危機管理という観点から、欧州のサイバーセキュリティをみたので、通信法制とインターネット媒介者という観点から、みていきたいとおもいます。ちょうど、欧州電気通信コードのもとでの通信プロバイダのセキュリティ手段ガイド(Guideline on Security Measures under the EECC)がでています(2020年12月10日)。
まずは、電気通信コードから。
2002年の電気通信パッケージは、
- 枠組指令(2002/21/EC)
- 認可指令( 2002/20/EC)
- アクセス指令(令2002/19/EC)
- ユニバーサル・サービス指令(令2002/22/EC)
- eプライバシー指令(2002/58/EC)
からなりたっていました。その後、2009年に市民の権利指令、「よりよい規制」指令によって改正されていました。
それらのうち、この電気通信コード(指令)によって、枠組指令(2002/21/EC)、認可指令( 2002/20/EC)、アクセス指令(令2002/19/EC)、ユニバーサル・サービス指令(令2002/22/EC)が改正されました。
指令(EU) 2018/1972 は、EU の構成国において実装される電子通信基本法令の基本構造を定め、EU の基本的な情報政策を実現するための政策目標を立法目的という形式で実装するための法律文書である。
ということになります(以下の夏井翻訳6ページ)。
訳としては、夏井先生の訳があります。
あと、夏井先生のコメントは「欧州共同体のオープンネットワーク提供(ONP)指令に基づく基本要件(夏井)」の208ページ以降にもあります
構造は、
- パート1 枠組み(部門の組織のための一般ルール)(1条以下)
- パート2 ネットワーク(42条以下)
- パート3 最終利用者の権利(98条以下)
- パート4 最終規定(117条以下)
です。そして、この電気通信コードのパート1 タイトル5は、セキュリティです。
40条1項は、
構成国は、公共電子通信ネットワークのプロバイダまたは公衆が利用可能な電子通信サービスのプロバイダが、ネットワーク及びサービスに対して示されるリスクを適切に管理するための適切かつ比例的な技術上の措置及び組織上の措置を講ずることを確保する。最新技術を考慮して、それらの措置は、示されたリスクに適切に対応するレベルの安全性を確保する。
とりわけ、それが適切なときは暗号化を含め、措置は、利用者並びに他のネットワーク及びサービス上のセキュリティインシデントの影響を防止し、それをミニマムのものとするために講じられる。
欧州連合ネットワーク情報セキュリティ局(「ENISA」)は、欧州議会及び理事会の規則(EU) 526/20131に従い、セキュリティ上のリスク及び域内市場を妨げる障壁をつくり出し得る国内要件の多様化を避けるための構成国の共働を促進する。
となっています。また、41条1項および2項は、
構成国は、第40条を実装するため、セキュリティインシデントを解消するため、または、重大な脅威が発見された場合においてインシデントが発生することを防止するために要求される措置と関連する指示並びに実装期限に関する指示を含め、職務権限を有する機関が、公共電子通信ネットワークのプロバイダまたは公衆が利用可能な電子通信サービスのプロバイダに対して拘束力のある指示を発する権限をもつことを確保する。
2. 構成国は、職務権限を有する機関が、公共電子通信ネットワークのプロバイダまたは公衆が利用可能な電子通信サービスのプロバイダに対し、以下のことを要求する権限をもつことを確保する:
(a) 文書化されたセキュリティ基本方針を含め、それらのプロバイダのネットワーク及びサービスを評価するために必要な情報を提供すること;並びに、
(b) 適格な独立の組織または職務権限を有する機関によって実施されるセキュリティ監査を実施し、かつ、職務権限を有する機関に対し、その監査結果を利用できるようにすること;その監査の費用は、そのプロバイダから支払われるものとする。
となっています(翻訳は、上の夏井翻訳より)。
それで、このENISAのガイドラインになります。このガイドラインは、
EECC の下でのセキュリティ対策に関するガイドラインは、EECC の第 40 条と第 41 条を実施するための技術的な詳細、すなわち、プロバイダーがリスクを評価し、適切なセキュリティ対策を講じることをどのように確保するかについて、所管官庁にガイダンスを提供しています。
となります。
このガイドラインは、8のドメイン、29のセキュリティ目標から構築されています。この部分の図はこちら。
そのためのセキュリティ手段が列挙されており、3つのレベルに分けられています。
D1: 統治とリスク管理
SO1:情報セキュリティポリシー
SO2. ガバナンスとリスク管理
SO3. セキュリティの役割と責任
SO4:第三者資産のセキュリティ
D2: 人的資源の安全性
SO5:身元調査
SO6:セキュリティの知識とトレーニング
SO7:人事異動
SO8:違反行為への対応
D3: システムと施設のセキュリティ
SO9: 物理的・環境的セキュリティ
SO10:物資の安全性
SO11:ネットワーク・情報システムへのアクセス制御
SO12:ネットワークと情報システムの完全性
SO13:暗号化の使用
SO14:セキュリティ上重要なデータの保護
D4: 運営管理
SO15:運用手順
SO16:変更管理
SO17:資産運用
D5:インシデント管理
SO18:インシデント管理手順
SO19:インシデント検知能力
SO20:インシデントの報告とコミュニケーション
D6:事業継続性管理
SO21:サービス継続戦略とコンティンジェンシープラン
SO22:災害復旧能力
D7: モニタリング、監査、試験
SO23: モニタリングとロギングポリシー
SO24:緊急時対応計画の演習
SO25:ネットワークと情報システムの試験
SO26:セキュリティ評価
SO27:コンプライアンスモニタリング
D8:脅威への警戒心
SO28:脅威インテリジェンス
SO29:脅威に関するユーザーへの情報提供
となっています。具体的な内容については、パスします。
個人的には、SO28 に脅威インテリジェンスの記載があるので、すこしみていくことにします。
セキュリティ手段 | 証拠 | |
レベル1 | 定期的な脅威モニタリング | i. 重要な脅威事象の記録を添付した情報フィード(OSINT、商業フィード、セキュリティ調査等36)に関連する外部脅威の定期的な監視
ii. 二当事者間に関する関係機関 をベースにする関連する脅威情報の非公式かつその場限りの共有 |
レベル2 | 脅威インテリジェンスプログラムの実装 | iii. 重要な脅威に関連する情報収集のための役割、責任、手順、およびメカニズムを含む脅威情報プログラムを文書化し、実施する。 iv. プログラムは、専用の脅威情報共有プラットフォーム(例:MISP)を利用しており、二当事者間及び多当事者間で関連組織と 脅威情報を体系的に共有する仕組みも含まれている。 v. トラフィックタイトプロトコルなどを利用して、機微な脅威情報の共有を利用するためのマーキングシステムの適切な利用 |
レベル3 | 脅威インテリジェンスプログラム の見直しと更新 脅威の情報プログラムとして最先端の脅威のインテリジェンスシステムを利用する |
ⅵ 脅威情報プログラムの更新。 コメントの見直しや変更 vii. 脅威インテリジェンスプラットフォーム(TIP)と 最先端の機能の使用 (例: 種々の情報ソース、自動化、セキュリティ アナリティクスと他との統合 セキュリティツールなどによる脅威インテリジェンスの集約) |
となります。脅威インテリジェンスが、ひとつのセキュリティ目標として揚げられているというのは、注目かなあとおもいます。
あとは、技術的な監督(5章)、国際的基準とのマッピング(6章)などの分析があります。