「EUのネットワークと情報システムの安全性にかかるEU指令(NIS指令)の採択と今後の課題」(その2完)

(2)NATOの共同サイバー防御専門機関「Cooperative Cyber Defence Centre of Excellence(CCDCEOE)」サイトの解説 

　重要なインフラ・サービスのオペレーターおよびデジタル・サービス・プロバイダ（DSPs）の定義を詳細に解説している。海外の大手ローファームでも言及しているものは皆無に等しいので、あえてここで仮訳する。 

(1)重要なサービスのオペレーター(operator of essential service)

　NIS指令は、「重要な基盤サービスのオペレーター(operator of essential service)」につき、具体的に以下の分野の公的または民間の事業体と定義する。 

①エネルギー分野：例えば電気（供給元、配電系統システムの運営者、送電システムのオペレーター）、石油（石油輸送パイプラインと石油生産（精製と処置施設）のオペレーター、石油の保管と輸送のオペレーター）、ガス（天然ガス精製と処置施設の供給元、配送システムのオペレーター、輸送システムのオペレーター、貯蔵システムのオペレーター、LNGシステムのオペレーター、天然ガス事業のオペレーター））を含むエネルギー部門。 

 ②運輸分野：航空運輸（航空会社、空港の管理事業体、航空管制管理を担う）、鉄道輸送機関（基盤管理者と鉄道事業）、水の輸送（内陸部、海や沿岸の航路旅客や貨物の輸送、水の空輸、また港の中に含まれる部品と機器を動かす港と事業体と船通行車便のオペレーターの管理）、道路輸送（交通の管理支配に対して責任がある道路管理当局と高度道路交通システムのオペレーター））を含む輸送。 

③銀行業務（信用情報機関を含む）分野

④金融市場基盤分野（取引施設オペレーター(operators of trading venues)、中央清算機関(central counterparties)を含む) 

⑤健康維持・治療分野（病院や私立診療所を含む） 

⑥飲料水の供給と配布分野（人間の消費を目的とする水の供給元と卸売業者を含む）これには、水以外の商品を含む必需品の卸売業者は除外される。 

⑦インターネット相互接続点(internet exchange points:IXPs) (筆者注9)、ドメインネーム・システム・サービスプロバイダ（DNS）およびトップ・レベル・ドメイン（TLD）名(Top Level Domain (TLD) name registries)を含むデジタル基盤分野

　また指令は、テレコミュニケーション・セクターのような分野のように固有のEUの指令や規則等立法によってすでに規制されている分野、またNIS指令が定める義務に等しい適用分野につき明記する。行政機関を含む指令に関する当初の委員会案は、驚くべきことに、指令の範囲の外のままであった。 

○EU加盟国は、どの事業体が重要なサービスのオペレーターの定義に該当するかについて決定する選択が与えられ、それを行う際、加盟国は次の行為を行わねばならない。 

 ①どのサービスが重要な社会的または経済活動の維持にとって不可欠であると思われるかなどについて決定する。

 ②重要な事業の一部が、ネットワークと情報システムに依存しているかを確認する。

 ③事件がサービスの供給に重要かつ破壊的な影響を及ぼすかどうかを判断する。 

○このサービスの破壊的な影響を評価するとき、以下の要因が考慮されることになっている。 

  ①同サービスに頼るユーザー数;

  ②他の基幹・重要なサービスへの依存の程度;

  ③サイバー事件の程度、期間、経済・社会の活動または治安に対する影響;

  ④市場占有率;

  ⑤影響を受けた地域の地理的広がり;、

  ⑥十分なサービス・レベルを維持するための事業体の重要性 

○加盟国は、特定の事件の影響がどれくらい破壊的である場合があるか決定する際に、セクターに特有の考慮点も検討しなければならない。 

○重要なサービス・オペレーターが重要でないサービスを提供する場合、NIS指令の規定上の重要な社会・経済活性のメンテナンスにとって不可欠であるサービスにあてはまらなイだけである。この重要なサービスのリストは、少なくとも2年おきに更新されなければならない。指令も、重要なサービスが二つ以上のEU加盟国で提供されるとき、それらの国が彼らが国境を越える影響に関してオペレーターの重要な性質を評価するのを手伝うために、二国間/多国間協議をしなければならない点に留意すべきである。 

(2)重要なサービス・オペレーターのセキュリティの側面

　重要なサービス・オペレーターは、ネットワークの安全にもたらされる危険と彼らが活動において使用する情報システムを管理するための適切でかつ比例した技術的で組織の処置を行うことが要求される。最高水準の技術に考慮して、そのような処置はもたらされる危険にふさわしい安全対策のレベルを確実なものにしなければならない。それを行う際、オペレーターは、そのサービスの継続性を確実にするために、そのネットワークの安全に影響を及ぼしているサイバー事件の影響を防ぎ、最小に努めなければならない。 

　指令は、彼らが提供する重要なサービスの連続性に重要な影響を及ぼしているいかなる事件についてでも通知するために、その義務をオペレーターに置く。この通知は、所管官庁またはCSIRTに遅滞なく行われなければならず、またCSIRTがどんな国境を越える影響を決定するのを可能にする情報を含まなければならない。また指令は、この通知から生ずるオペレーターの増加した責任を排除する。 

　サイバー事件の影響の重要性は、「影響を受けるユーザー数」、「事件の発生期間」とその「地理的広がり」で測定される。CSIRTへの事件の通知後、オペレーターは、事件処理を手伝うことができるいかなる情報でも受取る機会が与えられる。CSIRTは、国家で唯一の接触点およびそれは他の影響を受けた加盟国に事件の通知を送り届けることもできる。そのうえ、必要に応じて、ひろく公衆にも事件も知らしうる。 

(3)デジタル・サービスプロバイダ（Digital Service Providers：DSPs） 

　指令はDSPをもカバーする。そして、そこでは『デジタル・サービスを提供するいかなる法人でも(any legal persons that provide a digital service)』と定義される。この指令案が議会を通過することに対する主要な障害の1つがこれらの事業体を含むべきかどうかということであった時から、これは重要な発展といえる。それらが最終的に含まれたという事実は、EUのための重要な発展である。 

　この指令に含まれるデジタル・サービスのタイプは、以下を含む。 

 ①オンライン市場業者：オンライン市場のウェブサイトで、または、オンライン市場により提供されるコンピューティング・サービスを利用するトレーダーのウェブサイトで、消費者とトレーダーがオンライン売上を終わるのを許すデジタル・サービスをいう。 

②オンライン検索エンジン(Online search engines)：原則として、ユーザーがキーワード、成句(phrase)または他の情報の入力の形でどんな主題に関する問合わせに基づいて特定の言語で、すべてのウェブサイトまたはウェブサイトの検索を行うことを許すもの。そして、要求された内容に関する情報が見つかったときにに返答するすデジタル・サービスである。 

③クラウド・コンピューティング・サービス(Cloud computing service)：株式に関するコンピューティング資源に拡張性かつ弾力性があるプールした投資資金への出入りを可能にするデジタル・サービスである。 (筆者注10) 

(4)その他のEUのサイバーセキュリティの強化に向けた開発動向 

　NIS指令を採択したことに加えて、欧州委員会は2020年までに民間部門と18億ユーロ(約2034億円)の投資を起動させるべく、EUのサイバー産業の競争力を強化するのを支援すべく、2016年7月5日に半官半民のサイバー・セキュリティーパートナーシップ契約に署名(筆者注11)するなど、その努力を進めた。 

************************************************************************

(筆者注9) 「Internet Exchange Point(相互接続点)」とは、 ISP事業者やデータセンタ事業者などが相互接続して、経路情報やトラフィックを交換するための接続点を指し、「IX」または「IXP」と略されます。IXに接続すれば、事業者間において個別に回線を準備することなく、複数の事業者と経路交換を行うことが可能となります。」(JPNICの解説から引用 )

(筆者注10) CCDCEOEの説明は専門家以外には、わかりにくい。米国アメリカ国立標準技術研究所(NIST)の定義内容を見ておく。(NIST)の定義を仮訳した。

「クラウド・コンピューティングとは、ネットワーク、サーバー、ストレージ、アプリケーション、サービス等の構成可能なコンピューティング資源の共用プールに対して、便利かつオンデマンドにアクセスでき、最小の管理労力またはサービス・プロバイダー間の相互動作によって迅速に提供され利用できるビジネス・モデルのひとつである。このクラウド・モデルは可用性を促進し、5つの基本特性(On-demand self-service；Broad network access；Resource pooling；Rapid elasticity；Measured Service)と、3つのサービスモデル(Cloud Software as a Service (SaaS)；Cloud Platform as a Service (PaaS)；Cloud Infrastructure as a Service (IaaS))と、4つの配置モデル(Private cloud；Community cloud,；Public cloud；Hybrid cloud)により構成される。その鍵となる実用可能化技術は、(1) 高速なワイド・エリア・ネットワーク、(2)パワフルかつ安価なサーバー・コンピュータ、(3)高性能仮想化が可能必需品たるハードウェア、を含む。

(筆者注11) 2016年7月5日、欧州委員会は「産業界とサイバーセキュリティとサイバー時間の脅威に関する具体的取り組みに関する合意文書に署名(Commission signs agreement with industry on cybersecurity and steps up efforts to tackle cyber-threats)」した旨公表した。 

**********************************************************************:

Copyright © 2006-2016 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

「EUのネットワークと情報システムの安全性にかかるEU指令(NIS指令)の採択と今後の課題」(その１)

Last Updated:May 2,2019

　　2016年5月7日、欧州連合理事会は「ネットワークと情報システムの安全の一般の原則に関する指令(NIS指令：Directive on Security of Network and Information Systems)案」を採択し、また7月6日、欧州議会は、本会議でその第二読会で取りまとめたEU全体でのNIS指令案を採択した。同指令については、加盟国は21 か月(2018年5月9日)以内に国内法化し、27 か月(2018年9月9日)以内にOperator of Essential Service (OES)等を指定する義務が定められた。(筆者注0)

　同指令の主要な要素は、(1)加盟国ごとのサイバー・セキュリティ能力の確立、(2)加盟国間の具体的協調強化、(3)重要なサービスとデジタル・サービスプロバイダーの明確化とこれらのオペレーターのために特別な義務を課す、等である。 

　また、重要な点であるがEU加盟国の国内法化の追跡サイトがある。ぜひ、参照されたい。

　この問題への取り組みは、2013年2月7日に欧州委員会がプレスリリース「オープンなインターネットとオンラインの自由と機会を保護するEUのサイバー・セキュリティー計画」を公表したことに始まる。すなわち、欧州委員会は、外交問題とセキュリティ・ポリシーに関する上級代表とともに、ネットワークとインフォメーション・セキュリティ（Commission proposed directive on network and information security (NIS).）に関し委員会として提案する指令案ととともに、「サイバー・セキュリティー戦略(cybersecurity strategy)」を公表したのである。 (筆者注1) 

　この一連のサイバー対策強化は、EUや米国(筆者注2)だけでない世界的な潮流であることはいうまでもない。 

　一方、わが国の取り組み状況を見るとは、本文で述べるとおり「日本コンピュータセキュリティインシデント対応チーム協議会(Nippon CSIRT Association)」への参加企業数で見るとおり、近年急速に増加していることは間違いない。しかし、EU加盟国のように国際的な協力体制までできているかといえば、なお課題が多いというのが現実であろう。

 　今回は、これからのわが国の取り組み課題を検討する上での参考として、EUの事例を取り上げるものである。なお、本文で引用したようにNATOの共同サイバー防御専門機関「Cooperative Cyber Defence Centre of Excellence：CCDCEOE)」サイトのNIS指令の解説は他の解説に比べ具体的であり、わが国での検討に資すると考え、極力、仮訳に努めた。

 　今回は、2回に分けて掲載する。 

１．2013年2月7日の欧州委員会「オープンなインターネットとオンラインの自由と機会を保護するEUのサイバー・セキュリティー計画」の概要

 　EUの欧州委員会の公式サイトの解説を仮訳する。 

「オープンなインターネットとオンラインの自由な機会を保護するEUのサイバー・セキュリティー計画」 

　欧州委員会は、このほど外交問題とセキュリティ・ポリシーに関する上級代表とともに、ネットワークとインフォメーション・セキュリティ（Commission proposed directive on network and information security (NIS)）に関し、委員会として提案する指令案とともに、以下の「サイバー・セキュリティー戦略(cybersecurity strategy)」を公表した。

 (1)サイバー・セキュリティー戦略

　「オープンで安全でかつ堅固なサイバー空間」は、最もサイバーによる混乱と攻撃を阻止し、それに対処するための具体程方法に関しEU全体の包括的展望につき述べる。これは、自由と民主主義のヨーロッパの価値を高め、かつデジタル経済が問題なく成長することができることを確実とすることである。その特別な行動とは、情報システムのサイバー事件の反発力を強化し、サイバー犯罪を減らし、さらにEUの国際的なサイバー・セキュリティ・ポリシーとサイバー防御を強化することを目的とする。 

　本戦略は、5つの優先課題に関してサイバー・セキュリティーにかかるEUの展望を明瞭に表現する。 

 ①サイバー被害からの回復力を成し遂げること。

 ②サイバー犯罪を大幅に減らすこと 。

 ③EUの「共通安全保障と防衛政策（Common Security and Defence Policy：CSDP）」 (筆者注3)に関連したサイバー防衛政策と能力の開発すること。

 ④サイバー・セキュリティーのために産業界および技術的資源を開発すること。

 ⑤EUのために首尾一貫した国際的な「サイバースペース方針」を確立し、さらにコアとなるEUの価値を高めること。 

　EUの「国際的サイバースペース方針」は、EUのコア価値への関心を増し、責任ある行動の達成目標を定め、またサイバースペース内での既存の国際法の適用を擁護する。その一方で、サイバー・セキュリティ能力開発はEU域外で国々を助けると同時にサイバー問題における国際協力を促進する。 

　EUは、よりよく鍵となる前進を市民をオンライン犯罪から保護すべく、1)2013.1.9「ヨーロッパ・サイバー犯罪センター(European Cybercrime Centre：EC3)」の開設（IP/13/13）、2)201.9.30「情報システムへのサイバー攻撃の阻止にかかる立法措置の提案（IP/10/1239）」、また、3) 「オンラインの子供の性的虐待と戦うための国際同盟の立ち上げ（IP/12/1308）」 (筆者注4)においてオンライン犯罪から市民を保護する前向きな施策を行ってきた。 

　また、同戦略はサイバー対策につき加盟国の訓練や能力向上を支援する国家機関としてのNational Cybercrime Centers of Excellence (筆者注5)への資金供給を目指すものである。 

２． EUデジタル単一市場サイト「ネットワークと情報システムの安全性にかかるEU指令(NIS指令)」 

(1) 欧州委員会の2016年7月28日のプレスリリース「ネットワークと情報システム（NIS指令）の安全性にかかるEU指令」を仮訳する。 

　欧州委員会は、このほどEUの外交問題や情報セキュリティ政策に関する上級代表とともに、ネットワークとインフォメーション・セキュリティ（Commission proposed directive on network and information security (NIS)）に関し委員会として提案する指令案ととともに、「サイバー・セキュリティー戦略(cybersecurity strategy)」を以下のとおり公表した。 

　ここ数年、欧州委員会は、サイバー事件を撃退すべくEU全体の準備レベルを引き上げるための一連の措置を導入した。今回のNIS指令は、サイバー・セキュリティーの上のEUに広がる立法の最初の部分である。 

　セキュリティ・ネットワークと情報システムのセキュリティ対策指令であるNIS指令は、2016年7月6日に欧州議会によって採択された。欧州委員会の副委員長アンドラス・アンシプ(Andrus Ansip（デジタル単一市場(DSM)に対して責任があるエストニア代表(写真上)と委員であるギュンター・ヘルマン・エッティンガー(Günther H. Oettinger)(ドイツ代表)(写真下)は、この出来事に関し声明を出した。

 

 

  

　同指令は、2016年8月に施行される。加盟国は、彼らの国内法令に同指令を移すべく21ヵ月と重要なサービスの運用機関を特定するさらに6ヵ月の準備期間がある。

　翻るに、2013年、欧州委員会は、EU全体でネットワークとインフォメーション・セキュリティの高い共通レベルを確実にするための措置に関して、指令案を提唱した。NIS指令は、以下の内容を確実にすることによってEUのサイバー・セキュリティの全体的なレベルを押し上げるための法的措置を提供することを決定した。 

①例えば、加盟国に「コンピュータ・セキュリティ事件対応チーム（Computer Security Incident Response Team ：CSIRT）」 (筆者注6)の設置や権限を持った国家レベルのNIS実施機関の設置等を準備することを要求すること。 

②加盟国間の戦略的な協力と情報の交換を支援かつ容易にするために協力グループ(Cooperation Group)を設立する等すべての加盟国の間の協力の確保する。また、加盟国は特定のサイバー・セキュリティー事件と危険に関する共有情報で迅速かつ効果的運用面の協力を促進するために、自国内でCSIRTネットワークを立ち上げる必要がある。

 

 

 2016.7.8 ENISA資料「Implementing The NIS Directive」等から一部抜粋 

③我々の経済と社会のために不可欠で、さらに重要度の高い情報通信技術(ICTs)（例えばエネルギー、輸送、水、銀行業務、金融市場の基盤、医療やデジタル基盤）に依存する分野横断的な文化を確立する。加盟国によって重要なサービスのオペレーターとして特定されるこれらの分野の企業は、適切なセキュリティ対策をとらなければならず、また関連した国家当局に大事件につき通知しなければならない。また、重要なデジタル・サービスプロバイダー（検索エンジン、クラウド・コンピューティング・サービス、オンライン市場(筆者注7)は、新しいEU指令の下でセキュリティとその通知要件を満たさなければならない。

 ④ヨーロッパのサイバー回復力(cyber resilience)を強化すること 。

　2016年7月5日の欧州委員会はその公式通達(communication) (筆者注8)において、加盟国に対しNIS調整メカニズムを最大限に活用させた。それらに基づいて、委員会は大規模なサイバー事件が生じた場合に国境を越えて協力を強化する具体的方法を提案した。サイバー・セキュリティーの状況が進化する速度にあわせ、委員会は「欧州連合ネットワーク情報セキュリティ庁(ENISA)」の評価を押し進める。そして、それはおそらく新しい義務を導き出すことになろう。 

************************************************************** 

(筆者注0) ネットワーク・情報システムの安全に関する指令（NIS 指令）についての詳しい解説は、国立国会図書館調査及び立法考査局　海外立法情報課島村智子氏の報告がある。

(筆者注1) 2013.2.15 情報通信総合研究所 グローバル研究グループ 佐藤　仁「欧州：サイバーセキュリティをめぐる同盟の重要性」は、欧州委員会のNIS指令案につき簡単に解説している。

 (筆者注2) 米国のオバマ政権のサイバー対策強化の最近時の動きを、White House情報でフォローしておく。

(1)2016.2.9 White Houseリリース「FACT SHEET: Cybersecurity National Action Plan」

(2)2016.7.26 White House リリース「FACT SHEET: Presidential Policy Directive on United States Cyber Incident Coordination」 

(筆者注3) EUの「共通安全保障と防衛政策（CSDP）」については、駐日欧州連合代表部の「共通安全保障・防衛政策（Common Security and Defence Policy=CSDP）」解説サイト、About CSDP - Overview　、EUのCSDPの動画解説サイト等が参考になる。 

(筆者注4) 2012年12月4日現在で同盟国数は、わが国ほかEU域外の21カ国を含む48カ国であった。

 (筆者注5) ”National Cybersecurity Center of Excellence”とは、官民連携R＆Dセンターでサイバーセキュリティ人材育成の観点から各国で取り組みが行われている。 

(筆者注6) ”CSIRT”の意義について、簡単に引用しておく。

＊CSIRTとは、企業や行政機関などに設置される組織の一種で、コンピュータシステムやネットワークに保安上の問題に繋がる事象が発生した際に対応する組織。

社内の情報システムや通信ネットワークでウイルス感染や不正アクセス、サービス拒否攻撃（DoS攻撃）などセキュリティ上の脅威となる現象や行為が発生した際に、組織内の対応窓口となって被害の拡大防止や関連情報の収集・告知、再発防止策の策定などの活動を行う。また、外部のCSIRTと連携して事件・事故の被害情報やシステムの脆弱性についての情報を共有したり、一般利用者へ情報セキュリティに関する教育や啓発、広報などの活動を行うこともある。(「IT用語辞典」から一部抜粋) 

＊シーサート (CSIRT: Computer Security Incident Response Team)とは、コンピュータセキュリティにかかるインシデントに対処するための組織の総称です。インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集、分析し、対応方針や手順の策定などの活動をします。 

　わが国では、「日本コンピュータセキュリティインシデント対応チーム協議会(Nippon CSIRT Association)」が2007年3月28 日発足しており、同団体のサイトから一部引用した。 

(筆者注7)「オンライン市場（またはオンライン電子商取引市場）」は、製品やサービス情報が複数の第三者によって提供される一種の電子商取引サイトを指す。一般の業務が市場のオペレーターによって処理されるのに対して、オンライン市場は多重チャンネルである「e-commerce」の主要なタイプで、製造工程を合理化する意味で「単純でかつ入口に近い」と言われる。

オンライン市場では、消費者業務は市場オペレーターによって処理されて、それから加えられて、参加している小売業者または卸売業者によって成し遂げられる。他の能力としては競売にかけることを含むともいえる。既存の市場地域は、長い時間と確立したウェブサイト（例えばamazon.comと新しい市場ウェブサイト（例えばinstamal.com）のもの）を含みむ。これらの種類のサイトでは、ユーザーが登録して、「販売後に手数料料金が決まるシステム("post-selling" fee.)」という多数のアイテム希望に対し一つのアイテムを販売するのを許す。(Wikipedia のOnline Marketplaceの解説から一部仮訳して引用 )

(筆者注8) 欧州委員会が発する「Communication」とは、「委員会通達」あるいは「委員会からの通知」と解されている。 

**********************************************************************:

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.