欧州におけるM2M/IoT関連のセキュリティ政策
前回(連載第2回)では、まずM2M/IoTのセキュリティを議論する前提として、「システムの可用性/完全性を重視するのか(重要インフラ型)」「情報の機密性を重視するのか(情報利用型)」で、M2M/IoTに関する業界を大きく2つのタイプに分けられることを述べた。さらにM2M/IoT時代の新たなセキュリティ脅威に対してどのような取り組みが行われているのかを示すため、米国のM2M/IoTにおけるサイバーセキュリティ政策と対策事例を紹介した。
今回は、最初に、欧州におけるM2M/IoT関連のサイバーセキュリティ政策を紹介する。近年行われているM2M/IoT関連のセキュリティに関する欧州での取り組みを表1に示す。対象業界が電力などの重要インフラ系に偏っているが、これは、欧州では、他の業界に対する政府レベルの取り組みで特筆できるようなものが見当たらないことを示している。これらのうち注目すべき取り組みを説明する。
表1 欧州におけるM2M/IoTに関連する主なセキュリティ指令、勧告および法案
EU:European Union、欧州連合。欧州における政治・経済の国家間連合体。加盟国の国家主権の一部を超国家機構に委譲し加盟国の政治的・経済的統合を進めることを目標としている。欧州理事会(EU首脳会議)、EU理事会、欧州委員会、欧州議会などから成る。現時点での加盟国は28か国。
欧州委員会:European Commission、EUの諸機構において唯一、法案提出権を有する立法機関。EU法の立法はすべて欧州委員会の提案に基づいて開始される。
ENISA:エニーサ。European Network and Information Security Agency、欧州ネットワーク情報セキュリティ庁。EU加盟各国の情報セキュリティにおける取り組みを支援する組織として、ネットワーク情報セキュリティに関する情報、ベストプラクティス共有、欧州委員会や加盟国に提言を行うEUの関係組織。
ITインフラの安全性向上のための法律:https://www.teletrust.de/fileadmin/docs/IT-Sicherheitsstrategien/IT-Sicherheitsgesetz/IT-Sicherheitsgesetz_2015.pdf
出所 インテル セキュリティ資料より
第二次法(以下、EU法)は適用範囲と法的拘束力の強弱によって、
- 規則(Regulation)、
- 指令(Directive)、
- 決定(Decision)、
- 勧告(Recommendation)
- 意見(Opinion)
の5種類が存在する。このうち指令は、原則として、通常はEU加盟国へは直接適用されず、国内法への置き換えが必要となる。EU加盟国は「指令」を指令で定められた期日まで(基本的にはEU官報掲載後3年以内)に国内法として制定・改正する必要があり、違反すると警告がなされ、最悪、経済制裁等の処置もありうる。④の勧告は、法的拘束力はないものの、EU加盟国内での法令制定・改正などを促すものである。