ベルリンでのトラストサービスフォーラムの出張メモです。
トラストサービスフォーラムは、ENISAが、D-TRUSTと共同で開催している会議になり、今年が、4回目になります。10月23、24日とベルリンで開催されました。具体的な紹介は、こちらになります。
出席者は、120-30名という感じでしょうか。
スケジュールとプレゼンテーションの各ファイルは、こちらからダウンロードできます。
では、早速、午前中の前半のセッション(1000-1115)をみていきましょう。
1 歓迎の言葉(Anders Gjøen)
最初の導入は、Anders Gjøenさんです。スライドは、こちらです。
私たちは、デジタル社会におけるトラストがいたるところで、役に立っているのをみることができます。
EIDAS規則を簡単に見るとすると、二つの章が異なった規則と要件を述べているということになります。2章は、eID手段の相互認証であり、3章は、電子トラストサービスです。さらに9章では、電子ドキュメントについて述べられています。(スライド3頁目)
2018年には、電子署名も進歩しています。トラストリストを一覧でみることができ、サクセスストーリーにもなりました。接続ツールの準備や認証のテストケースが準備されています。また、協力ネットワークにおける意見が準備されています。協力がなされているエリアとしては、専門家グループ、ETSI、ENISA、産業界、国連、第三国などがあります。
eIDASの果たしている役割は、マネーロンダリング指令(AML5)、PSD2指令、越境における一回限り原則、デジタルにける顧客知しゅうの原則、会社法、虚偽情報対応、GDPR対応などがあります。(16頁目)
加盟国における大規模なパイロットプロジクト(PEPPOLやSTORK)があって、それらが、ボトムアップで、個々のサービスに提供されるのに対して、eIDAS規則は、上から法として枠組を与えています。
CEF(Connecting Europe Facility)は、eIDと電子署名において、種々の提案をなそうとしています。
次は、何になるのでしょうか。グローバリゼーション、スムーズな経験への需要が増加しており、その一方で、個人情報の利用についての懸念があります。 デジタルアイデンティティの市場は、混雑し、大変化しています。公的部門と民間の依存は、相互に高くなっており、サイバーセキュリティのリスクが増加するとともに、新規技術は、勃興しています。これらが、eIDやトラストサービスの進化をもたらす要因といえるでしょう。
EUは、未来への投資をなしています。
2 eIDAS規則-曲がり角を曲がって(Andreas Mitrakas)
このスライドは、こちらです。
EU戦略の全体像があります(同スライド2頁目から)。
中心にデジタル単一市場、サイバーセキュリティ戦略を起き、それをNIS指令、GDPR、eプライバシー規則提案、サイバーレジリアンス・競争的・イノベーテヤブなサイバーセキュリティ育成、eIDAS規則が取り囲んでいるわけです。
ENISAは、この戦略のなかで、重大な役割を示しています。その図解をみてみましょう(スライド3頁目)
この図でわかるように研究、トラスト提供事業者のためのガイドライン、事件報告、トラストサービスフィ―ラムの柱をそれぞれささえているのです。
研究には、適格ウエブサイト認証証明書、標準のためのマッピングがあります。上記トラスト提供事業者のためのガイドラインのガイドラインには、セキュリティ枠組、トラストサービスプロバイダのためのガイドライン、監査枠組、開始・監督・終了のガイド、頼れるバートナーのガイドなどがあります。また、インシデント報告については、19条専門家委員会、CIRAS-T報告ツールがあります。
eIDASの成功ストリーとしては、モバイルコネクス、ドイツの保険ドットコムなどがあります。
EUのサイバーセキュリティ認証枠組の基本的な要素をみることができます。
| スキームの範囲
プロセス、製品・サービスのタイプ・カテゴリを含む |
評価の過程において標準への参照を行う |
CAB(認証認定団体)のサイバーセキュリティ要件の特定
特定の評価クライテリア及び方法の利用 |
申請者のCABへの情報提供 |
| マークやラベルの利用条件
認証証の維持および延長の条件 |
認定証明書/EU適合宣言のモニタリング・適合の規則 |
脆弱性報告のルール
CABにおける記録維持
同種のエリアにおける国家・国際スキームの特定 |
EU適合宣言の内容
有効期間
開示原則
相互認証 |
また、以下のような実施のスキームを考えることができます。
3 2017年トラストサービスセキュリティインシデント分析(Evgenia Nikolouzou)
このスライドは、こちらになります。
最初に、リスクアセスメント、セキュリティ手法、インシデンドレスポンスのトライアングルを考えることができます。
これは、各国において監督機関から監督されており、テレコム枠組指令13条、eIDAS規則19条、NIS指令14条および16条でふれられています。
時系列的にも、2011年5月テレコム・セキュリティ侵犯報告、2016年7月eIDASトラストサービスセキュリティ侵害報告、2018年5月NIS指令侵犯報告開始となっています。また、規則40条に基づく電気通信規範が準備されています。
セキュリティインシデント報告は、サービス提供事業者や監督機関にとっての学習のツールであるといえます。eIDASは、セキュリティ侵害について強制的に監督機関に通知する仕組みをとっています。監督機関は、越境のインパクトがある場合には、これをENISAに伝えることになっており、19条にもとづく報告書を作成しています。
各国の監督機関と加盟国の監督機関、委員会、ENISAの関係の図は、以下のようになります。
ENISAは、eIDAS規則19条の枠組のガイドラインを公表しています(Article 19 Incident reporting) 。報告の閾値を定めるのは、困難なチャレンジであり、二つのアプローチ(シナリオによる場合/インパクトのある資産による場合)が利用されています。
2017年版においては、13の事件が紹介されています。
43パーセントが、電子署名・電子シールの作成に影響をあたえたものになります。根本原因としては、システムミス、第三者のミスが多いです。およそ半分の事案が国境を越えるインパクトがあるものである。
結論としては、インシデント報告のメカニズムは、実働しており、その要件は、成熟しつつあります。脅威と事件の十分な情報の交換に貢献しており、国境を越えた協力と事件情報の共有がきわめて重要である。ということがいえます。
4 Enisaの活動のアップデート(Goriak)
このスライドは、こちらです。
ENISAは、種々のガイドラインを公表しています。
2017年12月には、適格サービス事業者の標準に基づいた推奨事項、トラストサーヒズ事業者の統合評価、トラスストサービス事業者のセキュリティ枠組、トラストサービス規定の開始/監督/終了のガイドラインを発表しています(https://www.enisa.europa.eu/topics/trust-services/technical-guidance-on-qualified-trust-services)。
また、2018年 には、eIDAS/トラストサービスの実装と理解の概観 がそれぞれ、公表されています(https://www.enisa.europa.eu/publications/eidas-overview-on-the-implementation-and-uptake-of-trust-services)。
2018年の活動プログラムとしては、トラストサービスの実装と理解の概観、新たな標準の評価、ROCA脆弱性 、eIDASの監査の研究、eIDAS/NIST/Mobile Connect/その他との保証レベルのマッピングなどがあります。
また、新しい標準の評価として、CID(EU)2016/650があり、新しい標準自体としては、EN419 221-5(TSPの暗号モジュールの保護プロファイル)、CEN EN 419 241-2(サーバ署名における信頼しうるシステム)があります(スライド4頁)。
eIDAS監査を世界的に、受容させるという目標がある。このために、eIDAS 一致評価報告とよびそれに関連する要件をうかがう推奨事項を提案するのが目的である。特に、QWAC (適格ウエブサイト認証証明書)の監査の受容を促進することである(スライド5頁)。
ちなみに上でふれたROCA脆弱性(Return of the Coppersmith Attackの脆弱性)ですが、infineonのチップにおいて、秘密鍵を公開鍵から生成できるというものです。エストニアのeIDカードにも存在したものであって、実害は、報告されなかったのですが、攻撃の可能性があったためにカード取り替えということになりました。私のeResidencyカードは、新しいやつなので、交換されたあとのものだ、ということを受領するときに説明をうけました。
