海の向こうの“セキュリティ”

EUの「NIS2」指令発効から2年、対象分野のセキュリティレベルは十分なものになったのか?

サイバーセキュリティ成熟度・重要度の評価結果から「リスクゾーン」分野の指摘も

 EUでは、情報セキュリティに関する法律として2016年に施行された「NIS指令(Network and Information Systems Directive)」が更新され、「NIS2」として2023年1月16日に発効、EU加盟国は2024年10月までに国内法をこの指令に対応させることが定められました。

 NIS2の発効から2年以上が経ち、NIS2対応期限もすでに過ぎましたが、EU域内におけるNIS2対象分野のセキュリティレベルは十分なものになっているのでしょうか?

 そんな疑問に答えるように、欧州ネットワーク情報セキュリティ機関(The European Union Agency for Cybersecurity、以降ENISA)は、「NIS360 report」と題した報告書を公開しました。これはNIS2対象分野のセキュリティの成熟度と重要度を評価した結果をまとめたもので、対象分野の中には優れている分野もある一方、不十分な分野も存在していることが示されています。また、そのような不十分な分野に対する改善に向けた提言も記されています。なお、今回の報告書に掲載されている分析と比較は分野別のみであり、加盟国別については掲載されていません。

 調査結果の概要をまとめた「EXECUTIVE SUMMARY」には以下のように記載されています。

全体的な成熟度と重要度の点で、電力(electricity)、通信(telecoms)、銀行(banking)の3分野が他を圧倒している。これらの分野は、長年にわたって、規制当局による監視、世界的な投資、政治的焦点、強固な官民パートナーシップの恩恵を受けてきた。これらの分野の回復力は、社会と経済の安定にとって極めて重要である。

デジタルインフラ(コアインターネットサービス、トラストサービス、データセンター、クラウドサービスなど)は、成熟度と重要度の点で上位の分野に属しているが、その固有の不均質性、国境を越える性質、および以前は規制対象外だった事業体が対象範囲に含まれているため、依然として対処すべき課題を抱えている。

4つの分野と2つのサブ分野が「リスクゾーン」にある。それはICTサービス管理(ICT service management)、宇宙(space)、行政(public administrations)、海運(maritime)、保健衛生(health)、ガス(gas)である。これらの分野は、成熟度のギャップに確実に対処し、それぞれの重要度レベルがもたらす追加課題に効果的に対処できるようにするため特別な注意を払う必要がある。

  • ICTサービス管理分野は、その国境を越える性質と事業体の多様性により、重要な課題に直面している。その回復力を強化することは不可欠であり、当局間の緊密な協力、NIS2とDORA[*1]の両方の対象となる事業体の負担軽減、および国境を越えた監視監督の調和が必要である。
  • 宇宙分野は、関係者のサイバーセキュリティに関する知識が乏しく、大量生産された市販の既成コンポーネントへの依存度が高いといった課題に直面している。その回復力を高めるには、サイバーセキュリティに対する意識の向上、コンポーネントの事前統合テストに関する明確なガイドライン、および5Gと衛星通信の融合が進むことによる通信など他分野との連携強化が必要である。
  • 行政分野は、サイバーセキュリティの成熟度を高めるにはまだ日が浅く、より成熟した分野で見られるような支援や経験が不足している。ハクティビズムや国家ぐるみのオペレーションの主要な標的となっていることから、EUサイバー連帯法(EU Cyber Solidarity Act)を活用してサイバーセキュリティ能力を強化し、デジタルウォレットなどの共通領域について分野間の共有サービスモデルを模索することを目指すべきである。
  • 海運分野は、引き続きOT(Operational Technology:運用技術)に関する課題に直面しており、分野固有のリスクを最小限に抑えることに焦点を当ててカスタマイズされたサイバーセキュリティリスク管理ガイダンスや、分野別危機管理および複数分野危機管理の両面で調整と備えを強化するためのEUレベルのサイバーセキュリティ演習から恩恵を受けることができる。
  • 保健衛生分野は、その範囲が拡大して同質性がさらに低下しており、複雑なサプライチェーン、レガシーシステム、セキュリティが不十分な医療機器への依存などの課題に引き続き直面している。この分野の回復力を全面的に強化するには、組織がセキュアなサービスや製品を入手できるようにするための実用的な調達ガイドライン、基本的なサイバー衛生のギャップなど一般的な問題の克服を支援するためのカスタマイズされたガイダンス、および職員の意識向上キャンペーンなどの開発が必要である。
  • ガス分野は、国やEUレベルでのインシデント対応計画の策定とテストを通じて、また電力分野や製造分野との連携強化を通じて、インシデントへの備えと対応能力の開発に向けて引き続き取り組む必要がある。

[*1]…… DORA:Digital Operational Resilience Act(デジタルオペレーションレジリエンス法)。金融分野を対象としたEUの規制

 ここからは、上記の結果に対する補足説明を簡単に紹介します。

 まず、今回の調査対象となったのは、NIS2の対象分野のうち、「高重要分野(sectors of high criticality)」とされる分野のみであり、「その他重要分野(other critical sectors)」は対象となっていません。ちなみに、対象となった高重要分野は以下の22の(サブ)分野です。

  1. エネルギー(energy)
    - 電力(electricity)
    - 地域冷暖房(district heating and cooling)
    - 石油(oil)
    - ガス(gas)
    - 水素(hydrogen)
  2. 運輸(transport)
    - 航空(aviation)
    - 鉄道(railway)
    - 海運(maritime)
    - 道路(road)
  3. 金融(finance)
    - 銀行(banking)
    - 金融市場インフラ(financial market infrastructures:FMIs)
  4. 保健衛生(health)
  5. 上下水道(drinking and waste water)
    - 飲料水(drinking water)
    - 廃水(waste water)
  6. デジタルインフラ(digital infrastructure)
    - コアインターネット(core internet)
    - クラウド(cloud)
    - データセンター(data centres)
    - 通信(telecoms)
    - トラストサービス(trust services)
  7. ICTサービス管理(ICT service management)
  8. 行政(public administration)
  9. 宇宙(space)

 今回の調査分析は以下の3つの方法で収集された情報に基づいています。なお、調査分析方法の詳細については報告書の「付録(Annex)」を参照してください。

1. 業界
EU域内の対象分野の企業に対する調査。ただし、成熟度や重要度に焦点を当てた調査ではなく、サイバーセキュリティポリシーがEU域内の事業体の意思決定にどのように影響するかを把握することを目的とした、より広範な調査の一環として実施。調査項目には定性的ものと定量的なものがある。回答者の93%は大企業。

2. 監督機関
EU域内の対象分野を支援/監督する機関に対する調査。各分野の成熟度と重要度の現状を把握することを目的とし、調査項目には定性的なものと定量的なものの両方が含まれる。ただし、一部の調査対象はNIS2指令に基づいて新たに任命されたため、当該分野について十分な可視性や詳細な知識を持っていなかった可能性がある。

3. EUレベルのインプット
ENISAの専門家との協議。分野別の脅威状況やENISAが作成した関連報告書など。

 上記の情報に基づいた今回の分析結果に対して、あらかじめENISAは「免責事項(disclaimer)」として以下のように述べています。

 本調査は、分野別のサイバーセキュリティの成熟度と重要度について、EU全体の視点を提供するものである。本分析の目的上、EUを1つの集合体として扱っているが、加盟国にはそれぞれ異なる規制や運用状況があり、分野自体も非常に多様であることを認識することが重要である。これらの分野内の事業体は、規模、運用モデル、直面するリスク、サイバーセキュリティ能力レベル、サイバーセキュリティリソースなどが異なる。その結果、NIS360の評価は様々な視点の組み合わせに依存しているが、見解はEU全体の状況を反映するために一般化されることが多く、個々の事業体や加盟国の状況を正確に表していない可能性がある。

 分析結果を「重要度(Criticality)」と「成熟度(Maturity)」でマップしたのが以下の図です。なお、この図では「クラウド(Cloud)」と「データセンター(Data centres)」は1つにまとめられています。また、分野別に色分けされています。

 さらに22の(サブ)分野の成熟度スコア(Maturity Score)と重要度スコア(Criticality Score)を並べたのが以下の図です。ここで、重要度が高いにもかかわらず、成熟度が全体の中央値(median)以下の場合(=成熟度が下位半分に含まれる場合)「リスクゾーン」としています。この「リスクゾーン」の中では「ICTサービス管理」の重要度と成熟度のギャップが際立っています。

 電力、通信、銀行の3分野が高い重要度に対して成熟度も十分に高い一方、ICTサービス管理、宇宙、行政、海運、保健衛生、ガスが重要度に見合った成熟度ではない「リスクゾーン」にあるとの分析結果自体は、個人的な経験からしても違和感はありません。そもそも、成熟している分野はNIS2以前からレベルは高かったですし、不十分な分野は以前からレベルが高いとは言えない状態だったので、各分野のレベルがNIS2をきっかけに改善したのか、そのままなのかは、今回の報告書だけでは分かりませんし、むしろNIS2とは関係ないようにも見えます。

 それよりも気になるのは、飲料水(上水)の重要度が電力やガスに比べて低く評価されているため、求められる成熟度も高くない点です。

 ENISAによれば、重要度が低い6分野(飲料水、地域冷暖房、石油、水素、道路、廃水)は、デジタルインフラへの依存度が低く、代替ソリューションが利用できるため、サイバーインシデントの直接的な影響を軽減できるとしています。それでも、これらの分野も重要インフラと運用の制御・監視・保守のためにOT(Operational Technology:運用技術)を、程度の差はあるものの、利用しています。この点については、これらの分野におけるインシデントは運用面の影響だけでなく社会的な影響を及ぼすことも多いが、広範囲にわたる混乱や分野横断的に波及する可能性は低いと説明しています。

 なお、重要度については、社会経済的影響、他分野に混乱を引き起こす可能性、ICTへの依存度、インシデントの影響が社会や経済に波及したり、他分野に影響したりするまでに要する時間的重要度など、いくつかの鍵となる要素によって評価されるとしています。

 個人的な興味としては、分野別の比較だけでなく、加盟国別の比較も知りたかったのですが、すでに紹介した「免責事項」にもあるように、EU加盟国は国ごとに大きく異なるため、単純に比較して、どこの国が遅れている、レベルが低いと評価するのは確かに不公平なので、その点の配慮から、あえて国別の比較分析は(実際に行なったか否かは別として)報告書に掲載されていないのかもしれません。また、そもそも各分野の重要度は加盟国ごとに異なるはずなので、その点を加味すると分析は複雑化するでしょうし、その結果をうまく整理できなければ、ただ混沌としたものとなって意味のある情報にはならない可能性もあります。今回のような報告書は今後も定期的に公開されるようなので、次回以降、分析面でどのような改善が見られるか注目したいです。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。