EN

NRIセキュア ブログ

ETSI Security Week 2019 参加レポート|EUによるサイバーセキュリティ戦略の取り組みを探る

目次

    Secure SketCH-ETSI-Security-Week-2019

    ETSI Security Weekは、EUの電気通信仕様標準化を管掌する機関による、サイバーセキュリティに特化したカンファレンスである。今回、2019617日から21日までフランスで開催されたETSI Security Week 2019には、NRIセキュアから2名のセキュリティコンサルタントが出席した。

     

    サイバーセキュリティについては、シリコンバレーを擁するアメリカ合衆国と、近年IT産業が急速に拡大する中国が注目を集める一方で、EUにおける取組みが日本語で紹介される機会は、GDPRを除いて少ない。

     

    ETSI Security Weekを通じて、EUがサイバーセキュリティについての現状をどのように捉えているか、将来に向けてどのような戦略で臨んでいるかを探った。

    CSPM製品活用セミナー ~クラウドの情報漏洩を引き起こす”設定ミス”をいかに無くすか~

    ETSI Security Week2019の概要

    ETSIとは?

    European Telecommunications Standards Institute(“エッツィ“と読む)は日本では欧州電気通信標準化機構と呼ばれ、ヨーロッパの電気通信に関する仕様の標準化を企画・策定する非営利の独立機関である。1988年に設立され、現在はヨーロッパを中心とした65か国から、各国の電気通信を所管する官公庁や電気通信事業者(通信キャリア)、通信機器などのメーカー、研究機関が参加し構成される組織である。同組織の規格標準化の事例として、ヨーロッパを中心に普及した携帯電話の無線通信方式の一つであるGSMGlobal System for Mobile communications)が挙げられる。

     

    ETSIは電気通信に関する多様な領域で活動を行っているが、ICT技術に関する標準化を取り扱う性質から、「サイバーセキュリティ」を最重要の活動領域の一つと捉えている。(以下の図における赤のチェックが該当)

     

    ETSIの活動領域

     

    図.ETSIの活動領域(ETSIホームページより)

    ETSI Security Weekとは?

    ETSI Security Weekは、ETSIの本部が設置されるフランスの南東部、ソフィアアンティポリスで開催される、サイバーセキュリティに特化したカンファレンスである。Security Weekは、Webで公開されている限り2015年以降毎年6月にソフィアアンティポリスで開催されており、今年は617日~21日までの期間で開催された。

     

    ETSI看板3

    写真.ETSI受付

     

    ETSI内の展示物

    写真.ETSI内の展示物

    Security Week2019の概要構成

    今回のSecurity Week2019は前述の通り617日~21日までの5日間開催された。曜日単位で大まかなテーマが設定され、基本的にはETSIの建物内にある講演会場(参加者は最大でも300人程度)一つで、時間を区切って講演が順々に行われる構成となっていた。5日間のトピックは以下の通りである。

     

    • Day1:Cyber Security Landscape
    • Day2:Cyber Security & Policy Actions
    • Day3:Artificial Intelligence & Security
    • Day4:Cyber Security & Dynamic Nature of Technology, Network & Society(1)
    • Day5:Cyber Security & Dynamic Nature of Technology, Network & Society(2)

     

    またこれらのテーマの講演の他に、会場内のスペース内でポスターを掲示し担当者がセキュリティ製品・ソリューションや取り組み事例を紹介する”Poster Sessions”や別会場でのハッカソン(”Middlebox Security Protocol (MSP) Hackathon”)も行われていた。

     

    会場

    写真.講演会場の様子

    (全ての講演をこの会場で順番に開催、最大でも300名程度と比較的小規模)

     

    ピッチの風景

    写真.開催期間中のPoster Sessionsの様子

    ETSI Security Weekの特徴

    開催期間に見聞きした中で、他のセキュリティカンファレンスととは異なる特徴、印象に残った点を挙げる。

    カンファレンス参加者の傾向

    国際機関によるカンファレンスということもあり、様々な国からの講演者が参加していた。
     カンファレンスに参加する前の段階では、EUのリーダーたるドイツが多数の講演者を派遣しているものと想像していたが、ETSI(在フランス)主催であるからか、またはTelecommunication業界中心のトピックであるからか、ドイツの存在感は想像していたよりは薄いように感じられた。

     

    また、BT(ブリティッシュテレコム))、ボーダフォン、カーディフ大学、Oxford Information Labsなど、英国から出席した講演者によるセッションも複数行われており、EU Cybersecurity Actなどの話題についてEU、ETSIの一員としてのスタンスで講演していたが、Brexitが成立した場合、英国として今後どのような位置付けでこのカンファレンスに臨むのかが気になった。

    ダイバーシティ志向

    「多種多様な国家を包摂する統合体」としてのEUにふさわしく、カンファレンスの運営にもダイバーシティに気を配っている様子が伺えた。。

     

    筆者は前述のように講演者の出身国などに着目していたが、カンファレンスにおいては講演者の出身国に言及されることがないなど、特定の国・地域を意識する場面が少なかった。また、カンファレンスは全般的に英語のみで運営されており、中にはかなりアクセントの強い講演者もいたが、出席者側も真摯に傾聴する雰囲気があり、国家や国籍を超えた「一つのEU」としての運営が心掛けられているように感じられた。

     

    また、カンファレンスの中ではETSIサイドから講演者の男女構成比に関するコメントもあり、女性の積極的な起用への考慮が行われていることが感じられた。

    アジアの存在感

    今回のカンファレンスはEU主体のものであるが、アジアの企業も参加している。

     

    Samsung社はSamsung Research UK(ロンドンにあるR&Dセンター)を通じてETSI(Industry Specification Groups)のExperiential Networked Intelligenceというグループに社員を派遣しており、当該メンバーはAIのセキュリティに関するディスカッションにパネリストとして参加していた。

     

    また、Day1の全講演終了後のNetworking Cocktail(講演者・出席者による会場内での懇親イベント)は中国系企業がスポンサーを務めている。Day1の最後の講演の後には、当該企業のヨーロッパ責任者がスピーチを行い、「(今回のETSI Security Weekのような)先進技術の専門家・有識者による、事実に基づき開かれた形で行われる議論を歓迎する」といった趣旨のコメントをしている。会場へ向かう途中立ち寄ったブリュッセル空港で巨大なバナー広告を目にしていたこともあり、ヨーロッパにおいて中国系企業が広報活動などを通じて存在感を高めようとする取り組みの一端を実感した。
     

    ネットワーキング2 ネットワーキング

    写真.Huawei社主催のネットワーキングカクテルの様子
    (参加者には軽食とアルコールが振る舞われた)

     

    パンフレット

    写真.Huawei社のパンフレット

     

    空港

    写真.ブリュッセル空港におけるHuawei社の広告
    (スマートフォンなどの特定の製品ではなく、5G事業に関する広告)

    会場のソフィアアンティポリスについて

    ソフィアアンティポリスは、映画祭で知られるカンヌやニースの間(それぞれ車で30分程度の距離)に位置することもあってリゾート地をイメージしていたが、ETSI本部の建物は内陸山沿いの森に囲まれてところに位置しており、繁華街などからは隔絶されたロケーションであった。日本でいえば軽井沢に近い雰囲気であり、気候的にも非常に過ごしやすい環境だった。

     

    ソフィアアンティポリスはもともと「フランスのシリコンバレー」を意図してハイテク産業のためのテクノロジーパークとして企業誘致を積極的に行っている学術都市ということもあって、ETSI拠点の周囲だけでもFortinet社のオフィスやOrange社(フランスの通信事業者、旧フランス・テレコム)のラボが見受けられた。

     

    Orangeラボ

     

    写真.ETSIの横にある、Orange社のラボ棟

    総括

    5日間のカンファレンスに参加する中で以下の3点のポイントから、EUはサイバーセキュリティについて米国や中国とも異なる独自の戦略を持っていると感じた。

    EU Cybersecurity Act

    まず1点目は、このカンファレンスの直後に発行されたEU Cybersecurity Actに関する議論に多くの時間が割かれていた点である。EUは、複数の国の統合体であるEU経済圏をデジタル単一市場として束ねて競争力を維持・強化する戦略を推進しており、EU Cybersecurity ActもEU圏内で利用されるIT製品・サービスに関する共通の認証制度を導入し、EU圏外の企業も含め認証取得を求めていくなどの対応によってサイバーセキュリティの面からデジタル単一市場戦略を下支えする位置付けにある。

     

    今回のETSI Security WeekはEU Cybersecurity Actの方針を外部に広報する取り組みの一つであると感じた。

    プライバシー保護

    2点目は、プライバシーの重視であり、今回のETSI Security Weekにおいても相応の時間を割いて議論が行われていた。EUが市民のプライバシー保護に積極的で、適切な対応を行わない企業に対して厳しい姿勢で臨む方針であることはGDPRなどからも明らかになっているが、EU圏の市民のプライバシーを確保するという前提を置きつつ、プライバシー保護の枠組みをEU主導で立上げデファクトスタンダード化しようとする戦略を感じた。

    中国系企業へのスタンス

    3点目は、中国系企業に対するスタンスである。米国は5Gネットワーク導入の際に特定企業の製品を排除するよう同盟国に対して要請しているが、今回のETSI Security Weekにおいては中国企業をスポンサーとして招き入れており、米国とも一定の距離を置き独自の方向を進もうとする姿勢を感じた。

     

    Brexitなどの流れもあり、EUの統合のあり方については議論が出ているものの、5億人を超える経済圏は当面は続くものであり、EUのサイバーセキュリティ戦略については今後も引き続き注視すべき対象であると感じた。

    5. 各テーマごとのサマリー

    最後に、開催期間中の主要なセッションと取り上げられた講演内容のサマリーを挙げる。

    Day1:全般(NATO、量子コンピュータ、プロダクトセキュリティ、eIDAS、クルマ、など)

    イベント全体で議論されるトピックが紹介されるとともに、ENISAやNCSCなど、各国/地域の公共機関より、現状抱えているセキュリティに関連した課題が共有された。代表的なものは下記の通り。

    • Cybersecurity Challenges to European Society:
      Research, Policy and Standardization Effort(Fabio di Franco, ENISA)

    EUにおけるサイバーセキュリティに関連した課題としてセキュリティに関するキャパシティビルディング(能力向上)が挙げられる。現状、セキュリティに関するトピックは標準的な教育課程に含まれていない。セキュリティに関する技術と同時に、セキュリティに関する規制動向に精通した人材も広く求められている。

    • The Threat Landscape(Eleanor F, NCSC)

    直近のサイバー攻撃の傾向として、国を跨いだサイバー犯罪の増加が挙げられる。また、大したスキルを保有していなくとも重大な被害を引き起こすことが可能なツールが出回っているため、攻撃自体の数が大幅に増加している。

     

    NCSCでは、このような攻撃に対応するため、米国・日本などと強力に連携している。

    Day2:EUサイバーセキュリティ法、プライバシー

    Day2では、2019年6月27日に施行されたEU Cybersecurity Actに関するセッションや、ePrivacy規制に関するセッションが目立った。代表的なものは下記の通り。

    • The EU Cybersecurity Act(Joannis Askoxylakis, EC DG CNECT)

    EUはデジタル単一市場を戦略として掲げているため、サイバーセキュリティに関しても域内で足並みを揃えた標準化されたアプローチを実施することが重要視される。新しいCybersecurity Actでは、IT製品やサービスのサイバーセキュリティについての認証制度を導入するが、各企業が認証を取得するためのインセンティブについても現在議論を進めている。

    • ePrivacy : why does Europe need another privacy law ? (Nacéra Bekhat, CNIL)

    ePrivacy規制は、デジタル市場における企業-個人間の不均衡から個人を保護するための規制である。昨年施行されたGDPRはパーソナルデータに関する一般法の位置づけであるが、ePrivacy規則は、パーソナルデータに限らないプライバシー情報を、主に通信の領域において保護するための個別法の位置づけである。したがって、ePrivacy規則はただ便利な(useful)規則というわけではなく、人々のプライバシー情報保護のために必要不可欠な規制である。

    Day3:AI(「AI自体へのセキュリティ」と「セキュリティへのAI活用」が混在)

    Day3では、AIに関するセッションが多く見られた。AIに関するセッションでは、AIを用いたシステムのアルゴリズムやデータに対するセキュリティを如何に確保するか?という趣旨のものと、AIを用いたセキュリティソリューションとしてどのようなものが考えられるか?という趣旨のものがあった。以下に、代表的なセッションの内容について記載する。

    • Role of Security in Trustworthy AI(Kate Reed, NCSC)

     AIは今後様々なサイバーシステムにおける利用が普及すると考えられる。その際に重要となるのが、AIで用いられるデータの汚染問題だ。これらのデータが汚染されてしまうと、誤ったフィードバックが得られることになってしまい、適切な意思決定がなされなく恐れがある。AIに学習させる訓練データをどのように収集し、取扱い、保護するのか、に関するガイドラインが作成されるのが望ましい。

    • Use Cases from Using AI in an Anti-adversarial Role(Hippolyte Fouque, Darktrace)

    Darktrace社のソリューションである、エンタープライズ・イミューンシステムの機能紹介。その名の通り、このソリューションは、人間の免疫システムから着想を得て、企業の管理するネットワーク全体における脅威の発生をリアルタイムで検知するものである。ネットワーク内の正常行動と異常行動をAIが判断し、異常行動が発生している判断される場合にはすぐさまアラートが発せられるものとなっている。

    Day4:5G、IoT、eSIMなど

    Day4では、5GやIoTが普及していく社会におけるネットワークに関する技術的・制度的諸課題を扱うセッションが目立った。以下では、代表的なセッションの内容を記載する。

    • 5G and Other Stories: Evolving Security in an Evolving World(Steve Babbage, Vodafone)

    アナログ→GSM→3G→4G→5Gという通信規格の進歩の過程で、より強度の高い暗号化や双方向認証の実装をはじめ、セキュリティ性能は格段に高まっていった。5GにおいてもSEPP(Security Edge Protection Protocol)の実装など、更に高いセキュリティ機能の実装が見込まれる。環境面で言うと、IoT機器における5Gの利用が増加する見込みであるため、従来の通信のように「人」のみがエンドポイントになるとは限らない点には留意する必要がある。

    • SIMs, eSIMs and Secure Elements: Providing a Roadmap to Dynamic Security and Flexible Control for Connected Devices(Remy Cricco, SIMalliance)

    既存のSIMカードは端末に物理的に挿入されていたが、昨今ではSIMを端末に予め組み込んでおくeSIMや、端末内のSOC(System-on-a-chip)と呼ばれる部分にSIMを配置しておくiSIMも普及し始めている。

     

    eSIMやiSIMはSIMを取り出すことなくリモートで通信設定の変更を実施することが可能であるので、スマートシティを始めとする都市インフラにおける利用増加が考えられる。

    Day5:ヒューマンファクター

    Day5では、サイバーセキュリティにおける「人」に関する要素(human factor)に関して、心理学や人間の行動に着目して考察するセッションが目立った。以下では、代表的なセッションの内容を記載する。

    • Behavioural Aspects of Cybersecurity(Thomas Schlienger, TreeSolution Consulting GmbH)

    ETSIは主に通信の領域に関する標準化を積極的に展開しているが、人々そのものや人々の行動は残念ながら標準化することができない複雑なものである。

     

    ENISAは2019年4月に「Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity」を発行し、サイバーセキュリティにおける人々の行動に着目した取り組みの重要性を訴えている。従来はセキュリティ行動を検討する際に心理学や社会学が用いられることが多かったが、上記ガイドラインでは、エスノグラフィー、人類学、行動経済学など、より広い学術領域においてセキュリティ行動を扱うことが重要である旨を述べている。

     

    セキュリティ予算獲得術