ENISA「サイバー危機管理のベストプラクティス集」を公開
2024.6.10
ENISA(1)は、2024年2月28日に「サイバー危機管理のベストプラクティス集」を公開した。EUにおいても地政学的な状況はサイバー脅威に大きな影響を与えており、加盟国間における「サイバー危機」の定義の相違が、国境を越えた大規模なサイバーセキュリティ事件・危機への協調的対応の課題となっている。2024年10月には、EU加盟国のサイバーセキュリティ対策のギャップを取り除き、全体のサイバーセキュリティのレベルを高めるための法的措置に関する指令「NIS2」が施行される。この研究は、EUサイバー危機連絡組織ネットワーク(EU-CyCLONe(2))のために実施されたもので、NIS2の求める要件を充足する助けとなる一連のベストプラクティスを提案、EU加盟国間の異質なエコシステムをより強力な調和へ導くことを目的とするものである。
本研究の本編ではサイバー危機シナリオの枠組みと状況を概説、「prevention(予防)」「preparedness(準備)」「response(対応)」「recovery(復旧)」 4段階のサイクルに分け、国家によるサイバー危機の定義採用からコミュニケーション戦略の策定、危機時の技術支援への民間セクターの関与の奨励に至るまで、各段階で発生する問題にオールハザードアプローチで言及した16のベストプラクティスを紹介している。
① 予防段階
| 1 | 国境を越えることも考慮した「サイバー危機」の国内的定義の採用 |
|---|---|
| 2 | 国の公共部門に特化した情報セキュリティ基準の策定、定期的な見直し、更新 |
| 3 | DDoS緩和のような予防プログラムの策定を促進する国家イニシアチブの育成 |
② 準備段階
| 4 | ガバナンス構造の定義、具体的な能力の提供、クライシスコーディネーターの任命 |
|---|---|
| 5 | 迅速な行動を可能にするために、重要な資産に関する情報のマッピングと収集 |
| 6 | 危機発生時の瞬時に安全な通信手段の確立 |
| 7 | サイバー危機への対応に関わる関係者間の明確な役割分担を定義 |
| 8 | 時間、優先度、関係者、攻撃の重大性などの要素を考慮し、サイバー危機対応計画を発動し、関係先へのエスカレーション基準の策定 |
| 9 | 危機発生時の調整と相互運用性を最適化するための方法論とリスク評価ツールの開発 |
| 10 | 複数年にわたるサイバー危機管理演習と訓練セッションのプログラムを通じて、サイバー危機に対応するための全体的な作戦計画をテスト |
| 11 | 現在および将来、運用レベルでサイバー危機管理を担当するスタッフのための訓練セッションを設定 |
| 12 | 危機発生時における、情報連携が必要不可欠な団体へのメッセージの明確なフォーマット 、関与する利害関係者、優先度レベルと時間的要因、使用するコミュニケーションチャネルを含めた コミュニケーション戦略の開発 |
③ 対応段階
| 13 | 被害者に技術支援を提供するために、民間で認定された「信頼できるプロバイダー」の動員を奨励する |
|---|---|
| 14 | 統一されたメッセージで、被害者の危機コミュニケーションを支援する |
④ 復旧段階
| 15 | 関連するステークホルダーと協議し、定期的な見直しと更新を行いながら、参照フレームワークで定義された事業再開計画(BRP)を策定し、実施する |
|---|---|
| 16 | サイバー危機管理のための行動計画を改善するための提言を作成する部署を設置 |
そのうえで、EU-CyCLONeに対する5つの提言を述べている。
提言
| 1 | モデル的なサイバー危機対応計画につなげるため、EU全体のサイバー危機メカニズムを定義するための作業部会の設置 |
|---|---|
| 2 | EU加盟国全体で、プレーヤーと手順をテストするシミュレーション演習を開発する(能力を強化するだけでなく、加盟国間の信頼関係を構築する上でも重要) |
| 3 | サイバー危機発生時に、安全なコミュニケーション・プラットフォームの設置 |
| 4 | 各国のサイバー危機管理当局が、自国の重要情報システムマップを定期的に更新する(インシデント発生時の迅速な対応や、その影響の限定化、あるいは実施された防御行動の結果の防止にも貢献) |
| 5 | 各国のサイバー危機管理当局が、メディアに対して危機対応の進捗状況を適時適切に提供できるための、メディアトレーニングの開催 |
1)The European Union Agency for Cybersecurityの略称。EU加盟国全体でセキュリティレベルの維持や向上の実現を目的とする機関。
2)The European cyber crisis liaison organisation networkの略称。EU加盟国のサイバー危機管理当局の代表によって構成される、サイバー危機の活動と管理における加盟国当局間の協力を強化することを目的としたネットワーク。
【参考情報】
2024年2月28日付 ENISAニュースリリース
「Geopolitics Accelerates Need For Stronger Cyber Crisis Management」
https://www.enisa.europa.eu/news~
「ESGリスクトピックス」では国内・海外の最近の重要なトピックスをお届けしています
この記事は「ESGリスクトピックス2024年度 No.1」(2024年4月発行)の掲載内容から抜粋しています。
ESGリスクトピックス全文はこちらからご覧いただけます。
https://rm-navi.com/search/item/1680
