2024.12.27

Q & A

EUのサイバーセキュリティの取り組みについて教えてください。

EUのサイバーセキュリティの取り組みについて教えてください。

欧州連合(EU)加盟国間のサイバーセキュリティ協力を強化し、政策の実行や技術的支援を担うEUサイバー機関(European Union Agency for Cybersecurity-旧称のEuropean Union Agency for Network and Information Securityの略称であるENISAが今も使われている)。そして、デジタル技術、通信、メディア政策の策定と推進を担当し、EU全体のデジタル競争力向上を目指す欧州委員会の通信ネットワーク・コンテンツ・技術総局(DG CONNECT)。この両者は相互に補完し合う関係を築きながら、EUのサイバーセキュリティ強化に貢献している。

2024年11月に東京で開催された「Kunoichi Cyber Game」に、ENISAが選抜・派遣した欧州チームが出場した機会を捉え、DG CONNECTのデジタル社会・信頼・サイバーセキュリティ局長代理であるクリスティアン・キルケテルプ・デ・ヴィロン氏とユハン・レパサールENISA事務局長に、EUにおけるサイバーセキュリティの取り組みについて説明してもらった。

※ 欧州チームが出場した「Kunoichi Cyber Game」に関する記事はこちらをご覧ください。

Q1. ENISAは2004年の設立以来、どのような取り組みを行ってきましたか?

レパサール氏:欧州サイバーセキュリティ庁(これは、上述の「EUサイバー機関」のことでしょうか?)は、2024年に設立から20周年を迎えました。2019年に発効した「EUサイバーセキュリティ法(EU Cybersecurity Act)」に基づき、ENISAの役割と権限が強化され、常設のEU機関となりました。ENISAは、サイバーセキュリティが確保された信頼性の高い欧州の実現に向けた取り組みを主導しています。

ENISAは、EUにおいて高水準のサイバーセキュリティの備えと耐性を確保するための重要な機関であり、専門知識のハブであると同時に、EUのサイバーセキュリティエコシステムにおける主要なプレーヤーでもあります。サイバーセキュリティは多面的な問題であるため、その成熟度を向上させるには包括的かつ動的なアプローチが求められます。

EUサイバーセキュリティ法について説明するガブリエル欧州委員会イノベーション・研究・文化・教育・青少年担当委員(当時)(2019年6月26日、ブリュッセル)©European Union, 2019

サイバーセキュリティ技能の向上と認証の推進

例えば、ENISAはここ数年、サイバーセキュリティ技能の分野に注力してきました。欧州におけるサイバーセキュリティ人材の不足に対応する必要があると認識しており、専門家の能力開発に関する戦略を強化し、「欧州サイバーセキュリティ技能フレームワーク(European Cybersecurity Skills Framework: ECSF)」を導入しました。これはオープンで実用的なツールであり、欧州のサイバーセキュリティ専門家に求められるタスク、能力、技能、知識を特定し、明確化するための支援を行います。このツールを活用することで、同分野に関する専門用語や専門家の役割について共通の理解を持てるようになり、欧州全体でサイバーセキュリティ教育の調和を図り、サイバーセキュリティが確保された未来を効果的に築くことを目指しています。

ENISAは、EU全域で統一されたサイバーセキュリティ認証が企業やユーザーに利益をもたらし、特に経済や社会のサイバーセキュリティの成熟度に直結することを理解しており、認証の分野で進展を遂げ、認証スキームの開発においていくつかの重要なマイルストーンを達成しました。今年の大きな成果の一つは、コモンクライテリア(情報機器や情報システムなどのセキュリティを評価するための基準を定めた国際規格)に基づく初の「サイバーセキュリティ認証スキーム(European Cybersecurity Certification Scheme for Common Criteria: EUCC)」の採択です。また、ENISAは「クラウドサービスの欧州サイバーセキュリティ認証スキーム(European Cybersecurity Certification Scheme for Cloud Services:EUCS)」の草案作成にも取り組んでいるほか、5Gに関するサイバーセキュリティ認証スキームにも取り組んでいます。

最近、欧州委員会がENISAに「EUデジタルIDウォレット(EUDI)」認証の支援を要請したことが発表されました。このプロセスにおいて、ENISAは「アドホックワーキンググループ(Ad-Hoc Working Groups)」の支援を受けるとともに、欧州委員会、EU加盟国および関連するステークホルダーと緊密に連携しています。

加盟国支援と実践演習

ENISAは、「サイバーセキュリティ支援アクション(Cybersecurity Support Action)」プログラムを通じて、EU加盟国が大規模なサイバーセキュリティ事案や危機を防止、検知、対応する能力を向上させる取り組みに関わっています。同プログラムは、加盟国が事前の準備能力(ex-ante)と事後の対応能力(ex-post)を強化するためのサイバーセキュリティサービスを提供するための基金です。

EUにおける準備能力と対応能力の向上を目指して、ENISAは2010年から「サイバー・ヨーロッパ(Cyber Europe)」演習を実施しています。この演習は2年ごとに2日間開催され、大規模なサイバーセキュリティ事案がサイバー危機へと発展する状況をシミュレーションし、欧州全域での協力体制と危機管理能力を検証するものです。

ENISAの新たな役割

「EU全域におけるサイバーセキュリティの共通の高水準を確保するための措置に関する指令」すなわちNIS2指令(NIS2 Directive)により、ENISAにはさまざまな新たな任務が追加されました。ENISAは、同指令の規定をEU加盟国が実施できるよう支援するとともに、欧州全体での調和を促進することを主な目的としています。その一環として、デジタルインフラ事業者向けに、セキュリティ対策やインシデント報告に関するNIS2実施規則の技術ガイドラインの作成作業を行ってます。ただし、このガイドラインに拘束力はありません。

ENISAは、EU加盟国間におけるサイバーセキュリティ分野の政策協力を推進するための「NIS協力グループ(Network and Information Systems Cooperation Group)」に積極的に参加しており、8つの技術的作業部会全てのメンバーであるとともに、これらを束ねる事務局も担当しています。

NIS2指令で新たに導入された任務の中には、EUの脆弱性データベースやデジタル事業者登録簿の開発、そしてEUにおけるサイバーセキュリティの現状に関する初の隔年報告書の作成が含まれています。また、コンピュータ・セキュリティ・インシデント対応チーム(Computer Security Incident Response Team:CSIRTs)ネットワークの事務局および欧州サイバー危機連絡組織ネットワーク(European Cyber Crisis Liaison Organisation Network:EU-CyCLONe)の事務局としても活動しています。

このほかENISAの業務には、毎年発行される「脅威全体像報告書(Threat Landscape Report)」および「2030年のサイバーセキュリティ脅威予測(Foresight Cybersecurity Threats for 2030)」の作成が含まれます。これらの2つの報告書は、進化するサイバーセキュリティエコシステムを理解し、サイバーセキュリティが確保された未来を築くための重要な基盤となるものです。

欧州委員会のブルトン域内市場担当委員(前列中央、肩書は当時)と写真に納まるENISA職員ら(2024年6月20日、アテネ)©European Union, 2024

Q2. EUが2020年に発表した新たなサイバーセキュリティ戦略について教えてください。

デ・ヴィロン氏:新たな地政学的状況とデジタル化の進展により、欧州のサイバーセキュリティにおける脅威が大きく変化しています。このため、欧州委員会は2020年に意欲的なサイバーセキュリティ戦略を発表し、サプライチェーンのセキュリティといった新たな地球規模の課題に対応することを目指しています。

まず、同戦略では、EUの重要インフラやその他の主要な経済主体を保護するために、NIS指令の大幅な改定を提案。また、製品セキュリティ要件に関する新たな取り組みの基盤を整えました。その結果、わずか2年後の2022年、欧州委員会は画期的な「サイバーレジリエンス法(Cyber Resilience Act:CRA)」を提案、2024年10月に発効しました。これは世界初の包括的な製品セキュリティ法であり、デジタル製品の安全性要件を定めています。

その他の注目すべき取り組みには、最も重要な通信ネットワークを保護することを目的とした5Gサイバーセキュリティに関するEUツールボックスの策定や、サイバー脅威をより迅速に検知、予防、対応するための国境を越えたセキュリティオペレーションセンター(Security Operations Centres: SOC)のネットワーク構築などがあります。

最後に、ロシアによるウクライナへの一方的な侵略を受け、大規模なサイバーセキュリティ事案のリスクが高まっています。このような状況を踏まえ、欧州委員会が2023年4月に「サイバー連帯法(Cyber Solidarity Act)」を提案し、2024年12月2日、EU理事会はこの法案を正式に採択しました。同法案は前述の取り組みを基盤とし、EU全体で共通の状況認識と対応能力を強化することを目的としています。

EUサイバーセキュリティ戦略に関して記者会見を行う(左から)ボレルEU外務・安全保障政策上級代表、スキナス欧州的生き方を推進する担当委員、ブルトン域内市場担当委員(いずれも当時)(2020年12月16日、ブリュッセル)©European Union, 2020

レパサール氏:2020年のEUサイバーセキュリティ戦略は、EU全体のサイバーセキュリティを向上させ、進化するサイバー脅威に対する備えと回復力を強化することを目的として策定されました。この戦略は、これまでの成功と進歩を基に、サイバー脅威の防止、抑止、対応のための運用能力を強化するとともに、オープンで安全なサイバー空間の実現に向けた国際協力を推進するための規制措置、投資、政策イニシアチブの実施を提案しています。

この戦略の成果として、NIS指令の改定やサイバー・レジリエンス法の策定といった法整備が進み、それに伴いENISAの役割と責任もさらに拡大されました。ENISAは新たな任務を歓迎、EUにおけるサイバーセキュリティを最優先事項とする取り組みの新時代の幕開けを象徴しています。

同戦略はEUのサイバーセキュリティを強化するのに貢献してきましたが、対象期間が2025年までのため、EUは間もなく新たな戦略の策定に着手する必要があります。サイバー脅威は従来以上に複雑化しており、現在ではサイバーセキュリティが平和と安全保障に直接関わる地政学的な課題となっています。そのため、私たちの考え方にもこれを反映させる必要があります。

Q3. EUのサイバーレジリエンス法は日本企業にどのような影響を与えるでしょうか?

デ・ヴィロン氏:サイバーレジリエンス法は、欧州市場に出回るほぼ全てのハードウェアおよびソフトウェア製品を対象とし、製造業者がEU域内外のどこに拠点を置いているかを問わず適用されます。この法案は、包括的なセキュリティ・バイ・デザイン(設計段階からのセキュリティ対策)要件を導入し、IT企業に公平な競争環境を提供します。特に、サイバーセキュリティに真剣に取り組みたいと考えながらも、これまで競争力への影響を懸念して踏み出せなかった製造業者にとって、大きな機会となるでしょう。

レパサール氏:一般的に、製造業者はデジタル要素を含む製品について、自己評価または第三者による適合性評価を行うことが義務付けられており、サイバーレジリエンス法の規制対象になります。認証済みの製品、特にEUサイバーセキュリティ認証スキームで認証された製品については、同法の影響は最小限に抑えられると考えられます。ENISAは、サイバーセキュリティ認証スキームとサイバーレジリエンス法の間で、サイバーセキュリティおよび適合性評価の関連性を整理する作業を行っています。

Q4. サイバーセキュリティに関して、EUと日本はどのような協力関係にありますか?

デ・ヴィロン氏:EUと日本は、この分野で非常に緊密に協力しています。「日・EUサイバー対話」(第1回会合は2014年10月)は、双方がそれぞれのサイバーセキュリティ戦略について議論し、ベストプラクティスを共有するハイレベルなフォーラムです。また、この協力は国連をはじめとする国際的な場でも展開されています。2024年11月11日には、第6回目の会合が東京で開催され、日・EU双方のサイバーセキュリティ戦略・政策、サイバー分野における課題、両者および国連などの多国間での協力、能力構築支援などについて意見交換が行われました。

Q5. EUはサイバーセキュリティ分野の人材不足と女性参画率の向上にどのように取り組んでいますか?

デ・ヴィロン氏:EUは、加盟国および世界全体でサイバーセキュリティ専門家が不足していることを認識しています。欧州委員会が実施した調査によると、この分野で適切なスキルを持つ人材を採用する際の最も一般的な課題は、「求められるスキルを備えた候補者の不足」(45%)と「応募者の不足」(44%)であることが明らかになりました。

この問題に対処し、加盟国が人材不足に対応できるよう支援するため、欧州委員会は2023年4月に「サイバーセキュリティ・スキルアカデミー(Cybersecurity Skills Academy)」構想を立ち上げました。

このアカデミーでは、市場調査を通じて現状を正確に把握し、求められる専門家の役割を明確にするとともに、サイバーセキュリティのスキル開発を支援するため、EUおよび各国の資金提供プロジェクトを特定し、特に成功を収めた案件への支援を強化するなど、さまざまな活動が開始されています。

サイバーセキュリティ分野の仕事は、技術的なイメージに対する誤解が影響し、女性の参入が進んでいません。この分野の卒業生に占める女性の割合は20%にとどまり、欧州委員会の調査では、56%の企業がサイバーセキュリティ職に女性が全くいないと回答しています。

この問題に対処するため、EUは2019年に「デジタル分野における女性の活躍宣言(Women in Digital Declaration)」を発表。この宣言は、デジタル技術分野で女性が積極的かつ重要な役割を果たし、サイバーセキュリティ職における男女格差を解消することを目指しています。さらに、例えば、EUが支援するイニシアチブ「Women4Cyber」のように、メンター制度を通じてロールモデルを構築し、サイバーセキュリティ分野に女性を引きつける取り組みや、ジェンダーに関する固定観念を払しょくする取り組みも進めています。

レパサール氏:ENISAは、現職労働者の再教育とスキル向上、さらには次世代のサイバーセキュリティ専門家の育成に向けた活動を主導しています。その中心的な取り組みとして、「欧州サイバーセキュリティ技能フレームワーク(European Cybersecurity Skills Framework: ECSF)」を活用し、包括的で体系的なアプローチを提供しています。具体的には、「欧州サイバーセキュリティ技能会議(European Cybersecurity Skills Conference)」をこれまでに3回開催し、また「#ECSFtalks」というイニシアチブの下で多数のウェビナーを実施しています。

さらに、全てのEU加盟国が参加できる専門的トレーニングや演習の機会を提供し、重要なセクターのステークホルダーに焦点を当てた活動も展開しています。これまでに、公的機関や民間企業の従業員を含む数千人に対してトレーニングが実施されました。

この分野における多様性を積極的に支援するため、ENISAは女性専用の専門的な研修や知識構築ワークショップを実施し、「ECSC – Cyber-Girls」と題した一連のバーチャル会議を開催しました。この会議では、「欧州サイバーセキュリティ・チャレンジ(European Cybersecurity Challenge: ECSC)」の元参加者たちが自身の経験や、女性の役割について議論しました。さらに、2023年には、サイバーセキュリティ分野での多様性と包括性を一層推進するために、#CyberALLキャンペーンを開始しました。

ENISAは、現在のスキルギャップを解消するための最も効果的な戦略は、次世代のサイバーセキュリティ専門家を育成することだと認識しています。その実現に向けて、ENISAは毎年「欧州サイバーセキュリティ・チャレンジ(ECSC)」を開催しており、2024年にはイタリア・トリノで10周年記念大会が行われました。旗取りゲーム(Capture The Flag:CTF)形式で実施されたこの大会では、現実のサイバーセキュリティ問題をゲーム化し、幅広いテクノロジーやプロトコルを扱う課題が提供され、13歳~25歳の若者たちが熱戦を繰り広げました。

2024年には、欧州各国のチームに加え、米国、カナダ、コスタリカ、コソボ、オーストラリア、シンガポールの6カ国が参加し、日本、リトアニアおよび英国のオブザーバーチームも加わりました。同イベントに向け、欧州全土で何千人もの若者がサイバーセキュリティの基礎を学び、地域および全国大会を通じて選抜され、最終的にECSCに挑むチームが結成されました。

報道によれば、ECSCに選出された選手たちは、「欧州サイバーセキュリティ技能フレームワーク」で言及されている技能の50%を習得し、さらにEUのサイバーセキュリティ職務記述書に記載されている能力の80%を備えているとされています。また、過去3年間、ENISAは「国際サイバーセキュリティ・チャレンジ(International Cybersecurity Challenge)」に参加する欧州チームの訓練も実施し、その能力向上に貢献してきました。

スキナス欧州委員会副委員長(前列右から4人目、肩書は当時)と記念撮影する国際サイバーセキュリティ・チャレンジの優勝者たち(2022年6月17日、アテネ)©European Union, 2022

Q6. EUが「Kunoichi Cyber Game」にチームを派遣した動機、そしてメンバー構成について教えてください。

レパサール氏:EUは、国際的な協力を促進し、サイバーセキュリティ強化に向けた知識や専門知識の共有を推進する取り組みを常に支援しています。「Kunoichi Cyber Game」は、まさにサイバーセキュリティ分野における女性の参加を促進することを目的としたプラットフォームの一例です。私たちは、これが今後の長い道のりの始まりであり、将来の国際的な協働へとつながることを期待しています。

「Kunoichi Cyber Game」に参加した欧州チームは、欧州対外行動庁(EEAS)から全面的に資金提供を受け、ENISAが編成・訓練しました。メンバーは、デンマーク、イタリア、ポーランド、ポルトガル、ハンガリー出身の20歳~24歳の学生で構成されています。チームの指導には、サイバーセキュリティの専門家であるコーチがボランティアで参加。ギリシャ、イタリア、オランダ出身の女性のサイバーセキュリティ専門家で、インシデント対応、脅威インテリジェンス、サイバーセキュリティ教育の分野で活躍し、CTFにおける実績を持っています。

ENISAは、過去3年間、女性のみを対象としたトレーニングプログラムやCTFを実施してきました。現在、サイバーセキュリティ分野においては大きな男女格差がありますが、このような活動が、より多くの女子学生にこの分野でのキャリアを追求するきっかけとなることを期待しています。

クリスティアン・キルケテルプ・デ・ヴィロン(Christian Kirketerp de Viron)

コペンハーゲン大学で政治学を学んだ後、2006年に欧州委員会に入職。研究・科学・イノベーション担当のカルロス・モエダス欧州委員の補佐官を務め、2019年~2022年、予算・行政担当のヨハネス・ハーン委員の閣僚補佐官として、EU機関のデジタル変革やサイバーセキュリティ、研究・イノベーション、デジタル政策、教育、宇宙、防衛に関する政治的助言を担当。
2022年には、サイバーセキュリティおよびデジタルプライバシー政策のユニット長に就任し、サイバーセキュリティ分野における重要インフラの回復力、製品セキュリティ、サイバー防衛、国際協力に取り組む。
2024年7月からは、欧州委員会の通信ネットワーク・コンテンツ・技術総局(DG CONNECT)でデジタル社会・信頼・サイバーセキュリティ担当の総局長を務める。

ユハン・レパサール(Juhan Lepassaar)

2019年10月、欧州連合サイバーセキュリティ機関(European Union Agency for Cybersecurity: ENISA)の事務局長に就任。ENISAに入職する前は、欧州委員会で6年間勤務し、デジタル単一市場担当のアンドルス・アンシップ副委員長の内閣長官としてサイバーセキュリティ法案の準備と交渉を主導した。

また、エストニア政府では、EU政策局長兼首相のEU顧問として5年間、国家EU調整システムの運営とサイバーセキュリティ政策の策定に貢献した。

人気記事ランキング

POPULAR TAGS