[M2M/IoT時代に登場した新たなセキュリティの脅威とその防衛策]

M2M/IoT時代に登場した新たなセキュリティの脅威とその防衛策― 第3回 欧州におけるM2M/IoTサイバーセキュリティ政策の最新動向 ―

2015/10/30
(金)
佐々木 弘志 インテル セキュリティ(マカフィー株式会社) サイバー戦略室 CISSP

本連載では、スマートグリッド、スマートハウス(コネクテッドホーム)、スマートファクトリーが登場し、複雑化するM2M/IoT時代に、セキュリティをどのように捉えるべきかについて、事例(想定例)を交えながら平易に解説している。前回(第2回)は、M2M/IoTのセキュリティの前提となる「重要インフラ型」と「情報利用型」の2つのタイプの説明と、米国のサイバーセキュリティ政策について解説した。連載第3回となる今回は、欧州におけるM2M/IoTサイバーセキュリティ政策の最新動向を中心に紹介する。

欧州におけるM2M/IoT関連のセキュリティ政策

 前回(連載第2回)では、まずM2M/IoTのセキュリティを議論する前提として、「システムの可用性/完全性を重視するのか(重要インフラ型)」「情報の機密性を重視するのか(情報利用型)」で、M2M/IoTに関する業界を大きく2つのタイプに分けられることを述べた。さらにM2M/IoT時代の新たなセキュリティ脅威に対してどのような取り組みが行われているのかを示すため、米国のM2M/IoTにおけるサイバーセキュリティ政策と対策事例を紹介した。

 今回は、最初に、欧州におけるM2M/IoT関連のサイバーセキュリティ政策を紹介する。近年行われているM2M/IoT関連のセキュリティに関する欧州での取り組みを表1に示す。対象業界が電力などの重要インフラ系に偏っているが、これは、欧州では、他の業界に対する政府レベルの取り組みで特筆できるようなものが見当たらないことを示している。これらのうち注目すべき取り組みを説明する。

表1 欧州におけるM2M/IoTに関連する主なセキュリティ指令、勧告および法案

表1 欧州におけるM2M/IoTに関連する主なセキュリティ指令、勧告および法案

EU:European Union、欧州連合。欧州における政治・経済の国家間連合体。加盟国の国家主権の一部を超国家機構に委譲し加盟国の政治的・経済的統合を進めることを目標としている。欧州理事会(EU首脳会議)、EU理事会、欧州委員会、欧州議会などから成る。現時点での加盟国は28か国。
欧州委員会:European Commission、EUの諸機構において唯一、法案提出権を有する立法機関。EU法の立法はすべて欧州委員会の提案に基づいて開始される。
ENISA:エニーサ。European Network and Information Security Agency、欧州ネットワーク情報セキュリティ庁。EU加盟各国の情報セキュリティにおける取り組みを支援する組織として、ネットワーク情報セキュリティに関する情報、ベストプラクティス共有、欧州委員会や加盟国に提言を行うEUの関係組織。
ITインフラの安全性向上のための法律:https://www.teletrust.de/fileadmin/docs/IT-Sicherheitsstrategien/IT-Sicherheitsgesetz/IT-Sicherheitsgesetz_2015.pdf
出所 インテル セキュリティ資料より

用語解説:Directive(指令)/Recommendation(勧告):EU法は第一次法と第二次法に分類される。第一次法は EUを基礎付ける条約、第二次法は、条約に法的根拠をもち、そこから派生する法である。EU法あるいは派生法と呼ばれる。
第二次法(以下、EU法)は適用範囲と法的拘束力の強弱によって、

  1. 規則(Regulation)、
  2. 指令(Directive)、
  3. 決定(Decision)、
  4. 勧告(Recommendation)
  5. 意見(Opinion)

の5種類が存在する。このうち指令は、原則として、通常はEU加盟国へは直接適用されず、国内法への置き換えが必要となる。EU加盟国は「指令」を指令で定められた期日まで(基本的にはEU官報掲載後3年以内)に国内法として制定・改正する必要があり、違反すると警告がなされ、最悪、経済制裁等の処置もありうる。④の勧告は、法的拘束力はないものの、EU加盟国内での法令制定・改正などを促すものである。

ページ

関連記事
新刊情報
5G NR(新無線方式)と5Gコアを徹底解説! 本書は2018年9月に出版された『5G教科書』の続編です。5G NR(新無線方式)や5GC(コア・ネットワーク)などの5G技術とネットワークの進化、5...
攻撃者視点によるハッキング体験! 本書は、IoT機器の開発者や品質保証の担当者が、攻撃者の視点に立ってセキュリティ検証を実践するための手法を、事例とともに詳細に解説したものです。実際のサンプル機器に...
本書は、ブロックチェーン技術の電力・エネルギー分野での応用に焦点を当て、その基本的な概念から、世界と日本の応用事例(実証も含む)、法規制や標準化、ビジネスモデルまで、他書では解説されていないアプリケー...