EUのサイバーセキュリティ認証（EUCS）におけるOSCALの活用

この記事は、2022年3月にNISTが開催した「3rd Open Security Controls Assessment Language (OSCAL) Workshop 」の、Day2 Part1の公演内容をもとに、一部要約を行い、日本語に翻訳したものです。

Day2 Part1 では大きく2つのテーマについて公演が行われました。この記事では、EUのサイバーセキュリティ認証におけるOSCALの活用について、紹介しています。前半の「IBM Research チームによるSCCにおけるOSCALの活用」については、1つ前の記事 で紹介しています。

ぜひ、実際の資料は動画も確認しながらご覧ください（36:50 あたりから）。

自己紹介

本日は、ヨーロッパにおいて新たに策定されつつあるクラウドサービス向けの“欧州サイバー認証スキーム（European Cyber Certification Scheme）”における継続的モニタリングの概念をどのように実験的に導入しようとしているか、その初期の取り組みについてお話ししたいと思います。では、前置きはこのくらいにして、次のスライドに進んでください。

本日は、大きく3つのパートに分けてお話しします。まず、ヨーロッパで進めているクラウドサービス向けの新たな認証スキーム（EUCS）とは何か、その背景をざっとご紹介します。次に、Bosch としても参加している “Medina プロジェクト” について説明します。ここでは、継続的コンプライアンスモニタリング、そしてもちろん OSCAL を用いた実験を行う機会を得ています。最後に、実践レベルで EUCS と OSCAL を組み合わせてみた経験、得られたメリット、NIST の皆さんとのシナジーなどをお話しし、最後にまとめとして学んだ教訓を述べたいと思います。

次のスライドをお願いします。

EUCSの背景

「まずは EUCS（ヨーロッパのクラウドサービス向けサイバー認証スキーム）に入る前に、ごく簡単に背景を説明しましょう。具体的には、欧州サイバーセキュリティ法（European Cybersecurity Act）との関係などをお話しします。

次のスライドをどうぞ。

1年ほど前、ちょうど昨年1月頃に開催された第2回のこのワークショップでも、私は同様の話題をご紹介しました。そのとき参加された方はご存じかもしれませんが、欧州委員会が2019年4月に提案した“欧州サイバーセキュリティ法（European Cybersecurity Act）”がきっかけとなり、ヨーロッパ全体でサイバーセキュリティ認証を最大限活用しようという動きが出ています。これは、クラウドプロバイダやウェブホスティング事業者、あるいはBoschのようにコネクテッドデバイス・サービスを提供する事業者など、多様な利害関係者に対して、認証がもたらす透明性やコンプライアンス確保を目指すものです。

このサイバーセキュリティ法のなかで注目すべき点として、2019年時点で“継続的なサイバーセキュリティ・コンプライアンス” の概念がすでに導入されていました。（あとでもう一度触れますが）当時から“継続的”というキーワードが強調されていたのです。また、この法律の一環として、各種サービス向けに新しい認証スキームを作成する動きもありました。既存の認証スキームには、欧州サイバーセキュリティ法が求めるアシュアランス水準を満たすには不足があると判断されたためです。こうしたギャップを埋めるために、欧州ネットワーク情報セキュリティ庁（ENISA）は新しい認証スキームの策定を始めました。まず最初に作られたのが2つあり、1つが“EUCC”（Common Criteria向けのサイバー認証スキーム）、そしてもう1つがクラウドサービス向けの“EUCS”です。私は Bosch の代表として EUCS の策定に携わっています。次のスライドをどうぞ。

EUCSの特徴

「ではこの欧州サイバーセキュリティスキーム（EUCS）の新しさは何か。すごくざっくり言うと、たとえば Bosch のようなメーカーが作ったコネクテッドIoTデバイスを、あるクラウドのバックエンドに繋いで運用するとします。クラウド上にはハイパースケーラ（AWS, Azure, GCPなど）が提供するプラットフォームがあり、その上に我々が仮想マシンやKubernetesクラスター、SQLなどを用いて独自のバックエンドサービスを走らせています。そこに Bosch のスマートホームサービスやアイデンティティプロバイダ（たとえば“SIAM”）をデプロイするといった具合です。

EUCSが“何を”認証するのか。次のスライドへ。実は、欧州サイバーセキュリティ法のビジョンとして“サービス全体ではなく、それを構成する各コンポーネントを認証対象にする”という発想があります。左から右に向かって見ていくと、たとえば最終的なIoTデバイス自体も将来的にはEUCCなどを使って認証しよう、あるいは5Gなどの通信面も対象になるかもしれない。そして右側のクラウド側では、SaaS層やPaaS層、IaaSの各サービス（VMやKubernetes, SQLといった個別のクラウドサービス）までもが認証の対象になるわけです。これは“複数認証の組み合わせ”といった難しさも伴いますが、“各クラウドサービスを個別に認証する”という点がEUCSの大きな特徴になります。次のスライドを。

EUCSと「継続的モニタリング」

しかし、それだけではありません。EUCS には“継続的モニタリング”という新しい概念が取り入れられています。ここでは ENISA が公開しているドラフト文書からコピペした定義を例示していますが、EUCS では特定のコントロール要件について“継続的にデータを収集し、所定の目標値と比較し、逸脱があれば報告する”という手順が想定されています。報告先は外部監査人だったり、最終的には認証当局にまでエスカレーションして“このクラウドプロバイダが保有する認証を停止すべきか、継続すべきか、あるいは更新・取り消しすべきか”を判断する、という流れです。理屈としては、“データを収集→比較→報告”のシンプルなプロセスですが、実際にやってみるとどうなるのか。次のスライドへ。

理屈上は簡単に見えても、“実際にやったら何が起こるのか”という疑問があり、私たちは昨年のワークショップ以降、この点を追究してきました。次のスライドをどうぞ。 こうした“EUCSにおける継続的モニタリング”にまつわる初期的な経験を共有し、そこにOSCALがどう関わるかをご説明します。次のスライドへ。

Medinaプロジェクト

ここで登場するのが、欧州委員会の資金提供で進めている“Medinaプロジェクト”です。これを通じて、EUCSの継続的モニタリングを実際にどう運用できるか、また将来的に“真に継続的な監査ベース認証”へ発展させるには何が必要かを調べています。何を実装すべきか、どのようにクラウドサービス認証と結びつくか、そういった点を探るのが狙いです。次のスライドへ。 Medinaプロジェクトは2020年11月に始まりました。ENISA が EUCS を検討し始めた時期とほぼ同時期です。これはヨーロッパ各国のパートナーと共同で進めており、Bosch はテストベッドの提供や技術面のマネジメントを担当しています。たとえばイタリアやドイツから HPE や Hofer といった企業が参加し、それぞれプロトタイプを開発し、私たちの実環境で試験する形をとっています。次のスライドを。

Medinaのアプローチ

では、現行の認証スキームにどんな課題があって、EUCS はそれにどう対処しようとしているのか、さらにMedina はどう解決策を提案しようとしているのか。次のスライドです。 従来のクラウド認証は“ある時点での監査”に依存しがちですが、EUCS では“継続的かつ自動化された監査”への転換を目指しています。そこで Medina では、自動化された連続監査をどう実装するか、技術アーキテクチャや手順を研究しています。また、証拠データの改ざん防止（tamper-proof）なども大きな課題で、分散型台帳（DLT）技術を使った格納方法を検討しています。

もう1つの課題は、既存の認証が手作業中心であること。私たちは NLP（自然言語処理）によって監査人が組織的な対策を評価するのを支援するだけでなく、肝心なコントロール要件を機械可読化（OSCAL）することで、システム的にも評価できるようにしようとしています。さらに、IBMチームの発表にもあったように、多くのクラウドサービスプロバイダが CSPM（Cloud Security Posture Management）ツールを使っているので、それら既存ツールを最大限活用する方策も考えています。次のスライドを。

Medinaでの実証と初期の知見

「昨年、私たちは自社インフラで有名なハイパースケーラを利用し、既存のクラウドセキュリティポスチャ管理ツールで30日ほどトライアルを行いました。Medina が定義したいくつかのコンプライアンス指標やダッシュボードを組み合わせ、“EUCSの継続的モニタリング” をリアルに試してみたわけです。次のスライドへ。

その結果、まず言えるのは、EUCS を機械可読化（OSCAL）し、自動化するのは非常に有効だということ。ハイパースケーラが対応してくれれば理想的で、私たちは ENISA や欧州委員会にも“OSCAL でEUCSのカタログを表現できる”とアピールしています。すでにPoCを作り、近々オープンソースとしてMedinaのリポジトリで公開予定です。ヨーロッパ側としては EUCS x OSCAL の組み合わせをかなり強く推進しています。次のスライド。

ただし、監査人からの質問としては“実際にどんなツールを使うのか”“監査人の役割はどうなるのか”といった懸念も出ています。自動化が進んでも、最終的に重要な判断を下すのは監査人だということは変わらないでしょう。なので標準化が重要、という結論になります。次のスライドをどうぞ。

そのまとめとして、EUCS の“Continuous”な要求に対応するには、ガイドラインと標準化が不可欠です。クラウドプロバイダ側にとって“具体的に何を実装すべきか”を明確に提示し、監査側には“どのように検証・評価すべきか”を客観的かつ機械可読なかたち（OSCALなど）で提示することが必要です。メトリクスのカタログ化や、要件のさらなる洗練も必要でしょう。次のスライドを。

まとめ

最後に3点だけまとめます。Medina の狙いは、EUCS の普及、とくに“継続的モニタリング”に焦点を当てています。ただし EUCS の全コントロールのうち、現状では10～15%ほどしか自動化に対応していない。将来的な改訂でより多くの要件に自動監視が求められるかもしれませんが、すでに課題は山積みです。クラウドプロバイダや監査人などステークホルダの協力が不可欠で、ISO 27001 のような他の認証にも広がる可能性があります。私個人としては、自動化には大きなメリットがあると思っていますし、OSCAL が業界標準として広く採用されれば非常に大きな転換点になると確信しています。Bosch としては、この数年 NIST の皆さんと協力し、EUCS やMedinaの文脈で OSCAL を活用する試みをしてきました。今後も連携を深めていければと考えています。

これで私の話は以上です。最後のスライドに私の連絡先がありますので、何か質問があればぜひお知らせください。