2025.06.18

欧州委員会 GenAI4EU:「ヨーロッパ製」の生成的 AI を推進するための資金援助

こんにちは、丸山満彦です。

欧州は米国、中国に比べてAI分野の出遅れがあるということで、力を入れておりますね...

新興企業、中小企業の活用についても力を入れています。

日本と環境が似ている部分もあると思うので、参考になる部分が多い(米国や中国と比べて)のではないかと思います。(英国もそうかもですが...)

 

European Commission

・2025.06.11 GenAI4EU: Funding opportunities to boost Generative AI “made in Europe”

GenAI4EU: Funding opportunities to boost Generative AI “made in Europe” GenAI4EU:「ヨーロッパ製」の生成的 AI を推進するための資金援助の機会
The European Commission has launched a first wave of EU funding opportunities to integrate generative Artificial Intelligence (AI) in Europe’s strategic sectors, and keep their competitive edge. 欧州委員会は、生成的人工知能(AI)をヨーロッパの戦略的分野に統合し、その競争力を維持するための EU 資金援助の第一弾を開始しました。
Researchers, innovators, companies and other interested organisations can find broad EU funding opportunities to join forces to develop and deploy generative AI in Europe’s strategic sectors as part of the GenAI4EU flagship initiative. The initiative is now surpassing the initial commitment of €500 million announced in the AI innovation package in January 2024, with close to €700 million funding planned in Horizon Europe, the Digital Europe Programme, and the European Innovation Council. 研究者、イノベーター、企業、その他の関心のある組織は、GenAI4EU フラッグシップイニシアチブの一環として、欧州の戦略的分野における生成的 AI の開発と展開に協力するための幅広い EU 資金調達機会を見つけることができる。このイニシアチブは、2024年1月に AI イノベーションパッケージで発表された当初の 5 億ユーロのコミットメントを上回り、ホライズン・ヨーロッパ、デジタル・ヨーロッパ・プログラム、および欧州イノベーション評議会で 7 億ユーロ近くの資金が計画されている。
For example, researchers can receive EU funding of between 15 and 17 million euro to leverage multimodal data to advance generative AI in biomedical research by, among others, moving towards predictive and personalised medicine. This concrete GenAI application helps industry’s competitiveness but also makes healthcare treatments more effective. The call HORIZON-HLTH-2025-01-TOOL-03 will close in September 2025. 例えば、研究者は、予測医療や個別化医療への移行など、マルチモーダルデータを活用して生物医学研究における生成的 AI を推進するために、1,500 万から 1,700 万ユーロの EU 資金援助を受けることができる。この具体的な GenAI の応用は、産業の競争力向上に貢献するだけでなく、医療の効率化にもつながる。公募「HORIZON-HLTH-2025-01-TOOL-03」は 2025 年 9 月に締め切られる。
This is only one of the many opportunities available to stakeholders interested in joining the GenAI4EU initiative, as listed on the tab "funding opportunities". これは、GenAI4EUイニシアチブへの参加に興味のある関係者が利用できる多くの機会の一つに過ぎない。詳細は「資金調達機会」タブに記載されている。

 Horizon Europe Work Programme 2025 の案件...

Horizon Europe    Title of the call  
1 Health 健康 HLTH-2025-01-TOOL-03: GenAI4EU: Leveraging multimodal data to advance Generative Artificial Intelligence applicability in biomedical research マルチモーダルデータを活用して、生物医学研究における生成的人工知能の適用性を推進
1 Health 健康 HLTH-2025-01-CARE-01: GenAI4EU: End user-driven application of Generative Artificial Intelligence models in healthcare 医療における生成的人工知能モデルのエンドユーザー主導の適用
3 Civil security for society 社会の市民安全 CL3-2025-02-CS-01: Generative AI for Cybersecurity applications サイバーセキュリティアプリケーションのための生成的 AI
4 Digital, Industry, Space デジタル、産業、宇宙 CL4-2025-04-DIGITAL-EMERGING-07: Advancing General Purpose AI through Enhanced Learning Strategies 強化された学習戦略による汎用 AI の進歩
4 Digital, Industry, Space デジタル、産業、宇宙 CL4-2025-04-DIGITAL-EMERGING-04: Assessment methodologies for General Purpose AI capabilities and risks 汎用 AI の機能とリスクの評価方法論
4 Digital, Industry, Space デジタル、産業、宇宙 CL4-2025-03-DIGITAL-EMERGING-09: Challenge-Driven GenAI4EU Booster (Pharma/Drug and Aerospace) 課題駆動型 GenAI4EU ブースター(製薬/医薬品および航空宇宙)
4 Digital, Industry, Space デジタル、産業、宇宙 CL4-2025-03-DIGITAL-EMERGING-07: GenAI4EU in Robotics and industrial automation ロボティクスと産業自動化における GenAI4EU
4 Digital, Industry, Space デジタル、産業、宇宙 CL4-2025-03-HUMAN-18: GenAI4EU central Hub GenAI4EU 中央ハブ
4 Digital, Industry, Space デジタル、産業、宇宙 CL4-2025-03-HUMAN-15: GenAI4EU: Generative AI for Virtual Worlds: Advanced technologies for better performance and hyper personalised and immersive experience GenAI4EU 仮想世界のための生成的AI:パフォーマンスの向上と、高度にパーソナライズされた没入型体験を実現する先進技術

4 Digital, Industry, Space デジタル、産業、宇宙 CL4-2025-04-DATA-03: Software Engineering for AI and Generative AI AI および生成的 AI 向けのソフトウェアエンジニアリング
4 Digital, Industry, Space デジタル、産業、宇宙 CL4-2025-04-DATA-02: Empowering AI/Generative AI along the Cognitive Computing continuum コグニティブ・コンピューティングの連続体における AI/生成的 AI の強化
4 Digital, Industry, Space デジタル、産業、宇宙 CL4-2025-03-DATA-13: Fostering Innovative and Compliant Data Ecosystems 革新的でコンプライアンスに準拠したデータエコシステムの育成
4 Digital, Industry, Space デジタル、産業、宇宙 CL4-INDUSTRY-2025-01-DIGITAL-61: AI Foundation models in science (GenAI4EU) 科学における AI 基礎モデル(GenAI4EU)
5 Energy エネルギー CL5-2025-05-D3-19: Innovative solutions for a Generative AI-powered digital spine of the EU energy system EU エネルギーシステムの生成的 AI によるデジタルバックボーンのための革新的なソリューション
5 Mobility モビリティ CL5-2025-04-D6-01: Advancing remote operations to enable the sustainable and smart mobility of people and goods based on operational and societal needs (CCAM Partnership) – Societal Readiness Pilot 運用上および社会的ニーズに基づく、人と物の持続可能でスマートなモビリティを実現するための遠隔操作の推進(CCAM パートナーシップ) – 社会準備パイロット
5 Mobility モビリティ CL5-2025-04-D6-08: Accelerating freight transport and logistics digital innovation 貨物輸送と物流のデジタルイノベーションの加速
5 Mobility モビリティ CL5-2025-04-D2-05: Accelerated multi-physical and virtual testing for battery aging, reliability, and safety evaluation (Batt4EU Partnership) バッテリー老化、信頼性、安全性の評価のためのマルチフィジカルおよびバーチャルテストの加速(Batt4EUパートナーシップ)
5 Mobility モビリティ CL5-2025-01-D5-01: Solutions for road Light Duty Vehicles – Societal Readiness Pilot 道路用軽車両向けのソリューション – 社会的準備度パイロット
5 Mobility モビリティ CL5-2025-01-D5-02: Cybersecure and resilient e-mobility ecosystem サイバーセキュリティとレジリエンスに優れた e-モビリティエコシステム
5 Mobility モビリティ CL5-2025-04-D6-09: Reliable data and practices to measure and account transport emissions in multimodal transport chains マルチモーダル輸送チェーンにおける輸送排出量を測定・報告するための信頼性の高いデータと実践
5 Mobility モビリティ CL5-2025-04-D6-10: Integrating inland waterway transport in smart shipping and multimodal logistics chains 内陸水路輸送をスマートシッピングおよびマルチモーダル物流チェーンに統合
6 Agrifood 農業食品 CL6-2025-01-ZEROPOLLUTION-06: Provide digital solutions tailored to small and medium-sized farms to monitor and sustainably manage agricultural inputs and natural resources 中小規模の農場に、農業投入資材および天然資源を監視し、持続的に管理するための、カスタマイズされたデジタルソリューションを提供する
6 Agrifood 農業食品 CL6-2025-01-CIRCBIO-06: Open Topic: Innovative solutions for the sustainable and circular transformation of SMEs オープントピック:中小企業の持続可能で循環型の変革のための革新的なソリューション
6 Agrifood 農業食品 CL6-2025-03-GOVERNANCE-09: Delivering Earth Intelligence to accelerate the green and digital transition グリーンおよびデジタル移行を加速するための地球インテリジェンスの提供
6 Agrifood 農業食品 CL6-2025-03-GOVERNANCE-14: Preparing farmers, their workforce and advisors to the future of agriculture by providing the right knowledge and skills at the right time and place 適切な知識とスキルを適切なタイミングで適切な場所に提供することにより、農家、その労働力、およびアドバイザーを農業の未来に備える
6 Agrifood 農業食品 CL6-2025-01-CIRCBIO-10: Unleashing the potential and advancing the impact of the digitalisation/AI of the bio-based value chains バイオベースのバリューチェーンのデジタル化/AI の可能性を解き放ち、その影響力を高める
6 Agrifood 農業食品 CL6-2025-01-BIODIV-09: Strengthening pathways to alternative socio-economic models for continuous improvement of biodiversity 生物多様性の継続的な改善のための代替的な社会経済モデルへの道筋を強化する

 

参考

Horizon Europe

  • EUの研究・イノベーションのための主要な資金援助プログラム
  • 2021年から2027年までのホライゾンヨーロッパの指示資金額は935億ユーロ(156兆円)
  • 国連の持続可能な開発目標の達成を支援し、EUの競争力と成長を後押し
  • EUの政策を開発、支援、実施する上で、協力を促進し、研究とイノベーションの影響力を強化
  • 雇用を創出し、EUの人材プールを十分に活用し、経済成長を後押しし、産業競争力を促進し、強化された欧州研究領域における投資効果を最適化
  • EUおよび関連国の法人が参加できる

 

The Digital Europe Programme

  • 企業、国民、行政機関にデジタル・テクノロジーを導入することに重点を置いた EUの資金提供プログラム
  • スーパーコンピューティング人工知能サイバーセキュリティ高度なデジタルスキルといった主要な能力分野におけるプロジェクトを支援
  • 経済と社会全体におけるデジタル技術の幅広い活用の確保を目指す
  • 強化された欧州デジタル・イノベーション・ハブ(EDIH)のネットワークを通じて、デジタル変革を支援

 

GenAI4EU: Creating European Champions in Generative AI

  • Horizon EuropeAI Boost project (2023) に基づくもの
  • 変革的なAI主導型ソリューションを市場に投入することを目指す新興企業や中小企業を支援
  • 人工知能の新興企業や中小企業を支援するAIイノベーションパッケージ、およびEUにおける信頼できるAIの開発、展開、利用を目標とするEU AI Act に沿って、このチャレンジは、Strategic Technologies for Europe Platform(STEP)の下で特定された重要な技術分野
  • 新しいGenAIモデルの開発と検証を進める;
  • 既存のモデルを、より小型で高速かつエネルギー効率に優れたモデルが適用可能な特定の分野やデータタイプに適応させる;
  • 既存のワークフローにGenAIソリューションを統合してテストし、必要に応じて、認証や市販後調査を含む、規制のサンドボックスや実際の環境でテストする;

1_20250616073101

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.06.07 欧州委員会 安全で信頼できる人工知能におけるEUのリーダーシップを強化するため、AI事務局を設置 (2024.05.29)

 

ドラギ・レポート

・2024.10.01 欧州 ドラギ・レポート 欧州の競争力の未来 (2024.09.09)

 

 

| | Comments (0)

2025.06.17

フランス CNIL 職場における多様性測定調査における個人データの処理に関する推奨

こんにちは、丸山満彦です。

フランスの個人データ保護機関であるCNILが職場における多様性測定調査に関する推奨事項を公表していますね...

従業員等の多様性を図ろうとするために従業員についての調査を行うことありますが、それがプライバシーの侵害を招きかねないので、適切に実施できるようにということで、文書を作ったようですね...

よく人についての多様性という時に、性別(女性比率)、人種(外国籍の人の割合)といった、外見的な面での多様性について言われることが多いのですが、これは多様性というよりも、(外見的な面を踏まえた)意思決定の偏りがあるかどうかということが中心なのではないかと思います。それも多様性を重視するという点でいうと一つなのでしょうが、組織を強くする(特にレジリエンスという観点で)ための多様性というのは、思考や知識の多様性であり、もちろんそれについて出産経験のある女性と男性の間では知識の差があるでしょうし、米国と日本と両方住んだ人と、日本だけにしか住んだことがない人の間には知識の差があるとは思いますが、組織を強くするための本質的な多様性の要素ではないような気もします。

思考や知識について多様性の高い組織というのは、瞬間風速的な効率性等は高くはないが、長期的な意味での効率性等は高くなるように思います。

本題からやや外れましたが、CNILの推奨事項については、日本においても参考になる面もあるかもですね...

 

CNIL

・2025.06.10 Enquêtes de mesure de la diversité au travail : la CNIL publie ses recommandations

Enquêtes de mesure de la diversité au travail : la CNIL publie ses recommandations 職場における多様性測定調査:CNILが推奨事項を発表
Les enquêtes de mesure de la diversité diffusées par les employeurs auprès de leurs effectifs collectent des données personnelles, parfois sensibles. Elles nécessitent la mise en place de garanties afin d’assurer la protection des données des participants, ainsi que le respect de leur droit à la vie privée 雇用主が従業員を対象に実施する多様性測定調査では、個人データ、場合によっては機密性の高いデータが収集される。そのため、参加者のデータ保護とプライバシー権の尊重を確保するための措置を講じる必要がある。
Pourquoi cette recommandation ? この推奨事項の背景
Dans un contexte de sensibilisation accrue à la lutte contre les discriminations, de plus en plus d’organismes souhaitent mesurer la diversité au sein de leurs effectifs : pour ce faire, ils ont recours à des dispositifs qui impliquent la collecte de nombreuses données personnelles, dont des données sensibles. 差別対策への意識が高まる中、従業員の多様性を測定したいと考える組織が増えている。そのために、多くの個人データ、特に機密性の高いデータを収集する仕組みを利用している。
La mesure de la diversité est un exercice en lui-même délicat de par son degré d’intrusion dans la vie privée des salariés/agents. Il implique que les employeurs respecte strictement la décision du Conseil constitutionnel du 15 novembre 2007 régulièrement interprétée, à tort, comme une interdiction absolue des statistiques liées aux origines. 多様性の測定は、従業員や職員のプライバシーに深く関わるため、それ自体がデリケートな作業だ。雇用主は、2007年11月15日の憲法裁判所の判決を厳格に遵守する必要がある。この判決は、誤って、出身に関する統計の絶対的な禁止と解釈されることが多い。
Dans le prolongement du guide méthodologique corédigé avec le Défenseur des Droits (DDD) Mesurer pour progresser vers l’égalité des chances, la CNIL publie une recommandation pour aider les organismes à mettre en œuvre des enquêtes de mesure de la diversité en conformité avec la règlementation en vigueur, tout particulièrement le RGPD. 人権擁護官(DDD)と共同で作成した方法論ガイド「測定を通じて機会均等への進展を図る」の延長として、CNILは、組織が現行の規制、特にGDPRに準拠した多様性測定調査を実施するための推奨事項を発表した。
Pour mieux répondre aux besoins des professionnels, cette recommandation a été soumise à une consultation publique du 9 juillet au 13 septembre 2024. Elle a recueilli les contributions de 44 participants, issus d’organismes publics et privés, dont les services du Défenseur des droits. 専門家のニーズにより的確に対応するため、この推奨は2024年7月9日から9月13日まで公開協議にかけられた。その結果、人権擁護官事務所を含む公的機関および民間団体から44件の意見が寄せられた。
Quel est le périmètre de la recommandation ? この推奨の対象範囲は?
Ce document porte uniquement sur les dispositifs d’enquêtes autoadministrées mis en œuvre par les employeurs en milieu professionnel, c’est-à-dire des questionnaires remplis directement par la personne et sans intervention d'un tiers. Certaines des recommandations formulées peuvent toutefois s’appliquer à d’autres dispositifs, sous réserve d’une analyse au cas par cas. この文書は、職場において雇用主が実施する自己評価調査、すなわち、第三者の介入なしに本人によって直接記入されるアンケートのみを対象としている。ただし、一部の推奨事項は、ケースバイケースで検討した上で、他の制度にも適用できる場合がある。
La recommandation n'a pas de portée normative et vise uniquement à favoriser la conformité à la règlementation applicable en matière de protection des données personnelles. Elle n’a pas pour objet de proposer une méthodologie pour conduire les politiques sociales des entreprises, poser les questions les plus adaptées ou assurer la qualité des réponses. この推奨は、規範的な効力はなく、個人データ保護に関する適用法令の遵守を促進することを唯一の目的としている。企業の社会政策の実施方法、最も適切な質問の策定、回答の品質確保に関する方法論を提案するものではない。
À qui s’adresse cette recommandation ? この推奨の対象者は誰ですか?
Elle s’adresse à tous les professionnels (employeurs, prestataires agissant en qualité de tiers de confiance, etc.) participant à la mise en œuvre d’enquêtes de mesure de la diversité dans un organisme, qu’ils soient publics ou privés. Elle informe aussi les salariés et agents concernés sur leurs droits et les obligations des employeurs. この推奨は、公的機関または民間機関において、多様性測定調査の実施に関与するすべての専門家(雇用者、第三者機関としてのサービス提供者など)を対象としている。また、対象となる従業員および職員に対して、彼らの権利および雇用者の義務について情報を提供する。
Que prévoit la recommandation ? この推奨にはどのような内容が盛り込まれているか?
La CNIL rappelle que la mise en place d’enquêtes de mesure de la diversité doit s’accompagner de garanties visant à protéger la vie privée des participants, conformément au RGPD. CNIL は、多様性測定調査の実施には、GDPR に準拠して参加者のプライバシーを保護するための保証を伴う必要があることを改めて指摘している。
En particulier, ces enquêtes doivent rester facultatives et les salariés ou agents doivent être correctement informés et leurs droits respectés. La CNIL recommande également de privilégier les enquêtes anonymes et de limiter les données collectées avec des questions fermées. 特に、これらの調査は任意であり、従業員や職員は適切な情報を提供され、その権利が尊重されなければならない。CNIL はまた、匿名調査を優先し、収集するデータをクローズド質問に限定することを推奨している。
Dans sa recommandation, la CNIL donne des exemples de questions permettant de respecter la décision du Conseil constitutionnel de 2007 et rappelle que seul le consentement libre et éclairé des répondants permet de collecter leurs données sensibles. CNIL は、その推奨において、2007 年の憲法裁判所の決定を遵守するための質問例を示し、回答者の自由かつ情報に基づく同意がある場合にのみ、その機密データを収集することができることを改めて指摘している。
Compte tenu de la relation de subordination entre l’employeur et ses salariés ou agents pouvant rendre difficile la participation à l’enquête, la CNIL considère que recourir à un tiers de confiance peut constituer une garantie valable, en assurant que l’employeur n’a pas accès aux données collectées. 雇用主とその従業員または職員との従属関係により調査への参加が困難になる可能性があることを考慮し、CNIL は、雇用主が収集されたデータにアクセスできないことを保証する、信頼できる第三者機関の利用が有効な保証となる可能性があると考えている。
La recommandation 推奨
Recommandation relative au traitement des données à caractère personnel dans le cadre d’enquêtes de mesure de la diversité au travail 職場における多様性測定調査における個人データの処理に関する推奨
Texte de référence 参考文書
Conseil constitutionnel, décision n° 2007-557, DC 15 novembre 2007 憲法裁判所、決定第2007-557号、DC 2007年11月15日
Pour approfondir 詳細
Guide méthodologique corédigé avec le DDD Mesurer pour progresser vers l’égalité des chances (PDF) DDDと共同作成した方法論ガイド「機会均等の実現に向けた測定」(PDF)

 

 

・[PDF]

20250617-63529

 

・[DOCX][PDF] 仮訳

 

 

 

 

 

 

| | Comments (0)

デジタル庁 デジタル社会の実現に向けた重点計画 (2025.06.13)

こんにちは、丸山満彦です。

2025.06.13の持ち回り閣議では、基本方針、グランドデザイン、基本構想、実施構想、重点計画といった、今後の方向性を示すもの、決められた目標を実現するための計画が6つも決定していますね...

 

 ● 官邸 - 閣議

・2025.06.13 持ち回り閣議

内閣官房・内閣府本府 経済財政運営と改革の基本方針2025
内閣官房 新しい資本主義のグランドデザイン及び実行計画2025年改訂版
内閣官房 地方創生2.0基本構想
内閣府本府 規制改革実施計画
デジタル庁 公的基礎情報データベース整備改善計画
デジタル庁 デジタル社会の形成に関する重点計画・情報システム整備計画・官民データ活用推進基本計画の変更

 

ここでは、デジタル社会の実現に向けた重点計画

「目指す社会の姿」というのが、国民の期待にあっているということが重要なのでしょうね...


3.目指す社会の姿

デジタル社会の実現に向けた改革の基本方針」(2020 年 12 月 25 日閣議決定)では、デジタル社会の目指すビジョンとして「デジタルの活用により、一人ひとりのニーズに合ったサービスを選ぶことができ、多様な幸せが実現できる社会」、具体的には、場所や時間を問わず、国民一人ひとりのニーズやライフスタイルにあったサービスが受けられ、働き方ができ、また、自然災害や感染症等の事態に対して強靱な社会を掲げており、このような社会を目指すことは、「誰一人取り残さない、人に優しいデジタル化」を進めることにつながるとしている。
デジタル社会形成基本法15の施行後、最初に策定した「デジタル社会の実現に向けた重点計画」(2021年 12 月 24 日閣議決定)において、ビジョンを実現するために、①デジタル化による成長戦略②医療・教育・防災・こども等の準公共分野のデジタル化③デジタル化による地域の活性化④誰一人取り残されないデジタル社会、⑤デジタル人材の育成・確保⑥DFFT の推進を始めとする国際戦略の推進を定めている。この6つの目指す社会は、2.で示した直面する課題と情勢変化を踏まえつつ、現在においても、引き続き、政府として追求していくべきものである。


参考

・2020.12.25 [PDF]【閣議決定】デジタル社会の実現に向けた改革の基本方針(概要)

・2021.12.24 [PDF]【閣議決定】デジタル社会の実現に向けた重点計画

 

なんというか、ストーリー的ではなく、寄せ集め的な感じがしますよね。。。横同士の関係が見えにくいからですかね...

 

デジタル庁

・2025.06.13 デジタル社会の実現に向けた重点計画

第1 目指す社会の姿、取組の方向性と重点的な取組
1. 重点計画に基づいた我が国のデジタル化の取組

(1)我が国の強み
① デジタルインフラの整備
② アナログ規制の見直し
③ 信頼性のある自由なデータ流通(DFFT)の推進
(2)利用者視点の取組
① マイナンバーカードの普及・利活用とマイナポータルの利便性向上
② 事業者向け行政サービスの利用者体験向上に向けた環境整備
③ 準公共分野におけるデジタル化の推進
(3)中長期的な政府機能の強化
① 地方公共団体情報システムの統一・標準化
② 国・地方公共団体等の情報システムのガバメントクラウドへの移行
③ ガバメントソリューションサービス(GSS)への移行

2. 直面する課題と情勢変化
(1)直面する課題
① 人口減少及び労働力不足(リソースの逼迫)
② デジタル競争力向上の必要性
③ 自然災害や公共インフラ等の持続可能性への脅威への対応
④ サイバー空間における質・量両面での脅威の増大
⑤ デジタル人材の不足
⑥ 「デジタル化」に対する不安やためらい
(2)情勢変化
① 生成AIをはじめとするAIの社会実装の進展
② デジタルを巡る国際情勢の変化

3. 目指す社会の姿

4. 取組の方向性と重点的な取組
(1)AI・デジタル技術等のテクノロジーの徹底活用による社会全体のデジタル化の推進
① AIの活用環境の整備と利活用の促進
② 地方創生2.0(地域におけるデジタル・新技術の徹底活用)
③ AI・デジタル技術等のテクノロジーの活用による行政手続のデジタル完結の推進
(2)AI-フレンドリーな環境の整備(制度、データ、インフラ)
① デジタル行財政改革の推進
② AI・デジタル等テクノロジーの徹底活用を阻む制度の見直し
③ ベース・レジストリ(公的基礎情報データベース)の整備・運用
④ オープンデータの推進
⑤ 政府・地方公共団体のシステムにおけるデータの相互運用性の確保
⑥ デジタルの利用環境・インフラ整備
⑦ AI向け計算資源・データセンターの整備の加速
(3)競争・成長のための協調
① データ連携・利活用推進
② 防災・医療・こども・教育等の準公共分野におけるデジタル化
③ 国の情報システムの最適化
④ 地方公共団体情報システムの統一・標準化
⑤ 「国・地方デジタル共通基盤の整備・運用に関する基本方針」に基づく共通化の推進
⑥ これからの行政サービスを支えるネットワークや柔軟な情報連携等の実現
⑦ 産業全体のモダン化
(4)安全・安心なデジタル社会の形成に向けた取組
① デジタルリテラシー(デジタルを正しく理解し活用する力)の向上
② アクセシビリティ(誰でもデジタルに関する製品やサービスを利用できる環境)の確保
③ 偽・誤情報等対策
④ サイバー犯罪対策
⑤ サイバーセキュリティの確保
(5)我が国のDX推進力の強化(デジタル人材の確保・育成と体制整備)
① 社会におけるデジタル人材の確保・育成
② 政府におけるDX推進体制の強化
③ 社会全体のデジタル化の司令塔機能の強化(デジタル庁の体制強化)

5. デジタル社会の実現に向けての理念・原則
(1)デジタル社会形成のための基本原則
(2)業務改革(BPR53)の必要性
(3)構造改革のためのデジタル原則
(4)クラウド第一原則(クラウド・バイ・デフォルト原則)
(5)個人情報等の適正な取扱いの確保及び効果的な活用の促進

第2 重点政策一覧
1. AI・デジタル技術等のテクノロジーの徹底活用による社会全体のデジタル化の推進
2. AI-フレンドリーな環境の整備(制度、データ、インフラ)
3. 競争・成長のための協調
4. 安全・安心なデジタル社会の形成に向けた取組
5. 我が国のDX推進力の強化(デジタル人材の確保・育成と体制整備)

第3 工程表

第4 オンライン化を実施する行政手続の一覧等

第5 データ利活用制度の在り方に関する基本方針


 

・[PDF] 統合版(令和7年6月13日閣議決定)

・[PDF] 概要 

20250615-183909

・[PDF] 本文

・[PDF] 重点政策一覧

・[PDF] 工程表

・[PDF] オンライン化を実施する行政手続の一覧等

・[PDF] データ利活用制度の在り方に関する基本方針

saki

参考資料

・[PDF] 国民の体験向上に向けた行政サービスの導入計画


過去資料...

デジタル社会の実現に向けた重点計画の過去資料




 

崎村さんが、すぐにNotebookLMでまとめをつくっていましたね...

@_Nat Zone Identity, Privacy, and Music

・2025.06.14「デジタル社会の実現に向けた重点計画」が閣議決定されました〜アイデンティティ管理に関する言及も多数

 

| | Comments (0)

2025.06.16

欧州 EDPB GDPR第48条(EU法によって認められない移転又は開示)についてのガイドライン バージョン2.0 (2025.06.04)

こんにちは、丸山満彦です。

GDPR第48条(EU 法によって認められない移転又は開示)についてのガイドラインが採択されましたね...

AI とデータ保護に関する 専門家支援プール(SPE)研修資料も公開されているようです...

また、GDPR に基づく記録保持義務の簡素化に関する提案草案について、欧州委員会が EDPB と EDPS に共同意見の提出を要請したことについて議論したようですね...

 

EDPB

・2025.06.05 EDPB、第三国当局へのデータ転送に関するガイドラインの最終版、および AI とデータ保護に関する SPE 研修資料を公開

EDPB publishes final version of guidelines on data transfers to third country authorities and SPE training material on AI and data protection EDPB、第三国当局へのデータ転送に関するガイドラインの最終版、および AI とデータ保護に関する SPE 研修資料を公開
Brussels, 05 June - During its latest plenary, the European Data Protection Board (EDPB) adopted the final version of its guidelines on Art.48 GDPR about data transfers to third country authorities, after public consultation. In addition, the Board presented two new Support Pool of Experts (SPE) projects providing training material on artificial intelligence and data protection. Finally, the Board discussed the European Commission’s request for a joint EDPB-EDPS opinion on the draft proposal on the simplification of record-keeping obligation under the GDPR 6 月 5 日、ブリュッセル - 欧州データ保護会議 (EDPB) は、最新の総会において、公開協議を経て、第三国当局へのデータ転送に関する GDPR 第 48 条に関するガイドラインの最終版を採択した。さらに、人工知能とデータ保護に関する研修資料を提供する 2 つの新しい専門家支援プール(SPE)プロジェクトも発表した。最後に、EDPB は、GDPR に基づく記録保持義務の簡素化に関する提案草案について、欧州委員会が EDPB と EDPS に共同意見の提出を要請したことについて議論した。
Data transfers to third country authorities  第三国当局へのデータ転送
Following public consultation, the EDPB has adopted the final version of the guidelines on data transfers to third country authorities. In its guidelines, the EDPB zooms in on Art. 48 GDPR and clarifies how organisations can best assess under which conditions they can lawfully respond to requests for a transfer of personal data from third country authorities (i.e. authorities from non-European countries). 公開協議を経て、EDPB は、第三国当局へのデータ転送に関するガイドラインの最終版を採択した。このガイドラインでは、GDPR 第 48 条に焦点を当て、組織が、第三国当局(すなわち、欧州以外の国の当局)からの個人データの転送要求に合法的に対応できる条件をどのように評価するのが最善かを明確にしている。
The EDPB explains that judgements or decisions from third country authorities cannot automatically be recognised or enforced in Europe. As a general rule, an international agreement may provide for both a legal basis and a ground for transfer. In case there is no international agreement, or if the agreement does not provide for an appropriate legal basis or safeguards, other legal bases or other grounds for transfer could be considered, in exceptional circumstances and on a case by case basis. EDPB は、第三国の当局による判断や決定は、欧州では自動的に承認または執行されるものではないと説明している。原則として、国際協定は、転送の法的根拠と理由の両方を規定することができる。国際協定がない場合、または協定が適切な法的根拠や保護措置を規定していない場合、例外的な状況において、ケースバイケースで、他の法的根拠または転送の理由を検討することができる。
The modifications introduced in the updated guidelines do not change their orientation, but they aim to provide further clarifications on different aspects that were brought up in the consultation. For example, the updated guidelines address the situation where the recipient of a request is a processor. In addition, they provide additional details regarding the situation where a mother company in a third country receives a request from that third country authority and then requests the personal data from its subsidiary in Europe.  更新されたガイドラインで導入された変更は、その方向性を変更するものではありませんが、協議で指摘されたさまざまな側面について、さらに明確化を図ることを目的としています。例えば、更新されたガイドラインでは、要求の取得者が処理者である場合について取り上げています。さらに、第三国の親会社が、その第三国の当局から要求を受け、欧州の子会社に個人データの提供を要求する場合について、詳細を追加しています。
Upskilling and reskilling on AI and data protection AI およびデータ保護に関するスキルアップと再教育
During its June’s plenary, the EDPB also presented two new Support Pool of Experts (SPE) projects*: Law & Compliance in AI Security and Data Protection and Fundamentals of Secure AI Systems with Personal Data. The two projects, which have been launched at the request of the Hellenic Data Protection Authority (HDPA), provide training material on AI and data protection. 6 月の総会で、EDPB は 2 つの新しい専門家サポートプール (SPE) プロジェクト*、すなわち「AI セキュリティおよびデータ保護に関する法律とコンプライアンス」と「個人データを含むセキュアな AI システムの基礎」も発表した。ギリシャデータ保護機関 (HDPA) の要請を受けて開始されたこの 2 つのプロジェクトは、AI およびデータ保護に関する研修資料を提供する。
The report “Law & Compliance in AI Security & Data Protection” is addressed to professionals with a legal focus like data protection officers (DPO) or privacy professionals. 報告書「AI セキュリティとデータ保護における法律とコンプライアンス」は、データ保護責任者(DPO)やプライバシーの専門家など、法律に重点を置く専門家を対象としている。
The second report, “Fundamentals of Secure AI Systems with Personal Data”, is oriented toward professionals with a technical focus like cybersecurity professionals, developers or deployers of high-risk AI systems. 2 つ目の報告書「個人データを含むセキュアな AI システムの基礎」は、サイバーセキュリティの専門家、開発者、高リスク AI システムの展開者など、技術に重点を置く専門家を対象としている。
The main aim of these projects is to address the critical shortage of skills on AI and data protection, which is seen as a key obstacle to the use of privacy-friendly AI. The training material will help equip professionals with essential competences in AI and data protection to create a more favourable environment for the enforcement of data protection legislation. これらのプロジェクトの主な目的は、プライバシーに配慮した AI の利用の重大な障害となっている AI およびデータ保護に関するスキルの深刻な不足に対処することだ。この研修資料は、専門家が AI およびデータ保護に関する基本的な能力を身につけ、データ保護法の施行のためのより好ましい環境を構築するのに役立つ。
The Board decided to publish both documents as PDF files. Taking into account the very fast evolution of AI, the EDPB also decided to launch a new innovative initiative as a one-year pilot project consisting of a modifiable community version of the reports. The EDPB will start working with the authors of both reports to import them in its Git repository** to allow, in a near future, any external contributor, with an account on this platform and under the condition of the Creative Commons Attribution-ShareAlike license, to propose changes or add comments to the documents. 委員会は、両文書をPDFファイルとして公開することを決定した。AIの急速な進化を踏まえ、EDPBは、報告書の変更可能なコミュニティ版を含む1年間のパイロットプロジェクトとして、新たな革新的なイニシアチブを立ち上げることも決定した。EDPB は、両報告書の作成者と協力し、これらの報告書を Git リポジトリ** に導入する作業を開始する。これにより、近い将来、このプラットフォームにアカウントを持ち、クリエイティブ・コモンズ・アトリビューション・シェアアライク・ライセンスに同意した外部貢献者は、文書に変更を提案したり、コメントを追加したりすることができるようになる。
Simplification of record-keeping obligation under the GDPR *** GDPR に基づく記録保持義務の簡素化 ***
Finally, the Board discussed the European Commission's request for a joint opinion by the EDPB and the European Data Protection Supervisor (EDPS) on its proposal to simplify the record-keeping obligations of small and medium-sized enterprises (SMEs), small mid-caps (SMCs) and organisations with fewer than 750 employees, amounting to a targeted amendment of Art. 30(5) GDPR. The EDPB and EDPS will issue their joint opinion on this matter within eight weeks.  最後に、委員会は、中小企業(SME)、小規模中堅企業(SMC)、および従業員 750 人未満の組織に対する記録保持義務を簡素化するための欧州委員会による提案について、EDPB および欧州データ保護監察機関(EDPS)による共同意見の提出を求める欧州委員会の要請について議論した。この提案は、GDPR 第 30 条(5)の改正を目的としたものである。EDPB および EDPS は、この件に関する共同意見書を 8 週間以内に発表する予定だ。
Note to editors: 編集後記
* The Support Pool of Experts (SPE) is an initiative included in the EDPB strategy 2024-2027 to help Data Protection Authorities (DPAs) increase their capacity to enforce by developing common tools and giving them access to a wide pool of experts.   * 専門家支援プール(SPE)は、データ保護機関(DPA)が共通ツールを開発し、幅広い専門家プールへのアクセスを提供することで、執行能力の強化を支援するための EDPB 戦略 2024-2027 に含まれる取り組みだ。
As part of the SPE programme, the EDPB may commission experts to provide reports and tools on specific topics. The views expressed in the deliverables are those of their authors and they do not necessarily reflect the official position of the EDPB. SPE プログラムの一環として、EDPB は、特定のトピックに関する報告書やツールの提供を専門家に委託することができる。成果物に記載された見解は、その著者の見解であり、EDPB の公式見解を必ずしも反映するものではない。
** The reports will be available in the following months on the repository page. ** 報告書は、今後数ヶ月以内にリポジトリページで公開される予定だ。
****On 8 May 2025, the EDPB and the EDPS adopted a letter, addressed to the European Commission, to share preliminary views on the Commission’s proposal on the simplification of record-keeping obligation under the GDPR. ***2025年5月8日、EDPBとEDPSは、欧州委員会宛ての書簡を採択し、GDPRに基づく記録保持義務の簡素化に関する欧州委員会の提案に関する予備的な見解を共有した。

 

・[PDF

20250615-172742

・[DOCX][PDF] 仮訳

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー
Article 48 GDPR provides that: “Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer pursuant to this Chapter”.  GDPR第48条は次のように規定している:「個人データの移転または開示を管理者または処理者に要求する裁判所または法廷の判決および第三国の行政当局の決定は、本章に基づくその他の移転理由を害することなく、要求元の第三国とEUまたは加盟国との間で有効な相互法的支援条約などの国際協定に基づく場合にのみ、いかなる方法においても承認または執行可能である。 
The purpose of these guidelines is to clarify the rationale and objective of this article, including its interaction with the other provisions of Chapter V of the GDPR, and to provide practical recommendations for controllers and processors in the EU that may receive requests from third country authorities to disclose or transfer personal data.   本ガイドラインの目的は、GDPR第5章の他の規定との相互関係を含め、本条項の根拠と目的を明確にし、第三国当局から個人データの開示または移転の要請を受ける可能性のあるEU内の管理者および処理者に対し、実践的な勧告を提供することである。  
The main objective of the provision is to clarify that judgments or decisions from third country authorities cannot automatically and directly be recognised or enforced in an EU Member State, thus underlining the legal sovereignty vis-a-vis third country law. As a general rule, recognition and enforceability of foreign judgements and decisions is ensured by applicable international agreements.  この規定の主な目的は、第三国当局の判決や決定がEU加盟国において自動的かつ直接的に承認または執行されることはないことを明確にすることであり、これにより第三国法に対する法的主権が強調される。原則として、外国の判決や決定の承認と執行可能性は、適用される国際協定によって確保される。 
Regardless of whether an applicable international agreement exists, if a controller or processor in the EU receives and answers a request from a third country authority for personal data, such data flow is a transfer under the GDPR and must comply with Article 6 and the provisions of Chapter V.   適用される国際協定が存在するか否かにかかわらず、EU内の管理者または処理者が第三国の当局から個人データの要請を受け、それに回答する場合、そのようなデータの流れはGDPRに基づく移転であり、第6条および第5章の規定を遵守しなければならない。  
An international agreement may provide for both a legal basis (under Article 6(1)(c) or 6(1)(e)) and a ground for transfer (under Article 46(2)(a)).   国際協定は、法的根拠(第6条1項(c)又は第6条1項(e)に基づく)と移転の根拠(第46条2項(a)に基づく)の両方を規定することができる。  
In the absence of an international agreement, or if the agreement does not provide for a legal basis under Article 6(1)(c) or 6(1)(e), other legal bases could be considered. Similarly, if there is no international agreement or the agreement does not provide for appropriate safeguards under Article 46(2)(a), other grounds for transfer could apply, including the derogations in Article 49.  国際協定がない場合、又は協定が第6条(1)(c)若しくは第6条(1)(e)に基づく法的根拠を規定していない場合には、他の法的根拠を検討することができる。同様に、国際協定がない場合、または協定が第46条(2)(a)に基づく適切なセーフガードを規定していない場合、第49条の適用除外を含め、他の移転理由が適用される可能性がある。   

 

目次...

1. INTRODUCTION 1. はじめに
2. WHAT IS THE SCOPE OF THESE GUIDELINES? 2. このガイドラインの適用範囲はどこまでか?
3. WHAT IS THE OBJECTIVE OF ARTICLE 48? 3. 第48条の目的は何か?
4. IN WHICH SITUATIONS IS ARTICLE 48 APPLICABLE? 4. 第48条はどのような場合に適用されるのか?
5. UNDER WHICH CONDITIONS CAN CONTROLLERS AND PROCESSORS RESPOND TO REQUESTS FROM THIRD COUNTRY AUTHORITIES? 5. 管理者と処理者は、どのような条件下で第三国当局からの要請に応じることができるのか?
5.1. Compliance with Article 6 GDPR 5.1. GDPR第6条への対応
5.2. Compliance with Chapter V GDPR 5.2. GDPR第5章への対応
Annex – Practical steps 附属書 - 実践的なステップ

 


個人情報保護委員会

・[PDF] 一般データ保護規則(GDPR)の条文

移転の一般原則...第44条

Article 44 General principle for transfers 第44 条 移転に関する一般原則
Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation. All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons guaranteed by this Regulation is not undermined. 現に取扱われている又は第三国又は国際機関への移転の後に取扱いを意図した個人データ移転は、その第三国又は国際機関か別の第三国又は国際機関への個人データの転送に関するものを含め、本規則の他の条項に従い、本章に定める要件が管理者及び処理者によって遵守される場合においてのみ、行われる。本章の全ての条項は、本規則によって保証される自然人保護のレベルが低下しないことを確保するために適用される。

 

第48条

Article 48 Transfers or disclosures not authorised by Union law 第48 条 EU 法によって認められない移転又は開示
Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer pursuant to this Chapter. 管理者又は処理者に対して個人データの移転又は開示を命ずる第三国の裁判所若しくは法廷の判決及び公的機関の決定は、本章による移転のための別の法的根拠を妨げることなく、いかなる態様によるにせよ、司法共助条約のような要請元である第三国と EU 又は加盟国との間で有効な国際合意に基づく場合においてのみ、認められるか又は執行力を有することができる。

 

ちなみに、日欧間、日英間については、同等性の認定をうけていますので、日欧の間のデータ移転については、EU国内での移転と同様におこなえることになっていますよね...

日EU間・日英間のデータ越境移転について

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.07 欧州 EDPB 第三国当局へのデータ移転に関するGDPR第48条に関するガイドラインを発表し、新しい欧州データ保護シールを承認

 

| | Comments (0)

2025.06.15

インターポール 20,000以上のIPとドメインの削除、41のサーバーと100GB以上のデータの押収、違法なサイバー活動に関連する32人の容疑者の逮捕 (2025.06.11)

こんにちは、丸山満彦です。

Interpolが、20,000以上のIPとドメインを削除し、41のサーバーと100GB以上のデータの押収し、違法なサイバー活動に関連する32人の容疑者を逮捕したと発表していますね...

これに合わせて警察庁も、「国際刑事警察機構主導の情報窃取型マルウェアのテイクダウンについて」報道発表をしていますね...

経済的な犯罪者に対しては、イデオロギーに関わらず協力できるところは協力して、犯罪を減少することに協力できるよいですね...

今回の特徴的なポイントは、

・アジア・南太平洋合同対サイバー犯罪作戦(ASPJOC)プロジェクトの下で組織された地域的イニシアティブである「オペレーション・セキュア」による活動である。

・ということもあって?参加国は中国、インド、韓国、シンガポール、日本を含むアジア、太平洋諸国であるが、オーストラリア、ニュージーランドは含まない

・民間パートナーは、日本のトレンドマイクロの他、今はシンガポールの企業となったGroup-IB[wikipedia]、ロシアのセキュリティ企業の老舗であるカスペルスキー[wikipedia]である

 

まずは、Intepolの発表から

Interpol

・2025.06.11 20,000 malicious IPs and domains taken down in INTERPOL infostealer crackdown

 

20,000 malicious IPs and domains taken down in INTERPOL infostealer crackdown インターポールの情報窃盗団取り締まりで20,000の悪質なIPとドメインが削除される
41 servers seized and 32 suspects arrested during Operation Secure 41台のサーバーを押収し、32人の容疑者を逮捕した。
SINGAPORE – More than 20,000 malicious IP addresses or domains linked to information stealers have been taken down in an INTERPOL-coordinated operation against cybercriminal infrastructure. シンガポール発-サイバー犯罪インフラに対する国際刑事警察機構(INTERPOL)の連携作戦で、情報窃盗犯に関連する2万以上の悪質なIPアドレスをドメインが取り締まった。
During Operation Secure (January – April 2025) law enforcement agencies from 26 countries worked to locate servers, map physical networks and execute targeted takedowns. 「オペレーション・セキュア」(2025年1月~4月)の期間中、26カ国の法執行機関がサーバーの位置を特定し、物理的なネットワークをマッピングし、標的を絞ったテイクダウンを実行した。
Ahead of the operation, INTERPOL cooperated with private-sector partners Group-IB, Kaspersky and Trend Micro to produce Cyber Activity Reports, sharing critical intelligence with cyber teams across Asia. These coordinated efforts resulted in the takedown of 79 per cent of identified suspicious IP addresses. 作戦に先立ち、インターポールは民間セクターのパートナーであるGroup-IB、カスペルスキー、トレンドマイクロと協力してサイバー活動レポートを作成し、アジア全域のサイバーチームと重要な情報活動を共有した。このような協調的な努力の結果、特定された疑わしいIPアドレスの79%が摘発された。
Participating countries reported the seizure of 41 servers and over 100 GB of data, as well as the arrest of 32 suspects linked to illegal cyber activities. 参加国は、41のサーバーと100GB以上のデータの押収、および違法なサイバー活動に関連する32人の容疑者の逮捕を報告した。
What are infostealers? インフォステーラーとは何か?
Infostealer malware is a primary tool for gaining unauthorized access to organizational networks. This type of malicious software extracts sensitive data from infected devices, often referred to as bots. The stolen information typically includes browser credentials, passwords, cookies, credit card details and cryptocurrency wallet data. インフォステーラー・マルウェアは、組織のネットワークに不正アクセスするための主要なツールである。この種の悪意のあるソフトウェアは、感染したデバイス(しばしばボットと呼ばれる)から機密データを抽出する。盗まれる情報には通常、ブラウザの認証情報、パスワード、クッキー、クレジットカード情報、暗号通貨ウォレットのデータなどが含まれる。
Additionally, logs harvested by infostealers are increasingly traded on the cybercriminal underground and are frequently used as a gateway for further attacks. These logs often enable initial access for ransomware deployments, data breaches, and cyber-enabled fraud schemes such as Business Email Compromise (BEC). さらに、情報窃取者によって取得されたログは、サイバー犯罪のアンダーグラウンドでますます取引されるようになり、さらなる攻撃のゲートウェイとして頻繁に使用されている。これらのログは、ランサムウェアの展開、データ侵害、ビジネスメール詐欺(BEC)のようなサイバー詐欺のスキームへの最初のアクセスを可能にすることが多い。
Following the operation, authorities notified over 216,000 victims and potential victims so they could take immediate action - such as changing passwords, freezing accounts, or removing unauthorized access. この作戦の後、認定機関は216,000人以上の被害者と潜在的な被害者に通知し、被害者はパスワードの変更、アカウントの凍結、不正アクセスの削除など、直ちに行動を起こせるようにした。
Operational highlights 作戦のハイライト
Vietnamese police arrested 18 suspects, seizing devices from their homes and workplaces. The group's leader was found with over VND 300 million (USD 11,500) in cash, SIM cards and business registration documents, pointing to a scheme to open and sell corporate accounts. ベトナム警察は18人の容疑者を逮捕し、自宅や職場から機器を押収した。グループのリーダーは、現金、SIMカード、企業登録書類から3億ドン(1万1,500米ドル)以上を発見され、企業口座の開設・販売スキームを指摘された。
As part of their respective enforcement efforts under Operation Secure, house raids were carried out by authorities in Sri Lanka and Nauru. These actions led to the arrest of 14 individuals - 12 in Sri Lanka and two in Nauru - as well as the identification of 40 victims. 「セキュア・オペレーション」に基づくそれぞれの取締りの一環として、スリランカとナウルの当局が家宅捜索を実施した。これらの行動により、スリランカで12人、ナウルで2人の計14人が逮捕され、40人の被害者が確認された。
The Hong Kong Police analysed over 1,700 pieces of intelligence provided by INTERPOL and identified 117 command-and-control servers hosted across 89 internet service providers. These servers were used by cybercriminals as central hubs to launch and manage malicious campaigns, including phishing, online fraud and social media scams. 香港警察は、INTERPOLから提供された1,700以上の情報を分析し、89のインターネット・サービス・プロバイダにホスティングされた117のコマンド・アンド・コントロール・サーバーを特定した。これらのサーバーは、サイバー犯罪者がフィッシング、オンライン詐欺、ソーシャルメディア詐欺などの悪質なキャンペーンを立ち上げ、管理する中心的なハブとして使用されていた。
Neal Jetton, INTERPOL’s Director of Cybercrime, said: INTERPOLのサイバー犯罪担当ディレクター、ニール・ジェットン氏は次のように述べた:
“INTERPOL continues to support practical, collaborative action against global cyber threats. Operation Secure has once again shown the power of intelligence sharing in disrupting malicious infrastructure and preventing large-scale harm to both individuals and businesses.” 「INTERPOLは、世界的なサイバー脅威に対する実践的で協力的な行動を支援し続けている。セキュア作戦は、悪意のあるインフラを破壊し、個人と企業の両方に対する大規模な被害を防ぐ上で、情報共有の力を改めて示した。
Notes to editors 編集後記
Operation Secure is a regional initiative organized under the Asia and South Pacific Joint Operations Against Cybercrime (ASPJOC) Project. 「オペレーション・セキュア」は、アジア・南太平洋合同対サイバー犯罪作戦(ASPJOC)プロジェクトの下で組織された地域的イニシアティブである。
Participating countries: Brunei, Cambodia, Fiji, Hong Kong (China), India, Indonesia, Japan, Kazakhstan, Kiribati, Korea (Rep of), Laos, Macau (China), Malaysia, Maldives, Nauru, Nepal, Papua New Guinea, Philippines, Samoa, Singapore, Solomon Islands, Sri Lanka, Thailand, Timor-Leste, Tonga, Vanuatu, Vietnam. 参加国 ブルネイ、カンボジア、フィジー、香港(中国)、インド、インドネシア、日本、カザフスタン、キリバス、韓国、ラオス、マカオ(中国)、マレーシア、モルディブ、ナウル、ネパール、パプアニューギニア、フィリピン、サモア、シンガポール、ソロモン諸島、スリランカ、タイ、東ティモール、トンガ、バヌアツ、ベトナム。

 

Interpol

 


警察庁の発表

警察庁

・2025.06.12 国際刑事警察機構主導の情報窃取型マルウェアのテイクダウンに係るプレスリリースについて


報道発表資料の概要

 国際刑事警察機構は、アジア・南太平洋地域における情報窃取型マルウェアの対策を行うため、民間事業者とも連携しながら、世界各国が協力して捜査を行い、関係サーバーのテイクダウン等を行うことで犯行抑止、被害防止を実施した旨をプレスリリースしました。
   同プレスリリースにおいては、今回のテイクダウンに向けた取組に関して、日本警察の協力についても言及されています。

   警察庁は、国際刑事警察機構から日本国内で被害をもたらしているおそれのある情報窃取型マルウェア(インフォスティーラー)に関するサーバ情報(IPアドレス等)を受け、サイバー特別捜査部及び18都府県警察が連携し、これを管理する事業者に順次働きかけを行っており、既に一部については、当該事業者によってテイクダウンの措置が講じられております。


 

・[PDF


広 報 資 料
令 和 7 年 6 月
警 察 庁

国際刑事警察機構主導の情報窃取型マルウェアのテイクダウンに係るプレスリリースについて

1 プレスリリースの概要

国際刑事警察機構は、アジア・南太平洋地域における情報窃取型マルウェアの対策を行うため、民間事業者とも連携しながら世界各国が協力して捜査を行い、関係サーバーのテイクダウン等を行うことで犯行抑止、被害防止を実施した旨をプレスリリースした。
同プレスリリースにおいては、今回のテイクダウンに向けた取組に関し、日本警察の協力についても言及されている。

2 日本警察及び関係事業者の協力

警察庁は国際刑事警察機構から日本国内で被害をもたらしているおそれのある情報窃取型マルウェア(インフォスティーラー)に関するサーバ情報(IPアドレス等)を受け、サイバー特別捜査部及び18都府県警察が連携してこれを管理する事業者に順次働きかけを行っており、既に一部については、当該事業者によってテイクダウンの措置が講じられている。
引き続き、サイバー空間における一層の安全・安心の確保を図るため、サイバー事案の厳正な取締りや実態解明、国内外の関係機関との連携を推進する。


 

| | Comments (0)

2025.06.14

米国 大統領令14306 国家のサイバーセキュリティを強化するための厳選された取り組みを維持し、大統領令13694と大統領令14144を改正する (2025.06.06)

こんにちは、丸山満彦です。

何か、忘れていると思っていたらこれでした...

大統領令13694 重大な悪意あるサイバー活動を行う特定の人物の財産のブロックは一部で”any person ”を”any foreign person”と対象を外国人に限定するという変更です。

主な変更は、大統領令14144 サイバーセキュリティの強化とイノベーションの促進ですね...

ランプさんの大統領令の数はすごいかもです...(バイデン元大統領が4年かけて162ですが、トランプ大統領は6ヶ月未満ですが、すでに161...)

U.S. White House

・2025.06.06 SUSTAINING SELECT EFFORTS TO STRENGTHEN THE NATION’S CYBERSECURITY AND AMENDING EXECUTIVE ORDER 13694 AND EXECUTIVE ORDER 14144

 

SUSTAINING SELECT EFFORTS TO STRENGTHEN THE NATION’S CYBERSECURITY AND AMENDING EXECUTIVE ORDER 13694 AND EXECUTIVE ORDER 14144 国家のサイバーセキュリティを強化するための厳選された取り組みを継続し、大統領令13694および大統領令14144を改正する。
By the authority vested in me as President by the Constitution and the laws of the United States of America, including the International Emergency Economic Powers Act (50 U.S.C. 1701 et seq.), the National Emergencies Act (50 U.S.C. 1601 et seq.), section 212(f) of the Immigration and Nationality Act of 1952 (8 U.S.C. 1182(f)), and section 301 of title 3, United States Code, it is hereby ordered: 国際緊急経済権限法(50 U.S.C. 1701 et seq.)、国家緊急事態法(50 U.S.C. 1601 et seq.)、1952 年移民国籍法第 212 条(f)(8 U.S.C. 1182(f))および米国法典第 3 編第 301 条を含む、憲法および米国法によって大統領として私に与えられた認可により、ここに命令する:
Section 1.  Amendments to Executive Order 14144.  Executive Order 14144 of January 16, 2025 (Strengthening and Promoting Innovation in the Nation’s Cybersecurity), is hereby amended by: 第1項 大統領令14144の改正。 2025年1月16日の大統領令14144(国家のサイバーセキュリティにおけるイノベーションの強化と促進)は、以下の通り改正される:
(a)  striking subsections 2(a)-(b) and redesignating subsections 2(c), 2(d), and 2(e) as subsections 2(a), 2(b), and 2(c), respectively; (a) 第2(a)~(b)を削除し、第2(c)項、第2(d)項、第2(e)項をそれぞれ第2(a)項、第2(b)項、第2(c)項とする;
(b)  striking the first sentence of subsection 2(e); (b) 第2(e)項の前段を削除する;
(c)  striking subsections 3(a)-(b) and redesignating subsections 3(c), 3(d), and 3(e) as subsections 3(a), 3(b), and 3(c), respectively; (c) 第3(a)~(b)項を削除し、第3(c)項、第3(d)項、第3(e)項をそれぞれ第3(a)項、第3(b)項、第3(c)項とする;
(d)  striking from subsection 3(c) the phrase “In Executive Order 14028, I directed the Secretary of Defense and the Secretary of Homeland Security to establish procedures to immediately share threat information to strengthen the collective defense of Department of Defense and civilian networks.”; (d) 第3項(c)から、「大統領令14028において、私は国防省長官と国土安全保障省長官に対し、国防省と民間ネットワークの集団的防衛を強化するため、脅威情報を直ちに共有する手順を確立するよう指示した」という文言を削除する;
(e)  striking from subsection 3(c)(i)(A) the word “novel”; (e) 第3項(c)(i)(A)から「新たな」という語を削除する;
(f)  striking subsection 4(b)(iv); (f) 第4(b)(iv)項を削除する;
(g)  striking subsections 4(d)(ii)-(iii); (g) 第4(d)(ii)~(iii)項を削除する;
(h)  striking section 5 and redesignating sections 6, 7, 8, 9, 10, and 11 as sections 5, 6, 7, 8, 9, and 10, respectively; and (h) 第5項を削除し、第6項、第7項、第8項、第9項、第10項、および第11項をそれぞれ第5項、第6項、第7項、第8項、第9項、および第10項と再指定する。
(i)  striking from subsection 8(c) the phrase “in the areas of intrusion detection, use of hardware roots of trust for secure booting, and development and deployment of security patches.”. (i)第8項(c)から、「侵入検知、セキュアブートのためのハードウェアルートオブトラストの使用、セキュリティパッチの開発および展開の分野において」という文言を削除する。
Sec. 2.  Further Amendments to Executive Order 14144.  Executive Order 14144 is hereby amended by: 第2項 大統領令14144のさらなる改正。 大統領令 14144 は、以下のように改正される:
(a)  striking section 1 and inserting, in lieu thereof, the following: (a) 第 1 項を削除し、その代わりに以下を挿入する:
“Section 1.  Policy.  Foreign nations and criminals continue to conduct cyber campaigns targeting the United States and Americans.  The People’s Republic of China presents the most active and persistent cyber threat to United States Government, private sector, and critical infrastructure networks, but significant threats also emanate from Russia, Iran, North Korea, and others who undermine United States cybersecurity.  These campaigns disrupt the delivery of critical services across the Nation, cost billions of dollars, and undermine Americans’ security and privacy.  More must be done to improve the Nation’s cybersecurity against these threats.  I am ordering additional actions to improve our Nation’s cybersecurity, focusing on defending our digital infrastructure, securing the services and capabilities most vital to the digital domain, and building our capability to address key threats.”; 「第1項 方針。 外国および犯罪行為は、米国および米国人を標的としたサイバーキャンペーンを継続的に行っている。 中華人民共和国は、米国政府、民間部門、および重要インフラ・ネットワークに対する最も活発かつ持続的なサイバー脅威を提示しているが、重要な脅威は、ロシア、イラン、北朝鮮、および米国のサイバーセキュリティを弱体化させるその他の国々からも発せられている。 これらのキャンペーンは、全米の重要なサービスの提供を妨害し、何十億ドルものコストをかけ、米国人のセキュリティとプライバシーを損なっている。 このような脅威に対する国家のサイバーセキュリティを改善するために、もっと多くのことをしなければならない。 私は、国家のサイバーセキュリティを改善するため、デジタル・インフラの防衛、デジタル領域で最も重要なサービスと能力の確保、主要な脅威に対処する能力の強化に重点を置いた追加措置を指示する;
(b)  striking subsection 2(c) and inserting, in lieu thereof, the following: (b) 第2項(c)を削除し、代わりに以下を挿入する:
“(c)  Relevant executive departments and agencies (agencies) shall take the following actions: 「(c)関係省庁は以下の措置を講じる:
(i)    By August 1, 2025, the Secretary of Commerce, acting through the Director of NIST, shall establish a consortium with industry at the National Cybersecurity Center of Excellence to develop guidance, informed by the consortium as appropriate, that demonstrates the implementation of secure software development, security, and operations practices based on NIST Special Publication 800–218 (Secure Software Development Framework (SSDF)). (i)2025年8月1日までに、商務長官は、NIST長官を通じて、国立サイバーセキュリティ・センター・オブ・エクセレンスに産業界とのコンソーシアムを設立し、NIST特別刊行物800-218(セキュアソフトウェア開発フレームワーク(SSDF))に基づくセキュアソフトウェアの開発、セキュリティ、運用の実践を実証するガイダンスを、適宜コンソーシアムから情報を得て策定する。
(ii)   By September 2, 2025, the Secretary of Commerce, acting through the Director of NIST, shall update NIST Special Publication 800–53 (Security and Privacy Controls for Information Systems and Organizations) to provide guidance on how to securely and reliably deploy patches and updates. (ii) 2025年9月2日までに、商務長官は、NIST長官を通じて、NIST特別刊行物800-53(情報システム及び組織のセキュリティ及びプライバシー管理)を更新し、パッチ及び更新を安全かつ確実に展開する方法に関する指針を提供する。
(iii)  By December 1, 2025, the Secretary of Commerce, acting through the Director of NIST, in consultation with the heads of such agencies as the Director of NIST deems appropriate, shall develop and publish a preliminary update to the SSDF.  This preliminary update shall include practices, procedures, controls, and implementation examples regarding the secure and reliable development and delivery of software as well as the security of the software itself.  Within 120 days of publishing the preliminary update, the Secretary of Commerce, acting through the Director of NIST, shall publish a final version of the updated SSDF.”; (iii) 2025 年 12 月 1 日までに、商務長官は、NIST 長官を通じて、NIST 長官が適切と考える省庁の長と協議の上、SSDF の暫定的な更新を策定し、公表するものとする。 この暫定更新版には、ソフトウェアの安全で信頼性の高い開発および提供、ならびにソフトウェア自体のセキュリティに関する実践、手順、管理、および実装例を含めるものとする。 暫定的な更新版の公表から 120 日以内に、商務長官は NIST 長官を通 じて、更新された SSDF の最終版を公表するものとする;
(c)  striking from subsection 4(b) the phrase “The security of Internet traffic depends on data being correctly routed and delivered to the intended recipient network.  Routing information originated and propagated across the Internet, utilizing the Border Gateway Protocol (BGP), is vulnerable to attack and misconfiguration.” and inserting, in lieu thereof, the following: (c)第4項(b)から「インターネット・トラフィックのセキュリティは、データが正しくルーティングされ、意図された取得者ネットワークに配信されることに依存する。 ボーダーゲートウェイプロトコル(BGP)を利用してインターネット上で生成され、伝播されるルーティング情報は、攻撃や誤設定に対して脆弱である:
“Relevant agencies shall take the following actions:”; 「関係機関は、以下の措置を講じなければならない;
(d)  striking subsection 4(f) and inserting, in lieu thereof, the following: (d) 第4項(f)を削除し、代わりに以下を挿入する:
“(f)  A quantum computer of sufficient size and sophistication —  also known as a cryptanalytically relevant quantum computer (CRQC) —  will be capable of breaking much of the public-key cryptography used on digital systems across the United States and around the world.  National Security Memorandum 10 of May 4, 2022 (Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems), directed the Federal Government to prepare for a transition to cryptographic algorithms that would not be vulnerable to a CRQC. 「(f)十分な規模と精巧さを備えた量子コンピュータ(暗号解読関連量子コンピュータ(CRQC)とも呼ばれる)は、米国および世界中のデジタルシステムで使用されている公開鍵暗号の多くを解読することができる。 2022年5月4日の国家安全保障覚書10(脆弱な暗号システムに対するリスクを緩和しつつ、量子コンピューティングにおける米国のリーダーシップを促進する)は、連邦政府に対し、CRQCに対して脆弱でない暗号アルゴリズムへの移行に備えるよう指示した。
(i)   By December 1, 2025, the Secretary of Homeland Security, acting through the Director of the Cybersecurity and Infrastructure Security Agency (CISA), and in consultation with the Director of the National Security Agency, shall release and thereafter regularly update a list of product categories in which products that support post-quantum cryptography (PQC) are widely available. (i) 2025 年 12 月 1 日までに、国土安全保障長官は、サイバーセキュリティ・インフラセキュリティ庁(CISA)長官を 通じて、国家安全保障局長官と協議の上、ポスト量子暗号(PQC)をサポートする製品が広く利用可能な製品カテゴリの リストを公表し、その後定期的に更新する。
(ii)  By December 1, 2025, to prepare for transition to PQC, the Director of the National Security Agency with respect to National Security Systems (NSS), and the Director of OMB with respect to non-NSS, shall each issue requirements for agencies to support, as soon as practicable, but not later than January 2, 2030, Transport Layer Security protocol version 1.3 or a successor version.”; (ii) 2025 年 12 月 1 日までに、PQC への移行を準備するため、国家安全保障シス テム(NSS)に関しては国家安全保障局長官が、NSS 以外に関しては OMB 長官が、それぞれ、 できるだけ早く、遅くとも 2030 年 1 月 2 日までに、トランスポート・レイヤー・セキュリ ティ・プロトコル バージョン 1.3 またはその後継バージョンをサポートするよう、各省庁に対す る要件を発行するものとする;
(e)  striking former section 6 (newly designated section 5) and inserting, in lieu thereof, the following: (e) 旧第6項(新たに第5項とする)を削除し、その代わりに以下を挿入する:
“Sec. 5.  Promoting Security with and in Artificial Intelligence.  Artificial intelligence (AI) has the potential to transform cyber defense by rapidly identifying vulnerabilities, increasing the scale of threat detection techniques, and automating cyber defense. 「第5項 人工知能を用いた、および人工知能におけるセキュリティの推進。 人工知能(AI)は、脆弱性を迅速に特定し、脅威検知技術の規模を拡大し、サイバー脅威防御を自動化することで、サイバー防御を変革する可能性を秘めている。
(a)  By November 1, 2025, the Secretary of Commerce, acting through the Director of NIST; the Secretary of Energy; the Secretary of Homeland Security, acting through the Under Secretary for Science and Technology; and the Director of the National Science Foundation shall ensure that existing datasets for cyber defense research have been made accessible to the broader academic research community (either securely or publicly) to the maximum extent feasible, in consideration of business confidentiality and national security. (a)2025年11月1日までに、商務長官(NIST長官を通じて)、エネルギー省長官、国土安全保障省長官(科学技術次官を通じて)、および全米科学財団長官は、サイバー防衛研究のための既存のデータセットが、ビジネスの機密性と国家安全保障に配慮して、実行可能な最大限の範囲で、より広範な学術研究コミュニティが(安全にまたは公に)アクセスできるようにする。
(b)  By November 1, 2025, the Secretary of Defense, the Secretary of Homeland Security, and the Director of National Intelligence, in coordination with appropriate officials within the Executive Office of the President, to include officials within the Office of Science and Technology Policy, the Office of the National Cyber Director, and the Director of OMB, shall incorporate management of AI software vulnerabilities and compromises into their respective agencies’ existing processes and interagency coordination mechanisms for vulnerability management, including through incident tracking, response, and reporting, and by sharing indicators of compromise for AI systems.”; (b) 2025年11月1日までに、国防長官、国土安全保障長官、国家情報長官は、大統領府内の適切な職員(米国科学技術政策局、国家サイバー長官室、OMB長官を含む)と連携して、AIソフトウェアの脆弱性と侵害の管理を、インシデントの追跡、対応、報告、AIシステムの侵害の指標の共有を含む、脆弱性管理のためのそれぞれの省庁の既存のプロセスおよび省庁間の調整メカニズムに組み込むものとする;
(f)  striking section 7 and inserting, in lieu thereof, the following: (f) 第7項を削除し、その代わりに以下を挿入する:
“Sec. 7.  Aligning Policy to Practice.  Agencies’ policies must align investments and priorities to improve network visibility and security controls to reduce cyber risks.  In consultation with the National Cyber Director, agencies shall take the following actions: 「第7項。政策と実務の整合。 各省庁の政策は、サイバー・リスクを削減するために、ネットワークの可視性とセキュリティ管理を改善するための投資と優先順位を一致させなければならない。 国家サイバー局長と協議の上、各省庁は以下の行動を取らなければならない:
(a)  Within 3 years of the date of this order, the Director of OMB shall issue guidance, including any necessary revision to OMB Circular A–130, to address critical risks and adapt modern practices and architectures across Federal information systems and networks. (a) 本命令の日付から3年以内に、OMB長官は、OMB Circular A-130の必要な改訂を含むガイダンスを発行し、重要なリスクに対処し、連邦情報システムとネットワーク全体に最新の慣行とアーキテクチャを適応させる。
(b)  Within 1 year of the date of this order, the Secretary of Commerce, acting through the Director of NIST; the Secretary of Homeland Security, acting through the Director of CISA; and the Director of OMB shall establish a pilot program of a rules-as- code approach for machine-readable versions of policy and guidance that OMB, NIST, and CISA publish and manage regarding cybersecurity. (b) 本命令の日付から 1 年以内に、商務長官は NIST 長官を通じ、国土安全保障長官は CISA 長官を通じ、OMB 長官は OMB、NIST、CISA がサイバーセキュリティに関して発行・管理する政策・指針の機械可読版について、ルール・アズ・コード・アプローチのパイロット・プログラムを確立する。
(c)  Within 1 year of the date of this order, agency members of the FAR Council shall, as appropriate and consistent with applicable law, jointly take steps to amend the FAR to adopt requirements for agencies to, by January 4, 2027, require vendors to the Federal Government of consumer Internet-of-Things products, as defined by 47 CFR 8.203(b), to carry United States Cyber Trust Mark labeling for those products.”; and (c) 本命令の日付から 1 年以内に、FAR 評議会の加盟国は、適切かつ適用法と一致するように、2027 年 1 月 4 日までに、47CFR 8.203(b)で定義されているように、消費者向け Internet-of-Things 製品の米国政府向けベンダーに対し、当該製品に米国サイバートラストマークの表示を義務付ける要件を採用するために、FAR を改正するための措置を共同で講じるものとする。
(g)  striking subsection 8(a) and inserting, in lieu thereof, the following: (g) 第 8 項(a)を削除し、その代わりに以下を挿入する:
“(a)  Except as specifically provided for in subsection 4(f) of this order, sections 1 through 7 of this order shall not apply to Federal information systems that are NSS or are otherwise identified by the Department of Defense or the Intelligence Community as debilitating impact systems.”. 「(a)本命令の第 4 項(f)に具体的に規定されている場合を除き、本命令の第 1 項から第 7 項は、NSS であるか、または国防総省もしくはインテリジェンス・コミュニティが衰弱的な影響 を与えるシステムであると識別した連邦情報システムには適用されないものとする。
Sec. 3.  Amendments to Executive Order 13694.  Executive Order 13694 of April 1, 2015 (Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities), as amended by Executive Order 13757 of December 28, 2016 (Taking Additional Steps to Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities), Executive Order 13984 of January 19, 2021 (Taking Additional Steps to Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities), and Executive Order 14144, is hereby further amended by: 第3項 大統領令13694の改正。 2015年4月1日の大統領令13694(重大な悪意のあるサイバーイネーブルド活動に従事する特定の者の財産を封鎖する)は、2016年12月28日の大統領令13757(重大な悪意のあるサイバーイネーブルド活動に関して国家緊急事態に対処するための追加的措置を講じる)、2021年1月19日の大統領令13984(重大な悪意のあるサイバーイネーブルド活動に関して国家緊急事態に対処するための追加的措置を講じる)、および大統領令14144によって改正されたものであるが、さらに以下のように改正する:
(a)  striking from subsection 1(a)(ii) the phrase “any person” and inserting in lieu thereof “any foreign person”; and (a) 第1項(a)(ii)から「あらゆる人」という語句を削除し、その代わりに「あらゆる外国人」を挿入する。
(b)  striking from subsection 1(a)(iii) the phrase “any person” and inserting in lieu thereof “any foreign person.”. (b) 第1款(a)(iii)から「あらゆる人」という語句を削除し、その代わりに「あらゆる外国人」と挿入する。
Sec. 4.  General Provisions.  (a)  Nothing in this order shall be construed to impair or otherwise affect: 第4項 一般規定。 (a) 本命令のいかなる規定も、これを損なったり、その他の影響を及ぼすものと解釈されてはならない:
(i)   the authority granted by law to an executive department or agency, or the head thereof; or (i) 行政部、行政機関、またはその長に法律で認められた認可。
(ii)  the functions of the Director of OMB relating to budgetary, administrative, or legislative proposals. (ii) 予算案、行政案、立法案に関するOMB長官の機能。
(b)  This order shall be implemented in a manner consistent with applicable law and subject to the availability of appropriations. (b) 本命令は、適用法に合致した方法で、かつ充当可能な予算に応じて実施されるものとする。
(c)  This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person. (c) 本命令は、米国、その省庁、事業体、その役員、職員、代理人、その他いかなる者に対しても、法律上または衡平法上執行可能な、実質的または手続き上の権利または利益を創出することを意図したものではなく、また創出するものでもない。
(d)  The costs for publication of this order shall be borne by the Department of Homeland Security. (d) 本命令の公布にかかる費用は、国土安全保障省が負担するものとする。
                             DONALD J. TRUMP ドナルド・J・トランプ
THE WHITE HOUSE, ホワイトハウス
    June 6, 2025. 2025年6月6日

 

 

20250121-105054


 

官報

Federal Register

・2025.06.11 Exective Order 14306 Sustaining Select Efforts To Strengthen the Nation's Cybersecurity and Amending Executive Order 13694 and Executive Order 14144

 

改正するもの...

・2025.01.17 Exective Order 14144 Strengthening and Promoting Innovation in the Nation's Cybersecurity

・2015.04.01 Exective Order 13694 Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities

 

参考 1933年以降の大統領令の数(2025.06.13現在)...

Presidential Documents

下線は4年超

32 1933–1945 フランクリン・ルーズベルト 民主党 3,721
33 1945–1953 ハリー・S・トルーマン 民主党 906
34 1953–1961 ドワイト・D・アイゼンハワー 共和党 484
35 1961–1963 ジョン・F・ケネディ 民主党 214
36 1963–1969 リンドン・B・ジョンソン 民主党 325
37 1969–1974 リチャード・ニクソン 共和党 346
38 1974–1977 ジェラルド・フォード 共和党 169
39 1977–1981 ジミー・カーター 民主党 320
40 1981–1989 ロナルド・レーガン 共和党 381
41 1989–1993 ジョージ・H・W・ブッシュ 共和党 166
42 1993–2001 ビル・クリントン 民主党 364
43 2001–2009 ジョージ・W・ブッシュ 共和党 291
44 2009–2017 バラク・オバマ 民主党 277
45 2017–2021 ドナルド・トランプ 共和党 220
46 2021–2025 ジョー・バイデン 民主党 162
47 2025- ドナルド・トランプ 共和党 161
        8,507



 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.01.18 米国 ホワイトハウス 大統領令14144 サイバーセキュリティの強化とイノベーションの促進 (2025.01.16)

 

 

 


見え消し版 ↓↓↓↓↓

» Continue reading

| | Comments (0)

2025.06.13

米国 NIST SP1800-35 ゼロトラストアーキテクチャの実装: ハイレベル文書 (2025.06.10)

こんにちは、丸山満彦です。

NISTが、ゼロトラスト・アーキテクチャーを導入するための実装ガイドのハイレベル文書であるSP1800-35を公表していますね...

SP1800-35の補足的な資料となる完全な文書については、こちらです...

 

一般的なゼロトラスト・アーキテクチャの図がこちらになります...

1_20250613054601

 

EIGクロール・フェーズ参照アーキテクチャはこちら...

1_20250613060401

 

協力している企業が24社あるわけですが、自国の企業だけでゼロトラストの実装ができる国というのは、米国ならではかもしれません。ひょっとしたら中国がすでにできるようになっているかもしれませんが...

 

NIST - ITL

・2025.06.10 NIST SP 1800-35 Implementing a Zero Trust Architecture: High-Level Document

NIST SP 1800-35 Implementing a Zero Trust Architecture: High-Level Document NIST SP 1800-35 ゼロトラストアーキテクチャの実装: ハイレベル文書
Abstract 概要
A zero trust architecture (ZTA) enables secure authorized access to enterprise resources that are distributed across on-premises and multiple cloud environments, while enabling a hybrid workforce and partners to access resources from anywhere, at any time, from any device in support of the organization’s mission. This NIST Cybersecurity Practice Guide explains how organizations can implement ZTA consistent with the concepts and principles outlined in NIST Special Publication (SP) 800-207, Zero Trust Architecture. The NCCoE worked with 24 collaborators under Cooperative Research and Development Agreements (CRADAs) to integrate commercially available technology to build 19 ZTA example implementations and demonstrate a number of common use cases. The Guide includes detailed technical information on each example ZTA implementation, providing models that organizations can emulate. The guide also summarizes best practices and lessons learned from the implementations and integrations to make it easier and more cost-effective to implement ZTA. Additionally, this guide includes mappings of ZTA principles and technologies to commonly used security standards and guidelines. ゼロトラストアーキテクチャ(ZTA)は、オンプレミスや複数のクラウド環境に分散しているエンタープライズリソースへの安全な認可アクセスを可能にすると同時に、ハイブリッドワーカーやパートナーが、組織のミッションを支援するために、いつでも、どこからでも、どのデバイスからでもリソースにアクセスできるようにする。このNISTサイバーセキュリティ実践ガイドでは、NIST特別刊行物(SP)800-207「Zero Trust Architecture」に概説されている概念と原則に沿って、組織がZTAを実装する方法を説明している。NCCoE は、CRADA(Cooperative Research and Development Agreements:共同研究開発契約)に基づく 24 の共同研究者と協力し、市販の技術を統合して 19 の ZTA 実装例を構築し、多くの一般的なユースケースを実証した。本ガイドには、ZTAの各実装例に関する詳細な技術情報が含まれており、組織が模倣できるモデルを提供している。また、ZTAの実装をより簡単かつ費用対効果の高いものにするため、実装や統合から得られたベストプラクティスや教訓もまとめている。さらに、このガイドには、ZTAの原則と技術を、一般的に使用されているセキュリティ標準やガイドラインにマッピングしたものも含まれている。

 

・[PDF] NIST.SP.1800-35

20250613-53911

・[DOCX][PDF] 仮訳

 

オンラインのフル文書

Implementing a Zero Trust Architecture: Full Document ゼロ・トラスト・アーキテクチャを導入する: 完全文書
Executive Summary エグゼクティブサマリー
Introduction to the Guide ガイド序論
Project Overview プロジェクトの概要
Architecture and Builds アーキテクチャとビルド
Builds Implemented 実装されたビルド
Build Architecture Details ビルドアーキテクチャの詳細
Enterprise 1 Build 1 (E1B1) - EIG Crawl - Okta Identity Cloud and Ivanti Access ZSO as PEs エンタープライズ 1 ビルド 1(E1B1) - EIG クロール - Okta Identity Cloud および Ivanti Access ZSO を PE とする。
Enterprise 2 Build 1 (E2B1) - EIG Crawl - Ping Identity Ping Federate as PE エンタープライズ 2 ビルド 1(E2B1) - EIG クロール - PE として Ping Identity Ping Federate
Enterprise 3 Build 1 (E3B1) - EIG Crawl - Azure AD Conditional Access (later renamed Entra Conditional Access) as PE エンタープライズ3ビルド1(E3B1) - EIG Crawl - Azure AD Conditional Access(後にEntra Conditional Accessに改称)をPEとする。
Enterprise 1 Build 2 (E1B2) - EIG Run - Zscaler ZPA Central Authority (CA) as PE エンタープライズ 1 ビルド 2(E1B2) - EIG の実行 - PE としての Zscaler ZPA セントラルオーソリティ(CA)
Enterprise 3 Build 2 (E3B2) - EIG Run - Microsoft Azure AD Conditional Access (later renamed Entra Conditional Access), Microsoft Intune, Forescout eyeControl, and Forescout eyeExtend as PEs Enterprise 3 Build 2 (E3B2) - EIG Run - PEとしてMicrosoft Azure AD Conditional Access(後にEntra Conditional Accessに名称変更)、Microsoft Intune、Forescout eyeControl、Forescout eyeExtend
Enterprise 1 Build 3 (E1B3) - SDP - Zscaler ZPA CA as PE エンタープライズ1ビルド3(E1B3) - SDP - PEとしてZscaler ZPA CA
Enterprise 2 Build 3 (E2B3) — Microsegmentation - Cisco ISE, Cisco Secure Workload, and Ping Identity Ping Federate as PEs エンタープライズ 2 ビルド 3(E2B3) - マイクロセグメンテーション - PE として Cisco ISE、Cisco Secure Workload、Ping Identity Ping Federate
Enterprise 3 Build 3 (E3B3) - SDP and Microsegmentation - Microsoft Azure AD Conditional Access (later renamed Entra Conditional Access), Microsoft Intune, Microsoft Sentinel, Forescout eyeControl, and Forescout eyeExtend as PEs エンタープライズ 3 ビルド 3(E3B3) - SDP とマイクロセグメンテーション - Microsoft Azure AD Conditional Access(後に Entra Conditional Access に改称)、Microsoft Intune、Microsoft Sentinel、Forescout eyeControl、Forescout eyeExtend を PE とする。
Enterprise 4 Build 3 (E4B3) -  エンタープライズ 4 ビルド 3(E4B3)
Enterprise 1 Build 4 (E1B4) - SDP - Appgate SDP Controller as PE Enterprise 1 Build 4(E1B4) - SDP - PEとしてのAppgate SDP Controller
Enterprise 2 Build 4 (E2B4) - SDP and SASE - Symantec Cloud Secure Web Gateway, Symantec ZTNA, and Symantec Cloud Access Security Broker as PEs エンタープライズ 2 ビルド 4(E2B4) - SDP および SASE - PE として Symantec Cloud Secure Web Gateway、 Symantec ZTNA、Symantec Cloud Access Security Broker
Enterprise 3 Build 4 (E3B4) - SDP - F5 BIG-IP, F5 NGINX Plus, Forescout eyeControl, and Forescout eyeExtend as PEs エンタープライズ3ビルド4(E3B4) - SDP - PEとしてF5 BIG-IP、F5 NGINX Plus、Forescout eyeControl、Forescout eyeExtend
Enterprise 4 Build 4 (E4B4) - SDP, Microsegmentation, and EIG - VMware Workspace ONE Access, VMware Unified Access Gateway, and VMware NSX-T as PEs エンタープライズ 4 ビルド 4(E4B4) - SDP、マイクロセグメンテーション、EIG - PE として VMware Workspace ONE Access、VMware Unified Access Gateway、VMware NSX-T
Enterprise 1 Build 5 (E1B5) - SASE and Microsegmentation - PAN NGFW and PAN Prisma Access as PEs エンタープライズ 1 ビルド 5(E1B5) - SASE およびマイクロセグメンテーション - PAN NGFW および PAN Prisma Access を PE として使用
Enterprise 2 Build 5 (E2B5) - SDP and SASE - Lookout SSE and Okta Identity Cloud as PEs エンタープライズ 2 ビルド 5(E2B5) - SDP および SASE - Lookout SSE および Okta Identity Cloud を PE として使用
Enterprise 3 Build 5 (E3B5) - SDP and SASE - Microsoft Entra Conditional Access (formerly called Azure AD Conditional Access) and Microsoft Security Service Edge as PEs Enterprise 3 Build 5(E3B5) - SDPおよびSASE - Microsoft Entra Conditional Access(旧名称:Azure AD Conditional Access)およびMicrosoft Security Service EdgeをPEとする。
Enterprise 4 Build 5 (E4B5) - SDP and Microsegmentation - AWS Verified Access and Amazon VPC Lattice as PEs Enterprise 4 Build 5 (E4B5) - SDP とマイクロセグメンテーション - PE として AWS Verified Access と Amazon VPC Lattice
Enterprise 1 Build 6 (E1B6) - SDP and Microsegmentation - Ivanti Neurons for Zero Trust Access as PE Enterprise 1 Build 6 (E1B6) - SDP とマイクロセグメンテーション - Ivanti Neurons for Zero Trust Access を PE として使用する。
Enterprise 2 Build 6 (E2B6) - SASE - Google Chrome Enterprise Premium (CEP) - Access Context Manager as PE Enterprise 2 Build 6 (E2B6) - SASE - Google Chrome Enterprise Premium (CEP) - Access Context Manager を PE として使用する。
Build Implementation Instructions ビルド実装手順
Enterprise 1 Build 1 (E1B1) - EIG Crawl - Okta Identity Cloud and Ivanti Access ZSO as PEs Product Guides エンタープライズ1ビルド1(E1B1) - EIG Crawl - Okta Identity CloudおよびIvanti Access ZSOをPEに 製品ガイド
Enterprise 2 Build 1 (E2B1) - EIG Crawl - Ping Identity Ping Federate as PE Product Guides エンタープライズ 2 ビルド 1(E2B1) - EIG クロール - PE としての Ping Identity Ping Federate 製品ガイド
Enterprise 3 Build 1 (E3B1) - EIG Crawl - Azure AD Conditional Access (later renamed Entra Conditional Access) as PE Product Guides エンタープライズ3ビルド1(E3B1) - PE製品ガイドとしてEIG Crawl - Azure AD Conditional Access(後にEntra Conditional Accessに改称
Enterprise 1 Build 2 (E1B2) - EIG Run - Zscaler ZPA Central Authority (CA) as PE Product Guides エンタープライズ1ビルド2(E1B2) - EIG Run - PE製品ガイドとしてのZscaler ZPA Central Authority(CA)
Enterprise 3 Build 2 (E3B2) - EIG Run - Microsoft Azure AD Conditional Access (later renamed Entra Conditional Access), Microsoft Intune, Forescout eyeControl, and Forescout eyeExtend as PEs Product Guides Enterprise 3 Build 2 (E3B2) - EIG Run - PE製品ガイドとしてMicrosoft Azure AD Conditional Access(後にEntra Conditional Accessに改名)、Microsoft Intune、Forescout eyeControl、Forescout eyeExtend
Enterprise 1 Build 3 (E1B3) - SDP - Zscaler ZPA CA as PE Product Guides エンタープライズ1ビルド3(E1B3) - SDP - PEとしてのZscaler ZPA CA製品ガイド
Enterprise 2 Build 3 (E2B3) - Microsegmentation - Cisco ISE, Cisco Secure Workload, and Ping Identity Ping Federate as PEs Product Guides エンタープライズ2ビルド3(E2B3) - マイクロセグメンテーション - PEとしてのCisco ISE、Cisco Secure Workload、Ping Identity Ping Federate製品ガイド
Enterprise 3 Build 3 (E3B3) - SDP and Microsegmentation - Microsoft Azure AD Conditional Access (later renamed Entra Conditional Access), Microsoft Intune, Microsoft Sentinel, Forescout eyeControl, and Forescout eyeExtend as PEs Product Guides エンタープライズ 3 ビルド 3(E3B3) - SDP とマイクロセグメンテーション - PE として Microsoft Azure AD Conditional Access(後に Entra Conditional Access に改称)、Microsoft Intune、Microsoft Sentinel、Forescout eyeControl、Forescout eyeExtend を提供する。
Enterprise 4 Build 3 (E4B3) - EIG Run - IBM Security Verify as PE Product Guides エンタープライズ 4 ビルド 3(E4B3) - EIG ラン - PE としての IBM Security Verify 製品ガイド
Enterprise 1 Build 4 (E1B4) - SDP - Appgate SDP Controller as PE Product Guides エンタープライズ1ビルド4(E1B4) - SDP - PEとしてのAppgate SDPコントローラ 製品ガイド
Enterprise 2 Build 4 (E2B4) - SDP and SASE - Symantec Cloud Secure Web Gateway, Symantec ZTNA, and Symantec Cloud Access Security Broker as PEs Product Guides エンタープライズ 2 ビルド 4(E2B4) - SDP および SASE - PE として Symantec Cloud Secure Web Gateway、Symantec ZTNA、Symantec Cloud Access Security Broker 製品ガイド
Enterprise 3 Build 4 (E3B4) - SDP - F5 BIG-IP, F5 NGINX Plus, Forescout eyeControl, and Forescout eyeExtend as PEs Product Guides エンタープライズ3ビルド4(E3B4) - SDP - PEとしてのF5 BIG-IP、F5 NGINX Plus、Forescout eyeControl、およびForescout eyeExtend製品ガイド
Enterprise 4 Build 4 (E4B4) - SDP, Microsegmentation, and EIG - VMware Workspace ONE Access, VMware Unified Access Gateway, and VMware NSX-T as PEs Product Guides エンタープライズ 4 ビルド 4(E4B4) - SDP、マイクロセグメンテーション、EIG - PE として VMware Workspace ONE Access、VMware Unified Access Gateway、VMware NSX-T 製品ガイド
Enterprise 1 Build 5 (E1B5) - SASE and Microsegmentation - PAN NGFW and PAN Prisma Access as PEs Product Guides エンタープライズ1ビルド5(E1B5) - SASEおよびマイクロセグメンテーション - PAN NGFWおよびPAN Prisma AccessをPEとした製品ガイド
Enterprise 2 Build 5 (E2B5) - SDP and SASE - Lookout SSE and Okta Identity Cloud as PEs Product Guides エンタープライズ2ビルド5(E2B5) - SDPおよびSASE - Lookout SSEおよびOkta Identity CloudをPEとして使用する場合の製品ガイド
Enterprise 3 Build 5 (E3B5) - SDP and SASE - Microsoft Entra Conditional Access (formerly Azure AD Conditional Access) and Microsoft Security Service Edge as PEs Product Guides Enterprise 3 Build 5 (E3B5) - SDPおよびSASE - Microsoft Entra Conditional Access(旧Azure AD Conditional Access)およびMicrosoft Security Service EdgeをPEとして製品ガイドに追加
Enterprise 4 Build 5 (E4B5) - SDP and Microsegmentation - AWS Verified Access and Amazon VPC Lattice as PE Enterprise 4 Build 5 (E4B5) - SDPとマイクロセグメンテーション - PEとしてAWS Verified AccessとAmazon VPC Lattice
Enterprise 1 Build 6 (E1B6) - SDP and Microsegmentation - Ivanti Neurons for Zero Trust Access as PEs Product Guides Enterprise 1 Build 6 (E1B6) - SDP とマイクロセグメンテーション - Ivanti Neurons for Zero Trust Access as PE プロダクトガイド
Enterprise 2 Build 6 (E2B6) - SASE - Google Chrome Enterprise Premium (CEP) - Access Context Manager as PE Enterprise 2 Build 6 (E2B6) - SASE - Google Chrome Enterprise Premium (CEP) - PEとしてのAccess Context Manager
Hardening Information ハードニング情報
General Findings 一般的な調査結果
Functional Demonstrations 機能デモ
Demonstration Terminology デモの用語
Use Case A: Discovery and Identification of IDs, Assets, and Data Flows ユースケースA:ID、資産、データフローの発見と識別
Use Case B: Enterprise-ID Access ユースケースB:エンタープライズIDアクセス
Use Case C: Collaboration: Federated-ID Access ユースケースC:コラボレーション: 統合IDアクセス
Use Case D: Other-ID Access ユースケースD: その他のIDアクセス
Use Case E: Guest: No-ID Access ユースケースE:ゲスト: IDなしアクセス
Use Case F: Confidence Level ユースケースF:信頼度
Use Case G: Service-Service Interactions ユースケースG:サービス間相互作用
Use Case H: Data Level Security Scenarios ユースケースH:データ・レベルのセキュリティ・シナリオ
Functional Demonstration Result Summaries 機能デモ結果サマリー
Functional Demonstration Results 機能実証結果
EIG Crawl Phase Demonstration Results EIGクロール・フェーズの実証結果
EIG Run Phase Demonstration Results EIG実行フェーズの実証結果
SDP, Microsegmentation, and SASE Phase Demonstration Results SDP、マイクロセグメンテーション、SASEフェーズの実証結果
Risk and Compliance Management リスクおよびコンプライアンス・マネジメント
Risks Addressed by the ZTA Reference Architecture ZTA参照アーキテクチャが対処するリスク
ZTA Security Mapping Context and Terminology ZTAセキュリティマッピングのコンテキストと用語
Mappings マッピング
Zero Trust Journey Takeaways ゼロ・トラスト・ジャーニーの要点
Glossary 用語集
Acronyms 頭字語
Change Log 変更履歴

 

 

協力している24企業...

1 Appgate
2 AWS
3 Broadcom
4 Cisco
5 DigiCert
6 F5
7 Forescout
8 Google Cloud
9 IBM
10 Ivanti
11 Lookout
12 Mandiant
13 Microsoft
14 Okta
15 Omnissa
16 Palo Alto Networks
17 PC Matic
18 Ping Identity
19 Radiant Logic
20 SailPoint
21 Tenable
22 Trellix
23 Zimperium
24 Zscaler

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.15 米国 NIST NIST SP 1800-35(初公開ドラフト) ゼロトラスト・アーキテクチャの実装 (2024.12.04)

・2024.08.08 米国 NIST SP 1800-35(第4次初期ドラフト) ゼロトラストアーキテクチャの実装 (2024.07.30)

・2023.09.16 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.E リスクとコンプライアンスマネジメント

・2023.08.24 NIST SP 1800-35(第3次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.D 機能デモ

・2023.07.23 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 (Vol. B, C)

・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. C, D)

・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. B)

・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. A)

 

| | Comments (0)

欧州委員会 欧州のサイバー危機およびインシデントをよりよく管理するための青写真を採択 (2025.06.06)

こんにちは、丸山満彦です。

このブログでもドラフトが公表された時に取り上げていましたが、EUの電気通信担当閣僚が、サイバー危機管理に関するEUの青写真を採択しましたね...

これは、大規模なサイバーセキュリティインデントやサイバー危機に対するEUの対応指針を示すものです。

加盟国とEUやNATOとの連携、ということで民軍連携も含まれています。

Annex1にはエスカレーションをする際の図もありますね...

 

ちなみに、EUのサイバーセキュリティ方針はこちらです...

 

EUのサイバーセキュリティ方針

Cybersecurity Policies

Cybersecurity Strategy サイバーセキュリティ戦略
Legislation and certification 法規制と認証
Cyber Crisis Management サイバー危機管理
Investment 投資
Policy guidance 政策ガイダンス
Skills and awareness スキルと意識
Cyber community サイバーコミュニティ
Cyber Dialogues サイバー・ダイアログ
Other cyber policy areas その他のサイバー政策分野

 

発表...

European Commission

・2025.06.06 EU adopts blueprint to better manage European cyber crises and incidents

EU adopts blueprint to better manage European cyber crises and incidents EU、欧州のサイバー危機およびインシデントをよりよく管理するための青写真を採択
Telecom ministers adopted today the EU blueprint for cyber crisis management, which gives guidance for the EU’s response to large-scale cybersecurity incidents or cyber crises. 欧州連合(EU)の電気通信担当閣僚は本日、大規模なサイバーセキュリティインデントやサイバー危機に対するEUの対応指針を示す、サイバー危機管理に関するEUの青写真を採択した。
Today, we take a decisive step forward in strengthening Europe’s cybersecurity resilience. The EU blueprint for cyber crisis management clarifies how member states can detect, respond to, recover and learn from large-scale cybersecurity incidents and cyber crises that could affect the whole EU. The EU blueprint shows our clear commitment to a safer, more resilient and better prepared Europe – an important priority of the Polish presidency. 本日、欧州のサイバーセキュリティのレジリエンス強化に向けて、決定的な一歩を踏み出す。サイバー危機管理に関するEUの青写真は、加盟国が、EU全体に影響を及ぼす可能性のある大規模なサイバーセキュリティインデントやサイバー危機をどのように検知し、対応し、回復し、学習できるかを明確にするものである。EUの青写真は、より安全でレジリエンスが高く、備えの整った欧州に対する我々の明確なコミットメントを示すものであり、ポーランド大統領府の重要な優先事項である」。
Krzysztof Gawkowski, Deputy Prime Minister, Minister of Digital Affairs クシシュトフ・ガウコフスキ副首相兼デジタル問題担当相
The EU cyber blueprint is an important guideline for member states to enhance their preparedness, detection capabilities and response to cyber security incidents, while building on the foundations laid by the 2017 cybersecurity blueprint and taking on board important recently adopted legislation such as the NIS2 directive and the cyber solidarity act.. EUサイバー青写真は、加盟国がサイバーセキュリティに対する備え、検知能力、インシデントへの対応を強化するための重要な指針であり、2017年のサイバーセキュリティ青写真によって築かれた基盤を基礎とし、NIS2指令やサイバー連帯法といった最近採択された重要な法律を踏まえたものである。
The EU cyber blueprint aims to tackle an increasingly complex cyber threat landscape by strengthening existing EU networks, fostering cooperation between member states and actors involved, and overcoming hurdles that may exist. EUのサイバー青写真は、既存のEUネットワークを強化し、加盟国および関係アクター間の協力を促進し、存在しうる障害を克服することによって、ますます複雑化するサイバー脅威の状況に取り組むことを目的としている。
Essentials of the EU cyber blueprint EUサイバー青写真の要点
The EU cyber blueprint highlights the importance of digital technology and global connectivity as the backbone of the EU’s economic growth and competitiveness. However, an increasingly interconnected and digital society also increases the risks of cybersecurity incidents and cyberattacks. Hybrid campaigns and cyberattacks can directly affect the EU’s security, economy and society. EUのサイバー青写真は、EUの経済成長と競争力を支える基幹として、デジタル技術とグローバルな接続性の重要性を強調している。しかし、相互接続とデジタル化が進む社会は、サイバーセキュリティ事件やサイバー攻撃のリスクも増大させる。ハイブリッドキャンペーンやサイバー攻撃は、EUの安全保障、経済、社会に直接影響を及ぼす可能性がある。
While member states have the primary responsibility in managing cybersecurity incidents and cyber crises, large-scale incidents could cause such a level of disruption that it exceeds a member state’s capacity to respond, or they can have an impact on several member states. サイバーセキュリティインシデントやサイバー危機を管理する第一の責任は加盟国にあるが、大規模なインシデントは、加盟国の対応能力を超えるほどの混乱を引き起こしたり、複数の加盟国に影響を及ぼしたりする可能性がある。
As such an incident could evolve in a fully-fledged crisis, affecting the functioning of the EU’s internal market or posing serious public security and safety risks, cooperation at technical, operational and political level is essential for effective crisis management for this kind of incidents. このようなインシデントが本格的な危機に発展し、EU域内市場の機能に影響を与えたり、深刻な公的安全保障やリスクとなる可能性があるため、この種のインシデントに対する効果的な危機マネジメントには、技術、運用、政治レベルでの協力が不可欠である。
To identify concretely what large-scale incidents or a Union-level cyber crises are, the EU cyber blueprint provides a clear explanation when the crisis framework should be triggered and what the roles of the relevant Union level networks, its actors and mechanisms are (such as ENISA, the EU’s agency for cybersecurity or EU-cyclone, the European cyber crisis liaison organisation network). The text also points to the importance of coordination of public communication before, during and after crisis incidents. 大規模インシデントやEUレベルのサイバー危機とは何かを具体的に特定するために、EUサイバー青写真は、危機管理枠組みがいつ発動されるべきか、関連するEUレベルのネットワーク、そのアクター、枠組み(EUのサイバーセキュリティ担当機関であるENISAや欧州サイバー危機連絡組織ネットワークであるEU-cycloneなど)の役割は何かを明確に説明している。また、危機インシデント発生前、発生中、発生後のパブリックコミュニケーションの調整の重要性も指摘している。
The EU cyber blueprint highlights the importance of civilian-military cooperation in the context of cyber-crisis management, including with NATO, through enhanced information-sharing mechanisms where possible and when needed. EUのサイバー青写真は、可能な限り、また必要な場合には情報共有メカニズムを強化することにより、NATOとの協力も含め、サイバー危機管理における民軍協力の重要性を強調している。
Finally, the EU cyber blueprint also contains chapters on recovery, while trying to enhance the exchange of lessons learned between member states. 最後に、EUのサイバー青写真は、加盟国間の教訓の交換を強化しようとする一方で、復旧に関する章も含んでいる。
Background 背景
Since 2017, the threat landscape and the EU’s cybersecurity framework changed significantly with several instruments considering cybersecurity management, such as the NIS2 directive or the cyber solidarity act. This required changing the 2017 blueprint. 2017年以降、NIS2指令やサイバー連帯法のようなサイバーセキュリティ管理を検討するいくつかの枠組みにより、脅威の状況やEUのサイバーセキュリティの枠組みは大きく変化した。このため、2017年の青写真を変更する必要があった。
The discussions on the EU cyber blueprint were intensified during the Polish presidency, including during the informal TTE Telecommunications Council on 4-5 March in Warsaw, which was entirely dedicated to the issue of cybersecurity. 3月4~5日にワルシャワで開催された非公式のTTE電気通信理事会でも、サイバーセキュリティの問題に全面的に取り組んだ。
Cyber blueprint – draft Council recommendation (European Commission)  サイバー青写真-理事会勧告案(欧州委員会)
Commission launches new cybersecurity blueprint to enhance EU cyber crisis coordination (Press release – European Commission -24 February 2025)  欧州委員会、EUのサイバー危機に関する調整を強化するための新たなサイバーセキュリティ青写真を発表(プレスリリース:欧州委員会 - 2025年2月24日)
Cybersecurity (background information) サイバーセキュリティ(背景情報)
Cyber defence (background information) サイバー防衛(背景情報)
Visit the meeting page 会議のページ

 

 

 


 

2025.02.24に公表されたサイバー青写真

プレス...

・2025.02.24 Commission launches new cybersecurity blueprint to enhance EU cyber crisis coordination

青写真

・2025.02.24 Cyber Blueprint - Draft Council Recommendation

I: EUサイバー危機管理枠組みの枠組み、範囲、原則
II: 連邦レベルのサイバー危機に備える
 (a) 状況認識と情報
 (b) 一般的な演習
 (c) DNS解決機能
 (d) リソース
III: サイバー危機に発展しかねないインシデントの検知
IV: 連邦レベルでのサイバー危機への対応
V: サイバー回復
VI: 安全なコミュニケーション
VII: サイバー危機と軍事アクターとの調整
VIII: 戦略的協力

 

・[PDF] Cyber Blueprint - Proposal Council Recommendation

20250304-225849

・[DOCX][PDF] 仮訳

 

・[PDF] Cyber Blueprint - Proposal Council Recommendation - Annexes

20250304-230056

・[DOCX][PDF] 仮訳

 

附属書 I - サイバーセキュリティ危機に対応するためのEUの青写真

1_20250612062601

(1) CSIRIs and/or Cross-border Cyber Hubs detect a large- scale cybersecurity incident. (1) CSIRI および/または国境を越えたサイバーハブが大規模サイバーセキュリティインシデントを検知する。
(2) CSIRTS Network escalates in accordance with internal procedures. (2)CSIRTSネットワークは、内部手順に従ってエスカレーションを行う。
(3) EU-CyCLONe coordinates operational response in the case of a large-scale incident. (3) EU-CyCLONeは、大規模なインシデントが発生した場合の作戦対応を調整する。
(4) Council Presidency, in consultation with Member States, the Commission and the High Representative, determines whether to activate or deactivate the EU (IPCR) crisis arrangements. (4) 理事会議長は、加盟国、欧州委員会および上級代表者と協議の上、EU(IPCR)危機管理体制を作動させるか停止させるかを決定する。
(5) Where the IPCR is activated, ISAA reports developed by the Commission services and EEAS inform discussions. EU-CyCLONe and JCAR should provide input to ISAA. Council is also informed by SIAC analyses. (5) IPCRが発動された場合、欧州委員会のサービスとEEASが作成したISAA報告書が協議に反映される。EU-CyCLONeおよびJCARは、ISAAにインプットを提供すべきである。理事会はまた、SIACの分析からも情報を得る。
(6) CERT- EU is responsible for the operational response to crises affecting Union entities; relevant information may be provided to EU-CyCLONe by the IICB via the Commission as point of contact. (6) CERT- EUは、EUの事業体に影響を及ぼす危機への実務的対応を担当する。関連情報は、欧州委員会を窓口として、IICBからEU-CyCLONeに提供される。
(7) Council, EU-CyCLONe and CSIRTs Network have overview of responses at political, operational and technical levels, respectively. (7) EU理事会、EU-CyCLONeおよびCSIRTsネットワークは、それぞれ政治レベル、運用レベルおよび技術レベルでの対応を統括する。

 

 


 

ENISAの発表...

● ENISA

・2025.06.06 New Cyber Blueprint to Scale Up the EU Cybersecurity Crisis Management

New Cyber Blueprint to Scale Up the EU Cybersecurity Crisis Management EUのサイバーセキュリティ危機管理を拡大する新たなサイバー青写真
The revised Blueprint for cybersecurity crisis management was adopted today by the Council of the EU. 本日、EU理事会において、サイバーセキュリティ危機管理に関するブループリントの改訂版が採択された。
EU Member States adopted today the Council Recommendation for an EU Blueprint on cyber crisis management to strengthen the response to large scale incidents and crisis in the EU.  EU加盟国は本日、EUにおける大規模なインシデントや危機への対応を強化するため、サイバー危機管理に関するEUの青写真に関する理事会勧告を採択した。
The necessity for a revised cyber crisis management Blueprint was driven by the evolution of the cybersecurity threat landscape where geopolitics accelerated the need for stronger cyber crisis management as anticipated in an ENISA report and as outlined in the EU’s first ever report on the State of Cybersecurity in the Union. サイバー危機管理に関する青写真の改訂の必要性は、地政学的な観点からサイバーセキュリティの脅威の状況が変化し、ENISAの報告書や、EUにおけるサイバーセキュリティの現状に関するEU初の報告書に概説されているように、サイバー危機管理の強化の必要性が加速していることが背景にある。
Subsequently, if we want to effectively prepare and respond to cyber crises of much higher complexity than ever before, cybersecurity crisis management processes need to take all such new parameters into account. その後、これまでよりもはるかに複雑化したサイバー危機に効果的に備え、対応するためには、サイバーセキュリティ危機管理プロセスは、そのような新しいパラメータをすべて考慮に入れる必要がある。
The situation therefore called for a review of processes already in place and for new mechanisms to be adopted in order to strengthen the Union capacities in cyber crises management. The Commission presented a proposal on 24 February 2025 to ensure an effective and efficient response to large-scale cyber incidents. The EU Member States in record speed adopted the Council Recommendation for an EU Blueprint on cyber crisis management during the Formal meeting of the Transport, Telecommunications and Energy Council. このため、サイバー危機管理における欧州連合の能力を強化するために、すでに実施されているプロセスの見直しと新たな仕組みの導入が求められている。欧州委員会は2025年2月24日、大規模なサイバー事件への効果的かつ効率的な対応を確保するための提案を発表した。EU加盟国は、運輸・電気通信・エネルギー理事会の公式会合において、サイバー危機管理に関するEUブループリントに関する理事会勧告を記録的な速さで採択した。
Henna Virkkunen, Executive Vice-President for Tech Sovereignty, Security and Democracy, said: “I welcome today’s adoption of the Cyber Blueprint. In crisis situations, there is no room for improvisation, especially in today’s rapidly evolving and uncertain geopolitical environment. It is a key component of our Union Preparedness Strategy. It serves as a practical tool for Member States and EU bodies to work together to prepare for and respond to a cyber crisis that could affect our critical infrastructure and public security.”  ヘナ・ヴィルクネン技術主権・安全保障・民主主義担当執行副委員長は、次のように述べた: 「本日のサイバー青写真の採択を歓迎する。危機的状況においては、特に今日の急速に進化する不確実な地政学的環境においては、即興の余地はない。これは、我々の連邦準備戦略の重要な要素である。加盟国およびEUの諸機関が協力して、重要なインフラや公共の安全保障に影響を及ぼす可能性のあるサイバー危機に備え、対応するための実践的なツールとして役立つものである」。
ENISA would like to thank and congratulate the Polish Presidency chairing the Horizontal Working Party on Cyber Issues of the Council of the EU for the work done to make the revised Blueprint a reality. ENISAは、EU理事会のサイバー問題に関する水平作業部会の議長を務めるポーランド議長国に対し、改訂版ブループリントの実現に向けて行われた作業に感謝し、祝意を表する。
Katarzyna Prusak-Gorniak, Chair of the Horizontal Working Party on Cyber Issues of the Council of the EU said: “EU Cyber Blueprint puts in place a framework to effectively respond to a cyber crisis at the EU level and enables CSIRT Network together with the EU-CyCLONe, powered by ENISA, to further strengthen cooperation." EU理事会のサイバー問題に関する水平作業部会のカタジナ・プルザック=ゴルニアク議長は、次のように述べた: 「EUサイバー青写真は、EUレベルでサイバー危機に効果的に対応するための枠組みを提供するものであり、CSIRTネットワークが、ENISAを中心とするEU-CyCLONeとともに、協力をさらに強化することを可能にするものである
The EU Agency for Cybersecurity Executive Director, Juhan Lepassaar, declared: “With a cyber threat landscape continually evolving, the revision of the cybersecurity Blueprint came at just the right time. With years of effective support to cyber crises management to its name, ENISA has been an active enabler for the cyber crisis community in the EU. Strengthening our cooperative efforts is how we will be able to further secure our digital economy and society.” EUサイバーセキュリティ機関のジュハン・レパサール事務局長は、次のように述べた: 「サイバー脅威の状況が絶え間なく進化する中、サイバーセキュリティの青写真の改訂は、まさに適切な時期に行われた。サイバー危機管理を長年にわたって効果的に支援してきたENISAは、EUのサイバー危機コミュニティにとって積極的なイネーブラーである。我々の協力的な取り組みを強化することで、デジタル経済と社会の安全をさらに確保することができる」。
Following the provisions of its mandate, ENISA has been supporting European cyber incident and crisis management for years with the daily operations of the CSIRTs Network and of the EU-CyCLONe, with situational awareness, annual crisis simulation exercises and dedicated trainings. The Agency has also been supporting Member States in developing their own cyber crisis plans and structures and works every day to ensure collaboration and information sharing across the operational communities.  ENISAは、その任務の規定に従い、CSIRTsネットワークおよびEU-CyCLONeの日常的な運営、状況認識、毎年の危機シミュレーション演習、専用訓練などを通じて、長年にわたり欧州のサイバー事件・危機管理を支援してきた。ENISAはまた、加盟国が独自のサイバー危機計画や体制を構築するのを支援し、運用コミュニティ全体の協力と情報共有を確保するために日々取り組んでいる。
ENISA therefore considers the revised Blueprint as an essential step forward since it: したがって、ENISAは、改訂された青写真を、以下の点から不可欠な前進と考えている:
・clarifies the interactions and processes between the high number of actors now involved; ・現在関与している多数の関係者間の相互作用とプロセスを明確化する;
・helps support the implementation and strengthening of existing and upcoming efforts; ・既存および今後の取り組みの実施と強化を支援する;
・enhances the whole cyber crisis life cycle faced with a complex and fast evolving cyber threat environment. ・複雑かつ急速に進化するサイバー脅威環境に直面するサイバー危機のライフサイクル全体を強化する。
How is ENISA to support the implementation of the Blueprint? ENISAはブループリントの実施をどのように支援するのか?
・By supporting Member States & relevant EU bodies ・加盟国とEUの関連機関を支援する
ENISA stands ready to strengthen its support to the Members States and the European Commission, CERT-EU, Europol and all other relevant Union entities to best respond to this call for action. ENISAは、加盟国および欧州委員会、CERT-EU、欧州刑事警察機構(ユーロポール)、その他すべての関連するEU機関に対する支援を強化し、この行動要請に最善の形で対応する用意がある。
・By boosting the operational networks operational capacity ・運用ネットワークの運用能力を高めることによって
The Agency is eager to offer its expertise and contribute to gather relevant information in order to increase the EU capacity to produce an overview of the technical and operational activities in place at national level. 当機関は、国家レベルで実施されている技術的・運用的活動の概要を作成する EU の能力を高めるため、その専門知識を提供し、関連情報の収集に貢献したいと考えている。
Moreover, the Agency aims to streamline ENISA’s support to the EU-CyCLONe and the CSIRTs network. The intention is to further bolster cooperation across all networks and communities, to improve information sharing regarding incidents, vulnerabilities and situational awareness as a whole. さらに、当機関は、EU-CyCLONeおよびCSIRTsネットワークに対するENISAの支援を合理化することを目指している。その意図は、すべてのネットワークとコミュニティ間の協力をさらに強化し、インシデント、脆弱性、状況認識に関する情報共有を全体として向上させることにある。
・By empowering the cybersecurity community ・サイバーセキュリティ・コミュニティを強化する
ENISA’s goal is to empower network members by ensuring they have the expertise and make full use of the available tools for information sharing.  ENISAの目標は、ネットワークメンバーが専門知識を持ち、情報共有のために利用可能なツールを十分に活用できるようにすることで、ネットワークメンバーに権限を与えることである。
The EU-CyCLONe and the CSIRTs Network have both central roles in the revised Blueprint. This is why ENISA supports the development and alignment of the different Standard Operating Procedures in accordance with each network and Chair Presidencies. In doing so, the Agency aims to enhance the response capacity during large-scale cybersecurity incidents and crises and also contribute to an EU integrated situational awareness.  EU-CyCLONeとCSIRTsネットワークは、改訂されたブループリントにおいて中心的な役割を担っている。このため、ENISAは、各ネットワークおよび議長国に従って、さまざまな標準業務手順書の策定と調整を支援している。そうすることで、大規模なサイバーセキュリティ事件や危機発生時の対応能力を強化し、EUの統合的な状況認識に貢献することを目指している。
・By contributing to achieve a common taxonomy ・共通の分類法の実現に貢献する
ENISA will support the efforts outlined in the revised Blueprint to create a common aligned taxonomy. The Agency therefore intends to make use of the wider expertise across all the different areas of its portfolio to facilitate this by fostering interoperability and integration across all networks and communities. ENISAは、ブループリント改訂版で概説された、共通の整列された分類法を作成するための取り組みを支援する。そのため、ENISAは、そのポートフォリオのすべての異なる分野にまたがる幅広い専門知識を活用し、すべてのネットワークとコミュニティの相互運用性と統合を促進することによって、これを促進する意向である。
What’s next?  次は何をするのか?
ENISA is able to share and adopt lessons learnt from past exercises and cyber crises. The Agency can therefore effectively support the Commission with both the annual rolling programme of cyber exercises and with the testing of the Cyber Blueprint at the next edition of the Cyber Europe exercise, in coordination with the High Representative.  ENISAは、過去の演習やサイバー危機から学んだ教訓を共有し、採用することができる。そのため、ENISAは、欧州委員会のサイバー演習の年次計画および上級代表と連携した次回のサイバー欧州演習におけるサイバー青写真のテストの両方を効果的に支援することができる。
ENISA recommends that to make the revised Blueprint a success, it will also be essential to align the tasks and avoid duplication within the relevant EU governance and framework. ENISAは、改訂版ブループリントを成功させるためには、関連するEUのガバナンスと枠組みの中で、任務を調整し、重複を避けることも不可欠であると勧告する。
Based on joint efforts ENISA will bridge networks and communities, including the civilian, law enforcement, defence and the private sector, for instance through the ENISA Cyber Partnership Programme (CPP). ENISAは共同努力に基づき、例えばENISAサイバー・パートナーシップ・プログラム(CPP)を通じて、民間、法執行機関、防衛、民間部門を含むネットワークとコミュニティの橋渡しを行っていく。
FURTHER INFORMATION 関連情報
Council of the European Union – Press Page 欧州連合理事会 - プレスページ
ENISA topic – EU incident response and cyber crisis management ENISAトピック - EUのインシデント対応とサイバー危機管理
ENISA topic – Cyber Partnership Programme (CPP) ENISAトピック - サイバー・パートナーシップ・プログラム(CPP)

 

EU incident response and cyber crisis management EUのインシデント対応とサイバー危機管理
ENISA works together with EU Member States, with the European Commission, and with other agencies to prevent and respond effectively to cybersecurity incidents and crises. ENISAは、EU加盟国、欧州委員会、その他の機関と協力し、サイバーセキュリティのインシデントや危機を予防し、効果的に対応する。
The EU Agency for Cybersecurity (ENISA), works hands-on with the EU the Member States, with the European Commission and with other Agencies, to help either prevent or effectively respond to cybersecurity incidents and crises. Within its policy remit, ENISA has been supporting the field of European cyber incident and crisis management for several years, with activities such as: daily operations of the CSIRTs Network and of the EU-CyCLONe, crisis simulation exercises, trainings, support to Member States in developing their crisis plans and structures and the organisation of international conferences and studies. EUサイバーセキュリティ機関(ENISA)は、EU加盟国、欧州委員会、その他の機関と協力し、サイバーセキュリティ事件や危機の予防や効果的な対応を支援している。その政策的権限の範囲内において、ENISAはサイバーセキュリティの分野を支援し、CSIRTsネットワークおよびEU-CyCLONeの日常業務、危機シミュレーション演習、訓練などの活動を通じて、欧州のサイバーインシデントおよび危機管理の分野を数年にわたり、加盟国の危機管理計画や体制の整備支援、国際会議や研究の開催などを通じて支援してきた。

As an active actor in the context of the EU coordinated response to cyber security incidents crises, ENISA assists the Union whenever required, notably in the framework of the Integrated Political Crisis Response (IPCR) arrangements. ENISA works closely with Member States to develop EU-level cyber crisis management procedures in order to improve situational awareness in the event of cross-border cyber incidents. The Agency also assists both national and European decision-makers in making the most appropriate decisions. ENISAは、サイバーセキュリティインシデント危機に対するEUの協調的対応の文脈における積極的なアクターとして、特に統合政治危機対応(IPCR)の枠組みの中で、必要なときはいつでもEUを支援している。ENISAは加盟国と緊密に協力し、国境を越えたサイバーインシデント発生時の状況認識を改善するため、EUレベルのサイバー危機管理手順を策定している。同機関はまた、国内および欧州の意思決定者が最も適切な決定を下すのを支援する。
In particular, ENISA supports EU-level cyber crisis management by: 特に、ENISAは以下の方法により、EUレベルのサイバー危機管理を支援している:
・Enabling the operations of the EU CSIRTs Network and EU-CyCLONe by providing the Secretariat team, resources and expertise; ・事務局チーム、リソースおよび専門知識をプロバイダとして提供することにより、EU CSIRTs NetworkおよびEU-CyCLONeの運営を可能にする;
・Providing the IT infrastructure and tools for ENISA stakeholders and in particular the CSIRTs Network and the EU-CyCLONe to securely exchange information about incidents and ongoing threats; ・ENISA関係者、特にCSIRTsネットワークとEU-CyCLONeがインシデントや進行中の脅威に関する情報を安全に交換できるよう、ITインフラとツールをプロバイダとして提供する;
・Contributing to the drafting and establishment of operational procedure to prepare and respond to large-scale cross-border incidents and crisis at Union level; ・EUレベルでの大規模な国境を越えたインシデントや危機に備え、対応するための運用手順のドラフト作成と確立に貢献する;
・Building and running tailored exercise and trainings to support the test of procedure at European and National level in the context of cyber crisis management; ・サイバー危機管理の文脈で、欧州および国内レベルでの手順のテストを支援するために、個別の演習や訓練を構築し、実施する;
・Contributing to Union common situational awareness based on ENISA’s monitoring as well as through ENISA’s Cyber Partnership Programme by sharing accurate and timely information on ongoing incidents and threats and producing an in-depth technical regular report as per the provisions of Art. 7(6) of the CSA; ・現在進行中のインシデントや脅威に関する正確かつタイムリーな情報を共有し、CSA第7条第6項の規定に従い詳細な技術的定期報告書を作成することにより、ENISAの監視に基づき、またENISAのサイバーパートナーシッププログラムを通じて、欧州連合共通の状況認識に貢献する。7(6)の規定に従い、詳細な技術的定期報告書を作成する;
・Contributing to EU-level common situational awareness by providing relevant and timely information to EEAS, HWPCI, and all relevant EU stakeholders; ・EEAS、HWPCI、およびすべての関連するEU利害関係者に関連情報をタイムリーにプロバイダすることにより、EUレベルの共通状況認識に貢献する;
・Providing preparedness (ex-ante) and response support (ex-post) services to Union’s essential, important or critical entities. ・EUの必須事業体、重要事業体または重要事業体に対する事前準備(事前)および事後対応支援(事後)サービスを提供する。
ENISA’s activities provide guidance to the cybersecurity bodies of EU Member States on their crisis management, situational awareness, coordination and political decision-making capacities. The Agency serves as an information hub and empowers cooperation and coordination among the CSIRTs Network, the EU-CyCLONe and all other relevant EU institutions, bodies and agencies (e.g. CERT-EU, EEAS, EUROPOL) in times of large-scale incidents and crises. Areas of effort encompass: ENISAの活動は、EU加盟国のサイバーセキュリティ団体に対し、危機管理、状況認識、調整、政治的意思決定能力に関するガイダンスを提供している。大規模なインシデントや危機が発生した場合、ENISAは情報ハブとして機能し、CSIRTsネットワーク、EU-CyCLONe、その他すべての関連するEU機構、団体、機関(CERT-EU、EEAS、欧州刑事警察機構など)間の協力と調整を強化する。取り組み分野は以下の通りである:
・Preparedness and incident response capabilities; ・準備態勢とインシデント対応能力;
・Maturity and capabilities of operational communities (including cooperation with law enforcement); ・運用コミュニティの成熟度と能力(法執行機関との協力を含む);
・Coordinated response and recovery to large scale cyber incidents and crises across different communities; ・大規模なサイバーインシデントや危機への対応と復旧を、異なるコミュニティ間で連携して行う;
・The evolution of EU joint response by enabling the deployment of EU level proposals. ・EUレベルの提案の展開を可能にすることで、EUの共同対応を進化させる。

 

20250613-04517

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.03.05 欧州委員会 EUのサイバー危機調整を強化するための新たなサイバーセキュリティ青写真 (2024.02.24)

・2024.12.11 欧州連合理事会 サイバーセキュリティ強化に向けENISAの権限の強化を承認 (2024.12.06)

 

| | Comments (0)

2025.06.12

米国 CISA AIデータセキュリティ:AIシステムの訓練と運用に使用されるデータセキュリティのベストプラクティス (2025.05.22)

こんにちは、丸山満彦です。

カナダを除くFive eyesの主要情報コミュニティーが、AIデータセキュリティについてのベストプラクティスを公表していますね...

 

 ● U.S. - CISA

・2025.05.22 AI Data Security: Best Practices for Securing Data Used to Train & Operate AI Systems

 

AI Data Security: Best Practices for Securing Data Used to Train & Operate AI Systems AIデータセキュリティ: AIシステムの訓練と運用に使用されるデータセキュリティのベストプラクティス
CISA, the National Security Agency, the Federal Bureau of Investigation, and international partners released AI Data Security: Best Practices for Securing Data Used to Train & Operate AI Systems.  CISA、国家安全保障局、連邦捜査局、および国際的パートナーがAIデータセキュリティを発表した: AIシステムの訓練と運用に使用されるデータセキュリティのベストプラクティス」を発表した。
This guidance highlights the critical role of data security in ensuring the accuracy, integrity, and trustworthiness of AI outcomes. It outlines key risks that may arise from data security and integrity issues across all phases of the AI lifecycle, from development and testing to deployment and operation.  このガイダンスは、AIの成果の正確性、完全性、信頼性を確保する上で、データセキュリティが果たす重要な役割を強調している。開発、テストから展開、運用に至るまで、AIライフサイクルのすべての段階において、データセキュリティと完全性の問題から生じる可能性のある主要なリスクを概説している。

 

・[PDF]

20250611-165330

・[DOCX][PDF] 仮訳

 

目次...

Executive summary エグゼクティブサマリー
Introduction 序論
Audience and scope 想定読者と適用範囲
Securing data throughout the AI system lifecycle AIシステムのライフサイクルを通じてデータをセキュリティで保護する
Best practices to secure data for AI-based systems AIベースのシステムでデータを保護するためのベストプラクティス
Data supply chain – risks and mitigations データ・サプライチェーン - リスクと緩和
General risks for data consumers データ消費者の一般的リスク
Risk: Curated web-scale datasets リスク:キュレーションされたウェブスケールのデータセット
Risk: Collected web-scale datasets リスク:収集されたウェブスケールのデータセット
Risk: Web-crawled datasets リスク:ウェブクローリングされたデータセット
Final note on web-scale datasets and data poisoning ウェブスケールのデータセットとデータ・ポイズニングに関する最終ノート
Maliciously modified data – risks and mitigations 悪意を持って変更されたデータ - リスクと緩和策
Risk: Adversarial Machine Learning threats リスク:敵対的機械学習の脅威
Risk: Bad data statements リスク:不正なデータ声明
Risk: Statistical bias リスク:統計バイアス 
Risk: Data poisoning via inaccurate information リスク:不正確な情報によるデータ・ポイズニング
Risk: Data duplications リスク:データの重複
Data drift – risks and mitigations データ・ドリフト - リスクと緩和
Conclusion 結論
Works cited 引用文献

 

エグゼクティブサマリー...

Executive summary  エグゼクティブサマリー 
This Cybersecurity Information Sheet (CSI) provides essential guidance on securing data used in artificial intelligence (AI) and machine learning (ML) systems. It also highlights the importance of data security in ensuring the accuracy and integrity of AI outcomes and outlines potential risks arising from data integrity issues in various stages of AI development and deployment.  このサイバーセキュリティ・インフォメーションシート(CSI)は、人工知能(AI)および機械学習(ML)システムで使用されるデータのセキュリティに関する重要なガイダンスを提供する。また、AIの成果の正確性と完全性を確保する上でのデータセキュリティの重要性を強調し、AIの開発と展開の様々な段階におけるデータの完全性の問題から生じる潜在的なリスクを概説している。 
This CSI provides a brief overview of the AI system lifecycle and general best practices to secure data used during the development, testing, and operation of AI-based systems. These best practices include the incorporation of techniques such as data encryption, digital signatures, data provenance tracking, secure storage, and trust infrastructure. This CSI also provides an in-depth examination of three significant areas of data security risks in AI systems: data supply chain, maliciously modified (“poisoned”) data, and data drift. Each section provides a detailed description of the risks and the corresponding best practices to mitigate those risks.   本CSIは、AIシステムのライフサイクルの簡単な概要と、AIベースのシステムの開発、テスト、運用中に使用されるデータを保護するための一般的なベストプラクティスを提供する。これらのベスト・プラクティスには、データの暗号化、デジタル署名、データの出所追跡、安全な保管、信頼基盤などの技術の組み込みが含まれる。本CSIはまた、AIシステムにおけるデータ・セキュリティ・リスクの3つの重要な分野、すなわちデータ・サプライ・チェーン、悪意を持って改変された(「ポイズニング」された)データ、データ・ドリフトについても詳細な検証をプロバイダとして提供する。各セクションでは、リスクの詳細な説明と、それらのリスクを緩和するための対応するベストプラクティスを提供している。  
This guidance is intended primarily for organizations using AI systems in their operations, with a focus on protecting sensitive, proprietary, or mission critical data. The principles outlined in this information sheet provide a robust foundation for securing AI data and ensuring the reliability and accuracy of AI-driven outcomes.  このガイダンスは、主にAIシステムを業務に使用している組織を対象としており、機密データ、専有データ、またはミッション・クリティカルなデータの保護に重点を置いている。この情報シートに概説されている原則は、AIデータを保護し、AI主導の成果の信頼性と正確性を確保するための強固な基盤を提供する。 
This document was authored by the National Security Agency’s Artificial Intelligence Security Center (AISC), the Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), the New Zealand’s Government Communications Security Bureau’s National Cyber Security Centre (NCSC-NZ), and the United Kingdom’s National Cyber Security Centre (NCSC-UK).   この文書は、国家安全保障局の人工知能セキュリティセンター(AISC)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、オーストラリア信号長官のオーストラリア・サイバー セキュリティセンター(ASDのACSC)、ニュージーランドの政府コミュニケーション・セキュリティ局の国家サイバーセキュリティセンター(NCSC-NZ)、イギリスの国家サイバーセキュリティセンター(NCSC-UK)によって作成された。 
The goals of this guidance are to:   このガイダンスの目標は以下の通りである:  
1. Raise awareness of the potential risks related to data security in the development, testing, and deployment of AI systems;   1. AIシステムの開発、テスト、展開におけるデータセキュリティに関連する潜在的リスクに対する認識を高める;  
2.  Provide guidance and best practices for securing AI data across various stages of the AI lifecycle, with an in-depth description of the three aforementioned significant areas of data security risks; and   2. AIライフサイクルの様々な段階において、AIデータを保護するためのガイダンスとベストプラクティスを提供する。  
3.  Establish a strong foundation for data security in AI systems by promoting the adoption of robust data security measures and encouraging proactive risk mitigation strategies.  3. 強固なデータセキュリティ対策の採用を促進し、積極的なリスク緩和戦略を奨励することにより、AIシステムにおけるデータセキュリティの強固な基盤を確立する。 

 

表1:AIシステムのライフサイクル段階に、主要点、必要な継続的アセスメント、データセキュリティの重点分野、及び本CSIが対象とする特定のデータセキュリティリスク

 

AIのライフサイクル段階 主要点 テスト、評価、検証、妥当性確認(TEVV) データセキュリティの潜在的重点分野 本CSIが対象とする特定のデータセキュリティリスク
1) プランとデザイン  アプリケーション・コンテキスト  監査とアセスメント  初期段階からデータ・セキュリティ対策を取り入れ、堅牢なセキュリティ・プロトコルを設計し、脅威モデリングを行い、プライバシー・バイ・デザインを取り入れる。  データ・サプライ・チェーン 
2) データ収集と処理  データと入力  内部および外部妥当性確認  データの完全性、認証、暗号化、アクセス管理、データの最小化、匿名化、安全なデータ転送を確保する。  データ・サプライ・チェーン、悪意を持って変更されたデータ
3) モデルの構築と使用  AIモデル  モデルテスト  データの改ざんからの防御、データの品質とプライバシーの確保(適切かつ可能な場合には、差分プライバシーと安全なマルチパーティ計算を含む)、モデル・トレーニングの安全確保、および運用環境   データ・サプライ・チェーン、悪意を持って変更されたデータ 
4) 検証と妥当性確認  AIモデル  モデルテスト  包括的なセキュリティテストを実施し、リスクを特定し緩和し、データの完全性を検証し、敵対的テストを実施し、適切かつ可能な場合は正式な検証を行う。  データ・サプライ・チェーン、悪意を持って変更されたデータ 
5) 展開と使用  タスクとアウトプット  統合、コンプライアンス・テスト、妥当性確認  厳格なアクセス管理、ゼロトラストインフラストラクチャ、安全なデータ伝送と保存、安全なAPIエンドポイント、異常動作の監視を実施する。  データ・サプライチェーン、悪意を持って変更されたデータ、データ・ドリフト 
6) オペレーションとモニター  アプリケーション・コンテキスト  監査とアセスメント  継続的なリスクアセスメントの実施、データ漏えいのモニタリング、データの安全な消去、規制への対応、インシデント対応計画、定期的なセキュリティ監査の実施  データ・サプライチェーン、悪意を持って変更されたデータ、データ・ドリフト 

 

 

| | Comments (0)

2025.06.11

米国 NIST CSWP 45 ハードウェア・セキュリティ構成の評価指標と方法論 (2025.06.05)

こんにちは、丸山満彦です。

NISTがハードウェア・セキュリティ構成の評価指標と方法論についてのホワイト・ベーパーを公表していますね...

ハードウェアは部品等に対する操作が攻撃者にとっては困難なため、ソフトウェアより外部からの攻撃への耐性が強いという面があります(例えば、秘密鍵の保管に対タンパー装置(HSM)を利用することがありますね)。

一方、設計過程や製造過程で脆弱性が組み込まれてしまい、それに気づかないうちに使っていると、その脆弱性に起因した脅威というのが実現され、かつ気づくのに遅れる可能性もあります。なので、ハードウェアの設計・製造段階で脆弱性が入ってこないようにすることは非常に重要と言えます。

ということで、このホワイト・ペーパーは作成されているようです...

論理的に整理されていますね...

 

NIST - ITL

・2025.06.05 NIST CSWP 45 Metrics and Methodology for Hardware Security Constructs

Abstract 要旨 
Although hardware is commonly believed to be security-resilient, it is often susceptible to vulnerabilities that arise from design and implementation flaws. These flaws can jeopardize the hardware’s security, its operations, and critical user information. This investigation presents a comprehensive methodology for assessing threats related to different hardware weaknesses and the attacks that can exploit them. The methodology results in two key metrics: a threat metric that quantifies the number of hardware weaknesses that an attack can exploit and a sensitivity metric that measures the number of distinct attacks that can target a hardware system with a specific weakness. These metrics and the accompanying analysis aim to guide security efforts and optimize the trade-offs between hardware security and associated costs. ハードウェアは一般的にセキュリティレジリエンスが高いと考えられているが、設計や実装の欠陥から生じる脆弱性の影響を受けやすいことが多い。これらの欠陥は、ハードウェアのセキュリティ、運用、重要なユーザー情報を危険にさらす可能性がある。この調査では、さまざまなハードウェアの弱点に関連する脅威と、それを悪用する攻撃を評価するための包括的な方法論を提示する。この方法論は、攻撃が悪用できるハードウェアの弱点の数を定量化する脅威メトリックと、特定の弱点を持つハードウェアシステムをターゲットにできる明確な攻撃の数を測定する感度メトリックという、2つの重要なメトリックをもたらす。これらの指標とそれに伴う分析は、セキュリティ対策の指針となり、ハードウェア・セキュリティと関連コストのトレードオフを最適化することを目的としている。

 

MITRE

Common Weakness Emulation

 

・[PDF] NIST.CSWP.45

20250610-61126

・[DOCX][PDF] 仮訳

 

目次...

Introduction 序論
1. Motivation 1.モチベーション
2. Hardware Weaknesses and Their Security Implications 2.ハードウェアの弱点とセキュリティへの影響
3. CAPEC Attack Patterns 3.CAPEC攻撃パターン
3.1. Meta Attack Patterns 3.1.メタ攻撃パターン
3.2. Standard Attack Patterns 3.2.標準攻撃パターン
4. Resources Required to Exploit CAPEC Attack Patterns 4.CAPEC攻撃パターンの攻略に必要なリソース
5. Methodology for Hardware Weakness Threat Analysis 5.ハードウェアの弱点脅威分析の方法論
6. Conclusion 6.結論
References 参考文献

 

序論...

Introduction   序論  
Hardware is often regarded as more security-resilient than software because physical components are more difficult to manipulate. Hardware designers also have greater control over implementation details, which enables them to mitigate certain critical attacks.  ハードウェアは、物理的なコンポーネントの操作がより困難であるため、ソフトウェアよりもセキュリティレジリエンスが高いとみなされることが多い。また、ハードウェア設計者は実装の詳細をより詳細に制御できるため、特定の重大な攻撃を緩和することができる。 
However, weaknesses can be introduced during the design and manufacturing stages that cause hardware to leak sensitive information and compromise the accuracy of operations. For example, Spectre [1], Meltdown [2], Inception [3], Downfall [4], and Foreshadow [5] are wellknown vulnerabilities that show how hardware weaknesses can be exploited in both controlled laboratory environments and real-life scenarios. Developing more secure hardware for the future requires ongoing research into different hardware weaknesses and the techniques used to exploit them.  しかし、設計や製造の段階で弱点が入り込み、ハードウェアから機密情報が漏れたり、操作の正確性が損なわれたりすることがある。例えば、Spectre [1]、Meltdown [2]、Inception [3]、Downfall [4]、Foreshadow [5]はよく知られた脆弱性であり、管理された実験室環境と現実のシナリオの両方で、ハードウェアの脆弱性がどのように悪用されるかを示している。将来に向けて、より安全なハードウェアを開発するためには、さまざまなハードウェアの弱点と、それを悪用するために使用される技術に関する継続的な研究が必要である。 
With a goal of developing exploitation and mitigation strategies, the Hardware Common Weakness Enumeration Special Interest Group (HW CWE SIG) has analyzed 108 different hardware weaknesses that originate from hardware design issues [6]. CWE categorizes and maintains hardware and software weaknesses separately, since they and their exploitation and mitigation techniques are fundamentally different. Additionally, the Common Attack Pattern Enumeration and Classification (CAPEC) established by the U.S. Department of Homeland Security [7] categorizes possible existing attack patterns in hardware, software, communications, supply chains, social engineering, and physical security. CAPEC also analyzes the likelihood of such attacks being launched, their potential severity and flow of execution, and the skills that an adversary is likely to need.  悪用と緩和戦略を開発する目的で、Hardware Common Weakness Enumeration Special Interest Group(HW CWE SIG)は、ハードウェア設計の問題に起因する108種類のハードウェア弱点を分析した[6]。CWE では、ハードウェアの弱点とソフトウェアの弱点は基本的に異なるものであり、その悪用と緩和の手法も異なるため、ハードウェアの弱点とソフトウェアの弱点を別々に分類し、管理している。さらに、米国国土安全保障省が制定した共通攻撃パターン列挙分類(Common Attack Pattern Enumeration and Classification:CAPEC)[7]は、ハードウェア、ソフトウェア、コミュニケーション、サプライチェーン、ソーシャルエンジニアリング、物理セキュリティにおいて、現存する可能性のある攻撃パターンを分類している。また、CAPEC は、そのような攻撃が開始される可能性、その潜在的な重大性、実行の流れ、敵対者が必要としそうなスキルについても分析する。 
This work utilizes a comprehensive methodology and two key metrics—threat and sensitivity— to analyze different hardware weaknesses (Sec. 3) and the specific attack patterns that can exploit them (Sec. 4). Section 5 discusses the resources needed to launch various attack patterns. Section 6 contains the overall framework for this analysis.  この研究では、包括的な方法論と、脅威と感度という2つの重要な指標を活用し、様々なハードウェアの弱点(セクション3)と、それを悪用できる具体的な攻撃パターン(セクション4)を分析する。セクション5では、様々な攻撃パターンを実行するために必要なリソースについて議論する。セクション6 では、この分析の全体的な枠組みを示す。 

 

CWEで最も重要なハードウェアの弱点

ID  Description  説明 
CWE-1272  Sensitive Information Uncleared Before Debug/Power State Transition  デバッグ/電源状態遷移の前に機密情報がクリアされない 
CWE-1300  Improper Protection of Physical Side Channels  物理的サイドチャンネルの不適切な防御 
CWE-1189  Improper Isolation of Shared Resources on System-on-a-Chip (SoC)  システムオンチップ(SoC)における共有リソースの不適切な分離 
CWE-1244  Internal Asset Exposed to Unsafe Debug Access Level or State  内部資産が安全でないデバッグアクセスレベルまたは状態にさらされる 
CWE-1191  On-Chip Debug and Test Interface with Improper Access Control  不適切なアクセス管理のオンチップ・デバッグおよびテスト・インターフェース 
CWE-1231  Improper Prevention of Lock Bit Modification  ロック・ビット変更の不適切な防止 
CWE-1233  Security-Sensitive Hardware Controls with Missing Lock Bit Protection  ロックビット欠落保護機能付きセキュリティ重視ハードウェア制御 
CWE-1274  Improper Access Control for Volatile Memory Containing Boot Code  ブートコードを含む揮発性メモリに対する不適切なアクセス管理 
CWE-1260  Improper Handling of Overlap Between Protected Memory Ranges  保護されたメモリ領域間のオーバーラップの不適切な処理 
CWE-1240  Use of a Cryptographic Primitive with a Risky Implementation  リスクの高い実装を持つ暗号プリミティブの使用 
CWE-1256  Improper Restriction of Software Interfaces to Hardware Features  ハードウェア機能に対するソフトウェア・インターフェースの不適切な制限 

 

一般的な弱点の列挙...

MITRE

Common Weakness Enumeration

 

メタレベル(ハイレベル)の攻撃パターン...

特定の技術や実装を特定しない攻撃手法やテクニックの抽象的でハイレベルな記述

ID  Description  説明 
26 Leveraging Race Conditions  レース条件を活用する 
113 Interface Manipulation  インターフェイスの操作 
114 Authentication Abuse  認証の悪用 
122 Privilege Abuse  特権の乱用 
124 Shared Resource Manipulation  共有リソースの操作 
176 Configuration/Environment Manipulation  コンフィギュレーション/環境操作 
188 Reverse Engineering  リバース・エンジニアリング 
192 Protocol Analysis  プロトコル分析 
233 Privilege Escalation  特権のエスカレーション 
441 Malicious Logic Insertion  悪意のあるロジックの挿入 
624 Hardware Fault Injection  ハードウェア障害インジェクション 

 

標準攻撃パターン

メタレベルの攻撃パターンのサブグループで、特定の攻撃手法やテクニックに焦点を当てている

ID  Description  説明 
167 White Box Reverse Engineering  ホワイトボックス・リバース・エンジニアリング 
189 Black Box Reverse Engineering  ブラックボックス・リバース・エンジニアリング 
121 Exploit Non-Production Interfaces  非プロダクション・インターフェイスを悪用する 
36 Using Unpublished Interfaces or Functionality  未発表のインターフェイスや機能を使用する 
1 Accessing Functionality Not Properly Constrained by ACLs  ACLによって適切に制限されていない機能へのアクセス 
180 Exploiting Incorrectly Configured Access Control Security Level  不正に設定されたアクセス管理のセキュリティレベルを悪用する 
68 Subvert Code-signing Facilities  コード・サイン設備を破壊する 
452 Infected Hardware  感染したハードウェア 
456 Infected Memory  インフェクテッド・メモリー 
97 Cryptanalysis  暗号解読 
625 Mobile Device Fault Injection  モバイル機器の障害インジェクション 

 

 

攻撃に必要なリソースマッピング

・攻撃者の「知識レベル(高低)」、ハードウェアに対する情報のレベル(設計図、内部レジスタから情報を入手できる、入出力だけ)を整理していますね...

1_20250610064201

 

 

| | Comments (0)

2025.06.10

米国 NIST SP 800-18 Rev.2(初公開ドラフト) システムのセキュリティ、プライバシー、サイバーセキュリティ・サプライチェーン・リスクマネジメント計画の策定 (2025.06.04)

こんにちは、丸山満彦です。

1998年12月に初版が発行され、2006年2月に改訂されたNISTのSP800-18 Rev.1 連邦情報システムのためのセキュリティ計画策定ガイドの改訂版案が公表されていますね...

NISTのリスクマネジメント・フレームワーク (RMF) の理解が前提となっていますね...

ということもあって、現在の版が情報システムのセキュリティであったのが、改定案では、プライバシーとサイバーセキュリティ・サプライチェーン・リスクマネジメントも対象に含まれることになっていますね...

現在の版は、IPAから[PDF]日本語仮訳版が公表されているので、参考にするとよいと思います...

ちなみにNIST RMFに関連するNISTのプロジェクトは次のとおり...

 

NIST - ITL

・2025.06.04 NIST SP 800-18 Rev. 2 (Initial Public Draft) Developing Security, Privacy, and Cybersecurity Supply Chain Risk Management Plans for Systems

 

NIST SP 800-18 Rev. 2 (Initial Public Draft) Developing Security, Privacy, and Cybersecurity Supply Chain Risk Management Plans for Systems NIST SP 800-18 Rev.2(初公開ドラフト) システムのセキュリティ、プライバシー、サイバーセキュリティ サプライチェーンリスクマネジメント計画の策定
Announcement 発表
The system security plan, system privacy plan, and cybersecurity supply chain risk management plan–collectively referred to as system plans– consolidate information about the assets and individuals being protected within an authorization boundary and its interconnected systems. System plans serve as a centralized point of reference for information about the system and tracking risk management decisions to include data being created, collected, disseminated, used, stored, and disposed; individuals responsible for system risk management efforts; details about the environment of operation, system components, and data flows internally and externally; and controls in planned and in place to manage risk. システムセキュリティプラン、システムプライバシプラン、サイバーセキュリティ・サプライチェーン・リスクマネジメントプランは、総称してシステムプランと呼ばれ、認可バウンダリとその相互接続システム内で保護される資産と個人に関する情報を統合する。システム計画は、作成、収集、普及、使用、保存、廃棄されるデータ、システムリスクマネジメントの取り組みの責任者、運用環境、システム構成要素、内部および外部へのデータの流れに関する詳細、リスクマネジメントのために計画され実施されている管理策など、システムに関する情報およびリスクマネジメントの意思決定を追跡するための一元的な参照ポイントとして機能する。
NIST Special Publication 800-18r2 focuses on the development of system plans that address system-level security, privacy, and CSCRM requirements that may derive from enterprise, organization, and mission/business process requirements. NIST 特別刊行物 800-18r2 は、エンタープライズ、組織、及びミッション/ビジネスプロセスの要件に由来するシステムレベルのセキュリティ、プライバシー、及び CSCRM の要件に対応するシステム計画の策定に焦点を当てている。
The major changes for this revision include: この改訂の主な変更点は以下のとおりである:
・Expanded guidance to address the development of system plans within the context of the NIST Risk Management Framework, the NIST Privacy Framework, and NIST SP 800-161r1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations. ・NIST リスクマネジメントフレームワーク、NIST プライバシーフレームワーク、及び NIST SP 800-161r1「システム及び組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践」の文脈におけるシステム計画の策定に対処するためのガイダンスの拡充。
・Insights into the development of a consolidated system plan that encompasses security, privacy, and cybersecurity supply chain risk management plan elements. ・セキュリティ、プライバシー、及びサイバーセキュリティのサプライチェーンリスクマネジメント計画の要素を包含する統合システム計画の策定についての洞察。
・Updated descriptions of system plan elements, with considerations for security, privacy, and cybersecurity supply chain risk management requirements. ・セキュリティ、プライバシー及びサイバーセキュリティサプライチェーンリスクマネジメント要件に配慮したシステム計画要素の説明を更新した。
・Considerations for automating the development and maintenance of system plans using information management tools, such as governance, risk, and compliance (GRC) applications. ・ガバナンス・リスク・コンプライアンス(GRC)アプリケーションなどの情報マネジメントツールを用いたシステム計画の策定及び保守の自動化に関する考察。
Supplemental materials include system plan example outlines; updated roles and responsibilities associated with system plan development. 補足資料には、システム計画例の概要、システム計画策定に関連する役割と責任の更新などが含まれる。
The public comment period is open through July 30, 2025. We encourage you to use this comment template and email it to [mail]
.
パブリックコメント期間は2025年7月30日までである。このコメントテンプレートを使用し、[mail]
まで電子メールで送付されることを推奨する。
Abstract 要旨
The system security plan, system privacy plan, and cybersecurity supply chain risk management plan are collectively referred to as system plans. They describe the purpose of the system, the operational status of the controls selected and allocated for meeting risk management requirements, and the responsibilities and expected behavior of all individuals who manage, support, and access the system. This publication identifies essential elements of system plans from security, privacy, and cybersecurity supply chain risk management perspectives to promote consistent information collection across the organization, regardless of the system’s mission or business function. システムセキュリティプラン、システムプライバシープラン、サイバーセキュリティサプライチェーンリスクマネジメントプランを総称してシステムプランと呼ぶ。これらは、システムの目的、リスクマネジメント要件を満たすために選択され、割り当てられた管理 の運用状況、システムを管理、サポート、アクセスするすべての個人の責任と期待される行動を記述する。本書では、セキュリティ、プライバシー、サイバーセキュリティのサプライチェーンリスクマネジメントの観点から、システム計画に不可欠な要素を特定し、システムのミッションや業務機能に関係なく、組織全体で一貫した情報収集を促進する。
   
Supplemental Content  補足コンテンツ 
The following materials are available on the publication details page to supplement the guidance provided in this publication:  本書で提供されるガイダンスを補足するために、出版物の詳細ページで以下の資料を入手できる: 
・System Security Plan outline example  ・システム・セキュリティ計画の概要例 
・System Privacy Plan outline example  ・システム・プライバシー計画の概要例 
・Cybersecurity Supply Chain Risk Management System Plan outline example  ・サイバーセキュリティ サプライチェーンリスクマネジメントシステム計画の概要例 
・System Plan Roles and Responsibilities  ・システム計画の役割と対応計画 
Audience  想定読者
This publication is intended to serve a diverse audience, including:  本書は、以下を含む多様な読者を対象としている: 
・Individuals with information security, privacy, and risk management program oversight responsibilities (e.g., authorizing officials, senior agency information security officers, senior agency officials for privacy)  ・情報セキュリティ、プライバシー及びリスクマネジメントプログラムの監督責任を有する個人 (例えば、認可担当者、上級機関の情報セキュリティ担当者、プライバシー担当の上級機関職員) ・システム開発責任を有する個人 
・Individuals with system development responsibilities (e.g., mission or business owners, program managers, systems engineers, systems security engineers, systems privacy engineers, software developers, systems integrators, acquisition or procurement officials)  ・システム開発に責任を有する個人(例えば、ミッション又はビジネスオーナー、プログラ ムマネージャー、システムエンジニア、システムセキュリティエンジニア、システムプライバシエンジニア、ソフトウ ェア開発者、システムインテグレーター、取得又は調達担当者) 
・Individuals with system security and privacy implementation and operations responsibilities (e.g., mission or business owners, system owners, information owners or stewards, system administrators, system security officers, system privacy officers)  ・システムセキュリティ及びプライバシーの実装と運用を担当する個人 (例えば、ミッション又はビジネスオーナー、システムオーナー、情報オーナ ー又はスチュワード、システム管理者、システムセキュリティオフィサー、シ ステムプライバシーオフィサー) 
・Individuals with cybersecurity supply chain risk management-related responsibilities (e.g., C-SCRM program managers)  ・サイバーセキュリティサプライチェーンリスクマネジメントに関連する責任を有する個人(例: C-SCRM プログラムマネージャ) 
・Individuals with acquisition and procurement-related responsibilities (e.g., acquisition officials, contracting officers)  ・取得及び調達に関連する責任を有する個人(例:取得担当者、契約担当者) 
・Individuals with logistical or disposition-related responsibilities (e.g., program managers, system integrators, property managers)  ・後方支援または処分に関連する責任を有する個人 (例:プログラムマネージャー、システム インテグレーター、資産管理者) 
・Individuals with control assessment and monitoring responsibilities (e.g., auditors, Inspectors General, system evaluators, control assessors, independent verifiers and validators, analysts)  ・管理評価及び監視に責任を持つ個人(例:監査人、監察官、システム評価者、管理評価者、独立検証者及び妥当性確認者、分析者) 
・Commercial entities and industry partners that produce component products and systems, create security and privacy technologies, or provide services or capabilities that support information security or privacy  ・コンポーネント製品やシステムを製造し、セキュリティ技術やプライバシー技術を開発し、 情報セキュリティやプライバシーを支援するサービスや機能を提供する営利事業体や業界 パートナー 
The material presented in this publication assumes that the audience has a basic understanding of the NIST Risk Management Framework (RMF).  本書に記載されている内容は、読者がNISTリスクマネジメントフレームワーク(RMF)の基本的な理解を持っていることを前提としている。
Note to Reviewers  査読者への注記 
NIST welcomes feedback on the quality of the draft revision of this publication, including the technical accuracy of the material presented, the ease of navigating and understanding the material, and the impacts of the added, modified, and removed content.  NISTは、提示された資料の技術的な正確さ、資料のナビゲーションや理解のしやすさ、追加・修正・削除された内容の影響など、本書の改訂ドラフトの品質に関するフィードバックを歓迎する。
This updated guidance for the development of system plans is intended to support:  システム計画策定のためのこの最新ガイダンスは、以下を支援することを意図している: 
・The development and maintenance of system plans following the NIST RMF  ・NIST RMFに従ったシステム計画の策定と保守を支援する。
・Privacy risk management as reflected in the NIST Privacy Framework, the inclusion of privacy risk management in SP 800-37, and the updated controls in SP 800-53 to more fully support privacy objectives  ・NIST Privacy Framework に反映されたプライバシーリスクマネジメント、SP 800-37 に含まれたプライバシーリスクマネジメント、及びプライバシー目標をより完全にサポートするための SP 800-53 の更新されたコントロール 
・The increased attention to cybersecurity-related supply chain risks reflected in SP 800161 and the supply chain risk management (SR) controls in SP 800-53  ・SP 800161 及び SP 800-53 のサプライチェーンリスクマネジメント(SR)統制に反映され た、サイバーセキュリティ関連のサプライチェーンリスクへの関心の高まり。
・The use of automation to capture, process, and report information in the system plans to facilitate risk management activities and decisions NIST is particularly interested in feedback on the following:  ・リスクマネジメント活動と意思決定を促進するためのシステム計画における情報の取得、処理、報告への自動化の利用 NIST は、特に以下の点に関するフィードバックに関心がある: 
・How do these guidelines align with your existing organizational practices for documenting or reporting security, privacy, and cybersecurity supply chain risk management efforts at the system level?  ・本ガイドラインは、システムレベルでのセキュリティ、プライバシー及びサイバーセキュリティのサプライチェーンリスクマネジメントの取り組みを文書化又は報告するための既存の組織的慣行とどのように整合するか。
・How do you expect the guidelines and supplemental materials to influence your future practices and processes?  ・本ガイドライン及び補足資料が、貴社の今後の実務やプロセスにどのような影響を与えることを期待するか。
・What additional system plan elements would improve the usability of the information captured for the system plans?  ・システム計画のために取得した情報の使いやすさを改善するために、どのようなシステム計画 要素を追加するか。
・What additional considerations are there for automating the capture of system information using enterprise security tools that would improve organizational risk management efforts and risk decision-making?  ・エンタープライズセキュリティツールを使ってシステム情報の取り込みを自動化することに よって、組織のリスクマネジメントの取り組みとリスクの意思決定を改善するために、 どのような追加的な考慮事項があるか。
Comments can be submitted using the comment template posted on the publication details page and sent to [mail]
with the subject “SP 800-18r2 ipd comments.” 
コメントは、出版物の詳細ページに掲載されているコメントテンプレートを使用し、件名を 「SP 800-18r2 ipd comments 」として、[mail]
宛に提出することができる。

 

・[PDF] NIST.SP.800-18r2.ipd

20250609-60943

 

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. 序論
1.1. Relationship to Other NIST Guidelines 1.1. 他の NIST ガイドラインとの関係
1.2. Document Organization 1.2. 文書の構成
2. Overview  2. 概要 
2.1. System Security Plan 2.1. システム・セキュリティ計画
2.2. System Privacy Plan 2.2. システム・プライバシー計画
2.3. Cybersecurity Supply Chain Risk Management Plan 2.3. サイバーセキュリティ・サプライチェーン・リスクマネジメント計画
2.4. Consolidated System Plans 2.4. 統合システム計画
3. Elements of System Plans 3. システム計画の要素
3.1. System Name and Identifier 3.1. システムの名称と識別名
3.2. System Plan Reviews and Change Records 3.2. システム計画のレビューと変更記録
3.3. Role Identification and Responsible Personnel 3.3. 役割の特定と責任者
3.4. System Operational Status 3.4. システムの運用状況
3.5. System Description 3.5. システムの説明
3.6. System Information Types and System Categorization 3.6. システム情報の種類とシステムの分類
3.7. Authorization Boundary and System Environment 3.7. 認可境界とシステム環境
3.8. Control Implementation Details 3.8. コントロールの実装の詳細
3.9. Information Exchanges 3.9. 情報交換
3.10. Laws, Regulations, and Policies Affecting the System 3.10. システムに影響を及ぼす法律、規制、政策
3.11. Digital Identity Acceptance Statement 3.11. デジタル ID アクセプタンス・ステートメント
3.12. Referenced Artifacts  3.12. 参照される成果物 
3.13. Acronym List and Glossary 3.13. 略語リストおよび用語集
4. System Plan Development and Maintenance 4. システム計画の策定と保守
4.1. Prepare 4.1. 準備
4.2. Categorize 4.2. 分類
4.3. Select 4.3. 選択
4.4. Implement 4.4. 実施
4.5. Assess 4.5. アセスメント
4.6. Authorize 4.6. 認可
4.7. Monitor 4.7. モニター
4.8. Automation Support 4.8. 自動化サポート
References 参考文献
Appendix A. RMF Task Outputs Related to System Plan Elements 附属書A. システム計画要素に関連するRMFタスクのアウトプット
Appendix B. List of Abbreviations and Acronyms 附属書B. 略語と頭字語のリスト
Appendix C. Glossary 附属書C. 用語集
Appendix D. Change Log 附属書D. 変更履歴
List of Tables 表一覧
Table 1. RMF task outputs related to system plan elements 表1. システム計画要素に関連するRMFタスクのアウトプット
List of Figures 図一覧
Fig. 1. Relationship between security and privacy risks  図1. セキュリティリスクとプライバシーリスクの関係 
Fig. 2. NIST Risk Management Framework Steps 図2. NISTリスクマネジメントフレームワークのステップ

 

 

Executive Summary  エグゼクティブサマリー 
System plans collectively refer to the system security plan, system privacy plan, and cybersecurity supply chain risk management (C-SCRM) plan that describe the design and implementation of security, privacy, and cybersecurity supply chain protections throughout the system life cycle. System plans include information about the data being created, collected, disseminated, used, stored, and disposed; identify individuals who are responsible for system risk management efforts; describe the environment of operation, system components, and data flows within the environment; and account for system risks associated with information exchanges involving systems outside the authorization boundary. The structure and format of system plans are prepared according to organizational needs and the information described in this publication.  システム計画とは、システムのライフサイクル全体を通して、セキュリティ、プライバシー、サイバーセキュリティサプライチェーンマネジメント(C-SCRM)防御の設計と実施を記述するシステムセキュリティプラン、システムプライバシープラン、サイバーセキュリティサプライチェーンマネジメント(C-SCRM)プランを総称したものである。システム計画には、作成、収集、普及、使用、保存及び廃棄されるデータに関する情報を含み、システムリスク マネジメントの取り組みに責任を負う個人を特定し、運用環境、システム構成要素及び環境内のデータフロー を記述し、認可境界外のシステムを含む情報交換に関連するシステムリスクを考慮する。システム計画の構成及び書式は、組織のニーズ及び本書に記載された情報に従って作成される。
NIST Special Publication (SP) 800-18r2 (Revision 2) addresses the development and maintenance of system plans in support of risk management activities, such as tasks in the NIST Risk Management Framework (RMF) steps in [SP800-37]. This revision:  NIST特別刊行物(SP)800-18r2(改訂2)は、[SP800-37]のNISTリスクマネジメントフレームワーク(RMF)のステップにおけるタスクなど、リスクマネジメント活動を支援するシステム計画の策定と保守に対応している。本改訂は、以下の内容を含んでいる: 
・ Provides content considerations for elements in system plans;  ・システム計画における要素の内容に関する考察を提供する; 
・ Discusses the use of automation to develop and maintain system plans over the system life cycle, including sharing and protecting system plan information; and  ・システム計画情報の共有と防御を含め、システムライフサイクルを通じたシステム計画の策定と維持のための自動化の利用について説明する。
・ Provides supplemental materials, including system plan outline examples and updated roles and responsibilities associated with system plans that may factor into system plan development.  ・システム計画の概要例や、システム計画策定に関連する役割と責任の更新などの補足資料を提供する。
Federal agencies are required to develop and maintain system plans for managing risks, including implementation details for the controls allocated to address the requirements. Nonfederal organizations may voluntarily apply these guidelines to develop and maintain system plans consistent with their risk management strategies.  連邦政府機関は、要件に対応するために割り当てられた管理の実施詳細を含む、リスクマネジメントのためのシステム計画を策定し、維持することが求められる。連邦政府以外の組織は、リスクマネジメント戦略に合致したシステム計画を策定・維持するために、自主的に本ガイドラインを適用することができる。
1. Introduction  1. 序論 
All systems that process, store, and transmit information within an organization need safeguards that adhere to an organization-wide risk management strategy to address security, privacy, and cybersecurity supply chain risks. System plans collectively refer to the system security plan, system privacy plan, and cybersecurity supply chain risk management (C-SCRM) plan, which describe the assets and individuals being protected within an authorization boundary and the system risks associated with information exchanges that involve systems outside of the authorization boundary.  組織内で情報を処理、保管、伝送するすべてのシステムには、セキュリティ、プライバシー、及びサイバーセキュリティのサプライチェーンリスクに対処するために、組織全体のリスクマネジメント戦略に準拠したセーフガードが必要である。システム計画は、システムセキュリティプラン、システムプライバシープラン、及びサイバーセキュリティサプライチェーンマネジメント(C-SCRM)プランを総称したものであり、認可バウンダリ内で保護される資産及び個人、並びに認可バウンダリ外のシステムを含む情報交換に関連するシステムリスクを記述する。
・ The system security plan describes the system security requirements, including the controls selected to protect the confidentiality, integrity, and availability of the system and its information.  ・システムセキュリティプランは、システム及びその情報の機密性、完全性及び可用性を保護するために選択された管理を含む、システムセキュリティ要件を記述する。
・ The system privacy plan describes the system privacy risk management requirements, including the controls selected to address predictability, manageability, and disassociability.[1]  ・システムプライバシー計画は、予測可能性、管理可能性、及び解離可能性に対処するために選択された管理を含む、システムプライバシーリスクマネジメントの要求事項を記述する[1]。
・ The C-SCRM plan describes the system’s C-SCRM requirements, including the controls to manage, implement, and monitor the supply chain and develop and sustain the system across mission and business functions.  ・C-SCRM計画は、サプライチェーンを管理し、実施し、監視し、ミッション及びビジネス機能にわたってシステムを開発し、維持するための統制を含む、システムのC-SCRM要件を記述する。
The NIST Risk Management Framework (RMF) [SP800-37] provides a flexible methodology for organizations and systems to manage security, privacy, and supply chain risks. The expected outputs of RMF tasks (see Appendix A) inform the system plan elements that describe the system’s purpose; environment of operation; information that is stored, processed, and transmitted; data flows within the environment and with interconnected systems; control implementation details; and the roles and responsibilities of individuals associated with the system. Automation and information management tools can facilitate the collection,  presentation, and update of system plan information.2  NISTリスクマネジメントフレームワーク(RMF) [SP800-37]は、組織及びシステムがセキュリティ、 プライバシー及びサプライチェーンリスクを管理するための 柔軟な方法論を提供するものである。RMFタスクの期待されるアウトプット(附属書Aを参照)は、システムの目的、運用環境、保存、処理、及び伝送される情報、環境内及び相互接続されたシステムとのデータフロー、統制の実施の詳細、並びにシステムに関連する個人の役割及び責任を記述するシステム計画要素に情報を与える。自動化と情報管理ツールは、システム計画情報の収集、提示、更新を容易にすることができる2
This publication focuses on the development of system plans that address system-level security, privacy, and C-SCRM requirements that are derived from enterprise, organization, and mission/business process requirements. These guidelines can also be extended to:  本書は、エンタープライズ、組織、及びミッション/ビジネ スプロセスの要求事項に由来する、システムレベルのセキュリ ティ、プライバシー、及びC-SCRMの要求事項に対応するシ ステム計画の作成に焦点を当てている。これらのガイドラインはまた、以下のように拡張することができる: 
・ Common control providers that provide implementation details for controls available to be inherited by other systems;  ・他のシステムに継承可能な制御の実装の詳細を提供する共通制御プロバイダ; 
・ Requirements identified in [SP800-171] and [SP800-172] for the development of system security plans for nonfederal organizations protecting Controlled Unclassified Information (CUI); and 
・管理対象非機密情報(CUI)を保護する連邦政府以外の組織のシステム・セキュリティ計画の策定に関する[SP800-171]及び[SP800-172]で識別される要件。
・ Organizations developing system plans for service offerings from cloud service providers, including software as a service (SaaS), infrastructure as a service (IaaS), and platform as a service (PaaS).  ・SaaS、IaaS、PaaSなど、クラウドサービスプロバイダが提供するサービスのシステム計画を策定する組織。
System plans are required for federal systems in accordance with Office of Management and Budget (OMB) Circular A-130 [OMBA-130] and the provisions of the Federal Information Security Modernization Act (FISMA) of 2014 [FISMA].[2] Nonfederal organizations — including private and small businesses, academic institutions, and state, local, and tribal governments — may also utilize these guidelines to support their risk management programs.  システム計画は、行政管理予算局(OMB)通達A-130[OMBA-130]および2014年連邦情報セキュリティ近代化法(FISMA)[FISMA]の規定に従って、連邦政府のシステムに対して要求される[2]。民間企業、中小企業、学術機構、州政府、地方政府、部族政府を含む連邦政府以外の組織も、リスク管理プログラムを支援するために本ガイドラインを利用することができる。
1.1. Relationship to Other NIST Guidelines  1.1. 他のNISTガイドラインとの関係 
This publication is designed to support the NIST portfolio of risk management initiatives and publications[3] that address security, privacy, and supply chain risk management concepts and methodologies, including:  本書は、セキュリティ、プライバシー、及びサプライチェーンリスクマネジメントの概念と方法論を扱った NIST のリスクマネジメントのイニシアティブ及び出版物[3]のポートフォリオを支援するように設計されている: 
・ SP 800-37, Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy [SP800-37]  ・SP 800-37「情報システム及び組織のためのリスクマネジメント枠組み」: セキュリティとプライバシーのためのシステムライフサイクルアプローチ[SP800-37]。
・ SP 800-53, Security and Privacy Controls for Information Systems and Organizations [SP800-53]  ・SP 800-53、情報システム及び組織のためのセキュリティ及びプライバシー管理 [SP800-53] 
・ SP 800-53A, Assessing Security and Privacy Controls in Information Systems and Organizations [SP800-53A]  ・SP 800-53A、情報システム及び組織におけるセキュリティ及びプライバシーコントロールのアセスメント [SP800-53A] 
・ SP 800-53B, Control Baselines for Information Systems and Organizations [SP800-53B]  ・SP 800-53B、情報システム及び組織のコントロール・ベースライン[SP800-53B]。
・ SP 800-161, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations [SP800-161]  ・SP 800-161、システム及び組織のためのサイバーセキュリティサプライチェーンリスクマネジメントの実践[SP800-161]。
・ SP 800-171, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations [SP800-171]  ・SP 800-171、連邦政府以外のシステム及び組織における管理対象非機密情報の防御 [SP800-171] [SP800-172 
・ SP 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information [SP800-172]  ・SP 800-172、管理対象非機密情報を保護するための拡張セキュリティ要件 [SP800-172] [SP800-172 
・ NIST Privacy Framework: A Tool for Improving Privacy through Enterprise Risk Management [NISTPF]   ・NIST プライバシー枠組み: エンタープライズリスクマネジメントを通じてプライバシーを改善するためのツール[NISTPF]。 
・ The NIST Cybersecurity Framework (CSF) [NISTCSF]   ・NIST サイバーセキュリティ枠組み(CSF)[NISTCSF]。 
1.2. Document Organization  1.2. 文書の構成 
The publication is organized into the following sections:  本書は以下のセクションで構成されている: 
・ Section 2 describes system security, system privacy, and C-SCRM plans.  ・セクション2は、システムセキュリティ、 システムプライバシー及びC-SCRM計画について記述 している。
・ Section 3 identifies elements that may be included in system security, privacy, and C-SCRM plans.  ・セクション3は、システムセキュリティ、プライバシー及び C-SCRM計画に含まれ得る要素を特定する。
・ Section 4 describes how system plans are developed and maintained in relation to the RMF and with the support of automation.  ・セクション4は、RMFに関連し、自動化の支援を受けて、システ ム計画がどのように策定され、維持されるかを記述する。
・ The References section lists the source materials cited in this publication.  ・参考文献のセクションは、本書で引用した出典を列挙している。
The following appendices provide additional information and resources that support the development of system plans:  以下の附属書は、システム計画の策定を支援する追加的な情報とリソースを提供する: 
・ Appendix A summarizes the RMF task outputs included in system plans.  ・附属書Aは、システム計画に含まれるRMFタスクアウトプットをまとめたものである。
・ Appendix B lists the abbreviations and acronyms used in this publication.  ・附属書Bは、本書で使用されている略語と頭字語の一覧である。
・ Appendix C provides a glossary of the terms used in this publication.  ・附属書Cは、本書で使用されている用語の解説である。
・ Appendix D provides a publication change log. ・附属書Dは、本書の変更履歴を示す。
2. Overview  2. 概要 
System plans are based on the organization’s risk management strategy and NIST guidelines (e.g., [SP800-37], [SP800-53], [SP800-161]). They:  システム計画は、組織のリスクマネジメント戦略及びNISTガイドライン([SP800-37]、[SP800-53]、[SP800-161]など)に基づいている。それらは以下のとおりである: 
・ Define the authorization boundary of the system;  ・システムの認可境界を定義する; 
・ Support the organization’s security, privacy, and C-SCRM objectives;  ・組織のセキュリティ、プライバシー、C-SCRM の目的をサポートする; 
・ Define capabilities to defend the organization against threats and threat actors;  ・脅威及び脅威アクターから組織を防御する能力を定義する; 
・ Identify individuals who are responsible for managing and supporting the system;  ・システムの管理及びサポートに責任を持つ個人を識別する; 
・ Help organizational personnel understand how to manage risks to an acceptable level throughout the system life cycle and respond to changing risks in a timely manner;  ・組織の要員が、システムのライフサイクルを通じてリスクを許容可能なレベルまで管理し、変化するリスクに適時に対応する方法を理解するのを支援する; 
・ Consider requirements for information technology, operational technology, and emerging technologies that may be informed by system artifacts, such as risk assessments, business impact analyses (BIAs), and information exchange agreements;  ・リスクアセスメント、ビジネス影響度分析(BIA)、情報交換契約などのシステム成果物 から得られる情報技術、運用技術、及び新たな技術に関する要件を分析する; 
・ Provide sufficient evidence to support risk-based decisions regarding the ongoing operation or use of the system; and  ・システムの継続的な運用または使用に関するリスクベースの決定を裏付ける十分な証拠を提供する。
・ Require methodical reviews and periodic updates to maintain information about the system’s mission, technologies, components, personnel, and implemented controls.  ・システムの使命、技術、構成要素、要員、及び実施された管理に関する情報を維持するために、体系的なレビュー及び定期的な更新を要求する。
The information contained in system plans can be captured as documents or using different Governance, Risk and Compliance (GRC) tools. This section addresses the objectives and purposes of the system security plan, system privacy plan, and C-SCRM plan.  システム計画に含まれる情報は、文書として、またはさまざまなガバナンス・リスク・コンプライアンス(GRC)ツールを使用して取得することができる。本節では、システムセキュリティ計画、システ ムプライバシー計画、C-SCRM 計画の目的と目 的について述べる。
2.1. System Security Plan  2.1. システムセキュリティ計画 
The system security plan identifies the system’s security requirements and the protections that are planned or in place to meet those requirements. The security plan:   システムセキュリティ計画は、システムのセキュリ ティ要件と、それらの要件を満たすために計画され た、あるいは実施されている防御を特定する。セキュリティ計画 
・ Enables organizational leadership and system management personnel to manage security risks and make effective risk management decisions throughout the system life cycle;  ・組織の指導者及びシステムマネジメントの職員が、システムのライフサイクルを通じてセキュリティリスクを管理し、効果的なリスクマネジメントの意思決定を行うことができるようにする; 
・ Describes implemented or planned controls that address the system’s security requirements;  ・システムのセキュリティ要件に対応する、実装済みまたは計画済みの管理策を記述する; 
・ Identifies the individuals responsible for maintaining the security protections for information and information systems;  ・情報及び情報システムのセキュリティ保 護を維持する責任を負う個人を 識別する 
・ Consolidates details about the system, including its purpose, authorization boundary, [FIPS199] security categorization, operational status, and environment of operations; and   ・システムの目的、認可境界、[FIPS199]セキュリティ分類、運用状況、運用環境など、システムに関する詳細がまとめられている。 
・ Demonstrates how security objectives (i.e., confidentiality, integrity, and availability) are achieved by following security engineering approaches to building resilient and trustworthy systems.  ・レジリエンスと信頼性のあるシステムを構築するためのセキュリティ工学的アプローチに従って、セキュリティ目的(すなわち、機密性、完全性、可用性)がどのように達成されるかを実証する。
2.2. System Privacy Plan  2.2. システムプライバシー計画 
The system privacy plan identifies controls that are allocated and implemented to address privacy risks related to both cybersecurity events and data processing. The privacy plan:   システム・プライバシー計画は、サイバーセキュリティ事象とデータ・処理の両方に関連するプライバシ ー・リスクに対処するために割り当てられ、実施される管理者を特定する。プライバシー計画は以下のとおりである: 
• Aligns the system’s privacy objectives with the organization’s mission, risk tolerance,  ・システムのプライバシー目標を、組織のミッション、リスク許容度、プライバシー目標と整合させる、 
and privacy goals;  プライバシー目標に整合させる; 
• Defines system requirements with respect to the privacy engineering objectives of predictability, manageability, and disassociability and the Fair Information Practice Principles (FIPPs)[4]; and 
・予測可能性、管理可能性、および分離可能性というプライバシー工学の目的と、公正情報慣行原則(FIPPs)[4]に関してシステム要件を定義する;

• Describes planned and implemented controls to address privacy requirements and data processing activities that may compromise privacy (i.e., problematic data actions[5]).  ・プライバシー要件及びプライバシーを侵害する可能性のあるデータ・プロセッシング活動(すなわち、問題のあるデータ・アクション[5])に対処するために計画され実施された管理者を記述する。
Privacy requirements may be informed by legal and regulatory obligations as well as privacy activities and artifacts, such as Privacy Impact Assessments (PIAs), Privacy Risk Assessments (PRAs),[6] System of Records Notices (SORNs), Memorandums of Understanding (MOUs), or other types of contracts or agreements. This includes identifying and cataloging key inputs, such as data actions, contextual factors that describe the circumstances surrounding data processing, privacy capabilities, and privacy engineering and security objectives based on organizational mission needs, risk tolerance, and privacy goals. The tasks in the RMF Prepare step identify sources of system privacy requirements.  プライバシー要件は、プライバシー影響アセスメント(PIA)、プライバシーリスクアセスメ ント(PRA)[6]、記録システム通知(SORN)、覚書(MOU)、または他のタイプの契約や合意など、プライバ シーの活動や成果物だけでなく、法律や規制上の義務によって知らされることがある。これには、組織のミッション・ニーズ、リスク許容度、プライバシー目標に基づき、データ・アクション、データ処理を取り巻く状況を説明する文脈的要因、プライバシー能力、プライバシー・エンジニアリングおよびセキュリティ目標などの主要なインプットを特定し、カタログ化することが含まれる。RMF準備ステップのタスクは、システムのプライバシー要件の情報源を特定する。
2.2.1. Relationship Between the System Security Plan and System Privacy Plan  2.2.1. システム・セキュリティ計画とシステム・プライバシー計画の関係 
Organizational security and privacy programs have complementary objectives and overlappingrisks with regard to confidentiality, integrity, and availability, as shown in Fig. 1.  組織のセキュリティ計画とプライバシー計画には、図 1 に示すように、機密性、完全性、可用性に関して相補的な目的と重複するリスクがある。
20250609-61054
Fig. 1. Relationship between security and privacy risks  図1. セキュリティリスクとプライバシーリスクの関係 
Both unauthorized data access and authorized disclosures that are made without sufficient disassociability can introduce privacy issues, physical harms, or economic losses. Systems must comply with laws governing data subject rights (i.e., the right to access, correct, or delete information[7]). The system privacy plan describes how the organization manages the risks of over-collection, unauthorized profiling, or the misuse of data about individuals.  無許可のデータ・アクセスも、十分な分離可能性を持たずに行われた認可された開示も、プライバシーの問題、物理的損害、経済的損失をもたらす可能性がある。システムは、データ対象者の権利(すなわち、情報へのアクセス、訂正、削除の権利[7])を規定する法律を遵守しなければならない。システム・プライバシー計画は、組織が個人に関するデータの過剰収集、不正なプロファイリング、または悪用のリスクをどのようにマネジメントするかを記述する。
Control implementation details differ between system privacy, security, and C-SCRM plans (see Sec. 3.8). While security-related controls can support system privacy outcomes, privacy risks require additional privacy-focused controls. Some controls may also introduce privacy risks that require additional management, such as controls related to monitoring for insider threats. Incorporating these privacy-focused controls into the system helps ensure that privacy is considered holistically alongside security concerns.  統制の実施の詳細は、システムプライバシー計画、セ キュリティ計画、C-SCRM計画で異なる(3.8節参照)。セキュリティに関連する統制はシステムのプライバ シーの成果を支援することができるが、プライバ シーのリスクは、プライバシーに焦点を絞った 追加的な統制を必要とする。統制の中には、内部脅威の監視に関連する統制のように、追加的な マネジメントを必要とするプライバシーリスクをもたらすものもある。このようなプライバシーに焦点を当てた管理策をシステ ムに組み込むことは、プライバシーがセキュリティ上の懸念事項とともに総合的に考慮されることを 確実にするのに役立つ。
2.3. Cybersecurity Supply Chain Risk Management Plan  2.3. サイバーセキュリティサプライチェーンリスクマネジメント計画 
A C-SCRM strategy[8] addresses cybersecurity risks at the organization level throughout the supply chain, including commercial-of-the-shelf (COTS) products, turn-key solutions, and support services. A C-SCRM plan then incorporates those organization-level priorities, policies, and risk tolerances to address system-level risks and interdependencies with controls that enhance trust and protection. The C-SCRM plan:  C-SCRM 戦略[8]は、市販の(COTS)製品、ターンキーソリューション、サポートサービスなど、サプライ チェーン全体を通じて組織レベルでサイバーセキュリティリスクに対処するものである。次に、C-SCRM 計画は、そのような組織レベルの優先事項、方針、リスク許容度を組み込んで、信頼と保護を強化する管理策によってシステムレベルのリスクと相互依存性に対処する。C-SCRM計画 
・ Identifies policy implementations, requirements, constraints, and implications that are specific to the cybersecurity supply chain at the system level;  ・システムレベルのサイバーセキュリティサプライチェーンに特有なポリシーの実装、要件、制約、意味を識別する; 
・ Describes the system’s approach to managing supply chain risks that are associated with the research, development, design, manufacturing, acquisition, delivery, integration, operations, maintenance, and disposal of its components or services;  ・コンポーネント又はサービスの研究、開発、設計、製造、取得、引渡し、統合、運用、保守及び廃棄に関連するサプライチェーンリスクを管理するためのシステムのアプローチを記述する; 
・ Describes the system in the context of the organizational supply chain risk tolerance, including acceptable supply chain risk response strategies or controls, a process for the continuous evaluation and monitoring of supply chain risks, approaches for implementing and communicating the plan, and a description of and justification for the supply chain risk mitigation measures that are taken; and  ・許容可能なサプライチェーンリスク対応戦略又は管理策、サプライチェーンリスクの継続的な評価及びモニ タリングのためのプロセス、計画の実施及びコミュニケーションのためのアプローチ、並びに、実施され るサプライチェーンリスク緩和措置の説明及びその正当性を含む、組織のサプライチェーンリスク許容度の観点か らのシステムの記述。
・ Includes supplier and/or component inventories that specify the associated criticality to the system, key individuals who fill supply chain-relevant roles, security control implementation information that is specific to supply chain considerations, system diagrams, and interdependencies with other systems.  ・システムに対する重要性、サプライチェーンに関連する役割を果たす主要な個人、サプライチェーンの考慮事項に特化したセキュリティ管理実施情報、システム図、他のシステムとの相互依存関係を明記した供給業者及び/又は部品のインベントリを含む。
Different types of systems may have specific considerations that can be addressed in the C-SCRM plan, such as the system architecture, security categorization [SP800-60v2], or type of technology used within the system. All security controls from [SP800-53] with supply chain risk management applicability are listed in [SP800-161], Appendix A, which also features an enhanced overlay of control enhancements that are specific to supply chains as well as implementation guidance.  システムの種類が異なれば、システムアーキテ クチャ、セキュリティ分類 [SP800-60v2]、又はシステム内で使用される技術 の種類のように、C-SCRM 計画で扱うことができる特定の考慮事項が あるかもしれない。サプライチェーンリスクマネジメントに適用可能な[SP800-53]のすべてのセキュリティ管理は、[SP800-161]の附属書Aに記載されており、この附属書Aは、実施ガイダンスと同様に、サプライチェーンに特有の管理強化のオーバーレイも特徴としている。
2.4. Consolidated System Plans  2.4. 統合システム計画 
Organizations determine whether to consolidate the system security, system privacy, or C-SCRM plans, as described in RMF [SP800-37] Task S-4, Documentation of Planned Control Implementations, and [SP800-161]. For a consolidated plan:  組織は、RMF[SP800-37]の課題S-4「計画されたコントロールの実施の文書化」及び[SP800-161]に記載されているとおり、システムセキュリティ、システムプライバシー又はC-SCRMの計画を統合するかどうかを決定する。統合計画の場合: 
・ Common elements in the security, privacy, and C-SCRM plans (e.g., System Name and Identifier, System Operational Status, System Description, Authorization Boundary and System Environment) provide consistent information about the system’s mission, purpose, and environment of operation.  ・セキュリティ、プライバシー及び C-SCRM 計画の共通要素(例えば、システム名と識別 子、システムの運用状況、システムの説明、認可の 境界及びシステム環境)は、システムのミッション、 目的及び運用環境に関する一貫した情報を提供する。
・ Roles and responsibilities are defined to support the ongoing collaboration between individuals who are responsible for meeting system security, privacy, and C-SCRM requirements.  ・システムのセキュリティ、プライバシー及びC-SCRM の要求事項を満たす責任を有する個人間の継続的な連携を支援するために、役割と責任が定義される。
・ Each control that is allocated, tailored, and implemented or planned for implementation has details that clearly address system requirements.  ・割り当てられ、調整され、実施され、又は実施されることが計画されている各管理には、システム要件に明確に対応する詳細がある。
Automation using information management tools (see Sec. 4.8) can support the collection and compilation of distinct security, privacy, and C-SCRM control implementation details; common system plan elements; and roles and responsibilities.  情報管理ツール(4.8節参照)を用いた自動化は、明確なセキュリ ティ、プライバシー及びC-SCRMの各コントロールの実施の詳細、 共通のシステム計画要素及び役割と責任の収集と取りまとめを 支援することができる。
   
[1] The NIST Privacy Framework [NIST PF] explains the privacy engineering objectives of predictability, manageability, and disassociability. 2 The NIST Open Security Controls Assessment Language [OSCAL] is designed to standardize the representation, implementation, and assessment of controls using machine-readable data formats (e.g., XML, JSON, YAML). These OSCAL representations can be used in conjunction with the other OSCAL schemas to represent structured and machine-readable system plan information, control assessment plans, and assessment results, which facilitate the continuous assessment and monitoring of system controls. Initially designed for security assessment, OSCAL has been proven suitable for the machine-readable representation of other control types (e.g., privacy, supply chain, accessibility, safety) and to support their continuous assessment and monitoring.  [1] NISTプライバシー枠組み [NIST PF]は、予測可能性、管理可能性、及び 解離可能性というプライバシー工学の目的を説明 している。2 NIST Open Security Controls Assessment Language [OSCAL]は、機械可読データ形式(XML、JSON、YAMLなど)を使用して、統制の表現、実装、および評価を標準化するように設計されている。これらの OSCAL 表現は、他の OSCAL スキーマと組み合わせて使用することで、構造化され機械可読 なシステム計画情報、統制アセスメント計画、アセスメント結果を表すことができ、システム統制の継 続的なアセスメントと監視を容易にする。OSCALは、当初セキュリティアセスメント用に設計されたが、他の種類の統制(プライバシー、サプライチェーン、アクセシビリティ、安全性など)を機械可読で表現し、それらの継続的なアセスメントとモニタリングを支援するのに適していることが証明されている。
[2] [FISMA] includes privacy protections in the definition for confidentiality. as indicated in [44 USC3552].  [2] [FISMA]は、[44 USC3552]に示されるように、機密性の定義にプライバシー防御を含む。
[3] The full range of NIST cybersecurity-related publications can be found in the Information Technology Laboratory (ITL) Computer Security Resource Center [CSRC]. Additional resources are available through the NIST Cybersecurity and Privacy Reference Tool [CPRT].  [3] NIST のサイバーセキュリティ関連出版物の全範囲は、情報技術研究所(ITL)のコンピュータ・セキュリティ・リソース・センター(CSRC)に掲載されている。その他のリソースは、NIST Cybersecurity and Privacy Reference Tool [CPRT]から入手できる。
[4] The FIPPs have been adopted in various forms in law and policy within the U.S. Government and by international organizations, such as the Organization for Economic Cooperation and Development (OECD) and the European Union. [OMB A-130] identifies and explains the FIPPs for U.S. federal agencies.  [4] FIPP は、米国政府内の法律や政策において、また経済協力開発機構(OECD)や欧州連合 (EU)などの国際機関において、様々な形で採用されている。[OMB A-130]は、米国連邦機関のためのFIPPを識別し、説明している。
[5] Per the NIST Privacy Framework [NIST PF], a problematic data action (PDA) may cause an adverse effect for individuals.  [5] NISTプライバシー枠組み[NIST PF]によれば、問題のあるデータ・アクション(PDA)は個人に悪影響を及ぼす可能性がある。
[6] The NIST Privacy Risk Assessment Methodology [PRAM] helps organizations analyze, assess, and prioritize privacy risks to identify appropriate responses and solutions.  [NIST Privacy Risk Assessment Methodology [PRAM]は、組織がプライバシーリスクを分析、評価、優先順位付けし、適切な対応と解決策を特定するのに役立つ。
[7] Many laws, regulations, and guidance focus on a defined scope of information that is covered by privacy protections, such as [OMB A-130] and PII. However, data processing may potentially introduce privacy risks if data does not meet a narrow privacy definition (e.g., some data that is not PII can be combined with other information during processing to become PII).  [7] 多くの法律、規制、およびガイダンスは、[OMB A-130]やPIIのようなプライバシー保護の対象となる情報の定義された範囲に焦点を当てている。しかし、データが狭いプライバシー定義に合致しない場合(例えば、PII でないデータが処理中に他の情報と組み合わされて PII になることがある)、データ処理がプライバシー・リスクをもたらす可能性がある。
[8] The cybersecurity supply chain refers to the linked set of resources and processes between and among multiple levels of the organizational hierarchy. In general practice, C SCRM is at the nexus of SCRM and information security, so C SCRM and SCRM refer to the same concept for the purposes of this publication. Other organizations may use different definitions of C SCRM and SCRM which are outside the scope of this publication. This publication does not address many of the non-cybersecurity aspects of SCRM.  [8] サイバーセキュリティのサプライチェーンとは、組織階層の複数のレベル間及びレベル間のリソー スとプロセスの連携した集合を指す。一般的な実務では、C SCRM は SCRM と情報セキュリティの結節点にあるため、本書では C SCRM と SCRM は同じ概念を指す。他の組織では、C SCRMとSCRMの定義が異なる場合があるが、それは本書の範囲外である。本書は、SCRMのサイバーセキュリティ以外の側面の多くには触れていない。

 

 

| | Comments (0)

2025.06.09

ENISA EU諸国の国家サイバーセキュリティ戦略をマップから見れる... (2025.06.04)

こんにちは、丸山満彦です。

ENISAが、国家サイバーセキュリティ戦略を地図から見れるようなウェブをつくったようですね...

これは素晴らしい...

ENISA

・2025.06.04 National Cyber Security Strategies Interactive map


20250608-141428

国については、EU加盟国、EFTA加盟国になっています。

記載内容は、

  • 重点分野
  • 戦略に含まれる目標
  • 戦略文書
  • 国のサイバーセキュリティ組織
  • 国内ISAC
  • 官民パートナーシップ
  • 研究・開発イノベーション

 

サイバーセキュリティ戦略文書の一覧...

  EU加盟国     戦略文書
1 Austria オーストリア 2021.12 Austrian Strategy for Cybersecurity 2021
2024.09 Austrian Security Strategy
2 Belgium ベルギー 2021.05 CYBERSECURITY STRATEGY BELGIUM 2.0 2021-2025
2024.06 ACTIVE CYBER PROTECTION (ACP)
3 Bulgaria ブルガリア 2021.04 National Cybersecurity Strategy "CYBER-RESISTANT BULGARIA 2023"
2011.02 National Security Strategy of the Republic of Bulgaria
4 Croatia クロアチア 2015.07 THE NATIONAL CYBER SECURITY STRATEGY OF THE REPUBLIC OF CROATIA
2017 THE REPUBLIC OF CROATIA NATIONAL SECURITY STRATEGY
5 Cyprus キプロス 2020.06 Cybersecurity Strategy of the Republic of Cyprus 2020 
6 Czechia チェコ 2021.03 National CYbersecurity Strategy of the Czech Republic
2021 2021 REPORT ON CYBER SECURITY IN THE CZECH REPUBLIC
7 Denmark デンマーク 2021.12 The Danish National Strategy for Cyber and Information Security
8 Estonia エストニア 2024.07 CYBERSECURITY STRATEGY 2024–2030 ‘CYBER-CONSCIOUS ESTONIA’
2024.07 CYBER SECURITY IN ESTONIA 2024
9 Finland フィンランド 2024.10 Finland’s Cyber Security Strategy 2024–2035
10 France フランス 2025.03 Au cœur d’un collectif, pour une Nation cyber-résiliente
2023.11 National Cybersecurity Strate
2022 National strategic review 2022
11 Germany ドイツ 2021.08 Cyber Security Strategy for Germany 2021 
12 Greece ギリシャ 2020.12 NATIONAL CYBERSECURITY STRATEGY 2020 - 2025
2021.06 CYBERSECURITY HANDBOOK
13 Hungary ハンガリー 2025.04 Magyarország Kiberbiztonsági Stratégiájáról
2024 2024. évi LXIX. törvény  - Magyarország kiberbiztonságáról
14 Ireland アイルランド 2019.12 National Cyber Security Strategy 2019-2024
2023.05 National Cyber Security Strategy 2019-2024 Mid-Term Review 
15 Italy イタリア 2022 NATIONAL CYBERSECURITY STRATEGY 2022 – 2026
2022 IMPLEMENTATION PLAN NATIONAL CYBERSECURITY STRATEGY 2022 – 2026
16 Latvia ラトビア 2023 The Cybersecurity Strategy of Latvia 2023-2026
17 Lithuania リトアニア 2018.08 NATIONAL CYBER SECURITY STRATEGY
18 Luxembourg ルクセンブルク 2021.04 NATIONAL CYBERSECURITY STRATEGY IV
19 Malta マルタ 2023.10 NATIONAL CYBER SECURITY STRATEGY 2023-2026
20 Netherlands オランダ 2022 Netherlands Cybersecurity Strategy 2022-2028
2024 Cybersecurity Assessment Netherlands 2024
21 Poland ポーランド 2019.10 CYBERSECURITY STRATEGY OF THE REPUBLIC OF POLAND FOR 2019 – 2024
2020 National Security Strategy Of The Republic Of Poland 2020
22 Portugal ポルトガル 2019.05 NATIONAL STRATEGY FOR CYBERSPACE SECURITY 2019-2023
23 Romania ルーマニア 2022.01 privind aprobarea Strategiei de securitate cibernetică a României, pentru perioada 2022—2027, precum și a Planului de acțiune pentru implementarea Strategiei de securitate cibernetică a României, pentru perioada 2022—2027*)
24 Slovakia スロバキア 2021 THE NATIONAL CYBERSECURITY STRATEGY 2021- 2025
2021 SECURITY STRATEGY OF THE SLOVAK REPUBLIC
25 Slovenia スロベニア 2024.09  
2016.02 CYBERSECURITY STRATEGY
26 Spain スペイン 2019.04 NATIONAL CYBER SECURITY STRATEGY
27 Sweden スウェーデン 2025.03 En ny era av cybersäkerhet Nationell strategi för cybersäkerhet 2025-2029
  Bilaga 2: Organisationer med roller och ansvarsområden inom cybersäkerhet Nationell strategi för cybersäkerhet 2025–2029
  EFTA加盟国     戦略文書
1 Iceland アイスランド 2022.02 Icelandic National Cybersecurity Strategy 2022–2037
2 Liechtenstein リヒテンシュタイン 2025.02 National Strategy For Protection Against Cyber Risks
2025.01 Cyber-Sicherheitsgesetz (CSG)
2025.01 Cyber Security Ordinance (CSV)
3 Norway ノルウェー 2019 National Cyber Security Strategy for Norway
2019 List of measures – National Cyber Security Strategy for Norway
4 Switzerland スイス 2023.04 National Cyberstrategy (NCS)

 

 

世界のサイバーセキュリティ戦略の一覧は、ITUでも作っていますね。。。データ自体は最新でない場合もあるのですが...

National Cybersecurity Strategies Repository

1_20250608191101

 

AFRICA AMERICAS ARAB STATES Asia-Pacific CIS EUROPE

Benin

Botswana (Approved)

Burkina Faso

Côte d'Ivoire

Eswatini

Gambia

Ghana (Draft)

Kenya

Malawi

Mauritius

Mozambique (Draft)

Nigeria

Rwanda

Senegal (en, fr)

Sierra Leone

South Africa

Tanzania

Uganda

Zambia (Draft)


Argentina

Brazil (1, 2, 3, 4, 5)

Canada

Chile

Colombia

Costa Rica

Cuba

Dominican Republic (Decree 1, 2)

Guatemala

Jamaica

Mexico

Panama (Decree 1, 2)

Paraguay

Peru (In Progress)

Suriname (In Progress)

Trinidad and Tobago

United States of America (1, 2, 3)

Uruguay


Bahrain

Egypt (English, Arabic)

Iraq

Jordan

Libya

Mauritania

Morocco

Oman

Qatar

Saudi Arabia

Syria

Tunisia (Draft)

United Arab Emirates


Afghanistan

Australia (1, 2)

Bangladesh

Brunei Darrussalam

China

Fiji (In Progress)

India

Indonesia

Iran

Japan

Korea (Republic of) (1, 2)

Malaysia

Nepal (Draft)

New Zealand (1, 2, 3, 4, 5)

Philippines

Samoa

Singapore (1, 2)

Sri Lanka

Thailand

Vanuatu

Vietnam (Draft)


Armenia (In Progress)

Azerbaijan

Belarus

Kazakhstan

Russian Federation (1, 2)

Uzbekistan (In Progress)


Albania (1, 2)

Austria

Belgium (1, 2)

Bulgaria (1, 2) (In Progress)

Croatia (1, 2)

Cyprus

Czech Republic (1, 2)

Denmark (1, 2, 3)

Estonia

Finland

France (1, 2)

Georgia

Germany

Greece

Hungary

Iceland

Ireland

Israel

Italy

Latvia

Lithuania

Luxembourg (1, 2, 3)

Malta (1, 2)

Moldova

Monaco

Montenegro

Netherlands (1, 2, 3)

North Macedonia (en)

Norway

Poland

Portugal

Romania

Serbia

Slovakia (1, 2)

Slovenia

Spain

Sweden (1, 2)

Switzerland

Turkey (1, 2, 3)

Ukraine

United Kingdom

 


 

 

 

まるちゃんの情報セキュリティ気まぐれ日記

 

国家安全保障戦略

・2023.06.07 [PDF] 국가안보전략

20240307-204752

 


[2024.04.02追記]

参考

● 防衛省防衛研究所 - NIDSコメンタリー

・ 2023.03.28 [PDF] 韓国の「戦略文書」——「 国家安保戦略書 」 を 中心 に


 

2019年の国家サイバーセキュリティ戦略

・韓国語 [PDF] 국가사이버안보전략

20240307-194050


・英語 [PDF] National Cyberseuciry Strategy

20240307-194144

 

 


 

 

参考 各国のサイバーセキュリティ戦略

■ EUの場合

 European Commission

・2020.12.16 The EU’s Cybersecurity Strategy for the Digital Decade

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - The EU's Cybersecurity Strategy for the Digital Decade

20250108-182710

 

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ ドイツの場合

 Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

■ オランダの場合

・2022.10.10 Kabinet presenteert nieuwe cybersecuritystrategie

● 戦略

・2022.10.10 Nederlandse Cybersecuritystrategie 2022 - 2028

・[PDF

20221016-52157

 

● 活動計画 2022-2023

・2022.10.10 Actieplan Nederlandse Cybersecuritystrategie 2022 - 2023

・[PDF

20221016-52520

 

■ UKの場合

 National Cyber Security Centre

2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

 ・[PDF] National Cyber Strategy 2022

20211217-55613

日本語訳 [Downloded]

20230221-170849

 

■ U.S. の場合

・2023.03.02 FACT SHEET: Biden-⁠Harris Administration Announces National Cybersecurity Strategy

・[PDF] National Cybersecurity Strategy 

20230304-72820

 

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ 日本の場合

 内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.28 [PDF] サイバーセキュリティ戦略

20230820-153236

・2023.07.04 サイバーセキュリティ戦略本部 第36回会合

・2022.06.17 サイバーセキュリティ戦略本部 第34回会合

・2021.09.27 第31回会合

 

 

🔳オーストラリアの場合

 AU - Department of Home Affairs - Cyber security - Strategy

・2023.11.22 [PDF] 

20241130-23843

実行計画

・2023.11.22 [PDF] 

20241130-24959

 

・2020.08.06 [PDF] AUSTRALIA’S CYBER SECURITY STRATEGY 2020

20230520-150216

2016年の前回のバージョン

・[PDF] Australia's Cyber Security Strategy

20230520-150443

 

■ 中国の場合

  中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

 ・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch



■ インドの場合

 Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 

■ シンガポールの場合

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

The Singapore Cybersecurity Strategy 2021

・[PDF]

20211011-134730

 

◾️ 韓国の場合...

・2024.02.01

・[PDF]

20240307-182652

 

2019年の国家サイバーセキュリティ戦略

・韓国語 [PDF] 국가사이버안보전략

20240307-194050


・英語 [PDF] National Cyberseuciry Strategy

20240307-194144

 

 

 

 

 

 

 

・2024.03.08 韓国 国家安全保障室、ユン・ソクヨル政府の「国家サイバー安全保障戦略」 (2024.02.01)


・2023.03.03 ENISA 国家サイバーセキュリティ戦略の実施に向けた効果的なガバナンスフレームワークの構築

・2022.10.16 オランダ サイバーセキュリティ戦略2022-2028 デジタル・セキュリティー社会の実現に向けた渇望と行動 (2022.10.10)

・2022.06.21 内閣官房 サイバーセキュリティ 2022 重要インフラのサイバーセキュリティに係る行動計画 (2022.06.17)

・2022.02.22 NATO CCDCOE 「国家サイバーセキュリティ戦略策定のためのガイド」第2版 (2021.11)

・2021.12.17 英国 国家サイバー戦略

・2021.10.11 シンガポール サイバーセキュリティ戦略2021

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)

・2021.09.26 独国 サイバーセキュリティ戦略2021 at 2021.09.08

・2021.07.15 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」

・2021.07.13 NISC 「次期サイバーセキュリティ戦略(案)」と「サイバーセキュリティ2021(案)」に関する意見の募集について

・2021.07.12 NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11

・2021.07.07 NISC 「サイバーセキュリティ戦略本部第30回会合」と「サイバーセキュリティ対策推進会議(CISO等連絡会議)第18回会合」

・2021.06.29 IISS サイバー対応能力と国家力 日本のサイバー能力はいけていない?

・2021.06.03 サイバー領域の制度、法律、政策などについての米英の比較

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.13 サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子

・2020.12.08 ENISA 自国のサイバーセキュリティ能力の成熟度を自己評価するための「国家能力評価フレームワーク(NCAF)」を発行

・2020.08.11 オーストラリア政府 内務省がサイバーセキュリティ戦略2020を公表していましたね。。。

 

| | Comments (0)

オーストラリア 米国他 SIEM/SOAR導入のためのガイダンス (2025.05.27)

こんにちは、丸山満彦です。

オーストラリア信号局サイバーセキュリティセンター (Australian Signals Directorate’s Australian Cyber Security Centre) が米国のCISA、英国のNCSC、カナダのCCCS、ニュージーランドのNCSC-NZに加えて、日本のNISCとJPCERT/CC、韓国のNIS、シンガポールのCSA、チェコの国家サイバー・情報セキュリティ庁(Národní úřad pro kybernetickou a informační bezpečnost: NUKIB) が共同で、SIEM/SOAR導入のためのガイダンスを3つ公表していますね...

Implementing SIEM and SOAR platforms: Executive guidance  SIEMとSOARプラットフォームの導入:エグゼクティブガイダンス
Implementing SIEM and SOAR platforms: Practitioner guidance  SIEMとSOARプラットフォームの導入:実務者向けガイダンス
Priority logs for SIEM ingestion: Practitioner guidance  SIEM に取り込むログの優先順位:実務者向けガイダンス

1_20250608114801

 

オーストラリア

Australian Signals Directorate’s Australian Cyber Security Centre

・2025.05.27 New advice on implementing SIEM/SOAR platforms in your organisation

New advice on implementing SIEM/SOAR platforms in your organisation
SIEM/SOARプラットフォームを組織に導入するための新しいアドバイス
Today, in collaboration with our international partners, we published a series about implementing and prioritising Security Information and Event Management (SIEM) and Security Orchestration, Automation, and Response (SOAR) platforms. 本日、我々は海外のパートナーと共同で、セキュリティ情報・イベント管理(SIEM)とセキュリティ・オーケストレーション・オートメーション・レスポンス(SOAR)プラットフォームの導入と優先順位付けに関するシリーズを発表した。
Implementing SIEM and/or SOAR platforms can greatly benefit your organisation by collecting, centralising, and analysing important data that would otherwise be extremely complex and scattered. The platforms also help your organisation detect cyber security events and incidents and then prompt timely intervention through alerting and ensuring that incident responders have access to the data that records what happened. SIEMやSOARプラットフォームを導入することは、そうでなければ非常に複雑で分散してしまう重要なデータを収集、一元化、分析することによって、組織に大きな利益をもたらす。このプラットフォームはまた、サイバーセキュリティのイベントやインシデントを検知し、アラートによってタイムリーな介入を促し、インシデント対応者が何が起こったかを記録したデータにアクセスできるようにする。
This series of publications provide advice to executives and practitioners to help entities navigate decision making around the procurement and implementation of these platforms. There are 3 publications: 本シリーズは、事業体がこれらのプラットフォームの調達と導入に関する意思決定をナビゲートするのに役立つアドバイスを、経営幹部や実務者に提供するものである。3つの出版物がある:
Implementing SIEM and SOAR platforms: Executive guidance defines SIEM and SOAR platforms, explains their value and also their challenges and provides high level recommendations for implementing them. It is written for executives, but can be used by any organisation that is considering whether and how to implement a SIEM and/or SOAR. SIEMとSOARプラットフォームの導入:エグゼクティブガイダンスは、SIEMとSOARプラットフォームを定義し、その価値と課題を説明し、それらを導入するための高レベルの推奨事項を提供する。エグゼクティブ向けに書かれているが、SIEMやSOARを導入するかどうか、またどのように導入するかを検討している組織であれば誰でも利用できる。
Implementing SIEM and SOAR platforms: Practitioner guidance provides high-level guidance for cyber security practitioners and describes how a SIEM/SOAR can enhance visibility, detection and response as well as principles for procurement, establishment and maintenance of those platforms. SIEMとSOARプラットフォームの導入:実務者向けガイダンスは、サイバーセキュリティの実務者向けのハイレベルなガイダンスを提供し、SIEM/SOARによってどのように可視化、検知、対応を強化できるか、また、これらのプラットフォームの調達、確立、保守の原則について説明している。
Priority logs for SIEM ingestion: Practitioner guidance provides practitioners with detailed logging guidance for specific categories of log sources, such as from Endpoint Detection and Response tools, Windows/Linux operating systems, network devices and Cloud deployments. SIEM に取り込むログの優先順位:実務者向けガイダンスでは、エンドポイント検知・応答ツール、Windows/Linuxオペレーティングシステム、ネットワークデバイス、クラウド展開など、特定のカテゴリーのログソースに関する詳細なロギングガイダンスを提供している。
Read the publication series to learn more. 詳しくは、この出版物シリーズをお読みいただきたい。

 

Implementing SIEM and SOAR platforms: Executive guidance  SIEMとSOARプラットフォームの導入:エグゼクティブガイダンス

20250608-111801

Implementing SIEM and SOAR platforms: Executive guidance SIEMとSOARプラットフォームの導入 エグゼクティブガイダンス
Introduction 序論
This publication: 本書は
• explains the value of Security Information and Event Management (SIEM) and Security Orchestration, Automation, and Response (SOAR) platforms. ・セキュリティ情報・イベント管理(SIEM)およびセキュリティオーケストレーション、自動化、レスポンス(SOAR)プラットフォームの価値を説明する。
• explains how these platforms work. ・これらのプラットフォームがどのように機能するかを説明する。
• outlines their challenges. ・課題を概説する。
• provides high-level recommendations for implementing them. ・これらのプラットフォームを導入するためのハイレベルな推奨事項を提供する。
It is primarily intended for decision-makers at an organisation’s executive level but can be used by any organisation that is considering whether and how to implement a SIEM and/or a SOAR. 本書は、主に組織のエグゼクティブレベルの意思決定者を対象としているが、SIEMやSOARを導入するかどうか、またどのように導入するかを検討している組織であれば、誰でも利用することができる。
This publication is one of three in a suite of guidance on SIEM and SOAR platforms: 本書は、SIEMとSOARプラットフォームに関する3つのガイダンスのうちの1つである:
Implementing SIEM and SOAR platforms: Executive guidance  SIEMとSOARプラットフォームの導入 エグゼクティブガイダンス 
This document is intented for executives. It defines SIEM/SOAR platforms, outlines their benefits and challenges, and provides broad recommendations for implementation that are relavant to executives. 本書は経営幹部向けである。SIEM/SOARプラットフォームを定義し、その利点と課題を概説し、エグゼクティブに関連する実装のための幅広い推奨事項を提供する。
Implementing SIEM and SOAR platforms: Practitioner guidance  SIEMとSOARプラットフォームの導入 実務者向けガイダンス 
This document is intended for cyber security practitioners. In greater technical details, it defines SIEM/SOAR platforms, outlines the benefits and challenges, and provides best practice principles for implementation. この文書は、サイバーセキュリティの実務者を対象としている。技術的な詳細について、SIEM/SOARプラットフォームを定義し、その利点と課題を概説し、導入のためのベストプラクティスの原則を示している。
Priority logs for SIEM ingestion: Practitioner guidance  SIEMに取り込むログの優先順位 実務者向けガイダンス 
This document is intended for cyber security practitioners and provides detailed, technical guidance on the logs that should be prioritised for SIEM ingestion. It covers log sources including Endpoint Detection and Response tools, Windows/Linux operating systems, and Cloud and Network Devices. この文書は、サイバーセキュリティの実務者を対象としており、SIEMへの取り込みのために優先すべきログに関する詳細で技術的なガイダンスを提供する。エンドポイント検知・レスポンスツール、Windows/Linux オペレーティングシステム、クラウドおよびネットワークデバイスを含むログソースを対象としている。
This guidance should also be read alongside Best Practices for Event Logging and Threat Detection, which provides high-level recommendations on developing a logging strategy. このガイダンスは、イベントロギングと脅威検知のベストプラクティス(Best Practices for Event Logging and Threat Detection)と併せて読むべきである。
1. What is the value of SIEM and SOAR platforms? 1. SIEMとSOARプラットフォームの価値は何か?
SIEM and SOAR platforms may be components of your organisation’s logging and visibility strategy. Visibility is foundational for the detection of malicious cyber activity and is critical for an effective and holistic cyber security strategy.  SIEMとSOARプラットフォームは、組織のロギングと可視化戦略の構成要素であるかもしれない。可視化は、悪意のあるサイバー活動を検知するための基礎であり、効果的かつ総合的なサイバーセキュリティ戦略にとって不可欠である。
These platforms can: これらのプラットフォームは以下のことができる:
• enhance the general visibility of what is happening on your organisation’s network by collecting, centralising, and analysing important, qualified event data that would otherwise be extremely complex and scattered ・そうでなければ非常に複雑で分散してしまう重要で適格なイベントデータを収集、一元化、分析することで、組織のネットワーク上で何が起きているのかの全体的な可視性を高める。
• enhance your organisation’s detection of cyber security events and incidents by generating swift alerts about suspicious activity ・疑わしい活動に関する迅速なアラートを生成することで、サイバーセキュリティイベントやインシデントの検知を強化する。
• enhance event and incident detection by preventing malicious actors from modifying/deleting certain data to maintain their access to the network, as was observed in the Volt Typhoon campaign1 ・Volt Typhoonキャンペーンで観測されたように、悪意のある行為者がネットワークへのアクセスを維持するために特定のデータを変更/削除することを防止することで、イベントとインシデントの検知を強化する1。
• enhance your organisation’s response to cyber security events and incidents by prompting timely intervention through alerting and ensuring incident responders have access to data that records what happened ・アラートによってタイムリーな介入を促し、インシデント対応者が何が起こったかを記録したデータにアクセスできるようにすることで、サイバーセキュリティのイベントやインシデントに対する組織の対応を強化する。
• in the case of a SOAR, enhance event and incident response by automating certain response actions, shortening the mean time to respond, and allowing the security team to focus on more complex problems ・SOAR の場合、特定の対応アクションを自動化することでイベントとインシデントへの対応を強化し、対応までの平均時間を短縮して、セキュリティチームがより複雑な問題に集中できるようにする。
• assist with implementing the Australian Signal Directorate’s  Essential Eight Maturity Model and and the Cybersecurity and Infrastructure Security Agency’s (CISA) Cybersecurity Performance Goals (CPGs), which both require log data to be collected and centralised.2 ・オーストラリア信号局(Australian Signal Directorate)のEssential Eight Maturity Modelやサイバーセキュリティ・インフラセキュリティ庁(Cybersecurity and Infrastructure Security Agency:CISA)のCybersecurity Performance Goals(CPGs)の実施を支援する。
Consequently, these platforms can help to keep your organisation’s systems and services functioning and protect your data from unauthorised access or modification and theft. その結果、これらのプラットフォームは、組織のシステムとサービスの機能を維持し、不正アクセスや改ざん、盗難からデータを保護するのに役立つ。
However, these benefits are only delivered where the SIEM or SOAR is properly implemented (see Section 3). しかし、これらの利点は、SIEMやSOARが適切に実装されている場合にのみもたらされる(セクション3参照)。
2. How do these platforms work?  2. これらのプラットフォームはどのように機能するのか?
The network of a single organisation can be extremely complex, containing multiple devices, applications, operating systems and cloud services. Each of these sources within the network may also generate log data, or particular information about what is happening within the source (such as user activity on a device). 一つの組織のネットワークは非常に複雑で、複数のデバイス、アプリケーション、オペレーティング・システム、クラウド・サービスを含んでいる。ネットワーク内のこれらのソースはそれぞれ、ログデータ、つまりソース内で起きていることに関する特定の情報(デバイス上のユーザーアクティビティなど)を生成することもある。
A SIEM is a type of software platform that collects, centralises, and analyses log data. SIEMは、ログデータを収集、一元化、分析するソフトウェアプラットフォームの一種である。
A SIEM gathers complex and dispersed log data from across the network and consolidates it into streamlined reports and dashboards. A SIEM also analyses this data through the application of rules and filters in order to detect anomalous network activity that could represent a cyber security event or incident. Many SIEM products enhance this analysis by incorporating up-to-date cyber threat intelligence from external sources. If it detects a potential event or incident, the SIEM will generate alerts, prompting the organisation’s security team to investigate and respond as necessary. SIEMは、ネットワーク全体から複雑で分散したログデータを収集し、合理化されたレポートやダッシュボードに統合する。SIEMはまた、サイバーセキュリティイベントやインシデントを示す可能性のある異常なネットワークアクティビティを検知するために、ルールやフィルタを適用してこのデータを分析する。多くのSIEM製品は、外部ソースからの最新のサイバー脅威インテリジェンスを組み込むことによって、この分析を強化する。潜在的なイベントやインシデントを検知した場合、SIEMはアラートを生成し、組織のセキュリティ・チームが調査し、必要に応じて対応するよう促す。
A SOAR is a type of software platform that builds upon the collection, centralisation, and analysis of log data. Some SOAR platforms perform these functions themselves, while others integrate with an existing SIEM and leverage its log collection, centralisation, and analysis. SOARは、ログデータの収集、一元化、分析を基盤とするソフトウェアプラットフォームの一種である。SOARプラットフォームには、これらの機能を自ら実行するものもあれば、既存のSIEMと統合し、そのログの収集、一元化、分析を活用するものもある。
Either way, a SOAR automates some of the response to detected cyber security events and incidents. It does so by applying predefined ‘playbooks’, which set certain actions to be taken when specific events occur, such as isolating the source of the event in the network. These automated actions do not replace human incident responders but can complement them.3 いずれにせよ、SOARは検知されたサイバーセキュリティイベントやインシデントへの対応の一部を自動化する。これは、事前に定義された「プレイブック」を適用することによって行われ、特定のイベントが発生したときに実行される特定のアクション(ネットワーク内のイベント発生源の切り分けなど)が設定される。これらの自動化されたアクションは、人間のインシデント対応者に取って代わるものではないが、彼らを補完することができる3。
3. What are the key challenges of implementing these platforms? 3. これらのプラットフォームを実装する上での主な課題は何か?
Neither a SIEM nor a SOAR is a ‘set and forget’ tool. Implementing either platform is an intensive, ongoing process that requires highly skilled human personnel. These personnel face two key technical challenges. SIEMもSOARも「セット・アンド・フェザー」ツールではない。どちらのプラットフォームを導入するにしても、集中的かつ継続的なプロセスであり、高度なスキルを持つ人材が必要となる。これらの担当者は、2つの重要な技術的課題に直面する。
The first is ensuring that the SIEM produces alerts when cyber security events and incidents are occurring and, inversely, no alerts when no events/incidents are occurring. To achieve this, personnel need to identify the right types and quantities of log data for the SIEM to ingest, as well as the right rules and filters to apply to that data. This includes developing a threat model that defines events of interest that can trigger alerts related to the model in order to promote accurate alerting. If accurate alerting is not achieved, security teams may be operationally overwhelmed by false alerts from the SIEM or miss real events/incidents because of the absence of alerts. 1つ目は、サイバーセキュリティのイベントやインシデントが発生しているときにSIEMがアラートを出し、逆にイベントやインシデントが発生していないときにはアラートを出さないようにすることである。これを実現するために、担当者はSIEMが取り込むログデータの適切な種類と量、およびそのデータに適用する適切なルールとフィルタを特定する必要がある。これには、正確なアラート発報を促進するために、そのモデルに関連するアラートのトリガーとなる注目すべきイベントを定義する脅威モデルの開発も含まれる。正確なアラートが達成されない場合、セキュリティ・チームはSIEMからの誤ったアラートによって運用が圧迫されたり、アラートがないために実際のイベントやインシデントを見逃したりする可能性がある。
The second key technical challenge is ensuring that the SOAR only takes appropriate action in response to actual cyber security incidents, and does not take action against regular network activity or impede human incident responders. If accurate actioning is not achieved, the SOAR may significantly disrupt service delivery. 2つ目の重要な技術的課題は、SOARが実際のサイバーセキュリティインシデントに対してのみ適切なアクションを取り、通常のネットワークアクティビティに対してアクションを取ったり、人間のインシデント対応者を妨げたりしないようにすることである。正確な対処が達成されない場合、SOARはサービス提供に大きな支障をきたす可能性がある。
To meet these technical challenges, personnel must carefully configure the SIEM and/or SOAR for the unique network and organisation in which it is used. They must then continually adjust it and test its effectiveness as the network, technology, and cyber threat landscape keep changing. This ongoing work may be done internally, by an external service provider, or through some combination of the two. このような技術的な課題を解決するために、担当者はSIEMやSOARを使用する固有のネットワークや組織に合わせて慎重に設定しなければならない。そして、ネットワーク、テクノロジー、サイバー脅威の状況が変化し続ける中で、継続的に調整し、その有効性をテストしなければならない。この継続的な作業は、社内で行うことも、外部のサービスプロバイダーが行うことも、あるいはその2つを組み合わせて行うこともできる。
Properly implementing a SIEM and/or SOAR therefore involves significant costs. These may include the upfront and sustained: したがって、SIEMやSOARを適切に導入するには、多大なコストがかかる。これには、初期費用や継続的な費用が含まれる:
• licensing and/or data use costs of the platform ・プラットフォームのライセンス費用やデータ使用費用
• costs of hiring and retaining staff with in-demand, specialist skills in implementing a SIEM and/or SOAR ・SIEMやSOARを導入するための、需要の高い専門スキルを持ったスタッフの雇用と維持にかかるコスト
• costs of upskilling existing staff, as well as the continual training that is necessary to enable them to maintain the platform as the technology, network, and threat landscape change ・技術、ネットワーク、脅威の状況が変化する中で、既存のスタッフをスキルアップさせ、プラットフォームを維持できるようにするために必要な継続的なトレーニングのコスト
• service costs, if implementation is outsourced. ・実装をアウトソーシングした場合のサービスコスト
However, failing to detect or properly respond to a cyber security incident can be extremely costly. It may also lead to your organisation having systems taken offline, service delivery disrupted, data leaked or destroyed, and public confidence lost. For more on defining scope of implementation for your organisation, please see Implementing SIEM and SOAR platforms: Practitioner guidance. しかし、サイバーセキュリティインシデントを検知できなかったり、適切に対応できなかったりすると、非常に大きなコストがかかる。また、組織がシステムをオフラインにされ、サービス提供が中断され、データが流出または破壊され、社会的信用が失われることにもつながりかねない。自組織への導入範囲の定義については、SIEMとSOARプラットフォームの導入を参照されたい: 実務者向けガイダンス」を参照のこと。
4. Recommendations for implementation 4. 実装のための推奨事項
Below are high-level, strategic recommendations for executives who are considering whether and how to implement a SIEM and/or SOAR. It is important to note that these platforms are just one form of technology that can collect and centralise log data and enhance incident detection – there are other options, such as log management tools. 以下は、SIEMやSOARを導入するかどうか、またどのように導入するかを検討している経営幹部に対する、ハイレベルで戦略的な推奨事項である。これらのプラットフォームは、ログデータを収集・一元化し、インシデント検知を強化する技術の一形態に過ぎないことに留意することが重要である。
a.  Consider whether you need to, and can, implement the platform in-house a. 自社でプラットフォームを導入する必要があるか、また導入できるかどうかを検討する。
If your organisation manages sensitive information or provides critical services, it may be necessary to implement the platform in-house. 組織が機密情報を管理していたり、重要なサービスをプロバイダとして提供していたりする場合は、社内にプラットフォームを導入する必要があるかもしれない。
A key benefit of implementing a SIEM and/or SOAR in-house is that staff will generally have strong knowledge of the organisation’s unique network and business processes, as well as authority to query users about unusual behaviour and instigate incident response actions. In contrast, outsourcing can produce visibility gaps, work duplication, and communication difficulties. SIEMやSOARを社内に導入する主なメリットは、一般的に、スタッフが認可組織独自のネットワークやビジネスプロセスに関する強力な知識を持っており、異常な行動についてユーザーに照会し、インシデント対応アクションを開始する権限を持っていることである。これとは対照的に、アウトソーシングは可視性のギャップ、作業の重複、コミュニケーションの難しさを生む可能性がある。
However, developing and retaining an in-house capability can be challenging because it is resource-intensive and these skills are in high demand. Executives should expect that multiple personnel will need to work on implementing the SIEM and/or SOAR on a full-time basis. Operating these platforms can also involve long periods of highly stressful work. しかし、社内で能力を開発し、維持することは、リソースが集中し、これらのスキルの需要が高いため、困難な場合がある。経営幹部は、複数の担当者がフルタイムでSIEMやSOARの導入に取り組む必要があることを想定しておく必要がある。また、これらのプラットフォームの運用には、ストレスの多い作業が長時間伴うこともある。
If your organisation does outsource some or all of the implementation, the authoring agencies recommend considering whether different service providers: 導入の一部または全部をアウトソーシングする場合、作成機関は、異なるサービスプロバイダーかどうかを検討することを推奨する:
• provide a high-quality, 24/7 monitoring and incident response service ・高品質で、24時間365日の監視とインシデント対応サービスを提供している。
• are known to have good cyber security posture ・サイバーセキュリティの態勢が整っていることが知られている
• are bound by foreign data storage requirements ・外国のデータ保管要件に拘束されている
• are located in a foreign nation or have offices in foreign nations. ・外国に所在している、または外国に事務所がある。
You should also pay special attention to contractual provisions regarding:  また、以下のような契約条項にも特に注意を払うべきである: 
• how the service’s effectiveness will be verified and assured ・サービスの有効性がどのように検証され、保証されるか。
• how the service provider will verify their compliance with the legislative, regulatory, and internal requirements that apply to your organisation ・サービス・プロバイダが、組織に適用される法律、規制、および内部要件に準拠していることを、どのように確認するか。
• the service provider’s skill level ・プロバイダのスキルレベル
• the services to be delivered, including use of standards, training and end user feedback ・標準の使用、トレーニング、エンドユーザーからのフィードバックなど、提供されるサービスの内容
• the degree of visibility the service provider will provide back to your organisation ・サービスプロバイダーが、どの程度の可視性を貴組織に提供するか
• the division of responsibility and liability for detecting and responding to cyber security incidents. ・サイバーセキュリティインシデントの検知と対応に関する責任と義務のディビジョン
b.  Look for potential hidden costs across different products b. 異なる製品に潜在する隠れたコストを探す
The authoring agencies recommend carefully examining the costs involved in different SIEM and/or SOAR products. It is common for personnel to feed a SIEM increasing amounts of log data over time to improve the platform’s visibility and detection. Most SIEM pricing models are based on the quantity of data the SIEM ingests. Some products cap ingestion according to a pre-purchased amount. For products that do not, your organisation should be mindful of the potential to incur very significant costs if ingestion is not carefully managed. 作成機関は、異なるSIEMやSOAR製品に関わるコストを注意深く調べることを推奨する。SIEMの可視性と検知を改善するために、担当者は時間の経過とともに大量のログデータをSIEMに供給するのが一般的である。ほとんどのSIEMの価格モデルは、SIEMが取り込むデータ量に基づいている。製品によっては、事前に購入した量に応じてインジェストに上限を設けているものもある。そうでない製品の場合、インジェストを注意深く管理しないと、非常に大きなコストが発生する可能性があることに留意する必要がある。
The Implementing SIEM and SOAR platforms: Practitioner guidance publication provides further guidance on ways to reduce the costs of collecting, centralising, and analysing logs through these platforms, and on defining the scope of implementation for your organisation. Please also see Best practices for event logging and threat detection. SIEMとSOARプラットフォームの導入 実務者向けガイダンスの出版物は、これらのプラットフォームを通じてログを収集、集中化、分 析するコストを削減する方法、および組織の実装範囲を定義する方法について、さらなるガイダ ンスを提供している。イベントロギングと脅威検知のベストプラクティスも参照のこと。
c.  Plan for the ongoing costs of implementation, particularly training costs c. 導入にかかる継続的なコスト、特にトレーニングコストを計画する。
As outlined above, properly implementing a SIEM and/or SOAR involves significant upfront and sustained costs. Organisations should consult vendor documentation to determine whether alternative logging options can reduce these costs. For organisations that develop an in-house capability, the authoring agencies recommend committing significant effort and funding to continually train staff over time. 上述したように、SIEM や SOAR を適切に導入するには、多額の初期費用と継続費用がかかる。組織は、代替のロギングオプションがこれらのコストを削減できるかどうかを判断するために、ベンダーの文書を参照すべきである。社内で能力を開発する組織の場合、作成機関は、時間をかけて継続的にスタッフを訓練するために、多大な努力と資金を投入することを推奨する。
d.  Properly implement a SIEM before you consider implementing a SOAR d. SOARの導入を検討する前に、SIEMを適切に導入する。
In general, it is necessary to properly implement a SIEM and ensure it is accurately alerting you to cyber security events and incidents before implementing a SOAR. 一般に、SOARを導入する前に、SIEMを適切に導入し、サイバーセキュリティのイベントやインシデントを正確にアラートしていることを確認する必要がある。
e.  Ensure the performance of the platform(s) is tested e. プラットフォームのパフォーマンスがテストされていることを確認する。
It is essential to establish internal processes and procedures for testing whether the platform is effectively alerting you to cyber security events and incidents, as continual changes in networks, technologies and the cyber threat landscape will affect performance. ネットワーク、テクノロジー、サイバー脅威の状況は絶えず変化しているため、プラットフォームがサイバーセキュリティイベントやインシデントに対して効果的にアラートを発しているかどうかをテストするための内部プロセスと手順を確立することが不可欠である。
Once a mature SIEM and/or SOAR capability has been established, the authoring agencies recommend testing performance by using an external professional service capability, such as penetration testing. The authoring agencies recommend researching different SIEM and/or SOAR vendors that best suit the needs of your organisation. 成熟したSIEMおよび/またはSOAR機能が確立されたら、作成機関は、侵入テストなどの外部専門サービス機能を使用してパフォーマンスをテストすることを推奨する。作成機関は、組織のニーズに最も適したさまざまなSIEMベンダーやSOARベンダーを調査することを推奨する。
Endnotes 注釈
1 See Identifying and Mitigating Living Off the Land Techniques | Cyber.gov.au 1 「現地調達手法の識別と緩和」|Cyber.gov.au を参照のこと。
2 Please note that SIEMs are not the only tool that can collect and centralise log data, so if this is your organisation’s primary concern, other tools might be more cost-effective. In particular, CISA’s Logging Made Easy (LME) is a no cost, open source platform that centralises log collection. LME is intended for small- and medium-size organisations that need a log management and threat detection system; do not have an existing security operations centre (SOC), SIEM solution, or log management and monitoring capabilities; and/or work within limited budgets, time or expertise to set up and manage a logging and threat detection system. To get started with LME, download it directly from CISA’s LME GitHub page. See Implementing SIEM and SOAR platforms: Practitioner guidance for further details. 2 ログデータを収集し、一元管理できるツールはSIEMだけではないことに注意。特に、CISA の「Logging Made Easy」(LME)は、ログ収集を一元化するオープンソースの無償プラットフォームである。LME は、ログ管理・脅威検知システムを必要とする中小規模の組織、既存のセキュリティ・オペレーション・センター(SOC)、SIEM ソリューション、ログ管理・監視機能を持たない組織、ロギング・脅威検知システムを構築・管理するための予算や時間、専門知識が限られている組織を対象としている。LME を使い始めるには、CISA の LME GitHub ページから直接ダウンロードする。SIEM と SOAR プラットフォームの実装を参照のこと: 詳細は、実務者向けガイダンスを参照のこと。
3 Please note that SIEMs and SOARs are just one form of detection technology. Other forms, such as canary technology, are not discussed here. 3 SIEM や SOAR は検知技術の一形態に過ぎないことに注意。カナリア技術などの他の形態については、ここでは説明しない。

 

 

 

 

Implementing SIEM and SOAR platforms: Practitioner guidance  SIEMとSOARプラットフォームの導入:実務者向けガイダンス

20250608-111931

Introduction 序論
1. Defining SIEM and SOAR platforms 1. SIEMとSOARプラットフォームの定義
What is a SIEM platform? SIEMプラットフォームとは何か?
What is a SOAR platform? SOARプラットフォームとは何か?
2. Potential benefits of SIEM and/or SOAR platforms 2. SIEMおよび/またはSOARプラットフォームの潜在的なメリット
Enhancing visibility 可視性の向上
Enhancing detection 検知の強化
Enhancing response レスポンスの強化
3. Challenges of implementing SIEM and/or SOAR platforms 3. SIEM/SOARプラットフォーム導入の課題
Normalisation of ingested data 取り込まれたデータの正規化
Collection coverage across the environment 環境全体の収集範囲
Log centralisation versus log analysis ログの一元化とログの分析
Achieving effective log analysis 効果的なログ分析の実現
The risks of automating responses 自動応答のリスク
Resource intensity リソース集約
4. Best practice principles for implementing a SIEM and/or SOAR 4. SIEMやSOARを導入するためのベストプラクティスの原則
Principles for procurement 調達の原則
Principles for Establishment  構築の原則 
Principles for maintenance 保守の原則
ANNEX A: SIEM architecture patterns 附属書A:SIEMアーキテクチャパターン
ANNEX B: Pre-processing methods 附属書B: 前処理方法
1. Source log separation 1. ソースログの分離
2. Replication point pre-processing 2. 複製ポイントの前処理
3. SIEM ingestion 3. SIEMへの取り込み
Footnotes 脚注

 

 

Priority logs for SIEM ingestion: Practitioner guidance  SIEM に取り込むログの優先順位:実務者向けガイダンス

20250608-112022

Introduction 序論
This series of documents この一連の文書
Risk considerations リスクに関する考察
Architectural considerations アーキテクチャに関する考察
Prioritised logging list ロギングの優先順位リスト
Priority logs for SIEM ingestion footnote legend SIEM取り込みのための優先ログ脚注凡例
Detailed logging guidance 詳細なロギングガイダンス
1. Endpoint detection and response (EDR) logs 1. エンドポイントの検知と対応(EDR)のログ
2. Network device logs  2. ネットワークデバイスのログ 
3. Microsoft Domain Controller 3. マイクロソフト・ドメイン・コントローラー
4. Active Directory (AD) and Domain Service Security Logs 4. Active Directory(AD)とドメインサービスのセキュリティログ
5. Microsoft Windows endpoint logs 5. Microsoft Windowsのエンドポイントログ
6. Virtualisation system logs 6. 仮想化システムのログ
7. Operational technology logging 7. 運用技術のログ
Logging priorities for cloud computing クラウドコンピューティングにおけるログの優先順位
Amazon Web Services logs アマゾンウェブサービスのログ
Critical Azure service and app logs クリティカルなAzureサービスとアプリのログ
Google Cloud Platform (GCP) logs Google Cloud Platform(GCP)のログ
Google Workspace (GWS) logs グーグル・ワークスペース(GWS)のログ
8. Container logs 8. コンテナのログ
9. Database Logs 9. データベースのログ
10. Mobile device management  10. モバイルデバイス管理 
11. Windows DNS server analytic event logs 11. Windows DNSサーバー分析イベントログ
12. Linux endpoint auditing logs 12. Linuxエンドポイント監査ログ
13. Apple MacOS endpoint logs 13. アップルMacOSエンドポイントログ
Reference and resource annex 参考文献とリソース附属書
Active directory group policy changes アクティブ・ディレクトリのグループ・ポリシーの変更
Windows Endpoint Group Policy Changes Windowsエンドポイントグループポリシーの変更
Domain Controller Group Policy Changes ドメインコントローラーグループポリシーの変更
Footnotes 脚注

 

 

 

 

米国

CISA

・2025.05.27 New Guidance for SIEM and SOAR Implementation

・2025.05.27 Guidance for SIEM and SOAR Implementation

 

ニュージーランド

NCSC-NZ

・2025.05.27 Joint Guidance: Implementing SIEM and SOAR platforms

 

チェコ...

Národní úřad pro kybernetickou a informační bezpečnost: NUKIB

・2025.05.27 NÚKIB se zahraničními partnery spolupodepsal dokumenty zaměřené na platformy SIEM a SOAR

 

 

 

 

| | Comments (0)

内閣官房 NISC サイバーセキュリティ戦略本部第43回会合 - 政府のサイバーセキュリティに関する令和7年度予算 (2025.05.29)

こんにちは、丸山満彦です。

各省庁のサイバーセキュリティに関する令和7年度(2025年度)の予算要求額が公表されていますが、昨年の当初予算要求額比でいうと減っていますね...

といっても、防衛省の予算が大きすぎて、防衛省の予算次第という感じですかね...

 

 

NISC

・2025.05.29 第43回会合

・[PDF] 資料6 政府のサイバーセキュリティに関する令和7年度予算 

 

過去分もまとめて...

・2025.05.29 第43回会合 資料6 政府のサイバーセキュリティに関する令和7年度予算 

・2024.07.10 第41回会合 資料3 政府のサイバーセキュリティに関する令和6年度予算 (正誤表

・2023.06.01 第35回会合 資料3 政府のサイバーセキュリティに関する予算(令和5年度予算政府案)

・2021.09.27 第31回会合 資料5 政府のサイバーセキュリティに関する予算(令和4年度)

・2021.02.09 第26回会合 資料4 政府のサイバーセキュリティに関する予算(令和3年度

・2020.01.30 第23回会合 資料4 政府のサイバーセキュリティに関する予算(令和2年度)

・2019.01.24 第21回会合 資料7 政府のサイバーセキュリティに関する予算(平成31年度)

・2018.09.26 第20回会合 資料2 政府のサイバーセキュリティに関する予算(平成31年度)

・2018.01.17 第16回会合 資料3 政府のサイバーセキュリティに関する予算(平成30年度)

・2017.01.25 第11回会合 資料5 政府のサイバーセキュリティに関する予算(平成29年度)

・2016.10.28 第10回会合 資料10 政府のサイバーセキュリティに関する予算(平成29年度)

・2016.01.25 第06回会合 資料5 政府のサイバーセキュリティに関する予算(平成28年度)

・2015.09.25 第05回会合 資料3 政府のサイバーセキュリティに関する予算(平成28年度)

・2015.05.25 第02回会合 資料5 政府のサイバーセキュリティに関する予算について(平成27年度)

・2015.02.10 第01回会合 資料7 政府のサイバーセキュリティに関する予算 (平成27年度)

 

 

で執行額(2025年度だけは当初予算額)をグラフにすると...

1_20250608063801

 

予算要求時の省庁別割合に当初予算額をかけているので、補正分の省庁別の数字は把握できていないです...なので別に記載しています。。。

2019-2025年度の省庁別サイバーセキュリティ予算推移は...

2_20250608063901

 

2019-2025年度の省庁別サイバーセキュリティ予算累積は...

3_20250608065101

 

 

防衛省の2023-2025年度の予算要求額の内訳...

情報システムの保護の予算がすごいですね...

2025年度の予算では、次のようになっています...

  • サイバー領域における意思決定支援システムの整備
    • サイバー攻撃等対処に係る状況把握・対処等をより迅速かつ的確に行うため、AIを活用した支援システムを整備
  • サイバー防護分析装置の整備
    • 防衛省に対するサイバー攻撃に関する手法の収集・分析等を行うサイバー攻撃対処のための装置の監視・評価機能等を強化
  • スレットハンティング器材の整備
    • 内部の潜在的脅威を継続的に探索・検出する器材を整備

 

リスク管理枠組みの導入

防衛省版SP800-37, SP800-53

  • 常時継続的にリスクを管理する考え方を基礎に、運用開始後も継続的にリスクを分析・評価し、適切に管理する「リスク管理枠組み(RMF)」を導入。防衛省版RMFは、米政府で推奨されているセキュリティ基準と同等のもの。

各省庁の予算を取りまとめるだけでなく、成果の共有等ももっとできるかもですね...

 

4_20250608073801

 

 

| | Comments (0)

2025.06.08

内閣官房 NISC イバーセキュリティ戦略本部第43回会合 - サイバー空間を巡る脅威に対応するため喫緊に取り組むべき事項 (2025.05.29)

こんにちは、丸山満彦です。

いろいろと後手後手になっていますが... ちょうどこの会議の後に会議があったんで、会議中にも少し話題にでました...

 

NISC

・2025.05.29 第43回会合

決定文書は次の3つ。。。

・[PDF] サイバー空間を巡る脅威に対応するため喫緊に取り組むべき事項

20250607-151831

・[PDF] デジタル社会の実現に向けた重点計画案に対するサイバーセキュリティ戦略本部の意見

・[PDF] 「サイバーセキュリティ対策を強化するための監査に係る基本方針」の一部改正について

 

 

まず3つ目の監査。これは監査の実施内容に「レッドチームテスト」を加えるというもの。もともと統一基準を作った時に監査にも技術的な確認という項目はあったので、その文脈ではレッドチームテストもできるという想定でした(当時、ちょうどRed Team Testingという用語が使われ出した頃でした...)。ということで、その時から20年たって、義務化という感じですね...

 

次に2つ目の「デジタル社会実現に向けた重点計画案」に対する意見。依存なしとのこと(^^)


... 今次のデジタル社会の実現に向けた重点計画案(以下「重点計画案」という。)においては、サイバーセキュリティの確保に関し、新たな司令塔組織を中心とした情報収集・分析に係る体制等の整備、官民双方向の情報共有の推進、GSOCの機能強化、政府機関等のセキュリティ対策の推進、 中小企業を含めた我が国全体のサプライチェーンのセキュリティ対策強化、官民共有の「人材フレームワーク」の策定等、新たな法整備や「喫緊に取り組むべき事項」に盛り込まれている取組が明記されており、時宜を得た内容となっている。

デジタル庁におかれては、サイバー空間がグローバルな空間であるという認識のもと、サイバーセキュリティを盛り込み、こうした取組を進められ、安全・安心なデジタル社会の実現に向け、引き続きデジタル改革を推進していくことを期待する。

以上を踏まえ、 令和7年5月16日付で内閣総理大臣からデ戦第 1649 号により依頼があった重点計画案については、異存はない。


 

3つ目は、サイバー空間を巡る脅威に対応するため喫緊に取り組むべき事項

これは、現在の2021年「サイバーセキュリティ戦略 (2021.09.28)」(特に「サイバーセキュリティ2024」(2024.07.10) における「特に強力に取り組む施策」)及び「サイバー安全保障分野での対応能力の向上に向けた提言」(2024.11.29) 等を踏まえ、現行制度下において、喫緊に取り組むべき施策の方向性を取りまとめたものと位置付けですね...

章立てでいうとこんな感じ...

・サイバーセキュリティに係る新たな司令塔機能の確立

・巧妙化・高度化するサイバー攻撃に対する官民の対策・連携強化

  • 新たな官民連携エコシステムの実現
  • 政府機関等のセキュリティ対策水準の一層の向上及び実効性の確保
  • 地方公共団体・医療機関等のセキュリティ対策向上
  • 政府機関・重要インフラ等を通じた横断的な対策の強化
  • セキュアバイデザイン・セキュアバイデフォルト原則の実装推進
  • 中小企業を含めたサプライチェーン全体のレジリエンス強化

・サイバーセキュリティを支える人的・技術的基盤の強化

  • 官民を通じたサイバーセキュリティ人材の確保・育成
  • 我が国の対応能力を支える技術・産業育成及び先進技術への対応

・緊密な国際連携を通じた我が国のプレゼンス強化

 

官民連携、人材育成、政府・地方公共機関の対応の遅れ、セキュア・バイ・デザイン(開発段階からのセキュリティ)、国際協調、中小企業のセキュリティ対策の遅れ...

 

● 経済産業省

・2003.10.10 [PDF] 情報セキュリティ総合戦略 [downloaded]

20240603-163252

 

第1章 戦略の考え方
1.1. IT
の社会基盤化~社会の「神経系」を担う IT
1.2.
社会全体が直面する新次元のリスク
 1.2.1. リスクの拡大
 1.2.2. リスクの変質
 1.2.3. 新次元のリスクへの対応と安全保障の観点から見た問題認識
1.3.
総合的なセキュリティ対策の必要性
 1.3.1. これまでの情報セキュリティ対策の課題
 1.3.2. 「高信頼性社会」構築による競争力強化と総合的な安全保障の向上

第2章 情報セキュリティ強化のための3つの戦略
2.1.
情報セキュリティ強化のための3つの戦略
2.2.
戦略1:しなやかな「事故前提社会システム」の構築(高回復力・被害局限化の確保)
2.3.
戦略2:「高信頼性」を強みとするための公的対応の強化
2.4.
戦略3:内閣機能強化による統一的推進
2.5. e-Japan
戦略との関係

第3章 戦略実現のための具体的施策
3.1.
戦略実現のための具体的施策の構成
3.2.
「戦略1:しなやかな『事故前提社会システム』の構築(高回復力・被害局限化の確保)」を実現するための具体的施策(1)~事前予防策の強化
 3.2.1. 国・自治体・重要インフラにおける事前予防策
 3.2.2. 企業・個人における新たな事前予防策
 3.2.3. 技術とセキュリティマネジメントの両輪からなる既存の事前予防策の強化
3.3.
「戦略1:しなやかな『事故前提社会システム』の構築(高回復力・被害局限化の確保)」を実現するための具体的施策(2)~事故対応策の抜本的強化
 3.3.1. 国・自治体・重要インフラにおける事故対応策
 3.3.2. 企業・個人における事故対応策
3.4.
「戦略2:『高信頼性』を強みとするための公的対応の強化」を実現するための具体的施策~戦略1の実現及び国家的視点からの全体を支える基盤の強化
 3.4.1. 国の主権に関わるリスクへの対応
 3.4.2. 犯罪対策やプライバシー対策と国際協調
 3.4.3. 基礎技術基盤の確立

第4章 戦略の実現のための体制と進捗管理
4.1.
「戦略3:内閣機能強化による統一的推進」
4.2.
望ましい実現時期
4.3.
戦略の評価体制

おわりに

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.02 内閣官房 サイバー安全保障分野での対応能力の向上に向けた提言 (2024.11.29)

 

・2024.07.11 内閣官房 NISC サイバーセキュリティ2024、サイバーセキュリティ関係施策に関する令和7年度予算重点化方針

 

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)

 

 

 

| | Comments (0)

内閣官房 NISC サイバーセキュリティ戦略本部第43回会合 - インシデント報告様式の統一 (2025.05.29)

こんにちは、丸山満彦です。

サイバーセキュリティインシデントについて、様々な政府機関から報告の要求がありますが、様式や提供する情報が異なると事業者にとって負担となることから、それを統一しようという取り組みです。

すでに金融機関においては、FSBが中心となって(日本では金融庁も加わって)、先行してインシデント情報の提供スキーム (FIRE) をグローバルで統一することになっていますね... 報告を受ける監督官庁側の処理の効率化を考えて、機械処理を前提としています...

さて、NISCが公表したものは、今現在はザ・様式ですね... 紙(PDF)で報告することを想定している感じ... 受け取った監督官庁は手作業?でデータベース化ですかね...

ただ、サイバー対処能力強化法が施行されるタイミングで、システム化をするようですね...

インシデントの種類によって様式を変えるわけですね...

NISC

・2025.05.29 第43回会合

・[PDF] 資料5 インシデント報告様式の統一について 

 

被害報告一元化の方針

20250607-161839

 

被害報告一元化の実現に向けたタイムライン

20250607-161848

 


1.目的

 我が国全体のサイバーセキュリティを強化するためには、官民双方向の情報共有を促すことが必要不可欠である一方、サイバー攻撃による被害報告件数は増加の一途を辿っており、また、報告先となる官公署も多いことから、サイバー攻撃を受けた被害組織に過度な報告負担がかかっている旨の指摘がされている。

 特に、DDoS攻撃事案及びランサムウェア事案については、サイバー攻撃であることがインシデント発生時から明白であることが多く、初動対応中の報告となり、その件数も多いことから、被害組織の報告負担が極めて大きいと考えられる。

 かかる状況を踏まえ、「サイバー安全保障分野での対処能力の向上に向けた提言」(令和6年11月29日付、サイバー安全保障分野での対応能力の向上に向けた有識者会議)では、「被害組織の負担軽減と政府の対応迅速化を図るため、報告先や様式の一元化、簡素化を進めるべき」との提言が行われるとともに、サイバーセキュリティ戦略本部第 42 回会合(令和7年2月5日)では、「現行制度下において喫緊に取り組むべき事項」の検討事項の一つとして、被害組織の負担軽減(報告様式一元化)が掲げられたところである。

このため、サイバー攻撃に係る被害組織の負担を軽減し、政府の対応迅速化を図るため、報告のあり方について、別添様式1及び別添様式2に掲げる共通様式に記載の手続を所管する関係省庁において次のとおり申し合わせる。

2.対象とする手続

(1) DDoS攻撃事案・ランサムウェア事案に係る報告

先行的な対応として、個人情報の保護に関する法律(平成 15 年法律第 57 号)第26条第1項の規定による個人データの漏えい等に係る報告等、都道府県警察への相談その他の共通様式に記載の手続に関する官公署への報告等に際して、被害組織が「DDоS攻撃事案共通様式(別添様式1)」又は「ランサムウェア事案共通様式(別添様式2)」を用い、又は別途法令等で定める様式に添付する形で報告等を行うことを可能とする。具体的な提出先及び提出方法については、各法令、ガイドラインや、各省庁が公表する方法に従うこととする。

その際、内閣官房内閣サイバーセキュリティセンターにおいて国内で発生しているこれら事案の情報集約を行うため、被害報告を行う者の同意がある場合は、各様式に基づいて報告を受けた官公署は、当該内容を内閣官房内閣サイバーセキュリティセンターに共有するものとする。

また、重要電子計算機に対する不正な行為による被害の防止に関する法律(令和7年法律第 42 号。以下「サイバー対処能力強化法」という。)第5条の施行に併せ、官民連携基盤の整備により、共通様式により報告が行われる場合における窓口を一元化するよう所要の調整を進める。

(2) サイバー対処能力強化法に基づく報告

特別社会基盤事業者は、特定侵害事象等の発生を認知した場合、サイバー対処能力強化法第5条の規定に基づき、特別社会基盤事業所管大臣及び内閣総理大臣に報告しなければならないとされているところ、当該規定に基づく報告及び(1)に掲げる報告等について、当該規定の施行に併せ、官公署への報告等に際して利用できる共通様式を整備し、さらに官民連携基盤の整備により、これらの報告の窓口を一元化するよう所要の調整を進める。

3.本申合せの適用開始時期及び見直し

本申合せのうち、「DDoS攻撃事案共通様式(別添様式1)」又は「ランサムウェア事案共通様式(別添様式2)」を用いた報告等については、所要の制度改正やパブリックコメント等を経て、令和7年10月1日から適用する。

また、本申合せは、各省庁等の適用状況や、サイバー攻撃の傾向を随時検証し、2(1)に定める様式の適用開始から1年後を目途に必要な見直しを行う。


 

[PDF] DDoS攻撃事案共通様式

20250607-165908

 

・[PDF] ランサムウェア事案共通様式

20250607-170201

 


 

FIRE関係...

まるちゃんの情報セキュリティ気まぐれ日記

・2025.05.02 金融安定理事会 (FSB) インシデント報告交換フォーマット(FIRE)を公表 (2025.04.15)

・2024.11.01 金融安定理事会 (FSB) 市中協議文書「インシデント報告交換フォーマット(FIRE)」の公表 (2024.10.17)

・2023.04.17 金融安定理事会 (FSB) サイバーインシデント報告におけるより大きな収束を実現するための提言

・2022.10.23 金融安定理事会 サイバーインシデント報告における収斂を高めるための提言

 

 

| | Comments (0)

2025.06.07

防衛省 装備品等の研究開発における責任あるAI適用ガイドライン (2025.06.06)

こんにちは、丸山満彦です。

防衛省防衛装備庁が、装備品等の研究開発における責任あるAI適用ガイドラインを公表しましたね...

現場でAIが暴走すると、場合によっては現場の人(敵も味方も)の生命に影響が及ぶこともあるしね...

 

防衛装備庁

・2025.06.06 [PDF] 装備品等の研究開発における責任あるAI適用ガイドラインの策定について


装備品等の研究開発における責任あるAI適用ガイドラインの策定について

防衛省は、装備品等の研究開発における防衛省・自衛隊独自のガイドラインとして、「装備品等の研究開発における責任あるAI適用ガイドライン」を策定いたしましたので、お知らせいたします。

本ガイドラインは、令和6年7月に策定・公表した「防衛省AI活用推進基本方針」を受け、防衛省の装備品等の研究開発における責任あるAI適用のコンセプトを示すものとして、策定したものです。


 

装備品等の研究開発における責任あるAI適用ガイドライン


・[PDF] 装備品等の研究開発における責任あるAI適用ガイドライン 概要

20250607-62039

 

・[PDF] 装備品等の研究開発における責任あるAI適用ガイドライン本文(第1版)

 20250607-62212

目次...

1 本ガイドライン策定の背景
(1) 諸外国の軍事領域におけるAIの責任ある利用に関する取組状況
(2) AIの軍事利用に関する国際的な議論及び我が国の見解

2 本ガイドラインの位置付け

3 AI装備品等の研究開発における確認事項
(1) 準拠すべき要件の設定

4 AI装備品等の研究開発における実施事項
(1) AI装備品等の分類
(2) 法的・政策的審査
(3) 技術的審査
(4) その他

5 まとめ

 

 


 

表1 AI政治宣言において参加国が実施すべき措置として定められている事項

A  国家は、自国の軍事組織が、AI能力の責任ある開発、配備、使用のために、これらの原則を採用し、実施することを確保すべきである。 
B  国家は、軍事用AI能力が国際法、特に国際人道法の下でのそれぞれの義務に合致して使用されることを確保するために、法的審査などの適切な措置をとるべきである。国家はまた、国際人道法の履行を促進し、武力紛争における文民及び民用物の保護を改善するために、軍事用AI能力をどのように使用するかを検討すべきである。 
C  国家は、高官が、このような兵器システムを含むがこれに限定されない、重大な影響を及ぼす活用を伴う軍事用AI能力の開発と配備を効果的かつ適切に監督することを確保すべきである。 
D  国家は、軍事用AI能力における意図せざるバイアスを最小化するための積極的な措置をとるべきである。 
E  国家は、軍事用AI能力を組み込んだ兵器システムを含め、軍事用AI能力の開発、配備、使用において、関係者が適切な注意を払うことを確保すべきである。 
F  国家は、軍事用AI能力が、関連する防衛要員にとり透明で、また、かかる要員により監査可能な方法論、データソース、設計手順及び文書作成により開発されることを確保すべきである。 
G  国家は、軍事用AI能力を使用する、又は使用を承認する要員が、それらのシステムの使用について状況に応じた適切な判断を下し、自動化バイアスのリスクを軽減するために、それらのシステムの能力と限界を十分に理解するよう訓練されることを確保すべきである。 
H  国家は、軍事用AI能力が明確かつ十分に定義された用途を有し、それらの意図された機能を果たすようにデザイン及び設計されていることを確保すべきである。 
I  国家は、軍事用AI能力の安全性、セキュリティ、有効性が、その明確に定義された用途の範囲内で、そのライフサイクル全体にわたって、適切かつ厳格なテストと保証の対象となることを確保すべきである。自己学習または継続的に更新される軍事用AI能力については、国家は、モニタリングなどのプロセスを通じて、重要な安全機能が低下していないことを確保すべきである。 
J  国家は、軍事用AI能力における失敗のリスクを軽減するために、意図しない結果を検出し回避する能力、及び、そのようなシステムが意図しない挙動を示した場合に、例えば、配備されたシステムによる交戦を停止させる、又はその作動を停止させることによって対応する能力などの適切な保護措置を実施すべきである。 

 

図1 本ガイドラインの対象範囲

1_20250607062901

 

 

図2 諸外国の軍事領域におけるAI倫理原則

1_20250607063401

 

図3 研究開発事業における実施事項

1_20250607063501

 

図4 装備品等の分類と対応フロー

1_20250607063502

 

法的・政策的審査 表2 要件Aの審査項目(基準)

  確認項目 
A-1 
国際人道法を始めとする国際法及び国内法の遵守が確保できないものでないこと 
   
・ 当該装備品等を使用するにあたって軍事的必要性と人道的配慮のバランスを考慮し、過度の傷害又は無用の苦痛を与えることを防止する措置が含まれた構想になっているか。 
・ 軍事目標と非軍事目標(文民及び民用物)を区別し、軍事目標のみに攻撃を行うことが可能な装備品等の構想になっているか(区別原則)。 
・ 予測される具体的かつ直接的な軍事的利益との比較において、巻き添えによる文民の死亡、文民の傷害、民用物の損傷又はこれらの複合した事態を過度に引き起こすことが予測される攻撃を防止する措置が含まれた構想になっているか(比例性原則)。 
・ 攻撃に先立つ軍事目標の選定から攻撃の実施に至るまで、無差別攻撃を防止し文民と民用物への被害を最小限に抑えるための各種予防措置を実施し得る構想になっているか(予防原則)。 
・ 国際人道法のその他の要請や適用のある他の国際法及び国内法に従って使用することができないような装備品等の構想となっていないか。 
A-2 
人間の関与が及ばない完全自律型致死兵器でないこと 
・ 適切なレベルの人間の判断が介在し、人間による責任ある指揮命令系統の中での運用が確保できる構想となっているか。 
・ 人間の関与が及ばない完全自律型の致死性を有する兵器システムの開発ではないか。 

 

図5 法的・政策的審査体制イメージ

1_20250607063901

技術的審査 表3 要件Bの審査項目(基準)

  確認項目 
B-1 
人間の責任の明確化 
 
・ AIシステムの利用に際して適切なタイミングと程度において、運用者の関与や運用者による適切な制御が可能となるように設計されているか。 
・ AIシステムと運用者それぞれの役割が明確に定義されているか。 
・ 運用者が負うべき責任が明確に定義されているか。 
B-2 
運用者の適切な理解の醸成 
 
・ AIシステムの挙動、パフォーマンス範囲、操作等に運用者が習熟して当システムを適切に使用できるように設計されているか。 
・ AIシステムへの過度の依存を防ぐための対策が設計されているか。 
・ AIシステムのモニタリング時に、運用者が不具合を認めたときにそれを改善することを可能とする仕組みが設計されているか。 
B-3 
公平性の確保 
・ データセットの公平性要件が明確化されているか。 
・ AIモデルに関連するバイアスが許容レベルを超えないか確認するとともに、不具合が認められた場合の改善の仕組みが設計されているか。 
B-4 
検証可能性、透明性の確保 
・ AIシステムの構築に係る過程、使用した手法・データ・アルゴリズム等が明確化され、その妥当性を後に検証可能な仕組みが整備されているか。 
・ 研究開発体制(事業者含む。)において、説明責任を果たす責任者を明確化しているか。 
B-5 
信頼性、有効性の確保 
   
・ AIシステムの信頼性を確保するために、多様な指標を用いた試験評価を実施しているか。 
・ 開発初期から研究開発終了までの全ての期間において、運用を想定したデータセットを使用することが検討されているか。 
・ 運用を想定して、AIに連接する装備品等の信頼性を損なうことなく、AIを適用できることを設計において担保されているか。 
・ AIシステムが容易に維持管理できる設計となっているか。 
・ AIシステムに対してセキュリティ管理策の実施が検討されているか。 
B-6 
安全性の確保 
・ AIシステムの誤作動や深刻な失敗・事故の発生を低減する安全機構が設計されているか。 
B-7 
国際法及び国内法の遵守が確保できないものでないこと 
・ 装備品等の運用に際して適用される国際法や国内法令、各種内部規則等から逸脱しないよう対策が検討されているか。 

 

図6 技術的審査体制イメージ

20250607-64325

 

図7 高リスクAI装備品等の標準的なリスク管理イメージ

1_20250607064401

 

図8 低リスクAI装備品等の標準的なリスク管理イメージ

1_20250607064501

 

表  要件Bのチェック項目に活用し得るRAI Toolkitの例

# RAI Toolkit 該当するチェック項目
ツール名称 ツール説明
Trust in Autonomous Systems Test
(TOAST)
システムに対する信頼度の評価 人間がシステムをどの程度信頼しているかを測定するための9つの質問からなるテスト。(例:私はシステムが何をすべきか理解している。
私はシステムの限界を理解している。等) [web]

B-2
運用者の適切な理解の醸成
Human-Machine
Teaming Systems Engineering Guide
システムの設計支援 システム開発者が人間のオペレーターと協力して機能するAIを設計するのを支援するガイド。
[web]
FairML AIモデルの公平性の診断・改善 AIモデルの予測結果に対して、性別や人種などの属性との関係を分析し、公平性を診断し、要因の特定、改善方法の提供を行うためのツールキット。AIモデルの予測結果の公平性を改善するために用いられる。
[web]

B-3
公平性の確保
Tensor Flow Fairness Indicators AIモデルの公平性の評価・改善 AIモデルの公平性に関する懸念を評価、改善、比較するためのツールキット。「公平性」とは、AIモデルが特定の属性(人種、性別、年齢など)に基づいて不当な差別をしないことを意味する。
[web]
What-If Tool AIモデル性能と公平性の評価 What-Ifツール(WIT)は、機械学習(ML)モデル、特に分類や回帰タスクにおいてブラックボックスシステムとして機能するモデルの理解と分析を支援する可視化ツール。
[web]
Explainer Dashboard AIモデルの解釈性向上 AIモデルの解釈性を高めるためのツールを提供するライブラリ。モデルの予測結果を視覚的に分析したり、特徴量の重要度を確認したりすることが可能。
[web] [web]

B-4
検証可能性、透明性の確保
InterpretML AIモデルの解釈性向上 機械学習の解釈可能性のための最新技術を一元的に包含するオープンソースのツール。このツールは、解釈可能なモデルを作成し、ブラックボックスシステムを説明する機能を提供する。モデルの全体的な振る舞いを理解したり、個々の予測の背後にある理由を理解したりすることが可能。
[web] [web]
Hugging Face
Data Card Template
データセットの透明性確保 データセットカードの作成手順を示すもの。データセットの内容、データセットを利用する背景、データセットの作成方法、その他利用者が注意すべき点を理解するのに役立つ。責任ある利用を促し、データセットに潜在する偏りを利用者に知らせることができる。
[web]
Hugging Face
Model Card Template
AIモデルの透明性確保 AIモデルを理解し、共有し、改善するためのフレームワーク。各モデルについて、その技術と設計方法を記述し、透明性・監査可能性を実現するのに役立つ。また、技術の適切な理解を示すために、設計手順が透明で監査可能であることを測定し示すのにも役立つ。
[web]
10 Threat Modeling Resource 脅威や脆弱性の特定・評価および対策の計画 AIの脅威モデリングのためのフレームワーク。AI機能のセキュリティを実現するために、脅威モデリングによってセキュリティレビューを実施し、それに基づいて推奨されるリスク軽減策を取り入れる。
[web]

B-5
信頼性、有効性の確保
11 EQUI(NE2) ニューラルネットワークの不確実性を定量化 モデルの予測における不確実性を可視化するツール。各予測の「信頼スコア(confidence score)」と「外れ値スコア(outlier score)」を提示し、モデルが通常のデータ範囲を超えた状況においてどの程度リスクが高まるかを評価することができる。モデルの精度を評価することだけでなく、データの偏りに対するモデルの頑健性を評価し、AIの適用可能な範囲を明確化することができる。
[web]
12 IBM Adversarial Robustness 360Attacks AIのセキュリティ強化 敵対的な攻撃を生成し、AIの信頼性(AIのセキュリティ)を高めるための堅牢性を訓練したり、攻撃成功率を計算してAIの信頼性(AIのセキュリティ)を測定し、示したりすることができるAIのセキュリティを守るためのPythonライブラリ。ユーザーが機械学習モデルやアプリケーションを、回避、汚染、抽出、推論といった敵対的な脅威から守り、評価するためのツールを提供する。TensorFlow、Keras、 PyTorch、scikit-learn、XGBoostなどのAIフレームワークをサポートしており、画像、表、音声、ビデオなどあらゆるデータタイプや、分類、物体検出、音声認識、生成、認証などのAIタスクに対応。
[web] [web]
13 Drift Tools AI機能の信頼性とガバナンスの支援 Drift Tools のアルゴリズムを AI機能に組み込んで、AI機能のパフォーマンスが保証されていない分布外の入力を検出し、AIの信頼性(有効性)と意図しない結果を検出する能力の実現を支援するPythonライブラリ。
外れ値、敵対的攻撃の検出(Adversarial detection:機械学習モデルに対する攻撃を検出し、防御するプロセス)、及びドリフト検出(Drift detection:機械学習モデルの学習データの統計的分布と、実際に遭遇するデータの分布との間に生じる変化を検出するプロセス)に特化している。
[web] [web]
B-2
運用者の適切
な理解の醸成
B-5
信頼性、有効性の確保
14 Python Outlier Detection (PyOD) 多変量データにおける異常値の検出 PyOD(Python Outlier Detection)は、多変量データにおける異常値を検出するための包括的かつスケーラブルなPythonライブラリ。このライブラリは、小規模プロジェクトから大規模データセットまで、さまざまなニーズに対応するための幅広いアルゴリズムを提供する。
[web] [web]
B-6
安全性の確保

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.04.21 欧州議会 防衛とAI

・2025.04.07 米国 上院軍事委員会 AIのサイバー能力の活用に関する証言 (2025.03.25)

・2025.01.18 米国 商務省産業安全保障局 人工知能普及のための枠組み(特定のAIの輸出規制...)

・2024.09.22 中国 AI安全ガバナンスフレームワーク(V1.0) (2024.09.09)

・2024.08.09 米国 国防大学出版局 統合軍クオータリー 「認知戦」

・2023.09.20 米国 GAO 人工知能の活用と急成長がその可能性と危険性を浮き彫りにする

・2023.09.10 カーネギーメロン大学ソフトウェア工学研究所 新たなテクノロジー:国防総省におけるソフトウェアの未来を変える7つのテーマ (2023.08.24)

・2023.08.16 Atlantic Council:現代の軍隊はどのようにAIを活用しているか

・2023.08.13 米国 国防総省 CDAOが国防総省の新しい生成的AIタスクフォース(タスクフォース・リマ)の指揮を執る

・2023.06.15 米国 GAO 科学技術スポットライト:生成的AI

・2020.08.10 AIと将来の軍事力についての中国の視点

・2020.06.07 米国国防省 人工知能が戦争をかえると予測

 

 

| | Comments (0)

2025.06.06

内閣官房 サイバー安全保障関連の国民向けリーフレット「みんなで備えよう 新・サイバー防衛、はじまる」

こんにちは、丸山満彦です。

内閣官房が、サイバー安全保障関連の国民向けリーフレット「みんなで備えよう 新・サイバー防衛、はじまる」を公表していますね...

サイバー安全保障は、国民の財産、生命をまもるために、重要な活動の一つだと思います。なので、適切かつ効果的な運用を期待しています...

特に独立機関の委員の背景、事務局体制というのが重要となるのでしょうね...

 

さて、このリーフレットでは、新しいサイバー防衛を1枚で説明しています...

20250606-153549

20250606-161146

  

内閣官房

サイバー安全保障に関する取組 (能動的サイバー防御の実現に向けた検討など)

 

広報資料等

・[PDF] リーフレット「みんなで備えよう 新・サイバー防衛、はじまる」

20250606-153346

 

法律の説明

・[PDF] サイバー対処能力強化法及び同整備法について

20250606-160724

 

 

 

自由民主党

・2025.05.29 サイバー対処能力強化法成立政府が解説リーフレットを制作


わが国のサイバー対処能力を強化するための関連法が今国会で成立しました。
政府では同法の成立を受け、能動的サイバー防御の取り組み内容を広く周知するためのリーフレット(写真、表紙)を制作しました。「みんなで備えよう。新・サイバー防御、はじまる。」と題し、サイバー防御の必要性や、サイバー攻撃の脅威について解説しています。


 

立法府としては、

・内閣官房が、安全保障への取り組みについて、実効性のある実行部隊の体制の整備と運用の実施についてきっちりと監視していく

・第三者委員会が、憲法、法律に違反しない運用がおこなわれていることをきっちりと監視していく

・立法府としても責任をもって上記2点ができているのかを国会の場を通じて国民に明らかにしていく

という3点を強調したらもっとよいのに...と思いました(^^)

 

| | Comments (0)

経済産業省 経済安全保障に関する産業・技術基盤強化アクションプラン再改訂版 (2025.05.30)

こんにちは、丸山満彦です。

経済産業省が、「経済安全保障に関する産業・技術基盤強化アクションプラン再改訂版」を公表していますね...

 

経済産業省

・2025.05.30「経済安全保障に関する産業・技術基盤強化アクションプラン再改訂版」を公表しました

-----


国際情勢や技術革新の歴史の転換期にある中、我が国の経済安全保障政策を強化すべく、経済安全保障に関する産業・技術基盤強化アクションプランを再改訂しました。

2024年5月に本アクションプランを改訂して以降、僅か1年の間に我が国を取り巻く経済安全保障環境は大きく変化し、一層厳しさを増しています。大国による技術競争は、生成AIや量子等の先端技術から、鉄鋼や造船等の伝統的な製造業まで、産業・技術基盤全体に射程が広がりつつあります。さらに、宇宙や海洋などの次世代の戦略領域の競争も激しさを増すとともに、産業・技術基盤を支えるエネルギーの重要性も高まっています。このような中、我が国の経済安全保障に関する自律性、不可欠性を確保するための取組を、より一層強化していく必要があります。加えて、足元の歴史的なパラダイムシフトを、我が国の産業・技術基盤の新たな飛躍の機会に変え、「世界にとってかけがえのない日本」を実現するため、関係省庁と連携しながら、官民で本アクションプランの実現に着実に取り組みます。

-----

とのことです。

 

・[PDF

20250606-54126

 

目次...


はじめに

1.我が国の経済安全保障を取り巻く環境変化 
1.1.大国の「製造業」を中心とした安全保障戦略と自由主義的な国際経済秩序の揺らぎ 
1.2.大国による新たなテクノロジー秩序の形成~AI を中心に~
1.3.エネルギー戦略の重要性の高まり
1.4.次世代の自律性・不可欠性を巡る戦略分野における競争激化

2.新たな国際環境下での産業・技術基盤強化に向けた取組の方向性
2.1.3つの P の一層の有機的連携~産業支援策、産業防衛策、国際連携・官民対話~
2.2.国際公共財としてのルールベースの国際経済秩序の再構築に向けて
2.3.官民対話の推進 
2.4.経済インテリジェンス強化.

おわりに


 

図表 1 米国と中国の先端技術分野を中心とした主な国境措置(2025 年 5 月 23 日時点)

1_20250606055401

 

図表 2 AI インフラの整備に向けた包括的な取組に必要性

1_20250606055501

 

図表3 主要国の「新三様」輸出の世界シェア

1_20250606055601

(出典)Global Trade Atlas(S&P Global)からジェトロ作成

 

図表 5 各国のロケット打上げ数・人工衛星の製造数

1_20250606060001

(出典)内閣府宇宙開発戦略推進事務局調べ(打上げ成功のみカウント)を基に経済産業省にて作成

1_20250606060101

(出典)一般財団法人 日本航空宇宙工業会「R4宇宙産業データブック」を基に経済産業省にて作成

図表 6 産業バリューチェーンを通じた我が国産業の不可欠性の発揮に向けて

1_20250606060301

 

図表 7 経済安全保障上重要な物資・技術

20250606-64720

海底ケーブル、フュージョンエネルギー(部素材等)、原子力機器・部素材等製造技術(重要機器・部品)、人工衛星・ロケット、産業用データを追加

 

図表8 ロボティクス分野におけるデータエコシステム構築とAI開発の促進

1_20250606060901

 

図表9 技術管理対話スキーム

1_20250606061001

 

図表 10 高度専門職の在留資格で在留する者の国籍・地域別の割合

1_20250606061101

 

ちなみに...令和6年末現在における在留外国人数 by 法務省出入国在留管理庁

  令和6年末現在 人数 前年末比
(1) 中国 873,286 51,448
(2) ベトナム 634,361 69,335
(3) 韓国 409,238 ▲918
(4) フィリピン 341,518 19,472
(5) ネパール 233,043 56,707
(6) ブラジル 211,907 67
(7) インドネシア 199,824 50,723
(8) ミャンマー 134,574 48,028
(9) 台湾 70,147 5,484
(10) 米国 66,111 2,703
  その他 594,968 54,936
  在留外国人数合計 3,768,977 357,985

https://www.moj.go.jp/isa/publications/press/13_00052.html

 

図表 11 政府の主な取組・産学でのリスクマネジメント

1_20250606062901

 

図表 12 Run Faster 戦略(イメージ図)

1_20250606063001

我が国の将来の自律性・不可欠性確保に向け、産業支援策と産業防衛策を有機的に講じる「Run Faster(ランファスター)」戦略を加速させていく。特に、AI・先端コンピューティング、量子、バイオ、宇宙分野は各国が激しく競争を進め、安全保障の面でも重大なインパクトをもたらすものであり、「Run Faster」戦略の重点分野に位置付ける。Run Faster パートナーシップは、上記戦略を同志国等と連携して産業・技術基盤共創に向けた産業支援策と産業防衛策を一体的に進めるための枠組みであり、まずはインド太平洋地域を中心に取組を進める。

 

図表 13 重要物資に関する政策ツール

1_20250606063401

 

図表 14 国が前面に立ってリードすべき分野の類型化

1_20250606063402

出典:日本産業標準調査会 第 16 回基本政策部会「資料 2 新たな基準認証政策の方向性について」

 

図表 15 経済安全保障に係る官民対話(イメージ図)

1_20250606063601

 

図表 16 製造業者における経済安全保障に関するアンケート結果

20250606-63914

 

図表 17 ニーズに合わせたアウトリーチ活動・踏み込んだ官民対話

1_20250606064001

 

 

図表 18 協議会のイメージ図

1_20250606064101

要電子計算機に対する不正な行為による被害の防止に関する法律(サイバー対処能力強化法)におけるサイバー攻撃による被害防止のための情報共有・対策のための協議会を参考に、以下のような要素も考慮した上で検討を進める。これは、業界内の対話や重要サプライチェーンの上下に連なるサプライヤー間の対話など、官民間、民民間の情報共有等の円滑化にも貢献すると考えられる。

  • 脅威リスクシナリオ、サプライチェーン分析、技術分析等の政府の経済インテリジェンスの一部を提供する
  • 提供された政府情報等に対して守秘義務を課す
  • 提供された情報の社内やグループ会社内への共有にあたってのルールも検討する

 

図表 19 経済安保センター・トラステッドシンクタンクネットワークのイメージ図

1_20250606064301

 

図表 20 経済安保センターの役割・機能のイメージ図

1_20250606064401

 

 

 

| | Comments (0)

2025.06.05

米国 FBI 政府高官になりすましたメールや電話に対する警告 (2025.05.15)

こんにちは、丸山満彦です。

FBIとインターネット犯罪苦情センター(IC3)(www.ic3.gov)が、米国 FBI 政府高官になりすましたメールや電話に対する警告を公表しています。

日本政府等においても、職員をかたる電話やメールによる詐欺行為が問題となっていますので、世界的に同じようなことが起こっているのだろうと思います。成功率が高いのですかね...

日本でも、内閣府、総務省、財務省、金融庁、厚生労働省等の職員を語った電話やメール、ショートメッセージがあることから警告をだしています。ただ、対処方法等についても併せて発表していおくのがよいのだろうと思います。その点、FBIの警告を見習うことは重要なことかもしれませんね。。。

 

Internet Crime Complaint Center; IC3

・2025.05.15 Senior US Officials Impersonated in Malicious Messaging Campaign

Alert Number: I-051525-PSA

20250605-54719

 

Senior US Officials Impersonated in Malicious Messaging Campaign 悪質メッセージキャンペーンで米国高官がなりすまされる
FBI is issuing this announcement to warn and provide mitigation tips to the public about an ongoing malicious text and voice messaging campaign. Since April 2025, malicious actors have impersonated senior US officials to target individuals, many of whom are current or former senior US federal or state government officials and their contacts. If you receive a message claiming to be from a senior US official, do not assume it is authentic. FBI は、現在進行中の悪質なテキストメッセージおよび音声メッセージのキャンペーンについて警告し、緩和のヒントを提供するため、この発表を行う。2025年4月以降、悪意ある行為者が米国の高官になりすまして個人を標的としており、その多くは米国の連邦政府または州政府の現職または元高官とその関係者である。米国の高官を名乗るメッセージを受け取った場合、それが認証されたものだと思わないこと。
Specific Campaign Details 具体的なキャンペーンの詳細
The malicious actors have sent text messages and AI-generated voice messages — techniques known as smishing and vishing, respectively — that claim to come from a senior US official in an effort to establish rapport before gaining access to personal accounts. One way the actors gain such access is by sending targeted individuals a malicious link under the guise of transitioning to a separate messaging platform. Access to personal or official accounts operated by US officials could be used to target other government officials, or their associates and contacts, by using trusted contact information they obtain. Contact information acquired through social engineering schemes could also be used to impersonate contacts to elicit information or funds. 悪意のある行為者は、個人アカウントにアクセスする前に信頼関係を築こうと、米国の高官を名乗るテキストメッセージやAI生成の音声メッセージ(それぞれsmishingやvishingと呼ばれる手法)を送信している。このようなアクセスを得る方法の1つは、別のメッセージング・プラットフォームへの移行を装って、標的となる個人に悪意のあるリンクを送ることだ。米国政府関係者が運営する個人アカウントまたは公式アカウントへのガバナンスは、入手した信頼できる連絡先情報を使用して、他の政府関係者、またはその関係者や連絡先を標的にするために使用される可能性がある。また、ソーシャル・エンジニアリング・スキームを通じて入手した連絡先情報は、情報や資金を引き出すために連絡先になりすますために使用される可能性もある。
"Smishing" is the malicious targeting of individuals using Short Message Service (SMS) or Multimedia Message Service (MMS) text messaging. "Vishing", which may incorporate AI-generated voices, is the malicious targeting of individuals using voice memos. Both smishing and vishing use tactics similar to spear phishing, which uses email to target specific individuals or groups. 「スミッシング」とは、ショート・メッセージ・サービス(SMS)またはマルチメディア・メッセージ・サービス(MMS)のテキスト・メッセージングを利用して個人を狙う悪意のある手口である。「ビッシング」は、AI生成的な音声を取り入れる可能性があり、ボイスメモを使って個人を狙う悪質なものである。スミッシングもビッシングも、特定の個人またはグループをターゲットに電子メールを使用するスピアフィッシングに似た手口を使用する。
Smishing, Vishing, and Spear Phishing Are Common Criminal Tactics 一般的な犯罪手口はスミッシング、ビッシング、スピアフィッシング
である
Traditionally, malicious actors have leveraged smishing, vishing, and spear phishing to transition to a secondary messaging platform where the actor may present malware or introduce hyperlinks that direct intended targets to an actor-controlled site that steals log-in information, like user names and passwords. For smishing, malicious actors typically use software to generate phone numbers that are not attributed to a specific mobile phone or subscriber to engage with a target by masquerading as an associate or family member. For vishing, malicious actors are more frequently exploiting AI-generated audio to impersonate well-known, public figures or personal relations to increase the believability of their schemes. 伝統的に、悪意のある行為者はスミッシング、ビッシング、スピアフィッシングを利用して、二次的なメッセージングプラットフォームに移行し、そこで行為者はマルウェアを提示したり、ハイパーリンクを導入して意図したターゲットを行為者が管理するサイトに誘導し、ユーザー名やパスワードなどのログイン情報を盗むことがある。スミッシングの場合、悪意のある行為者は通常、特定の携帯電話や加入者に起因しない電話番号を生成するソフトウェアを使用し、同僚や家族になりすましてターゲットに関与する。ビッシングの場合、悪意のある行為者はAI生成的な音声を悪用して、有名人や公的な人物、または個人的な関係者になりすまし、詐欺の信憑性を高めることが多くなっている。
Recommendations 推奨事項
The following guidance can be used to identify a suspicious message and help protect yourself from this campaign. 以下の防御策は、不審なメッセージを識別し、このキャンペーンから身を守るのに役立つ。
Spotting a Fake Message 偽メッセージを見分ける
・Verify the identity of the person calling you or sending text or voice messages. Before responding, research the originating number, organization, and/or person purporting to contact you. Then independently identify a phone number for the person and call to verify their authenticity. ・電話をかけてきたり、テキストや音声メッセージを送ってきたりする人物の身元を確認する。対応する前に、発信元の電話番号、組織、連絡先を調べる。そして、その人物の電話番号を独自に特定し、電話をかけて認証する。
・Carefully examine the email address; messaging contact information, including phone numbers; URLs; and spelling used in any correspondence or communications. Scammers often use slight differences to deceive you and gain your trust. For instance, actors can incorporate publicly available photographs in text messages, use minor alterations in names and contact information, or use AI-generated voices to masquerade as a known contact. ・Eメールアドレス、電話番号を含むメッセージの連絡先、URL、通信やコミュニケーションで使用されているスペルなどを注意深く調べる。詐欺師はしばしば、わずかな違いを利用してあなたを欺き、信頼を得ようとする。例えば、詐欺師は公開されている写真をテキストメッセージに取り入れたり、名前や連絡先情報を少し変えたり、AI生成的な音声を使って既知の連絡先になりすましたりする。
・Look for subtle imperfections in images and videos, such as distorted hands or feet, unrealistic facial features, indistinct or irregular faces, unrealistic accessories such as glasses or jewelry, inaccurate shadows, watermarks, voice call lag time, voice matching, and unnatural movements. ・手や足がゆがんでいる、顔の形が不自然、顔がはっきりしない、不規則、眼鏡や宝石などのアクセサリーが不自然、影が正確でない、電子透かしがある、音声通話のタイムラグがある、音声が一致しない、動きが不自然など、画像や動画の微妙な欠陥に注意する。
・Listen closely to the tone and word choice to distinguish between a legitimate phone call or voice message from a known contact and AI-generated voice cloning, as they can sound nearly identical. ・既知の連絡先からの正当な電話やボイス・メッセージと、AIが生成的 に作成したボイス・メッセージは、ほぼ同じに聞こえることがあるため、口調や言葉の選 択をよく聞いて区別すること。
・AI-generated content has advanced to the point that it is often difficult to identify. When in doubt about the authenticity of someone wishing to communicate with you, contact your relevant security officials or the FBI for help. ・AIが生成したコンテンツは、識別が困難なほど進化している。真偽が疑わしい場合は、セキュリティ当局やFBIに相談すること。
How to Protect Yourself from Potential Fraud or Loss of Sensitive Information 詐欺の可能性や機密情報の紛失から身を守るには
・Never share sensitive information or an associate’s contact information with people you have met only online or over the phone. If contacted by someone you know well via a new platform or phone number, verify the new contact information through a previously confirmed platform or trusted source. ・オンラインや電話でしか面識のない人に、機密情報や取引先の連絡先を教えない。新しいプラットフォームや電話番号を通じて、よく知っている人から連絡があった場合は、以前に確認したプラットフォームや信頼できる情報源を通じて、新しい連絡先情報を確認すること。
・Do not send money, gift cards, cryptocurrency, or other assets to people you do not know or have met only online or over the phone. If someone you know (or an associate of someone you know) requests that you send money or cryptocurrency, independently confirm contact information prior to taking action. Also, critically evaluate the context and plausibility of the request. ・金銭、ギフトカード、暗号通貨、その他の資産を、面識のない相手やオンラインや電話のみで知り合った相手に送らないこと。知人(または知人の関係者)から送金や暗号通貨を要求された場合、行動を起こす前に連絡先を独自に確認すること。また、依頼の背景や信憑性を批判的に評価すること。
・Do not click on any links in an email or text message until you independently confirm the sender's identity. ・メールやテキストメッセージのリンクは、送信者の身元を確認するまでクリックしないこと。
・Be careful what you download. Never open an email attachment, click on links in messages, or download applications at the request of or from someone you have not verified. ・ダウンロードには注意する。本人確認をしていない相手からの依頼で、メールの添付ファイルを開いたり、メッセージ内のリンクをクリックしたり、アプリケーションをダウンロードしたりしない。
・Set up two-factor (or multi-factor) authentication on any account that allows it, and never disable it. Actors may use social engineering techniques to convince you to disclose a two-factor authentication code, which allows the actor to compromise and take over accounts. Never provide a two-factor code to anyone over email, SMS/MMS text message or encrypted messaging application. ・二要素(または多要素)認証を許可しているアカウントでは、二要素(または多要素)認証を設定し、決して無効にしないこと。ソーシャル・エンジニアリングのテクニックを使って2ファクタ認証コードを開示させ、アカウントを乗っ取る。電子メール、SMS/MMSテキストメッセージ、または暗号化されたメッセージングアプリケーションを介して、2ファクタコードを誰にも提供しないこと。
・Create a secret word or phrase with your family members to verify their identities ・家族間で秘密の単語やフレーズを作り、本人確認を行う。
Victim Reporting and Additional Information 被害者の報告と追加情報
・For additional information, see FBI's guidance on Spoofing and Phishing as well as a previous Public Service Announcement about how "Criminals Use Generative Artificial Intelligence to Facilitate Financial Fraud." Cybersecurity and Infrastructure Security Agency (CISA) has published the following resources "Phishing Guidance: Stopping the Attack Cycle at Phase One | CISA" and "Teach Employees to Avoid Phishing | CISA." ・その他の情報については、なりすましとフィッシングに関するFBIのガイダンス、および「犯罪者が生成的人工知能を使用して金融詐欺を助長する」方法に関する以前の公共サービス広告を参照のこと。サイバーセキュリティ・インフラ・セキュリティ庁(CISA)は以下の資料を公表している: 攻撃サイクルを第一段階で止める|CISA「 および 」従業員にフィッシング回避を教える|CISA" を公表している。
If you believe you have been the victim of the campaign described above, contact your relevant security officials and the FBI. The FBI requests victims report any incident to your local FBI Field Office or the Internet Crime Complaint Center (IC3) at www.ic3.gov. Be sure to include as much detailed information as possible. 上記のキャンペーンの被害に遭ったと思われる場合は、関係するセキュリティ担当者及びFBIに連絡すること。FBIは、被害者がインシデントを受けた場合、最寄りのFBI支局またはインターネット犯罪苦情センター(IC3)(www.ic3.gov)に報告するよう要請している。可能な限り詳細な情報を記載すること。

 

 

 


 

参考...

 

内閣府

内閣府を騙った電子メールやサイトにご注意ください

金融庁

当庁を騙った電子メールや動画にご注意ください

デジタル庁

デジタル庁職員を名乗る不審電話にご注意ください

● 総務省

総務省職員を名乗る不審電話にご注意ください

外務省

外務省職員を発信元と詐称する不審メールにご注意ください

● 出入国在留管理庁

入管を名乗る不審な電話、メール等にご注意ください

財務省

財務省の名をかたる詐欺などにご注意!

● 国税庁

不審なメールや電話にご注意ください

厚生労働省

厚生労働省職員や機関を装った不審な電話・メールにご注意ください。

警察庁

警察官等をかたる詐欺

 

 

フィッシング対策については、警察庁

警察庁

フィッシング対策



 

| | Comments (0)

2025.06.04

オーストラリア CISC 戦略的意思決定プロセス: 危機管理の手引き(2025年)を公表 (2025.06.02)

こんにちは、丸山満彦です。

オーストラリアのサイバー・インフラセキュリティセンター (CISC) が「戦略的意思決定プロセス: 危機管理の手引き(2025年)」を公表していますね。。。

CICSは、重要インフラの所有者や運営者がリスクを理解し、規制要件を満たせるように支援する内務省に属する組織です、要は規制機関です(^^)...で、Critical5のメンバーでカナダ、ニュージラインド、英国、米国と協力していますね...

 

● Australian Government - Department of Home Affairs - Cyber Infrastracture Security Centre

・2025.06.02 The Strategic Decision Making Process: A Guide for Crisis Management (2025) has been released!

 

The Strategic Decision Making Process: A Guide for Crisis Management (2025) has been released! 「戦略的意思決定プロセス: 危機管理の手引き(2025年)」を公表!
The updated Strategic Decision Making Process: A Guide for Crisis Management (2025) is now available. 更新された「戦略的意思決定プロセス」: 危機管理のためのガイド(2025)」が公表された。
This guide gives Australian critical infrastructure owners and operators a clear and structured way to make decisions during a crisis. It outlines seven key elements that support better decision making in high pressure situations. このガイドは、オーストラリアの重要インフラ所有者および運営者に、危機発生時に意思決定を行うための明確かつ構造的な方法を提供する。高圧的な状況下でのより良い意思決定を支援する7つの重要な要素の概要を示している。
These elements are based on a combination of critical thinking, creative thinking and futures thinking. Together, they help organisations stay resilient during a crisis and plan stronger responses for the future. Each element is explained in simple terms, with practical examples to show how you can use them in your organisation. これらの要素は、批判的思考、創造的思考、未来思考の組み合わせに基づいている。これらの要素を組み合わせることで、組織が危機の中でもレジリエンスを保ち、将来に向けてより強力な対応策を計画することができる。各要素は、あなたの組織でどのように活用できるかを、実践的な例とともにわかりやすく説明している。
This guide works alongside the updated Organisational Resilience Good Practice Guide (2024) (3MB PDF). Both were developed in partnership with the University of Tasmania and are both part of government initiatives developed with the Resilience Expert Advisory Group (REAG). 本書は、『組織レジリエンス・グッド・プラクティス・ガイド(2024年版)』(3MB PDF)の改訂版と連動している。どちらもタスマニア大学と共同で開発されたもので、レジリエンス専門家諮問グループ(REAG)と共に開発された政府のイニシアチブの一部である。
A TISN Cross Sector Briefing will be held soon to discuss the new guide. We will share details once confirmed. この新しいガイドについて、TISNクロスセクター・ブリーフィングが近々開催される予定である。詳細が決まり次第お知らせする。
In the meantime, we encourage you to read the Strategic Decision Making Process: A Guide to Crisis Management (2025) (2MB PDF) and use it to strengthen your organisation’s approach to crisis management. その間に、ぜひ「戦略的意思決定プロセス」をお読みいただきたい: 危機管理の手引き(2025年版)」(2MB PDF)をお読みいただき、危機管理に対する組織のアプローチを強化するためにご活用いただきたい。
Stay informed by following the Cyber and Infrastructure Security Group on LinkedIn and Instagram. LinkedInと Instagramでサイバー・インフラ・セキュリティ・グループをフォローし、常に最新情報を入手してください。

 

・[PDF]

20250604-52020

・[DOCX][PDF] 仮訳

 

目次...

Contents  目次 
Foreword まえがき
Introduction 序論
Background 背景
How This Guide is Structured このガイドの構成
Create A Psychologically Safe Decision Making Environment 心理的に安全な意思決定環境を作る
Identify Problems 問題を識別する
Identify Solutions ソリューションを識別する
Envisage Possible Futures 可能な未来を想像する
Manage Cognitive Biases 認知バイアスを管理する
Record Decisions 記録の決定
Manage Expectations 期待を管理する
Additional Information 追加情報
Safe-to-Trust Checklist 安全から信頼へのチェックリスト
STEEPLE Framework STEEPLE枠組み
SCAMPER Technique SCAMPERテクニック
Cognitive Bias Aide Memoire 認知バイアス補助メモ
References 参考文献
About Us 組織概要

 

 


 

CICSはこんな感じ...

Overview of how the 11 industry sectors work in collaboration with industry partners and expert advisors, state and territory government partners, Australian Government partners and regulators and the Cyber and Infrastructure Security Centre.

 

 

| | Comments (0)

2025.06.03

公正取引委員会 ダークパターンを巡る競争政策及び独占禁止法上の論点 (2025.05.29)

こんにちは、丸山満彦です。

公正取引委員会の競争政策研究センターから、「ダークパターンを巡る競争政策及び独占禁止法上の論点」というペーパーが公表されています。

このペーパーは、


ウェブサイトやアプリの表示等により消費者等を意図しない選択に誘導する「ダークパターン」の具体的な方法及び国内外における規制等の状況を概観しつつ、ダークパターンに関する競争政策上の懸念点(セオリーオブハーム)や、ダークパターンとされる各種行為に対し、現行の独占禁止法で禁止されている各行為類型の適用が可能な範囲について整理を行う。


というもののようですね。。。

UI, UXもこういうのを考慮した上でという話ですよね...

 

ダークパターンの類型

[図表1-2]国際機関及び海外当局のレポート等におけるダークパターンの類型化

OECD
●7類型

1.
行為の強制(Forced Action
2.
インターフェース干渉(Interface Interference
3.
執ような繰り返 し(Nagging
4.
妨害(Obstruction
5.
こっそり(Sneaking
6.
社会的証明(Social Proof
7.
緊急性(Urgency

米国FTC
●8類型

1.
推薦 (別名「社会的証明」)Endorsements (aka “Social Proof”)
2.
希少性(Scarcity
3.
緊急性(Urgency
4.
妨害(Obstruction
5.
忍び寄り・情報隠 蔽(Sneaking or Information Hiding
6.
インターフェース干渉(Interface Interference
7.
強制された行為 (Coerced Action
8.
非対照的選択(Asymmetric Choice

欧州委員会(EC)
●「行動科学的分類」 として6類型

1-a
特性を複雑化し 予算制約に影響を及ぼす行為
1-b
特性を複雑化し 選好を形成する行為
2-a
コストを複雑化 し予算制約に影響を及ぼす行為
2-b
コストを複雑化 し選好を形成する行為
3-a
選択を複雑化し予算制約に影響を及ぼす行為
3-b
選択を複雑化し 選好を形成する行為

EDPB
●6類型

1.
過剰負荷(Overloading
2.
省略(Skipping
3.
煽り(Stirring
4.
妨害(Obstructing
5.
気まぐれ(Fickle
6.
暗闇に残される (Left in the dark

英国ICO・CMA
※類型化せず、潜在的に有害なオンライン選択アーキテ クチャとして次の5例を挙げる。

1.
有害なナッジとスラッジ(Harmful nudges and sludge
2.
羞恥心の植付け (Confirm shaming
3.
偏った枠組み(Biased framing
4.
一括同意(Bundled consent
5.
デフォルトの設定(Default settings

 

・[PDF]

20250603-55251

 

目次...

はじめに

第1 ダークパターンについて
1 ダークパターンとは
(1)
ダークパターンの定義
(2)
ユーザーを欺くなどの不公正な方法を使って」について
(3)
ユーザーが意図しない不利益な選択をさせる」について
(4)
オンライン上のインターフェース」について
(5)
小括
2 ダークパターンの類型・手法
(1)
ダークパターンの類型
(2)
ダークパターンの具体的な手法
3 ダークパターン出現について
(1)
小売業において用いられている欺瞞的な慣行
(2)
ナッジの概念の普及
(3)
グロースハックの普及
(4)
その他
4 ダークパターンの使用状況等
(1)
海外の機関等による調査
(2)
日本における調査
5 ダークパターンの効果
(1) EC
2022
(2)
シカゴ大学のStrahilevitzほか(2021
(3) OECD
2024

第2 国内におけるダークパターンを巡る動向
1 主な関係法令

2 消費者保護に関する規制
(1)
特定商取引法
(2)
景品表示法
(3)
消費者安全法
3 個人情報保護に関する規制
(1)
個人情報の適正な取得及び利用並びに個人情報の利用目的の特定
(2)
本人の同意
4 事業分野別の規制
(1)
電気通信事業法26条(提供条件の説明)
(2)
電気通信事業法施行規則22条の2の3(提供条件の説明)
(3)
電気通信事業法の消費者保護ルールに関するガイドライン
(4)
消費者保護ルールの在り方に関する検討会報告書2024
(5)
スマートフォン プライバシー イニシアティブ
5 民間における取組
(1)
ダークパターン対策協会
(2)
個社による取組例
6 小括

第3 米国、欧州及び韓国におけるダークパターン規制を巡る主な動向について
1 米国

(1)
関係法令等
(2)
最近の関連事件
2 欧州
(1)
一般データ保護規則等
(2)
デジタルサービス法
(3)
不公正取引行為指令
3 韓国
(1)
ダークパターン規制に係るこれまでの動き
(2)
電子商取引法の改正
4 米国、欧州及び韓国における規制アプローチの比較

第4 ダークパターンを巡る競争政策及び独占禁止法上の論点
1 ダークパターンと競争政策

(1)
代表的なダークパターンの手法
(2)
ダークパターンに関する競争政策上の懸念
(3)
ダークパターンに関する競争政策上の論点
2 ダークパターンに適用し得ると考えられる、独占禁止法で禁止されている行為類型
(1)
独占禁止法で禁止されている行為類型
(2)
行為の強制
(3)
インターフェース干渉
(4)
執ような繰り返し
(5)
妨害
(6)
こっそり
(7)
社会的証明
(8)
緊急性
(9)
まとめ

おわりに

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.02.19 英国 情報コミッショナー事務局 (ICO) がゲーム開発者向けに、子どもの保護に関する業界向けのガイダンスを発行

・2021.03.11 欧州消費者団体 「EU消費者保護2.0-デジタル消費者市場における構造的非対称性」を公表していますね。。。

 

 

| | Comments (0)

米国 CISA他 OTへのサイバー脅威を軽減するための主な緩和策(2025.05.06)

こんにちは、丸山満彦です。

1ヶ月ほど前になるのですが、サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、環境保護庁(EPA)、エネルギー省(DOE)が、OT、ICSへのサイバー脅威を軽減するよう、啓発していますね...

 

CISA

・2025.05.06 Primary Mitigations to Reduce Cyber Threats to Operational Technology

 

Primary Mitigations to Reduce Cyber Threats to Operational Technology OTへのサイバー脅威を軽減するための主な緩和策
Overview 概要
The Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), Environmental Protection Agency (EPA), and Department of Energy (DOE)—hereafter referred to as “the authoring organizations”—are aware of cyber incidents affecting the operational technology (OT) and industrial control systems (ICS) of critical infrastructure entities in the United States. The authoring organizations urge critical infrastructure entities to review and act now to improve their cybersecurity posture against cyber threat activities specifically and intentionally targeting internet connected OT and ICS. サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、環境保護庁(EPA)、エネルギー省(DOE)-以下「作成機関」-は、米国の重要インフラ事業体の運用技術(OT)および産業制御システム(ICS)に影響を及ぼすサイバーインシデントを認識している。認可機関は、重要インフラ事業体に対し、インターネットに接続された OT および ICS を特に意図的に標的とするサイバー脅威活動に対するサイバーセキュリティ態勢を改善するために、今すぐ検討し、行動するよう促す。
Mitigations 緩和策
The authoring organizations recommend critical infrastructure asset owners and operators implement the following mitigations[1] to defend against OT cyber threats. 認可機関は、重要インフラ資産の所有者および運用者に対して、OT のサイバー脅威を防御するために以下の緩和策[1]を実施することを推奨する。
Remove OT connections to the public internet. OT devices are easy targets when connected to the internet. OT devices lack authentication and authorization methods that are resistant to modern threats and are quickly found by searching for open ports on public IP ranges with search engine tools to target victims with OT components [CPG 2.X]. 公共インターネットへの OT 接続を削除する。OT デバイスがインターネットに接続されていると、標的になりやすい。OT デバイスは、最新の脅威に耐性のある認証と認可の方法を欠いており、OT コンポーネントを持つ被害者を標的にするために、検索エンジンツールで公開 IP 範囲のオープンポートを検索することですぐに見つかる[CPG 2.X]。
Cyber threat actors use simple, repeatable, and scalable toolsets available to anyone with an internet browser. Critical infrastructure entities should identify their public-facing assets and remove unintentional exposure. サイバー脅威アクターは、インターネットブラウザがあれば誰でも利用できる、シンプルで反復可能かつ拡張性のあるツールセットを使用している。重要インフラ事業体は、公衆向けの資産を識別し、意図しないエクスポージャーを取り除くべきである。
Change default passwords immediately and use strong, unique passwords. Recent analysis of this cyber activity indicates that targeted systems use default or easily guessable (using open source tools) passwords. Changing default passwords is especially important for public-facing internet devices that have the capability to control OT systems or processes [CPG 2.A][CPG 2.B][CPG 2.C]. デフォルトのパスワードを直ちに変更し、強力でユニークなパスワードを使用すること。このサイバー活動の最近の分析によると、標的とされたシステムは、デフォルトのパスワードまたは(オープンソースツールを使用して)容易に推測可能なパスワードを使用している。デフォルトパスワードの変更は、OT システムまたはプロセスを制御する機能を持つ、公衆に面したインターネッ ト機器にとって特に重要である [CPG 2.A][CPG 2.B][CPG 2.C]。
Secure remote access to OT networks. Many critical infrastructure entities, or contractors working on their behalf, make risk-based tradeoffs when implementing remote access to OT assets. These tradeoffs deserve careful reevaluation. If remote access is essential, upgrade to a private IP network connection to remove these OT assets from the public internet and use virtual private network (VPN) functionality with a strong password and phishing-resistant multifactor authentication (MFA) for user remote access. OT ネットワークへの安全なリモートアクセス。多くの重要インフラ事業体、またはそのために働く請負業者は、OT 資産へのリモート・アクセス を実施する際、リスクに基づくトレードオフを行っている。これらのトレードオフは、慎重な再評価に値する。リモート・アクセスが不可欠な場合は、プライベート IP ネットワーク接続にアップグレードして、これらの OT 資産を公共のインターネットから取り除き、ユーザーのリモート・アクセスには、強力なパスワードとフィッシングに強い多要素認証(MFA)を備えた仮想プライベート・ネットワーク(VPN)機能を使用する。
Document and configure remote access solutions to apply principles of least privilege for the specific asset and user role or scope of work [CPG 2.H]. Further, disable dormant accounts. 特定の資産及びユーザの役割又は業務範囲に対して最小特権の原則を適用するために、リモート・アクセス・ソリューションを文書化し、構成する [CPG 2.H]。さらに、休眠アカウントを無効にする。
Segment IT and OT networks. Segmenting critical systems and introducing a demilitarized zone for passing control data to enterprise logistics reduces the potential impact of cyber threats and reduces the risk of disruptions to essential OT operations [CPG 2.F]. IT ネットワークと OT ネットワークをセグメント化する。重要なシステムをセグメント化し、エンタープライズ・ロジスティクスに制御データを渡すための非武装地帯を導入することで、サイバー脅威の潜在的な影響を低減し、必要不可欠な OT オペレーションが中断するリスクを低減する [CPG 2.F]。
Practice and maintain the ability to operate OT systems manually. The capability for organizations to revert to manual controls to quickly restore operations is vital in the immediate aftermath of an incident. Business continuity and disaster recovery plans, fail-safe mechanisms, islanding capabilities, software backups, and standby systems should all be routinely tested to ensure safe manual operations in the event of an incident. OT システムを手動で操作する能力を実践し、維持する。インシデントが発生した直後には、組織が手動制御に戻してオペレーションを迅速に復旧させる能力が不可欠である。事業継続および災害復旧計画、フェイルセーフメカニズム、アイランド化機能、ソフトウェアバックアップ、スタンバイシステムはすべて、インシデント発生時に安全な手動操作を確保するために、日常的にテストされるべきである。
The authoring organizations recommend that critical infrastructure organizations regularly communicate with their third-party managed service providers, system integrators, and system manufacturers who may be able to provide system-specific configuration guidance as they work to secure their OT. 認可組織は、重要インフラ組織がOTの安全確保に取り組む際に、システム固有の構成ガイダンスを提供できる可能性のあるサードパーティのマネージドサービス・プロバイダ、システムインテグレータ、およびシステム製造事業者と定期的にコミュニケーションをとることを推奨する。
Misconfigurations may be introduced during standard operations, by the system integrator, by a managed service provider, or as part of the default product configuration by the system manufacturer. Working with the relevant groups to address these issues may prevent future unintentional vulnerabilities from being introduced. 誤った構成は、標準運用中、システムインテグレータ、マネージドサービス・プロバイダー、またはシス テム製造事業者によるデフォルト製品構成の一部として導入される可能性がある。関連グループと協力してこれらの問題に対処することで、将来、意図しない脆弱性が持ち込まれるのを防ぐことができる。
Resources リソース
CISA recommends critical infrastructure organizations review and implement, if possible, the following resources to enhance their security posture. CISAは、重要インフラストラクチャー組織がセキュリティ態勢を強化するために、以下のリソースを検討し、可能であれば実施することを推奨する。
1. For an overview of tools to help identify public-facing devices on the internet and ways to reduce your internet attack surface, see CISA’s Stuff off Search web page. 1. インターネット上の公衆向けデバイスを識別するのに役立つツールの概要と、インターネット上の攻撃対象領域を減らす方法については、CISAの「Stuff off Search」ウェブ・ページを参照すること。
2. For more information on using strong passwords, see CISA’s Use Strong Passwords web page. 2. 強力なパスワードの使用に関する詳細については、CISAの「強力なパスワードを使用する」のWebページを参照のこと。
3. For more information on phishing-resistant MFA, see CISA’s Implementing Phishing-Resistant MFA fact sheet . 3. フィッシングに強いMFAの詳細については、CISAの「フィッシングに強いMFAの実装」ファクト・シートを参照のこと。
4. For more information on network segmentation, see CISA’s Layering Network Security Through Segmentation fact sheet. 4. ネットワーク・セグメンテーションの詳細については、CISAのファクト・シート「セグメンテーションによるネットワーク・セキュリティの強化」を参照のこと。
5. For more information on procuring Secure by Design OT components, see CISA’s Priority Considerations for Operational Technology Owners and Operators when Selecting Digital Products. 5. セキュア・バイ・デザインのOTコンポーネントの調達に関する詳細については、CISAの「デジタル製品を選択する際に、運用技術の所有者と運営者が優先的に考慮すべきこと」を参照。
6. For more information on top cyber actions to secure water systems and accompanying resources, see Top Cyber Actions for Securing Water Systems. 6. 水道システムの安全性を確保するためのトップ・サイバー・アクションとそれに付随するリソースの詳細については、「水道システムの安全性を確保するためのトップ・サイバー・アクション」を参照のこと。
7. For more information on addressing network segmentation for water systems, please see EPA Guidance on Improving Cybersecurity at Drinking Water and Wastewater Systems, Factsheet 2.F. 7. 水道システムのネットワークセグメンテーションへの対応に関する詳細については、EPA 飲料水・廃水システムにおけるサイバーセキュリティ改善のためのガイダンス、ファクトシート2.F. を参照のこと。
8. For more comprehensive security controls to address advanced threat actors who pivot through enterprise networks to reach OT, see Identifying and Mitigating Living Off the Land Techniques. 8. エンタープライズ・ネットワークを迂回して OT に到達する高度脅威アクターに対処するためのより包括的なセキュ リティ対策については、「現地調達手法の特定と緩和」を参照のこと。

 

・[PDF

20250601-73108

 

リンク先...

CISA

Stuff Off Search

Use Strong Passwords

・2022.10 [PDF] Implementing Phishing-Resistant MFA

・2022.01 [PDF] LAYERING NETWORK SECURITY THROUGH SEGMENTATIO

・2025.01.13 [PDF] Secure by Demand: Priority Considerations for Operational Technology Owners and Operators when Selecting Digital Products

・2024.02.23 [PDF] Top Cyber Actions for Securing Water Systems

EPA

・[PDF] Protect: Network Segmentation 2.F.

・2024.02.07 [PDF] JOINT GUIDANCE: Identifying and Mitigating Living Off the Land Techniques

 

 

 

| | Comments (0)

2025.06.02

内閣府 規制改革推進に関する答申 (2025.05.28)

こんにちは、丸山満彦です。

内閣府の規制改革推進会議が令和2年から毎年公表している「規制改革推進に関する答申」が公表されています...

諸般の事情で理解しておく必要があるわけですが、やはり将来の日本のあるべき像というのが、ぼんやりしているように思います。

そのぼんやりした将来像に対して、規制改革という話をしても、規制に関わっている人たちの不満解決のための議論のように見えてしまうように感じます。

計画経済の国ではないのですが、やはり日本国としてのあるべき将来というものを世界の中で見据えて、はっきりと示し、国民のある程度の同意をとってから進めないと、それぞれの個別分野で規制改革といってもなんかぼんやりするような気もしますね...

日本が抱えている課題というのはだいたいの合意がとれているように感じますので、その課題を踏まえた、これから10年後、20年後、30年後の希望する日本の姿について国民のおおまかな合意が必要なのではないかと感じています...

 

 

内閣府 - 規制改革推進に関する答申等

・2025.05.28 [PDF] 概要資料

20250602-92228

 

・2025.05.28 [PDF] 規制改革推進に関する答申

20250602-92337

目次...

Ⅰ 総論
1.はじめに
2.基本的な考え方
3.審議経過等

(1) 審議経過
(2) 規制改革実施計画のフォローアップ
(3) 規制改革・行政改革ホットラインにおける提案受付
4.本答申の実現に向けて
5.次のステップへ

Ⅱ 各個別分野における規制改革
Ⅰ.地方創生
1-1 地域活性化・人手不足対応(土地・農業関係)
ア 膨大な所有者不明土地等の有効活用(農地集約、工場建設等)
イ ロボット農機の公道走行制度化(圃場間移動等を通じた地域での活用)

1-2 地域活性化・人手不足対応(交通関係)
ウ 全国の移動の足不足の解消に向けたライドシェア(自家用車活用事業等)の推進
エ 自家用有償旅客運送制度の改善
オ 乗合タクシー等の参入円滑化
カ ICTを活用した運行管理業務の集約・高度化等による運行管理者不足等を踏まえた効率的な安全管理の実現
キ レベル4の自動運転タクシー等の実装加速

2 健康・医療・介護
ク 地域におけるオンライン診療の更なる普及及び円滑化
ケ 地域の病院機能の維持に資する医師の宿直体制の見直し
コ 在宅医療における円滑な薬物治療の提供
サ 救急救命処置の範囲の拡大
シ 利用者起点に立った一般用医薬品の適正な販売区分及び販売方法
ス 濫用等のおそれのある一般用医薬品の販売規制等の適正化
セ 要指導医薬品の販売区分、販売方法及び服薬指導方法の見直し
ソ 一般用検査薬への転用の促進
タ 認可保育所における付加的サービスの円滑化

3 デジタル・AI
チ 公金収納を行うコンビニエンスストア等における紙の領収控の保管廃止

Ⅱ.賃金向上、人手不足対応
1 健康・医療・介護
ア 地域の実情に応じた介護サービス提供体制等の見直し
イ 障害福祉分野における申請・届出等に関する手続負担の軽減

2 働き方・人への投資
ウ スタートアップの柔軟な働き方の推進
エ 副業・兼業の更なる円滑化に向けた環境整備
オ 時間単位の年次有給休暇制度の見直し
カ 職業紹介責任者の専任規制の見直し
キ 有料職業紹介事業における取扱職種等事項の明示に関する事務負担軽減
ク 職業紹介事業及び労働者派遣事業の事業報告に係る事務負担の軽減等
ケ 行政手続事務負担軽減及び生産性向上に資する外国人雇用状況の一括届出
コ 1号特定技能外国人とのオンラインによる面談の活用
サ 在留資格「特定技能」における在籍型出向の実現
シ 高卒就職者に対する求人情報の直接提供・公開時期の前倒し等
ス 外国語指導に従事する外国人材の更なる活躍促進
セ 実践的なデジタル人材育成を実現するための教育課程等に係る特例制度の審査基準の明確化

3
スタートアップ・イノベーション促進
ソ 組織再編等における公告事項への法人番号の追加
タ 水道スマートメーターの導入促進

4
デジタル・AI
チ デジタル・AI技術を活用した建設機械の安全義務及び技能要件の在り方について
ツ 不動産売買仲介におけるデジタル・AI活用促進
テ 建設工事請負契約における契約手続の簡素化及びデジタル化
ト 建設業における営業所技術者等の兼務について
ナ 地球温暖化対策報告の項目等に係る統一
ニ 自動車保有関係手続のDX
ヌ 超高齢社会に対応した親族間での信託の活用、法定後見制度等の円滑化
(ア)超高齢社会に対応した親族間での信託の活用による柔軟な財産管理の推進
(イ)法定後見制度の課題と見直し
ネ 戸籍電子証明書提供用識別符号の利用促進

Ⅲ.投資大国
1 健康・医療・介護

ア 公的データベース等における医療等データの利活用法制等の整備
イ 医療等データの包括的かつ横断的な利活用法制等の整備
ウ 治験に係る広告規制の見直し

2 スタートアップ・イノベーション促進
エ スタートアップの成長促進に向けたのれんの会計処理の在り方の検討
オ スタートアップへの資金供給手段の拡大
カ スタートアップを生み育てるエコシステムの健全な発展に向けたハラスメント防止及び救済のための環境整備
キ 株式対価M&Aの活性化に向けた会社法の見直し
ク 非上場株式の発行・流通の活性化
ケ バーチャルオンリー株主総会の活用に向けた環境整備
コ バーチャルオンリー社債権者集会の実現
サ 持続的な成長及び中長期的な企業価値向上に向けた株式会社と株主との建設的かつ実効的な対話の促進
シ 従業員等に対する株式報酬の無償交付を可能とする会社法の見直し
ス 賃金のデジタル払いの社会実装促進によるキャッシュレス決済の拡大
セ 無人航空機(ドローン)の更なる活用・普及に向けた環境整備
ソ 特定小型原動機付自転車(電動キックボード等)の安全性確保

3 GX・サステナビリティ
タ 水素社会の実現に向けた規制改革
(ア)大容量の水素ガス運搬トレーラの国内導入
(イ)可搬式水素ガス容器への圧縮水素の充填に係るルール整備
(ウ)造船所岸壁等に設置される船舶用水素スタンドに関する技術基準の策定
(エ)艀(はしけ)における船舶用水素スタンドに関する技術基準の策定
(オ)船舶の燃料用水素ガス容器に関する技術基準の策定
(カ)船舶の燃料用水素ガス容器の検査
(キ)水素を燃料とする可搬式発電機等に係る保安体制等の合理化
チ FIT・FIP制度によらない太陽光発電設備の導入量の正確な捕捉
ツ FIT制度からFIP制度に移行した太陽光発電設備の事後的な蓄電池併設時の価格算定ルールの見直し
テ 新築戸建住宅への太陽光発電設備設置の普及促進
ト 駐車場等の上部空間を活用した太陽光発電設備の建築基準法上の取扱いの明確化
ナ 洋上風力発電における物価高騰等に対する価格調整スキームの導入
ニ ニ 地熱開発に伴う試掘調査に当たっての保安林関連手続の明確化・簡素化等
ヌ 公共部門の再生可能エネルギー導入目標達成に向けた進捗点検
ネ 金属ケーブル窃盗の防止に係る立法措置
ノ 排出量取引制度の実効性向上のための法制度整備
ハ 市場の価格メカニズムの更なる活用による需給調整の高度化
ヒ バーチャルPPAの会計上の取扱いの明確化
フ 電力先物取引による電力ヘッジの会計処理
ヘ 再生可能エネルギーの立地地域等を踏まえた電力需要家の立地誘導
ホ 送配電用施設の設置等に係る農地転用の取扱いの明確化
マ 建築物の省エネルギー化に資する自然排煙口の不燃化要件の合理化
ミ 循環経済への移行に向けた食品残さ等のリサイクル促進
ム バイオ化学品製造に係る糖価調整制度

4 デジタル・AI
メ 政府が調達するクラウドサービスにおけるスタートアップ等の参入促進(セキュリティ評価制度(ISMAP)等の見直し)
モ AIの開発・提供・利用の促進に伴う法的リスク及び関係者の責任の在り方等について
ヤ 地方公共団体の調達関連手続のデジタル化

Ⅳ.防災・減災
1 地域活性化・人手不足対応

ア 未登記建物の解消(がれき撤去等の迅速化)
イ 迅速な復旧に向けた損壊家屋等の公費解体・撤去の促進
ウ 膨大な所有者不明土地等の有効活用(農地集約、工場建設等)(再掲)

2 健康・医療・介護
エ 地域におけるオンライン診療の更なる普及及び円滑化(再掲)
オ 救急救命処置の範囲の拡大(再掲)

3 スタートアップ・イノベーション促進
カ 災害時等におけるキッチンカーによる迅速なサービスの提供
キ 無人航空機(ドローン)の更なる活用・普及に向けた環境整備(再掲)
ク 水道スマートメーターの導入促進(再掲)

(参考資料1)規制改革推進会議 委員名簿(令和7年4月1日時点)
(参考資料2)規制改革推進会議 専門委員名簿(令和7年5月12日時点)
(参考資料3)ワーキング・グループ(WG)の構成員(令和7年1月31日時点)
(参考資料4)規制改革推進会議及びワーキング・グループの審議経過



 

 

| | Comments (0)

米国、ドイツ、フランス、英国他西側国 ロシアGRUが西側の物流事業体やテクノロジー企業を狙っていると警告 (2025.05.21)

こんにちは、丸山満彦です。

米国、ドイツ、フランス、英国他西側国が、ロシアGRU(ロシア連邦軍参謀本部情報総局 [wikipedia])が西側の物流事業体やテクノロジー企業を狙っていると警告を出していますね...

共同で警告をだしている国で言えば、

  • 米国
  • 英国
  • ドイツ
  • チェコ
  • ポーランド
  • オーストラリア
  • カナダ
  • デンマーク
  • エストニア
  • フランス
  • オランダ

です。日本、韓国等のアジア諸国ははいっていませんね...

 

● CISA

・2025.05.21 Russian GRU Targeting Western Logistics Entities and Technology Companies

Alert Code AA25-141

Russian GRU Targeting Western Logistics Entities and Technology Companies ロシアGRU、西側の物流事業体やテクノロジー企業を狙う
Executive Summary エグゼクティブサマリー
This joint cybersecurity advisory (CSA) highlights a Russian state-sponsored cyber campaign targeting Western logistics entities and technology companies. This includes those involved in the coordination, transport, and delivery of foreign assistance to Ukraine. Since 2022, Western logistics entities and IT companies have faced an elevated risk of targeting by the Russian General Staff Main Intelligence Directorate (GRU) 85th Main Special Service Center (85th GTsSS), military unit 26165—tracked in the cybersecurity community under several names (see “Cybersecurity Industry Tracking”). The actors’ cyber espionage-oriented campaign, targeting technology companies and logistics entities, uses a mix of previously disclosed tactics, techniques, and procedures (TTPs). The authoring agencies expect similar targeting and TTP use to continue. 本共同サイバーセキュリティ勧告(CSA)は、西側のロジスティクス事業体およびテクノロジー企業を標的としたロシア国家主催のサイバーキャンペーンに焦点を当てている。これには、ウクライナへの対外援助の調整、輸送、配送に関わるものも含まれる。2022年以降、西側の物流事業体やIT企業は、ロシア参謀本部情報総局(GRU)第85本部特殊サービスセンター(85th GTsSS)、軍事ユニット26165(サイバーセキュリティ・コミュニティでは複数の名称で追跡されている)による標的化のリスクの高まりに直面している(「サイバーセキュリティ業界の追跡」参照)。テクノロジー企業やロジスティクス事業体を標的にしたこの行為者のサイバースパイ指向のキャンペーンでは、これまでに公開された戦術、技術、手順(TTP)が混在して使用されている。作成機関は、同様の標的設定とTTPの使用が今後も続くと予想している。
Executives and network defenders at logistics entities and technology companies should recognize the elevated threat of unit 26165 targeting, increase monitoring and threat hunting for known TTPs and indicators of compromise (IOCs), and posture network defenses with a presumption of targeting. 物流事業体やテクノロジー企業の経営幹部やネットワーク防御者は、26165部隊の標的化の脅威が高まっていることを認識し、既知のTTPや侵害の指標(IOC)の監視と脅威の探索を強化し、標的化を想定したネットワーク防御態勢を整えるべきである。
This cyber espionage-oriented campaign targeting logistics entities and technology companies uses a mix of previously disclosed TTPs and is likely connected to these actors’ wide scale targeting of IP cameras in Ukraine and bordering NATO nations. 物流事業体やテクノロジー企業を標的としたこのサイバースパイ指向のキャンペーンは、これまでに公開された TTP を組み合わせて使用しており、これらの行為者がウクライナや国境を接する NATO 諸国の IP カメラを大規模に標的としていることと関連している可能性が高い。
The following authors and co-sealers are releasing this CSA: 本 CSA の認可者および共同シールは以下の通りである:
United States National Security Agency (NSA) 米国国家安全保障局(NSA)
United States Federal Bureau of Investigation (FBI) 米国連邦捜査局(FBI)
United Kingdom National Cyber Security Centre (NCSC-UK) 英国国家サイバー・セキュリティ・センター(NCSC-UK)
Germany Federal Intelligence Service (BND) Bundesnachrichtendienst ドイツ連邦情報局(BND)
Germany Federal Office for Information Security (BSI) Bundesamt für Sicherheit in der Informationstechnik ドイツ連邦情報セキュリティ局(BSI) 
Germany Federal Office for the Protection of the Constitution (BfV) Bundesamt für Verfassungsschutz ドイツ連邦憲法保護局(BfV) 
Czech Republic Military Intelligence (VZ)  Vojenské zpravodajství チェコ共和国 軍事情報局(VZ) 
Czech Republic National Cyber and Information Security Agency (NÚKIB) Národní úřad pro kybernetickou a informační bezpečnost チェコ国家サイバー・情報安全保障局(NÚKIB) 
Czech Republic Security Information Service (BIS) Bezpečnostní informační služba チェコ共和国安全保障情報局(BIS:
Poland Internal Security Agency (ABW) Agencja Bezpieczeństwa Wewnętrznego ポーランド国内安全保障局(ABW) 
Poland Military Counterintelligence Service (SKW) Służba Kontrwywiadu Wojskowego ポーランド軍事防諜局(SKW) 
United States Cybersecurity and Infrastructure Security Agency (CISA) 米国サイバーセキュリティ・インフラセキュリティ庁(CISA)
United States Department of Defense Cyber Crime Center (DC3) 米国国防総省サイバー犯罪センター(DC3)
United States Cyber Command (USCYBERCOM) 米国サイバーコマンド(USCYBERCOM)
Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC) オーストラリア信号総局オーストラリア・サイバー・セキュリティ・センター(ASD's ACSC)
Canadian Centre for Cyber Security (CCCS) カナダ・サイバーセキュリティセンター(CCCS)
Danish Defence Intelligence Service (DDIS) Forsvarets Efterretningstjeneste デンマーク国防情報局(DDIS) 
Estonian Foreign Intelligence Service (EFIS) Välisluureamet エストニア対外情報庁(EFIS) 
Estonian National Cyber Security Centre (NCSC-EE) Küberturvalisuse keskus エストニア国立サイバーセキュリティセンター (NCSC-EE)
French Cybersecurity Agency (ANSSI) Agence nationale de la sécurité des systèmes d'information フランスサイバーセキュリティ局(ANSSI) 
Netherlands Defence Intelligence and Security Service (MIVD) Militaire Inlichtingen- en Veiligheidsdienst オランダ国防情報セキュリティ局(MIVD) 

 

・[PDF]

20250601-70529

 

 

 

| | Comments (0)

«米国 FBI サイバー犯罪者にハッキングツールを販売するウェブサイトを押収 (2025.05.29)