【ブログ】NIS2指令と脅威インテリジェンス:準拠していますか?(7/2)
サイバー脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。
Cognyte CTI Research Group@Cognyte | 2024年7月
◆本記事はCognyteによる記事"The NIS2 Directive and Threat Intelligence: Are You Compliant?"の翻訳・編集です。
2023年、世界中で3億4300万人のサイバー犯罪の被害者が発生し、ランサムウェア攻撃による被害者は2022年から2023年の1年間に128%も増加しました。テクノロジー、政府、金融、医療、通信などの業界が最も標的にされており、攻撃の50%が金銭的な動機によるものでした。
サイバー攻撃は急速にエスカレートし、世界で最も多発する犯罪の一つになっているだけでなく、その規模、費用、複雑さも増しています。デジタル環境は急速に進化しており、それに伴いサイバー脅威の性質も変化しています。
このような状況に対応して、欧州連合 (EU) はNIS2指令を導入しました。NIS2指令はサイバー脅威に対するレジリエンスを強化することを目的とした包括的なサイバーセキュリティ法です。この指令は、EU域内だけでなく、EU域外の脅威インテリジェンス活動にも大きな影響を与えます。
本記事では、NIS2指令の概要と脅威インテリジェンスへの影響、また同法案に準拠するためのソリューションを紹介します。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
NIS2指令とは?
NIS2は、ネットワークおよび情報システム (NIS) 指令(2016)の改訂版です。EU加盟国間で一貫したサイバーセキュリティ標準とプラクティスを導入することで、以前の指令がカバーできなかった領域に対処します。この指令は、標準化された高度なサイバーセキュリティを実現するように設計されており、広範なセクターに対して、法的拘束力のあるセキュリティ要件を課しています。
NIS2指令は2023年1月に発効し、EU加盟国が自国の法律を調整する期限を2024年10月に設定しました。
NIS2が組織に適用されるかどうかを確認し、スムーズな移行を実行して罰則を回避するためにコンプライアンス要件を準備する方法について知るために、ぜひこの記事を読み進めてください。
NIS2指令の新しい要素
NIS2指令では、該当する組織は、ネットワークと情報システムに堅牢なセキュリティ対策を採用する必要があります。これにはマルウェア対策ツールの展開、多要素認証 (MFA) の実装、暗号化技術の利用、アクセス制御メカニズムの確立が含まれます。こうした予防的なセキュリティ対策は、組織のリスクを軽減するために不可欠であり、ランサムウェアなどのサイバー脅威に対する障壁として機能します。
インシデントの開示義務
NIS2指令では、セキュリティ侵害が発生した場合、組織は関連する各国当局に速やかに報告することが求められています。これにより、広範なサイバー脅威に対処するためのEU加盟国間の統一されたアプローチが促進されます。
戦略的なサイバーセキュリティフレームワーク
各EU加盟国は、ネットワークと情報システムを保護するための包括的な戦略を策定する必要があります。これには、戦略目標の定義、適切な政策と規制措置が含まれます。
CSIRTの編成
加盟国は、コンピュータセキュリティインシデント対応チーム (CSIRT) を設立する必要があります。これらのチームは、セキュリティインシデントの管理、他の国との重要な情報の交換、新たなサイバー脅威に関する早期警告の発行を担当します。CSIRTは、各国のチームと外部パートナー間のコラボレーションを促進する広範なネットワークの一部を形成します。
法令違反のリスク
NIS2に準拠していない組織には、最大1000万ユーロまたは組織の年間世界売上高の2%のいずれか高額となる方の罰金が科されます。
ICTサプライチェーンとサプライチェーン対策
組織は、ICTサプライチェーンとサプライヤーネットワーク内のサイバーセキュリティの脅威に対処する必要があります。NIS2はサプライヤーを直接管理するわけではありませんが、規制対象のエンティティに製品やサービスを提供する場合は、NIS2のサイバーセキュリティ基準に準拠する必要があります。加盟国は、欧州委員会および欧州サイバーセキュリティ機関 (ENISA) とともに、EU全域の重要なサプライチェーンのセキュリティ評価を実施します。
ビジネスへの影響は?
NIS2指令は、重要なサービスまたはインフラストラクチャに関与する公的および民間のエンティティ、特にEU内で運営されている中規模または大規模企業に分類されるエンティティに適用されます。これには、サイバー攻撃の対象となるセクターの1つである通信や政府などのセクターが含まれます。
一部のエンティティは、その規模に関係なく規制の対象となり、加盟国はNIS2の傘の下に追加のエンティティを含めることができます。この指令は、規制対象エンティティのサプライチェーンにも適用されます。
EU域内に拠点を持つ、あるいはEU域内の重要セクターにサービスを提供する企業は、本指令の影響を受け、対応する必要が生じる可能性があります。
NIS2がどように組織に適用されるかどうかを確認・調査することを推奨します。
NIS2のスコープ 出典:Cognyte
脅威インテリジェンスに与える影響
1. プロアクティブなセキュリティ監視:
NIS2では、プロアクティブなセキュリティ監視が重視されています。脅威インテリジェンスチームは、予測分析を使用して潜在的な脅威を予測し、軽減するために、警戒心を持ち、予防的に行動する必要があります。
2. コラボレーションの強化:
NIS2は、サイバー脅威との戦いにおけるコラボレーションの重要性を強調しています。よって、EU加盟国間の情報共有フレームワーク確立が謳われています。これにより、当局はサイバー攻撃の性質と範囲をよりよく理解し、対応を調整することができます。
3.報告要件の厳格化:
対象エンティティは、重大なインシデントを認識してから24時間以内に、国家機関またはCSIRTに初期報告または「早期警告」を提出する必要があります。エンティティは、この厳しいスケジュールに準拠するために、脅威インテリジェンスに対してより積極的なアプローチをとる必要があります。
4.規制の範囲の拡大:
NIS2には、これまでのEUのサイバーセキュリティ規制よりも多くの業界が含まれており、中規模および大規模企業向けのガイドラインが設定されています。これにより、より多くのセクターとエンティティに対し、堅牢な脅威インテリジェンス機能を採用することが求められます
5.監視と規制の強化:
規制当局は、実地検査を含む、重要な調査と監督の権限を持ちます。組織は、より高い基準の透明性とサイバーセキュリティ規制への準拠を要求されます。
他のEU法との関係
NIS2指令は、EUのサイバーセキュリティフレームワークの重要なコンポーネントです。これには、重要エンティティー・レジリエンス (CER) 指令(外部リンク)と金融セクター向けのデジタル運用レジリエンス法 (DORA)(外部リンク)が含まれます。
NIS2には、CERとDORAの両方によって規制される業界が含まれており、重要エンティティの物理的およびサイバー領域におけるレジリエンス対策が包括的な方法で対処されるようになっています。
CER指令で重要とマークされたエンティティは、NIS2のサイバーセキュリティ要件にも拘束され、DORAによって規制される金融セクターはNIS2に含まれています。さらに、NIS2は、3つの規制を担当する各国の規制当局間の情報交換を促進します。
この統合されたアプローチは、EUのサイバーセキュリティポリシーを調和させ、サイバー脅威に対する回復力のある協調的な防御を確保します。
Cognyte Luminarを活用したNIS2指令対応
CognyteのLuminar脅威インテリジェンス・ソリューションは、NIS2の要件に準拠するために必要な、高度な脅威インテリジェンス機能を組織に提供します。
Luminarは、セキュリティおよびリスク管理の責任者が脅威の状況を可視化し、脅威の発生前、発生中、発生後に適用できるタイムリーで正確かつ実用的な洞察を抽出できるようにする、AI主導の外部脅威インテリジェンスソフトウェアです。
Luminarは、SOCチームに対象を絞った脅威データと、高度なインテリジェンス、独自のデータレイクへのアクセスを提供し、より迅速に対応し、脅威をより効果的に軽減できるようにします。
NIS2に準拠するためにLuminarがどのように役立つかを次に示します。
• サイバー脅威の早期検出:
脅威を早期に発見するLuminarの能力は、サイバーセキュリティへの予防的なアプローチを実装するために不可欠です。Luminarは、広範な外部可視性を提供することで、組織が潜在的な敵対者の活動、ツール、計画を深く理解できるようにします。また、組織の資産とリソースのうち脆弱なものを特定し、サイバー脅威に事前に対処できるようにします。
• 脅威の優先順位付け:
Luminarの分析主導型アプローチは、生データをコンテキストに基づく実用的インテリジェンスに変換します。これにより、組織はNIS2指令の重要な側面である脅威を効果的に事前に特定し、優先順位を付けることができます。
• 包括的なカバレッジと継続的な監視:
Luminarは広範なカバレッジを提供し、サーフェスWeb、ディープweb、ダークWeb、クローズドフォーラム、メッセージング・プラットフォームで脅威を監視します。継続的な監視は、進化する脅威の状況に適応し、SOCが潜在的なリスクを先回りして対応できる能力を提供します。
• 高度な脅威管理:
Luminarの脆弱性インテリジェンス・モジュールは、脆弱性悪用のリスクの軽減と、脆弱性の修正プログラムの優先順位付けの両方を支援します。
CVEの独自リスクスコアリングに基づく脆弱性の抽出を行い、内部と外部双方の脅威を可視化することで、脅威インテリジェンスに対する堅牢なアプローチを提供します。これにより、組織はタイムリーで包括的かつ対象を絞った脆弱性インテリジェンスを取得し、脅威を軽減および防止できます。
これは、サイバーセキュリティに対するリスクベースのアプローチを重視するNIS2指令の方針と一致しています。
• 防御とリスク軽減の強化:
Luminarのカスタマイズされたリアルタイムダッシュボードと自動監視は、脅威インテリジェンスのライフサイクル全体をカバーし、攻撃者の身元、動機、手法に関する顧客向けの洞察を提供します。これにより、NIS2準拠に不可欠な組織の全体的なセキュリティ体制が強化されます。
• 外部攻撃対象領域の管理(外部アタックサーフェス管理):
Luminarを使用すると、組織の資産を識別、分類、監視し、保護することができます。組織の外部攻撃対象領域(アタックサーフェス)全体を包括的に監視および管理できます。また、盗まれたアクセス認証情報(クレデンシャル)が取引されるマーケットを継続的に監視し、重大な脆弱性に迅速に対処できるようにします。
• 自動レポート:
Luminarの自動レポート機能を使用すると、アナリストはスナップショットレポートを瞬時に作成して、関係者と迅速かつ簡単に共有できます。これにより、NIS2の厳格な早期レポート要件に簡単に準拠できます。
結論
NIS2指令は、サイバーセキュリティの強化に対するEUの取り組みを大きく前進させるものです。この指令は、DORAやCER指令などの他の指令と同様に、重要なセクター全体で脅威インテリジェンス対策が自主的なものから義務的なものに移行することを示しています。
脅威インテリジェンスは、重要なエンティティにとってもはや任意ではなく、法的義務となり、遵守しない場合には厳しい罰則が適用されます。
これに対応して、組織は規制要件を満たすために積極的なアプローチを採用する必要があります。
CognyteのLuminar脅威インテリジェンス・ソリューションは、予防的なサイバー防御を構築するためのツールを組織に提供し、NIS2指令に準拠するだけでなく、サイバー脅威に対する総合的なレジリエンスを強化します。
また、EU域内に拠点を持つ、あるいはEU域内の重要セクターにサービスを提供する企業は、本指令の影響を受け、対応する必要が生じる可能性があります。
NIS2がどように組織に適用されるかどうかを確認・調査することを推奨します。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
参考ソース
- https://www.forbes.com/advisor/education/it-and-tech/cybersecurity-statistics/
- https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333
- https://www.ey.com/en_ie/are-you-ready-for-nis2-how-will-it-impact-your-organisation-are-you-prepared
- https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs
- https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3992
- https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en
- https://www.meti.go.jp/policy/netsecurity/NIS2.pdf