{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
セキュリティサービスプロバイダーに関する規制動向
セキュリティ脅威や、それに関連するコンプライアンスリスクが増大している昨今、セキュリティ管理をアウトソースする企業が増加しています。このような状況下において、多数のクライアント企業のシステムやデータにアクセスする可能性があるマネージドセキュリティサービスプロバイダー(MSSP)は、サイバー攻撃者にとって格好のターゲットになっています。
こうした脅威動向を踏まえ、世界各国はサプライチェーンリスク管理の一環としてセキュリティサービスプロバイダーに対するセキュリティ上の規制の制定に取り組んでいます。本稿では、他のデジタル分野の規制でもグローバルをリードしている欧州におけるセキュリティサービスプロバイダー規制について解説します。
セキュリティサービスプロバイダーに対する二重規制
欧州におけるセキュリティサービスプロバイダー規制を理解する上では、セキュリティサービスプロバイダーが欧州において重要インフラとみなされていることと、重要インフラに対してICTサービスを提供するサードパーティとも位置付けられることの2つの側面を理解する必要があります。欧州ネットワークおよび情報システム指令2(NIS2)では、マネージドセキュリティサービスプロバイダー(MSSP)はICT製品や情報システム、ネットワークなどにおけるサイバーセキュリティリスク管理関連のサービスを提供する事業者と定義されており1、この定義に該当する場合、上記の2つの側面から規制対象となります。
MSSPは2024年10月に施行予定のNIS2が定義する重要インフラに含まれており、社会のレジリエンスに対して責任を有する事業者として規制対象となります。同時に、MSSPは重要インフラに対してセキュリティサービスを提供する事業者として、重要インフラを取り巻くサプライチェーン保護の観点から欧州サイバーセキュリティ法(CSA)改正案2で定められる認証制度の対象となっています。改正案は2024年4月の欧州議会で承認され、今後施行に向けて手続きが進むと見込まれています。以下では、それぞれの規制の概要を紹介します。
重要インフラとしてのMSSP規制の概要
前述したように、NIS2においてMSSPは重要インフラとして規制対象となっています(概要は図表2参照)。MSSPは、NIS2が定める情報セキュリティ管理・コンプライアンス・従業員のトレーニングを含むガバナンス、IDアクセス管理、セキュアな開発、アプリやインフラのセキュリティを含むサイバーセキュリティリスク管理対策、24時間以内の早期通知と72時間以内のインシデント報告などを含むインシデント発生時の対応義務を確実に果たせるように対策を講じる必要があります(図表3参照)。
サプライチェーン上の事業者としてのMSSPに対する認証制度概要
欧州において成立に向けて調整が進むCSA改正案はMSSPを認証対象として定義するもので、MSSPに対する認証規格は今後制定される予定です3。しかし、CSA改正案は認証規格が満たすべきセキュリティ目標を定めているため、今後MSSPに求められる要件を理解する上でのヒントとなります(図表4参照)。CSAが求めるセキュリティ目標としては、サービス従事者が適切な能力を有すること、品質維持に必要な内部統制を実施すること、サービス提供におけるデータの完全性を維持すること、インシデント発生時のレジリエンスを確保すること、アクセスを管理すること、サービス提供のログを保持すること、使用する機器やプロセスなどがデフォルトでセキュアであることなどが挙げられています。
認証を取得する上で目指すべきセキュリティ目標は共通ですが、認証の保証レベルはMSSPに想定されるリスクと対応したBasic、Substantial、Highの3段階に区分されています。保証レベルによって審査内容が異なり、例えば重要なスキルとリソースを持つ攻撃者による攻撃リスクを想定する場合は、ペネトレーションテストによるレジリエンス評価が要求されます。MSSPは、クライアントの要求を踏まえて保証レベルを検討する必要があります。
また、NIS2では欧州加盟国が自国の規制対象となる事業者に対し、CSAの下で運用される認証を受けた事業者からICTサービスやプロセスを調達することを要求できると定められています。NIS2の規制対象に対してサービスを提供するMSSPは、サービス提供先の地域において認証の取得が要求されていないか確認する必要があります。
また、NIS2の個別法として金融機関の安定的な操業を確保するために制定された欧州デジタルオペレーションレジリエンス法(DORA)4についても注意する必要があります。同法では金融機関に対して情報通信技術(ICT)を通じてデジタルおよびデータサービスを提供するプロバイダーへの規制を定めています。具体的には、ICTリスク管理、インシデント報告、ICTシステムのレジリエンステスト、サードパーティリスクの管理、脅威情報の共有などが求められます。日本企業であってもEU内に拠点を置く金融機関、EUの金融機関にサービスを提供するMSSPを含むICTサービスプロバイダーは対象となるため、2025年初頭までに準拠する必要があります。
まとめ
欧州におけるセキュリティサービスプロバイダーに対する規制に対応する上では、第1に自社事業がNIS2などにおけるMSSPに該当するか否かを特定する必要があります。その上で、MSSPの2つの側面を理解し、それぞれに求められる義務に対応する必要があります。今後MSSPは社会のレジリエンスに責任を持つ重要インフラとして直接セキュリティ上の義務が課されるでしょう。それに加えて第2に、他の重要インフラを支えるサプライチェーンの一部となる場合はCSAの下で適切な認証を受け、自社のセキュリティ水準の高さを証明することが求められます。
欧州でビジネスを行うセキュリティサービスプロバイダーは、2024年10月に向けた各国のNIS2施行状況やCSA改正案の施行に向けた動向を注視しつつ、自社ビジネスに適用される規制への適合に必要なセキュリティ上の要件と現状のギャップを把握し、対応していく必要があります。特に、MSSP向けの認証規格成立後に速やかに認証を取得することは、自社の十分なセキュリティ水準の証明を通じたブランディングの観点からも有益と考えられます。
1 NIS2 Directive (Directive (EU) 2022/2555), 2024年5月30日閲覧,
https://eur-lex.europa.eu/eli/dir/2022/2555
2 Briefing EU Legislation in Progress Managed security services, 2024年5月30日閲覧,
https://www.europarl.europa.eu/RegData/etudes/BRIE/2023/754556/EPRS_BRI(2023)754556_EN.pdf
3 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) 2019/881 as regards managed security services, 2024年5月30日閲覧,
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52023PC0208
4 Digital Operation Resilience Act, 2024年5月30日閲覧,
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R2554&from=FR
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
