リスク管理Navi
サイバー/デジタルリスクNavi

サイバー/デジタルリスクNavi

ガイドライン
掲載日:2025.01.14

EUCS

サイバーセキュリティ DX 情報セキュリティ サプライチェーン IT
執筆者: チーフコンサルタント 竹下 仁
EUCS

EUCSは、クラウドサービスのサイバーセキュリティを確保するために欧州委員会と欧州連合サイバーセキュリティ機関(ENISA)によって2020年に策定された認証スキームです。欧州サイバーセキュリティ法に基づいて作成された複数の認証スキームの一部で、政府機関や企業が安全で信頼できるクラウドサービスを選択できるよう支援すること、EU域内のクラウドサービスのセキュリティ水準を向上させること、そして市場競争を促進することを目的としています。2020年にドラフト版が公開されて以降、見直しが繰り返されています。

目次

EUCSとは

サイバー攻撃の高度化、巧妙化を受け、欧州理事会は2019年に「サイバーセキュリティ法(Cybersecurity Act:EUCSA)」を発行しました。この法律により、欧州連合サイバーセキュリティ機関(ENISA)が恒久的なEU機関として認定され、サイバーセキュリティ認証スキームの策定と実施支援を行うことになりました。また、この法律はICT製品やサービスに対する認証スキームを制定するためのCybersecurity Certification Frameworkを定めており、ENISAが具体的な産業分野ごとに「候補スキーム」を欧州委員会に提案し、順次、認証フレームワークを策定します。

EUCSはEuropean Cybersecurity Certification Scheme for Cloud Servicesの略で、EUCSAの一環として、2020年にENISAが策定した候補スキームです。

EUCSは以下の3つを達成することを目的としています。

  • 政府機関や企業が、安全で信頼できるクラウドコンピューティングサービスを選択できるように支援する
  • 欧州連合におけるクラウドコンピューティングサービスのセキュリティ水準を向上させる
  • 欧州連合におけるクラウドコンピューティング市場の競争を促進する

EUCSの構成

EUCSはガイドラインとしては比較的重厚で、本編80ページ、付属資料9つから成ります。付属資料まで含めるとページ総数が245ページあります(本稿は2020年12月に発行されたドラフト版に基づいて構成しています)。ドラフト版本編は各章において査読者のための序文が記載されており、未確定の部分や記載内容に対する補足、検討中の事項に対する説明を行っています。

本編は26章から成りますが、第2章~23章はEU域内でのサイバーセキュリティ認証スキームの要件を定めるEUCSA第54条(1)(a)~(v)の規定にそって、その要件を定義しています。その中で重要なものをピックアップしてご紹介します。

1. 第3章 本スキームの目的

EUCSはEU域内市場のクラウドサービスと、それらが実装するアプリケーション、インフラ、プラットフォームを含むクラウド機能のセキュリティレベルを強化することを目的としており、EUCSAで定義されるセキュリティ保証レベル(「Basic」、「Substantial」、「High」)のすべてを提供することで幅広いセキュリティ要件にも対応しています。
また、この制度の利用者と、その利用目的は以下の通りとなります。

利用者 制度の利用目的
クラウドサービスプロバイダ 第三者認証を通じて自社のクラウドサービスのセキュリティレベルを評価したい
クラウドサービスの顧客 認証されたクラウドサービスによって提供されるエビデンスを利用して、十分なセキュリティに関する情報に基づいた意思決定を行いたい
規制当局 クラウドサービスのセキュリティと保証要件を規制や指令に盛り込みたい

さらに、EUCSはクラウドサービスのサイバーセキュリティ認証に関心を持つステークホルダーに対しても以下のようなメリットを提供することができると定義されています。

  • EU域内では共通の効力を持つスキームであること
  • 認定機関による第三者評価、国家当局による監督、そして高いレベルでは国家当局による認可と、適合性評価機関同士の相互評価を利用した強力な品質保証
  • EUCSAで導入された保証の全範囲をカバーする3つの異なる保証レベルにより、認証されたクラウドサービスは将来の評価サイクルでより高いレベルにアップグレードできる可能性がある
  • 一元化されたウェブサイトを通じてセキュリティ情報が公開され、透明性が保証される
  • 保証は定期的な再評価によって長期的に維持され、その有効性は「Substantial」及び「High」のレベルで運用される

2. 第5章 保証レベル

保証レベルは「Basic」、「Substantial」、「High」の3つのレベルに分けられており、それぞれの保証レベルにおいて対象となるシステムと、攻撃者プロファイル、評価項目に違いがあります。その違いについてまとめたものが以下となります。

保証レベル 要件の内容
Basic ・対象:重要でないデータ、システムを扱うサービス
・攻撃者プロファイル:限られたスキルのみを有し、限られたリソースにより既知の攻撃を繰り返す一人の人物
・評価:事前定義された監査計画に沿った、技術的・組織的な措置(CSP自身による自動化された既知の脆弱性やコンプライアンスに係る検査を含む)の履行を確認するための書類確認
Substantial ・対象:business-criticalなデータ、システムを扱うサービス
・攻撃者プロファイル:様々な既知のハッキング手法にアクセスできるが、リソースが限られている小さなチーム
・評価:Basicに加え、インタビューやサンプル検査、設計どおり実装されているかの検証を含むオンサイト監査、既知の攻撃手法を使ったペンテスト
High ・対象:mission-criticalなデータ、システムを扱うサービス
・攻撃者プロファイル:高度なスキルを持ったチーム
・評価:Substantialに加え、管理策の自動監視及び適切な要員によって実施される複数年に渡り計画されるペンテストや技術的レビュー

出典:経済産業省「サイバーセキュリティに関連する海外の動き」P27

3. 第8章 評価方法と基準

この章ではEUCSの認証制度における評価方法、及び認証取得するために満たすべき技術的な要件について触れています。具体的には大項目として20個あり、Annex Aに一つ一つに対してさらに細かな要件が記載されています。

# 項目 # 項目
1 情報セキュリティのための組織 11 ポータビリティ及び相互運用性
2 情報セキュリティポリシー 12 変更管理及び構成管理
3 リスクマネジメント 13 情報システムの開発
4 人的資源 14 調達管理
5 資産の管理 15 インシデント管理
6 物理的セキュリティ 16 事業継続
7 運用のセキュリティ 17 順守
8 ID、認証及びアクセス管理 18 ユーザードキュメント
9 暗号化及び鍵管理 19 政府機関からの調査依頼への対応
10 通信のセキュリティ 20 製品のセーフティ及びセキュリティ

出典:経済産業省「サイバーセキュリティに関連する海外の動き」P27

EUCSの特徴

EUCSの特徴は4つの観点でまとめることができます。

1. EU域内に対してサービスを提供するすべてのサービスプロバイダを対象としている
世界各国で発行されている多くのガイドラインと同じく、EUCSもEU域内に対してサービスを提供する場合は認証の対象となります。現時点で認証取得はできないものの、今後サービスプロバイダに対しての認証取得を推奨する動きが想定されます。
2. 世界各国のガイドラインや法規制などを広く取り込んでいる
EUCSはクラウドサービスに関するガイドラインですが、世界各国のガイドラインや法規制などを広く取り込んでおり、例えばISO27001などの情報セキュリティマネジメントの規格だけにとどまらず、GDPRやEC1025/2012などの法規制にも幅を広げて参照しています。これらガイドラインや法規制などを幅広く取り込むことで、世界中で使用されている認証制度とも足並みを揃えることができ、認証制度としての正当性が向上しています。
3. サービスプロバイダだけでなく、サービス利用者の責任を明記している
本スキームは、サービスプロバイダとサービス利用者の責任の分担について言及しています。具体的には、サービスを受ける側がセキュリティレベルを担保されるのは、サービスプロバイダの推奨事項に従うことが前提であるという文言です。これはサービスを個別に契約する場合にはよく使用される文言ではありますが、認証制度の中で言及されることは非常に珍しいです。
4. 求められるセキュリティレベルが比較的高く設定されている
Highレベルの認証で要件とされているペネトレーションテストなどは、非常に高度なスキルが要求されるものではあるものの、一つ下の認証レベルであるSubstantialでもペネトレーションテスト以外の要件はほぼ同じものであるなど、全体的に求められているセキュリティレベルが高いものとなっています。

EUCSへの対応をとるべきか

EUCSは、EU域内での堅牢なセキュリティを保持しているお墨付きのようなものです。今後、正式に認証が取得できるようになった際には、EU域内でクラウドサービスを使用する際には認証取得状況は参考となる指標の一つであり、サービスプロバイダには認証取得がセキュリティレベルの高さのアピールにつながるでしょう。そのことを踏まえると、今後正式な認証取得をしないまでも、高い技術的セキュリティ要求を満たす、自己評価のためのガイドラインとして有効に活用できるものであるといえます。

なお、現時点ではドラフト版として公開され、パブリックコメントを集めたうえで制度自体を見直している最中となりますが、2030年にEU企業の75%がクラウド、AI、大規模データ処理を採用するという欧州委員会の目標があるため、2030年ごろまでには成立となる可能性が高いと予想されています。

参考情報

ENISA. (2020, Dec. 22). EUCS – Cloud Services Scheme.
記事一覧

人気記事ランキング

AI規制をめぐる、世界各国と日本の動向 ISO/IEC 42001 情報技術 - 人工知能(AI)-マネジメントシステム‐ガイドライン解説 デジタルプラットフォーマー規制法(特定デジタルプラットフォームの透明性及び公正性の向上に関する法律) SOC2とは?その必要性、準拠の進め方などを解説 サイバーセキュリティ格付け制度(サプライチェーン強化に向けたセキュリティ対策評価制度)の勘所と今後の展望 ~企業はどう備えるべきか~ 防衛産業サイバーセキュリティ基準(新基準)に準拠する際の勘所 ISO/IEC27001:2022 ~旧版との違いと企業に求められる対応~ GSOC FedRAMP(米国政府機関におけるクラウドセキュリティ認証制度) NICE Cybersecurity Workforce Framework(SP800-181)とは

カテゴリ

用語集 ガイドライン コラム サイバー/デジタルリスク速報

キーワード(タグ)

サイバーセキュリティ IT-BCP デジタルリスク管理 IoT DX プライバシー保護 NIST 防衛産業 情報セキュリティ AI レジリエンス サプライチェーン 内部不正 感染症

用語集

あ-か さ-な は-ま や-わ A-Z

業種(タグ)

IT 金融 卸売 製造 運輸 エネルギー 建設 医療・福祉 サービス 官公庁
メルマガバナー

Related Articles おすすめの記事

米・英・独・豪におけるクラウドサービス評価制度の実施状況調査結果を公開 IPA

ISMAP:政府情報システムのためのセキュリティ評価制度

海外で進む「IoTセキュリティラベリング制度」

EUサイバーレジリエンス法案

クラウドサービスに特化したセキュリティ基準 ~各ガイドラインや認証制度の比較~

Related Services 関連サービス

ISMAP登録支援コンサルティングサービス
ISO/IEC27017(CLS)認証取得支援サービス
EU一般データ保護規則(GDPR)対応サービス
経営に役立つISO27001情報セキュリティ(ISMS)認証取得支援サービス
NIST SP800-171セキュリティ構築支援コンサルティングサービス
Cyber Essentials認証取得支援サービス
ペネトレーションテストサービス
コンサルティング・サービス

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。 こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。

同意して閉じる
TOPへ戻る
Contact
Contact
お問い合わせ
Document
Document
資料ダウンロード
お電話でのお問い合わせはこちらから

03-3239-9209