2021.04.22

U.S. White House 副国家安全保障補佐官(サイバー・新技術担当)によるSolarWindsとMicrosoft Exchangeのインシデントに関する声明

こんにちは、丸山満彦です。

ホワイトハウスのブリーフィングのページにSolarWindsとMS Exchangeの件が記載されているのですが、技術的な課題を組織的に解決し、次に繋げていっているという視点でうまく説明しているなと思いました。

経営者レベルでサイバーを語れる人材が米国企業では多いという話がありますが、政府レベルでも同じなのかもしれません。さまざまな能力を組み合わせたチームで戦うイメージの米国。振り返って日本の社会全体を見ると、多様性と言いながら、年長者と同じ価値観の人が年長者に重んじられて組織ができていて、単一価値観、時代遅れの組織になっているのかもしれませんね。。。

ちなみに副国家安全保障補佐官(サイバー・新技術担当)のAnne Neuberger氏 [wikipedia] は、40代の女性ですね。お子様がお二人いるようです。

The White House

・2021.04.19 Statement by Deputy National Security Advisor for Cyber and Emerging Technology Anne Neuberger on SolarWinds and Microsoft Exchange Incidents

 

Statement by Deputy National Security Advisor for Cyber and Emerging Technology Anne Neuberger on SolarWinds and Microsoft Exchange Incidents SolarWindsとMicrosoft Exchangeのインシデントに関する副国家安全保障補佐官(サイバー・新技術担当)アン・ニューバーガー氏の声明
The Biden Administration convened two Unified Coordination Groups (UCGs) to drive a whole of government response to the SolarWinds and Microsoft Exchange incidents. Due to the vastly increased patching and reduction in victims, we are standing down the current UCG surge efforts and will be handling further responses through standard incident management procedures.  バイデン政権は、SolarWindsとMicrosoft Exchangeのインシデントに対する政府全体の対応を推進するため、それぞれについて統合調整グループ(UCG)を招集しました。膨大な数のパッチが適用され、被害が減少したため、現在は、UCGの活動を終了し、標準的なインシデント管理手順で今後の対応を行うことになりました。
The innovations from the Exchange UCG and the lessons learned from these responses will be used to improve future unified, whole of Government responses to significant cyber incidents, including: Exchange UCGの技術革新とこれらの対応から得られた教訓は、今後の重要なサイバーインシデントに対する政府全体での統一された対応を改善するために利用されます。得られた教訓は次のものを含みます。
Integrating private sector partners at the executive and tactical levels. The active private sector involvement resulted in an expedited Microsoft one-click tool to simplify and accelerate victims’ patching and clean-up efforts, and direct sharing of relevant information. This type of partnership sets precedent for future engagements on significant cyber incidents. 民間企業のパートナーを幹部レベルと戦術レベルで統合する。民間企業が積極的に関与した結果、Microsogt社のワンクリックツールにより、被害者のパッチ適用やクリーンアップ作業が簡素化・迅速化され、関連情報が直接共有されることになりました。このようなパートナーシップは、重大なサイバーインシデントに対する今後の取り組みの先例となるものです。
CISA created and utilized a methodology to track trends in patching and exposed Exchange servers that enabled the UCG to quantify the scope of the incident. CISAは、UCGが事件の範囲を定量的に把握するために、パッチ適用の傾向や流出したExchangeサーバを追跡する方法を作成し、活用しました。
・Through industry relationships and leveraging legal authorities, the FBI and DOJ quickly identified the scale of the incidents – in the SolarWinds UCG, for example, scoping from a worst case of 16,800 to fewer than 100 targeted exploited nongovernment entities. This enabled focused victim engagement and improved understanding of what the perpetrators targeted from the larger set of exposed entities. ・業界との連携や法的権限をうまく活用することにより、FBI と DOJ はインシデントの規模を迅速に特定しました。例えば SolarWinds の UCG では、最悪のケースである 16,800 人から、悪用された非政府機関を対象とした 100 人未満にまで範囲を拡大しました。これにより、被害者を重点的に支援することが可能になり、また、被害に遭った企業の中で犯人が何を狙っていたのかを理解することができました。
NSA and CISA released cybersecurity advisories that detailed adversary techniques and provided mitigation for system owners. NSA also provided guidance to other U.S. military and intelligence organizations, as well as contractors in the defense industrial base.  NSAとCISAは、サイバーセキュリティに関する勧告を発表し、敵対者のテクニックを詳細に説明するとともに、システム所有者に対する緩和策を提供しました。また、NSAは、他の米軍や情報機関、防衛産業基盤の請負業者にもガイダンスを提供しました。
The Biden Administration is undertaking a whole-of-government effort – working closely with Congress, the private sector, and allies and partners around the world – to build back better in new and innovative ways, to modernize our cyber defenses and enhance the nation’s ability to quickly and effectively respond to significant cybersecurity incidents. While this will not be the last major incident, the SolarWinds and Microsoft Exchange UCGs highlight the priority and focus the Administration places on cybersecurity, and at improving incident response for both the U.S. government and the private sector. バイデン政権は、議会、民間企業、世界中の同盟国やパートナーと緊密に協力しながら、政府全体で取り組んでいます。これは、新しく革新的な方法で、サイバー防御を近代化し、重大なサイバーセキュリティインシデントに迅速かつ効果的に対応する能力を強化するためのものです。これが最後の大規模インシデントではありませんが、SolarWinds社とMicrosoft Exchange社のUCGは、米国政府がサイバーセキュリティを重視し、米国政府と民間企業の両方のインシデント対応を改善することに重点を置いていることを強調しています。

 

個人的な思い込みですが、SolarWinds事件で米国政府は相当慌てたように感じました。しかし、ややもすると縦割りで動きがちが政府機関が、政府全体の危機に直面し、省庁間で連携して動き、課題を解決しつつあるという状況になり、その学びから得た教訓も踏まえ、自信に繋がっていっているようにも感じました。。。

米国のこういう一面は非常に羨ましいと感じます。。。

 

2_20210422103801

| | Comments (0)

米国によるロシア制裁後のロシア連邦安全保障会議書記と米国大統領補佐官(国家安全保障担当)との電話会談

こんにちは、丸山満彦です。

このブログでも紹介していますが、米国によるロシアの制裁の後、ロシア連邦安全保障会議書記と米国大統領補佐官(国家安全保障担当)との電話会談をしていて、その概要が公開されていますね。。。

ロシアと米国の関係はソビエト時代からの歴史があるので、今やなんか不思議な安定感がありますね。。。

ロシア側の公開

1_20210422103501

Совет Безопасности Российской Федерации(ロシア連邦安全保障理事会

・2021.04.19 19 апреля по инициативе американской стороны состоялся телефонный разговор Секретаря Совета Безопасности Российской Федерации с Помощником Президента США по национальной безопасности

19 апреля по инициативе американской стороны состоялся телефонный разговор Секретаря Совета Безопасности Российской Федерации с Помощником Президента США по национальной безопасности 4月19日、米国の主導により、ロシア連邦安全保障理事会書記は、米国大統領補佐官(国家安全保障担当)と電話会談を行いました。
Николай Патрушев и Джейкоб Салливан  обсудили ход подготовки к встрече на высшем уровне, а также возможные направления в развитии  российско-американского сотрудничества. ニコライ・パトルシェフとジェイコブ・サリバンは、首脳会談の準備や、ロシアと米国の協力可能な分野について話し合いました。
Состоялся обмен мнениями по ряду проблем международной повестки дня.  Подчеркнута важность скорейшего запуска двустороннего механизма по стратегической стабильности, необходимость взаимодействия России и США  по ядерной проблеме Корейского полуострова, по ситуации вокруг иранской ядерной программы. Затронуты проблемы, связанные с  участием двух государств в Договоре по открытому небу. 国際的なアジェンダであるいくつかの問題について意見交換が行われました。  両者は、戦略的安定のための二国間メカニズムを迅速に立ち上げることの重要性、朝鮮半島の核問題やイランの核開発問題でロシアと米国が協力する必要性を強調しました。また、両国のオープンスカイ条約への参加に関する問題にも触れました。
Российской стороной указано на  недопустимость вмешательства США во внутренние дела Российской Федерации и ее союзников, на необоснованность и бездоказательность обвинений, предъявленных в адрес России, на основании которых Белым домом введен пакет антироссийских санкций. ロシア側は、米国がロシア連邦およびその同盟国の内政に干渉することは許されないこと、ホワイトハウスが反ロシア制裁パッケージを導入した根拠のない非難を指摘しました。
Несмотря на неконструктивные шаги американской стороны, ведущие к дальнейшей деградации двусторонних отношений, подтверждена  готовность к продолжению диалога в интересах нормализации отношений между Москвой и Вашингтоном и обеспечения международной безопасности. 米国による非建設的な措置が二国間関係のさらなる悪化を招いているにもかかわらず、モスクワとワシントンの関係を正常化し、国際的な安全保障を確保するために、対話を継続する用意があることが確認されました。

 

 


米国側

2_20210422103801

White House

・2021.04.19 Statement by NSC Spokesperson Emily Horne on National Security Advisor Jake Sullivan’s Call with Nikolay Patrushev, Secretary of the Russian Security Council

Statement by NSC Spokesperson Emily Horne on National Security Advisor Jake Sullivan’s Call with Nikolay Patrushev, Secretary of the Russian Security Council サリバン国家安全保障補佐官とパトルシェフロシア安全保障会議書記との電話会談に関するNSC報道官エミリー・ホーンの声明
National Security Advisor Jake Sullivan spoke by phone today with Nikolay Patrushev, Secretary of the Russian Security Council. The two discussed a number of issues in the bilateral relationship, as well as regional and global matters of concern. Mr. Sullivan and Secretary Patrushev also discussed the prospect of a presidential summit between the United States and Russia and agreed to continue to stay in touch. ジェイク・サリバン国家安全保障補佐官は本日、ロシア安全保障会議のニコライ・パトルシェフ書記と電話で会談しました。二人は、二国間関係における様々な問題や、地域的・世界的な関心事について話し合いました。また、サリバン氏とパトルシェフ書記は、米露間の大統領サミットの見通しについても話し合い、今後も連絡を取り合うことで合意しました。

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.16 White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー軍と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

・2021.01.07 米国 FBI,、CISA,、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。

・2020.12.07 民主主義を守るための偽情報との戦い

・2020.10.27 欧州連合 連合と加盟国を脅かすサイバー攻撃に対する制限的措置に関する決定(CFSP)2019/797の修正(ロシアの件。。。)

・2020.10.27 米国 連邦司法省がサイバースペースでの破壊的行為を世界的に行ったことでロシアのGRUの6人を起訴した (2020.10.19)

・2020.10.27 英国NCSC 東京オリンピック関係者にサイバー攻撃をしていたとしてロシアを非難 (2020.10.19)

・2020.10.14 ノルウェー政府は8月のノルウェー議会の電子メールシステムへのサイバー攻撃はロシアによるものだとする声明を出していますね。。。

・2020.09.14 サイバーパワー世界ランキング

・2020.08.22 米国上院の情報委員会が2016年大統領選におけるロシアの影響を調べた報告書(第5巻)を公開していますね。。。

・2020.08.20 ロシアからインターネットを見たら、インターネットの国際的な枠組みを作りたくなりますよね。。。

・2020.08.16 FBIとNSAは合同でLinuxシステムを対象としたロシアのDrovorubマルウェアについて情報を公開していますね。。。

・2020.07.25 英国議会 諜報及び安全保証委員会報告書 ロシア

・2020.07.17 英国政府はロシアが2019年の総選挙に違法に取得した政府文書を通じて妨害しようとしたと結論付けた

・2020.06.03 米国 国家安全保障局 (NSA) がEximの脆弱性を悪用するロシアのAPTグループ「Sandworm」に関する警告を公表

・2020.04.08 削除できないマルウェア xHelper の仕組みがわかった?

・2020.03.26 FBI - FBI Takes Down a Russian-Based Hacker Platform; Arrests Suspected Russian Site Administrator

 

 

| | Comments (0)

ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

こんにちは、丸山満彦です。

ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

Bundesamt für Sicherheit in der Informationstechnik: BSI

・2021.04.21 BSI zeigt Maßnahmen für sicheren KI-Einsatz auf Bild-Dokument für das Frontend

・[PDF] Sicherer, robuster und nachvollziehbarer Einsatz von KI - Probleme, Maßnahmen und Handlungsbedarfe

20210422-03705

 

BSI zeigt Maßnahmen für sicheren KI-Einsatz auf  BSIは示す安全なAI導入のための対策をまとめた
Die Künstliche Intelligenz (KI) hält zunehmend Einzug in den Alltag. Das betrifft auch potentiell kritische Anwendungsgebiete wie das (teil)autonome Fahren, die Gesichtserkennung oder die Auswertung medizinischer Daten. Den guten Leistungen der KI-Methoden stehen aber auch bislang ungelöste Probleme gegenüber. 人工知能(AI)が日常生活に浸透しつつあります。これは、(限定的な)自律走行、顔認識、医療データの解析など、潜在的に重要なアプリケーション分野にも影響を与えます。一方で、AIを安全に、堅牢に、そして追跡可能な状態で使用することに関しては、現在、未解決の問題が多くあります。
In einem Überblicksdokument zeigt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Probleme, Maßnahmen und Handlungsbedarfe für einen sicheren, robusten und nachvollziehbaren KI-Einsatz auf. Acht Seiten liefern Entwicklern und Anbietern erste Ansatzpunkte für die Absicherung von KI-Produkten. Gleichzeitig unterstützt das Dokument professionelle Anwender, relevante Aspekte für Beschaffung und Einsatz von KI-Lösungen zu identifizieren. ドイツ連邦情報セキュリティ局(BSI)は、概要文書の中で、安全かつ堅牢で追跡可能なAI導入のための問題点、対策、行動の必要性を指摘しています。8ページの概要文書では、開発者やプロバイダがAI製品のセキュリティを確保するための初期のスタートポイントを提供しています。同時に、この概要文書は、AIソリューションの調達と使用に関連する側面を特定する際に事業を行う利用者を支援します。

 

・[DOC] 仮訳

 

 

| | Comments (0)

欧州データ保護監督官 (EDPS) 2020年次報告 - COVID-19状況下のデータ保護

こんにちは、丸山満彦です。

欧州データ保護監督官 (European Data Protection Supervisor: EDPS) の2020年次報告書が公開されていますね。

EDPSの活動の他、個人データの侵害件数等、のデータも少しありますね。。。

 

● European Data Protection Supervisor: EDPS

・2021.04.19 (press) EDPS Annual Report 2020: data protection during COVID-19

・2021.04.19 Annual Report 2020

・[PDF] Full Text

20210421-150651 

・[PDF] Exective Summary

20210421-173649 

 

Full Textの目次と図表です。。。

 

FOREWORD 序文
MISSION, VALUES AND PRINCIPLES ミッション、バリュー、プリンシプル
EDPS STRATEGY 2020-2024 EDPS戦略2020-2024
CHAPTER 1: ABOUT THE EDPS 第1章 EDPSについて
1.1 Supervision and Enforcement 1.1 監督と執行
1.2 Policy and Consultation 1.2 政策と協議
1.3 Technology and Privacy 1.3 テクノロジーとプライバシー
1.4 The EDPS works on transversal issues 1.4 EDPSは横断的な問題に取り組んでいる
CHAPTER 2: THE EDPS’ 2020 HIGHLIGHTS 第2章 EDPSの2020年のハイライト
2.1 Data protection in a global health crisis 2.1 世界的な健康危機におけるデータ保護
2.2 EUIs’ compliance with data protection law 2.2 EUIのデータ保護法への対応
2.3 Safeguarding digital rights 2.3 デジタル権の保護
2.4 Monitoring technologies 2.4 テクノロジーの監視
2.5 The EDPS as a member of the EDPB 2.5 EDPBのメンバーとしてのEDPS
2.6 International cooperation in data protection 2.6 データ保護のための国際協力
2.7 Internal administration 2.7 内部管理
2.8 Communicating data protection 2.8 データ保護の伝達
2.9 Key Performance Indicators 2.9 主要業績評価指標
CHAPTER 3: 2020 — AN OVERVIEW 第3章 2020年 - 概要
3.1 Data Protection amid a global health crisis 3.1 世界的な健康危機の中でのデータ保護
3.2 Safeguarding EU digital rights 3.2 EUのデジタル権を守る
3.3 Supervising European institutions, bodies and agencies (EUIs) 3.3 欧州の機関・団体・組織(EUI)の監督
3.4 Supervising Area of Freedom, Security and Justice 3.4 自由・安全・正義の領域の監督
3.5 Technology and Privacy 3.5 テクノロジーとプライバシー
3.6 Legislative Consultations 3.6 立法機関への諮問
3.7 The EDPS as a member of the EDPB 3.7 EDPBのメンバーとしてのEDPS
3.8 International Cooperation 3.8 国際協力
3.9 Cooperation with Civil Society 3.9 市民社会との協力
CHAPTER 4: TRANSPARENCY AND ACCESS DOCUMENTS 第4章 透明性とアクセス文書
CHAPTER 5: THE SECRETARIAT 第5章 事務局
5.1 Information and Communication 5.1 情報とコミュニケーション
5.2 Administration, budget and staff 5.2 管理、予算およびスタッフ
CHAPTER 6. THE DATA PROTECTION OFFICER AT THE EDPS 第6章 EDPSにおけるデータ保護担当者
6.1 Accountability 6.1 説明責任
6.2 Enquiries and complaints 6.2 照会および苦情
6.3 Advising the EDPS 6.3 EDPSへの助言
6.4 Awareness-raising 6.4 アウェアネス・レイジング
6.5 Collaboration with DPOs of other EUIs 6.5 他のEUIのDPOとの連携
CHAPTER 7. ANNEXES 第7章 附属書
Annex A Legal Framework 附属書A 法的枠組み
Annex B Extract from Regulation (EU) 2018/1725 附属書B 規則(EU)2018/1725の抜粋
Annex C List of Data Protection Officers 附属書C データ保護担当者のリスト
Annex D List Of Opinions and Formal Comments 附属書D 意見と正式なコメントのリスト
Annex E List of Consultations and Prior Consultations 附属書E 協議および事前協議のリスト
Annex F Speeches by the Supervisor 附属書F 監督者のスピーチ
Annex G The EDPS 附属書G EDPSについて
   
TABLES AND GRAPHS 表とグラフ
Figure 1 EDPS KPI analysis table 図1 EDPSのKPI分析表
Figure 2 Number of complaints received 図2 苦情受付件数の推移
Figure 3 Evolution of the number of complaints, including admissible complaints, received by the EDPS 図3 EDPS が受理した苦情数(認容性のある苦情を含む)の推移
Figure 4 Europol statistics 図4 Europol統計
Figure 5 Number of personal data breach notifications per month 図5 月間の個人データ侵害通知数
Figure 6 Number of Personal Data Breach Notifications per month for the years 2019 and 2020 図6 2019 年および 2020 年の 1 ヶ月あたりの個人データ侵害通知数
Figure 7 Type of submission on personal data breach notifications in the year 2019 and 2020 図7 2019 年と 2020 年の個人データ侵害通知に関する提出物の種類
Figure 8 Type of Data Breach Notifications 図8 データ違反通知の種類
Figure 9 Root Cause of the personal data breach incidents 図9 個人データ侵害インシデントの根本原因
Figure 10 Root Cause of the personal data breach incidents - Comparison 2019-2020 図10 個人データ侵害インシデントの根本原因 - 2019 年と 2020 年の比較
Figure 11 Number of individuals affected from personal data breach incidents 図11 個人データ侵害インシデントで影響を受けた個人の数
Figure 12 Special categories of data in personal data breach incidents 図12 個人データ侵害インシデントにおけるデータの特別なカテゴリー
Figure 13 Number of personal data breach where the controller informed the data subject 図13 管理者がデータ対象者に通知した個人データ侵害の件数
Figure 14 Social media statistics 図14 ソーシャルメディアの統計

 


■ 関連

● EDPS -  Our work by topics

・ COVID 19

・2019.10.21  (press)  EDPS investigation into IT contracts: stronger cooperation to better protect rights of all individuals

・2020.09.28 Joint Parliamentary Scrutiny Group on Europol (JPSG) - Wojciech Wiewiórowski

・2020.10.29 Strategy for EU institutions to comply with “Schrems II” Ruling

欧州データ戦略に対する意見

・2020.06.20 [PDF] Opinion 3/2020 on the European strategy for data

20210421-174659

欧州委員会「AI白書 - 卓越性と信頼性のための欧州的アプローチ」に対する意見 

・2020.06.29 [PDF] Opinion 4/2020 EDPS Opinion on the European Commission’s White Paper on Artificial Intelligence – A European approach to excellence and trust

20210421-175303

オンラインでの児童性的虐待関連

・2020.11.10 [PDF] Opinion 7/2020 on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online

20210421-180644

健康データ関連

・2020.11.17 [PDF] Preliminary Opinion 8/2020 on the European Health Data Space

20210421-181153


科学研究データ関係

・2020.01.06 [PDF] A Preliminary Opinion on data protection and scientific research

20210421-181717

 

EDPSの中期計画(2020-2024)

・2020.06.30 Shaping a safer digital future The EDPS Strategy 2020-2024

・2020.06.30 [PDF] Shaping a safer digital future The EDPS Strategy 2020-2024

20210421-182416


■ 関連

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.09 EUデータ保護当局 (EDPB/EDPS) は、デジタルグリーン証明書の提案についての共同意見を採択

・2021.03.15 欧州データ保護監督官 (EDPS) が欧州のサイバーセキュリティ戦略とネットワークおよび情報システムのセキュリティに関する改訂された指令(NIS 2.0)を歓迎すると表明

・2021.03.14 欧州データ保護委員会 (EDPB)・欧州データ保護監督官 (EDPS) データガバナンス法に関する共同意見を採択

| | Comments (0)

2021.04.21

U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

こんにちは、丸山満彦です。

日本でもFTCで知られる、米国連邦政府の取引委員会(U.S. Federal Trade Commission: FTC)[wikipedia]は、米国の消費者保護政策等に関、独禁法や消費者保護法を所管する委員会で、かなり強力な権限を持っていますので、硬いイメージがあるのですが、こうやって、ブログで色々と啓発活動をしていますね。。。こうすることによって、常識形成というか世論形成をすることができるので、良いですね。日本の政府機関等もDXの一環(^^)として、もっと情報発信や情報公開を進めれば良いのにと思ってりもします。

さて、今回紹介するのは、会社でAIを使ったサービス等を提供する場合の注意点として、FTCの立場からのアドバイスということになっていますね。

意識として、Truth(真実)Fairness(公正)Equity(公平)を目指そうという内容で、とても参考になりますね。。。これからAIを社会実装したいと思っている人は、このブログの内容を参考にすれば良いと思いました。。。

正直言って、当たり前のことを堂々と書かれているので、反論する余地が無いような内容です(^^)

 

U.S. Federal Trade Commission: FTCTips & Advice  - Business Center - Business Blog 

・2021.04.19 Aiming for truth, fairness, and equity in your company’s use of AI

 

ここでは、次の3つの法律が例示されていますね。

 

Start with the right foundation. With its mysterious jargon (think: “machine learning,” “neural networks,” and “deep learning”) and enormous data-crunching power, AI can seem almost magical. But there’s nothing mystical about the right starting point for AI: a solid foundation. If a data set is missing information from particular populations, using that data to build an AI model may yield results that are unfair or inequitable to legally protected groups. From the start, think about ways to improve your data set, design your model to account for data gaps, and – in light of any shortcomings – limit where or how you use the model. 正しい出発点から始める。「機械学習」、「ニューラルネットワーク」、「ディープラーニング」などの神秘的な専門用語や膨大なデータ処理能力を持つAIは、まるで魔法のように思えるかもしれません。しかし、AIの正しい出発点である強固な基本には、神秘的なものはありません。あるデータセットに特定の集団の情報が欠けている場合、そのデータを使ってAIモデルを構築すると、法的に保護された集団に対して不公平な結果が出る可能性があります。最初から、データセットを改善する方法を考え、データのギャップを考慮してモデルを設計し、欠点を考慮してモデルを使用する場所や方法を制限してください。
Watch out for discriminatory outcomes. Every year, the FTC holds PrivacyCon, a showcase for cutting-edge developments in privacy, data security, and artificial intelligence. During  PrivacyCon 2020,  researchers presented work showing that algorithms developed for benign purposes like healthcare resource allocation and advertising actually resulted in racial bias. How can you reduce the risk of your company becoming the example of a business whose well-intentioned algorithm perpetuates racial inequity? It’s essential to test your algorithm – both before you use it and periodically after that – to make sure that it doesn’t discriminate on the basis of race, gender, or other protected class. 差別的な結果に注意する。FTCは毎年、プライバシー、データセキュリティ、人工知能の最先端の発展を紹介するPrivacyConを開催しています。PrivacyCon 2020では、医療資源の配分や広告などの良心的な目的で開発されたアルゴリズムが、実際には人種的な偏見をもたらしていることを示す研究成果が発表されました。良かれと思って開発したアルゴリズムが人種間の不公平を助長してしまう、という例に自社がなってしまうリスクを減らすにはどうしたらよいでしょうか。アルゴリズムを使用する前に、また使用後も定期的にテストを行い、人種や性別、その他の保護されたクラスに基づく差別が行われていないことを確認することが重要です。
Embrace transparency and independence. Who discovered the racial bias in the healthcare algorithm described at PrivacyCon 2020 and later published in Science? Independent researchers spotted it by examining data provided by a large academic hospital. In other words, it was due to the transparency of that hospital and the independence of the researchers that the bias came to light. As your company develops and uses AI, think about ways to embrace transparency and independence – for example, by using transparency frameworks and independent standards, by conducting and publishing the results of independent audits, and by opening your data or source code to outside inspection. 透明性と独立性を受け入れる。PrivacyCon 2020で発表され、その後Sサイエンス誌に掲載されたヘルスケアアルゴリズムの人種的偏りを発見したのは誰でしょうか?独立した研究者が、大規模な学術病院から提供されたデータを調査することで発見しました。つまり、その病院の透明性と研究者の独立性があったからこそ、偏りが明らかになったのです。あなたの会社でも、AIを開発・利用する際には、透明性と独立性を確保する方法を考えましょう。例えば、透明性フレームワークや独立した基準を利用する、独立した監査を実施してその結果を公表する、データやソースコードを外部に公開するなどの方法があります。
Don’t exaggerate what your algorithm can do or whether it can deliver fair or unbiased results. Under the FTC Act, your statements to business customers and consumers alike must be truthful, non-deceptive, and backed up by evidence. In a rush to embrace new technology, be careful not to overpromise what your algorithm can deliver. For example, let’s say an AI developer tells clients that its product will provide “100% unbiased hiring decisions,” but the algorithm was built with data that lacked racial or gender diversity. The result may be deception, discrimination – and an FTC law enforcement action. アルゴリズムができることや、公正で偏見のないな結果を出せるかどうかを誇張してはいけません。FTC法では、企業の顧客や消費者に向けた声明は、真実であり、欺瞞的でなく、証拠に裏付けられたものでなければならないとされています。新技術の導入を急ぐあまり、アルゴリズムが提供できる結果を過大評価しないように注意してください。例えば、AI開発者がクライアントに「100%偏りのない採用判断」を提供すると言っておきながら、そのアルゴリズムは人種や性別の多様性を欠いたデータで構築されていたとします。そうであれば、欺瞞的で差別のある結果になるかもしれません。そしてその結果、FTCによる法執行が行われるかもしれません。 
Tell the truth about how you use data. In our guidance on AI  last year, we advised businesses to be careful about how they get the data that powers their model. We noted the FTC’s complaint against Facebook which alleged that the social media giant misled consumers by telling them they could opt in to the company’s facial recognition algorithm, when in fact Facebook was using their photos by default. The recent action against app developer Everalbum reinforces that point. According to the complaint, Everalbum used photos uploaded by app users to train its facial recognition algorithm. The FTC alleged that the company deceived users about their ability to control the app’s facial recognition feature and made misrepresentations about users’ ability delete their photos and videos upon account deactivation. To deter future violations, the proposed order  requires the company to delete not only the ill-gotten data, but also the facial recognition models or algorithms developed with users’ photos or videos. データの使用方法について真実を伝える。昨年のAIに関するガイダンスで、私たちは企業に対し、モデルの動力源となるデータの入手方法に注意するようアドバイスしました。これは、ソーシャルメディア大手のFacebookが、同社の顔認識アルゴリズムへの参加を選択できると伝えて消費者を欺いていたが、実際にはFacebookはデフォルトで消費者の写真を使用していたとするものです。今回のFTCによるアプリ開発会社Everalbumに対する措置は、この点を補強するものです。訴状によると、Everalbumはアプリのユーザーがアップロードした写真を使って、顔認識アルゴリズムを訓練していました。FTCは、同社がアプリの顔認識機能をコントロールする能力についてユーザーを欺き、アカウント停止時にユーザーが写真やビデオを削除できることについて虚偽の説明をしたと主張しています。今後の違反行為を抑止するため、今回の命令案では、不正に取得したデータだけでなく、ユーザーの写真や動画を用いて開発された顔認識モデルやアルゴリズムも削除するよう求めています。
Do more good than harm. To put it in the simplest terms, under the FTC Act, a practice is unfair if it causes more harm than good. Let’s say your algorithm will allow a company to target consumers most interested in buying their product. Seems like a straightforward benefit, right? But let’s say the model pinpoints those consumers by considering race, color, religion, and sex – and the result is digital redlining (similar to the Department of Housing and Urban Development’s case against Facebook in 2019). If your model causes more harm than good – that is, in Section 5 parlance, if it causes or is likely to cause substantial injury to consumers that is not reasonably avoidable by consumers and not outweighed by countervailing benefits to consumers or to competition – the FTC can challenge the use of that model as unfair. 害になることではなく良いことをする。もっとも簡単に言えば、FTC法では、ある行為が善よりも害をもたらす場合、その行為は不公正であるとしています。例えば、あなたのアルゴリズムによって、ある企業が自社製品の購入に最も関心のある消費者をターゲットにできるようになるとします。一見、単純なメリットに見えますよね?しかし、そのモデルが、人種、肌の色、宗教、性別を考慮してそれらの消費者をピンポイントで特定し、その結果、デジタル・レッドラインとなったとしましょう(2019年に住宅都市開発省がFacebookに対して行った訴訟に似ています)。あなたのモデルが善よりも害をもたらす場合、つまり、セクション5の言葉で言えば、消費者によって合理的に回避できず、消費者または競争に対する相殺される利益によって相殺されない実質的な損害を消費者にもたらす、またはその可能性がある場合、FTCはそのモデルの使用を不公正として異議を唱えることができます。
Hold yourself accountable – or be ready for the FTC to do it for you. As we’ve noted, it’s important to hold yourself accountable for your algorithm’s performance. Our recommendations for transparency and independence can help you do just that. But keep in mind that if you don’t hold yourself accountable, the FTC may do it for you. For example, if your algorithm results in credit discrimination against a protected class, you could find yourself facing a complaint alleging violations of the FTC Act and ECOA. Whether caused by a biased algorithm or by human misconduct of the more prosaic variety, the FTC takes allegations of credit discrimination very seriously, as its recent action against Bronx Honda demonstrates. 自分で責任を負うか、さもなくばFTCが責任を負わせるということを覚悟してください。これまで述べてきたように、自社のアルゴリズムのパフォーマンスに責任を持つことは重要です。透明性と独立性に関する私たちの推奨事項は、まさにそのためのものです。しかし、説明責任を果たさなければ、FTCが代わりに説明責任を果たさせることを覚悟しておいてください。例えば、アルゴリズムの結果、保護されるべきクラスに対する信用差別が発生した場合、FTC法およびECOAの違反を主張する訴状に直面する可能性があります。偏ったアルゴリズムによるものであれ、より平凡な人間の不正行為によるものであれ、FTCは信用差別の申し立てを非常に深刻に受け止めており、Bronx Hondaに対する最近の措置がそれを示しています。

 

Fec-seal



  

| | Comments (0)

英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

こんにちは、丸山満彦です。

U.K. のCentre for Data Ethics and Innovation: CDEI(データ倫理とイノベーションセンター)のブログでAIの保証についての3つの記事がありますね。。。

これはなかなか興味深いです。。。

 

● U.K. Government - Centre for Data Ethics and Innovation: CDEI - blog

・2021.04.15 The need for effective AI assurance(効果的なAI認証の必要性)

・2021.04.16 User needs for AI assurance(AI保証についてのユーザのニーズ)

・2021.04.17 Types of assurance in AI and the role of standards(AI保証の種類と標準の役割)

 

Gvmntlogosquare

 


■ 参考

英国 情報保護局のAIのアルゴリズム監査についてのガイドです。

U.K. Information Commissioner's Office 英国 情報保護局

Guidance on AI and data protection

・2020.07.30 Blog: ICO launches guidance on AI and data protection

・2019.03.26 An overview of the Auditing Framework for Artificial Intelligence and its core components

Reuben Binns, our Research Fellow in AI, and Valeria Gallo, Technology Policy Advisor, outline the proposed structure, core components and areas of focus of the ICO’s new auditing framework for artificial intelligence (AI).

・2019.03.26 [PDF] Guidance on the AI auditing framework (draft)

20210421-24408

Draft Guidance on AI and data protection

AIの保証については、これも参考にしてくださいませ。(上の英国 情報保護局のガイドを読む前にこっちを先に読んで全体感を理解してから、上を読んだ方が良いかも...)

Ada Lovelace Institute の報告書で、AIアルゴリズムの評価方法を4種類に分けて説明していて、英国 情報保護局のガイドは4種類の評価方法のうちの1つに分類されるという整理になっています。

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

| | Comments (0)

2021.04.20

経済産業省 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き

こんにちは、丸山満彦です。

経済産業省が、

...セキュリティ検証サービスの高度化を目的とし、検証サービス事業者及び検証依頼者が実施すべき事項や、二者間のコミュニケーションにおいて留意すべき事項等について整理した「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」を公開しました。 

とのことです。。。産業サイバーセキュリティ研究会WG3の成果物ですね。(ちなみに私はWG2です。。。)

● 経済産業省

・2021.04.19 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引きを取りまとめました


本手引きは、セキュリティ検証サービスの高度化を目的とするもので、以下の点について整理したものです。

  • 機器のセキュリティ検証において検証サービス事業者が実施すべき事項
  • より良い検証サービスを受けるために検証依頼者が実施すべき事項及び持つべき知識
  • 検証サービス事業者・検証依頼者間の適切なコミュニケーションのために二者間で共有すべき情報や留意すべき事項

 

手引きの本編・別冊の概要

20210420-132405

(いわゆる白表紙。。。表紙より中身です。もちろん!でも、諸外国の資料と比べるとなぁ...とか...)


本編の目次

----
「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」 の策定にあたって

1. 背景と目的
1.1
背景
1.2
本手引きの目的
1.3
本手引きで対象とする機器
1.4
対象者
1.5
本手引きの活用方法
1.6
本手引き・本編の構成

2. 機器検証とは
2.1
検証の目的
2.2
一般的な検証手法
2.3
その他の検証手法

3. 検証の実施
3.1
検証手順
3.2
検証に向けた準備
3.3
検証計画の策定
3.4
検証実施
3.5
検証における留意点

4 検証結果の報告
4.1
検証結果の分析
4.2
検証結果の報告

5 付録
5.1
機器固有の検証手法等
5.2
用語集
5.3
参考文書


【別冊1】脅威分析及びセキュリティ検証の詳細解説書の目次

1. 背景と目的

2. 対象機器の調査・モデル化

3. 対象機器の脅威分析
3.1
概要
3.2
脅威分析の対象の決定と守るべき資産の洗い出し
3.3 DFD
によるデータフローの可視化
3.4 STRIDE
による脅威の洗い出し
3.5 Attack Tree
による脅威を実現する攻撃手法の調査
3.6 DREAD
による脅威が実現した場合のリスクの評価
3.7
脅威分析の具体例
3.8
分析結果のセキュリティ検証への活用

4. セキュリティ検証の詳細手順
4.1
概要
4.2
検証環境
4.3
ファームウェア解析
4.4
バイナリ解析
4.5
ネットワークスキャン
4.6
既知脆弱性の診断
4.7
ファジング
4.8 
ネットワークキャプチャ

5. 検証結果の分析と報告
5.1
ファームウェア解析
5.2
バイナリ解析
5.3
ネットワークスキャン
5.4
既知脆弱性の診断
5.5
ファジング
5.6
ネットワークキャプチャ

6 付録
6.1
用語集
6.2
参考文書
6.3
脅威分析手法の補足
6.4 Raspberry Pi
環境の構築手順
6.5 Bluetooth
インタフェースに対する検証について
6.6
セキュリティ検証に活用できるツール、技術の補足
6.7 DREAD
によるスコアリングの補足


 

1. 背景と目的

2. IoT 機器等開発における検証の位置づけ

3. 機器メーカにおける脅威分析の実施
3.1 守るべき資産の検討
3.2 攻撃ポイントの分析
3.3 想定される脅威の分析
3.4 セキュリティ要求事項の検討

4. 検証依頼にあたって機器メーカが知るべき検証手法
4.1 機器メーカが知るべき代表的な検証手法
4.2 ハードウェアハッキング・ファームウェア解析
4.3 バイナリ解析
4.4 ネットワークスキャン
4.5 既知脆弱性の診断
4.6 ファジング
4.7 ネットワークキャプチャ
4.8 検証依頼時に用意することが望まれる情報

5. 検証結果を踏まえた対応の検討
5.1 検証報告に対する機器メーカの対応
5.2 検証結果に基づくリスク評価と対応方針の検討
5.3 ハードウェアハッキング・ファームウェア解析の結果を踏まえての対応
5.4 バイナリ解析の結果を踏まえての対応
5.5 ネットワークスキャンの結果を踏まえての対応
5.6 既知脆弱性の診断の結果を踏まえての対応
5.7 ファジングの結果を踏まえての対応
5.8 ネットワークキャプチャの結果を踏まえての対応
5.9 製品リリースにあたり機器メーカとして検討しておくべき事項

6 付録
6.1 国内外のセキュリティガイドラインと本別冊との対応
6.2 検証依頼時に用意することが望まれる情報の逆引き表
6.3 用語集


 

| | Comments (0)

気になった記事2つ(大変革期に突入した自動車産業とサイバーセキュリティ、クラウドネイティブセキュリティ101)

こんにちは、丸山満彦です。

今日は、気になった記事を2つ紹介したいと思います。

最初は、JNSAの自動車セキュリティに関連する記事で、J-Auto-ISACの中島さんの記事です...

● JNSA - リレーコラム

・2021.04.16 第209号:大変革期に突入した自動車産業とサイバーセキュリティ

印象に残ったのが、


すでにクルマの制御プログラムに使用するソースコードの総行数はスマホOSの1,200万行、戦闘機の2,400万行を大きく上回り、2億行に迫っています。今後の自動運転技術の進展を踏まえて6億行に達するという予測も出ています。


という話です。自動車のコードって戦闘機よりのコードよりも多いんですね。プロが乗る戦闘機と違い、一般大衆が乗る自動車だからこそ、エラー処理も含めて丁寧に対応する必要もあってコードが増えているという面もあるのですかね。。。

まぁ、いずれにしても2億行もコードがあれば、どこかに脆弱性はあるでしょうし、いろいろな利害関係者のネットワークと思うと対応が難しいかもしれませんね。。。そして、


今、自動車業界は「ソフトウェアのサプライチェインマネジメント」という課題に直面しています。しかし何層もの裾野産業に支えられた巨大なピラミッド構造を考えると解決は容易ではありません。


という話です。

ソフトウェアというかプログラムの資産管理が必要かもしれませんね。。。ソフトウェアBOMのような仕組みです。オープンソフトも含めて考えなければならないのですが、何かアイデアを絞って考える必要がありますね。。。

 

 

もう一つは、「クラウドネイティブセキュリティ101」です。

● Cloud Seucurity Alliance

・2021.04.19 Cloud-Native Security 101

これは、Intezerブログ2021.04.01に掲載されていたものを再掲載したものです。これからクラウドネイティブに変わるとセキュリティについての考え方を変えて行かないといけないのでは、という話です。

Traditional perimeter-based security approaches fall short for cloud-native applications. The deployment and delivery processes have become more decentralized and agile, but security strategies need to be revamped to keep up with development. As those strategies change and enterprises shift to cloud-native applications, what are the do’s and don’ts of security? 従来の境界線を利用したセキュリティアプローチでは、クラウド・ネイティブ・アプリケーションには対応できません。デプロイメントとデリバリーのプロセスはより分散化され、アジャイルになっていますが、開発に追いつくためにはセキュリティ戦略を見直す必要があります。このような戦略の変化と企業のクラウドネイティブアプリケーションへの移行に伴い、セキュリティの「やるべきこと」と「やってはいけないこと」はどのようになっているのでしょうか。

という話です。

deployment と delivery の違いとか、整理しないといけないなぁと思ったりしました。。。

次のポイントが指摘されていました。参考まで...

The “Cattle, Not Pets” Approach 「ペットではなく牛」というアプローチ
Dynamically scalable environments drive agility in the cloud, where environments are created and destroyed as needed. This means that security should be integrated with the deployment process through security as code to keep up with the speed of development. In short, security should be integrated into design from day one, not as an afterthought. 動的に拡張可能な環境は、必要に応じて環境を作成したり破壊したりするクラウドのアジリティを促進します。つまり、開発のスピードに追いつくためには、セキュリティをコードとして統合し、デプロイメント・プロセスに組み込む必要があります。つまり、セキュリティは後付けではなく、初日から設計に組み込まれるべきなのです。
As workloads move to the cloud, deployments get automated through infrastructure as code (IaC). If you integrate security best practices into IaC, the resources will be protected when you deploy for the first time, reducing the attack surface. Deploying resources first and securing them later leaves your application vulnerable to attack. ワークロードがクラウドに移行すると、Infrastructure as Code(IaC)によってデプロイメントが自動化されます。IaCにセキュリティのベストプラクティスを統合すれば、最初にデプロイする際にリソースが保護され、攻撃対象が減少します。リソースを先にデプロイし、後からセキュリティを確保すると、アプリケーションは攻撃されやすい状態になります。
... ...
Focus on Runtime Protection ランタイム保護の重視
When compared to cloud non-native deployments, the focus shifts from perimeter security to runtime security in the cloud. While minimizing attack surface is important, it is also crucial to ensure comprehensive runtime security. クラウドの非ネイティブなデプロイメントと比較すると、クラウドでは境界線のセキュリティからランタイムのセキュリティに焦点が移ります。攻撃対象を最小限に抑えることは重要ですが、包括的なランタイム・セキュリティを確保することも重要です。
... ...
Undetected Threats in Linux Linuxに潜む脅威
... ...
Linux is traditionally considered secure, as it has features like SELinux and restricted user access, which is reinforced with cloud firewalls and access control mechanisms. However, recent trends show that Linux is increasingly becoming a preferred target for attackers. Linuxは、SELinuxのような機能を持ち、ユーザーのアクセスが制限されており、クラウドのファイアウォールやアクセス制御機構で強化されているため、伝統的に安全だと考えられています。しかし、最近の傾向では、Linuxが攻撃者の好ましい標的となるケースが増えています。
... ...
Cloud-Native Microservices クラウドネイティブなマイクロサービス
... ...
However, keep in mind that the cloud follows a shared responsibility model, where ownership of workload security is still with the customer. Defense-in-depth security practices for cloud-native microservices should include guardrails at all layers, such as the cluster, containers and code security. しかし、クラウドは責任共有モデルを採用しており、ワークロードのセキュリティの所有権は依然として顧客にあることに留意してください。 クラウドネイティブなマイクロサービスのための徹底したセキュリティ対策には、クラスター、コンテナ、コードセキュリティなど、すべての層でガードレールを設ける必要があります。
... ...
Moving one layer deeper to containers, where the workloads are deployed, it is recommended to implement image scanning to identify compromised images. Enabling the principle of least privilege (PoLP) for users will help to protect against unauthorized access to containers. You should also avoid security anti-patterns, such as disabling SELinux, host root access, and privilege elevation. Any configuration change should be enabled only through CI/CD pipelines, and deviations should be strictly monitored and reported. また、ワークロードが配置されているコンテナについては、イメージスキャンを実施して危険なイメージを特定することが推奨されます。ユーザーにPoLP(Principle of least privilege)を有効にすることで、コンテナへの不正なアクセスから保護することができます。また、SELinuxの無効化、ホストのルートアクセス、特権昇格など、セキュリティのアンチパターンを避ける必要があります。構成の変更は、CI/CDパイプラインを通じてのみ有効にし、逸脱は厳密に監視して報告する必要があります。
In addition to cluster and container security, you should also ensure code security through static code analysis, third-party library scanning for vulnerabilities, use of automated tools to protect from known attacks, port restriction, and other means. クラスタやコンテナのセキュリティに加えて、静的なコード解析、サードパーティのライブラリによる脆弱性のスキャン、既知の攻撃から保護するための自動化ツールの使用、ポートの制限などにより、コードのセキュリティを確保する必要があります。
... ...

セキュリティ対策の根本は変わらないと思いますが、重点を当てる部分や手段は環境に合わせて考える必要がありますね。。。

 

2021.04.20 13:12 追記

「“Cattle, Not Pets”って何?」と質問がきたのですが、これはパブリッククラウドを説明する際に、過去から時々出てくる言い回しのようなもので、要は、「あなたにとってかけがえのないたった一つのペット(従来のオンプレミスの比喩)ではなくて、広大な牧場にいる番号で管理されている牛の群れ(クラウドの比喩)を扱っているという感覚ですよ。。。ということだと思います。。。多分。。。」

1_20210420085201

| | Comments (0)

2021.04.19

EDPB(欧州データ保護会議) UKの同等性についての意見

こんにちは、丸山満彦です。

EDPB(欧州データ保護会議) UKの同等性についての意見を発表しているので、備忘録...

現在は同等だが、将来は乖離するかもしれないので、よくみておかないといけないよ、という感じでしょうか? 意見省は2つあります。

Opinion 14/2021は、GDPRに基づく意見。一般的なデータ保護の側面と、適切な決定案に含まれる法執行と国家安全保障の目的でEEAから転送された個人データへの政府のアクセスの両方を評価するものです。

Opinion 15/2021は、法執行指令(LED)に基づく意見。法執行指令の下での妥当性参照に関する勧告01/2021、監視措置のための欧州必須保証に関する勧告02/2020に反映された関連判例法に照らして妥当性決定案を分析しているもので、欧州委員会が提示し、EDPBが評価を行った、LEDの下での第三国の妥当性に関する初めての実施決定案となっています。

 

European Data Protection Board: EDPB

・2021.04.16 EDPB Opinions on draft UK adequacy decisions

・2021.04.13 [PDF] Opinion 14/2021 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data in the United Kingdom

20210419-65345

 

・2021.04.13 [PDF] Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom

20210419-65403

 

 


各意見書の目次は↓

 

» Continue reading

| | Comments (0)

複式簿記・会計システムとゼロトラスト・アーキテクチャ、そして収斂進化

こんにちは、丸山満彦です。

とある理由で公認会計士の資格をとったわけですが、そして気づいたことが、複式簿記システムがよくできていること。そしてその上で、個々の仕訳処理の承認と、決算時の処理、そして内部監査を含む内部統制、そして外部の独立監査、この全体の仕組みがよくできているということです。時々、粉飾決算の問題はあるものの、その事故の発生割合は比較的少ないと言えると思います。

さて、それがどうゼロトラスト・アーキテクチャーと関連するのかということですが、、、

まず、ゼロトラスト・アーキテクチャーを簡単に復習しましょう。PwCジャパンのウェブページの「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」がわかりやすいので、そこを参考にしてみましょう。

NISTのゼロトラストの考え方について、図2に示しています。


①すべてのデータソースとコンピューティングサービスはリソースと見なす
②ネットワークの場所に関係なく、全ての通信を保護する
③企業リソースへのアクセスは、セッション単位で付与する
④リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する
⑤企業は、全ての資産の整合性とセキュリティ動作を監視し、測定する
⑥全てのリソースの認証と認可は動的に行われ、アクセスが許可される前に厳格に実施する
⑦企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、それをセキュリティ対策の改善に利用する


さて、これを会計システムとマッピングしていきましょう。。。

 

①すべてのデータソースとコンピューティングサービスはリソースと見なす 会計では、財産的な価値や義務があるものは全て勘定科目に記録されますよね。。。
②ネットワークの場所に関係なく、全ての通信を保護する 会計帳簿を昔はボールペンで書いていたということですかね(消せない、濡れても滲まない...)
③企業リソースへのアクセスは、セッション単位で付与する これ重要です! 会計処理は仕訳単位で都度承認する。コクヨの仕訳伝票には承認欄がついていますね。。。
④リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する これも重要です! 処理の重要性に応じて決裁ルールを決める。日々の文房具の承認は購買課長の承認で良いが、本社ビル用の土地の購入は取締役決議が必要ですよね。
⑤企業は、全ての資産の整合性とセキュリティ動作を監視し、測定する 複式簿記の仕組みと、各組織における予実分析、経理部門による分析等による日常の監視に当たりますかね。
⑥全てのリソースの認証と認可は動的に行われ、アクセスが許可される前に厳格に実施する 現金や預金通帳、銀行印、有価証券等を扱える人は事前に厳格に決められていて、取引をする前に事前承認をしますよね。
⑦企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、それをセキュリティ対策の改善に利用する 第二線としての経理部門、第三線としての内部監査部門の役割ですかね。。。

 

類似性がありますよね。会計のわかっている人は、ゼロトラストが絶対わかると思います!!!お金の保護から始まったか、デジタル資産の保護から始まったかの違いがあるものの、同じような「資産の保全」に関連することですから、内部統制に通じ、同じような構造になるのでしょうね。

さらにゼロトラスト・アーキテクチャというかこれらのデジタル資産保護で求められるのは、複式簿記的な自律的なチェック機能かもしれませんね。複式簿記の仕組みは本当によくできています。。。

逆に、ゼロトラスト・アーキテクチャから会計システムが学ぶべきことは、その実行の仕方でしょうね。

会計システムでは、多くが人を解して処理されますが、コンピュータ処理上の多くは自動承認となります(トランザクション量が違いすぎますからね...) 。これからは会計システムでも、AI等を活用した自動承認処理の導入が進むでしょうね。

 

独立して進化してきたにもからわらず、類似環境に置かれたことによりよく似た形態になることを収斂進化 (Convergent evolution) [wikipedia]と言います。

 

有名な例は、

魚竜(例えば、イクチオサウルス)とイルカやサメ

1599pxichthyosaur_vs_dolphinsvg

(wikipedia)

翼竜(例えば、プテラノドン)とコウモリや鳥

746pxhomology

(wikipedia)

がありますね。

会計システムとゼロトラスト・アーキテクチャも同じなのかもしれませんね。。。

| | Comments (0)

2021.04.18

NISTIR 8356 (Draft) デジタルツイン技術と新しい標準に関する考慮事項

こんにちは、丸山満彦です。

NISTが NISTIR 8356 Considerations for Digital Twin Technology and Emerging Standardsのドラフトを公表し、意見募集をしていますね。。。

これは、興味深い!

 

NIST - ITL

・2021.04.16 NISTIR 8356 (Draft) Considerations for Digital Twin Technology and Emerging Standards

・[PDF]  NISTIR 8356 (Draft)

20210417-151658

 

Announcement 発表
Digital twin technology is an emerging area of research and standardization. Because of this, there may be a lack of clarity as to what is new with digital twins and what promise this technology holds. This report provides a detailed definition of digital twins, the motivation and vision for their use, common low-level operations, usage scenarios, and example use cases. Focusing on technical considerations with the cybersecurity and trust of digital twins, this report analyzes novel cybersecurity challenges arising from the use of digital twin architectures and examines the traditional cybersecurity challenges that apply. Finally, this draft report evaluates trust issues—including the impact a lack of trust and standards can have on digital twin functionality and quality—and maps those evaluations to other NIST cybersecurity guidance. デジタルツイン技術は、研究や標準化が進んでいる分野です。そのため、デジタルツインの何が新しいのか、この技術がどのような可能性を秘めているのか、明確になっていない場合があります。本レポートでは、デジタルツインの詳細な定義、使用の動機とビジョン、一般的な低レベルの操作、使用シナリオ、および使用例を提供します。デジタルツインのサイバーセキュリティと信頼性に関する技術的考察に焦点を当て、デジタルツイン・アーキテクチャの使用から生じる新たなサイバーセキュリティの課題を分析し、適用される従来のサイバーセキュリティの課題を検討しています。最後に、信頼や基準の欠如がデジタルツインの機能や品質に与える影響など、信頼に関する問題を評価し、それらの評価をNISTの他のサイバーセキュリティガイダンスにマッピングしています。
   
Abstract 概要
Digital twin technology enables the creation of electronic representations of real-world entities and the viewing of the state of those entities. Its full vision will require standards that have not yet been developed. It is relatively new although it uses many existing foundational technologies and, in many cases, appears similar to existing modeling and simulation capabilities. This report attempts to provide clarity in understanding the concept and purpose of digital twins. It offers a new definition for a digital twin, and describes characteristics, features, functions, and expected operational uses. The report then discusses novel cybersecurity challenges presented by digital twin architectures. Lastly, it discusses traditional cybersecurity challenges as well as trust considerations in the context of existing NIST guidance and documents. デジタルツイン技術は、実世界のエンティティを電子的に表現し、それらのエンティティの状態を見ることを可能にします。この技術を実現するには、まだ開発されていない標準規格が必要です。デジタルツインは比較的新しい技術ですが、既存の基盤技術を多く使用しており、多くの場合、既存のモデリングやシミュレーション機能と類似しています。本報告書は、デジタルツインの概念と目的を明確にすることを目的としています。本レポートでは、デジタルツインの概念と目的を明確にし、デジタル・ツインの新しい定義を提示し、特徴、機能、期待される運用方法について説明しています。次に、デジタルツイン・アーキテクチャがもたらす新たなサイバーセキュリティ上の課題について説明します。最後に、従来のサイバーセキュリティの課題と、NISTの既存のガイダンスや文書との関連で、信頼に関する考察について述べています。

 

1 Introduction 1 序文
2 Definition of Digital Twins 2 「デジタルツイン」の定義
3 Motivation and Vision 3 動機とビジョン
3.1 Advantages of Digital Twin Technology 3.1 デジタルツイン技術の利点
3.2 Expectation of Standards 3.2 標準規格への期待
3.3 A More Detailed Look at Supportive Technologies 3.3 より詳細な支援技術の検討
4 Operations on Digital Twins 4 デジタルツインの運用
4.1 Creation and Definition of Digital Twins 4.1 デジタルツインの作成と定義
4.2 Manipulation and Modification of Digital Twin Definitions 4.2 デジタルツインの定義の操作と変更
4.3 Exchange of Digital Twin Definitions 4.3 デジタルツインの定義の交換
5 Usage Scenarios for Digital Twins 5 デジタルツインの利用シーン
5.1 Viewing Static Models of Digital Twins 5.1 デジタルツインの静的モデルの閲覧
5.2 Executing and Viewing Dynamic Models of Digital Twins 5.2 デジタルツインの動的モデルの実行と閲覧
5.3 Real-time Monitoring of Real-world Entities 5.3 実世界のエンティティのリアルタイムな監視
5.4 Real-time Command and Control of Real-world Entities 5.4 実世界のエンティティのリアルタイムなコマンド&コントロール
6 Highlighted Use Cases 6 注目のユースケース
7 Cybersecurity Considerations 7.サイバーセキュリティに関する考察
7.1 Novel Cybersecurity Challenges 7.1 新たなサイバーセキュリティの課題
7.1.1 Massive Instrumentation of Objects 7.1.1 オブジェクトの大規模な計測
7.1.2 Centralization of Object Measurements 7.1.2 物体計測の集中化
7.1.3 Visualization/Representation of Object Operation 7.1.3 対象物の操作の視覚化と表現
7.1.4 Remote Control of Objects 7.1.4 物体の遠隔操作
7.1.5 Standards for Digital Twin Definitions 7.1.5 デジタルツインの定義に関する規格
7.2 Traditional Cybersecurity Challenges and Tools 7.2 従来のサイバーセキュリティの課題とツール
8 Trust Considerations 8 信頼に関する考察
9 Conclusions 9 結論
References 参考文献

| | Comments (0)

2021.04.17

U.S. GAO 連邦政府は、ITおよびサイバー関連に年間1,000億ドル(11兆円)以上の投資をしているが、多くは失敗またはパフォーマンスが低く、管理が不十分で、セキュリティ上の弱点がある。

こんにちは、丸山満彦です。

U.S. GAOが、連邦政府は、ITおよびサイバー関連に年間1,000億ドル(11兆円)以上の投資をしているが、多くは失敗またはパフォーマンスが低く、管理が不十分で、セキュリティ上の弱点があると報告していますね。。。

(これに限りませんが)こういうことを全世界に公表できるGAOはすごいし、それを当然と考えている米国民はすごいなぁ、と思います。。。

● U.S. GAO

・2021.04.16 Information Technology and Cybersecurity:Significant Attention Is Needed to Address High-Risk Areas

・[PDF] Highlits

・[PDF] INFORMATION TECHNOLOGY AND CYBERSECURITY: Significant Attention Is Needed to Address High-Risk Areas

20210417-144443

Fast Facts 概要
The federal government spends more than $100 billion on IT and cyber-related investments annually—but many of them have failed or performed poorly, have been poorly managed, and have security weaknesses. 連邦政府は、ITおよびサイバー関連の投資に年間1,000億ドル(10兆円)以上を費やしていますが、その多くが失敗したり、パフォーマンスが低かったり、管理が不十分だったり、セキュリティ上の弱点を抱えています。
Improving IT acquisitions and operations management and ensuring cybersecurity have been on our High Risk List since 2015 and 1997, respectively. We testified that little progress has been made. IT取得・運用管理の改善とサイバーセキュリティの確保は、それぞれ2015年と1997年からハイリスクリストに掲載されています。GAOは、それがほとんど進展していないと証言しました。
The federal government and agencies must take action. For example, the government should develop and execute a comprehensive cybersecurity strategy. 連邦政府と各省庁は対策を講じる必要があります。例えば、政府は、包括的なサイバーセキュリティ戦略を策定し、実行する必要があります。
Agencies have yet to implement many of our critical recommendations in these areas. 各省庁は、これらの分野における我々の重要な提言の多くをまだ実施していません。
   
Highlights ハイライト
What GAO Found GAOの調査結果
In its March 2021 high-risk series update, GAO reported that significant attention was needed to improve the federal government's management of information technology (IT) acquisitions and operations, and ensure the nation's cybersecurity. Regarding management of IT, overall progress in addressing this area has remained unchanged. Since 2019, GAO has emphasized that the Office of Management and Budget (OMB) and covered federal agencies need to continue to fully implement critical requirements of federal IT acquisition reform legislation, known as the Federal Information Technology Acquisition Reform Act (FITARA), to better manage tens of billions of dollars in IT investments. For example: GAOは、2021年3月のハイリスクシリーズの更新で、連邦政府の情報技術(IT)の取得と運用の管理を改善し、国のサイバーセキュリティを確保するために、重要な注意が必要であると報告しました。ITの管理については、全体的な取り組みの進捗状況は変わっていません。2019年以降、GAOは、数百億ドル規模のIT投資をよりよく管理するために、連邦情報技術取得改革法(FITARA)として知られる連邦IT取得改革法の重要な要件を、行政管理予算局(OMB)と対象となる連邦機関が引き続き完全に実施する必要があることを強調してきました。例えば、以下のようなものがあります。
・OMB continued to demonstrate leadership commitment by issuing guidance to implement FITARA statutory provisions, but sustained leadership and expanded capacity were needed to improve agencies' management of IT. ・OMBは、FITARAの法的規定を実施するためのガイダンスを発行し、引き続きリーダーシップを発揮しましたが、各省庁のIT管理を改善するためには、持続的なリーダーシップと能力の拡大が必要でした。
・Agencies continued to make progress with reporting FITARA milestones and plans to modernize or replace obsolete IT investments, but significant work remained to complete these efforts. ・各省庁は、FITARA のマイルストーンの報告や、老朽化した IT 投資の近代化や置き換えの計画について、引き続き進展がありましたが、これらの取り組みを完了させるには大きな課題が残っていました。
・Agencies improved the involvement of their agency Chief Information Officers in the acquisition process, but greater cost savings could be achieved if IT acquisition shortcomings, such as reducing duplicative IT contracts, were addressed. ・各省庁は、取得プロセスにおける省庁の最高情報責任者の関与を改善しましたが、重複するIT契約の削減など、IT取得の欠点に取り組めば、より大きなコスト削減が可能です。
In March 2021, GAO reiterated the need for agencies to address four major cybersecurity challenges facing the nation: (1) establishing a comprehensive cybersecurity strategy and performing effective oversight, (2) securing federal systems and information, (3) protecting cyber critical infrastructure, and (4) protecting privacy and sensitive data. GAO identified 10 actions for agencies to take to address these challenges. However, since 2019, progress in this area has regressed—GAO's 2021 rating of leadership commitment declined from met to partially met. To help address the leadership vacuum, in January 2021, Congress enacted a statute establishing the Office of the National Cyber Director. Although the director position has not yet been filled, on April 12 the President announced his intended nominee. Overall, the federal government needs to move with a greater sense of urgency to fully address cybersecurity challenges. In particular: 2021年3月、GAOは、国家が直面している4つの主要なサイバーセキュリティの課題に各省庁が取り組む必要性を改めて指摘しました。(1)包括的なサイバーセキュリティ戦略の確立と効果的な監督の実行、(2)連邦政府のシステムと情報の保護、(3)サイバー重要インフラの保護、(4)プライバシーと機密データの保護。GAOは、これらの課題に対処するために各機関が取るべき10の行動を特定しました。しかし、2019年以降、この分野での進捗は後退しており、GAOの2021年の評価では、リーダーシップのコミットメントが「満たされている」から「部分的に満たされている」に低下した。リーダーシップの空白に対処するため、2021年1月、議会は国家サイバー長官室を設立する法令を制定しました。局長職はまだ任命されていませんが、4月12日に大統領が候補者を発表しました。全体として、連邦政府は、サイバーセキュリティの課題に完全に対処するために、より大きな緊急性を持って動く必要があります。具体的には
・Develop and execute a more comprehensive federal strategy for national cybersecurity and global cyberspace. In September 2020, GAO reported that the cyber strategy and implementation plan addressed some, but not all, of the desirable characteristics of national strategies, such as goals and resources needed. ・国家的なサイバーセキュリティとグローバルなサイバースペースのための、より包括的な連邦戦略を策定し、実行する。2020年9月、GAOは、サイバー戦略と実行計画は、目標や必要なリソースなど、国家戦略の望ましい特性のすべてではないが、一部に対応していると報告した。
・Mitigate global supply chain risks. In December 2020, GAO reported that few of the 23 civilian federal agencies it reviewed implemented foundational practices for managing information and communication technology supply chain risks. ・グローバルなサプライチェーンのリスクを軽減する。2020年12月、GAOは、レビューした23の文民連邦機関のうち、情報通信技術のサプライチェーンリスクを管理するための基礎的なプラクティスを実施しているところは少ないと報告した。
・Enhance the federal response to cyber incidents. In July 2019, GAO reported that most of 16 selected federal agencies had deficiencies in at least one of the activities associated with incident response processes. ・サイバーインシデントに対する連邦政府の対応を強化する。2019年7月、GAOは、選択した16の連邦機関のほとんどが、インシデント対応プロセスに関連する活動の少なくとも1つに不備があると報告した。
Why GAO Did This Study GAOがこの調査を行った理由
The effective management and protection of IT has been a longstanding challenge in the federal government. Each year, the federal government spends more than $100 billion on IT and cyber-related investments; however, many of these investments have failed or performed poorly and often have suffered from ineffective management. ITを効果的に管理・保護することは、連邦政府の長年の課題となっています。毎年、連邦政府はITやサイバー関連の投資に1,000億ドル以上を費やしていますが、これらの投資の多くは失敗したり、パフォーマンスが低下したりしており、しばしば効果的でない管理に悩まされています。
Accordingly, GAO added improving the management of IT acquisitions and operations as a high-risk area in February 2015. Information security has been on the high-risk area since 1997. In its March 2021 high-risk update, GAO reported that significant actions were required to address IT acquisitions and operations. Further, GAO noted the urgent need for agencies to take 10 specific actions on four major cybersecurity challenges. そのため、GAOは2015年2月に、ITの取得と運用の管理を改善することを高リスク分野として追加しました。情報セキュリティは1997年から高リスク領域に入っています。GAOは、2021年3月のハイリスクアップデートで、ITの取得と運用に対応するために重要なアクションが必要であると報告した。さらにGAOは、サイバーセキュリティの4つの主要な課題について、各機関が10の具体的な行動をとることが急務であると指摘しました。
GAO was asked to testify on federal agencies' efforts to address the management of IT and cybersecurity. For this testimony, GAO relied primarily on its March 2021 high-risk update and selected prior work across IT and cybersecurity topics. GAOは、ITとサイバーセキュリティの管理に対処する連邦政府機関の取り組みについて証言するよう求められました。この証言のために、GAOは主に2021年3月のハイリスク・アップデートと、ITとサイバーセキュリティのトピックにわたる厳選された先行研究に依拠した。 

 

 

■ 関連

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.03.25 U.S. GAO High-Riskシリーズ:連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.03.16 U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」

・2021.03.16 U.S. GAO CISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。。。(CISAも同意済み)

・2021.03.08 U.S. GAO 国防省に兵器システムについてサイバーセキュリティ要件を購買プログラム契約で定義し、作業を承認または拒否するための基準と、要件が満たされていることを政府が確認する方法についての基準を確立する必要があると指摘

・2021.03.07 U.S. GAO ハイリスクリスト 2021 (サイバーセキュリティはリスクが高まっているという評価のようです...)

・2020.12.27 U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます

・2020.11.21 米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

・2020.10.14 米国GAOは連邦航空局がアビオニクスのリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。

・2020.09.29 米国GAO が「国家サイバー戦略」の完全実施のためにリーダーシップを明確にするために議会がリーダーを指名するように提案していますね。

・2020.09.24 U.S. GAO サイバー空間安全保証・新興技術局の設立計画の策定に関連する連邦機関を関与させていない

・2020.09.18 米国GAO 財務省は金融セクターのサイバーセキュリティリスク軽減の取り組みについての追跡調査を改善する必要がある

・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

・2020.08.06 US-GAO GAOがOMBにIT管理、サイバーセキュリティの監査結果を伝えていますが結構厳しい・・・

・2020.07.20 US GAO 連邦政府のIT人材のニーズの優先順位付け

2020.06.23 GAO GreenbookとOMB Circular No. A-123

・2020.06.22 US-GAO 米空軍は強化されたエンタープライズリスクマネジメントと内部統制評価を通じてミッションクリティカルな資産に対する説明責任を向上させることができる

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

・2020.05.17 GAO 重要インフラ保護:国土安全保障省はリスクが高い化学施設のサイバーセキュリティにもっと注意を払え

・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ!という報告書

・2020.03.22 GAO CRITICAL INFRASTRUCTURE PROTECTION: Additional Actions Needed to Identify Framework Adoption and Resulting Improvements

・2016.09.20 US GAO "Federal Chief Information Security Officers: Opportunities Exist to Improve Roles and Address Challenges to Authority"

 

 

| | Comments (0)

日本公認会計士協会 「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びIT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」」の公表とIT委員会実務指針第2号「Trustサービスに係る実務指針(中間報告)」 IT委員会実務指針第5号「ITに係る保証業務等の実務指針(一般指針)」等の廃止について

こんにちは、丸山満彦です。

日本公認会計士協会が、情報セキュリティの監査に関係する基準として、

  • 「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」
  • IT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」」

を公表し、

  • IT委員会実務指針第2号 Trustサービスに係る実務指針(中間報告)
  • IT委員会実務指針第5号 ITに係る保証業務等の実務指針(一般指針) 
  • IT委員会研究報告第45号 保証業務実務指針3852「受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の保証報告書に関する実務指針」の実施上の留意点

を廃止しましたね。。。

● 日本公認会計士協会 (JICPA)

・2021.04.16 「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びIT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」」の公表について

 

20210417-41623

廃止の方はこちら...

・2021.04.16 IT委員会実務指針第2号「Trustサービスに係る実務指針(中間報告)」 の廃止について

・2021.04.16 IT委員会実務指針第5号「ITに係る保証業務等の実務指針(一般指針)」 の廃止について

・2021.04.16 IT委員会研究報告第45号「保証業務実務指針3852「受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の保証報告書に関する実務指針」の実施上の留意点」の廃止について



論点とかは、この基準の公開草案が出た時のブログに少し詳しく書いていますので、そちらを参考にしてください!!!

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.26 日本公認会計士協会がTrust規準以外の情報セキュリティ監査ができるように基準を変えるようですよ(公開草案を公表しています)

 

| | Comments (0)

2021.04.16

FedRAMP インシデント・コミュニケーション手順4.0の公表

こんにちは、丸山満彦です。

これも、2021.04.15の一連の措置の一環として、CISA緊急指令への対応が含まれていますね。。。

FedRAMP

・2021.04.15 (blog) Release of FedRAMP Incident Communications Procedures

・[PDF] FedRAMP Incident Communications Procedures Version 4.0

20210416-105829

Introduction and Purpose 序文・目的
Applicability 適用
Compliance コンプライアンス
Applicable Laws and Regulations 適用法と規制
Applicable Standards and Guidance 適用される基準とガイダンス
Assumptions 前提条件
Roles and Responsibilities 役割と責任
CSP General Reporting Process クラウド・サービス・プロバイダーの一般的な報告プロセス
JAB Reviewers’ Responsibilities 共同承認ボードのレビュアーの責任
Appendix A: CSP General Reporting Process Graphic 附属書A:クラウド・サービス・プロバイダーの一般的な報告プロセスのグラフィック

 

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.16 White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー軍と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

2021.03.27 上院軍事委員会公聴会特殊作戦コマンドとサイバーコマンド

・2021.03.19 米国 下院エネルギー・商業委員会は、SolarWindsサイバー攻撃に関する情報を要求する超党派議員に関する声明を発表し、関係省庁に質問状を送付していますね。。。

・2021.01.07 米国 FBI,、CISA,、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。

・2021.01.01 U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用しているとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。

2020.12.21 U.S. NSA 認証メカニズムを悪用してクラウド上のリソースに攻撃者がアクセスすることについての注意喚起

・2020.12.19 米国国土安全保障省 緊急指令21-01 関連。。。SolarWinds Orion Code Compromise

 

 

| | Comments (0)

White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー軍と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

こんにちは、丸山満彦です。

White Houseはロシアに制裁のための大統領令を出していますね。。。

White House

・2021.04.15 FACT SHEET: Imposing Costs for Harmful Foreign Activities by the Russian Government

その中で、SolarWindsの件にも触れられていますね。。。

Further Responses to the SolarWinds Malicious Cyber Activity SolarWindsの悪意あるサイバー活動へのさらなる対応
Today the United States is formally naming the Russian Foreign Intelligence Service (SVR), also known as APT 29, Cozy Bear, and The Dukes, as the perpetrator of the broad-scope cyber espionage campaign that exploited the SolarWinds Orion platform and other information technology infrastructures. The U.S. Intelligence Community has high confidence in its assessment of attribution to the SVR. 本日、米国は、APT29、Cozy Bear、The Dukesとしても知られるロシア対外情報庁(SVR)を、SolarWinds Orionプラットフォームやその他の情報技術インフラを悪用した広範囲のサイバースパイキャンペーンの実行者として正式に指名します。米国の情報コミュニティは、SVRへの帰属を確信しています。
The SVR’s compromise of the SolarWinds software supply chain gave it the ability to spy on or potentially disrupt more than 16,000 computer systems worldwide. The scope of this compromise is a national security and public safety concern. Moreover, it places an undue burden on the mostly private sector victims who must bear the unusually high cost of mitigating this incident. SVRがSolarWindsのソフトウェアサプライチェーンを侵害したことで、世界中の16,000以上のコンピュータシステムをスパイしたり、混乱させることができるようになりました。この危殆化の範囲は、国家安全保障および公共の安全に関わる問題です。さらに、被害者のほとんどが民間企業であることから、この事件を軽減するための異常に高いコストを負担しなければならないという、不当な負担を強いられています。
Today, the National Security Agency, the Cybersecurity & Infrastructure Security Agency, and the Federal Bureau of Investigation are jointly issuing a cybersecurity advisory, “Russian SVR Targets U.S. and Allied Networks,” that provides specific details on software vulnerabilities that the SVR uses to gain access to victim devices and networks. The advisory also provides specific steps that network defenders can take to identify and defend against the SVR’s malicious cyber activity. 本日、米国家安全保障局、サイバーセキュリティ・インフラ安全保障局、連邦捜査局は共同でサイバーセキュリティ勧告「Russian SVR Targets U.S. and Allied Networks」を発表し、SVRが被害者の機器やネットワークへのアクセスに使用するソフトウェアの脆弱性について具体的な内容を示しています。この勧告では、SVRが被害者の機器やネットワークにアクセスする際に使用するソフトウェアの脆弱性について具体的に説明しているほか、SVRの悪質なサイバー活動を特定し、それを防御するためにネットワーク防御者が取るべき具体的な方法についても言及しています。
Additionally, the SVR’s compromise of SolarWinds and other companies highlights the risks posed by Russia’s efforts to target companies worldwide through supply chain exploitation. Those efforts should serve as a warning about the risks of using information and communications technology and services (ICTS) supplied by companies that operate or store user data in Russia or rely on software development or remote technical support by personnel in Russia.  The U.S. government is evaluating whether to take action under Executive Order 13873 to better protect our ICTS supply chain from further exploitation by Russia. さらに、SVRによるSolarWinds社などの不正アクセスは、ロシアがサプライチェーンを悪用して世界中の企業を標的にしていることのリスクを浮き彫りにしています。このような取り組みは、ユーザーデータをロシアで運用・保管している企業や、ロシア国内の人員によるソフトウェア開発や遠隔技術サポートに依存している企業が提供する情報通信技術・サービス(ICTS)を利用する際のリスクに対する警告となります。  米国政府は、ロシアによる更なる悪用からICTSサプライチェーンをより良く保護するために、大統領令第13873号に基づいて行動を起こすかどうかを検討しています。
Supporting a Global Cybersecurity Approach グローバルなサイバーセキュリティアプローチの支援
The United States continues to strongly affirm the importance of an open, interoperable, secure, and reliable Internet. Russia’s actions run counter to that goal, which is shared by many of our allies and partners. To strengthen our collective approach to bolstering cybersecurity, we are announcing two additional steps: 米国は、オープンで相互運用性があり、安全で信頼できるインターネットの重要性を引き続き強く主張しています。ロシアの行動は、多くの同盟国やパートナーが共有しているこの目標に反するものです。サイバーセキュリティを強化するための集団的アプローチを強化するために、我々は2つの追加措置を発表します。
First, the United States is bolstering its efforts to promote a framework of responsible state behavior in cyberspace and to cooperate with allies and partners to counter malign cyber activities. We are providing a first-of-its kind course for policymakers worldwide on the policy and technical aspects of publicly attributing cyber incidents, which will be inaugurated this year at the George C. Marshall Center in Garmisch, Germany. We are also bolstering our efforts through the Marshall Center to provide training to foreign ministry lawyers and policymakers on the applicability of international law to state behavior in cyberspace and the non-binding peacetime norms that were negotiated in the United Nations and endorsed by the UN General Assembly. まず、米国は、サイバー空間における国家の責任ある行動の枠組みを推進し、同盟国やパートナーと協力して悪意あるサイバー活動に対抗するための取り組みを強化します。米国は、世界中の政策立案者を対象に、サイバー事件の公表に関する政策的および技術的側面についての初のコースを提供しており、このコースは今年、ドイツのガルミッシュにあるジョージ・C・マーシャルセンターで開始されます。また、マーシャルセンターでは、サイバー空間での国家の行動に対する国際法の適用性や、国連で交渉され国連総会で承認された拘束力のない平時の規範について、外務省の弁護士や政策立案者にトレーニングを提供する取り組みも強化しています。
Second, we are reinforcing our commitment to collective security in cyberspace. The Department of Defense is taking steps to incorporate additional allies, including the UK, France, Denmark, and Estonia, into the planning for CYBER FLAG 21-1, which is an exercise designed to improve our defensive capabilities and resiliency in cyberspace.  CYBER FLAG 21-1 will build a community of defensive cyber operators and improve overall capability of the United States and allies to identify, synchronize, and respond in unison against simulated malicious cyberspace activities targeting our critical infrastructure and key resources. 次に、サイバー空間における集団安全保障への取り組みを強化しています。国防総省は、英国、フランス、デンマーク、エストニアを含む追加の同盟国を、サイバースペースにおける防衛能力と回復力を向上させるための演習である「CYBER FLAG 21-1」の計画に組み込むための措置を講じています。  CYBER FLAG 21-1は、サイバー空間における防御能力と回復力の向上を目的とした演習で、防衛的なサイバーオペレーターのコミュニティを構築し、米国と同盟国が重要なインフラや重要な資源を標的とした悪意のあるサイバー空間の活動を特定し、同期し、一体となって対応するための総合的な能力を向上させます。

 

大統領令

・2021.04.15 Executive Order on Blocking Property with Respect to Specified Harmful Foreign Activities of the Government of the Russian Federation

 

関連

・2021.04.15 A Letter on Blocking Property with Respect to Specified Harmful Foreign Activities of the Government of the Russian Federation

・2021.04.15 16:56 EDT Remarks by President Biden on Russia

・2021.04.15 09:36 EDT Background Press Call by Senior Administration Officials on Russia

1_20210414191001

 

U.S. Embassy & Consulates in Russia

・2021.04.15 Holding Russia To Account. Statement by Secretary Anthony J. Blinken

 

下院の安全保障委員会

U.S House Committee on Homeland Security

・2021.04.15 CHAIRMAN THOMPSON STATEMENT ON THE BIDEN ADMINISTRATION ANNOUNCING NEW SANCTIONS AGAINST RUSSIA

(WASHINGTON) – Today, Rep. Bennie G. Thompson (D-MS), Chairman of the Committee on Homeland Security, released the following statement after the Biden Administration announced a new executive order and additional sanctions to hold Russia accountable for the SolarWinds hack and their interference in the 2020 election:

上院の軍事委員会

U.S. SENATE ARMED SERVICES COMMITTEE

・2020.04.14 To receive testimony on Future Cybersecurity Architectures.

上院の議員からZero Trust Frameworkという言葉が出てきていますね。。。

Witnesses

  1. Mr. Robert Joyce
    Director Of Cybersecurity National Security Agency
  2. Mr. David McKeown
    Senior Information Security Officer/ Chief Information Officer For Cybersecurity Department Of Defense
  3. Rear Admiral William Chase III
    Senior Military Advisor For Cyber Policy To The Under Secretary Of Defense For Policy/Deputy Principal Cyber Advisor To The Secretary Of Defense Secretary Of Defense

 


U.S. サイバー軍と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開していますね。。。

U.S. Cyber Command

・2021.04.15 US Cyber Command, DHS-CISA release Russian malware samples tied to SolarWinds compromise

 

● CISA

・2021.04.15 Malware Analysis Report (AR21-105A) - MAR-10327841-1.v1 – SUNSHUTTLE

ロシアのSVR Foreign Intelligence Service [wikipedia] (ロシア対外情報庁)(APT 29、Cozy Bear、The Dukes)に起因する、SolarWindsOrionネットワーク管理ソフトウェアのサプライチェーンの侵害に関連する悪意のある18のファイルと挙動等に関する分析を記載していますね。。。

Remediating Networks Affected by the SolarWinds and Active Directory/M365 Compromise

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.16 FedRAMP インシデント・コミュニケーション手順4.0の公表

2021.03.27 上院軍事委員会公聴会特殊作戦コマンドとサイバーコマンド

・2021.03.19 米国 下院エネルギー・商業委員会は、SolarWindsサイバー攻撃に関する情報を要求する超党派議員に関する声明を発表し、関係省庁に質問状を送付していますね。。。

・2021.01.07 米国 FBI,、CISA,、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。

・2021.01.01 U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用しているとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。

2020.12.21 U.S. NSA 認証メカニズムを悪用してクラウド上のリソースに攻撃者がアクセスすることについての注意喚起

・2020.12.19 米国国土安全保障省 緊急指令21-01 関連。。。SolarWinds Orion Code Compromise

» Continue reading

| | Comments (0)

JNSA デジタル署名検証ガイドライン

こんにちは、丸山満彦です。

JNSAが「デジタル署名検証ガイドライン」を公表していますね。。。このガイドラインは、”電子署名のうち公開鍵暗号技術に基づくデジタル署名について検証のガイドライン”を示すものということのようです。

● JNSA

・2021.04.15 デジタル署名検証ガイドライン

・2021.03.31 [PDF] デジタル署名検証ガイドライン 第 1.0 版

20210416-13920

 



 

 

 

» Continue reading

| | Comments (0)

U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉?凶?

こんにちは、丸山満彦です。

米国のRand研究所[wikipedia]が衛星インターネットサービスが権威主義的な国に対して影響を与えることができるが、そのような国ではそれを見越した法整備を進めているというような内容のブログ記事を掲載していますね。。。

RAND Corporation

・2021.04.12 Satellite Internet Services—Fostering the Dictator's Dilemma? by Michael Schwille and Scott Fisher

 

Constellations of low-altitude, low-latency satellites providing broadband internet access to wide swathes of the earth are an impending challenge to the information dominance enjoyed by the world's authoritarian states. Whether Amazon's proposed Project Kuiper, Elon Musk's Starlink (already functional in some areas of North America), or the United Kingdom funded OneWeb, the ability to provide relatively low cost internet access outside of government control is both a challenge for authoritarian states and an opportunity for democracies. 低高度・低遅延の衛星を使って地球上の広い範囲にブロードバンド・インターネット・アクセスを提供するコンステレーションは、世界の権威主義国家が享受している情報支配に対する差し迫った挑戦です。アマゾンが提案している「プロジェクト・カイパー」、イーロン・マスク氏の「スターリンク」(北米の一部地域ではすでに機能しています)、イギリスが出資する「ワンウェブ」など、政府の管理下にない比較的低コストのインターネットアクセスを提供できることは、権威主義国家にとっての課題であると同時に、民主主義国家にとってのチャンスでもあります。
In Russia, the Duma is already considering a law to criminalize access to such satellite services. China is not only planning to launch a competing service, it has Starlink's Musk concerned about having his satellites “blown up.” North Korea, which bans its citizens from accessing the internet and (in)famously attacks leaflets with machine guns, shells loudspeakers with artillery, and punishes citizens for accessing Chinese cellphone towers, has yet to comment publicly on such services. Given this history though, Pyongyang's reaction is unlikely to be very positive. ロシアでは、連邦議会がこのような衛星サービスへのアクセスを犯罪とする法律をすでに検討しています。中国は、競合するサービスの立ち上げを計画しているだけでなく、スターリンクを運用しているマスク氏は、自分の衛星が「吹き飛ばされる」ことを懸念しています。国民のインターネットアクセスを禁止し、機関銃でビラを撃ち、大砲で拡声器を撃ち、中国の携帯電話の電波塔にアクセスした国民を罰することで有名な北朝鮮は、このようなサービスについてまだ公にコメントしていません。しかし、過去の経緯から、平壌の反応は良いものではないでしょう。

1_20210416012001

続きは↓

» Continue reading

| | Comments (0)

2021.04.15

カプコン 不正アクセスに関する調査結果のご報告【第4報】

こんにちは、丸山満彦です。

2020.11.16に【プレスリリース】不正アクセスによる情報流出に関するお知らせとお詫びをしたカプコンさんですが、2021.04.13に不正アクセスに関する調査結果のご報告【第4報】を公表していますね。

 

● カプコン

・2021.04.13 不正アクセスに関する調査結果のご報告【第4報】

 

身代金については、


6.身代金額に関する認知について

ランサムウェアに感染した機器上には攻撃者からのメッセージファイルが残置されており、攻撃者との交渉に向けたコンタクトを要求されたことは事実ですが、同ファイルには身代金額の記載はありませんでした。既報の通り、当社は警察とも相談の上、攻撃者との交渉をしないことといたしましたので、実際には、一切コンタクトも図っていないことから(2020年11月16日発表のプレスリリース参照)、当社では金額を確知しておりません。


となっていますね。

米国でもランサムウェアの攻撃者に対して身代金を払うことは推奨しない立場ですね。。。

参考↓

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.30 米国CISA 経済的利益を目的としてヘルスケア業界をターゲットにしたサイバー犯罪者が、ランサムウェアをシステムに感染させるために使用する、戦術・技術・手順(TTP)の説明

 

ちなみに、カプコンさんは、今回の事件を契機に、「セキュリティ監督委員会」を2021年1月下旬に発足していますが、外部専門家として、


立命館大学 上原哲太郎 教授、英知法律事務所 岡村久道 弁護士、大阪大学 猪俣敦夫 教授、PwCコンサルティング合同会社 丸山満彦 パートナー


と公表されていまして、私も外部専門家に入っております。ということで、この件については公開情報のみということで(^^)

↓Ransomwareをまるちゃんブログで検索... 

1_20210415075201

 

| | Comments (0)

IPA 「各国政府のセキュリティ政策に関する実施体制、法制度及び認証制度調査」報告書 <= 暗号の話です

こんにちは、丸山満彦です。

IPAが、「各国政府のセキュリティ政策に関する実施体制、法制度及び認証制度調査」報告書を公表していますが、暗号の話が中心です。表題と内容がいまいち会っていない感じですが、暗号に関する政策と思って読めば問題ないです...

報告書の概要ですが、

  • 調査対象国等:米国、英国、フランス、ドイツ、エストニア、ロシア、中国、韓国、オーストラリア、EU
  • 調査概要:暗号に関わるセキュリティ政策に関する組織体制、役割、法制度、最新の政策動向
  • 調査方法:文献・Webによる調査
  • 文献調査での主な確認事項
  1. 暗号に関わるセキュリティ政策の遂行に関連する法制度
  2. 暗号方式の利用に関連する法制度やガイドライン等
  3. セキュリティ認証制度に関連する法制度やガイドライン等
  4. 政府のセキュリティ製品の調達要件に関連する法制度やガイドライン等
  5. 暗号に関連する輸出入規制についての法制度やガイドライン等
  6. その他、暗号又はセキュリティに関連するサービスに対する法制度やガイドライン等

● IPA

・2021.04.14「各国政府のセキュリティ政策に関する実施体制、法制度及び認証制度調査」報告書の公開

・[PDF] 各国政府のセキュリティ政策に関する実施体制、法制度及び認証制度調査 — 調査報告書 —

20210414-224738

 

 

前回の調査

・2015.05.26 「暗号利用環境に関する動向調査」報告書の公開

・[PDF] 暗号利用環境に関する動向調査 - 調査報告書 -

20210414-225059

| | Comments (0)

2021.04.14

White Houseのウェブページにもソフトウェアの脆弱性についてのプレスが掲載されていますね。。。

こんにちは、丸山満彦です。

White Houseのウェブページにもソフトウェアの脆弱性についてのプレスが掲載されていますね。。。

● Whitehouse

・2021.04.13 Statement from Deputy National Security Advisor for Cyber & Emerging Technologies Anne Neuberger on New Microsoft Exchange Patches

Statement from Deputy National Security Advisor for Cyber & Emerging Technologies Anne Neuberger on New Microsoft Exchange Patches アン・ニューバーガー副国家安全保障顧問(サイバー・新技術担当)によるMicrosoft Exchangeの新パッチに関する声明
Cybersecurity is a top priority for the Biden Administration and we’re committed to sharing actionable and timely information to help the American public operate safely online. サイバーセキュリティは、バイデン政権の最優先事項であり、米国民がオンラインで安全に活動できるよう、実用的でタイムリーな情報を共有することを約束します。
Microsoft released a set of Exchange patches today that are critical. We urge all owners and operators of Microsoft Exchange Servers to apply these latest patches immediately. The U.S. Government will lead by example – we are requiring all agencies to immediately patch their Exchange servers, as well. Should these vulnerabilities evolve into a major incident, we will manage the incident in partnership with the private sector, building on the Unified Coordination Group processes established and exercised in the recent Microsoft Exchange incident. 本日、マイクロソフト社がリリースした一連のExchangeパッチは非常に重要なものです。Microsoft Exchange Serverの所有者および運営者の皆様には、これらの最新パッチを直ちに適用することをお勧めします。米国政府も例に漏れず、すべての政府機関にExchangeサーバに直ちにパッチを適用するよう求めています。これらの脆弱性が重大なインシデントに発展した場合には、最近のMicrosoft Exchangeインシデントで確立され、実施されたUnified Coordination Group(統合調整グループ)のプロセスを基に、民間企業と協力してインシデントを管理します。
The U.S. government discovered and notified Microsoft on these vulnerabilities. The U.S. Government carefully weighs the national security, public, and commercial interests in deciding to disclose a vulnerability. Moreover, we recognize when vulnerabilities may pose such a systemic risk that they require expedited disclosure. This disclosure is an example of the responsible and transparent approach the U.S. government uses when handling vulnerabilities. This is consistent with our expectations for how responsible governments and companies can work together to promote cybersecurity.  米国政府は、これらの脆弱性を発見し、マイクロソフトに通知しました。米国政府は、脆弱性の開示を決定する際に、国家安全保障、公共、商業上の利益を慎重に考慮します。さらに、脆弱性が迅速な開示を必要とするようなシステム上のリスクをもたらす場合も認識しています。今回の公開は、米国政府が脆弱性を取り扱う際に用いている責任ある透明なアプローチの一例です。これは、責任ある政府と企業がサイバーセキュリティを促進するためにどのように協力するかについての我々の期待と一致しています」と述べています。

 

1_20210414191001

 


■ 関連

● Department of Homeland Security: DHS - Emergency Directive 21-02

・2021.04.13 supplemental direction v2 

● Cyberseurity & Infrastracture Security Agency: CISA

MITIGATE MICROSOFT EXCHANGE ON-PREMISES PRODUCT VULNERABILITIES 

 

裁判所はFBIに対して、脆弱なMicrosoft Exchange Serverに仕込まれたバックドアのweb shellを使って、そのweb shell自身を削除する許可を与えていますね。。。実際に実行して、後から削除をした旨を通知するようですね。おそらくそのタイミングで「パッチをあてろよ」と言うんでしょうね。

● U.S. Department of Justice

・2021.04.13 Justice Department Announces Court-Authorized Effort to Disrupt Exploitation of Microsoft Exchange Server Vulnerabilities

Action Copied and Removed Web Shells that Provided Backdoor Access to Servers, but Additional Steps may be Required to Patch Exchange Server Software and to Expel Hackers from the Victims’ Networks.

・2021.04.13 Justice Department announces court-authorized effort to disrupt exploitation of Microsoft Exchange Server vulnerabilities

Action copied and removed web shells that provided backdoor access to servers, but additional steps may be required to patch Exchange Server software and expel hackers from victim networks.

 

| | Comments (0)

NISC 「サイバーセキュリティ研究開発戦略(改訂案)」に関する意見募集について

こんにちは、丸山満彦です。

NISCが「サイバーセキュリティ研究開発戦略(改訂案)」に対して意見募集をしていますね。。。

● NISC

・2021.04.13 「サイバーセキュリティ研究開発戦略(改訂案)」に関する意見募集について

期限は4月23日(金)17時までのようですので、意見があれば急いで...

・[PDF] 「サイバーセキュリティ研究開発戦略(改訂案)」

20210414-163535

| | Comments (0)

Cloud Security Alliance 暗号資産交換セキュリティガイドライン

 こんにちは、丸山満彦です。

Cloud Security Alliance: CSAが暗号資産交換セキュリティガイドラインを公表していますね。。。

そういえば、本日のお昼ごろは暗号資産関係の方と少し話をしておりました。。。

Cloud Security Alliance: CSA

・2021.04.13 CSA Crypto-Asset Exchange Security Guidelines Abstract

・[PDF]は簡単な質問に答えると入手できます。

20210413-234458

 

Key Takeaways: 要点
The types of attacks that threaten crypto-asset exchanges 暗号資産取引所を脅かす攻撃の種類
The details of a centralized exchange reference architecture that applies to a broad spectrum of crypto-asset exchanges 広範な暗号資産取引所に適用される集中型取引所リファレンスアーキテクチャの詳細
Crypto-asset exchange security best practices for end-users, exchange operators, and auditors エンドユーザ、取引所運営者、監査人向け暗号資産取引所セキュリティのベストプラクティス
Crypto-asset exchange administrative and physical security control measures including: legal considerations, risk management, information access management, security awareness and training, workstation security, and more 法的考察、リスク管理、情報アクセス管理、セキュリティ意識とトレーニング、ワークステーションのセキュリティを含む、暗号アセット取引所の管理および物理的なセキュリティ管理対策

 

目次は、

1. Crypto-Asset Exchange Threat Modeling 1. 暗号資産取引所の脅威モデル
Threat Models Against Exchanges 取引所に対する脅威モデル
2. Crypto-assets Exchange Security Reference Architecture 2. 暗号資産取引所のセキュリティ参照アーキテクチャ
3. Crypto-Asset Exchange Security Best Practices 3. 暗号資産取引所のセキュリティのベストプラクティス
3.1 Security Best Practices from End-User Perspective 3.1 エンドユーザから見たセキュリティのベストプラクティス
3.2 Security best practices from Exchange Operator’s perspective 3.2 取引所運営者から見たセキュリティのベストプラクティス
3.3 Security Best Practices from Auditor’s Perspective 3.3 監査人から見たセキュリティのベストプラクティス
4. Crypto-asset Exchange Administrative and Physical Security 4. 暗号資産取引所の管理的・物理的セキュリティ
4.1 Administrative Controls 4.1 管理的コントロール
4.2 Crypto-asset Exchange Legal Aspects 4.2 暗号資産取引所の法的側面
4.3 Insurance for Exchanges: Internal and External 4.3 取引所の保険:内部・外部
4.4 Exchange Alliance for Security Incidents 4.4 セキュリティインシデントに対する取引所の提携
4.5 Risk Management Process 4.5 リスク管理プロセス
4.6 Assigned Security Responsibility 4.6 割り当てられたセキュリティ責任
4.7 Policies and Procedures 4.7 方針と手続き
4.8 Information Access Management 4.8 情報アクセス管理
4.9 Security Awareness and Training 4.9 セキュリティに関する意識向上とトレーニング
4.10 Security Incident Management Procedures 4.10 セキュリティインシデント管理手順
4.11 Contingency Plan 4.11 コンティンジェンシー計画
4.12 Evaluation 4.12 評価
4.13 Physical Controls 4.13 物理的コントロール

 

3.1 エンドユーザから見たセキュリティのベストプラクティス3.2 取引所運営者から見たセキュリティのベストプラクティス

3.1 Security Best Practices from End-User Perspective 3.1 エンドユーザから見たセキュリティのベストプラクティス
1. Use reputable and safe exchanges 1. 信頼できる安全な取引所の利用
2. Password management and Two-Factor or Multi-Factor Authentication 2. パスワード管理と2要素または多要素認証
3. Use a separate device 3. 別デバイスの使用
4. Understand the key concepts associated with wallet application 4. 財布アプリケーションに関する重要なコンセプトの理解
 Public Key and Address  公開鍵とアドレス
 Private Key  秘密鍵
 Keystore File  鍵保管ファイル
 Mnemonic Phrase (Recovery Phrase)  ニーモニックフレーズ(リカバリーフレーズ)
5. Be careful what you install or click 5. インストール、クリック時の注意
6. Protect sensitive data 6. 大切なデータの保護
7. Keep your device secure 7. デバイスの安全保持
8. Always use secure network connection 8. 安全なネットワーク接続
9. Know different types of wallets and how to use them 9. 財布の種類と使い方の理解
 Paper Wallets  ペーパーウォレット
 Software Wallets  ソフトウェアウォレット
 Hardware Wallets  ハードウェアウォレット
10. Use Multisig for large amount of funds 10. 多額の資金についてのマルチシグの利用
   
3.2 Security best practices from Exchange Operator’s perspective 3.2 取引所運営者から見たセキュリティのベストプラクティス
1. Distributed Denial of Service Attack (DDoS) protection 1. 分散型サービス拒否攻撃(DDoS)対策
 Increase Network Bandwidth  ネットワーク帯域幅の拡大
 Use Early Detection and Packet Monitoring DDoS Attack Mitigation  早期発見とパケット監視による DDoS 攻撃の緩和
 Manage and Block Malicious Traffic  悪質なトラフィックの管理とブロック
 Build Infrastructure Redundancy  インフラの冗長化
 Incorporate ISP Redundancy  ISPの冗長性の確保
 Blocking DDoS Attacks With a Cloud Solution  クラウドソリューションによるDDoS攻撃の遮断
2. Cross-Site Scripting (XSS-Protection) 2. クロスサイトスクリプティング(XSS-Protection)
3. Do Not Expose Server Information 3. サーバ情報の不開示
4. Web Application Firewall 4. ウェブアプリケーションファイアウォール
5. Database Firewall 5. データベースファイアーウォール
6. Third-Party Components and Patch 6. サードパーティ製コンポーネントとパッチ
7. Clickjacking Attack and X-Frame-Options 7. クリックジャッキング攻撃とX-Frame-Options
8. HSTS (HTTP Strict-Transport-Security) and Secure Socket Layer (SSL) 8. HSTS(HTTP Strict-Transport-Security)とSSL(Secure Socket Layer)
9. Applying Machine Learning for Better Protection 9. 機械学習を利用した保護機能の強化
 Flow Analysis  フロー解析
 Address Classification  アドレスの分類
 Analyzing Trading Behaviors  取引行動の分析
 Fraud Detection  不正行為の検知
10. HTTP Public Key Pinning (HPKP) 10. HTTP Public Key Pinning (HPKP)
11. Use Hardware Security Module (HSM) Enabled Wallet 11. ハードウェア・セキュリティ・モジュール(HSM)対応財布の使用
12. Deploy a Zero Trust Architecture 12. ゼロトラストアーキテクチャの導入
13. Error Handling 13. エラー処理
14. 2FA 14. 2要素認証
15. 51% attack 15. 51%攻撃
16. Cloud Service Security Protection 16. クラウドサービスのセキュリティ保護

 

■ 関連

ブロックチェーンのユースケース

・2019.07.31 Documentation of Relevant Distributed Ledger Technology and Blockchain Use Cases v2

・[PDF]は簡単な質問に答えると入手できます。

  • 国際決済
  • 投票
  • 土地登記所
  • 食品サプライチェーン
  • メディアとエンターテインメント
  • 身元
  • 使用料
  • 保険

 

・2018.11.27 Blockchain DLT Use Cases

・[PDF]は簡単な質問に答えると入手できます。

  • 運送
  • 航空券販売
  • 自動再保険
  • Nostro銀行口座の調整
  • 医薬品サプライチェーンのセキュリティ
  • 食品安全
  • 教育
  • サプライチェーン
  • 不動産 

| | Comments (0)

2021.04.13

宇宙の安全保障の将来:30年先の米国の戦略についての提案? by Atlantic Council

こんにちは、丸山満彦です。

米国のシンクタンクのAtlantic Council [wikipedia] が宇宙の安全保障の将来について米国が考えるべき戦略を提案?していますね。。。

興味深いですね。。。

Atlantic Council

・2021.04.11 The future of security in space: A thirty-year US strategy

・[PDF]

20210413-55418  

主要なメッセージは次の3つです。

Space development has reached an inflection point, transitioning from a phase of discovery to phases of security and commerce. 宇宙開発は、発見の段階から安全保障と商取引の段階に移行しています。
Spacefaring countries and companies are harnessing new technologies to push new boundaries, uncovering value while simultaneously opening the door to chaos and competition. 宇宙に進出している国や企業は、新しい技術を利用して新たな限界に挑み、価値を見出すと同時に、混沌とした競争への扉を開きました。
The United States and its allies and partners must take action over the next three decades to secure a future of security and prosperity. 米国とその同盟国やパートナーは、安全と繁栄の未来を確保するために、今後30年間にわたって行動を起こさなければなりません。

目次は次のようになっています。

PDFで読むのも良いかもしれませんが、Webで読む方が読みやすいかもしれません...

FOREWORD  序文 
EXECUTIVE SUMMARY  要約 
I. STRATEGIC CONTEXT  I. 戦略的背景 
Routinization of Earth Orbit  地球周回軌道の通常化
 Great-Power Competition   大国間の競争 
 More States in Space   宇宙における国家の増加 
 Space Sustainability   宇宙の持続可能性 
The Promise of Cislunar Space  地球月間空間の可能性 
Commercial and Defense Technology   商業・防衛技術  
 Commercial and Dual-Use Technology    商用・デュアルユース技術  
 Space Weapons Technology    宇宙兵器技術  
Private-Sector Engagement   民間企業の参画  
II. KEY GOALS FOR US SECURITY STRATEGY IN SPACE  II. 宇宙における米国の安全保障戦略の主要目標 
Promote Stability, Harmony, and Freedoms by Establishing a Rules-based Order for Space  宇宙のルールに基づく秩序を確立し、安定、調和、自由を促進する 
Deter Hostile Action and Secure Space Assets and Access  敵対行為の抑止と宇宙資産およびアクセスの確保 
Foster US and Global Prosperity Through the Continued Expansion of Space Commerce  宇宙商業の継続的な拡大による米国と世界の繁栄の促進 
III. MAJOR ELEMENTS OF THE STRATEGY  III. 戦略の主要要素 
Update and Refine the Legal a Regulatory Framework Governing Space  宇宙を管理する法的・規制的枠組みの更新と精緻化 
Establish a Space Security Alliance  宇宙安全保障同盟の設立 
Accelerate Space Commerce through Clear Regulation and Targeted Investment  明確な規制と焦点を絞った投資による宇宙商業の促進 
 Harness the Private Sector   民間セクターの活用 
 Rocket Transportation   ロケット輸送 
 Invest in Keystone Technologies   基幹技術への投資 
Take a Cislunar Approach to Space 地球月間空間アプローチによる宇宙開発
IV. GUIDELINES FOR IMPLEMENTATION IV. 実施のためのガイドライン
Space Law and Policy 宇宙法と宇宙政策
 Establish a New Comprehensive Space Treaty  新しい包括的宇宙条約の制定
 Amend Existing Treaties  既存の宇宙条約の改正
 Moon Treaty  月面条約
 US Federal Recommendations  米国連邦政府の提言
 US State-Level Recommendations  米国の州レベルの推奨事項
Space Security Alliance 宇宙安全保障同盟
Cislunar Space 地球月間空間
Rocket Transportation ロケット輸送
Emerging Space Defense Technologies 新たな宇宙防衛技術
Public-Private Partnerships 官民パートナーシップ
 Bolster Human Capital    人的資本の強化  
 Public-Private Collaboration    官民連携  
 Speed is Paramount; Investment is Essential    スピードが命、投資が命  
Space Critical Infrastructure and Cybersecurity 宇宙の重要インフラとサイバーセキュリティ
Space Propulsion and ISRU 宇宙の推進力とISRU
Space Situational Awareness and Space Traffic-Management 宇宙の状況認識と宇宙交通管理
 SSA Recommendations    SSAへの提言  
 STM Recommendations    STMの提言  
Summary of Guidelines for Implementation and Strategy Timeline 実施のためのガイドラインと戦略のタイムラインのまとめ
V. CONCLUSION V. 結論
VI. APPENDIX A: PERTINENT SPACE LAW  VI. 附属書A:関連する宇宙法 
ENDNOTES 巻末資料

 

サイバーセキュリティとの関係では、ここでも宇宙関連分野を重要インフラに位置付けるべきという提案がされていますね。。。

7. Space Critical Infrastructure and Cybersecurity 7. 宇宙の重要インフラとサイバーセキュリティ
Space assets are critical to supporting critical infrastructure, from finance to energy and beyond. In fact, space assets are so critical to the communication, timekeeping, and other functions that society relies on that, under the Biden administration, the Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency (CISA) should be directed to evaluate whether space should be declared the seventeenth critical infrastructure sector. Because such designation comes with often-burdensome regulation, that decision should be made only in close consultation with large and small space industry representatives. 宇宙資産は、金融やエネルギーなどの重要なインフラを支える重要なものです。実際、宇宙資産は、通信や時間管理など、社会が必要としている機能にとって非常に重要であるため、バイデン政権は、国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)が、宇宙を17番目の重要インフラ部門として宣言すべきかどうかを評価するよう指示すべきです。この指定には、面倒な規制が伴うため、その決定は、大規模および小規模な宇宙産業の代表者との緊密な協議を経て行われるべきです。
Regardless of its official designation, the space sector is critical, and must be protected from threats, including cyberattacks—not even space-based systems are immune to cyberattacks. The US government should insist on cyber best practices—from supply-chain security to penetration testing to cyber-hygiene trainings for employees—in all of the space projects that it funds, operates, or permits. However, as adversaries evolve, the US government must adapt best practices to account for the shifting operating environments over the short, medium, and long terms. The DoD and private sector should prioritize the resilience of space assets and ground stations so that they can limit harm and gracefully overcome failure when it eventually does occur.158 The National Space Council should regularly study, and publicly report on, cyber threats specific to space. 正式な呼称にかかわらず、宇宙分野は重要であり、サイバー攻撃を含む脅威から守られなければなりません。米国政府は、資金提供、運営、許可を行っているすべての宇宙プロジェクトにおいて、サプライチェーンセキュリティ、侵入テスト、従業員のサイバー衛生教育など、サイバーに関するベストプラクティスを徹底すべきです。しかし、敵が進化するにつれ、米国政府は、短期、中期、長期にわたる活動環境の変化を考慮して、ベストプラクティスを適応させなければなりません。国防総省と民間企業は、宇宙資産と地上局の回復力を優先し、被害を最小限にとどめ、障害が発生した場合には 優雅に乗り越えることができるようにすべきです158 。国家宇宙評議会は、宇宙に特有のサイバー脅威を定期的に研究し、国民に報告すべきです。
158 Trey Herr, Reed Porada, Simon Handler, Orton Huang, Stewart Scott, Robert Lychev, and Jeremy Mineweaser, How Do You Fix a Flying Computer? Seeking Resilience in Software-Intensive Mission Systems, Atlantic Council, December 14, 2020, 
https:// www.atlanticcouncil.org/in-depth-research-reports/report/how-do-you-fix-a-flying-computer-seekingresilience-in-software-intensive-mission-systems/
 

 

| | Comments (0)

2021.04.12

ENISA サイバーセキュリティ認証市場調査についての報告書

こんにちは、丸山満彦です。

ENISAがサイバーセキュリティ認証市場調査についての報告書を公開していますね。。。市場分析結果ではなく、方法論の提案です。。。

・目的は、EUのサイバーセキュリティ認証の枠組みや、欧州委員会、欧州サイバーセキュリティ認証グループ (ECCG) 、利害関係者のサイバーセキュリティ認証グループ (SCCG) の計画活動に貢献すること

・そのために、サイバーセキュリティ認証の将来的な分野を特定する

・そのために、ICTの製品、サービス、プロセスについてのサイバーセキュリティ認証に関する市場分析に向けて、初期の方法論的ステップを提案する

ということのようですね。。。

これはある意味興味深いです。。。こういう分析をしてから、監査制度とか、ISMS制度とかを検討するのがよかったのでしょうね。。。と思いました。。。

もちろん、方法論が良くても、それを進めるために必要なデータ等が集まるのか?という話はありますが、問題を切り分けられるということで前には進みますよね。。。

● ENISA

・2021.04.09  Cybersecurity Certification Market Study

・[PDF] Cybersecurity Certification Market Study - Towards a research and analysis methodology

20210412-102814

 

EXECUTIVE SUMMARY 要旨
Drawing up EU cybersecurity certification schemes aims at providing harmonised criteria to carry out conformity assessments to demonstrate the degree of adherence of ICT products, ICT services or ICT processes against specific predefined cybersecurity requirements. From an economic perspective, these evaluations might subsequently also address imbalances in the market that could lead to suboptimal outcomes. Cybersecurity certification also touches upon socio-economic aspects such as user trust and market responsibility of the owner of the certificate. Further to that it also touches upon the need to provide a reasonable level of cybersecurity for a ‘duty of care’ throughout the ICT product, ICT service or ICT process lifecycle and the prevention of costs of a cybersecurity failure and subsequent loss of market reputation. Therefore, the drivers for cybersecurity certification in the EU go beyond cybersecurity requirements. EUのサイバーセキュリティ認証制度の策定は、ICT製品、ICTサービス、またはICTプロセスが、特定の定義済みサイバーセキュリティ要件にどの程度準拠しているかを示す適合性評価を実施するための調和された基準を提供することを目的としています。経済的な観点から、これらの評価制度は、最適解にならない可能性のある市場の不均衡に対処することにもなります。サイバーセキュリティ認証は、ユーザの信頼や認証制度の責任者の市場への責任など、社会経済的な側面にも関係してきます。さらに、ICT 製品、ICT サービス、または ICT プロセスのライフサイクル全体を通じた「注意義務」のために合理的なレベルのサイバーセキュリティを提供する必要性や、サイバーセキュリティの失敗によるコストやその後の市場評判の低下を防ぐ必要性にも触れています。したがって、EUにおけるサイバーセキュリティ認証の推進力は、サイバーセキュリティの要件を超えている。
This study proposes a set of initial methodological steps to work towards a market analysis on cybersecurity certification of ICT products, ICT services and ICT processes. The performance of a market analysis on cybersecurity certification aims to contribute to the EU cybersecurity certification framework and the planning activities of the European Commission, the ECCG and the SCCG by identifying future areas for cybersecurity certification. 本研究は、ICT製品、ICTサービス、ICTプロセスのサイバーセキュリティ認証に関する市場分析に向けて、一連の初期の方法論的ステップを提案します。サイバーセキュリティ認証に関する市場分析の実施は、サイバーセキュリティ認証の将来的な分野を特定することで、EUのサイバーセキュリティ認証の枠組みや、欧州委員会、ECCG、SCCGの計画活動に貢献することを目的としています。
The proposed steps described in this study are divided into four main sections and cover: 本研究で述べられている提案されたステップは、4つの主要セクションに分かれており、以下の内容をカバーしています。
i) the identification of the context of the market analysis, i) 市場分析の文脈の特定
ii) the scope of the target of analysis, ii) 分析対象の範囲
iii) assessing the impact of a cybersecurity certification initiative and iii) サイバーセキュリティ認証イニシアチブの影響の評価
iv) the identification of the available options and possible initiatives. iv) 利用可能なオプションと可能なイニシアチブの特定
The goal is to be able to identify certification needs or ‘gaps’ in the market without relying solely on input of stakeholders, but rather to provide evidence both from the supply and demand sides while factoring societal and economic aspects. 目標は、利害関係者の意見だけに頼ることなく、市場における認証のニーズや「ギャップ」を特定できるようにすることであり、むしろ、社会的・経済的側面を考慮しながら、供給側と需要側の両方から証拠を提供することです。
This first attempt on proposing such a methodology is expected to evolve and to be further developed and improved after the publication of the Union Rolling Work Programme by the European Commission. It is expected that a more mature market analysis methodology will be able to generate information that feeds the identification of the strategic priorities set by the European Commission, the ECCG and the SCCG. The methodology also aims to provide valuable input to the preparations of candidate cybersecurity certification schemes. このような方法論を提案する最初の試みは、欧州委員会によるUnion Rolling Work Programmeの発表後に発展し、さらに開発・改良されることが期待されている。より成熟した市場分析手法は、欧州委員会、ECCG、SCCGが設定した戦略的優先事項の特定に役立つ情報を生み出すことができると期待されています。また、この方法論は、サイバーセキュリティ認証制度の候補の準備に貴重な情報を提供することも目的としています。

 

目次です。

1. INTRODUCTION 1. 序論
1.1 SCOPE - OBJECTIVES 1.1 範囲と目的
1.2 STRUCTURE OF THE DOCUMENT 1.2 文書の構成
2. CONSIDERATIONS PRIOR TO THE ANALYSIS 2. 分析に先立つ検討事項
2.1 SCOPING AND SEGMENTATIONS OF THE CYBERSECURITY MARKET 2.1 サイバーセキュリティ市場の調査とセグメント化
2.2 DEVELOPING RESEARCH QUESTIONS 2.2 調査質問の作成
3. PROPOSED WORKFLOW 3. 作業案
4. PROPOSED METHODOLOGICAL STEPS  4. 方法論的ステップ案
4.1 STEP 1: DETERMINE THE CONTEXT AND THE SCOPE OF THE TOA  4.1 ステップ1:文脈とTOAの範囲の決定 
4.2 STEP 2: PRELIMINARY ASSESSMENT OF THE IMPACT OF A CERTIFICATIO INITIATIVE  4.2 ステップ2:認証イニシアティブの影響の予備評価 
4.3 STEP 3: IDENTIFY AVAILABLE OPTIONS  4.3 ステップ3:利用可能なオプションの特定 
4.4 STEP 4: COMPARE THE IMPACT OF POSSIBLE OPTIONS  4.4 ステップ4:可能な選択肢の影響の比較
4.5 STEP 5: SELECT THE OPTIMAL OPTION  4.5 ステップ5:最適なオプションの選択 
5. CONCLUSIONS AND NEXT STEPS  5. 結論と次のステップ 
A ANNEX: HOW TO ASSESS THE COSTS AND BENEFI OF A CERTIFICATION INITIATIVE  附属書A:認証イニシアティブのコストとベネフィットの評価方法 
B ANNEX: CHECKLIST OF POTENTIAL ACTIVITIES PERTYPE OF COST OF A CERTIFICATION INITIATIVE  附属書B:認証イニシアティブのコストタイプごとの潜在的活動のチェックリスト 
C ANNEX: LIST OF VARIOUS METHODS TO GATHER INFORMATION ON COSTS AND BENEFITS 附属書C:コストと便益に関する情報を収集するための様々な方法のリスト
D ANNEX: POTENTIAL DATA SOURCES 附属書D:潜在的なデータソース

 

 


■ 参考

● 欧州委員会 (European Commission)

・2021.03.26 The Cybersecurity Certification Group (ECCG)

・2021.03.26 The EU Cybersecurity Act

・2020.12.16 Revised Directive on Security of Network and Information Systems (NIS2)

・2020.06.24 Stakeholder Cybersecurity Certification Group (SCCG)


サイバーセキュリティ法の条文は,,,

● 欧州連合官報 (Official Journal of the European Union)

・209.04.17  ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act)

[html][pdf]

 

●まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16

| | Comments (0)

宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

こんにちは、丸山満彦です。

スイスのThe Center for Security Studies at ETH Zürichが宇宙経済のサイバー防御に関する論文を掲載しています。ちょうど、宇宙サイバーに関するサブワーキングのメンバーでもあるので、勉強がてら読んでみました。。。

● ETH Zürich

・2021.01.07 Terra Calling: Defending and Securing the Space Economy

This report aims to provide a deeper understanding of the fundamental cybersecurity and -​defense challenges pertaining to the space economy. It outlines the broad contours of what constitutes the space economy and takes a closer look at the problems on the terrestrial surface, space-​​based assets, and the area of up- and downlinks. Furthermore, this report dives into two case studies pertaining to NASA and the European global navigation satellite system Galileo, and disentangles the cyber threat landscape by examining public reporting on the most referenced satellite hacking incidents in terms of its veracity and fact-​​based representation. Finally, it provides several recommendations for the Swiss government and a brief horizon scan highlighting three future trends. 本報告書は、宇宙経済に関わるサイバーセキュリティおよび防衛の基本的な課題について、より深い理解を得ることを目的としています。本レポートは、宇宙経済に関わるサイバーセキュリティおよび防衛の基本的な課題について理解を深めることを目的としており、宇宙経済を構成する大枠を説明した上で、地表の問題、宇宙ベースの資産、アップリンクおよびダウンリンクの領域について詳しく説明しています。さらに、NASAと欧州の全地球測位衛星システム「ガリレオ」に関する2つのケーススタディを紹介するとともに、最もよく知られている衛星ハッキング事件に関する一般の報道を、その真実性と事実に基づく表現の観点から検証することで、サイバー脅威の現状を明らかにしています。最後に、スイス政府へのいくつかの提言と、将来の3つのトレンドに焦点を当てた簡単な地平線スキャンを行っています。

 

・[PDF] CYBERDEFENSE REPORT - Terra Calling: Defending and Securing the Space Economy - From Science to Fiction and Back to Reality

20210412-15824

Executive Summary エグゼクティブ・サマリー
With the growing importance of the space domain and the increasing activities in space by both nation-state actors and private sector entities, the question as to the state of cybersecurity and -defense in the space economy is a pressing one. While many other reports have been written on the topic, this study provides the reader with an elemental baseline that seeks to be both holistic and detailed, and endeavors to rectify many persisting misconceptions and outright false information that has been pervading the discussion on cybersecurity and the space economy. 宇宙領域の重要性が増し、国家や民間企業による宇宙での活動が活発化する中、宇宙経済におけるサイバーセキュリティと防衛のあり方は喫緊の課題となっています。このテーマについては他にも多くのレポートが書かれているが、本研究では、全体的かつ詳細であることを目指した基本的なベースラインを読者に提供し、サイバーセキュリティと宇宙経済に関する議論に蔓延している多くの根強い誤解や全くの虚偽の情報を正すことを目的としています。
Currently, there is no existing consensus on how the space economy ought to be defined. Section 1 tries to rectify that by outlining five parts that span multiple domains, multiple sectors, and multiple assets across the globe that make up the space economy. 現在、宇宙経済をどのように定義すべきか、既存のコンセンサスはありません。第 1 章では、宇宙経済を構成する複数の領域、複数のセクター、そして地球上の複数の資産にまたがる 5 つの部分について説明することで、この問題を解決しようとしています。
Section 1.1 subsequently outlines the still ongoing discussions in both the US and the EU on designating the space sector as its own critical infrastructure sector. In the US, the relatively new Space Information Sharing and Analysis Center (ISAC) has been pushing the issue, while in the EU, the European Commission is currently again in the process of trying to create pan-EU critical infrastructure sector designations – after two previous unsuccessful attempts to do so in 2006 and 2013. 第 1.1 章では、宇宙分野を独自の重要インフラ分野として指定することについて、米国と EU で現在進行中の議論について説明しています。米国では、比較的新しい宇宙情報共有分析センター(ISAC)がこの問題を推進しており、EU では、欧州委員会が、2006 年と 2013 年に失敗した EU 全体の重要インフラ部門の指定を再び試みています。
Section 1.2 focuses on terrestrial assets and geo-dispersion by taking a closer look at OneWeb’s infrastructure as an example for commercial entanglement. The study argues that when it comes to intelligence collection, nation-state adversaries will preferably sit in any of OneWeb’s data centers or hook into national satellite network portals (SNPs) rather than try to infiltrate a satellite operation center. Similarly, if satellite destruction or collision is the aim, then targeting any other company or institution whose assets are not globally entangled with multiple governments would be more desirable. In regard to the military realm, the study highlights the example of Automatic Dependent Surveillance – Broadcast (ADS-B). Concluding that, while the system can be jammed and spoofed, the risk of exploitation can be minimized to such an extent that its vulnerabilities become almost irrelevant. The study thus notes the need for both military and civilian operators to manage and explain varying risks to a public flooded with breaking news stories and heightened cybersecurity concerns. 第 1.2 章では、商業的な絡み合いの例として、OneWeb のインフラを詳しく見ながら、地上の資産と地理的な分散に焦点を当てています。この研究では、情報収集に関しては、国家の敵対者は、衛星運用センターに侵入するよりも、OneWeb のデータセンターに居座ったり、各国の衛星ネットワークポータル(SNP)に接続したりすることを好むだろうとしています。同様に、衛星の破壊や衝突が目的であれば、複数の政府とグローバルに絡み合っていない資産を持つ他の企業や機関をターゲットにする方が望ましいでしょう。また、軍事分野では、ADS-B(Automatic Dependent Surveillance - Broadcast)を例に挙げています。その結果、ADS-B はジャミングやスプーフィングが可能なシステムではあるものの、その脆弱性がほとんど問題にならないほど、悪用されるリスクを最小限に抑えることができると結論づけています。この研究では、軍と民間の両方の事業者が、ニュース速報やサイバーセキュリティへの関心が高まる中、様々なリスクを管理し、国民に説明する必要があることを指摘しています。
On the subject of supply chains, the study notes that supply chain fragmentation is the norm in the space economy, as specialized manufacturers and alternative suppliers are few and far between. However, while there have been examples of APT intrusions into supplier, contractor, and major aeronautic company networks, most – if not all of them – are espionage related. The study also explains that adversarial nation states most likely face the same, if not more extensive supply chain risks – as the Iranians learned first-hand through the deployment of Stuxnet. One can only speculate to what degree adversarial space industry supply chains have been targeted in the past, and are compromised today, to for example enable pinpoint sabotage or facilitate continuous intelligence collection efforts. サプライチェーンに関しては、専門メーカーや代替サプライヤーが少ないため、宇宙経済ではサプライチェーンの断片化が常態化していると指摘しています。しかし、サプライヤー、コントラクター、大手航空会社のネットワークに APT が侵入した例はありますが、すべてではないにせよ、そのほとんどがスパイ活動に関連したものです。また、この研究では、敵対的な国家は、Stuxnet の展開を通じてイランが身をもって学んだように、広範囲ではないにしても、同じサプライチェーンリスクに直面している可能性が高いと説明しています。敵対する宇宙産業のサプライチェーンが過去にどの程度まで標的にされていたのか、そして現在も危険にさらされているのか、推測するしかありません。例えば、ピンポイントでの破壊工作を可能にしたり、継続的な情報収集活動を促進したりするために。
Section 1.3 focuses on space-based assets. It notes that particularly military satellite systems owned by Western nations are not always single-use or single-owned – and can pivot if necessary, to commercial satellite services to bridge short-term redundancy gaps. Adversaries who seek to disrupt or degrade specific satellite services will have a hard time to achieve persistent and tangible effects. A similar logic applies to commercial space assets given that service disruptions might create regional cascading effects that are undesirable, uncontrollable, and too public for an adversary’s risk appetite. 第 1.3 章では、宇宙ベースの資産に焦点を当てています。特に欧米諸国が保有する軍事衛星システムは、必ずしも単一用途・単一所有ではなく、必要に応じて商業衛星サービスに軸足を移し、短期的な冗長性のギャップを埋めることができることを指摘しています。特定の衛星サービスを妨害・劣化させようとする敵は、持続的かつ具体的な効果を得ることは難しいでしょう。同様の理屈が商業宇宙資産にも当てはまり、サービスの途絶は、望ましくない、制御不可能な、敵対者のリスク許容範囲を超えた地域的な連鎖効果を生み出す可能性があります。
On the subject of legacy systems, the study notes that there are different logics at play between commercial satellite operators and the military when it comes to satellite life spans. The latter prefers higher refresh rates, while the former is interested in long-term use. A potential solution to bridge this gap is to build hybrid satellite constellations that connect military and commercial satellites – which would also introduce a whole new cybersecurity dimension in space as satellite-to-satellite communications are rather rare. The study also explains the difference between operating systems on Earth and real-time operating systems used in space. This also includes the problem of patching vulnerabilities in space which is similar to the forever-day vulnerability problem in industrial control systems back on Earth. The study thus notes that the cybersecurity lessons learned in space are not very much different from the best practices on Earth. レガシーシステムに関しては、衛星の寿命に関して、商業衛星オペレーターと軍との間で異なる論理が存在することが指摘されています。後者はより高い更新を好み、一方の軍部は長期的な使用を重視しています。このギャップを埋めるためには、軍用衛星と商業衛星を接続するハイブリッド衛星コンステレーションを構築することが考えられますが、衛星間の通信がほとんど行われていない宇宙では、サイバーセキュリティの面でも全く新しい局面を迎えることになります。この研究では、地球上の OS と宇宙で使われるリアルタイム OS の違いについても説明しています。これには、宇宙における脆弱性のパッチ適用の問題も含まれています。これは、地上の産業用制御システムにおける永遠に続く脆弱性の問題に似ています。このように、宇宙で学ぶサイバーセキュリティの教訓は、地上でのベストプラクティスと大きな違いはないとしています。
In terms of the data colonization of space, i.e., the deployment of data centers in space, the study points out that while there are still major hurdles to their creation, a move toward mirroring Earth-based infrastructure in space is going to create synergies and overlaps that have long shielded space-based infrastructure from non-state adversaries. また、宇宙にデータセンターを設置する「宇宙データコロナイゼーション」については、その実現にはまだ大きなハードルがあるものの、地球上のインフラを宇宙に反映させることで、これまで宇宙のインフラが非国家的な敵から守られてきたこととの相乗効果や重複効果が期待できると指摘しています。
Section 1.4 explains the fundamentals of up- and downlinks and highlights that there is a major difference between intercepting unencrypted communications from an Iridium constellation satellite and conducting real-time packet injections into target communications as carried out at Menwith Hill Station. 第 1.4 章では、アップリンクとダウンリンクの基礎について説明し、イリジウム衛星からの暗号化されていない通信を傍受することと、メンウィズ・ヒル・ステーションで実施されたターゲットの通信にリアルタイムでパケットを注入することには大きな違いがあることを強調しています。
Section 2 discusses two case studies: NASA and Galileo. The NASA case study highlights that there are fundamental hurdles for cybersecurity progress that are not caused by technical problems but are induced by administrative and organizational shortcomings. Meanwhile, the Galileo case is an example of public communication failures and an opaque organizational structure that can exacerbate a severe IT problem. Both cases exemplify the difficulties of tackling cybersecurity in a highly bureaucratic and multi-stakeholder environment within the space economy. 第 2 章では、2 つのケーススタディについて説明します。NASA と Galileo です。NASA のケーススタディは、技術的な問題に起因するのではなく、管理的・組織的な欠点によって誘発されるサイバーセキュリティの進歩に対する根本的なハードルがあることを強調している。一方、ガリレオのケースは、公的なコミュニケーションの失敗と不透明な組織構造が、深刻なIT 問題を悪化させる例です。どちらのケースも、宇宙経済の中で、高度に官僚的で複数の利害関係者が存在する環境でサイバーセキュリティに取り組むことの難しさを例示しています。
Section 3 takes a closer look at five major cybersecurity incidents that have been widely cited and used in numerous research papers and conference talks on the topic of cybersecurity in space. The study calls out several misinterpretations, the spread of false information, and rectifies the narrative to separate reality from fiction and rumors. The section also utilizes the case of Jay Dyson and H4GiS to showcase how cybersecurity issues at work can migrate into a private setting and become deeply personal. As militaries around the globe are increasingly attracted to the idea of running information warfare campaigns to create persistent psychological effects within a population or target workforce, maintaining and caring for the mental health of network defenders will highly likely become a priority for government agencies and the private sector alike. 第 3 章では、宇宙におけるサイバーセキュリティをテーマにした数多くの研究論文や会議で広く引用され、使用されている5 つの主要なサイバーセキュリティインシデントについて詳しく見ていきます。この研究では、いくつかの誤った解釈や誤った情報の拡散を呼び起こし、現実とフィクションや噂を分けるために物語を修正しています。また、ジェイ・ダイソンと H4GiS のケースを利用して、仕事上のサイバーセキュリティの問題がプライベートな場に移行し、深く個人的なものになることを紹介しています。世界中の軍隊が、人口や対象となる労働力に持続的な心理的影響を与えるために情報戦キャンペーンを展開するというアイデアにますます惹かれるようになっている中、ネットワーク防衛者のメンタルヘルスを維持しケアすることは、政府機関と民間企業の両方にとって優先事項となる可能性が高いでしょう。
Section 4 explains the Hack-A-Sat challenge at DEFCON 2020 to highlight the various challenges and different knowledge necessary to both the adversary and the defender to control and command space assets. It also specifically emphasizes the efforts by the hacking community and the US government in advancing outreach and getting people involved into satellite security and securing the space economy at large. 第  4 章では、DEFCON 2020 における「Hack-A-Sat」チャレンジについて説明し、宇宙資産を制御・指揮するために敵対者と防御者の双方が必要とする様々な課題や知識について強調しています。また、ハッキング・コミュニティや米国政府が、衛星のセキュリティや宇宙経済全体の安全性確保に向けたアウトリーチ活動を推進し、人々を巻き込んでいることを特に強調しています。
Section 5 outlines various implication for Switzerland, including: 第  5 章では、スイスにとっての様々な示唆をまとめています。
(1) The Swiss federal government would be well-advised to comprehensively map out current Swiss space dependencies and redundancies across the identified nine critical infrastructure sectors and 27 sub-sectors. (1) スイス連邦政府は、特定された9 つの重要インフラ部門と 27 のサブ部門について、現在のスイスの宇宙への依存性と冗長性を包括的にマッピングすることを推奨します。
(2) It might also be prudent to map out potential cascading effects of what might occur if one or several satellites, ground stations, relevant webservers and/or data outside of Swiss territory becomes unavailable due to a persistent cyber incident. (2) また、スイス国外にある衛星や地上局、関連するウェブサーバやデータが、持続的なサイバーインシデントによって利用できなくなった場合、どのような影響が連鎖的に発生するかを想定しておくべきです。
(3) The federal government ought to proactively engage the European Commission and coordinate with other members of the European Space Agency (ESA) to insert itself into the EU debate on pan-European critical infrastructure. (3) 連邦政府は、欧州委員会に積極的に働きかけ、欧州宇宙機関(ESA)の他のメンバーと調整して、汎欧州的な重要インフラに関する EU の議論に参加すべきです。
(4) The federal government would do well to open up the debate on ESA’s cybersecurity posture, threat environment, and public outreach and communication practices. (4)  連邦政府は、ESA のサイバーセキュリティの態勢、脅威の環境、広報活動やコミュニケーションの実践について議論を深めることが望ましい。
(5) It might be prudent to stand up a joint cyber task force together with various ESA member countries to proactively tackle cyber-related incidents affecting the Agency. (5) ESA に影響を与えるサイバー関連のインシデントに積極的に取り組むために、ESA 加盟各国と共同でサイバータスクフォースを立ち上げるのが賢明でしょう。
(6) The federal government should seek clarification from the European Commission as to whether Swiss companies and government departments can get involved in the Commission’s plan to build up a European satellite communication system. (6) 連邦政府は、欧州委員会が計画している欧州衛星通信システムの構築に、スイスの企業や政府部門が関与できるかどうかについて、欧州委員会に説明を求めるべきです。
(7) The Swiss Defense Department, in cooperation with RUAG and Armasuisse, could partner up with selected European or US counterparts to pick up on the success of Hack-A-Sat and advance a series of hacking challenges pertaining to the space economy across Europe and the US. (7) スイス国防省は、RUAG や Armasuisse と協力して、「Hack-A-Sat」の成功を受けて、ヨーロッパやアメリカで宇宙経済に関する一連のハッキング・チャレンジを実施することができます。
(8) Swiss government departments and/or research institutions might want to serve as neutral arbiters that collect information and investigative reports on past cyber incidents affecting the space economy to paint a realistic picture of what actually occurred (excluding attribution claims). (8) スイスの政府機関や研究機関は、中立的な判断者として、宇宙経済に影響を与えた過去のサイバー事件に関する情報や調査報告書を収集し、実際に起こったことをリアルに描き出すことができるかもしれません(帰属の主張は除く)。
(9) A comprehensive and structured revisiting of past cases by a Swiss government department will most likely spur a reflection on how past incidents have been covered by the media and have been able to proliferate throughout the information security and policy community unchallenged – leading hopefully to better journalistic practices and better research conduct. (9) スイスの政府機関が過去の事件を包括的かつ体系的に再検討することで、過去の事件がどのようにメディアに取り上げられ、情報セキュリティや政策のコミュニティに無関係に広まっていったのかを振り返ることができ、よりよいジャーナリズムの実践やよりよい研究の実施につながることが期待されます。
(10) Switzerland should also keep an eye out on the legal debates that have and will increasingly occur when it comes to the interception of satellite communications by intelligence agencies, and the legal status of data transmitted and hosted in space. (10) また、情報機関による衛星通信の傍受や、宇宙空間で送信・ホストされるデータの法的地位について、これまでも、そして今後も、法的な議論が行われていくことにも注目したい。
Section 5.1 provides a brief horizon scan that highlights three trends: 第  5.1 章では、3 つのトレンドに焦点を当てた簡単なホライズンスキャンを行っています。
(a) Satellite Internet broadband constellations will become an essential extension – if not even a dominating part – of cyberspace as we know it. Opening up new regulatory and legal questions in a domain populated by vendors with little cybersecurity experience. (a) 衛星インターネット・ブロードバンド・コンステレーションは、私たちが知っているようなサイバースペースの重要な延長線上に、あるいは支配的な部分になるでしょう。サイバーセキュリティの経験がほとんどないベンダーが参入している分野で、新たな規制や法的問題が発生しています。
(b) The increased hybridization of space assets will most likely lead to new adversarial targeting dynamics against space-based assets. (b) 宇宙資産のハイブリッド化が進むと、宇宙ベースの資膨大なデータ量と宇宙空間でのデータストリームの再編成により、地球上に新たな標的と攻撃のベクトルが開かれることになります。
(c)  The sheer data volume and realignment of data streams through space will open up new target and attack vectors on Earth. (c)膨大なデータ量と宇宙空間でのデータストリームの再調整により、地球上に新たな標的と攻撃のベクトルが生まれます。

 

・[DOC] 本文部分の仮訳

 

| | Comments (0)

«FBI インターネット犯罪レポート2020を発表