.png)
EU コンプライアンス義務の理解:電気通信-5G とその先
で パート 1 このブログシリーズでは、コンプライアンスの状況と、サイバーセキュリティに関するさまざまな業界がそれぞれ独自の統治義務やガイダンスを持っていることについて説明しました。これに続いて、 ポスト クリティカル・システムおよびオペレーショナル・テクノロジー分野の規制とセキュリティ管理について。この分野は私が直接経験した分野です。そこから、次のことについて話し合いました。 金融サービス規制 EUに存在します。最後に、 GDPR、サイバーエッセンシャル/サイバーエッセンシャルプラス サイバーセキュリティに関するNCSC(英国国立サイバーセキュリティセンター)ガイドラインのセットとして。
今日は、急速に発展しているセキュリティ分野、つまり通信事業とそこで構築される通信プラットフォームに焦点を当てます。もちろん、現在の焦点は5Gですが、今日施行されているセキュリティガイダンスと法律は、5Gを超えた将来の展望も定めています。
電気通信業界
近年、業界や政府の間では、セキュリティがますます重要性を増す通信事業に与える影響に注目する傾向が大きく変化しています。その中には、ハイレベルな国民国家型含意に関するものもあります。たとえば、通話やデータがルーティングされる基本プラットフォームである「パケットコア」で、特定のベンダーや国のネットワーク機器を使用している場合です。これは、これらのネットワークが世界の将来にとって重要であることを示しています。つまり、存在する可能性が少しでもある潜在的な妥協やバックドアは、広範囲にわたる影響を及ぼします。
これはまた、周辺システム、組織、およびサプライヤーに焦点を当てることにもつながります。たとえば、英国のNCSCは、5Gネットワーク自体に関するガイダンスと法律に移る前に、まず通信業界へのサプライチェーンに焦点を当てました。
ザの 英国テレコム・サプライ・チェーン・レビュー・レポート、2019年7月に米国から公開されました 2018年の最初のレビューは、「英国の通信セクターにとって最も重大なサイバー脅威は州から来ている」と述べているが、すべてのサポートシステムを単一のベンダーに依存することには反対している。概説されているセキュリティリスクには以下が含まれます。
- 特定のベンダー、特にリスクが高いと見なされるベンダーへの全国的な依存。
- ネットワーク機器の障害または脆弱性。
- 「バックドア」の脅威 — ベンダーの機器に悪質な機能が埋め込まれていること、および
- 機器サポートを提供するため、またはマネージドサービス契約の一部として、ベンダー管理アクセスを提供します。
次に、NCSC は、さまざまなネットワークタイプと機能のセキュリティ感度の違いについて概説します。
5G インフラストラクチャ
5Gなどの新しいネットワーク技術が成熟するにつれて、デバイスを接続してこれらの接続システムを管理する方法が根本的に変化します。 5Gは単に速度を上げるだけではありません遅延が大幅に削減され、信頼性と稼働時間が大幅に向上し、特定の地域の接続デバイス数が最大100倍になりました。5Gにより、IoTデバイスの直接制御、ドローンなどのテクノロジーのリアルタイムリモート制御、以前のテクノロジーに関連する遅延の問題のないドローンなどのテクノロジーのリアルタイムリモート制御、車両間通信が可能になり、重要なシステムにおける従来の有線/Wi-Fi接続への依存度が大幅に低下します。
これにより、結果として得られるセキュリティモデルを大幅に変更できるユースケースがあります。
5Gには、Ericssonが概説したような多くのセキュリティ改善が組み込まれています。 ここに。改善点としては、5Gの用語ではサブスクリプション・パーマネント・アイデンティティ(SUPI)とも呼ばれるIMSI(インターナショナル・モバイル・サブスクライバー)によるエンド・ツー・エンドの暗号化が含まれます。
ただし、5Gは、以前のデータ専用通信ネットワークよりも「重要なインフラストラクチャ」であることは間違いありません。自動車などの重要なシステムの信頼性、稼働時間、制御に重点が置かれているため、エンターテイメントやデータに特化した4Gの用途ではなく、5Gがインフラストラクチャの必須のバックボーンとなっています。これは、エリクソンの以下の図にきちんとまとめられています。
スマートフォンのデータ接続を含む強化されたモバイルブロードバンドのセクションでは、最もわかりやすい5Gのユースケースに焦点を当てていますが、その下ではさまざまなマシン間通信を示しています。
一番下には、重要な産業システムや交通安全などがありますが、これらはすべて、目的に合わせて特注のネットワークではなく、直接通信に5Gを利用しています。
ガイダンス — そして法律
最初のサプライチェーンレビューから、英国のNCSCは最初に動いた 英国の通信セクターのセキュリティを見直す。
その結果、「スコアが最も高い攻撃ベクトルの大半は、次の5つのカテゴリのいずれかに当てはまる」ことがわかりました。
- オペレーターの管理プレーンによる悪用
- 国際信号機による悪用
- 仮想ネットワークの活用
- サプライチェーンを通じた搾取
- ネットワークを運営し保護するための国家能力の喪失(依存)」
ここから、急速な発展を遂げたのは、 以前の電気通信保証制度の廃止 -CAS (T)、およびドラフティング 通信セキュリティ要件 (TSR) 異なる権限でのガイダンス。
これは現在草案段階ですが、以下の分野で特定の要件が含まれていることがわかっています。
- 対象範囲内のシステムの攻撃対象領域を理解する
- 接続性の低下、ひいては横方向の移動を減らすことで、攻撃の影響を最小限に抑える
- 経営陣と中核分野の強力な細分化
最後に、関連する要件が新たに制定された法律に受け継がれているのを見てきました。 電気通信セキュリティ法案。
カバーすべきことがたくさんあります!この記事でお伝えしたように、これらの新しいガイダンスセット、法律、およびレビューの開発は、英国では2年以内に基本的な見直しから実際の法律に至るまで、非常に迅速に行われています。
より広い欧州連合では、私たちはずっと古い人々から働いています 指令 2009/140EC の第 13a 条、より広い部分の一部 ENISA テレコムパッケージ。2009 年に作成されたこの文書では、4G と 5G に関するその他の多くのユースケースやシナリオはまだ考慮されていませんが、次のような (比較的曖昧な) 点はまだ含まれていません。
「加盟国は、公衆通信ネットワークまたは公的に利用可能な電子通信サービスを提供する事業者が、ネットワークおよびサービスのセキュリティにもたらされるリスクを適切に管理するための適切な技術的および組織的措置を講じることを保証するものとする。これらの措置は、最先端技術を考慮したうえで、生じるリスクに見合ったレベルのセキュリティを確保するものとする。特に、セキュリティインシデントがユーザーや相互に接続されたネットワークに与える影響を防止し、最小限に抑えるための対策を講じる必要があります。」
NCSCからのガイダンスなどのガイダンスに沿ったものにするために、大幅な更新が行われることが期待できます。
結論として
NCSCのプロセスで概説されている分析、ガイダンス、およびその後の法律が英国で急速に拡大していることは、5Gベースの電気通信への移行がもたらす潜在的な攻撃対象領域と影響、および生活の多くの分野で明らかな利点があることを示しています。急速に改善された具体的なガイダンスのおかげで、業界内の関連プロジェクトが増えています。
イルミオでは、多くの通信プロジェクトに携わり、これらの複雑で重要なインフラストラクチャ環境に必要な可視性とセグメンテーションの要件に対応してきました。
Illumioのマイクロセグメンテーションへのアプローチについては、以下をご覧ください。
_(2).webp)
