(2)NATOの共同サイバー防御専門機関「Cooperative Cyber Defence Centre of Excellence(CCDCEOE)」サイトの解説
重要なインフラ・サービスのオペレーターおよびデジタル・サービス・プロバイダ(DSPs)の定義を詳細に解説している。海外の大手ローファームでも言及しているものは皆無に等しいので、あえてここで仮訳する。
(1)重要なサービスのオペレーター(operator of essential service)
NIS指令は、「重要な基盤サービスのオペレーター(operator of essential service)」につき、具体的に以下の分野の公的または民間の事業体と定義する。
①エネルギー分野:例えば電気(供給元、配電系統システムの運営者、送電システムのオペレーター)、石油(石油輸送パイプラインと石油生産(精製と処置施設)のオペレーター、石油の保管と輸送のオペレーター)、ガス(天然ガス精製と処置施設の供給元、配送システムのオペレーター、輸送システムのオペレーター、貯蔵システムのオペレーター、LNGシステムのオペレーター、天然ガス事業のオペレーター))を含むエネルギー部門。
②運輸分野:航空運輸(航空会社、空港の管理事業体、航空管制管理を担う)、鉄道輸送機関(基盤管理者と鉄道事業)、水の輸送(内陸部、海や沿岸の航路旅客や貨物の輸送、水の空輸、また港の中に含まれる部品と機器を動かす港と事業体と船通行車便のオペレーターの管理)、道路輸送(交通の管理支配に対して責任がある道路管理当局と高度道路交通システムのオペレーター))を含む輸送。
③銀行業務(信用情報機関を含む)分野
④金融市場基盤分野(取引施設オペレーター(operators of trading venues)、中央清算機関(central counterparties)を含む)
⑤健康維持・治療分野(病院や私立診療所を含む)
⑥飲料水の供給と配布分野(人間の消費を目的とする水の供給元と卸売業者を含む)これには、水以外の商品を含む必需品の卸売業者は除外される。
⑦インターネット相互接続点(internet exchange points:IXPs) (筆者注9)、ドメインネーム・システム・サービスプロバイダ(DNS)およびトップ・レベル・ドメイン(TLD)名(Top Level Domain (TLD) name registries)を含むデジタル基盤分野
また指令は、テレコミュニケーション・セクターのような分野のように固有のEUの指令や規則等立法によってすでに規制されている分野、またNIS指令が定める義務に等しい適用分野につき明記する。行政機関を含む指令に関する当初の委員会案は、驚くべきことに、指令の範囲の外のままであった。
○EU加盟国は、どの事業体が重要なサービスのオペレーターの定義に該当するかについて決定する選択が与えられ、それを行う際、加盟国は次の行為を行わねばならない。
①どのサービスが重要な社会的または経済活動の維持にとって不可欠であると思われるかなどについて決定する。
②重要な事業の一部が、ネットワークと情報システムに依存しているかを確認する。
③事件がサービスの供給に重要かつ破壊的な影響を及ぼすかどうかを判断する。
○このサービスの破壊的な影響を評価するとき、以下の要因が考慮されることになっている。
①同サービスに頼るユーザー数;
②他の基幹・重要なサービスへの依存の程度;
③サイバー事件の程度、期間、経済・社会の活動または治安に対する影響;
④市場占有率;
⑤影響を受けた地域の地理的広がり;、
⑥十分なサービス・レベルを維持するための事業体の重要性
○加盟国は、特定の事件の影響がどれくらい破壊的である場合があるか決定する際に、セクターに特有の考慮点も検討しなければならない。
○重要なサービス・オペレーターが重要でないサービスを提供する場合、NIS指令の規定上の重要な社会・経済活性のメンテナンスにとって不可欠であるサービスにあてはまらなイだけである。この重要なサービスのリストは、少なくとも2年おきに更新されなければならない。指令も、重要なサービスが二つ以上のEU加盟国で提供されるとき、それらの国が彼らが国境を越える影響に関してオペレーターの重要な性質を評価するのを手伝うために、二国間/多国間協議をしなければならない点に留意すべきである。
(2)重要なサービス・オペレーターのセキュリティの側面
重要なサービス・オペレーターは、ネットワークの安全にもたらされる危険と彼らが活動において使用する情報システムを管理するための適切でかつ比例した技術的で組織の処置を行うことが要求される。最高水準の技術に考慮して、そのような処置はもたらされる危険にふさわしい安全対策のレベルを確実なものにしなければならない。それを行う際、オペレーターは、そのサービスの継続性を確実にするために、そのネットワークの安全に影響を及ぼしているサイバー事件の影響を防ぎ、最小に努めなければならない。
指令は、彼らが提供する重要なサービスの連続性に重要な影響を及ぼしているいかなる事件についてでも通知するために、その義務をオペレーターに置く。この通知は、所管官庁またはCSIRTに遅滞なく行われなければならず、またCSIRTがどんな国境を越える影響を決定するのを可能にする情報を含まなければならない。また指令は、この通知から生ずるオペレーターの増加した責任を排除する。
サイバー事件の影響の重要性は、「影響を受けるユーザー数」、「事件の発生期間」とその「地理的広がり」で測定される。CSIRTへの事件の通知後、オペレーターは、事件処理を手伝うことができるいかなる情報でも受取る機会が与えられる。CSIRTは、国家で唯一の接触点およびそれは他の影響を受けた加盟国に事件の通知を送り届けることもできる。そのうえ、必要に応じて、ひろく公衆にも事件も知らしうる。
(3)デジタル・サービスプロバイダ(Digital Service Providers:DSPs)
指令はDSPをもカバーする。そして、そこでは『デジタル・サービスを提供するいかなる法人でも(any legal persons that provide a digital service)』と定義される。この指令案が議会を通過することに対する主要な障害の1つがこれらの事業体を含むべきかどうかということであった時から、これは重要な発展といえる。それらが最終的に含まれたという事実は、EUのための重要な発展である。
この指令に含まれるデジタル・サービスのタイプは、以下を含む。
①オンライン市場業者:オンライン市場のウェブサイトで、または、オンライン市場により提供されるコンピューティング・サービスを利用するトレーダーのウェブサイトで、消費者とトレーダーがオンライン売上を終わるのを許すデジタル・サービスをいう。
②オンライン検索エンジン(Online search engines):原則として、ユーザーがキーワード、成句(phrase)または他の情報の入力の形でどんな主題に関する問合わせに基づいて特定の言語で、すべてのウェブサイトまたはウェブサイトの検索を行うことを許すもの。そして、要求された内容に関する情報が見つかったときにに返答するすデジタル・サービスである。
③クラウド・コンピューティング・サービス(Cloud computing service):株式に関するコンピューティング資源に拡張性かつ弾力性があるプールした投資資金への出入りを可能にするデジタル・サービスである。 (筆者注10)
(4)その他のEUのサイバーセキュリティの強化に向けた開発動向
NIS指令を採択したことに加えて、欧州委員会は2020年までに民間部門と18億ユーロ(約2034億円)の投資を起動させるべく、EUのサイバー産業の競争力を強化するのを支援すべく、2016年7月5日に半官半民のサイバー・セキュリティーパートナーシップ契約に署名(筆者注11)するなど、その努力を進めた。
************************************************************************
(筆者注9) 「Internet Exchange Point(相互接続点)」とは、 ISP事業者やデータセンタ事業者などが相互接続して、経路情報やトラフィックを交換するための接続点を指し、「IX」または「IXP」と略されます。IXに接続すれば、事業者間において個別に回線を準備することなく、複数の事業者と経路交換を行うことが可能となります。」(JPNICの解説から引用 )
(筆者注10) CCDCEOEの説明は専門家以外には、わかりにくい。米国アメリカ国立標準技術研究所(NIST)の定義内容を見ておく。(NIST)の定義を仮訳した。
「クラウド・コンピューティングとは、ネットワーク、サーバー、ストレージ、アプリケーション、サービス等の構成可能なコンピューティング資源の共用プールに対して、便利かつオンデマンドにアクセスでき、最小の管理労力またはサービス・プロバイダー間の相互動作によって迅速に提供され利用できるビジネス・モデルのひとつである。このクラウド・モデルは可用性を促進し、5つの基本特性(On-demand self-service;Broad network access;Resource pooling;Rapid elasticity;Measured Service)と、3つのサービスモデル(Cloud Software as a Service (SaaS);Cloud Platform as a Service (PaaS);Cloud Infrastructure as a Service (IaaS))と、4つの配置モデル(Private cloud;Community cloud,;Public cloud;Hybrid cloud)により構成される。その鍵となる実用可能化技術は、(1) 高速なワイド・エリア・ネットワーク、(2)パワフルかつ安価なサーバー・コンピュータ、(3)高性能仮想化が可能必需品たるハードウェア、を含む。
(筆者注11) 2016年7月5日、欧州委員会は「産業界とサイバーセキュリティとサイバー時間の脅威に関する具体的取り組みに関する合意文書に署名(Commission signs agreement with industry on cybersecurity and steps up efforts to tackle cyber-threats)」した旨公表した。
**********************************************************************:
Copyright © 2006-2016 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
コメント
コメントを投稿