CA Day – Wednesday, 24 October 2018
Kim Nguyenさんの簡単なWelcomeのあと、Sławomir Górniak (ENISA)さんの「サイバーセキュリティパッケージと新しいENISAの役割」(The Cybersecurity Package and the new role of ENISA)の講演です。スライドはこちらです。
ENISAは、サイバーセキュリティ法のもとで、サイバーセキュリティ庁として改組されることになり、その説明になります。
個人的には、2010年に調査の関係でクレタ島を訪問したのが記憶にのこっています。
ENISAは、欧州共同体の能力向上、政策立案、専門的分析等をその行動としています。
2017年のユンカー大統領が、サイバーセキュリティ庁としてサイバー攻撃に対抗するということをいったのが、その最初になります。映像は、こちらです。その際のプレスリリースは、こちら。
Cyber Security Package 2018は、Day1でも簡単にでてきました。サイバーセキュリティ法関係のドキュメント関係は、こちらです。
サイバーセキュリティ法提案、サイバーセキュリティ戦略、プループリント、「NISの最大利用」コミュニケを考えることができます。
サイバーセキュリティ法(「ENISA(サイバーセキュリティ庁)と情報/通信技術のサイバーセキュリティ認証に関する規則」案)は、こちらです。)
2018年12月11日に、議会と理事会、委員会は、政治的に合意にいたっています(https://ec.europa.eu/commission/news/cybersecurity-act-2018-dec-11_en)。
同法は、6つの目的をもっています。具体的には、
1 EUおよび加盟国レベルでの能力と備えの向上
2 利害関係者の協力と調整を改善する
3 加盟国の行動を補完するためのEUレベルの能力の向上
4 EUにおけるサイバーセキュリティ意識の促進
5 サイバーセキュリティ保証の透明性の向上
6 認証スキームの細分化を避ける
になります。
この提案は、二つのパートからなりたっています。タイトル2は、ENISA-「EUサイバーセキュリティ庁」(3条から42条)で、一方、タイトル3は、サイバーセキュリティ認証枠組み(43条以下)です。より、強制的な政策が必要であることから、適切な資源があって、永続的な立場を与えるということで、ENISAの役割を強化する必要があったわけです。
より強靱なENISAは、法律と政策の任務、能力構築、運営協力、市場と認証、意識向上、研究とイノベーション、国際協力を課題とするわけです。
前者は、ENISAを強化し、補強するもので、特に、政策策定と実施の役割、 業務協力の役割 – ブループリント、 研究資金プログラムへの参加の点について変更が加えられています。
後者は、「EUレベルのサイバーセキュリティ認証の枠組み」であって、 候補スキームの作成におけるENISAの役割、 「欧州サイバーセキュリティ認証グループ」のためにENISAが提供する事務局的支援が述べられています。
後者についてみていきましょう。認証については、
「「特定の要件を満たしていることの証明と公正な第三者認証の提供」もしくは、「「定義された一連の基準規格に対する独立した認定機関による製品、サービス、およびプロセスの正式な評価、および適合性を示す証明書の発行」という定義がなされています。もともとは、コモンクライテリアによってさだめられていたところです。各国における相互承認は、SOG-IS(情報システムセキュリティ上級グループ-)による相互承認協定によっています(https://www.sogis.org/)。
EU戦略の全体像との関係については、Day1のとおりです。
この枠組みの特徴は、国家ICTセキュリティ認証イニシアチブによる断片化を回避、相互承認を促進する、保証レベル(基本、実質、高)を定義する、手順を簡素化し、IT製品とサービスの展開にかかる時間とコストを削減する、ヨーロッパの製品とサービスの競争力と品質を向上させる、購入するICT製品やサービスに対するユーザーの自信を高めるの特徴を有しています。
提案された枠組みにおける重要な要素は、範囲(過程、製品、サービス)、参照される標準、適合性評価機関のためのサイバーセキュリティ要件、申し込み者によって適合性評価機関に提供される情報、マーク・ラベル利用/証明書の条件、適合性に関するモニタリングルール、脆弱性報告のルール、証明書の内容(機関、開示、相互承認)です。
