Google Cloud の NIS2 への対応と欧州のサイバー エコシステムの強化への貢献

※この投稿は米国時間 2023 年 2 月 15 日に、Google Cloud blog に投稿されたものの抄訳です。

オンライン データの盗難は、世界中、そして欧州の組織にとって重大なリスクとなっています。欧州連合サイバーセキュリティ機関（ENISA）の 2022 年 7 月のレポートによると、欧州の企業は、サイバー盗難によって毎月約 10 テラバイトのデータを失っています。また、サイバー攻撃は、欧州の企業と消費者に年間推定 1,800 億から 2,900 億ユーロの損害を与えています。

この脅威と闘うために、EU はポリシーによる代表的な施策としてネットワークと情報システムのセキュリティに関する指令 2.0（NIS2）を可決し、1 月に施行しました。NIS2 は、地域全体でサイバーセキュリティのベースライン レベルを引き上げる EU のこれまでの取り組みに基づくものです。エネルギー、ヘルスケア、金融サービス、デジタル インフラストラクチャなどの重要な分野で事業を行う企業に対し、新しいセキュリティ要件を提示しています。この指令は、Google Cloud などのクラウド サービス プロバイダに新たな義務を課すものです。Google Cloud は NIS2 を、ランサムウェアや産業スパイなどの脅威から消費者、行政機関、企業を保護することを目指す欧州の戦略上、不可欠な第一歩であると認識しています。

NIS2 が欧州理事会と欧州議会によって採択された今、プロセスは EU に加盟する 27 か国に移り、各国は 2024 年 10 月までに指令を国内法に成文化する必要があります。しかし、その道のりは平坦ではありません。元の NIS 指令に比べ、NIS2 は規制対象組織の数を 10 倍以上に膨らませる可能性があります。この拡大は、あらゆる規模の組織に新たなコンプライアンスの課題をもたらし、監視と執行を担当する国家サイバーセキュリティ当局の負担を増加させる恐れがあります。

NIS2 で規制対象となる法人として、Google Cloud は、そのクラウド プラットフォームとセキュリティ ツールを最高水準のコンプライアンスに対応させるよう取り組みを進めています。Google Cloud は、自らのコンプライアンスの取り組みを支えるために、リスク ガバナンス、インシデント報告、脆弱性管理の成熟したプロセスの開発に 10 年を超える歳月を費やしてきました。また、国家レベルでの NIS2 の履行を推進するために、ゼロトラスト アーキテクチャ、ソフトウェア サプライ チェーン セキュリティ、コンプライアンスの自動化、脅威インテリジェンスなどの分野で知識とベスト プラクティスを共有するべく、国家当局との連携に力を注いでいます。

Cloud On Europe’s Terms イニシアチブの一環として、規制、デジタル主権、サステナビリティ、経済の各面での目標を満たすクラウド ソリューションを提供することで、欧州の政府や企業との信頼関係構築に引き続き重点を置いていきます。

お客様にとって NIS2 が意味するもの

NIS2 は、2016 年の NIS 指令を土台として、より広い範囲を適用対象とするとともに、より広範な要件を規定しています。厳格さを増したサイバーセキュリティ基準は、欧州のデジタル エコシステムにとって必要かつ前向きな前進であるといえます。しかし、NIS2 のコンプライアンス基準を満たすには、Google Cloud のお客様を含む多くの欧州企業は、セキュリティ ツールとプロセスに新たな投資を行い、セキュリティ ベースライン全体を底上げすることが必要となる可能性があります。これは、リソースに制約のある中規模の組織にとっては簡単なことではありません。

運命共有モデルの一環として、Google Cloud は、サイバーセキュリティの成熟度を向上させ、より厳格になった NIS2 のインシデント報告とリスク管理の要件を満たすために必要なツールと専門知識をお客様に提供します。あらゆる規模のお客様が、コンプライアンスに独力で取り組むのではなく、信頼できるアドバイザーおよびパートナーとして Google Cloud を活用できます。Google Cloud は、デフォルトで安全性が確保されたインフラストラクチャ、展開可能なブループリントとフレームワーク、トレーニング リソースとワークショップ、合理化されたコンプライアンス ツールやプロセスを提供します。

インシデント報告: NIS2 は、運用の中断、財務上の損失、または物理的損害の観点から重大な影響があるサイバー インシデントについて、管轄の国家当局および関連する顧客に通知するためのフレームワークを策定しています。重大なインシデントが発生した場合、対象組織は 24 時間以内に最初のレポートを提出する必要があります。これは、その組織の報告能力が試される要件です。その後、より詳細なレポートを 72 時間以内に提出し、包括的な最終レポートを 1 か月以内に提出する必要があります。

Google Cloud は、厳格なプロセス、世界クラスの人材、多層的な情報セキュリティ、プライバシー インフラストラクチャを組み合わせた業界最高水準のインシデント対応機能を通じて、NIS2 のより厳格な報告要件を満たせるよう取り組んでいます。業界のベスト プラクティスや NIS2 などの進化する規制に基づいて、インシデント管理へのアプローチを定期的に見直しています。このような要件を満たす必要があるお客様は、インシデントを早期に報告するために、Security Command Center などの洗練されたツールを活用できます。たとえば、構成ミスや脆弱性を個別にモニタリングし、コンプライアンス レポートを自動的に生成して、データを Chronicle Security Operations などの SIEM / SOAR プラットフォームと共有できます。

リスク管理と責任: 2016 年の NIS 指令に比べて、NIS2 では、規制対象の法人が実装しなければならないリスク管理手段の点ではるかに規定が厳しくなっています。NIS2 では、リスク分析、インシデント処理、サプライ チェーン セキュリティ、脆弱性管理、暗号化、セキュリティ意識向上トレーニング、アクセス管理、多要素認証などの多くの分野に関するポリシーを、まだ策定していない場合は策定するよう対象組織に要求しています。さらに、こうしたポリシーが組織の最高統制機関によって承認される必要があるとしています。これは、サイバー リスクとその対策について社内の透明性を高めることを目的とした動きです。  

NIS2 は、サイバーセキュリティとコンプライアンスの要件の実装に関するアカウンタビリティを、規制対象組織の上級管理者に直接負わせています。アカウンタビリティとは、場合によっては主要なリスク管理要件の過失またはそれ以外の理由による不遵守について、管理者に直接責任を負わせることも意味します。

不十分なサイバーリスク管理について個人的に責任を問われる可能性は、一定の懸念材料になりえます。管理者と取締役会は、Google サイバーセキュリティ対応チーム（GCAT）と連携することで、最高の戦略的アドバイザリー サービスを利用して、自信を築き、サイバーセキュリティ チームを成熟させることができます。GCAT は、オンライン コース、コンプライアンス サポート、セキュリティ ソリューション エンジニアリング、展開可能なブループリントとフレームワーク、インタラクティブなワークショップ、インシデント対応演習など、包括的なセキュリティ アドバイザリーとトレーニング リソースを提供しており、管理者はこれらを利用してサイバー脅威に対応する準備を整えることができます。

脆弱性管理: NIS2 では、脆弱性管理とサプライ チェーン セキュリティが規制対象の法人とその管理者の主要なリスク管理責任になります。さらにこの指令は、サイバー脆弱性データベースを構築し、欧州の組織化された脆弱性開示プログラムを監督することを ENISA に課しています。

Google Cloud のようなグローバル クラウド プロバイダと連携する主な利点は、脆弱性のモニタリングと新しいセキュリティ パッチの適用に関して、不確実な予測の多くを排除できることです。セキュリティ運用とインシデント対応のグローバル リーダーである Mandiant と協力して、Google Cloud は、クラウド環境のリスクを評価し、システムの脆弱性について本番環境投入前のテストを行い、インシデントを迅速に修復できるようお客様が支援しています。また、ENISA と協力して、ユーザーを危険にさらすことなく透明性を確保する欧州の組織化された脆弱性開示プログラムをサポートすることにも取り組んでいます。

調整と能力構築: NIS2 は、不可欠なインフラストラクチャを対象とした重大なサイバー インシデントの管理をサポートする主要政府間機関として、欧州サイバー危機連絡組織ネットワーク（EU-CyCLONe）を設置し、ENISA の管理下に置いています。EU-CyCLONe は、各国のコンピュータ セキュリティ インシデント対応チーム（CSIRT）間の中心的な調整ポイントとして運用され、将来の危機に対応する技術的、政治的ステークホルダーをつなぐ組織として機能するものです。

Google Cloud は、EU-CyCLONe、CERT-EU、European Cybercrime Center（EC3）などのサイバーセキュリティ調整機関と連携して、共同の準備演習を支援できるよう取り組んでいます。同様に、NIS2 で新たな規制義務に直面しているお客様やパートナー様と協力しながら、国の規制当局と連携して能力構築の取り組みを支援する機会が持てることを歓迎しています。

Google Cloud は、四半期ごとの Threat Horizons レポートを通じて、お客様と規制当局に脅威の状況に関する分析情報を提供しています。また、サイバーセキュリティを専門とする担当者が EU および加盟国当局のニーズを理解し、専門知識を共有できるよう引き続き取り組んでいきます。

今後の展望

EU 加盟国が NIS2 への移行プロセスを開始する一方で、組織には NIS2 の遵守を証明するための分野ごとのスキームについて未解決の問題が残っており、これは、この法律の実際の運用に大きく影響する可能性があります。

同様に、EU の立法者の役割はまだ終わっていません。インシデント報告義務の発生の引き金となるしきい値など、委任法令や実施法令を通じて明確にすべき重要な内容がまだあります。重要な法人がコンプライアンスへの明確な道筋を見出せるように、世界的に確立されたサイバーセキュリティのベスト プラクティスにこうした詳細を可能な限り一致させることが不可欠です。

EU 加盟国が NIS2 を国内法化する作業に取り組む中、デジタル トランスフォーメーションとサイバーセキュリティは密接に関連していることを心に留めておくことが重要です。Google Cloud は、立法者と国家サイバーセキュリティ当局に対し、制限的なデータ ローカリゼーション対策よりも、グローバルに分散されたネットワーク、デフォルトで安全性が確保されるハードウェアとソフトウェア、ゼロトラスト アーキテクチャ、顧客管理の暗号化ツールを使用して市民のデータを保護する最新の IT インフラストラクチャの採用を通じて、イノベーションと復元力を推進するよう求めています。

世界中の政府が、市民と重要なインフラストラクチャをサイバー脅威から保護するための措置を強化しています。セキュリティの業界リーダーとして、Google Cloud は、こうした進化する要件の実装に懸命に取り組んでいる欧州のパートナー様をサポートする役割を果たしていきます。