※この記事は米国で5月9日に公表された記事を元に適宜加筆修正しています。

 

5月25日、ついにGDPR(一般データ保護規則)が施行されました。同月、NIS指令(ネットワーク・情報システムのセキュリティに関する指令全体)をうけた国内法制化も動き始めました。変化はこれに留まらず、EUには更なるサイバーセキュリティ関連法制定の波が押し寄せています。Cybersecurity Act(サイバーセキュリティ法案) [1] とその中で提案されているEUサイバーセキュリティ認証フレームワークは、現在欧州議会を通過しようとしていますし、EUの通信業界を対象とするセキュリティ要件を含み、同業界の規制を更新するElectronic Communications Code(欧州電子通信指令案)も、ブリュッセルでの最終交渉段階に近づいています[2]。

5月を今後起こる変化の始まりと考えてください。私たちはテクノロジーを毎日使い、デジタル世界は私たちの生活のあらゆる部分に関っています。 GDPR、NIS指令、その他法令における改正は、デジタル世界への移行に伴うサイバーセキュリティの責任について、各組織が本腰を据えて取り組むよう求めているのです。つまりこれは良いことといえますよね。

ところが内心はかなり複雑です。私は毎日のように幾つもの団体からGDPR遵守のためどのような準備をしているのかを伺っていますが、取り組みが遅れ、どのような遵守事項があるかについての理解も進んでいないケースや、日和見的に「GDPR施行後に同規則に違反した他の企業にどのような制裁が課されるかを実際に見届けたうえで、本腰をいれてGDPR遵守の取り組みを進めよう」とするケースが見受けられるからです。

こうしたなか、今後、具体的にはどのようなことが起こると予測されるでしょうか。

GDPR非準拠の組織が悪しき前例をつくる

私は弁護士ではないため法的強制力の細かい点についてまで議論することはできませんが、違反時のペナルティを多額の過料とすることで、経営幹部がより真剣に向き合うようにする新しい規制はよりいっそう増えてきています。あくまでこれらのペナルティは最終手段にとどめるべきでしょうが、こうした最悪の事態の前例をつくるのは、同規則の要求事項を軽視した企業になることでしょう。

GDPR施行の影響が実際に生じるのはおそらく数ヶ月先

ただし、違反によりペナルティが課せられる事例は、施行後直ちには生じないでしょう。というのは、細部を調査し、違反の程度がどれほど深刻かを明らかにするには時間がかかるからです。最悪の事例では(たとえば文書、指標、旧来の証拠類がほとんどない場合は)、この評価だけに数カ月かかる可能性もあります。弁護士が最終的な結果について交渉し、同規制の定義をめぐる前例調査を開始するのは、ようやくこの後の段階です。このような事情から、GDPRの実質的な影響が判明するのは、2018年のかなり後半になると考えられます。

NIS指令: 経営層は各国の法令についてより深い理解が必要

NIS指令は、GDPR施行日よりも少し早い5月10日に発効しました。その理解しにくさから誤解されやすいですが、NIS指令は法令そのものではありません。同指令の目標を達成するため、EU加盟各国それぞれに対し国内法を制定するよう指示するものです。加盟国は、5月10日までにNIS指令に準拠した国内法制を整備することが求められていました。加盟国各国の状況はその法令成熟度に応じてまちまちで、既存の法令を若干更新するだけですむ国もあれば、さらなる適応を必要とする国、既存の法令で対応できず全く新しい枠組みとして法令の制定が必要な国もあります。

したがって、皆さんは自組織がNIS指令の対象となる重要インフラサービスまたはデジタルサービスを提供する事業者にあたるかどうかを確認し、どこでそのサービスを提供するかによって、加盟国各国の同指令の実装状況を調査し、何をすべきか対応策を練る必要があります。

 

関連部門は以下のことを説明できなければなりません。

  • NIS指令に基づく現地法(国内法)は、いつ発効されるか[3] 。
  • 現地法を適用し、施行する責任を負うのは、どの国家機関または団体か。英国を例にとると、NCSCは中央管轄機関ですが、各分野の重要国家インフラ(CNI)部門の既存権限のある監督当局は、引き続き主導的な取り組みを担うことになります[4] 。
  • NIS指令準拠に必要なコントロールを定義・評価するために使うフレームワークは何か。NIS指令に侵害防止の要求が含まれていることに注目すると、初期見解では、ISO、NIST、またはその他の十分確立した方法論によるフレームワークを採用する組織が多いことが示唆されます。

この5月はひとつの節目です。また、EUのみならず、すべての地域と国において、高度にデジタル化する社会のサイバーセキュリティの限界を引き上げていく継続的な旅の出発点でもあります。ビッグバンのようにある瞬間突然何かが劇的に変化することはないでしょうが、今後半年から1年かけ、GDPRの定義と範囲は実証されていくことでしょう。また、NIS指令は、引き続きその指令を各国法に移行しつづけ、それと同時にEUは、サイバーセキュリティ法や他の提案によって、デジタル社会の信頼を確保するための新しい要件の策定をよりいっそう強化していくことでしょう。

「GDPRの旅」にすでに出発した皆さん、おめでとうございます、すばらしい取り組みですね。まだこれからという皆さん、まずは最初の一歩を踏み出しましょう。GDPRは現実の法令で、現実の法令には現実の結果が伴うのですから。最後に、GDPRほど注目されていないからといって、NIS指令を軽視してはいけません。これも現実的な結果を伴うという点ではGDPRにも引けを取りませんし、同指令が設定しているサイバーセキュリティの基準が、重要インフラのようなEU市民の生活に不可欠なサービスに着目していることを鑑みれば、GDPRよりもさらに準拠必要性が高いといえるのです。

[1] https://ec.europa.eu/info/law/better-regulation/initiative/111956/attachment/090166e5b507c22c_en

[2] http://www.consilium.europa.eu/en/policies/electronic-communications-code/

[3] UK example of translating the NIS directive to national law – Network & Information systems regulation http://www.legislation.gov.uk/uksi/2018/506/regulation/1/made

[4] UK guidelines for competent authorities on NIS https://www.gov.uk/government/publications/nis-regulations-guidance-for-competent-authorities


 

PA-800 Series

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。
  • 1
  • 9249

PA-5200 Series

パロアルトネットワークス® PA-5200 Seriesの次世代ファイアウォール アプライアンスは、PA-5260、PA-5250、PA-5220から構成されており、高速データセンター、インターネット ゲートウェイ、およびサービス プロバイダでの導入に適しています。PA-5200シリーズは、ネットワーキング、セキュリティ、脅威からの防御と管理の重要な機能領域専用の処理機能とメモリを使用して、最大80Gbpsのスループットを提供します。
  • 0
  • 4661

PA-220

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー コントロール、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジーの開発が行えるよう分類します。
  • 0
  • 3231

2018 年のセキュリティ脅威予測とベストプラクティス

2017年のセキュリティの振り返りに引き続き、パロアルトネットワークスが2017年までの傾向から見る、2018年の主なセキュリティ脅威予測とベストプラクティスについて紹介します。
Palo Alto Networks,
  • 0
  • 1350

EncodedCommandによるPowerShell攻撃を暴く

PowerShellは過去数年間で人気を獲得し続けていますが、それはこのフレームワークが発達し続けているからです。したがって、PowerShellを多くの攻撃で見かけるようになっていても少しも驚くことではありません。PowerShellはシステム上の広範囲にわたる機能を攻撃者にネイティブなものとして提供します。有害なPowerShellツールが溢れかえっている現状をざっと見渡してみると、PowerShellの伸びを示す十分な兆候が見て取れます。
  • 0
  • 2239