• JP
  • magnifying glass search icon to open search field
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
Palo Alto Networks logo
  • 製品
  • ソリューション
  • サービス
  • 業種
  • パートナー
  • パロアルトネットワークスをお勧めする理由
  • 会社案内
  • その他
  • JP
    Language
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
  • スタート ガイド

NIS指令とGDPRの施行で何がおきるのか

Greg Day 6 28, 2018 at 05:00 午後

※この記事は米国で5月9日に公表された記事を元に適宜加筆修正しています。

 

5月25日、ついにGDPR(一般データ保護規則)が施行されました。同月、NIS指令(ネットワーク・情報システムのセキュリティに関する指令全体)をうけた国内法制化も動き始めました。変化はこれに留まらず、EUには更なるサイバーセキュリティ関連法制定の波が押し寄せています。Cybersecurity Act(サイバーセキュリティ法案) [1] とその中で提案されているEUサイバーセキュリティ認証フレームワークは、現在欧州議会を通過しようとしていますし、EUの通信業界を対象とするセキュリティ要件を含み、同業界の規制を更新するElectronic Communications Code(欧州電子通信指令案)も、ブリュッセルでの最終交渉段階に近づいています[2]。

5月を今後起こる変化の始まりと考えてください。私たちはテクノロジーを毎日使い、デジタル世界は私たちの生活のあらゆる部分に関っています。 GDPR、NIS指令、その他法令における改正は、デジタル世界への移行に伴うサイバーセキュリティの責任について、各組織が本腰を据えて取り組むよう求めているのです。つまりこれは良いことといえますよね。

ところが内心はかなり複雑です。私は毎日のように幾つもの団体からGDPR遵守のためどのような準備をしているのかを伺っていますが、取り組みが遅れ、どのような遵守事項があるかについての理解も進んでいないケースや、日和見的に「GDPR施行後に同規則に違反した他の企業にどのような制裁が課されるかを実際に見届けたうえで、本腰をいれてGDPR遵守の取り組みを進めよう」とするケースが見受けられるからです。

こうしたなか、今後、具体的にはどのようなことが起こると予測されるでしょうか。

GDPR非準拠の組織が悪しき前例をつくる

私は弁護士ではないため法的強制力の細かい点についてまで議論することはできませんが、違反時のペナルティを多額の過料とすることで、経営幹部がより真剣に向き合うようにする新しい規制はよりいっそう増えてきています。あくまでこれらのペナルティは最終手段にとどめるべきでしょうが、こうした最悪の事態の前例をつくるのは、同規則の要求事項を軽視した企業になることでしょう。

GDPR施行の影響が実際に生じるのはおそらく数ヶ月先

ただし、違反によりペナルティが課せられる事例は、施行後直ちには生じないでしょう。というのは、細部を調査し、違反の程度がどれほど深刻かを明らかにするには時間がかかるからです。最悪の事例では(たとえば文書、指標、旧来の証拠類がほとんどない場合は)、この評価だけに数カ月かかる可能性もあります。弁護士が最終的な結果について交渉し、同規制の定義をめぐる前例調査を開始するのは、ようやくこの後の段階です。このような事情から、GDPRの実質的な影響が判明するのは、2018年のかなり後半になると考えられます。

NIS指令: 経営層は各国の法令についてより深い理解が必要

NIS指令は、GDPR施行日よりも少し早い5月10日に発効しました。その理解しにくさから誤解されやすいですが、NIS指令は法令そのものではありません。同指令の目標を達成するため、EU加盟各国それぞれに対し国内法を制定するよう指示するものです。加盟国は、5月10日までにNIS指令に準拠した国内法制を整備することが求められていました。加盟国各国の状況はその法令成熟度に応じてまちまちで、既存の法令を若干更新するだけですむ国もあれば、さらなる適応を必要とする国、既存の法令で対応できず全く新しい枠組みとして法令の制定が必要な国もあります。

したがって、皆さんは自組織がNIS指令の対象となる重要インフラサービスまたはデジタルサービスを提供する事業者にあたるかどうかを確認し、どこでそのサービスを提供するかによって、加盟国各国の同指令の実装状況を調査し、何をすべきか対応策を練る必要があります。

 

関連部門は以下のことを説明できなければなりません。

  • NIS指令に基づく現地法(国内法)は、いつ発効されるか[3] 。
  • 現地法を適用し、施行する責任を負うのは、どの国家機関または団体か。英国を例にとると、NCSCは中央管轄機関ですが、各分野の重要国家インフラ(CNI)部門の既存権限のある監督当局は、引き続き主導的な取り組みを担うことになります[4] 。
  • NIS指令準拠に必要なコントロールを定義・評価するために使うフレームワークは何か。NIS指令に侵害防止の要求が含まれていることに注目すると、初期見解では、ISO、NIST、またはその他の十分確立した方法論によるフレームワークを採用する組織が多いことが示唆されます。

この5月はひとつの節目です。また、EUのみならず、すべての地域と国において、高度にデジタル化する社会のサイバーセキュリティの限界を引き上げていく継続的な旅の出発点でもあります。ビッグバンのようにある瞬間突然何かが劇的に変化することはないでしょうが、今後半年から1年かけ、GDPRの定義と範囲は実証されていくことでしょう。また、NIS指令は、引き続きその指令を各国法に移行しつづけ、それと同時にEUは、サイバーセキュリティ法や他の提案によって、デジタル社会の信頼を確保するための新しい要件の策定をよりいっそう強化していくことでしょう。

「GDPRの旅」にすでに出発した皆さん、おめでとうございます、すばらしい取り組みですね。まだこれからという皆さん、まずは最初の一歩を踏み出しましょう。GDPRは現実の法令で、現実の法令には現実の結果が伴うのですから。最後に、GDPRほど注目されていないからといって、NIS指令を軽視してはいけません。これも現実的な結果を伴うという点ではGDPRにも引けを取りませんし、同指令が設定しているサイバーセキュリティの基準が、重要インフラのようなEU市民の生活に不可欠なサービスに着目していることを鑑みれば、GDPRよりもさらに準拠必要性が高いといえるのです。

[1] https://ec.europa.eu/info/law/better-regulation/initiative/111956/attachment/090166e5b507c22c_en

[2] http://www.consilium.europa.eu/en/policies/electronic-communications-code/

[3] UK example of translating the NIS directive to national law – Network & Information systems regulation http://www.legislation.gov.uk/uksi/2018/506/regulation/1/made

[4] UK guidelines for competent authorities on NIS https://www.gov.uk/government/publications/nis-regulations-guidance-for-competent-authorities

 

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

データシート

PA-400シリーズ

パロアルトネットワークスの機械学習を活用したNGFW「PA-400 Series (PA-460、PA-450、PA-440)」なら、分散した大企業の支社、小売店、中規模企業にも次世代ファイアウォール機能を導入できます。
August 3, 2022

最新ニュース、イベント情報、脅威アラートを配信

このフォームを送信すると、お客様は弊社の利用規約とプライバシー ポリシーに同意したものとみなされます。

black youtube icon black twitter icon black facebook icon black linkedin icon
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)

人気のあるリソース

  • 会社概要
  • イベント センター
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • 投資家の皆様へ
  • ブログ
  • Japan Live Community
  • Tech Docs
  • キャリア
  • お問い合わせ
  • サイトマップ

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約
  • トラスト センター
  • ドキュメント
  • 一般事業主行動計画

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告

Copyright © 2023 Palo Alto Networks. All rights reserved