用される可能性がある。より最近では、EUサイバーレジリエンス法が、より安全なハードウェアとソフトウェアを確保するための新たな規則を打ち出した。
The joint communication 'EU Policy on Cyber Defence', adopted by the Commission and the High Representative on 10 November 2022, announced that the Commission would explore the development of EU-level cybersecurity certification schemes for the cybersecurity industry and private companies. It would also explore other actions, such as an EU cyber solidarity initiative to support the gradual setting-up of an EU-level cyber-reserve with services from trusted private providers, to strengthen preparedness and response actions across the EU. The recently agreed cyber solidarity act will improve preparedness, detection and response to cybersecurity incidents across the EU.  2022年11月10日に欧州委員会と上級代表者が採択した共同コミュニケーション「サイバー防衛に関するEU政策」は、欧州委員会がサイバーセキュリティ業界および民間企業を対象としたEUレベルのサイバーセキュリティ認証制度の開発を検討すると発表した。また、EU全域での備えと対応行動を強化するため、トラストサービス・プロバイダのサービスを利用したEUレベルのサイバーリザーブの段階的な立ち上げを支援するEUサイバー連帯イニシアチブなど、その他の行動も検討するとしている。最近合意されたサイバー連帯法は、EU全域のサイバーセキュリティインシデントに対する準備、検知、対応を改善するものである。
Parliament's starting position  欧州議会の出発点 
In a June 2021 resolution, Parliament called for security by design and cyber-resilience for all internet-connected products along the entire supply chain. More specifically, Parliament welcomed the 'Commission's plans to propose horizontal legislation on cybersecurity requirements, with a view to harmonising national laws and preventing fragmentation of the single market.   欧州議会は2021年6月の決議で、インターネットに接続されたすべての製品について、サプライチェーン全体を通じて、デザインによるセキュリティとサイバーレジリエンスを求めた。より具体的には、欧州議会は、各国の法律を調和させ、単一市場の分断を防ぐという観点から、サイバーセキュリティ要件に関する水平法を提案するという欧州委員会の計画を歓迎した。 
Council starting position  EU理事会の開始見解 
In its conclusions of 2 December 2020, the Council acknowledged the increased cybersecurity risks for connected devices. Furthermore, it expressed the need to minimise cybersecurity risks to protect consumers as well as to increase the EU's cyber-resilience to foster competitiveness and innovation.  理事会は、2020年12月2日の結論において、コネクテッドデバイスのサイバーセキュリティリスクの増大を認めた。さらに、消費者を保護するためにサイバーセキュリティのリスクを最小化するとともに、競争力とイノベーションを促進するためにEUのレジリエンスを高める必要性を表明した。
In its conclusions of 23 May 2022 the Council called on the Commission to propose common EU cybersecurity proposal for EU cybersecurity emergency response mechanisms and processes and called for an increase in the overall level of cybersecurity in the EU by facilitating the emergence and development of trusted cybersecurity service providers.  2022年5月23日の結論において、理事会は欧州委員会に対し、EUのサイバーセキュリティ緊急対応メカニズムおよびプロセスに関するEU共通のサイバーセキュリティ提案を行うよう要請し、トラストサービス・プロバイダの出現と発展を促進することにより、EUにおけるサイバーセキュリティの全体的なレベルを向上させるよう求めた。
Preparation of the proposal  提案の準備 
Given its limited scope, the Commission did not conduct any preparatory studies, impact assessments or public consultations in advance of the proposal. It did however carry out targeted consultations with Member States and ENISA. As stated in the proposal, Member States described their current activities and views regarding certification of managed security services. While ENISA explained its views and its findings from discussions with Member States and stakeholders. The comments and information received from Member States and ENISA have fed into the proposal.  提案の範囲が限られていることから、欧州委員会は、提案に先立つ準備調査、影響アセスメント、公開協議は行わなかった。しかし、加盟国およびENISAとは的を絞った協議を行った。提案に記載されているように、加盟国は、マネージド・セキュリティ・サービスの認証に関する現在の活動と見解について説明した。一方、ENISAは、加盟国や利害関係者との協議から得た見解や所見を説明した。加盟国とENISAから寄せられたコメントと情報は、提案に反映された。
The changes the proposal would bring  本提案がもたらす変更点 
The proposal encompasses two articles: Article 1 contains the amendments to the Cybersecurity Act regulation while Article 2 concerns the entry into force.   本提案は2つの条文を含んでいる: 第1条はサイバーセキュリティ法規制の改正を含み、第2条は発効に関するものである。 
Article 1 contains targeted amendments to amend the scope of the European cybersecurity certification framework in the Cybersecurity Act to include 'managed security services'. It introduces a definition of those services, which is very closely aligned to the definition of 'managed security services providers' under the NIS2 Directive. It also adds a new Article 51(a) on the security objectives of EU cybersecurity certification adapted to 'managed security services'. Lastly, the proposal contains a number of technical amendments to ensure that the relevant articles apply also to 'managed security services'.  第1条には、サイバーセキュリティ法における欧州のサイバーセキュリティ認証の枠組みを改正し、「マネージドセキュリティサービス」を含めるという的を絞った改正が含まれている。これは、NIS2指令の「マネージド・セキュリティ・サービス・プロバイダ」の定義に非常に近いものである。また、「マネージド・セキュリティ・サービス」に適合したEUサイバーセキュリティ認証のセキュリティ目的に関する新しい第51条(a)を追加する。最後に、本提案には、関連条文が「マネージドセキュリティサービス」にも適用されるようにするための技術的な修正が多数含まれている。
The proposed targeted amendments to the scope of the European cybersecurity certification framework in the Cybersecurity Act seek to enable the adoption of European cybersecurity certification schemes for 'managed security services' by means of Commission implementing acts. Therefore, 'managed security services' will be covered by the EU certification framework along with information and communications technology (ICT) products, ICT services and ICT processes, that were already covered under the Cybersecurity Act adopted in 2019.   サイバーセキュリティ法における欧州のサイバーセキュリティ認証の枠組みの範囲に関する的を絞った改正案は、欧州委員会の施行法によって、「管理されたセキュリティサービス」に欧州のサイバーセキュリティ認証制度を採用できるようにすることを目的としている。したがって、「管理されたセキュリティサービス」は、2019年に採択されたサイバーセキュリティ法の下ですでに対象となっていた情報通信技術(ICT)製品、ICTサービス、ICTプロセスとともに、EUの認証枠組みの対象となる。 
This proposal aims to prevent fragmentation in the single market, as some Member States have already begun adopting certification schemes for managed security services that are divergent or inconsistent.  この提案は、単一市場における断片化を防止することを目的としている。すでにいくつかの加盟国は、マネージド・セキュリティ・サービスの認証制度について、乖離や一貫性のないものを採用し始めているからだ。
Managed security services are services carrying out or providing assistance for activities relating to customers' cybersecurity risk management. They are gaining increasing importance in the prevention and mitigation of cybersecurity incidents. Managed security service providers in areas such as incident response, penetration testing, security audits and consultancy play a particularly important role in helping entities prevent, detect, respond to or recover from incidents. They have, however, also themselves been the target of cyberattacks. In addition, they pose a particular risk because of their close integration in the operations of their customers to ensure cybersecurity.  マネージド・セキュリティ・サービス・プロバイダーとは、顧客のサイバーセキュリティ・リスクマネジメントに関する活動を実施または支援するサービスである。マネージド・セキュリティ・サービスは、サイバーセキュリティ・インシデントの予防と低減において、ますます重要性を増している。インシデント対応、侵入テスト、セキュリティ監査、コンサルティングなどの分野におけるマネージド・セキュリティ・サービス・プロバイダーは、事業体がインシデントを予防、検知、対応、回復するのを支援する上で、特に重要な役割を果たしている。しかし、彼ら自身もサイバー攻撃の標的となっている。さらに、サイバーセキュリティを確保するために顧客の業務に密接に統合されているため、特にリスクが高い。
Accordingly, the providers of managed security services are considered as 'essential or important entities' belonging to a sector of high criticality pursuant to the NIS2 Directive.   したがって、マネージド・セキュリティ・サービス・プロバイダーは、NIS2指令に従い、重要性の高いセクターに属する「必須事業体または重要事業体」とみなされる。 
Managed security services providers will also play an important role in the EU-level cybersecurity reserve, the gradual setting-up of which is supported by the cyber solidarity act proposal, tabled in parallel to the present proposed regulation. An EU-level cybersecurity reserve2 is envisaged, to be used to support response and immediate recovery actions in the event of significant and large-scale cybersecurity incidents. The relevant cybersecurity services provided by 'trusted providers' referred to in the cyber solidarity act, correspond to the 'managed security services' in the proposal for a regulation amending Regulation (EU) 2019/881 as regards managed security services.  マネージド・セキュリティ・サービス・プロバイダーは、EUレベルのサイバーセキュリティ準備金においても重要な役割を果たす。この準備金は、本規制案と並行して提出されたサイバー連帯法の提案により、段階的な設立が支持されている。EUレベルのサイバーセキュリティ準備金2は、大規模かつ重大なサイバーセキュリティインシデントが発生した場合に、対応措置と即時復旧措置を支援するために使用されることが想定されている。サイバー連帯法で言及されている「トラストドサービス・プロバイダ」が提供する関連サイバーセキュリティ・サービスは、マネージド・セキュリティ・サービスに関する規則(EU)2019/881の改正規則案における「マネージド・セキュリティ・サービス」に相当する。
The provisions to be amended by the proposal will be evaluated as part of the periodic evaluation of the Cybersecurity Act to be carried out by the Commission.3   この提案によって改正される規定は、欧州委員会が実施するサイバーセキュリティ法の定期評価の一環として評価される3。 
Advisory committees  諮問委員会 
The European Economic and Social Committee (EESC) opinion of 14 July 2023 emphasises the concerns that, 4 years after the adoption of the EU Cybersecurity Act, no cybersecurity scheme has yet been adopted by the European Commission through implementing acts and no product has yet been cyber-certified. The EESC argues that the EU's sectoral agencies should be involved in the process of developing EU cybersecurity schemes and a minimum EU standard should be adopted, in cooperation with the European Committee for Standardization (CEN), the European Committee for Electrotechnical Standardization (CENELEC) and the European Telecommunications Standards Institute (ETSI), including for internet of people (IoP) devices and the IoT.  2023年7月14日付の欧州経済社会委員会(EESC)の意見は、EUサイバーセキュリティ法の採択から4年が経過したが、欧州委員会が実施法を通じて採択したサイバーセキュリティ制度はまだなく、サイバー認証を受けた製品もまだないという懸念を強調している。EESCは、EUのサイバーセキュリティスキームの策定プロセスにEUの各機関が関与し、欧州標準化委員会(CEN)、欧州電気標準化委員会(CENELEC)、欧州電気通信標準化機構(ETSI)と協力して、人々のインターネット(IoP)機器やIoTを含むEUの最低標準を採択すべきだと主張している。
The EESC emphasises the vital need to procure only Europe-based technology for equipping EU cyber shield members. It is 'in the EU's strategic interest to ensure that the Union retains and develops the essential capacities to secure its digital economy, society and democracy, to achieve full digital sovereignty as the only way to protect critical technologies, and to provide effective key cybersecurity services'.  EESCは、EUのサイバーシールド加盟国に装備させる技術については、欧州ベースの技術のみを調達することが極めて重要であることを強調している。それは、「EUがデジタル経済、社会、民主主義の安全を確保し、重要技術を保護する唯一の方法である完全なデジタル主権を達成し、効果的な主要サイバーセキュリティサービスを提供するために不可欠な能力を保持し、発展させることを確実にすることが、EUの戦略的利益になる」というものである。
The European Committee of the Regions has not submitted an opinion on this initiative.  欧州地域委員会は、このイニシアチブに関する意見を提出していない。
National parliaments  各国議会 
The subsidiarity deadline for national parliament was 21 July 2023. Eleven Member States started or concluded contributions, with the Czech Chamber of Deputies and the Portuguese Assembleia da República issuing opinions on the proposal.  各国議会の補完性の期限は2023年7月21日であった。11の加盟国が拠出を開始または終了し、チェコ下院議会とポルトガル下院議会がこの提案に関する意見を発表した。
The Czech Chamber of Deputies questions mainly the cyber solidarity act proposal, with its provision to exchange sensitive information concerning national security at EU level, as well as subsidiarity compliance.   チェコ代議員会は、補完性の遵守だけでなく、EUレベルでの国家安全保障に関する機密情報の交換を規定したサイバー連帯法の提案に主に疑問を呈している。 
Stakeholder views4  利害関係者の見解4
Given its limited scope, the Commission did not hold a public consultation of stakeholders in advance of the proposal and there are no major reactions or position papers about it.  提案の範囲が限定されていることから、欧州委員会は提案に先立って利害関係者を対象とした公開協議を行わず、提案に関する主な反応やポジションペーパーもない。
Legislative process  立法プロセス 
In Parliament, the file has been assigned to the Committee on Industry, Research and Energy (ITRE), and Josiane Cutajar (S&D, Malta) has been appointed as rapporteur. The Committees on Internal Market and Consumer Protection (IMCO) and on Civil Liberties, Justice and Home Affairs (LIBE) have been asked for their opinions. IMCO published its specific opinion on 21 September 2023, stressing that the certification of managed security services is essential for building trust in the quality of those services and achieving a high level of consumer protection. It recommends requiring managed security service providers to adhere to relevant cybersecurity standards. It also calls for the introduction of a voluntary EU trust label for certified ICT products and a specific funding instrument for a cybersecurity research and development programme. The LIBE committee decided not to provide an opinion.  議会では、この案件は産業・研究・エネルギー委員会(ITRE)に割り当てられ、ヨシアーヌ・キュタジャール(S&D、マルタ)が報告者に任命された。域内市場・消費者保護委員会(IMCO)と自由権・司法・内務委員会(LIBE)にも意見が求められている。IMCOは2023年9月21日に具体的な意見を発表し、マネージド・セキュリティ・サービスの認証は、サービスの品質に対するトラスト・サービスを構築し、高水準の消費者保護を実現するために不可欠であると強調した。マネージド・セキュリティ・サービス・プロバイダに、関連するサイバーセキュリティ標準の遵守を義務付けることを提言している。また、認証されたICT製品に対するEUの自主的な信頼ラベルの序文や、サイバーセキュリティ研究開発プログラムに対する特定の資金提供制度の導入も求めている。LIBE委員会は意見を提出しないことを決定した。
The rapporteur published her draft report on 7 September 2023 and presented it during the ITRE committee meeting on 18 September 2023. The rapporteur supports the Commission proposal to prevent individual Member States from continuing to adopt different certification schemes for managed security services so as to avoid fragmentation and further divergences. She seeks complementarity between the proposal for a regulation amending Regulation (EU) 2019/881 as regards managed security services and the cyber solidarity act proposal, to allow for managed security services (i.e. 'trusted providers' in the cyber solidarity act) to play an important role in the future EU cybersecurity reserve.   報告者は2023年9月7日に報告書のドラフトを発表し、9月18日のITRE委員会で報告した。報告者は、断片化とさらなる乖離を避けるため、個々の加盟国が管理されたセキュリティサービスに関して異なる認証制度を採用し続けることを防ぐという欧州委員会の提案を支持する。報告者は、マネージド・セキュリティ・サービスに関して規則(EU)2019/881を改正する規則の提案とサイバー連帯法の提案との間の補完性を求め、マネージド・セキュリティ・サービス(すなわちサイバー連帯法における「トラストド・プロバイダ」)が将来のEUサイバーセキュリティ予備軍において重要な役割を果たすことを可能にする。 
The draft report's amendments tabled in the ITRE committee were published on 21 September 2023. The ITRE committee adopted its report on 25 October 2023. On 9 November 2023, the committee decision to enter into interinstitutional negotiations was confirmed by plenary (Rule 71).  ITRE委員会に提出された報告書の修正案は、2023年9月21日に公表された。ITRE委員会は2023年10月25日に報告書を採択した。2023年11月9日、機関間交渉に入るという委員会の決定が本会議で承認された(規則71)。
The report seeks to clarify the definition of managed security services and their scope. In addition, it places a stronger emphasis on addressing the skills gap and helping small and medium-sized enterprises to get the financial support they need to address such challenges.  報告書は、マネージド・セキュリティ・サービスの定義とその範囲を明確にすることを求めている。さらに、技能格差への対応と、中小エンタープライズがこうした課題に取り組むために必要な財政支援を得られるよう支援することに重点を置いている。
On 15 November 2023, the Council adopted its position, which includes several amendments to the Commission proposal. For instance, it clarifies the definition of 'managed security services' and the alignment with the NIS2 Directive. It also includes modifications in the annex to the Cybersecurity Act, which contains a list of requirements to be met by conformity assessment bodies. Other technical and drafting modifications have been introduced, as well, to ensure that all the relevant provisions of the current Cybersecurity Act also apply to managed security services.  2023年11月15日、欧州理事会は、欧州委員会の提案にいくつかの修正を加えた見解を採択した。例えば、「マネージド・セキュリティ・サービス」の定義や、NIS2指令との整合性を明確にしている。また、適合性評価団体が満たすべき要件のリストを含むサイバーセキュリティ法の附属書の修正も含まれている。現行のサイバーセキュリティ法の関連条項がすべてマネージドセキュリティサービスにも適用されるよう、その他の技術的修正とドラフト修正も導入された。
Trilogue negotiations started on 4 December 2023. On 6 March 2024, the EU co-legislators - Parliament and the Council – reached a provisional agreement on the file. They agreed to clarify the definition of managed security services, to align this regulation with the Cybersecurity Act (e.g. as regards security objectives) and to include a modification in the annex to the Cybersecurity Act.  トリローグ交渉は2023年12月4日に開始された。2024年3月6日、EUの共同立法者である議会と理事会は、この法案に関する暫定合意に達した。両者は、マネージド・セキュリティ・サービスの定義を明確化し、この規制をサイバーセキュリティ法と整合させ(セキュリティ目的など)、サイバーセキュリティ法の付属書に修正を加えることで合意した。
The text was approved by Parliament as a whole in first reading on 24 April 2024 with 530 votes in favour, 5 votes against, and 53 abstentions. The text still needs to be formally adopted by the Council before it can enter into force.   この条文は、2024年4月24日の第一読会で、賛成530票、反対5票、棄権53票で、議会全体として承認された。この条文は発効する前に、理事会で正式に採択される必要がある。 

 

 

 

 

| | Comments (0)

より以前の記事一覧