2024.07.19

SECのルールの改正によるサイバーセキュリティ開示 (20-F) 阿里巴巴 (Alibaba)、捜狐 (SOHU)、網易 (NETEASE) の場合

こんにちは、丸山満彦です。

2023.07.26にSECのルールが改正され、Cybersecurityについての開示が強化され、2023.12.15以後に終了する事業年度から、その開示が求められることになりましたが、それから半年以上がすぎ、Form20-Fに記載されている事例もたくさんありますので、今回は、中国企業についてちょっと紹介...

中国語名 英語名 日本名 wikipedia Edgar 株価  
阿里巴巴 Alibaba アリババ wikipedia Edgar NYSE SEHK
中兴通 ZTE 中興通訊 wikipedia   SZSE SEHK
新浪 Sina Corporation 新浪 wikipedia Edgar Nasdaq  
搜狐 Sohu 捜狐 wikipedia Edgar Nasdaq  
网易 NetEase 網易 wikipedia Edgar Nasdaq  

20-FのItem 16K. Cybersecurity

Risk Management and Strategyとして、サイバーセキュリティの脅威から生じる重要性のあるリスクの評価、特定、管理についてのプロセスがある場合には、

  • そのプロセスが、全体的リスク管理システムまたはプロセスに統合されているか、またどのように統合されているか
  • そのプロセスに関連して、評価者、コンサルタント、監査人またはその他の第三者を従事させているか
  • 第三者の利用に関連するサイバーセキュリティの脅威から生じるリスクを監視および特定するプロセスを有しているか

を記載することになります。

また、過去のサイバーセキュリティインシデントの結果を含むサイバーセキュリティの脅威から生じるリスクが、その企業の事業戦略、業績、財務状況を含め、重要な影響を与えたか、重要な影響を与える可能性が合理的に高いかどうか、どのように影響を与えた(または、与える可能性が合理的に高いか)を記載する必要があります。。。

そして、

Governanceとして、サイバーセキュリティリスクについての取締役会の監督、経営者の役割についての記載が必要となります。

取締役会としての監督については、

  • サイバーセキュリティの脅威から生じるリスクの監督に責任を負う、取締役委員会または小委員会の特定
  • そのようなリスクについて取締役会または委員会が情報提供を受けるプロセス

経営者としての役割としては、

  • 経営委員会または役職がそのようなリスクの評価や管理の責任を負うか、責任を負う場合には
    • どの経営委員会又は役職が負うのか、
    • その担当者や委員が有する関連する専門知識
  • その担当者または委員会がサイバーセキュリティインシデントの防止、検出、軽減、是正についての情報を提供され、監視を行うプロセス
  • その担当者または委員会は、当該リスクに関する情報を取締役会または取締役会内の委員会や小委員会に報告するか

● SECURITIES AND EXCHANGE COMMISSION - EDGAR

1_20240714072701

 

開示内容...

 

・阿里巴巴 (Alibaba)

・2024.05.23 20-F (Annual report - foreign issuer)

ITEM 16K. CYBERSECURITY 項目 16K. サイバーセキュリティ
Cybersecurity risk management is an important part of our overall risk management efforts. We, including our six major business groups and various other businesses, maintain a comprehensive process for identifying, assessing and managing material risks from cybersecurity threats. In addition to the cybersecurity risk management framework designed by our holding company and implemented across our businesses, certain of our major business groups have also formulated more detailed cybersecurity risk management measures tailored to their operations.  サイバーセキュリティ・リスク・マネジメントは、当社のリスクマネジメント全般の重要な一部である。当グループは、6つの主要事業グループおよびその他のさまざまな事業を含め、サイバーセキュリティの脅威から生じる重大なリスクを特定、アセスメント、マネジメントするための包括的なプロセスを維持している。持株会社によって設計され、当グループの事業全体で実施されているサイバーセキュリティ・リスクマネジメントの枠組みに加えて、当グループの一部の主要事業グループは、それぞれの事業に合わせて、より詳細なサイバーセキュリティ・リスクマネジメント対策を策定している。
The Compliance and Risk Committee of our board of directors is responsible for overseeing our overall compliance and risk management framework, including cybersecurity risk management. Our risk management committee, consisting of senior management team members across legal, finance, security, technology and other departments, oversees the implementation and operation of our compliance and risk management policies and procedures and review risk assessment reports. Among the risk management committee members, the head of security department has over 10 years of experience in the fields of data security and cybersecurity. Our risk management committee reports to the Compliance and Risk Committee on material regulatory developments, risk management measures and risk incidents, including those related to cybersecurity. In case a significant cybersecurity incident occurs, our risk management committee will review the information and issues involved, oversee the remedial procedures to be taken and report to the Compliance and Risk Committee as appropriate.  取締役会のコンプライアンス・リスク委員会は、サイバーセキュリティ・リスクマネジメントを含むコンプライアンスとリスクマネジメントの枠組み全体を監督する責任を負っている。当社のリスクマネジメント委員会は、法務、財務、セキュリティ、テクノロジー、その他の各部門の上級管理職で構成され、当社のコンプライアンスとリスクマネジメントの方針と手続きの実施と運用を監督し、リスクアセスメント報告書をレビューする。リスクマネジメント委員会のメンバーのうち、セキュリティ部門の責任者はデータセキュリティとサイバーセキュリティの分野で10年以上の経験を有している。当社のリスクマネジメント委員会は、サイバーセキュリティに関連するものを含め、重要な規制の動向、リスクマネジメント対策、リスクインシデントについてコンプライアンス・リスク委員会に報告する。重大なサイバーセキュリティインシデントが発生した場合、当社のリスクマネジメント委員会は、関連する情報と問題を検討し、講じるべき改善手順を監督し、必要に応じてコンプライアンス・リスク委員会に報告する。
Led by our head of security department, our teams of dedicated cybersecurity, data security and technology professionals with extensive industry knowledge are responsible for detecting, tracking and remediating cybersecurity incidents, as well as assessing and mitigating cybersecurity threats, and reporting to the risk management committee as appropriate. As part of our cybersecurity risk management process, we regularly conduct application security assessments and vulnerability testings to prevent potential attacks and maintain a variety of incident response plans. In addition, we monitor industry trends on cybersecurity risks and may also obtain input on our system and network security from external intelligence teams and experts. We require all our employees to undertake data security training and compliance program annually and employees involved in app development and in the security department to take more specialized courses and obtain certification before product release. We operate mostly on our proprietary information systems, and in the few circumstances where we engage third-party service providers, we work closely with them to ensure their compliance with our cybersecurity standards.  当社のセキュリティ部門責任者を筆頭に、サイバーセキュリティ、データセキュリティ、テクノロジーの専門家で構成され、業界に精通したチームが、サイバーセキュリティ・インシデントの検知、追跡、是正、サイバーセキュリティ脅威のアセスメントと低減を担当し、必要に応じてリスクマネジメント委員会に報告する。サイバーセキュリティ・リスクマネジメント・プロセスの一環として、当社は潜在的な攻撃を防ぐためにアプリケーション・セキュリティ・アセスメントと脆弱性テストを定期的に実施し、さまざまなインシデント対応計画を維持している。さらに、サイバーセキュリティ・リスクに関する業界の動向をモニターし、外部の情報チームや専門家から当社のシステムやネットワーク・セキュリティに関する意見を得ることもある。また、アプリ開発やセキュリティ部門に携わる従業員には、より専門的なコースを受講し、製品リリース前に認定を取得するよう求めている。また、サードパーティーのサービス・プロバイダと契約している数少ない状況においても、それらのプロバイダと緊密に連携し、当社のサイバーセキュリティ標準に準拠していることを確認している。
We are not faced with any risks from cybersecurity threat that have materially affected or are reasonably likely to materially affect us, including our business, results of operations, or financial condition. However, despite the cybersecurity risk management procedures and measures that we have implemented, we still face risks of security breaches and attacks against our systems and network which may adversely affect our operation and result in data loss and leakage. For more information, see “Item 3. Key Information—D. Risk Factors—Risks Related to Our Business and Industry— Security breaches and attacks against our systems and network, and any potentially resulting breach or failure to otherwise protect personal, confidential and proprietary information, could damage our reputation and negatively impact our business, as well as materially and adversely affect our financial condition and results of operations.” 当社は、当社の事業、経営成績または財政状態を含め、当社に重大な影響を及ぼした、または及ぼす可能性のあるサイバーセキュリティの脅威によるリスクに直面していない。しかしながら、当社が実施しているサイバーセキュリティ・リスクマネジメントの手順や対策にもかかわらず、当社のシステムやネットワークに対するセキュリティ侵害や攻撃のリスクに依然として直面しており、その結果、当社の経営に悪影響を及ぼし、データの損失や漏洩につながる可能性がある。詳細については、「項目3. 重要な情報-D. リスク要因-当社の事業および業界に関連するリスク-当社のネットワークと情報システムのセキュリティ侵害および攻撃、ならびにその結果として起こりうる個人情報、機密情報および専有情報の侵害または保護の不備は、当社の評判を傷つけ、当社の事業に悪影響を及ぼす可能性があるだけでなく、当社の財政状態および経営成績に重大かつ悪影響を及ぼす可能性がある。" を参照のこと。

 

・捜狐 (SOHU)

・2024.03.18 20-F (Annual report - foreign issuer)

ITEM 16K. CYBERSECURITY 項目16K. サイバーセキュリティ
Risk Management and Strategy リスクマネジメントと戦略
We recognize the importance of safeguarding the confidentiality, integrity, and availability of our data and information systems, and have designed and maintained a comprehensive program for identifying, assessing, and managing material risks from cybersecurity threats, as that term is defined in Item 16K of Form 20-F. Our cybersecurity risk management program is composed of the following key elements: 当社はデータおよび情報システムの機密性、完全性、可用性を保護することの重要性を認識しており、Form 20-FのItem 16Kで定義されているサイバーセキュリティの脅威による重大なリスクを特定、アセスメント、管理するための包括的なプログラムを設計、維持している。当社のサイバーセキュリティ・リスクマネジメント・プログラムは、以下の主要要素で構成されている:
• Governance Structure. Our Board of Directors, supported by our Audit Committee, oversees our company’s overall risk management, including cybersecurity risks, and receives and reviews, on an as-needed basis, presentations and reports on material cybersecurity issues from our Chief Executive Officer and our Chief Financial Officer, who are designated as the individuals primarily responsible for overseeing the day-to-day operations of our cybersecurity risk management program. - ガバナンス構造。当社の取締役会は、監査委員会の支援を受けて、サイバーセキュリティ・リスクを含む当社のリスクマネジメント全体を監督し、当社のサイバーセキュリティ・リスクマネジメント・プログラムの日常業務を監督する主な責任者として指定されている最高経営責任者(CEO)および最高財務責任者(CFO)から、重要なサイバーセキュリティ問題に関するプレゼンテーションと報告を必要に応じて受け取り、レビューする。
To support our Chief Executive Officer and our Chief Financial Officer in their risk management responsibilities for our Sohu segment, we have established two cross-departmental working groups, the Technology and Security Coordination Group (the “IT Coordination Group”) and the Personal Information Protection and Compliance Working Group (the “PI Working Group”). The IT Coordination Group, which is headed by two of our senior managers, is responsible for monitoring and managing risks related to our data and information systems relating to our Sohu segment, and reports to our Chief Executive Officer. The PI Protection Working Group, consisting of the heads of certain of our business divisions and of our in-house legal and Internal Audit teams, is responsible for monitoring and managing risks related to our collection, storage, and use of personal information that may arise in our Sohu segment, and reports to our Chief Financial Officer. 最高経営責任者(CEO)と最高財務責任者(CFO)の捜狐部門のリスクマネジメント責任をサポートするため、当社は部門横断的な2つのワーキンググループ、技術・セキュリティ調整グループ(以下「IT調整グループ」)と個人情報保護・コンプライアンスワーキンググループ(以下「PIワーキンググループ」)を設置した。人の上級管理職が率いるIT調整グループは、捜狐セグメントに関連するデータや情報システムに関するリスクの監視とマネジメントを担当し、最高経営責任者に報告する。個人情報保護ワーキンググループは、当社の一部のディビジョンの責任者、社内の法務チームおよび内部監査チームで構成され、当社の捜狐セグメントで発生する可能性のある個人情報の収集、保存、使用に関するリスクの監視および管理を担当し、当社の最高財務責任者に報告する。
For our Changyou segment, we have established a cybersecurity working group (the “Changyou Cybersecurity Group”) that is headed by Changyou’s Chief Technology Officer. The Changyou Cybersecurity Group is responsible for monitoring and managing cybersecurity risks relating to the Changyou segment, and reports, in coordination with Changyou’s Chief Executive Officer and our Internal Audit team, to our Chief Executive Officer and our Chief Financial Officer. 当社のChangyouセグメントについては、Changyouの最高技術責任者が率いるサイバーセキュリティ・ワーキンググループ(「Changyouサイバーセキュリティ・グループ」)を設置している。Changyouサイバーセキュリティ・グループは、Changyouセグメントに関連するサイバーセキュリティ・リスクのモニタリングとマネジメントを担当し、Changyouの最高経営責任者(CEO)および内部監査チームと連携して、当社の最高経営責任者(CEO)および最高財務責任者(CFO)に報告する。
• Internal Policies and Procedures. As part of our cybersecurity risk management program, our management, in coordination with our Board of Directors and our cybersecurity staff, including the IT Coordination Group, the PI Working Group, and the Changyou Cybersecurity Group, has developed and adopted a comprehensive set of internal policies, standards, and processes governing our cybersecurity functions, and regularly reviews and updates these policies, standards, and processes based on evolving regulatory requirements and industry standards and best practices. ・内部方針と手続き サイバーセキュリティ・リスク・マネジメント・プログラムの一環として,当社の経営陣は,当社の取締役会およびIT調整グループ,PIワーキング・グループ,Changyouサイバーセキュリティ・グループを含むサイバーセキュリティ・スタッフと連携して,当社のサイバーセキュリティ機能を管理する包括的な内部方針,標準,およびプロセスを策定・採用し,進化する規制要件や業界標準,ベストプラクティスに基づいて,これらの方針,標準,およびプロセスを定期的に見直し,更新している。
• Risk Identification, Assessment and Management. ・リスクの特定,アセスメント,マネジメント。
To identify potential cybersecurity threats and incidents, we use various tools and technologies, such as a traffic spectrometry detection system (or an “NIDS”), web application firewalls (or “WAFs”), host intrusion prevention systems (or “HIDSs”), honeypot systems, and terminal anti-virus software; perform penetration testing and vulnerability scanning of our information systems and applications on a regular basis; and take appropriate security measures, such as encryption, de-identification, and network segmentation, to ensure the safety of our sensitive business data and personal information. 潜在的なサイバーセキュリティの脅威とインシデントを検知するために、当社はトラフィックスペクトロメトリー検知システム(または「NIDS」)、ウェブアプリケーションファイアウォール(または「WAF」)、ホスト侵入防止システム(または「HIDS」)、ハニーポットシステム、端末アンチウイルスソフトウェアなど、さまざまなツールや技術を使用している; 当社の情報システムとアプリケーションの侵入テストと脆弱性スキャンを定期的に実施する。当社の機密ビジネスデータと個人情報の安全を確保するため、暗号化、非識別化、ネットワークセグメンテーションなどの適切なセキュリティ対策を講じる。
As part of our dynamic response strategy, cybersecurity threats and incidents identified in our Sohu segment or our Changyou segment through our cybersecurity risk management program are first evaluated by the IT Coordination Group and/or the PI Working Group, or by the Changyou Cybersecurity Group, as the case may be, and are then classified in categories by security severity based on their actual or potential business and operational impact, and prioritized for timely remediation based on their classifications. Identified cybersecurity threats and incidents that meet our pre-established reporting thresholds are required to be timely reported to the Chief Executive Officer and the Chief Financial Officer, who may in turn report to the Board of Directors, if they deem it to be necessary. 当社のダイナミックな対応戦略の一環として、当社のサイバーセキュリティリスクマネジメントプログラムを通じて捜狐セグメントまたは常用セグメントで特定されたサイバーセキュリティの脅威とインシデントは、まずITコーディネーショングループおよび/またはPIワーキンググループ、または場合によっては常用サイバーセキュリティグループによって評価され、その後、実際のまたは潜在的なビジネスおよび業務への影響に基づき、セキュリティの重大度別にカテゴリー分類され、その分類に基づいてタイムリーな修復の優先順位が付けられる。識別されたサイバーセキュリティ上の脅威およびインシデントのうち、当社が事前に設定した報告基準を満たすものは、最高経営責任者および最高財務責任者に適時に報告することが義務付けられており、最高経営責任者および最高財務責任者は、必要と判断した場合、取締役会に報告することができる。
• Third-Party Risk Management. When determining the selection and oversight of third-party service providers, we gather information from candidates that are expected to share or receive data, have access to or integrate with our systems, and/or process our employee, business, or customer data, in order to help us evaluate potential risks associated with their security controls. Our contracts with third-party service providers generally require such service providers to, among other things, maintain security controls to protect our confidential information and data, notify us of material data breaches that may impact our data, and take remedial measures in a timely manner. We also conduct ongoing monitoring throughout the duration of our contracts, and re-assess continuing qualifications of each of our existing service providers, including the effectiveness of their internal controls, annually (or sooner at the time of contract renewal) or in the event of any identified cybersecurity incident or any significant changes to such service provider’s security controls. ・サードパーティリスク管理。サードパーティ・サービス・プロバイダの選定と監視を決定する際,当社は,データを共有または受領する,当社のシステムにアクセスまたは統合する,および/または当社の従業員,事業,顧客データを処理すると予想される候補者から情報を収集し,そのセキュリティ管理に関連する潜在的リスクの評価に役立てる。当社とサードパーティ・サービス・プロバイダとの契約では,一般的にサードパーティ・サービス・プロバイダに対し,当社の機密情報およびデータを保護するためのセキュリティ管理者を維持すること,当社のデータに影響を及ぼす可能性のある重大なデータ侵害が発生した場合は当社に通知すること,適時に改善措置を講じることなどを求めている。また,契約期間を通じて継続的なモニタリングを実施し,年1回(または契約更新時),または識別されたサイバーセキュリティインシデントが発生した場合,または当該サービスプロバイダーのセキュリティ管理に重大な変更があった場合に,内部統制の有効性を含め,既存の各サービスプロバイダーの継続的な資格を再評価している。
• Training. We have various cybersecurity education and training programs designed to promote awareness of, and reinforce, our information technology and security policies, standards, and practices among our employees in general and employees of certain business divisions that are particularly susceptible to cybersecurity threats. ・トレーニング 当社は,当社の従業員全般,およびサイバーセキュリティの脅威の影響を特に受けやすい特定の事業部門の従業員の間で,当社の情報技術およびセキュリティの方針,標準,慣行に対する認識を促進し,これを強化することを目的としたさまざまなサイバーセキュリティ教育およびトレーニングプログラムを実施している。
• Continuous Review. We engage third-party professionals, on an as-needed basis, to perform assessments, and independent reviews of our security control procedures and their effectiveness. The Chief Financial Officer provides reports on the results of such third-party assessments and reviews to our Audit Committee at its regularly scheduled or special meetings. ・継続的レビュー。当社は,必要に応じてサードパーティの専門家にアセスメントを依頼し,当社のセキュリティ管理手順とその有効性について独立したレビューを実施している。最高財務責任者は,そのようなサードパーティによる評価とレビューの結果について,定期的または臨時の監査委員会で報告を行っている。
As of the date of this annual report, we have not had any cybersecurity incident (as such term is defined in Item 16K of Form 20-F), nor have we identified any risks from cybersecurity threats, including those resulting from any previous cybersecurity incidents, that have materially adversely affected, or are reasonably likely to materially adversely affect, our company or our business operations or financial condition. Although our cybersecurity risk management program, as described above, is designed to help prevent, detect, respond to, and mitigate the impact of cybersecurity incidents, we cannot assure you that a future cybersecurity incident would not materially adversely affect our business operations or our results of operations or financial condition. For information regarding cybersecurity risks that are facing us and their potential impact on our related business, see Item 3. Key Information - Risk Factors - Risks Related to Our Business “- Data security breaches relating to our platforms could damage our reputation and expose us to penalties and legal liability” and “- Our network operations may be vulnerable to hacking, viruses, and other disruptions, which may make our products and services less attractive and reliable, and third-party online payment platforms that we partner with and cloud-based servers that we lease from third-party operators may be susceptible to security breaches, which may damage our reputation and adversely affect our business” and “- Risks related to Changyou.com Limited - Risks related to Changyou’s Business -Breaches in the security of Changyou’s server network, or cloud-based servers that it leases from third-party operators, could cause disruptions in its service or operations, facilitate piracy of its intellectual property, or compromise confidential information of its game players and its business.” この年次報告書の日付現在、当社はサイバーセキュリティインシデント(この用語はForm 20-FのItem 16Kで定義されている)を起こしておらず、また、過去のサイバーセキュリティインシデントに起因するものを含め、当社または当社の事業運営や財務状況に重大な悪影響を及ぼした、あるいは及ぼす可能性があると合理的に考えられるサイバーセキュリティ脅威によるリスクを特定していない。上記のとおり、当社のサイバーセキュリティ・リスク管理プログラムは、サイバーセキュリティ・インシデントの予防、検知、対応、および影響の軽減を支援するように設計されているが、将来のサイバーセキュリティ・インシデントが当社の事業運営や業績、財務状況に重大な悪影響を及ぼさないことを保証するものではない。当社が直面しているサイバーセキュリティ・リスクとその関連事業への潜在的影響については、項目3. 主要な情報-リスク要因-事業に関するリスク 「-当社のプラットフォームに関連するデータセキュリティ侵害は、当社の評判を傷つけ、当社を罰則や法的責任にさらす可能性がある、 また、当社が提携するサードパーティーのオンライン決済プラットフォームや、サードパーティーの事業者からリースするクラウドベースのサーバーは、セキュリティ侵害の影響を受けやすく、当社の評判を傷つけ、事業に悪影響を及ぼす可能性がある」、「-Changyou.com Limitedに関するリスク-Changyou. com Limited - Changyouの事業に関するリスク - Changyouのサーバーネットワーク、またはサードパーティから借りているクラウドベースのサーバーのセキュリティ違反は、サービスや業務の中断を引き起こし、知的財産の違法コピーを促進し、またはゲームプレーヤーの機密情報とそのビジネスを危険にさらす可能性がある。"
Governance ガバナンス
Our full Board of Directors, supported by our Audit Committee, oversees our overall risk management, which includes risks arising from cybersecurity threats, and is responsible for ensuring that we have maintained adequate and effective policies and processes to identify and assess cybersecurity risks that we face and to provide resources necessary to manage and mitigate cybersecurity threats and incidents. Our Chief Executive Officer, supported by our Chief Financial Officer, meets with our Board of Directors at its regularly scheduled meetings to discuss our information security and cybersecurity programs and our key cybersecurity initiatives and related priorities and controls. In the event that a material cybersecurity threat or incident is identified, our Chief Executive Officer will report the threat or incident to our Board of Directors and will continue to provide ongoing updates regarding the threat or incident until it has been resolved. 当社の全取締役会は、リスクアセスメント委員会の支援を受けて、サイバーセキュリティの脅威から生じるリスクを含む当社のリスクマネジメント全体を監督し、当社が直面するサイバーセキュリティのリスクを特定および評価し、サイバーセキュリティの脅威およびインシデントを管理および軽減するために必要なリソースを提供するための適切かつ効果的な方針およびプロセスを維持していることを確認する責任を負う。当社の最高経営責任者は、最高財務責任者の支援を受け、定期的に開催される取締役会において、当社の情報セキュリティおよびサイバーセキュリティ・プログラム、当社の主要なサイバーセキュリティ・イニシアチブ、関連する優先事項および統制について協議する。サイバーセキュリティに関する重大な脅威またはインシデントが特定された場合、最高経営責任者はその脅威またはインシデントを取締役会に報告し、脅威またはインシデントが解決されるまで、その脅威またはインシデントに関する継続的な最新情報を提供し続ける。
At its regularly-scheduled meetings our Audit Committee receives from our Chief Financial Officer and head of our Internal Audit assessment reports regarding our general enterprise risk and internal controls, which may include an evaluation of risks from a cybersecurity threat or incident if such a threat or incident is identified and meets our pre-established reporting threshold. Our Audit Committee will receive ongoing updates regarding any such threat or incident until it has been resolved, and the Chairman of our Audit Committee may choose to report any such cybersecurity threat or incident to our full Board of Directors and management’s and any third-party assessments after they have been reviewed by our Audit Committee. 当社の監査委員会は、定期的に開催される会議において、当社の最高財務責任者(CFO)および内部監査責任者から、当社のエンタープライズリスク全般および内部統制に関する評価報告を受ける。当社のアセスメント委員会は、そのような脅威またはインシデントが解決されるまで、そのような脅威またはインシデントに関する継続的な最新情報を受け取る。当社のアセスメント委員会の委員長は、そのようなサイバーセキュリティの脅威またはインシデントが当社のアセスメント委員会によってレビューされた後、当社の取締役会全体、経営陣、およびサードパーティによる評価に報告することを選択できる。
Our Chief Executive Officer and our Chief Financial Officer are designated as the individuals primarily responsible for overseeing the day-to-day operations of our cybersecurity risk management program. As previously discussed, the IT Coordination Group and the PI Working Group were established to address cybersecurity threats and to respond to cybersecurity incidents associated with our Sohu segment. The IT Coordination Group, which reports directly to our Chief Executive Officer, is focused on the security of our data and information systems, while the PI Protection Working Group, which reports directly to our Chief Financial Officer, is focused on protection of personal information. The Changyou Cybersecurity Group was established to address cybersecurity threats and to respond to cybersecurity incidents associated with our Changyou segment, and reports to our Chief Executive Officer and our Chief Financial Officer in coordination with Changyou’s Chief Executive Officer and our Internal Audit team. Through ongoing communications with these teams, our Chief Executive Officer and our Chief Financial Officers are informed about and monitor the prevention, detection, mitigation, and remediation of cybersecurity threats and incidents, and report risks from cybersecurity threats and cybersecurity incidents to our Audit Committee and/or our full Board of Directors when pre-established reporting thresholds are met. 当社の最高経営責任者(CEO)と最高財務責任者(CFO)は、当社のサイバーセキュリティ・リスクマネジメント・プログラムの日常業務を監督する主な責任者として指定されている。前述したように、IT調整グループとPI作業部会は、サイバーセキュリティの脅威に対処し、当社の捜狐セグメントに関連するサイバーセキュリティインシデントに対応するために設立された。最高経営責任者(CEO)直属のIT調整グループはデータおよび情報システムのセキュリティに重点を置き、最高財務責任者(CFO)直属のPI防御ワーキンググループは個人情報の保護に重点を置いている。Changyouサイバーセキュリティ・グループは、サイバーセキュリティの脅威に対処し、Changyouセグメントに関連するサイバーセキュリティ・インシデントに対応するために設立され、Changyouの最高経営責任者および内部監査チームと連携して、最高経営責任者および最高財務責任者に報告する。これらのチームとの継続的なコミュニケーションを通じて、当社の最高経営責任者と最高財務責任者は、サイバーセキュリティの脅威とインシデントの予防、検知、低減、修復に関する情報を入手し、監視し、事前に設定された報告基準を満たした場合に、当社の監査委員会および/または取締役会にサイバーセキュリティの脅威とサイバーセキュリティのインシデントによるリスクを報告する。
Our Chief Executive Officer Charles Zhang, having served as such since 1996, and also having served as the Chairman of the Board of Sogou before the completion of Tencent/Sohu Sogou Share Purchase and the Chairman of the Board of Changyou before the completion of the Changyou Merger, has extensive experience and expertise in Internet company management and operations and plays a key role in shaping our cybersecurity risk management policies, standards, and processes and in our cybersecurity risk management. Our Chief Financial Officer Joanna Lv has extensive experience and expertise in our enterprise risk management and internal controls in general, and in understanding and managing privacy and compliance issues related to personal information of our customers and employees in particular. 当社の最高経営責任者(CEO)であるチャールズ・チャンは、1996年以来その任にあり、またTencent/Sohu Sogouの株式買収完了前はSogouの取締役会長、Changyouの合併完了前はChangyouの取締役会長を務めており、インターネット企業のマネジメントと運営に関する豊富な経験と専門知識を有し、当社のサイバーセキュリティリスクマネジメント方針、標準、プロセスの策定とサイバーセキュリティリスクマネジメントにおいて重要な役割を果たしている。最高財務責任者のジョアンナ・ルヴは、エンタープライズ・リスクマネジメントと内部統制全般、特に顧客と従業員の個人情報に関するプライバシーとコンプライアンス問題の理解と管理について豊富な経験と専門知識を有している。
Tian Yang, one of the co-heads of our IT Coordination Group, has a Ph.D. in computer application technology from the Chinese Academy of Sciences and a Bachelor of Science in computer science and technology from Tsinghua University, and has extensive expertise and research experience in the fields of search engine, personalized recommendations, computational advertising, and artificial intelligence. Yudong Zhang, the other co-head of our IT Coordination Group, has a Bachelor of Science in electrical engineering from Nanjing University of Technology and holds multiple professional certifications, such as Cisco Certified Network Expert (or “CCIE”) and Cisco Certified Senior Network Security Engineer (or “CCSP”). Prior to joining us, Mr. Zhang worked for telecommunications service providers and system integrators and has extensive experience in managing network and security risks, including risks related to cybersecurity threats. 当社のITコーディネーション・グループの共同責任者の一人であるティエン・ヤンは、中国科学院でコンピューター応用技術の博士号を取得し、清華大学でコンピューター科学技術の理学士号を取得しており、検索エンジン、パーソナライズド・レコメンデーション、計算広告、人工知能の分野で豊富な専門知識と研究経験を有している。ITコーディネーション・グループのもう一人の共同責任者である張裕東は、南京理工大学で電気工学の理学士号を取得し、シスコ認定ネットワーク・エキスパート(CCIE)やシスコ認定シニア・ネットワーク・セキュリティ・エンジニア(CCSP)といった複数の専門資格を保有している。当社入社以前は、電気通信サービス・プロバイダやシステム・インテグレーターに勤務し、サイバーセキュリティの脅威に関するリスクを含む、ネットワークおよびセキュリティ・リスクのマネージメントに豊富な経験を持つ。
Xiaojian Hong, head of the Changyou Cybersecurity Group, was one of the principal founders of our MMORPG business, played a key role in building our MMORPG software development division, and was responsible for strategic planning for technology framework design and module development for our MMORPG business. Mr. Hong serves as Changyou’s Chief Technology Officer, and has extensive experience in the security, efficiency, and stability of online games software and operations. Mr. Hong has a bachelor’s degree in engineering from University of Science and Technology Beijing. Changyouサイバーセキュリティグループの責任者であるXiaojian Hongは、当社のMMORPG事業の主要な創設者の一人であり、当社のMMORPGソフトウェア開発部門の構築において重要な役割を果たし、当社のMMORPG事業の技術フレームワーク設計およびモジュール開発の戦略計画の責任者であった。ホン氏はChangyouの最高技術責任者を務めており、オンラインゲームソフトウェアと運営のセキュリティ、効率性、安定性において豊富な経験を持つ。ホン氏は北京科学技術大学で工学の学士号を取得している。

 

・網易 (NETEASE)

・2024.04.25 20-F (Annual report - foreign issuer)

Item 16K. Cybersecurity 項目16K   サイバーセキュリティ
Cybersecurity Risk Management and Strategy サイバーセキュリティリスクマネジメントと戦略
We have developed and implemented a cybersecurity risk management program intended to protect the confidentiality, integrity, and availability of our critical systems and information. Our cybersecurity risk management program is integrated into our overall enterprise risk management program and shares common methodologies, reporting channels and governance processes that apply across the risk management program to other risk areas. 当社は、重要なシステムおよび情報の機密性、完全性、可用性を保護することを目的としたサイバーセキュリティ・リスクマネジメント・プログラムを策定し、実施している。当社のサイバーセキュリティ・リスク・マネジメント・プログラムは、当社のエンタープライズ・リスク・マネジメント・プログラム全体に統合されており、リスク・マネジメント・プログラム全体で他のリスク領域に適用される共通の方法論、報告経路、ガバナンス・プロセスを共有している。
Key elements of our cybersecurity risk management program include the following: サイバーセキュリティ・リスクマネジメント・プログラムの主な要素は以下のとおりである:
● risk assessments designed to help identify material cybersecurity risks to our IT systems and information; ・当社のITシステムと情報に対する重要なサイバーセキュリティ・リスクを特定するために設計されたリスクアセスメント
● an information security office, supported by security teams of business units, principally responsible for managing (1) our cybersecurity risk assessment processes, (2) our security controls, and (3) our response to cybersecurity incidents; ・事業部門のセキュリティ・チームがサポートする情報セキュリティ・オフィスは、主に (1) 当社のサイバーセキュリティ・リスクアセスメント・プロセス、(2) 当社のセキュリティ管理、(3) 当社のサイバーセキュリティ・インシデントへの対応を管理する;
● the use of external service providers, where appropriate, to assess, test or otherwise assist with aspects of our security processes; ・必要に応じて外部サービスプロバイダを利用し、当社のセキュリティプロセスのアセスメント、テスト、その他の支援を行う;
● cybersecurity awareness training of our employees, including incident response personnel and senior management; ・インシデント対応要員および上級管理職を含む、当社従業員のサイバーセキュリティ意識向上およびトレーニング ● 情報セキュリティインシデント管理ポリシー
● an information security incident management policy that includes procedures for responding to cybersecurity incidents; and ・サイバーセキュリティインシデントへの対応手順を含む、情報セキュ リティインシデント管理ポリシー。
● a security review process, where appropriate, to assess the risks associated with the use of key third-party service providers, suppliers, and vendors based on our assessment of their criticality to our operations and respective risk profile. ・主要なサードパーティ・サービス・プロバイダー、サプライヤー、ベンダーの使用に関連するリスクを評価するためのセキュリティ・レビュー・プロセス(必要に応じて)。
As of the date of the filing of this annual report, we have not experienced any material cybersecurity incidents or identified any material cybersecurity threats that have affected or are reasonably likely to materially affect us, our business strategy, results of operations or financial condition. We face certain ongoing risks from cybersecurity threats that, if realized, could potentially materially affect us. See Item 3.D. “Key Information—Risk Factor—Risks Related to Our Operations Overall—Cybersecurity and the threat environment remain a dynamic and ever-changing landscape with new threats and increasingly sophisticated attacks continually emerging. Successful security breaches can lead to unauthorized access to our network, systems and, in turn, confidential information which may include personal and sensitive information. This could materially adversely affect our business, results of operations and financial condition and expose us to liability claims.” 本アニュアルレポートの提出日現在、当社は重大なサイバーセキュリティインシデントを経験しておらず、また、当社、当社の事業戦略、経営成績、財務状況に重大な影響を及ぼした、あるいは及ぼす可能性があると合理的に判断される重大なサイバーセキュリティ脅威を特定していない。当社はサイバーセキュリティの脅威による特定の継続的リスクに直面しており、それが実現した場合、当社に重大な影響を及ぼす可能性がある。項目3.D. 「主要情報-リスク要因-当社の事業全般に関するリスク-サイバーセキュリティと脅威環境は、新たな脅威や巧妙化する攻撃が絶えず出現しており、ダイナミックで変化し続ける状況にある。セキュリティ侵害が成功した場合、当社のネットワークとシステムの不正アクセス、ひいては個人情報や機密情報を含む機密情報への不正アクセスにつながる可能性がある。これは、当社の事業、業績、財務状況に重大な悪影響を及ぼし、賠償請求にさらされる可能性がある。"
Cybersecurity Governance サイバーセキュリティ・ガバナンス
Our board of directors considers cybersecurity risk as part of its risk oversight function and has also designated the audit committee to oversee cybersecurity and other information security risks. The audit committee reviews our cybersecurity management and strategy periodically and receives regular reports from the management on our cybersecurity risks. In addition, our management updates the audit committee, where it deems appropriate, regarding cybersecurity incidents it considers to be significant. 当社の取締役会は、リスク監督機能の一環としてサイバーセキュリティ・リスクを検討しており、また、サイバーセキュリティ・リスクおよびその他の情報セキュリティ・リスクを監督する監査委員会を指名している。監査委員会は当社のサイバーセキュリティ・マネジメントと戦略を定期的にレビューし、当社のサイバーセキュリティ・リスクについて経営陣から定期的な報告を受けている。さらに、経営陣は、重要であると判断したサイバーセキュリティインシデントについて、適切と判断した場合には監査委員会に報告する。
At the management level, we have established an information security committee, which is responsible for implementing a global information security program which is aligned with our strategy, establishing and promoting the corresponding policies and procedures, and, as necessary, and assisting in ensuring adequate and timely disclosure of information security incidents and certain threats to our company’s management and board of directors, in accordance with our information security incident management policy. 経営レベルでは、情報セキュリティ委員会を設置しており、同委員会は、当社の戦略に沿ったグローバルな情報セキュリティ・プログラムの実施、対応する方針と手続きの確立と推進、および必要に応じて、当社の情報セキュリティ・インシデント管理方針に従って、当社の経営陣および取締役会に対する情報セキュリティ・インシデントおよび特定の脅威の適切かつタイムリーな開示を確保するための支援を行う責任を負っている。
Our information security committee is comprised of members of senior management and senior personnel, including our chief executive officer, the head of our information security office who has experience in dealing with cybersecurity issues, and other members of management, leaders of business units and the legal, IT and other departments. 当社の情報セキュリティ委員会は、最高経営責任者(CEO)、サイバーセキュリティ問題への対応経験を持つ情報セキュリティ室長、その他の経営陣、事業部門のリーダー、法務、IT、その他の部門を含む上級管理職および上級職員のメンバーで構成されている。
Our information security committee reports to the audit committee on the state of information security risks on periodic basis, as well as on an as-needed basis in the case of information security incidents it deems significant. 当社の情報セキュリティ委員会は、定期的に情報セキュリティリスクの状況について監査委員会に報告し、また重要であると判断した情報セキュリティインシデントが発生した場合には必要に応じて報告する。

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.19 SECのルールの改正によるサイバーセキュリティ開示 (20-F) 阿里巴巴 (Alibaba)、捜狐 (SOHU)、網易 (NETEASE) の場合

・2024.07.15 SECのルールの改正によるサイバーセキュリティ開示 (20-F) ORIX、野村、タケダ、ソニー、トヨタ、ホンダの場合

・2024.07.14 SECのルールの改正によるサイバーセキュリティ開示 (10-K) IBM, Intel, Boeing, AMEX, Jonson & Johnson, Pfizer, Coca-Cola. McDonaldsの場合

・2024.06.02 米国 SEC ニューヨーク証券取引所を所有するインターコンチネンタル取引所をサイバー侵入をしていたのに通知しなかったいうことで1000万ドル(約16億円)の罰金を受け入れていますね... (2024.05.22)

・2023.11.08 米国 SEC ソーラーウィンズ社と最高情報セキュリティ責任者を詐欺と内部統制の不備で告発 (2023.10.30)

・2023.09.16 米国 カジノホテルグループのシーザーズがサイバー攻撃を受けて8-Kを公表していますね。。。

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

・2023.03.17 米国 SEC 米国証券市場のサイバーセキュリティリスクに対処するための新たな要件を市場関係者向けに提案

 

 

 

 

| | Comments (0)

2024.07.18

OECD 公的機関における信頼の促進要因に関する調査 - 2024年調査結果 •2024.07.10)

こんにちは、丸山満彦です。

  • 環境とデジタルの移行の舵取りが必要
  • 国内における二極化の進展
  • 地政学的緊張の高まり
  • 経済発展がもたらす社会的影響

と公的機関に対する期待が高まっているため、公的機関に対する信頼を構築し維持することは、世界中の多くの政府にとって優先事項となっているということですね...

これは、日本の議会、政府、裁判等においてもとっても重要なことですよね...

ということで、OECD30カ国の公的機関がどの程度信頼されているかという調査をOECDが実施していますね...(ただし、日本については調査されていませんね...OECDの担当の窓口の方は日本人っぽい名前 (Yumiko Yokokawa) なんですけどね...)

 

で重要な気づき...

  • 社会経済的・人口統計学的要因
  • 意思決定に対する発言権

が公的機関に対する信頼に影響するということのようです...

ということもあって、

  • 女性
  • 十分に教育を受けられていない人
  • 政府とのコミュニケーションが十分に取れていない人

が公的機関への相対的な信頼が低い様ですね...

 

OECD

プレス...

・2024.07.10 Governments must better engage all citizens to tackle growing gaps in trust

Governments must better engage all citizens to tackle growing gaps in trust 政府は、拡大する信頼格差に対処するため、すべての市民をよりよく巻き込む必要がある。
In an increasingly challenging environment – marked by successive economic shocks, rising protectionism, the war in Europe and ongoing conflicts in the Middle East, as well as structural challenges and disruptions caused by rapid technological developments, climate change and population aging – 44% of respondents now have low or no trust in their national government, surpassing the 39% of respondents who express high or moderately high trust in national government, according to a new OECD report.   相次ぐ経済ショック、保護主義の台頭、欧州での戦争、中東で進行中の紛争、さらには急速な技術開発、気候変動、高齢化によって引き起こされる構造的な課題や混乱など、ますます困難な環境が続く中、OECDの新しい報告書によると、回答者の44%が現在、自国の政府を信頼していない、または低いと回答しており、政府への信頼が高い、または中程度に高いと回答した回答者の39%を上回っている。 
OECD Survey on Drivers of Trust in Public Institutions - 2024 Results, presents findings from the second OECD Trust Survey, conducted in October and November 2023 across 30 Member countries. The biennial report offers a comprehensive analysis of current trust levels and their drivers across countries and public institutions.  公的機関への信頼の促進要因に関するOECD調査-2024年結果』は、2023年10月から11月にかけて加盟30カ国で実施された第2回OECD信頼度調査の結果を紹介している。2年に1度発行されるこの報告書は、国や公的機関における現在の信頼レベルとその要因について包括的な分析を提供している。
This edition of the Trust Survey confirms the previous finding that socio-economic and demographic factors, as well as a sense of having a say in decision making, affect trust. For example, 36% of women reported high or moderately high trust in government, compared to 43% of men. The most significant drop in trust since 2021 is seen among women and those with lower levels of education. The trust gap is largest between those who feel they have a say and those who feel they do not have a say in what the government does. Among those who report they have a say, 69% report high or moderately high trust in their national government, whereas among those who feel they do not only 22% do.  今回の信頼度調査では、社会経済的・人口統計学的要因や、意思決定に対する発言権が信頼に影響するという前回の結果が確認された。例えば、政府に対する信頼が「高い」または「中程度に高い」と回答した女性は36%であったのに対し、男性は43%であった。2021年以降、最も大きく信頼を落としたのは女性と教育レベルの低い人々である。信頼のギャップは、政府に発言権があると感じる人とないと感じる人の間で最も大きい。発言権があると回答した人のうち、69%が自国の政府を高または中程度に信頼していると回答した。
“As part of the OECD’s Reinforcing Democracy Initiative, the Trust Survey, aims to help governments identify the challenges and trends in relation to trust in government while providing concrete evidence-based recommendations and examples of good international practices that help to strengthen trust in public institutions and strengthen democracy,” OECD Secretary-General Mathias Cormann said at the report's launch. “The results of this latest edition of our Trust Survey shows citizens’ want a greater voice in decision making – to ensure it is fair, evidence-based, accountable, and clearly communicated. Ensuring citizen engagement is meaningful and inclusive, supporting open information and transparent communications, fostering information integrity and transparency standards in policymaking processes, and reliable and fair public services, will help enhance the democratic process, and ultimately, strengthen trust in government.”   OECDのマティアス・コーマン事務総長は報告書の発表で次のように述べている。「OECDの民主主義強化イニシアチブの一環として、信頼度調査は、政府が政府への信頼に関する課題と傾向を特定するのを助けると同時に、公的機関への信頼を強化し民主主義を強化するのに役立つ、具体的な証拠に基づく勧告と国際的な優れた実践例を提供することを目的としている。」「OECDの信頼度調査の最新版の結果は、市民が意思決定においてより大きな発言権を求めていることを示している。市民参画が有意義かつ包括的であることをガバナンスし、開かれた情報と透明なコミュニケーションをサポートし、政策決定プロセスにおける情報の完全性と透明性標準を育成し、信頼できる公正な公共サービスを提供することは、民主的プロセスを強化し、最終的には政府に対する信頼を強化することにつながる。」
While results vary across countries due to a range of cultural, institutional, social and economic factors, the results of the Trust Survey show some clear trends affecting OECD Members and identifies common areas for action.  文化的、機構的、社会的、経済的要因の範囲により、結果は国によって異なるが、信頼度調査の結果は、OECD加盟国に影響を与えるいくつかの明確な傾向を示しており、共通の行動領域を特定している。
There is a clear divide between citizen trust which is high in the day-to-day interactions with public institutions, and trust in the government's ability to make important policy decisions involving trade-offs. A majority of people who recently used public services report relative satisfaction with national health, education, and administrative services, as well as confidence in the fair treatment of their applications for services or benefits. Investing in reliable and fair public services, improving service delivery, and responding to user feedback can further enhance trust, especially in the civil service and local government.  公的機関との日常的なやり取りで高い信頼を得ている市民と、トレードオフを伴う重要な政策決定を行う政府の能力に対する信頼との間には、明確な溝がある。最近公共サービスを利用した人の大多数は、国の医療、教育、行政サービスに比較的満足しており、サービスや給付の申請に対する公正な扱いにも満足していると報告している。信頼できる公正な公共サービスへの投資、サービス提供の改善、利用者からのフィードバックへの対応は、特に公務員や地方自治体に対するトラストサービスをさらに高めることができる。
In contrast, only around 40% of respondents are confident that government adequately balances the interests of different generations, will regulate new technologies appropriately, or will succeed in reducing greenhouse gas emissions in the next ten years. This scepticism is partly explained by a lack of confidence in institutions and officials working in the public interest and a rather generalised view of the lack of citizens’ voice in decision making. For instance, only about 30% believe their governments can resist corporate influence, or that they have a say in what the government does, and just 32% think the government would adopt the opinions expressed in a public consultation. The report shows that these are all important drivers of trust today, for which results could be improved in many countries.  これとは対照的に、政府がさまざまな世代の利害を適切にバランスさせ、新技術を適切に規制し、今後10年間の温室効果ガス排出削減に成功すると確信している回答者は40%程度に過ぎない。このような懐疑的な見方には、公益のために働く機構や役人に対する信頼感の欠如や、意思決定における市民の発言力の欠如に対するかなり一般化された見方もある。例えば、政府が企業の影響に抵抗できる、あるいは政府が行うことに発言権があると信じているのはわずか30%程度であり、政府が市民協議で出された意見を採用すると考えているのはわずか32%である。報告書によれば、これらはすべて今日の信頼の重要な要因であり、多くの国で改善される可能性がある。
The use of evidence in policy making and public communication also matter for trust. However, on average, 38% of respondents think the government is unlikely to use the best available evidence in decision making, and 40% of respondents believe the government is unlikely to explain how policy reform will affect them. To foster trust, governments should better engage citizens in decision making and invest in healthy information ecosystems, actively communicating the evidence behind their decisions, while combating mis- and disinformation.  政策決定や公的コミュニケーションにおけるエビデンスの活用も信頼にとって重要である。しかし、平均すると回答者の38%が、政府が意思決定において入手可能な最善のエビデンスを用いる可能性は低いと考えており、回答者の40%が、政府が政策改革が自分たちにどのような影響を与えるかを説明する可能性は低いと考えている。信頼を醸成するために、政府は意思決定に市民をよりよく関与させ、健全な情報生態系に投資し、誤報や偽情報に対抗しつつ、意思決定の背景にあるエビデンスを積極的にコミュニケーションすべきである。
The next OECD Global Forum on Building Trust and Reinforcing Democracy, taking place on 21-22 October in Milan, Italy, will draw on the results of the OECD Trust Survey in discussing better policies responses to support democratic values and processes.  次回のOECDグローバル・フォーラム「信頼の構築と民主主義の強化」は、10月21日~22日にイタリアのミラノで開催され、OECD信頼度調査の結果をもとに、民主主義の価値とプロセスを支援するためのより良い政策対応について議論する。
The 30 OECD participating countries were: Australia, Belgium, Canada, Chile, Colombia, Costa Rica, Czechia, Denmark, Estonia, Finland, France, Germany, Greece, Iceland, Ireland, Italy, Korea, Latvia, Luxembourg, Mexico, Netherlands, New Zealand, Norway, Portugal, Slovak Republic, Slovenia, Spain, Sweden, Switzerland, and the United Kingdom.  OECD参加国は以下の30カ国である: オーストラリア、ベルギー、カナダ、チリ、コロンビア、コスタリカ、チェコ、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、アイスランド、アイルランド、イタリア、韓国、ラトビア、ルクセンブルグ、メキシコ、オランダ、ニュージーランド、ノルウェー、ポルトガル、スロバキア共和国、スロベニア、スペイン、スウェーデン、スイス、英国である。
For more information on the report and its metho [web]
報告書とその手法の詳細については、こちらを参照のこと。

 

報告書...

OECD Survey on Drivers of Trust in Public Institutions – 2024 Results

・・Summary

OECD Survey on Drivers of Trust in Public Institutions – 2024 Results OECD調査「公的機関への信頼の促進要因」-2024年調査結果
Democratic governments today stand at a critical juncture, steering environmental and digital transitions while facing increased polarisation within their countries, heightened geopolitical tensions as well as the social consequences of economic developments. In this environment, building and maintaining trust in public institutions is a priority for many governments around the world. 今日の民主的政府は、国内における二極化の進展、地政学的緊張の高まり、経済発展がもたらす社会的影響に直面しながら、環境とデジタルの移行を舵取りするという重大な岐路に立たされている。このような環境において、公的機構に対する信頼を構築し維持することは、世界中の多くの政府にとって優先事項である。
The second OECD Survey on Drivers of Trust in Public Institutions shows the levels and drivers of trust in public institutions across 30 OECD countries in 2023 and their evolution since 2021. 公的機関への信頼の促進要因に関する第2回OECD調査は、2023年におけるOECD加盟30カ国の公的機関への信頼の水準と促進要因、および2021年以降のその推移を示している。
39% 39%
trust their national government が自国政府を信頼している。
37% 37%
are confident that their government balances the interests of current and future generations が政府は現在と将来の世代の利益のバランスをとっていると確信している。
41% 41%
believe their government uses the best available evidence when taking a decision が政府が意思決定を行う際、入手可能な最善の証拠を用いていると思う
Amid economic concerns, no or low trust in government outweighs trust 経済的懸念の中、政府への信頼がない、あるいは低いことが、信頼を上回っている。
In November 2023, a higher share of people (44%) across OECD countries had low or no trust in the national government than high or moderately high trust (39%). However, there are significant variations across countries and groups. Despite concerns about the cost of living and worries about the war in Europe and the Middle East, trust levels decreased only moderately since 2021; but with a larger drop of 5 percentage points for women and people with lower education. 2023年11月時点では、OECD加盟国全体において、政府への信頼が「低い」または「全くない」と回答した人の割合(44%)が、「高い」または「中程度に高い」と回答した人の割合(39%)を上回った。しかし、国やグループによって大きなばらつきがある。生活費への懸念や欧州・中東での戦争への懸念にもかかわらず、2021年以降、信頼レベルは緩やかにしか低下していない。
Trust in National Govenrment 国家政府への信頼
20240718-65436
High or moderately high trust in national government
政府への信頼が高い、または中程度に高い。
20240718-65453
Perceptions of having a say in government actions influence trust more than socio-economic and demographic characteristics do 政府の行動に発言権があるというガバナンスは、社会経済的特徴や人口統計的特徴以上に信頼に影響する。
People who feel financially insecure, those with low levels of education, women, younger people as well as those who report belonging to a group that is discriminated against report lower levels of trust in government. Nevertheless, the largest trust gaps are associated with individuals' sense of having a say in government actions, which is a key driver of trust. Indeed, 69% of those who feel they have a say in government actions trust national government, while only 22% do among those who feel they do not have a say. 経済的不安を感じている人、教育水準の低い人、女性、若い人、また識別的なグループに属していると回答した人は、政府への信頼度が低いと回答した。ガバナンスは、政府に対する信頼の重要な原動力である「政府に対して発言権がある」という個人の意識に関連している。実際、政府の行動に発言権があると感じている人の69%が政府を信頼しているのに対し、発言権がないと感じている人では22%しか信頼していない。
High or moderately high trust in national government by population group
人口集団別にみた、国政府に対する信頼度が高い、または中程度に高い。
20240718-65513
Satisfaction with day to day interactions with public institutions currently helps maintain trust 現在、公的機関との日常的なやりとりに対する満足度が、信頼の維持に役立っている。
Satisfaction with the provision of key public services, such as health, education and administrative services, remains relatively high. Although satisfaction with the healthcare and education systems declined over the past two years and warrants further monitoring. A majority trusts that public agencies would use their personal data only for legitimate purposes and would treat fairly their application for a service or a benefit. These day-to-day interactions with public institutions remain key drivers of trust in the civil service and local government. 医療、教育、行政サービスなど、主要な公共サービスの提供に対する満足度は比較的高い。医療制度と教育制度に対する満足度は過去2年間で低下しており、さらなる監視が必要である。大多数が、公的機関が合法的な目的のみに個人データを使用し、サービスや便益の申請を公正に扱うと信頼している。こうした公的機関との日常的なやり取りは、依然として公務員や地方自治体に対する信頼の重要な原動力となっている。
Satisfaction with administrative services
行政サービスへの満足度
20240718-65530
Concerns about how governments tackle complex policy issues are driving trust levels down 政府が複雑な政策課題にどのように取り組むかについてのガバナンスが、信頼レベルを押し下げている。
Overall, there is more scepticism in the government’s ability to tackle complex policy issues, with trade-offs across different groups in society, than about the ability to provide public services. Only around 40% believe that the government balances the interests of different generations, will regulate artificial intelligence appropriately or reduce greenhouse gas emissions. These results are at least partly attributable to the lack of confidence in institutions and officials working in the public interest, being accountable to each other and the population, and allowing people to influence decision making. 全体として、公共サービスを提供する能力よりも、社会のさまざまなグループ間でトレードオフの関係にある複雑な政策課題に取り組む政府の能力に懐疑的な意見が多い。政府がさまざまな世代の利害のバランスをとり、人工知能を適切に規制し、温室効果ガスの排出を削減すると信じているのは40%程度に過ぎない。これらの結果は、少なくとも部分的には、公益のために働く機構や役人が、互いに、そして国民に対して説明責任を果たし、国民が意思決定に影響を与えることができるということに対する信頼感の欠如に起因している。
Confidence in the national government to balance the interests of current and future generations
現在の世代と将来の世代の利益をバランスさせる国家政府への信頼
20240718-65543
Use and communication of evidence in policy-making matter strongly for trust 政策決定におけるエビデンスの活用とコミュニケーションは、信頼にとって非常に重要である。
In today’s complex information environment, with the rise of disinformation and polarising content, how information is created, shared and consumed is closely tied with trust. Data shows evidence based decision making is a very important driver of trust today. Governments can earn public trust by better communicating the data and evidence that supports reforms. However, just 41% believe the government uses the best available evidence in decision making, and only 39% think that communication about policy reforms is adequate. 偽情報や偏向的なコンテンツが台頭する今日の複雑な情報環境では、情報がどのように作成され、共有され、消費されるかは、信頼と密接に結びついている。データによれば、エビデンスに基づいた意思決定は、今日の信頼の非常に重要な原動力となっている。ガバナンスは、改革を裏付けるデータやエビデンスをよりよく伝えることで、国民の信頼を得ることができる。しかし、政府が意思決定において入手可能な最善のエビデンスを用いていると考えているのはわずか41%、政策改革に関するコミュニケーションが適切だと考えているのはわずか39%である。
Trust in national government and use of evidence in decision-making
政府への信頼と意思決定におけるエビデンスの活用
20240718-65557
What can governments do? 政府にできることは何だろうか?
Engage better with citizens 市民との関わりを深める
Policies and mechanisms to promote the effectiveness and inclusivity of public engagement could be key to boosting “skills for democracy” and enhancing trust in government. Governments need to support spaces and capacities for civic and political engagement, while establishing clear expectations on the role of deliberative and direct democracy. 市民参画の有効性と包括性を促進する政策やガバナンスは、「民主主義のためのスキル」を高め、政府への信頼を高める鍵となりうる。政府は、熟議民主主義と直接民主主義の役割について明確な期待を確立しつつ、市民的・政治的エンゲージメントの場と能力を支援する必要がある。
Strengthen capacity to address complex policy challenges in the public interest and transparently 公益的かつ透明性をもって複雑な政策課題に取り組む能力を強化する
Governments must continue to improve their reliability and preparedness for future crises, including those with global implications; ensure to address questions of intra-national and inter-generational fairness; strengthen checks and balances in the political system and government integrity standards. ガバナンスは、グローバルな影響を含む将来の危機に対する信頼性と備えを改善し続けなければならない。また、国家内および世代間の公平性の問題に確実に対処し、政治システムにおけるチェック・アンド・バランスと政府の誠実さの標準を強化しなければならない。
Support a healthy information ecosystem and invest in evidence-based communication 健全な情報エコシステムを支援し、エビデンスに基づくコミュニケーションに投資する。
Governments should communicate more actively about the evidence that inform their decisions, ensure the data are openly verifiable, and explain how policy reforms affect the public; these actions would have today large gains for trust in the national government. Promoting a healthy, diverse, and independent media environment and strengthening media literacy in society will be key to reinforce democracy. ガバナンスは、意思決定の根拠となるエビデンスについてより積極的にコミュニケーションし、データがオープンに検証可能であることを保証し、政策改革が国民にどのような影響を与えるかを説明すべきである。健全で多様な独立したメディア環境を促進し、社会におけるメディア・リテラシーを強化することが、民主主義を強化する鍵となる。
Continue to invest in reliable, responsive and fair public services 信頼性が高く、迅速かつ公正な公共サービスへの投資を継続する。
While a majority expresses satisfaction with services, improving the speed and ease of administrative service delivery as well their responsiveness to public feedback or ideas from public employees would contribute to trust, especially in civil servants. Fair treatment from public employees and legitimate use of personal data also hold potential for increased trust. 過半数がサービスに満足を表明しているが、行政サービス提供の速度と容易さ、および公務員からの国民の意見やアイデアへの対応の改善は、特に公務員に対するトラストサービスに貢献するだろう。また、公務員による公正な処遇や個人データの正当な利用も、信頼を高める可能性を秘めている。

 

 

報告書...

Full report

・[PDF]

20240718-70753

 

目次...

Disclaimers 免責事項
Foreword まえがき
Acknowledgements 謝辞
Executive summary エグゼクティブサマリー
Key findings 主な調査結果
What can governments do? 政府は何ができるのか?
Introduction 序文
Box 1. The 2023 OECD Survey on the Drivers of Trust in Public Institutions (Trust Survey) ボックス 1. 2023年OECD調査「公的機関への信頼の促進要因」(信頼調査)
Box 2. Countries initiatives following the 2021 Trust Survey ボックス2. 2021年信頼度調査後の各国の取り組み
References 参考文献
1. Overview: New trends, persistent patterns and necessary changes 1. 概要 新たな傾向、根強いパターン、必要な変化
1.1. Context matters: people’s concerns in 2023 1.1. 文脈の問題:2023年における人々の関心事
1.2. A growing share of the population expresses low trust in the national government 1.2. 国政府への信頼が低い国民の割合が増加している。
1.3. Law and order institutions elicit more trust than political institutions 1.3. 法秩序機構は政治機構よりも信頼されている。
1.4. People typically perceive the civil service and local governments as more trustworthy than the national government 1.4. 国民は一般的に、国家政府よりも公務員や地方政府の方が信頼できると認識している。
1.5. The drivers of trust in public institutions 2023: a changing landscape 1.5. 公的機関に対する信頼の要因 2023年:変化する状況
Annex 1.A. The OECD Framework on Drivers of Trust in Public Institutions 附属書1.A. 公的機関に対する信頼の要因に関するOECDのフレームワーク
Annex Table 1.A.1. OECD Framework on Drivers of Trust in Public Institutions and survey questions 附属書1.A.1. 公的機関に対する信頼の要因に関するOECDのフレームワークと調査項目
Governments are seen as more reliable than responsive or acting with integrity ガバメントは、迅速な対応や誠実な行動よりも信頼できると見られている。
References 参考文献
Notes 備考
2. Socio-economic conditions, political agency and trust 2. 社会経済的条件、政治的主体性、信頼
2.1. Levels of public trust vary more based on one’s sense of political agency and partisanship than socio-economic or demographic characteristics 2.1. 社会経済的特徴や人口統計的特徴よりも、政治的主体性や党派性によって国民の信頼度は異なる。
2.2. The socio-economically vulnerable tend to have less trust in public institutions, with a growing divide based on education levels 2.2. 社会経済的に脆弱な人々は、公的機関への信頼が低い傾向にあり、教育水準による格差が拡大している。
2.3. Women and younger people continue to place less trust in government, but the gender trust gap has increased while the age trust gap has narrowed 2.3. 女性と若年層の政府への信頼は引き続き低いが、男女間の信頼格差は拡大し、年齢間の信頼格差は縮小している。
2.4. Conclusion for policy action to enhance trust 2.4. 信頼を高めるための政策行動の結論
References 参考文献
Notes 備考
3. Trust in day-to-day interactions with public institutions 3. 公的機関との日常的なやりとりにおける信頼関係
3.1. A majority is satisfied with provision of health and education, although less than two years ago 3.1. 年前よりは減少したが、過半数が医療と教育の提供に満足している。
3.2. Confidence in government’s personal data handling remains positive, and improving speed and ease of administrative services could further boost satisfaction 3.2. 政府の個人データ取り扱いに対するガバナンスは依然として肯定的であり、行政サービスのスピードと容易さを改善することで、満足度はさらに高まる可能性がある。
3.3. People have more confidence in the fairness of civil servants than in their integrity during day-to-day interactions with the public 3.3. 人々は、国民との日常的なやり取りにおいて、公務員の誠実さよりも公正さに信頼を寄せている。
3.4. Doubts persist regarding the responsiveness of public institutions to concerns and feedback on the provision of services and programmes 3.4. サービスやプログラムの提供に関する懸念やフィードバックに対する公的機関の対応については、疑問が残る。
3.5. Conclusion for policy action to enhance trust 3.5. 信頼を高めるための政策行動の結論
References 参考文献
Notes 備考
4. Trust in Government on complex policy issues 4. 複雑な政策課題におけるガバナンスへの信頼
4.1. A majority of people see public institutions as reliable in case of emergencies 4.1. 国民の大多数は、公的機関は緊急時に信頼できると考えている。
4.2. Government is seen as less reliable in addressing complex policy challenges involving many unknowns or trade-offs 4.2. 政府は、多くの未知やトレードオフを含む複雑な政策課題への対応において、信頼性が低いと見なされている。
4.3. Most people feel decision-making favours private sector interests over the public interest 4.3. ほとんどの人は、意思決定が公共の利益よりも民間の利益を優先していると感じている。
4.4. Institutional checks and balances, which are intended to ensure fair decision-making, are perceived as inadequate 4.4. 公正な意思決定を保証するための機構的なチェック・アンド・バランスが不十分であると思われている。
4.5. Government decision-making is seen as unresponsive to the public, weakening the meaning of representative democracy 4.5. ガバナンスの意思決定は国民に無反応であるとみなされ、代表者民主主義の意味を弱めている。
4.6. Conclusion for policy action to enhance trust 4.6. 信頼を高めるための政策行動の結論
References 参考文献
Note 備考
5. Trust and information integrity 5. 信頼と情報の完全性
5.1. The media environment and media consumption patterns affect trust in public institutions 5.1. メディア環境とメディア消費パターンは公的機関の信頼に影響する
5.2. The current information ecosystem has made it harder for individuals to understand and assess the trustworthiness of information 5.2. 現在の情報エコシステムは、個人が情報の信頼性を理解し、アセスメントすることを難しくしている。
5.3. Effective and inclusive government communication can enhance trust in public institutions 5.3. 効果的で包括的な政府コミュニケーションは、公的機関への信頼を高めることができる。
5.4. Transparency about the evidence that underlies government decision making can build trust 5.4. 政府の意思決定の基礎となる証拠についての透明性は、信頼を構築することができる。
5.5. Conclusion for policy action to enhance trust 5.5. 信頼を高めるための政策行動の結論
References 参考文献
Note 備考
Annex A. The public governance drivers and personal characteristics shaping trust in public institutions 附属書A. 公的機関への信頼を形成するパブリック・ガバナンスの推進要因と個人の特性
Understanding how multiple public governance drivers affect trust 複数の公的ガバナンス要因が信頼にどのように影響するかをガバナンスで理解する
Socio-economic background and partisanship as influencers of trust 信頼に影響を与える要因としての社会経済的背景と党派性
Assessing the extent to which changes in trust levels are related to changing perceptions of public governance drivers 信頼レベルの変化がどの程度公的統治要因に対する認識の変化と関連しているかをアセスメントする。
References 参考文献
Annex B. Overview of the 2023 OECD Trust Survey Methodology 附属書B. 2023 OECD信頼度調査手法の概要
Table B.1. Overview on hard and soft sampling quotas 表B.1. ハード・サンプリングとソフト・サンプリングの概要
Table B.2. Data collection overview 表B.2. データ収集の概要

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー
Democratic governments today stand at a critical juncture, steering environmental and digital transitions while having to face increased polarisation within their countries, heightened geopolitical tensions as well as the social consequences of various economic developments such as inflation. In this high-stakes environment, building and maintaining trust in public institutions has emerged as a priority for many governments around the world. 今日の民主的政府は、環境とデジタルの移行を舵取りしながら、国内における二極化の進展、地政学的緊張の高まり、さらにはインフレなど様々な経済発展がもたらす社会的影響に直面し、重大な岐路に立たされている。このような環境下において、公的機関に対する信頼の構築と維持は、世界中の多くの政府にとって優先事項となっている。
This report presents the results from the second OECD Survey on Drivers of Trust in Public Institutions (Trust Survey), carried out in October and November 2023 in 30 OECD countries. It provides results of current trust levels and their drivers across countries and public institutions, and an analysis of their evolution over the past two years with a comparison with the results of the 2021 edition of the survey. The OECD will continue to monitor the results over time with future editions of the survey. 本報告書は、2023年10月から11月にかけてOECD加盟30カ国を対象に実施された、第2回OECD「公的機関への信頼の促進要因に関する調査」(信頼度調査)の結果をまとめたものである。本報告書では、国および公的機関全体における現在の信頼水準とその推進要因に関する結果をプロバイダとして提供するとともに、2021年版の調査結果との比較を交えながら、過去2年間における信頼水準の推移を分析している。OECDは、今後の調査でも長期的に結果をモニターしていく予定である。
Results of the survey vary across countries, due to a range of cultural, institutional, social and economic factors. Nonetheless, like in the 2021 edition of the survey, the results show clear overall tendencies affecting OECD members and reveal common areas of action in the future that do not preclude other important areas that may be more specific to a country. 調査結果は、文化的、制度的、社会的、経済的なさまざまな要因によって、国によって異なる。それにもかかわらず、2021年版と同様、調査結果はOECD加盟国に影響を及ぼす全体的な傾向を明確に示しており、今後取り組むべき共通の分野を明らかにしている。
Key findings 主な調査結果
Across the 30 countries, the share of people with low or no trust in the national government (44%) outweighs the share of those with high or moderately high trust (39%). 30カ国全体において、政府に対する信頼が低い、あるいは全くない人の割合(44%)が、信頼が高い、あるいは中程度に高い人の割合(39%)を上回っている。
Trust in national government across the countries that participated in the two iterations of the survey has registered a 2 percentage point drop since 2021 on average, although trust levels increased in Australia, Belgium, Canada, Colombia, France, Latvia and Sweden. This average decrease can be partly attributed to women and people with lower education, whose levels of trust in national government have decreased both by 5 percentage points. オーストラリア、ベルギー、カナダ、コロンビア、フランス、ラトビア、スウェーデンでは信頼度が上昇したが、この2回の調査に参加した国々の国政に対する信頼度は、2021年以降平均で2ポイント低下した。この平均的な低下は、女性と低学歴者の国政への信頼度がともに5ポイント低下したことに一因がある。
Trust in the police, the judicial system, the civil service and local government is higher than in national government, with respectively 63%, 54%, 45% and 45% of people having high or moderately high trust in these institutions, while national Parliament and political parties elicit lower levels of trust (37% and 24% respectively). 警察、司法制度、トラストサービス、地方政府に対する信頼は、それぞれ63%、54%、45%、45%の人が、これらの機構に対して高い、または中程度に高い信頼を持っており、国政に対する信頼は国政よりも高いが、国会や政党に対する信頼は低い(それぞれ37%、24%)。
As per the previous iteration of the survey, a key finding of the 2024 Trust Survey is that socio-economic conditions and demographic characteristics matter. People who feel financially insecure, women and those with low levels of education, as well as those who report belonging to a group that is discriminated against, consistently report lower levels of trust in government. Related to this, the sense of political agency is crucial in explaining the different levels of trust in national government in all countries. The trust gap between those who report they have a say in what the government does and those who say they do not is 47 percentage points. 前回の調査と同様、2024年信頼度調査の重要な発見は、社会経済的条件と人口統計学的特性が重要であるということである。経済的不安を感じている人、女性、教育レベルの低い人、また識別的なグループに属していると回答した人は、一貫して政府への信頼度が低いと回答している。これと関連して、政治的主体性の感覚は、どの国でも国政に対する信頼のレベルの違いを説明する上で極めて重要である。政府の行動に対して発言権があると回答した人と、ないと回答した人の信頼度の差は47%ポイントである。
Overall, there is a clear divide between trust levels in the day-to-day interactions with public institutions, which remain relatively robust on average and in many countries, and trust in the government’s ability to make the important decisions on complex policy issues with trade-offs across different groups in society. 全体として、多くの国で平均的に比較的堅調に推移している公的機関との日常的なやりとりに対する信頼レベルと、社会のさまざまなグループ間でトレードオフの関係にある複雑な政策課題について重要な決定を下す政府の能力に対する信頼レベルには、明確な隔たりがある。
Indeed, a majority of recent users of the relevant public services report relative satisfaction with national health (52%), education (57%) and administrative services (66%). Moreover, a majority of the population believe public institutions would use their personal data for legitimate purposes only (52%) and have confidence their application for a service or a benefit would be treated fairly (52%). These are important elements given these day-to-day interactions with government remain key drivers of trust. 実際、関連する公共サービスの最近の利用者の過半数が、国民保健(52%)、教育(57%)、行政サービス(66%)に比較的満足していると報告している。さらに、国民の大多数は、公的機関が合法的な目的にのみ個人データを使用すると信じており(52%)、サービスや給付の申請が公正に扱われると確信している(52%)。これらのことは、政府との日常的なやり取りが依然として信頼の重要な原動力であることを考えると、重要な要素である。
In contrast, while a majority still believes their government is ready to protect people in case of emergency, only 37% believe that the government balances the interests of different generations fairly and around 40% believe the government will regulate new technologies appropriately or will succeed in reducing greenhouse gas emissions in the next ten years. These results are at least partly attributable to the lack of confidence in institutions and officials working in the public interest, being accountable to each other and the population, and allowing people to have a voice and influence on decision making. Only about 30% think their political system lets them have a say, would adopt the opinions express in a public consultation, or that their governments can resist corporate influence, and 38% believe in the effectiveness of parliamentary checks and balances. Data shows these are all important drivers of trust today for which results are unsatisfactory in many countries. これとは対照的に、政府が緊急時に国民を保護する用意があると信じている人は依然として過半数を占めているが、政府がさまざまな世代の利害を公平にバランスさせていると信じている人は37%に過ぎず、政府が新技術を適切に規制したり、今後10年間に温室効果ガスの排出削減に成功したりすると信じている人は40%程度であった。これらの結果は、少なくとも部分的には、公益のために働く機構や役人が、互いに、そして国民に対して説明責任を果たし、意思決定に対して国民が発言し影響力を持てるようにすることへの信頼の欠如に起因している。自国の政治制度が国民に発言権を与え、公開協議で表明された意見を採用し、政府が企業の影響に抵抗できると考えているのは約30%、議会のチェック・アンド・バランスの有効性を信じているのは38%に過ぎない。データによれば、これらはすべて今日の信頼の重要な原動力であるが、多くの国では満足のいく結果が得られていない。
Finally, in today’s complex information environment, with the rise of disinformation and polarising content, how information is created, shared and consumed has an important link with trust. While trust in the media on average is relatively low and mirrors that in national government (39%), people’s trust is government is closely related to their media consumption habits: only 22% of those who prefer not to follow political news report high or moderate trust in government compared to 40% among those who follow the news in some ways. When government is a source of information, people are satisfied with the information available on administrative services (67%), while only 39% think that communication about policy reforms, an important driver of trust, is adequate. Additionally, while the use of statistics, data and evidence is also shown to be a strong driver a trust, only about a third of people find government statistics trustworthy and easy to find and to understand. 最後に、偽情報や偏向的なコンテンツが台頭する今日の複雑な情報環境では、情報がどのように作られ、共有され、消費されるかは、信頼と重要な関係がある。メディアへの信頼は平均して比較的低く、政府への信頼(39%)を反映しているが、政府への信頼はメディア消費習慣と密接に関係している。政治ニュースを好まない人のうち、政府への信頼が高いか中程度と回答した人は22%しかいないのに対し、何らかの形でニュースをフォローしている人では40%にのぼる。政府が情報源である場合、人々は行政サービスに関する入手可能な情報に満足している(67%)が、信頼の重要な原動力である政策改革に関するコミュニケーションが適切であると考えているのは39%に過ぎない。さらに、統計、データ、エビデンスの活用も信頼の強い原動力となることが示されているが、政府の統計が信頼でき、見つけやすく、理解しやすいと考える人は全体の3分の1程度にすぎない。
What can governments do? 政府は何ができるのか?
Notwithstanding differences across countries, the results provide a shared agenda for OECD governments to meet their citizens’ increasing expectations. This agenda for action differs slightly across public institutions and levels of government given the levers and room for improving trust differ across those institutions. 国によるガバナンスの違いはあるにせよ、OECD政府が市民の期待の高まりに応えるための共通のアジェンダが示された。この行動アジェンダは、信頼を改善する手立てや余地が各機関で異なることから、公的機関や政府レベルによって若干異なる。
Overall, the 2024 Trust Survey confirms that it is the processes underpinning democratic governance that need strengthening to meet people’s increasing expectations: ensuring all people’s voices are heard, strengthening checks and balance among institutions, using better, transparent and verifiable evidence in decision-making, and balancing the interests of a diverse population are the best levers to improve trust, especially in national governments. 全体として、2024年信頼度調査は、人々の高まる期待に応えるために強化が必要なのは、民主的ガバナンスを支えるプロセスであることを確認している。すなわち、すべての人々の声が確実に届くようにすること、機構間のチェック・アンド・バランスを強化すること、意思決定においてより良く透明で検証可能な証拠を用いること、多様な人々の利益のバランスをとることが、特に政府における信頼を改善するための最善の手段である。
Engage better with citizens to enhance trust in both local and national government. There is a significant need for more meaningful and inclusive opportunities for citizen participation and influence in decision-making processes. This requires setting clear expectations about the role of deliberative and direct democracy within representative democracies; improving the mechanisms through which governments give all people a voice and are responsive to these voices and supporting spaces and capacities for civic and political engagement. Policies designed to promote political inclusivity and engagement or mitigate economic vulnerability and discrimination could also be key to closing trust gaps and empower people to participate in public debate. 地方政府と国政府の両方に対する信頼を高めるために、市民との対話を深める。意思決定プロセスにおける市民の参加と影響力について、より有意義で包括的な機会を設ける必要がある。これには、代表者制民主主義における熟議民主主義と直接民主主義の役割について明確な期待を設定すること、政府がすべての人々に発言権を与え、その声に応えるメカニズムを改善すること、市民的・政治的関与の場と能力を支援することが必要である。政治的包摂と参加を促進し、あるいは経済的脆弱性と識別的差別を軽減するように設計された政策もまた、信頼格差を解消し、人々が公的議論に参加できるようにするための鍵となりうる。
Strengthen capacity to address complex policy challenges especially at national government level. Data shows that governments must continue to improve their reliability and preparedness for future crises, including those with global implications; and consider whether questions of intra-national and inter-generational fairness are allocated sufficient space not only during the policy deliberation process, but also in public communication. 特に政府レベルで、複雑な政策課題に取り組む能力を強化する。データによれば、政府は、世界的な影響を含む将来の危機に対する信頼性と備えを改善し続けなければならない。また、国家内および世代間の公平性の問題が、政策審議の過程だけでなく、国民とのコミュニケーションにおいても、十分なスペースが割り当てられているかどうかを検討しなければならない。

 

 

 

| | Comments (0)

中国 国家人工知能産業の総合標準化システム構築のためのガイドライン(2024年版) (2024.07.03)

こんにちは、丸山満彦です。

中国の産業情報化部、、ネットワーク安全情報化中央委員会弁公室、国家発展改革委員会、国家標準化管理委員会等が共同で、国家人工知能産業の総合標準化システム構築のためのガイドライン(2024年版)を公表していますね...

参考になるところは大いにあるように思います。こういうものを作る能力があるのは素晴らしいことですね...

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

プレス...

・2024.07.03 四部门关于印发国家人工智能产业综合标准化体系建设指南(2024版)的通知

 

・[PDF] 国家人工智能产业综合标准化体系建设指南(2024版)

20240717-171556

 

国家人工智能产业综合标准化体系建设指南(2024版) 国家人工知能産業の総合標準化システム構築のためのガイドライン(2024年版)
为深入贯彻落实党中央、国务院关于加快发展人工智能的部署要求,贯彻落实《国家标准化发展纲要》《全球人工智能治理倡议》,进一步加强人工智能标准化工作系统谋划,加快构建满足人工智能产业高质量发展和“人工智能+”高水平赋能需求的标准体系,夯实标准对推动技术进步、促进企业发展、引领产业升级、保障产业安全的支撑作用,更好推进人工智能赋能新型工业化,特制定本指南。 人工知能の発展加速に関する中国共産党中央委員会と国務院の配備要求を徹底的に実施し、国家標準化発展綱要と人工知能ガバナンスに関するグローバル・イニシアティブを実施し、AI標準化作業の体系的な計画をさらに強化し、AI産業の高品質な発展と「AI+」ハイレベルのニーズを満たす標準システムの構築を加速する。 AI標準化業務の体系的な計画をさらに強化し、AI産業の高品質な発展及び「AI+」高水準の権限付与のニーズを満たす標準システムの構築を加速し、技術進歩を促進し、企業の発展を促進し、産業の高度化を先導し、産業の安全を守る標準の支援的役割を強化し、AIを活用した新産業化をよりよく推進するため、ガイドラインを策定する。
一、产业发展现状 I. 産業発展の現状
人工智能是引领新一轮科技革命和产业变革的基础性和战略性技术,正成为发展新质生产力的重要引擎,加速和实体经济深度融合,全面赋能新型工业化,深刻改变工业生产模式和经济发展形态,将对加快建设制造强国、网络强国和数字中国发挥重要的支撑作用。人工智能产业链包括基础层、框架层、模型层、应用层等 4 个部分。其中,基础层主要包括算力、算法和数据,框架层主要是指用于模型开发的深度学习框架和工具,模型层主要是指大模型等技术和产品,应用层主要是指人工智能技术在行业场景的应用。近年来,我国人工智能产业在技术创新、产品创造和行业应用等方面实现快速发展,形成庞大市场规模。伴随以大模型为代表的新技术加速迭代,人工智能产业呈现出创新技术群体突破、行业应用融合发展、国际合作深度协同等新特点,亟需完善人工智能产业标准体系。 人工知能は、科学技術革命と産業変革の新ラウンドをリードする基本的かつ戦略的な技術であり、新たな生産性の発展の重要な原動力となりつつあり、実体経済の深い統合を加速し、新産業化を全面的に強化し、産業生産方式と経済発展の形を大きく変え、強い製造業国家、強いネットワーク国家、デジタル中国の建設を加速する上で重要な支援的役割を果たす。 AI産業チェーンは、基礎層、フレームワーク層、モデル層、アプリケーション層の4つの部分から構成される。 このうち、基礎層は主に演算能力、アルゴリズム、データを含み、フレームワーク層は主にディープラーニングのフレームワークとモデル開発に使用されるツールを指し、モデル層は主にビッグモデルなどの技術と製品を指し、応用層は主に産業シーンにおけるAI技術の応用を指す。 近年、中国のAI産業は技術革新、製品創出、産業応用の面で急速な発展を遂げ、巨大な市場規模を形成している。 大型モデルに代表される新技術の加速的な反復に伴い、AI産業は革新的な技術グループのブレークスルー、産業応用の統合的発展、国際協力における深い相乗効果などの新たな特徴を示しており、AI産業標準システムの改善が急務となっている。
二、总体要求 II. 一般的な要求事項
以习近平新时代中国特色社会主义思想为指导,全面贯彻党的二十大和二十届二中全会精神,认真落实中央经济工作会议和全国新型工业化推进大会部署要求,完整、准确、全面贯彻新发展理念,统筹高质量发展和高水平安全,加快赋能新型工业化,以抢抓人工智能产业发展先机为目标,完善人工智能标准工作顶层设计,强化全产业链标准工作协同,统筹推进标准的研究、制定、实施和国际化,为推动我国人工智能产业高质量发展提供坚实的技术支撑。 新時代の中国の特色ある社会主義という習近平の思想に導かれ、第20回中国共産党全国代表大会と第20期中国共産党中央委員会第2回全体会議の精神を全面的に実施し、中央経済工作会議と全国新産業化促進会議の展開要求を良心的に実施し、新発展理念を完全、正確、全面的に貫徹し、質の高い発展とハイレベルの安全保障を調整し、新産業化の力づけを加速し、人工知能産業の発展の最初のチャンスをつかむことを目標に、AI標準化作業のトップレベル設計を改善する。 AI産業発展の最初のチャンスをつかむことを目標に、AI標準作業のトップレベル設計を改善し、産業チェーン全体の標準作業の相乗効果を強化し、標準の研究、策定、実施、国際化を協調して推進し、中国のAI産業の高品質な発展を促進するための確かな技術支援を提供する。
到 2026 年,标准与产业科技创新的联动水平持续提升,新制定国家标准和行业标准 50 项以上,引领人工智能产业高质量发展的标准体系加快形成。开展标准宣贯和实施推广的企业超过 1000 家,标准服务企业创新发展的成效更加凸显。参与制定国际标准 20 项以上,促进人工智能产业全球化发展。 2026年までに、標準と産業科学技術革新の連携レベルは向上し続け、50以上の新たな国家標準と産業標準が制定され、AI産業の高品質発展を主導する標準システムが加速する。 1,000社以上の企業が標準の宣伝と実施促進を行い、企業の革新と発展に対する標準サービスの効果がより顕著になる。 20以上の国際標準の制定に参加し、AI産業のグローバル化を推進する。
坚持创新驱动。优化产业科技创新与标准化联动机制,加快人工智能领域关键共性技术研究,推动先进适用的科技创新成果高效转化成标准。 イノベーションの推進を堅持する。 産業科学技術革新と標準化の連携メカニズムを最適化し、AI分野の主要共通技術の研究を加速し、先進的かつ応用可能な科学技術革新成果の効率的な標準化を推進する。
坚持应用牵引。坚持企业主体、市场导向,面向行业应用需求,强化创新成果迭代和应用场景构建,协同推进人工智能与重点行业融合应用。 応用牽引力を堅持する。 企業主導、市場志向、産業志向の応用ニーズを堅持し、革新的成果と応用シナリオの反復を強化し、AIと主要産業の融合を共同で推進する。
坚持产业协同。加强人工智能全产业链标准化工作协同,加强跨行业、跨领域标准化技术组织的协作,打造大中小企业融通发展的标准化模式。 産業シナジーを堅持する。 AIの産業チェーン全体の標準化作業の調整を強化し、業界横断的・分野横断的な標準化技術組織の協力を強化し、大企業・中堅企業・中小企業の統合的発展のための標準化モデルを構築する。
坚持开放合作。深化国际标准化交流与合作,鼓励我国企事业单位积极参与国际标准化活动,携手全球产业链上下游企业共同制定国际标准。 オープンな協力を堅持する。 国際標準化交流と協力を深化させ、わが国の企業や機関が国際標準化活動に積極的に参加するよう奨励し、グローバル産業チェーンの上流と下流の企業と手を携えて国際標準を共同開発する。
三、建设思路 III. 建設理念
(一)人工智能标准体系结构 (I) 人工知能標準アーキテクチャ
人工智能标准体系结构包括基础共性、基础支撑、关键技术、智能产品与服务、赋能新型工业化、行业应用、安全 /治理等 7 个部分,如图 1 所示。其中,基础共性标准是人工智能的基础性、框架性、总体性标准。基础支撑标准主要规范数据、算力、算法等技术要求,为人工智能产业发展夯实技术底座。关键技术标准主要规范人工智能文本、语音、图像,以及人机混合增强智能、智能体、跨媒体智能、具身智能等的技术要求,推动人工智能技术创新和应用。智能产品与服务标准主要规范由人工智能技术形成的智能产品和服务模式。赋能新型工业化标准主要规范人工智能技术赋能制造业全流程智能化以及重点行业智能升级的技术要求。行业应用标准主要规范人工智能赋能各行业的技术要求,为人工智能赋能行业应用,推动产业智能化发展提供技术保障。安全/治理标准主要规范人工智能安全、治理等要求,为人工智能产业发展提供安全保障。 人工知能標準システムの構造には、図1に示すように、基本的共通性、基本的サポート、キーテクノロジー、インテリジェント製品・サービス、新産業化の実現、産業応用、セキュリティ・ガバナンスの7つの部分が含まれる。 このうち、基本共通標準は、AIの基本標準、枠組み標準、全体標準である。 基本サポート標準は主にデータ、演算、アルゴリズムなどの技術要件を規定し、AI産業発展の技術基盤を固める。 重点技術標準は主にAIのテキスト、音声、画像、人間とコンピュータのハイブリッド拡張知能、知能体、クロスメディア知能、体現知能などの技術要求を規定し、AI技術の革新と応用を促進する。 インテリジェント製品とサービス標準は主にAI技術によって形成されるインテリジェント製品とサービスモードを規定する。 新産業化を実現する標準は主にAI技術の技術要件を規定し、製造業の全工程知能化と重点産業の知能化を実現する。 産業応用標準は主にAI対応産業の技術要件を規定し、AI対応産業の応用に技術保証を提供し、産業インテリジェンスの発展を促進する。 安全/ガバナンス標準は主にAIの安全性、ガバナンス、その他の要求事項を規定し、AI産業の発展に安全性を提供する。
1_20240717164201
图 1 人工智能标准体系结构图 図 1 人工知能標準システムの構造
(二)人工智能标准体系框架 (II) 人工知能標準システムの枠組み
人工智能标准体系框架主要由基础共性、基础支撑、关键技术、智能产品与服务、赋能新型工业化、行业应用、安全/治理等 7 个部分组成,如图 2 所示。 人工知能標準システムの枠組みは、図2に示すように、基本的共通性、基本的サポート、キーテクノロジー、インテリジェント製品とサービス、新産業化の実現、産業応用、安全/ガバナンスの7つの部分から主に構成される。
1_20240717164401
图 2 人工智能标准体系框架图 図 2 人工知能標準システムの枠組み
四、重点方向 IV. 主な方向性
(一)基础共性标准 (I) 基本共通標準
基础共性标准主要包括人工智能术语、参考架构、测试评估、管理、可持续等标准。 基本的な共通標準には、主にAI用語、参照アーキテクチャ、テストと評価、管理、持続可能性などの標準が含まれる。
1. 术语标准。规范人工智能相关技术、应用的概念定义,为其它标准的制定和人工智能研究提供参考,包括人工智能相关术语定义、范畴、实例等标准。 1. 用語標準。 AI関連技術とアプリケーションの概念定義を標準化し、AI関連用語の定義、分類、例に関する標準を含め、他の標準策定やAI研究の参考とする。
2. 参考架构标准。规范人工智能相关技术、应用及系统的逻辑关系和相互作用,包括人工智能参考架构、人工智能系统生命周期及利益相关方等标准。 2. 参照アーキテクチャ標準。 AI参照アーキテクチャ、AIシステムライフサイクル、ステークホルダーに関する標準を含め、AI関連技術、アプリケーション、システムの論理的関係や相互作用を標準化する。
3. 测试评估标准。规范人工智能技术发展的成熟度、人工智能体系架构之间的适配度、行业发展水平、企业智能化能力等方面的测试及评估的指标要求,包括与人工智能相关的服务能力成熟度评估,人工智能通用性测试指南、评估原则和等级要求,企业智能化能力框架及测评要求等标准。 3. テストと評価の標準。 AI関連サービス能力の成熟度評価、AI汎用性試験ガイドライン、評価原則とレベル要件、企業インテリジェンス能力フレームワークと評価要件などの標準を含め、AI技術開発の成熟度、AIアーキテクチャ間の適応性、産業発展のレベル、企業インテリジェンス能力を標準化する。
4. 管理标准。规范人工智能技术、产品、系统、服务等全生命周期涉及的人员、组织管理要求和评价,包括面向人工智能组织的管理要求,人工智能管理体系、分类方法、评级流程等标准。 4. 管理標準。 AI指向組織の管理要件、AI管理システムの標準、分類方法、評価プロセス等を含め、AI技術、製品、システム、サービス等のライフサイクル全体に関わる人材・組織管理要件及び評価を標準化する。
5. 可持续标准。规范人工智能影响环境的技术框架、方法和指标,平衡产业发展与环境保护,包括促进生态可持续的人工智能软件开源基础框架,人工智能系统能效评价,人工智能与资源利用、碳排放、废弃部件处置等标准。 5. 持続可能性標準。 環境に影響を与えるAIの技術的枠組み、方法、指標を標準化し、生態学的持続可能性を促進するAIソフトウェアのオープンソース基本枠組み、AIシステムのエネルギー効率の評価、AIと資源利用、二酸化炭素排出、廃棄部品の処理に関する標準など、産業発展と環境保護のバランスをとる。
(二)基础支撑标准 (II) 基本サポート標準
基础支撑标准主要包括基础数据服务、智能芯片、智能传感器、计算设备、算力中心、系统软件、开发框架、软硬件协同等标准。 基本サポート標準には主に、基本データサービス、スマートチップ、スマートセンサー、コンピューティングデバイス、演算センター、システムソフトウェア、開発フレームワーク、ソフトウェアとハードウェアの連携に関する標準が含まれる。
1. 基础数据服务标准。规范人工智能研发、测试、应用等过程中涉及数据服务的要求,包括数据采集、数据标注、数据治理、数据质量等标准。 1.基本データサービス標準。 AIの研究開発、テスト、応用などの過程で、データ収集、データラベリング、データガバナンス、データ品質などの標準を含むデータサービスに関わる要件を標準化する。
2. 智能芯片标准。规范智能芯片相关的通用技术要求,包括智能芯片架构、指令集、统一编程接口及相关测试要求、芯片数据格式和协议等标准。 2.スマートチップ標準。 スマートチップアーキテクチャ、命令セット、統一プログラミングインターフェース、関連テスト要件、チップデータ形式、プロトコル標準など、スマートチップに関連する一般的な技術要件を標準化する。
3. 智能传感器标准。规范单模态、多模态新型传感器的接口协议、性能评定、试验方法等技术要求,包括智能传感器的架构、指令、数据格式、信息提取方法、信息融合方法、功能集成方法、性能指标和评价方法等标准。 3. スマートセンサー標準。 スマートセンサーのアーキテクチャ、命令、データフォーマット、情報抽出方法、情報融合方法、機能統合方法、性能指標、評価方法などの標準を含む、ユニモーダルおよびマルチモーダル新型センサーのインターフェースプロトコル、性能評価、試験方法およびその他の技術要件を標準化する。
4. 计算设备标准。规范人工智能加速卡、人工智能加速模组、人工智能服务器等计算设备,及使能软件的技术要求和测试方法,包括人工智能计算设备虚拟化方法,人工智能加速模组接口协议和测试方法,及使能软件的访问协议、功能、性能、能效的测试方法和运行维护要求等标准。 4. コンピューティングデバイス標準。 AIアクセラレーションカード、AIアクセラレーションモジュール、AIサーバー、イネーブリングソフトウェアなどのコンピューティングデバイスの技術要件および試験方法を標準化する。これには、AIコンピューティングデバイスの仮想化方法、AIアクセラレーションモジュールのインターフェースプロトコルおよび試験方法、イネーブリングソフトウェアのアクセスプロトコル、機能性、性能、エネルギー効率に関する試験方法および運用・保守要件などの標準が含まれる。
5. 算力中心标准。规范面向人工智能的大规模计算集群、新型数据中心、智算中心、基础网络通信、算力网络、数据存储等基础设施的技术要求和评估方法,包括基础设施参考架构、计算能力评估、技术要求、稳定性要求和业务服务接口等标准。 5. コンピューティング・パワーセンター標準。 AI指向の大規模コンピューティングクラスター、新しいタイプのデータセンター、スマートコンピューティングセンター、基本ネットワーク通信、演算ネットワーク、データストレージ、その他のインフラの技術要件と評価方法を標準化し、インフラ参照アーキテクチャ、コンピューティング能力アセスメント、技術要件、安定性要件、ビジネスサービスインターフェースの標準を含む。
6. 系统软件标准。规范人工智能系统层的软硬件技术要求,包括软硬件编译器架构和优化方法、人工智能算子库、芯片软件运行时库及调试工具、人工智能软硬件平台计算性能等标准。 6. システムソフトウェア標準。 ソフトウェアとハードウェアのコンパイラアーキテクチャと最適化手法、AI演算ライブラリ、チップソフトウェアランタイムライブラリとデバッグツール、AIソフトウェアとハードウェアプラットフォームの計算性能に関する標準を含む、AIシステム層のソフトウェアとハードウェアの技術要件を標準化する。
7. 开发框架标准。规范人工智能开发框架相关的技术要求,包括开发框架的功能要求,与应用系统之间的接口协议、神经网络模型表达和压缩等标准。 7. 開発フレームワーク標準。 開発フレームワークの機能要件、アプリケーションシステムとのインターフェースプロトコル、ニューラルネットワークモデルの表現と圧縮、その他の標準など、AI開発フレームワークに関する技術要件を標準化する。
8. 软硬件协同标准。规范智能芯片、计算设备等硬件与系统软件、开发框架等软件之间的适配要求,包括智能芯片与开发框架的适配要求、人工智能计算任务调度、分布式计算等软硬件协同任务的交互协议、执行效率和协同性能等标准。 8. ハードウェアとソフトウェアの連携標準。 スマートチップ、コンピューティングデバイスなどのハードウェアとシステムソフトウェア、開発フレームワークなどのソフトウェア間の適応要件、AIコンピューティングタスクのスケジューリング、分散コンピューティング、その他のハードウェアとソフトウェアの協調タスクのための相互作用プロトコル、実行効率、協調性能標準などを標準化する。
(三)关键技术标准 (III) 主要技術標準
关键技术标准主要包括机器学习、知识图谱、大模型、自然语言处理、智能语音、计算机视觉、生物特征识别、人机混合增强智能、智能体、群体智能、跨媒体智能、具身智能等标准。 主要技術標準には、主に機械学習、知識グラフ、ビッグモデル、自然言語処理、知能音声、コンピュータビジョン、生体識別、人間とコンピュータのハイブリッド拡張知能、知能身体、集団知能、クロスメディア知能、体現知能などの標準が含まれる。
1. 机器学习标准。规范机器学习的训练数据、数据预处理、模型表达和格式、模型效果评价等,包括自监督学习、无监督学习、半监督学习、深度学习、强化学习等标准。 1. 機械学習標準。 自己教師あり学習、教師なし学習、半教師あり学習、深層学習、強化学習などの標準を含む、機械学習の学習データ、データの前処理、モデルの表現と形式、モデルの効果評価などを標準化する。
2. 知识图谱标准。规范知识图谱的描述、构建、运维、共享、管理和应用,包括知识表示与建模、知识获取与存储、知识融合与可视化、知识计算与管理、知识图谱质量评价与互联互通、知识图谱交付与应用、知识图谱系统架构与性能要求等标准。 2. ナレッジグラフ標準。 知識表現・モデリング、知識獲得・蓄積、知識融合・可視化、知識計算・管理、知識グラフ品質評価・相互接続、知識グラフ配信・応用、知識グラフシステムアーキテクチャ・性能要件などの標準を含む、知識グラフの記述、構築、運用・保守、共有、管理、応用を標準化する。
3. 大模型标准。规范大模型训练、推理、部署等环节的技术要求,包括大模型通用技术要求、评测指标与方法、服务能力成熟度评估、生成内容评价等标准。 3. ビッグモデル標準。 ビッグモデルの一般的な技術要件、評価指標と評価方法、サービス能力の成熟度評価、生成コンテンツの評価、その他の標準を含む、ビッグモデルの学習、推論、展開のための技術要件を標準化する。
4. 自然语言处理标准。规范自然语言处理中语言信息提取、文本处理、语义处理等方面的技术要求和评测方法,包括语法分析、语义理解、语义表达、机器翻译、自动摘要、自动问答、语言大模型等标准。 4. 自然言語処理標準。 構文解析、意味理解、意味表現、機械翻訳、自動要約、自動質疑応答、言語ビッグモデルの標準など、言語情報抽出、テキスト処理、意味処理、その他自然言語処理の技術要件と評価方法を標準化する。
5. 智能语音标准。规范前端处理、语音处理、语音接口、数据资源等技术要求和评测方法,包括深度合成的鉴伪方法、全双工交互、语音大模型等标准。 5. インテリジェント音声標準。 ディープシンセシス、全二重対話、音声ビッグモデルなどのフォレンジック手法の標準を含む、フロントエンド処理、音声処理、音声インターフェース、データリソースの技術要件と評価方法を標準化する。
6. 计算机视觉标准。规范图像获取、图像/视频处理、图像内容分析、三维计算机视觉、计算摄影学、跨媒体融合等技术要求和评价方法,包括功能、性能、可维护性等标准。 6. コンピュータビジョン標準。 機能性、性能、保守性の標準を含む、画像取得、画像/映像処理、画像コンテンツ解析、3Dコンピュータビジョン、計算写真、クロスメディア・コンバージェンスなどの技術要件と評価方法を標準化する。
7. 生物特征识别标准。规范生物特征样本处理、生物特征数据协议、设备或系统等技术要求,包括生物特征数据交换格式、接口协议等标准。 7. バイオメトリクス識別標準。 バイオメトリクス・データ交換フォーマット、インターフェース・プロトコルなどの標準を含む、バイオメトリクス・サンプル処理、バイオメトリクス・データ・プロトコル、デバイスまたはシステムの技術要件を標準化する。
8. 人机混合增强智能标准。规范多通道、多模式和多维度的交互途径、模式、方法和技术要求,包括脑机接口、在线知识演化、动态自适应、动态识别、人机协同感知、人机协同决策与控制等标准。 8. マン・マシン・ハイブリッド拡張知能標準。 ブレイン・コンピュータ・インターフェイス、オンライン知識進化、動的適応、動的識別、人間と機械の協調的知覚、人間と機械の協調的意思決定と制御、その他の標準を含む、マルチチャネル、マルチモード、多次元の相互作用経路、モード、方法、技術要件を標準化する。
9. 智能体标准。规范以通用大模型为核心的智能体实例和智能体基本功能、应用架构等技术要求,包括智能体强化学习、多任务分解、推理、提示词工程,智能体数据接口和参数范围,人机协作、智能体自主操作、多智能体分布式一致性等标准。 9. インテリジェントボディ標準。 知能体の強化学習、マルチタスク分解、推論、キューワードエンジニアリング、知能体のデータインタフェースとパラメータ範囲、人間とコンピュータの共同作業、知能体の自律操作、マルチ知能体の分散整合性などの標準を含む。
10. 群体智能标准。规范群体智能算法的控制、编队、感知、规划、决策、通信等技术要求和评测方法,包括自主控制、协同控制、任务规划、路径规划、协同决策、组网通信等标准。 10. 集団知能標準。 自律制御、協調制御、タスク計画、進路計画、協調意思決定、集団コミュニケーションなどの標準を含む、集団知能アルゴリズムの制御、形成、知覚、計画、意思決定、コミュニケーションなどの技術要件と評価方法を標準化する。
11. 跨媒体智能标准。规范文本、图像、视频、音频等多模态数据处理基础、转换分析、融合应用等方面的技术要求,包括数据获取与处理、模态转换、模态对齐、融合与协同、应用扩展等标准。 11. クロスメディア・インテリジェンス標準。 テキスト、画像、映像、音声などのマルチモーダルなデータ処理、変換分析、融合応用に基づく技術要件を標準化する。これには、データの取得と処理、モーダル変換、モーダル整列、融合と連携、応用拡張に関する標準が含まれる。
12. 具身智能标准。规范多模态主动与交互、自主行为学习、仿真模拟、知识推理、具身导航、群体具身智能等标准。 12. フィジカル・インテリジェンス標準。 マルチモーダルな能動的・対話的、自律的行動学習、シミュレーション、知識推論、身体化ナビゲーション、集団身体化知能などの標準化を行う。
(四)智能产品与服务标准 (IV) インテリジェント製品・サービス標準
智能产品与服务标准主要包括智能机器人、智能运载工具、智能移动终端、数字人、智能服务等标准。 知能製品とサービス標準は主に知能ロボット、知能配送手段、知能携帯端末、デジタル人間、知能サービスなどの標準を含む。
1. 智能机器人标准。规范人工智能在机器人领域应用的技术要求,包括机器人智能认知、智能决策等标准。 1. 知能ロボット標準。 知能ロボットの認知および知能意思決定の標準を含む、ロボット分野における人工知能応用のための技術要件を標準化する。
2. 智能运载工具标准。规范智能运载工具感知、识别与预判、协同与博弈、决策与控制、评价等技术要求,包括环境融合感知、智能识别预判、智能决策控制、多模式测试评价等标准。 2. 知能自動車標準。 環境融合認識、知能識別・予測、知能意思決定・制御、マルチモード試験・評価の標準を含む、知能車両の認識、識別・予測、協調・ゲーム、意思決定・制御、評価の技術要件を標準化する。
3. 智能移动终端标准。规范人工智能应用在移动终端领域的技术要求,包括图像识别、人脸识别、智能语音交互,以及智能移动终端涉及的信息无障碍、适老化等标准。 3. インテリジェントモバイル端末標準。 画像識別、顔識別、インテリジェント音声インタラクション、インテリジェントモバイル端末に関わる情報アクセシビリティとエイジング標準など、モバイル端末分野におけるAIアプリケーションの技術要件を標準化する。
4. 数字人标准。规范数字人的外形、动作生成、语音识别与合成、自然语言交互等技术要求,包括数字人基础能力评估、多媒体合成渲染、基础数据采集方法、标识和识别方法等标准。 4. デジタルヒューマン標準。 デジタルヒューマンの基本能力のアセスメント、マルチメディア合成とレンダリング、基本データ収集方法、マーキングと識別方法の標準を含む、デジタルヒューマンの外観、行動生成、音声識別と合成、自然言語インタラクションの技術要件を標準化する。
5. 智能服务标准。规范基于大模型、自然语言处理、智能语音、计算机视觉等人工智能技术提供的服务,包括模型即服务平台技术要求和评测方法等标准,以及面向特定场景的人工智能应用服务,如智能软件开发、智能设计、智能防伪等标准。 5. インテリジェントサービス標準。 ビッグモデル、自然言語処理、インテリジェント・スピーチ、コンピュータ・ビジョンなどの人工知能技術に基づいて提供されるサービスを標準化する。これには、モデル・アズ・ア・サービス・プラットフォームの技術要件や評価方法などの標準のほか、インテリジェント・ソフトウェア開発、インテリジェント・デザイン、インテリジェント偽造防止など、特定のシナリオに対応する人工知能応用サービスの標準も含まれる。
(五)赋能新型工业化标准 (V) 新産業化を実現する標準
赋能新型工业化标准主要包括研发设计、中试验证、生产制造、营销服务、运营管理等制造业全流程智能化标准,以及重点行业智能升级标准。 新産業化を実現する標準には、主に研究開発・設計、試験・認証、生産、マーケティングサービス、運営・管理など、製造インテリジェンスの全過程に関する標準と、主要産業のインテリジェント化に関する標準が含まれる。
1. 研发设计标准。研制跨领域知识整合、新型设计模式生成、人机协同研发设计等标准。 1. 研究開発と設計標準。 分野横断的な知識の統合、新しい設計モードの生成、人間と機械の共同研究開発および設計標準の研究開発。
2. 中试验证标准。围绕高精度、全流程仿真模型,研制智能虚拟中试标准,以及复杂工业场景新技术应用验证标准。 2. 試験検証標準。 高精度フルプロセスシミュレーションモデルに焦点を当て、インテリジェントバーチャルパイロット標準、および複雑な産業シナリオにおける新技術適用のための検証標準を開発する。
3. 生产制造标准。研制生产过程智能化、产线监测及维护等标准。 3. 製造標準。 生産工程インテリジェンス、生産ライン監視、メンテナンスの標準を開発する。
4. 营销服务标准。围绕营销服务效率提升,研制智能客服、数字人、商品三维模型标准,以及用户体验等标准。 4. マーケティングサービス標準。 マーケティングサービス効率の向上に重点を置き、インテリジェントな顧客サービス、デジタルヒューマン、商品三次元モデル標準、ユーザーエクスペリエンス標準を研究開発する。
5. 运营管理标准。围绕运营管理智能化能力提升,研制相关供应链管理、数据管理、风险管理等标准。 5. 運営管理標準。 経営管理の知能化能力を高めることを中心に、サプライチェーン管理、データ管理、リスク管理などの標準を開発する。
6. 重点行业智能升级标准。围绕原材料行业,开展大模型畅联产线数据、优化在线监测调控和工艺改进等标准研制。围绕消费品行业,开展需求预测、个性化定制等标准研制。围绕装备行业,研制智能装备感知、交互、控制、协作、自主决策等标准。 6.重点産業の知能化標準。 原材料業界を中心に、大型モデルと生産ラインデータ、最適化オンライン監視と規制、プロセス改善などの標準を研究開発する。 消費財産業周辺では、需要予測、個別カスタマイズなどの標準開発を行う。 設備産業周辺では、インテリジェント設備の認識、相互作用、制御、協力、自律的意思決定標準を開発する。
(六)行业应用标准 (VI)産業応用標準
开展智慧城市、科学智算、智慧农业、智慧能源、智慧环保、智慧金融、智慧物流、智慧教育、智慧医疗、智慧交通、智慧文旅等领域标准研究。 スマートシティ、科学計算、スマート農業、スマートエネルギー、スマート環境保護、スマート金融、スマート物流、スマート教育、スマート医療、スマート交通、スマート観光などの標準研究を行う。
(七)安全/治理标准 (VII) 安全/ガバナンス標準
安全/治理标准主要包括人工智能领域的安全、治理等标准。 安全/ガバナンス標準には、主に人工知能分野における安全、ガバナンス、その他の標準が含まれる。
1. 安全标准。规范人工智能技术、产品、系统、应用、服务等全生命周期的安全要求,包括基础安全,数据、算法和模型安全,网络、技术和系统安全,安全管理和服务,安全测试评估,安全标注,内容标识,产品和应用安全等标准。 1. 安全標準。 基本安全、データ・アルゴリズム・モデル安全、ネットワーク・技術・システム安全、安全管理・サービス、安全テスト・アセスメント、安全ラベリング、コンテンツラベリング、製品・アプリケーション安全などの標準を含む、AI技術、製品、システム、アプリケーション、サービスなどのライフサイクル全体の安全要件を標準化する。
2. 治理标准。结合人工智能治理实际需求,规范人工智能 2. ガバナンス標準。 AIガバナンスの実際のニーズと組み合わせて、AIを規制する。
的技术研发和运营服务等要求,包括人工智能鲁棒性、可靠性、可追溯性的技术要求与评测方法,人工智能治理支撑技术;规范人工智能全生命周期的伦理治理要求,包括人工智能伦理风险评估,人工智能的公平性、可解释性等伦理治理技术要求与评测方法,人工智能伦理审查等标准。 また、AIの倫理リスクアセスメント、AIの公正性、解釈可能性、その他の倫理ガバナンスの技術要件とアセスメント方法、AI倫理審査等の標準を含む、AIのライフサイクル全体に対する倫理ガバナンス要件を標準化する。
五、保障措施 V. 保証措置
(一)完善组织建设。建立健全人工智能领域标准化技术组织,统筹产学研用各方、产业链各环节优势力量,协同推进人工智能标准建设,共同构建先进适用的人工智能产业标准体系。 (I) 組織構築を改善する。 AI分野における健全な標準化技術組織を設立し、産・学・研・用、産業チェーンのすべての関係者を調整し、AI標準の構築を共同で推進し、先進的で適用可能なAI産業標準体系を共同で構築する。
(二) 构建人才队伍。鼓励标准化研究机构培养和引进标准化高端人才,加强面向标准化从业人员的专题培训。鼓励企业、高校、研究机构等将标准化人才纳入职业能力评价和激励范围,构建标准化人才梯队。 (II) 人材チームを構築する。 標準化研究機関が標準化のハイエンド人材を育成・導入することを奨励し、標準化実務者のテーマ別研修を強化する。 企業、大学、研究機関に対し、標準化の人材を専門能力評価と奨励の範囲に含めるよう奨励し、標準化人材エシュロンを構築する。
(三) 加强宣贯推广。指导行业协会、标准化技术组织、国家技术标准创新基地等,面向企业开展人工智能标准体系、重点标准的宣贯和培训,引导企业在研发、设计、生产、管理、检测等环节对标达标,持续提升标准助力产业高质量发展效能。 (III) 広報・宣伝を強化する。 業界団体、標準化技術組織、国家技術標準創新基地などがAI標準体系と企業向け重点標準の宣伝と教育を実施するよう指導し、標準の研究開発、設計、生産、管理、試験などの面で企業が標準に適合するよう指導し、業界の高品質な発展を支援する標準の有効性を引き続き高める。

 

 

1_20210612030101

 

| | Comments (0)

米国AI安全研究所と欧州AI事務局の技術対話 (2024.07.12)

こんにちは、丸山満彦です。

米国AI安全研究所と欧州AI事務局が技術対話が開始されているようですね...


環境災害を予測するために重要な気象モデリングに焦点が当てられた。


ということで、環境問題の解決にもAIの活用を考えている様ですね...

 

また、


電子透かしとコンテンツ実証のためのベストプラクティスとツールを探求し、それぞれの活動の中でこれらのツールを促進し、合成コンテンツから生じるリスクに対処するため、AIの安全性と信頼に関する科学的・技術的交流をさらに進めるという共通の関心を表明した。


AIが作るコンテンツから生じるリスクに対処するための、技術的対策(電子少し、コンテンツ実証など)のための実践やツールを検討するようですね...

 

 

NIST - U.S. Artificial Intelligence Safety Institute

・2024.07.12 U.S. AI Safety Institute and European AI Office Hold Technical Dialogue

 

U.S. AI Safety Institute and European AI Office Hold Technical Dialogue 米国AI安全機構と欧州AI事務局が技術対話を実施
On July 11, 2024, U.S. Under Secretary of Commerce for Standards and Technology Laurie E. Locascio and Director General of the European Commission’s DG Connect Roberto Viola, initiated a technical dialogue between the European AI Office (EUAIO) and the U.S. AI Safety Institute (USAISI). The dialogue, held at the Department of Commerce in Washington, D.C., aims to deepen bilateral collaboration on AI and foster scientific information exchange between the E.U. and the U.S. It was included as part of the sixth ministerial meeting of the U.S.-E.U. Trade and Technology Council. 2024年7月11日、ローリー・E・ロカシオ米商務次官(標準技術担当)とロベルト・ヴィオラ欧州委員会コネクト総局長は、欧州AI事務局(EUAIO)と米国AI安全研究所(USAISI)の技術対話を開始した。ワシントンD.C.の商務省で開催されたこの対話は、AIに関する二国間の協力を深め、EUと米国の科学的な情報交換進することを目的としている。この対話は、第6回米・EU貿易・技術協議会閣僚会議の一環として開催された。

USAISI Director Elizabeth Kelly and EUAIO Director Lucilla Sioli led the technical discussion on best practices, key risks and other core questions related to AI. The dialogue focused on three key topics: watermarking and content authentication of synthetic content; government compute infrastructure; and AI for societal good. In this respect, the dialogue focused on weather modelling, which is key to enable simulations and forecasts and anticipate environmental disasters.  USAISIのエリザベス・ケリー所長とEUAIOのルチッラ・シオリ所長が、AIに関するベストプラクティス、主要リスク、その他の核心的な質問に関する技術的な議論を主導した。対話では、合成コンテンツの電子透かしとコンテンツ認証、政府の計算インフラ、社会的利益のためのAIという3つの主要トピックに焦点が当てられた。その中でも、シミュレーションや予測を可能にし、環境災害を予測するために重要な気象モデリングに焦点が当てられた。
The conversations featured a session on watermarking that included academics and civil society representatives. The government discussions brought together experts from the U.S. Department of Energy, National Science Foundation, National Oceanic and Atmospheric Administration, and the Department of State as well as experts from the European AI Office, the Emerging and Enabling Technologies department of DG Connect, the European Commission's Joint Research Centre, and the European Centre for Medium-Range Weather Forecasts.  対話では、学者や市民社会の代表者が参加した電子透かしに関するセッションが行われた。政府との対話では、米国エネルギー省、米国科学財団、米国海洋大気庁、国務省の専門家のほか、欧州AI事務局、コネクト総局の新興・実現技術部門、欧州委員会共同研究センター、欧州中距離天気予報センターの専門家が参加した。
During the discussion, the EUAIO and USAISI expressed a shared interest to explore best practices and tools for watermarking and content provenance, promote these tools within their respective actions and further scientific and technical exchange on AI safety and trust to address risks arising from synthetic content. Both institutions reiterated the shared ambition to develop an international network among key partners to accelerate the advancement of the science of AI safety as articulated at the AI Seoul Summit.  意見交換の中で、EUAIOとUSAISIは、電子透かしとコンテンツ実証のためのベストプラクティスとツールを探求し、それぞれの活動の中でこれらのツールを促進し、合成コンテンツから生じるリスクに対処するため、AIの安全性と信頼に関する科学的・技術的交流をさらに進めるという共通の関心を表明した。両機関は、AIソウル・サミットで明確にされたように、AIの安全性の科学の進歩を加速させるために、主要なパートナー間で国際的なネットワークを開発するという共通の野心を改めて表明した。
“This dialogue between the AI Safety Institute and EU AI Office highlights the strength of our partnership to facilitate the exchange of the latest scientific approaches and techniques from our experts in order to promote safe and trustworthy AI internationally,” said Laurie E. Locascio, Under Secretary of Commerce for Standards and Technology and director of the National Institute of Standards and Technology (NIST). 国立標準技術研究所(NIST)のローリー・E・ロカシオ商務次官(標準技術担当)は、次のように述べた。「AI安全研究所とEUのAI事務局との今回の対話は、安全で信頼できるAIを国際的に推進するため、両機関の専門家による最新の科学的アプローチと技術の交換を促進するという、両機関のパートナーシップの強みを浮き彫りにするものである。」
“Our EU-US cooperation strengthens our mutual trust and paves the way for an international network among key partners for a truly global impact on trustworthy AI for societal good,” said Roberto Viola, Director-General of the European Commission’s Directorate-General for Communications Networks, Content and Technology (DG Connect). 欧州委員会の通信ネットワーク・コンテンツ・技術総局(コネクト総局)のロベルト・ヴィオラ総局長は、次のように述べた。「我々のEUと米国の協力は、相互の信頼を強化し、社会のために信頼できるAIを真に世界的な規模で普及させるための主要パートナー間の国際的なネットワークへの道を開くものである」。

 

 

European Commission - European AI Office

・2024.07.12 U.S. AI Safety Institute and European AI Office Technical Dialogue

 

1_20240717161601

 

| | Comments (0)

2024.07.17

米国 NIST SP 800-78-5 個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズ

こんにちは、丸山満彦です。

NISTが、SP 800-73-5 個人アイデンティティ検証用インタフェース Part1-3と、NIST SP 800-78-5 個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズを公表していますね...

● NIST- ITL 

プレス...

・2024.07.15 Personal Identity Verification (PIV) Interfaces, Cryptographic Algorithms, and Key Sizes: NIST Revises SP 800-73 and SP 800-78

Personal Identity Verification (PIV) Interfaces, Cryptographic Algorithms, and Key Sizes: NIST Revises SP 800-73 and SP 800-78 個人アイデンティティ検証(PIV)インタフェース、暗号アルゴリズム、および鍵サイズ: NIST は SP 800-73 および SP 800-78 を改訂する。
In January 2022, NIST revised Federal Information Processing Standard (FIPS) 201, which establishes standards for the use of Personal Identity Verification (PIV) credentials, including those on PIV Cards. NIST Special Publication (SP) 800-73-5: Parts 1–3 and SP 800-78-5 have subsequently been revised to align with FIPS 201. 2022 年 1 月、NIST は、PIV カード上のものを含む個人識別検証(PIV)クレデンシャルの使 用標準を確立する連邦情報処理標準(FIPS)201 を改訂した。NIST 特別刊行物(SP)800-73-5: パート 1-3 および SP 800-78-5 は、その後 FIPS 201 と整合するように改訂された。
SP 800-73-5: Parts 1–3  SP 800-73-5: パート 1-3 
SP 800-73-5: Parts 1–3, Interfaces for Personal Identity Verification, describe the technical specifications for using PIV Cards. The three parts cover the PIV data model (Part 1), the card edge interface (Part 2), and the application programming interface (Part 3). Major changes to the documents include:  SP 800-73-5: パート1~パート3、個人アイデンティティ検証用インタフェースは、PIV カードを使用するための技術仕様 を記述している。この 3 部は、PIV データ・モデル(パート1)、カード・エッジ・インタフェース (パート2)、およびアプリケーション・プログラミング・インタフェース(パート3) を対象としている。文書の主な変更点は以下のとおりである:
・Removal of the previously deprecated CHUID authentication mechanism ・以前は非推奨であった CHUID 認証メカニズムの削除。
・Deprecation of the SYM-CAK and VIS authentication mechanisms ・SYM-CAK および VIS 認証メカニズムの廃止。
・Addition of an optional 1-factor secure messaging authentication mechanism (SM-Auth) for facility access applications ・施設アクセス・アプリケーション用のオプションの 1 要素セキュア・メッセージング認証 (SM-Auth)の追加
・Additional use of the facial image biometric for general authentication via BIO and BIO-A authentication mechanisms ・BIOおよびBIO-A認証メカニズムによる一般認証への顔画像バイオメトリックの追加使用
・Addition of an optional Cardholder identifier in the PIV Authentication Certificate to identify a PIV credential holder to their PIV credential set issued during PIV eligibility ・PIV 認証証明書にオプションのカード保持者識別子を追加して、PIV クレデンシャル保持 者を PIV 資格認定中に発行された PIV クレデンシャル・セットに識別する。
・Restriction on the number of consecutive activation retries for each of the activation methods (i.e., PIN and OCC attempts) to be 10 or less ・各アクティベーション方法(すなわち、PIN および OCC 試行)の連続アクティベーショ ン再試行回数を 10 回以下に制限する。
・SP 800-73-5: Part 3 on PIV Middleware specification marked as optional to implement ・SP 800-73-5: PIV ミドルウェア仕様の第 3 部は、実装のオプションとされた。
SP 800-78-5 SP 800-78-5
SP 800-78-5, Cryptographic Algorithms and Key Sizes for Personal Identity Verification, defines the requirements for the cryptographic capability of the PIV Card and supporting systems in coordination with FIPS 201-3. It has been modified to add additional algorithm and key size requirements and to update the requirements for Cryptographic Algorithm Validation Program (CAVP) validation testing, including: SP 800-78-5「個人 ID 検証のための暗号アルゴリズムおよび鍵サイズ」は、FIPS 201-3 と連携して、PIV カードおよび支援システムの暗号機能の要件を定義している。追加アルゴリズムおよび鍵サイズ要件を追加し、暗号化アルゴリズム検証プログラム(CAVP) 検証テストの要件を更新するために、以下のように修正されている:
Deprecation of 3TDEA algorithms with identifier ‘00’ and ‘03’ 識別子が'00'および'03'の3TDEAアルゴリズムの廃止。
Removal of the retired RNG from CAVP PIV component testing where applicable 該当する場合、CAVP PIV コンポーネント・テストから引退した RNG を削除する。
Removal of retired FIPS 186-2 key generation from CAVP PIV component testing where applicable 該当する場合、CAVP PIV コンポーネント・テストからの引退した FIPS 186-2 鍵生成の削除。
Accommodation of the Secure Messaging Authentication key Secure Messaging 認証鍵の収容
Update to Section 3.1 and Table 1 to reflect additional higher strength keys with at least 128-bit security for use in authentication beginning in 2031 セクション 3.1 および表 1 を更新し、2031 年から認証に使用される、少なくとも 128 ビットのセ キュリティを持つ、より強度の高い鍵を追加する。

 

 

こちらは、SP800-78-5...

・2024.07.15 NIST SP 800-78-5 Cryptographic Algorithms and Key Sizes for Personal Identity Verification

NIST SP 800-78-5 Cryptographic Algorithms and Key Sizes for Personal Identity Verification NIST SP 800-78-5 個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズ
Abstract 概要
Federal Information Processing Standard 201-3 (FIPS 201-3) defines the requirements for Personal Identity Verification (PIV) life cycle activities, including identity proofing, registration, PIV Card issuance, and PIV Card usage. FIPS 201-3 also defines the structure of an identity credential that includes cryptographic keys. This document contains the technical specifications needed for the mandatory and optional cryptographic keys specified in FIPS 201-3, as well as the supporting infrastructure specified in FIPS 201-3 and the related NIST Special Publication (SP) 800-73, Interfaces for Personal Identity Verification, and SP 800-76, Biometric Specifications for Personal Identity Verification, which rely on cryptographic functions. 連邦情報処理標準 201-3(FIPS 201-3)は、身元確認、登録、PIV カード発行、および PIV カード使用を含む、個人アイデンティティ検証(PIV)のライフサイクル活動の要件を定義している。FIPS 201-3 は、暗号鍵を含む ID クレデンシャルの構造も定義している。この文書には、FIPS 201-3 で指定された必須およびオプションの暗号鍵に必要な技術仕様、ならびに FIPS 201-3 および関連する NIST 特別刊行物(SP)800-73「個人識別検証のためのインタフェース」、および SP 800-76「個人アイデンティティ検証のためのバイオメトリクス仕様」で指定されたサポート・インフラストラ クチャが含まれており、これらは暗号機能に依存している。

 

・[PDF] NIST.SP.800-78-5

20240717-64558

 

目次と図表

1. Introduction 1. 序文
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Audience and Assumptions 1.3. 想定読者および前提
1.4. Document Overview 1.4. 文書の概要
2. Application of Cryptography in FIPS 201-3 2. FIPS 201-3 における暗号の適用
3. On-Card Cryptographic Requirements 3. オンカード暗号要件
3.1. PIV Cryptographic Keys 3.1. PIV 暗号鍵
3.2. Authentication Information Stored on the PIV Card 3.2. PIV カードに格納される認証情報
3.2.1. Specification of Digital Signatures on Authentication Information 3.2.1. 認証情報に対するデジタル署名の仕様
3.2.2. Specification of Public Keys In X.509 Certificates 3.2.2. X.509 証明書内の公開鍵の仕様
3.2.3. Specification of Message Digests in the NIST SP 800-73-4 Security Object 3.2.3. NIST SP 800-73-4 セキュリティ・オブジェクトにおけるメッセージ・ダイジェストの仕様
4. Certificate Status Information 4. 証明書ステータス情報
5. PIV Card Application Administration Keys 5. PIV カード・アプリケーション管理鍵
6. Identifiers for PIV Card Interfaces 6. PIV カード・インタフェースの識別
6.1. Key Reference Values 6.1. 鍵参照値
6.2. PIV Card Algorithm Identifiers 6.2. PIV カード・アルゴリズム識別
6.3. Algorithm Identifiers for PIV Key Types 6.3. PIV 鍵タイプのアルゴリズム識別子
7. Cryptographic Algorithm Validation Testing Requirements 7. 暗号化アルゴリズム検証テスト要件
References 参考文献
Appendix A 附属書 A
Appendix B 附属書 B
List of Symbols, Abbreviations, and Acronyms 記号、略語、頭字語のリスト
Change Log 変更履歴
List of Tables 表一覧
Table 1. Algorithm and key size requirements for PIV key types 表 1. PIV 鍵タイプのアルゴリズムおよび鍵サイズの要件
Table 2. Signature algorithm and key size requirements for PIV information 表 2. PIV 情報に対する署名アルゴリズムおよび鍵サイズ要件
Table 3. FIPS 201-3 signature algorithm object identifiers 表 3. FIPS 201-3 署名アルゴリズム・オブジェクト識別子
Table 4. Public key object identifiers for PIV key types 表 4. PIV 鍵タイプの公開鍵オブジェクト識別子
Table 5. ECC parameter object identifiers for approved curves 表 5. 承認済み曲線のECCパラメータ・オブジェクト識別子
Table 6. Hash algorithm object identifiers 表 6. ハッシュ・アルゴリズム・オブジェクト識別子
Table 7. Algorithm and key size requirements for PIV Card application administration keys 表 7. PIV カード・アプリケーション管理鍵のアルゴリズムおよび鍵サイズ要件
Table 8. Key references for PIV Key Types 表 8. PIV 鍵タイプの鍵参照
Table 9. Identifiers for supported cryptographic algorithms 表 9. サポートされる暗号アルゴリズムの識別。
Table 10. PIV Card keys: Key references and algorithms 表 10. PIV カード鍵: 鍵参照およびアルゴリズム
Table 11. Cryptographic Algorithm Validation Program (CAVP) validation requirements 表 11. 暗号アルゴリズム検証プログラム(CAVP)検証要件

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.17 米国 NIST SP 800-78-5 個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズ

・2024.07.17 米国 NIST SP 800-73-5 個人アイデンティティ検証用インタフェース Part1-3

・2023.12.16 NIST SP 800-79 Rev.3(初期公開ドラフト)PIV カードおよび派生 PIV クレデンシャル発行者の認可に関するガイドライン

・2023.09.30 NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証のためのインタフェース:パート 1 - PIV データ・モデル、パート 2 - カード・エッジ・インタフェース、パート 3 - アプリケーション・プログラミング・ インタフェース

・2023.09.30 NIST SP 800-78-5(初期公開ドラフト) 個人識別検証の暗号アルゴリズムおよび鍵サイズ

・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)

 

 

| | Comments (0)

米国 NIST SP 800-73-5 個人アイデンティティ検証用インタフェース Part1-3

こんにちは、丸山満彦です。

NISTが、SP 800-73-5 個人アイデンティティ検証用インタフェース Part1-3と、NIST SP 800-78-5 個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズを公表ていますね...

● NIST- ITL 

プレス...

・2024.07.15 Personal Identity Verification (PIV) Interfaces, Cryptographic Algorithms, and Key Sizes: NIST Revises SP 800-73 and SP 800-78

Personal Identity Verification (PIV) Interfaces, Cryptographic Algorithms, and Key Sizes: NIST Revises SP 800-73 and SP 800-78 個人アイデンティティ検証(PIV)インタフェース、暗号アルゴリズム、および鍵サイズ: NIST は SP 800-73 および SP 800-78 を改訂する。
In January 2022, NIST revised Federal Information Processing Standard (FIPS) 201, which establishes standards for the use of Personal Identity Verification (PIV) credentials, including those on PIV Cards. NIST Special Publication (SP) 800-73-5: Parts 1–3 and SP 800-78-5 have subsequently been revised to align with FIPS 201. 2022 年 1 月、NIST は、PIV カード上のものを含む個人アイデンティティ検証(PIV)クレデンシャルの使 用標準を確立する連邦情報処理標準(FIPS)201 を改訂した。NIST 特別刊行物(SP)800-73-5: パート 1-3 および SP 800-78-5 は、その後 FIPS 201 と整合するように改訂された。
SP 800-73-5: Parts 1–3  SP 800-73-5: パート 1-3 
SP 800-73-5: Parts 1–3, Interfaces for Personal Identity Verification, describe the technical specifications for using PIV Cards. The three parts cover the PIV data model (Part 1), the card edge interface (Part 2), and the application programming interface (Part 3). Major changes to the documents include:  SP 800-73-5: パート1~パート3、個人アイデンティティ検証用インタフェースは、PIV カードを使用するための技術仕様 を記述している。この 3 部は、PIV データ・モデル(パート1)、カード・エッジ・インタフェース (パート2)、およびアプリケーション・プログラミング・インタフェース(パート3) を対象としている。文書の主な変更点は以下のとおりである:
・Removal of the previously deprecated CHUID authentication mechanism ・以前は非推奨であった CHUID 認証メカニズムの削除。
・Deprecation of the SYM-CAK and VIS authentication mechanisms ・SYM-CAK および VIS 認証メカニズムの廃止。
・Addition of an optional 1-factor secure messaging authentication mechanism (SM-Auth) for facility access applications ・施設アクセス・アプリケーション用のオプションの 1 要素セキュア・メッセージング認証 (SM-Auth)の追加
・Additional use of the facial image biometric for general authentication via BIO and BIO-A authentication mechanisms ・BIOおよびBIO-A認証メカニズムによる一般認証への顔画像バイオメトリックの追加使用
・Addition of an optional Cardholder identifier in the PIV Authentication Certificate to identify a PIV credential holder to their PIV credential set issued during PIV eligibility ・PIV 認証証明書にオプションのカード保持者識別子を追加して、PIV クレデンシャル保持 者を PIV 資格認定中に発行された PIV クレデンシャル・セットに識別する。
・Restriction on the number of consecutive activation retries for each of the activation methods (i.e., PIN and OCC attempts) to be 10 or less ・各アクティベーション方法(すなわち、PIN および OCC 試行)の連続アクティベーショ ン再試行回数を 10 回以下に制限する。
・SP 800-73-5: Part 3 on PIV Middleware specification marked as optional to implement ・SP 800-73-5: PIV ミドルウェア仕様の第 3 部は、実装のオプションとされた。
SP 800-78-5 SP 800-78-5
SP 800-78-5, Cryptographic Algorithms and Key Sizes for Personal Identity Verification, defines the requirements for the cryptographic capability of the PIV Card and supporting systems in coordination with FIPS 201-3. It has been modified to add additional algorithm and key size requirements and to update the requirements for Cryptographic Algorithm Validation Program (CAVP) validation testing, including: SP 800-78-5「個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズ」は、FIPS 201-3 と連携して、PIV カードおよび支援システムの暗号機能の要件を定義している。追加アルゴリズムおよび鍵サイズ要件を追加し、暗号化アルゴリズム検証プログラム(CAVP) 検証テストの要件を更新するために、以下のように修正されている:
Deprecation of 3TDEA algorithms with identifier ‘00’ and ‘03’ 識別子が'00'および'03'の3TDEAアルゴリズムの廃止。
Removal of the retired RNG from CAVP PIV component testing where applicable 該当する場合、CAVP PIV コンポーネント・テストから引退した RNG を削除する。
Removal of retired FIPS 186-2 key generation from CAVP PIV component testing where applicable 該当する場合、CAVP PIV コンポーネント・テストからの引退した FIPS 186-2 鍵生成の削除。
Accommodation of the Secure Messaging Authentication key Secure Messaging 認証鍵の収容
Update to Section 3.1 and Table 1 to reflect additional higher strength keys with at least 128-bit security for use in authentication beginning in 2031 セクション 3.1 および表 1 を更新し、2031 年から認証に使用される、少なくとも 128 ビットのセ キュリティを持つ、より強度の高い鍵を追加する。

 

 

こちらは、SP800-73-5...

・2024.07.15 NIST SP 800-73-5 Interfaces for Personal Identity Verification:

Part 1 – PIV Card Application Namespace, Data Model and Representation パート 1 - PIV カードアプリケーション名前空間、データモデルおよび表現
Part 2 – PIV Card Application Card Command Interface パート 2 - PIV カードアプリケーション・カード・コマンド・インタフェース
Part 3 – PIV Client Application Programming Interface パート 3 - PIV クライアント・アプリケーション・プログラミング・インターフェイス

 

Abstract 概要
FIPS 201 defines the requirements and characteristics of government-wide interoperable identity credentials. It specifies that these identity credentials must be stored on a smart card and that additional common identity credentials, known as derived PIV credentials, may be issued by a federal department or agency and used when a PIV Card is not practical. This document contains the technical specifications to interface with the smart card to retrieve and use the PIV identity credentials. The specifications reflect the design goals of interoperability and PIV Card functions. The goals are addressed by specifying a PIV data model, card edge interface, and application programming interface. Moreover, this document enumerates requirements for the options and branches in international integrated circuit card standards [ISO7816]. The specifications go further by constraining interpretations of the normative standards to ease implementation, facilitate interoperability, and ensure performance in a manner tailored for PIV applications. FIPS 201 は、政府全体で相互運用可能な ID クレデンシャルの要件および特性を定義して いる。FIPS 201 は、政府全体で相互運用可能な ID クレデンシャルの要件および特性を定義する。 FIPS 201 は、これらの ID クレデンシャルがスマート・カードに格納されなければならず、派生 PIV クレデンシャルと呼ばれる追加の共通 ID クレデンシャルが連邦省庁によって発行され、PIV カードが実用的でない場合に使用される可能性があることを規定する。本文書には、PIV ID クレデンシャルを取得して使用するためにスマート・カードとインタ ーフェースする技術仕様が含まれている。この仕様は、相互運用性および PIV カード機能の設計目標を反映している。目標は、PIV データ・モデル、カード・エッジ・インタフェース、およびアプリケーショ ン・プログラミング・インタフェースを規定することで対処される。さらに、本文書は、国際集積回路カード標準[ISO7816]のオプションおよび分岐に対する要 件を列挙している。この仕様は、実装を容易にし、相互運用性を促進し、PIV アプリケーションに合わせた方法でパ フォーマンスを確保するために、標準の解釈を制約することによって、さらに進む。

 

・[PDF] NIST.SP.800-73pt1-5

20240717-64539

目次...

1. Introduction 1. 序文
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Effective Date 1.3. 発効日
1.4. Audience and Assumptions 1.4. 想定読者および前提条件
1.5. Document Overview and Structure  1.5. 文書の概要と構成 
2. PIV Card Application Namespaces 2. PIV カード・アプリケーション名前空間
2.1. Namespaces of the PIV Card Application 2.1. PIV カード・アプリケーションの名前空間
2.2. PIV Card Application AID 2.2. PIV カード・アプリケーション AID
3. PIV Data Model Elements 3. PIV データ・モデル要素
3.1. Mandatory Data Elements 3.1. 必須データ要素
3.2. Conditional Data Elements 3.2. 条件付きデータ要素
3.3. Optional Data Elements 3.3. オプションのデータ要素
3.4. Inclusion of Universally Unique Identifiers (UUIDs) 3.4. 汎用一意識別子(UUID)のインクルード
3.5. Data Object Containers and Associated Access Rules and Interface Modes 3.5. データ・オブジェクト・コンテナおよび関連するアクセス・ルールとインターフェイス・モード
4. PIV Data Objects Representation 4. PIV データ・オブジェクトの表現
4.1. Data Objects Definition 4.1. データ・オブジェクト定義
4.2. OlDs and Tags of PIV Card Application Data Objects 4.2. PIV カード・アプリケーション・データ・オブジェクトの OlDs とタグ
4.3. Object Identifiers  4.3. オブジェクト識別子 
5. Data Types and Their Representation  5. データ型とその表現 
5.1. Key References 5.1. キー参照
5.2. PIV Algorithm Identifier 5.2. PIV アルゴリズム識別子
5.3. Cryptographic Mechanism Identifiers 5.3. 暗号メカニズム識別子
5.4. Secure Messaging and Authentication Using a Secure Messaging Key (SM-AUTH) 5.4. セキュア・メッセージング鍵(SM-AUTH)を使用するセキュア・メッセージングおよび認証
5.5. Virtual Contact Interface 5.5. バーチャル・コンタクト・インターフェース
5.6. Status Words 5.6. ステータスワード
References 参考文献
Appendix A. PIV Data Model  附属書A. PIV データモデル 
Appendix B. PIV Authentication Mechanisms 附属書B. PIV 認証メカニズム
Appendix C. PIV Algorithm Identifier Discovery 附属書C. PIV アルゴリズム識別子の発見
Appendix D. List of Symbols, Abbreviations, and Acronyms 附属書D. 記号、略語、および頭字語のリスト
Appendix E. Glossary 附属書E. 用語集
Appendix F. Notation 附属書F. 表記法
Appendix G. Revision History 附属書G. 改訂履歴

 

 

・[PDF] NIST.SP.800-73pt2-5

20240717-64546

 

目次...

1. Introduction 1. 序文
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Audience and Assumptions 1.3. 想定読者および前提
1.4. Content and Organization 1.4. 内容と構成
2. Overview: Concepts and Constructs 2. 概要 概念と構成要素
2.1. Platform Requirements 2.1. プラットフォーム要件
2.2. Namespaces of the PIV Card Application 2.2. PIV カード・アプリケーションの名前空間
2.3. Card Applications 2.3. カード・アプリケーション
2.3.1. Default Selected Card Application 2.3.1. デフォルト選択カード・アプリケーション
2.4. Security Architecture 2.4. セキュリティ・アーキテクチャ
2.4.1. Access control kule 2.4.1. アクセス管理クレ
2.4.2. Security Status 2.4.2. セキュリティ・ステータス
2.4.3. Authentication of an Individual 2.4.3. 個人の認証
2.5. Current State of the PIV Card Application 2.5. PIV カード・アプリケーションの現状
3. PIV Card Application Card Command Interface 3. PIV カード・アプリケーション・カード・コマンド・インタフェース
3.1. PIV Card Application Card Commands for Data Access 3.1. データ・アクセスのための PIV カード・アプリケーション・カード・コマンド
3.1.1. SELECT Card Command  3.1.1. SELECT カード・コマンド 
3.4.2. Oll DalA Laro Command 3.4.2. Oll DalA Laro コマンド
3.2. PIV Card Application Card Commands for Authentication 3.2. 認証のための PIV カード・アプリケーション・カード・コマンド
3.2.1. VERIFY Card Command 3.2.1. VERIFY カード・コマンド
3.2.2. CHANGE REFERENCE DATA Card Command 3.2.2. CHANGE REFERENCE DATA カード・コマンド
3.2.3. REStT RETRY COUNTER Card command  3.2.3. REStT RETRY COUNTER カード・コマンド 
3.2.4. GENERAL AUTHENTICATE Card Command 3.2.4. GENERAL AUTHENTICATE カード・コマンド
3.3. PIV Card Application Card Commands for Credential Initialization and Administration 3.3. クレデンシャル初期化および管理のための PIV カードアプリケーションカードコマンド
3.3.1. PUT DATA Card Command  3.3.1. PUT DATA カード・コマンド 
3.3.2. GENERATE ASYMMETRIC KEY PAIR Card Command 3.3.2. GENERATE ASYMETRIC KEY PAIR カード・コマンド
4. Secure Messaging 4. セキュア・メッセージング
4.1. Key Establishment Protocol, 4.1. 鍵確立プロトコル
4.1.1. Client Application Steps 4.1.1. クライアント・アプリケーションの手順
4.1.2. PIV Card Application Protocol Steps 4.1.2. PIV カード・アプリケーション・プロトコル・ステップ
4.1.3. Notations 4.1.3. 表記
4.1.4. Cipher Suite 4.1.4. 暗号スイート
4.1.5. Card Verifiable Certificate  4.1.5. カード検証可能証明書 
4.1.6. Key Derivation  4.1.6. 鍵の導出 
4.1.7. Key Confirmation 4.1.7. 鍵の確認
4.1.8. Command Interface 4.1.8. コマンド・インターフェース
4.2. Secure Messaging 4.2. セキュア・メッセージング
4.2.1. Secure Messaging Data Objects 4.2.1. セキュア・メッセージング・データ・オブジェクト
4.2.2. Command and Response Data Confidentiality 4.2.2. コマンドとレスポンス・データの機密性
4.2.3. Command Integrity 4.2.3. コマンドの完全性
4.2.4. Command With PIV Secure Messaging 4.2.4. PIV セキュア・メッセージングを使用したコマンド
4.2.5. Response Integrity 4.2.5. 応答の完全性
4.2.6. Response With PIV Secure Messaging 4.2.6. PIV セキュア・メッセージングを使用した応答
4.2.7. Error Handling 4.2.7. エラー処理
4.3. Session Key Destruction 4.3. セッション鍵の破棄
References 参考文献
Appendix A. Examples of the Use of the GENERAL AUTHENTICATE Command 附属書A. GENERAL AUTHENTICATEコマンドの使用例
Appendix B. List of Symbols, Abbreviations, and Acronyms 附属書B. 記号、略語、頭字語のリスト
Appendix C. Glossary 附属書C.用語集
Appendix D. Notation 附属書D.表記

 

 

・[PDF] NIST.SP.800-73pt3-5

20240717-64552

 

目次...

1. Introduction 1. 序文
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Audience and Assumptions 1.3. 想定読者および前提
1.4. Content and Organization 1.4. 内容と構成
2. Overview: Concepts and Constructs 2. 概要 概念と構成要素
3. Client Application Programming Interface 3. クライアント・アプリケーション・プログラミング・インターフェイス
3.1. Entry Points for Communication  3.1. コミュニケーションのエントリーポイント 
3.2. Entry Points for Data Access 3.2. データアクセスのエントリーポイント
3.3. Entry Points for Cryptographic Operations 3.3. 暗号操作のエントリーポイント
3.4. Entry Points for Credential Initialization and Administration 3.4. クレデンシャルの初期化および管理のエントリポイント
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書A. 記号、略語、および頭字語のリスト 
Appendix B. Glossary 附属書B. 用語集
Appendix C. Notation 附属書C. 表記法

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.17 米国 NIST SP 800-78-5 個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズ

・2024.07.17 米国 NIST SP 800-73-5 個人アイデンティティ検証用インタフェース Part1-3

・2023.12.16 NIST SP 800-79 Rev.3(初期公開ドラフト)PIV カードおよび派生 PIV クレデンシャル発行者の認可に関するガイドライン

・2023.09.30 NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証のためのインタフェース:パート 1 - PIV データ・モデル、パート 2 - カード・エッジ・インタフェース、パート 3 - アプリケーション・プログラミング・ インタフェース

・2023.09.30 NIST SP 800-78-5(初期公開ドラフト) 個人識別検証の暗号アルゴリズムおよび鍵サイズ

・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)

 

| | Comments (0)

米国 NIST SP 800-90C(第4次公開ドラフト)ランダムビット生成器(RBG)の構造に関する推奨事項 (2024.07.03)

こんにちは、丸山満彦です。

NISTが、SP 800-90C(第4次公開ドラフト)ランダムビット生成器(RBG)の構造に関する推奨事項を公表し、意見募集をしていますね...

 

● NIST- ITL

プレス...

・2024.07.03 Recommendation for Random Bit Generator Constructions: Fourth Public Draft of NIST SP 800-90C Available for Comment

 

文書...

・2024.07.03 Recommendation for Random Bit Generator Constructions: Fourth Public Draft of NIST SP 800-90C Available for Comment

NIST SP 800-90C (4th Public Draft) Recommendation for Random Bit Generator (RBG) Constructions NIST SP 800-90C(第4次公開ドラフト)ランダムビット生成器(RBG)の構造に関する推奨事項
Announcement 発表
The NIST SP 800-90 series of documents supports the generation of high-quality random bits for cryptographic and non-cryptographic use. SP 800-90A specifies several deterministic random bit generator (DRBG) mechanisms based on cryptographic algorithms. SP 800-90B provides guidance for the development and validation of entropy sources. SP 800-90C specifies constructions for the implementation of random bit generators (RBGs) that include DRBG mechanisms as specified in SP 800-90A and that use entropy sources as specified in SP 800-90B. NIST SP 800-90シリーズは、暗号および非暗号用の高品質ランダムビットの生成をサポートする文書である。SP 800-90Aは、暗号アルゴリズムに基づくいくつかの決定論的ランダムビット生成器(DRBG)メカニズムを規定している。SP 800-90Bは、エントロピー源の開発と検証のためのガイダンスを提供する。SP 800-90C は、SP 800-90A に規定される DRBG メカニズムを含み、SP 800-90B に規定されるエントロピー源を使用するランダムビット生成器(RBG)の実装のための構造を規定する。
This draft includes constructions for four classes of RBGs: このドラフトには、4つのクラスのRBGが含まれている:
1. An RBG1 construction provides random bits from a device that is initialized from an external RBG. 1. RBG1構造は、外部RBGから初期化されたデバイスからランダムビットをプロバイダする。
2. An RBG2 construction includes an entropy source that is available on demand. 2. RBG2構造は、オンデマンドで利用可能なエントロピー源を含む。
3. An RBG3 construction includes an entropy source that is continuously accessed to provide output with full entropy. 3. RBG3は、連続的にアクセスされ、完全なエントロピーを持つ出力を提供するエントロピー源を含む。
4. An RBGC construction allows the use of a chain of RBGs that consists of only RBGC constructions on the same computing platform. 4. RBGC構築は、同じコンピューティング・プラットフォーム上でRBGC構築のみからなるRBGの連鎖の使用を可能にする。
SP 800-90C includes a note to readers, guidance for accessing and handling the entropy sources in SP 800-90B, specifications for the initialization and use of the four RBG constructions that incorporate the DRBGs from SP 800-90A, and guidance on health testing and implementation validation using NIST's Cryptographic Algorithm Validation Program (CAVP) and the Cryptographic Module Validation Program (CMVP), which is jointly operated by NIST and the Canadian Centre for Cyber Security (CCCS). SP 800-90Cには、読者への注記、SP 800-90Bのエントロピー源へのアクセスと取り扱いに関する指針、SP 800-90AのDRBGを組み込んだ4つのRBG構築の初期化と使用に関する仕様、NISTの暗号アルゴリズム検証プログラム(CAVP)およびNISTとカナダサイバーセキュリティセンター(CCCS)が共同で運営する暗号モジュール検証プログラム(CMVP)を使用したヘルステストと実装の検証に関する指針が含まれている。
Abstract 概要
The NIST Special Publication (SP) 800-90 series of documents supports the generation of high-quality random bits for cryptographic and non-cryptographic use. SP 800-90A specifies several deterministic random bit generator (DRBG) mechanisms based on cryptographic algorithms. SP 800-90B provides guidance for the development and validation of entropy sources. This document (SP 800-90C) specifies constructions for the implementation of random bit generators (RBGs) that include DRBG mechanisms as specified in SP 800-90A and that use entropy sources as specified in SP 800-90B. Constructions for four classes of RBGs — namely, RBG1, RBG2, RBG3, and RBGC — are specified in this document. NIST特別刊行物(SP)800-90シリーズは、暗号および非暗号用の高品質ランダムビットの生成をサポートする文書である。SP 800-90Aは、暗号アルゴリズムに基づくいくつかの決定論的ランダムビット生成器(DRBG)メカニズムを規定している。SP 800-90Bは、エントロピー源の開発と検証のためのガイダンスを提供する。この文書(SP 800-90C)は、SP 800-90Aに規定されるDRBGメカニズムを含み、SP 800-90Bに規定されるエントロピー源を使用するランダムビット生成器(RBG)の実装のための構造を規定する。この文書では、RBG1、RBG2、RBG3、および RBGC の 4 クラスの RBG の構成が規定されている。

 

・[PDF] NIST.SP.800-90C.4pd

20240717-53618

 

目次...

1. Introduction and Purpose 1. 序文と目的
1.1. Audience 1.1. 想定読者
1.2. Document Organization 1.2. 文書の構成
2. General Information 2. 一般情報
2.1. RBG Security 2.1. RBGのセキュリティ
2.2. RBG Constructions 2.2. RBGの構造
2.3. Sources of Randomness for an RBG 2.3. RBGのランダム性の源
2.4. DRBGs 2.4. DRBG
2.4.1. DRBG Instantiations 2.4.1. DRBGのインスタンス化
2.4.2. Reseeding, Prediction Resistance, and Compromise Recovery 2.4.2. リシード、予測耐性、妥協の回復
2.5. RBG Security Boundaries 2.5. RBGのセキュリティ境界
2.6. Assumptions and Assertions 2.6. 仮定と主張
2.7. General Implementation and Use Requirements and Recommendations 2.7. 一般的な実装と使用に関する要件と推奨事項
2.8. General Function Calls 2.8. 一般的な機能呼び出し
2.8.1. DRBG Functions 2.8.1. DRBG機能
2.8.1.1. DRBG Generation Request 2.8.1.1. DRBG生成要求
2.8.1.2. DRBG Reseed 2.8.1.2. DRBGリシード
2.8.1.3. Get_randomness-source_input Call 2.8.1.3. Get_randomness-source_inputコール
2.8.2. Interfacing With Entropy Sources 2.8.2. エントロピー・ソースとのインターフェイス
2.8.3. Interfacing With an RBG3 Construction 2.8.3. RBG3構築とのインターフェイス
2.8.3.1. Instantiating a DRBG Within an RBG3 Construction 2.8.3.1. RBG3コンストラクション内でDRBGをインスタンス化する
2.8.3.2. Generation Using an RBG3 Construction 2.8.3.2. RBG3コンストラクションを使用して生成する
3. Accessing Entropy Source Output 3. エントロピー・ソース出力へのアクセス
3.1. Get_entropy_bitstring Process 3.1. Get_entropy_bitstring処理
3.2. External Conditioning 3.2. 外部条件付け
3.2.1. Conditioning Function Calls 3.2.1. コンディショニング機能呼び出し
3.2.1.1. Keys Used in External Conditioning Functions 3.2.1.1. 外部コンディショニング機能で使用されるキー
3.2.1.2. Hash Function-based Conditioning Functions 3.2.1.2. ハッシュ機能ベースの条件関数
3.2.1.3. Block Cipher-Based Conditioning Functions 3.2.1.3. ブロック暗号ベースの条件関数
3.2.2. Using a Vetted Conditioning Function 3.2.2. 吟味された条件関数を使う
3.2.2.1. External Conditioning When Full Entropy is Not Required 3.2.2.1. フルエントロピーが不要な場合の外部コンディショニング
3.2.2.2. Conditioning Function to Obtain Full-Entropy Bitstrings 3.2.2.2. 完全エントロピーのビット列を得るためのコンディショニング機能
4. RBG1 Construction Based on RBGs With Physical Entropy Sources 4. 物理エントロピー源を持つRBGに基づくRBG1の構成
4.1. RBG1 Description 4.1. RBG1の説明
4.2. Conceptual Interfaces 4.2. 概念的インターフェイス
4.2.1. Instantiating the DRBG in the RBG1 Construction 4.2.1. RBG1構築におけるDRBGのインスタンス化
4.2.2. Requesting Pseudorandom Bits 4.2.2. 疑似ランダムビットを要求する
4.3. Using an RBG1 Construction With Subordinate DRBGs (Sub-DRBGs) 4.3. 下位DRBG(サブDRBG)を持つRBG1コンストラクションを使用する
4.3.1. Instantiating a Sub-DRBG 4.3.1. サブDRBGのインスタンス化
4.3.2. Requesting Random Bits From a Sub-DRBG 4.3.2. サブDRBGにランダムビットを要求する
4.4. Requirements 4.4. 要件
4.4.1. RBG1 Construction Requirements 4.4.1. RBG1構築要件
4.4.2. Sub-DRBG Requirements 4.4.2. サブDRBGの要件
5. RBG2 Constructions Based on Physical and/or Non-Physical Entropy Sources 5. 物理的および/または非物理的エントロピー源に基づくRBG2コンストラクション
5.1. RBG2 Description 5.1. RBG2の説明
5.2. Conceptual Interfaces 5.2. 概念的インターフェイス
5.2.1. RBG2 Instantiation 5.2.1. RBG2のインスタンス化
5.2.2. Requesting Pseudorandom Bits From an RBG2 Construction 5.2.2. RBG2構築に疑似ランダムビットを要求する
5.2.3. Reseeding an RBG2 Construction 5.2.3. RBG2コンストラクションのリシード
5.3. RBG2 Construction Requirements 5.3. RBG2コンストラクションの要件
6. RBG3 Constructions Based on the Use of Physical Entropy Sources 6. 物理的エントロピー源の使用に基づくRBG3コンストラクション
6.1. General RBG3 Description 6.1. 一般的なRBG3の説明
6.2. RBG3 Construction Types and Their Variants 6.2. RBG3コンストラクションのタイプとそのバリエーション
6.3. General Requirements 6.3. 一般要件
6.4. RBG3(XOR) Construction 6.4. RBG3(XOR)コンストラクション
6.4.1. Conceptual Interfaces 6.4.1. 概念的インターフェイス
6.4.1.1. Instantiation of the DRBG 6.4.1.1. DRBGのインスタンス化
6.4.1.2. Random Bit Generation by the RBG3(XOR) Construction 6.4.1.2. RBG3(XOR)構成によるランダム・ビット生成
6.4.1.3. Pseudorandom Bit Generation Using a Directly Accessible DRBG 6.4.1.3. 直接アクセス可能なDRBGを用いた擬似乱数ビット生成
6.4.1.4. Reseeding the DRBG Instantiation 6.4.1.4. DRBGインスタンシエーションの冗長化
6.4.2. RBG3(XOR) Requirements 6.4.2. RBG3(XOR)の要件
6.5. RBG3(RS) Construction 6.5. RBG3(RS)の構築
6.5.1. Conceptual Interfaces 6.5.1. 概念的インターフェイス
6.5.1.1. Instantiation of the DRBG Within an RBG3(RS) Construction 6.5.1.1. RBG3(RS)コンストラクション内でのDRBGのインスタンス化
6.5.1.2. Random and Pseudorandom Bit Generation 6.5.1.2. ランダムおよび擬似ランダムビット生成
6.5.1.3. Reseeding 6.5.1.3. リシード
6.5.2. Requirements for an RBG3(RS) Construction 6.5.2. RBG3(RS)構築の要件
7. RBGC Construction for DRBG Chains 7. DRBGチェーンのRBGCコンストラクション
7.1. RBGC Description 7.1. RBGCの説明
7.1.1. RBGC Environment 7.1.1. RBGCの環境
7.1.2. Instantiating and Reseeding Strategy 7.1.2. インスタンス化と再播種戦略
7.1.2.1. Instantiating and Reseeding the Root RBGC Construction 7.1.2.1. ルートRBGC構築のインスタンス化と再播種
7.1.2.2. Instantiating and Reseeding a Non-Root RBGC Construction 7.1.2.2. 非ルートRBGC構築のインスタンス化と再播種
7.2. Conceptual Interfaces 7.2. 概念的インターフェイス
7.2.1. RBGC Instantiation 7.2.1. RBGCのインスタンス化
7.2.1.1. Instantiation of the Root RBGC Construction 7.2.1.1. ルートRBGC構築のインスタンス化
7.2.1.2. Instantiating an RBGC Construction Other Than the Root 7.2.1.2. ルート以外のRBGC構築物のインスタンス化
7.2.2. Requesting the Generation of Pseudorandom Bits From an RBGC Construction 7.2.2. RBGC構築からの疑似ランダムビットの生成的要求
7.2.3. Reseeding an RBGC Construction 7.2.3. RBGCコンストラクションのリシード
7.2.3.1. Reseed of the DRBG in the Root RBGC Construction 7.2.3.1. ルートRBGC構築におけるDRBGの再シード
7.2.3.2. Reseed of the DRBG in an RBGC Construction Other Than the Root 7.2.3.2. ルート以外のRBGCコンストラクションにおけるDRBGの播種
7.3. RBGC Requirements 7.3. RBGCの要件
7.3.1. General RBGC Construction Requirements 7.3.1. 一般的なRBGC建設の要件
7.3.2. Additional Requirements for the Root RBGC Construction 7.3.2. ルートRBGC建設に関する追加要件
7.3.3. Additional Requirements for an RBGC Construction That is NOT the Root of a DRBG Chain 7.3.3. DRBGチェーンのルートではないRBGCコンストラクションに関する追加要件
8. Testing- 8. テスト
8.1. Health Testing 8.1. 健全性テスト
8.1.1. Testing RBG Components 8.1.1. RBGコンポーネントのテスト
8.1.2. Handling Failures 8.1.2. 故障の処理
8.1.2.1. Entropy-Source Failures… 8.1.2.1. エントロピー源の故障...
8.1.2.2. Failures by Non-Entropy-Source Components 8.1.2.2. 非エントロピー源コンポーネントによる故障
8.2. Implementation Validation 8.2. 実装の検証
References… 参考文献...
Appendix A. Auxiliary Discussions (Informative) 附属書A. 補助的な議論(参考資料)
A.1. Entropy vs. Security Strength A.1. エントロピーとセキュリティ強度
A.1.1. Entropy A.1.1. エントロピー
A.1.2. Security Strength A.1.2. セキュリティ強度
A.1.3. A Side-by-Side Comparison A.1.3. サイド・バイ・サイドの比較
A.1.4. Entropy and Security Strength in This Recommendation A.1.4. この勧告におけるエントロピーとセキュリティ強度
A.2. Generating Full-Entropy Output Using the RBG3(RS) Construction A.2. RBG3(RS)構成によるフルエントロピー出力の生成
A.3. Additional Considerations for RBGC Constructions A.3. RBGC構成に関する追加の考慮事項
A.3.1. RBGC Tree Composition A.3.1. RBGC木の合成
A.3.2. Changes in the Tree Structure A.3.2. ツリー構造の変更
A.3.3. Using Virtual Machines A.3.3. 仮想マシンの使用
A.3.4. Reseeding From Siblings of the Parent A.3.4. 親の兄弟からのリシード
Appendix B. RBG Examples (Informative) 附属書B. RBGの例(参考)
B.1. Direct DRBG Access in an RBG3 Construction B.1. RBG3構築における直接DRBGアクセス
B.2. Example of an RBG1 Construction B.2. RBG1コンストラクションの例
B.2.1. Instantiation of the RBG1 Construction B.2.1. RBG1コンストラクションのインスタンス化
B.2.2. Generation by the RBG1 Construction B.2.2. RBG1コンストラクションによる生成的
B.3. Example Using Sub-DRBGs Based on an RBG1 Constructior B.3. RBG1構築に基づくサブDRBGの使用例
B.3.1. Instantiation of the Sub-DRBGs B.3.1. サブDRBGのインスタンス化
B.3.1.1. Instantiating Sub-DRBG1 B.3.1.1. サブDRBG1のインスタンス化
B.3.1.2. Instantiating Sub-DRBG2 B.3.1.2. サブDRBG2のインスタンス化
B.3.2. Pseudorandom Bit Generation by Sub-DRBGs B.3.2. サブDRBGによる疑似ランダムビット生成
B.4. Example of an RBG2(P) Construction B.4. RBG2(P)の構成例
B.4.1. Instantiation of an RBG2(P) Construction B.4.1. RBG2(P)構築のインスタンス化
B.4.2. Generation Using an RBG2(P) Construction B.4.2. RBG2(P)コンストラクションを使った生成的方法
B.4.3. Reseeding an RBG2(P) Construction B.4.3. RBG2(P)コンストラクションのリシード
B.5. Example of an RBG3(XOR) Construction B.5. RBG3(XOR)構築の例
B.5.1. Instantiation of an RBG3(XOR) Construction B.5.1. RBG3(XOR)構築のインスタンス化
B.5.2. Generation by an RBG3(XOR) Construction B.5.2. RBG3(XOR)構文による生成的なもの
B.5.2.1. Generation B.5.2.1. 生成
B.5.2.2. Get_conditioned_full-entropy_input Function B.5.2.2. Get_conditioned_full-entropy_input機能
B.5.3. Reseeding an RBG3(XOR) Construction B.5.3. RBG3(XOR)コンストラクションのリシード
B.6. Example of an RBG3(RS) Construction B.6. RBG3(RS)構築の例
B.6.1. Instantiation of an RBG3(RS) Construction B.6.1. RBG3(RS)コンストラクションのインスタンス化
B.6.2. Generation by an RBG3(RS) Construction B.6.2. RBG3(RS)コンストラクションによる生成的生成
B.6.3. Generation by the Directly Accessible DRBG B.6.3. 直接アクセス可能なDRBGによる生成的
B.6.4. Reseeding a DRBG B.6.4. DRBGのリース
B.7. DRBG Chains Using the RBGC Construction B.7. RBGC構造によるDRBGチェーン
B.7.1. Instantiation of the RBGC Constructions B.7.1. RBGC構造のインスタンス化
B.7.1.1. Instantiation of the Root RBGC Construction B.7.1.1. ルートRBGC構造のインスタンス化
B.7.1.2. Instantiation of a Child RBGC Construction (RBGC2) B.7.1.2. 子RBGC構成(RBGC2)のインスタンス化
B.7.2. Requesting the Generation of Pseudorandom Bits B.7.2. 疑似ランダムビットの生成的要求
B.7.3. Reseeding an RBGC Construction B.7.3. RBGC構築の冗長化
B.7.3.1. Reseeding the Root RBGC Construction B.7.3.1. ルートRBGC構築のリシード
B.7.3.2. Reseeding a Child RBGC Construction B.7.3.2. 子RBGCコンストラクションのリース
Appendix C. Addendum to SP 800-90A: Instantiating and Reseeding a CTR_DRBG 附属書 C. SP 800-90A の補遺: CTR_DRBG のインスタンス化と再導入
C.1. Background and Scope C.1. 背景と範囲
C.2. CTR_DRBG Without a Derivation Function C.2. 派生機能を持たない CTR_DRBG
C.3. CTR_DRBG Using a Derivation Function C.3. 派生機能を使用するCTR_DRBG
C.3.1. Derivation Keys and Constants C.3.1. 派生キーと定数
C.3.2. Derivation Function Using CMAC C.3.2. CMACを使った導出機能
C.3.3. Derivation Function Using CBC-МАС C.3.3. CBC-МАСを用いた導出機能
Appendix D. List of Abbreviations and Acronyms 附属書D. 略語と頭字語のリスト
D.1. List of Symbols D.1. 記号一覧
Appendix E. Glossary 附属書E. 用語集

 

 

| | Comments (0)

米国 NIST SP 800-224(初期公開ドラフト) 鍵付きハッシュメッセージ認証コード(HMAC): HMACの仕様とメッセージ認証の推奨事項 (2024.06.28)

こんにちは、丸山満彦です。

NISTが、ハッシュベースのメッセージ認証に関するSPのドラフトを公表し、意見募集をしています。現在、ハッシュベースのメッセージ認証については、FIPS 198-1 The Keyed-Hash Message Authentication Code (HMAC) に規定されていますが、SP800-224を発行するタイミングでFIPS198は廃止するようですね...

あと、関連するSPは、NIST SP 800-107 Rev. 1 Recommendation for Applications Using Approved Hash Algorithms

 

● NIST - ITL

プレス...

・2024.06.28 Keyed-Hash Message Authentication Code (HMAC): Specification of HMAC and Recommendations for Message Authentication | Draft SP 800-224 is Available for Public Comment

 

Keyed-Hash Message Authentication Code (HMAC): Specification of HMAC and Recommendations for Message Authentication | Draft SP 800-224 is Available for Public Comment 鍵付きハッシュメッセージ認証コード(HMAC): HMACの仕様とメッセージ認証の推奨|SP 800-224ドラフトがパブリックコメントに供される
The initial public draft (ipd) of NIST Special Publication (SP) 800-224, Keyed-Hash Message Authentication Code (HMAC): Specification of HMAC and Recommendations for Message Authentication, is now available for public comment. NIST特別刊行物(SP)800-224「鍵付きハッシュメッセージ認証コード(HMAC)」の初期公開草案(ipd)である: HMAC の仕様とメッセージ認証の推奨事項』は、現在パブリック・コメントを受け付けている。
This publication includes the HMAC specification from Federal Information Processing Standard (FIPS) 198-1, The Keyed-Hash Message Authentication Code (HMAC) (2008) and incorporates some requirements from SP 800-107r1 (Revision 1), Recommendation for Applications Using Approved Hash Algorithms (2012). This development was proposed by the NIST Crypto Publication Review Board based on the reviews of FIPS 198-1 and SP 800-107r1 in 2022. The final version of SP 800-224 is expected to be published concurrently with the withdrawal of FIPS 198-1. 本書は、連邦情報処理標準(FIPS)198-1「鍵付きハッシュ・メッセージ認証コード(HMAC)」(2008年)のHMAC仕様を含み、SP 800-107r1(改訂1)「承認されたハッシュ・アルゴリズムを使用するアプリケーションの推奨」(2012年)の要件の一部を組み込んでいる。この開発は、2022年のFIPS 198-1とSP 800-107r1のレビューに基づいて、NIST暗号公開審査委員会によって提案された。SP 800-224 の最終版は、FIPS 198-1 の廃止と同時に発行される予定である。

 

文書...

・2024.06.28 NIST SP 800-224 (Initial Public Draft) Keyed-Hash Message Authentication Code (HMAC): Specification of HMAC and Recommendations for Message Authentication

NIST SP 800-224 (Initial Public Draft) Keyed-Hash Message Authentication Code (HMAC): Specification of HMAC and Recommendations for Message Authentication NIST SP 800-224(初期公開ドラフト) 鍵付きハッシュメッセージ認証コード(HMAC): HMACの仕様とメッセージ認証の推奨事項
Announcement 発表
This publication includes the HMAC specification from Federal Information Processing Standard (FIPS) 198-1, The Keyed-Hash Message Authentication Code (HMAC) (2008) and incorporates some requirements from SP 800-107r1 (Revision 1), Recommendation for Applications Using Approved Hash Algorithms (2012). This development was proposed by the Crypto Publication Review Board based on the reviews of FIPS 198-1 and SP 800-107r1 in 2022. The final version of SP 800-224 is expected to be published concurrently with the withdrawal of FIPS 198-1. 本書は、連邦情報処理標準(FIPS)198-1「鍵付きハッシュ・メッセージ認証コード(HMAC)」(2008年)のHMAC仕様を含み、SP 800-107r1(改訂1)「承認されたハッシュ・アルゴリズムを使用するアプリケーションの推奨」(2012年)の要件の一部を組み込んでいる。この開発は、2022 年の FIPS 198-1 と SP 800-107r1 のレビューに基づき、Crypto Publication Review Board によって提案された。SP 800-224 の最終版は、FIPS 198-1 の廃止と同時に発行される予定である。
... ...
Abstract 要旨
A message authentication code (MAC) scheme is a symmetric-key cryptographic mechanism that can be used with a secret key to produce and verify an authentication tag, which enables detecting unauthorized modifications to data (also known as a message). This NIST Special Publication (whose current version is an initial public draft) specifies the keyed-hash message authentication code (HMAC) construction, which is a MAC scheme that uses a cryptographic hash function as a building block. The publication also specifies a set of requirements for using HMAC for message authentication, including a list of NIST-approved cryptographic hash functions, requirements on the secret key, and parameters for optional truncation. メッセージ認証コード(MAC)スキームは、データ(メッセージとも呼ばれる)に対する不正な変更を検 出することを可能にする認証タグを生成および検証するために、秘密鍵とともに使用できる対称 鍵暗号メカニズムである。この NIST 特別刊行物(現在のバージョンは初期公開ドラフト)は、暗号ハッシュ関数を構成 ブロックとして使用する MAC スキームである、鍵付きハッシュメッセージ認証コード(HMAC)構 成を規定している。本書はまた、メッセージ認証にHMACを使用するための一連の要件を規定する。これには、NISTが承認した暗号ハッシュ関数のリスト、秘密鍵に関する要件、およびオプションの切り捨てに関するパラメータが含まれる。

 

・[PDF] NIST.SP.800-224.ipd

20240717-42235

 

目次...

1. Introduction 1. 序文
2. HMAC Construction 2. HMACの構築
3. HMAC Requirements for Message Authentication 3. メッセージ認証のためのHMAC要件
4. Testing and Validation 4. テストと検証
5. Optimization via Pre-Computation of the Internal State 5. 内部状態の事前計算による最適化
6. Security Considerations 6. セキュリティに関する考察
6.1. Key Strength 6.1. 鍵の強度
6.2. HMAC Security Against Key-Recovery Attacks 6.2. 鍵復元攻撃に対するHMACの安全性
6.3. HMAC Unforgeability 6.3. HMACの偽造不可能性
 6.3.1. HMAC with MD-based hash functions  6.3.1. MDベースのハッシュ関数によるHMAC
 6.3.2. HMAC with sponge-based hash functions  6.3.2. スポンジベースのハッシュ関数によるHMAC
 6.3.3. Impact of truncation and multiple tag verifications  6.3.3. 切り捨てと複数のタグ検証の影響
Appendix A. Development of the HMAC Standard 附属書A. HMAC標準の開発
Appendix B. Example Test Vector 附属書B. テストベクタの例
Appendix C. Glossary 附属書C. 用語集
Appendix D. Summary of Changes 附属書D. 変更点の概要

 

変更点の概要

D. Summary of Changes D. 変更点の概要
This publication contains numerous editorial adjustments compared to the previous versions in FIPS 198-1 [1] and SP 800-107r1 [2]. The following list summarizes the main updates: 本書には、FIPS 198-1 [1]および SP 800-107r1 [2]の旧版と比較して、多くの編集上の調整が含まれている。以下のリストは、主な更新点をまとめたものである:
1. Use of HMAC for message authentication versus other applications. Compared to FIPS 198-1, this publication includes requirements to approve the use of HMAC for message authentication, which was previously considered in SP 800 107r1. This publication informs the reader that HMAC can have other uses (e.g., PRF and key750 derivation), but the corresponding requirements are not in the scope of the present document. In particular, the revised introduction includes an enumeration of HMAC applications considered across other NIST Special Publications. 1. メッセージ認証におけるHMACの使用と他のアプリケーションとの比較。FIPS 198-1 と比較して、本書には、メッセージ認証に HMAC を使用することを承認する要件が含まれている。本書は、HMAC が他の用途(PRF や key750 の導出など)にも使用可能であることを読者 に通知しているが、対応する要件は本文書の範囲外である。特に、改訂された序文には、他の NIST 特別刊行物において考慮されている HMAC アプリケーションの列挙が含まれている。
2. Notation. The notation was revised, introducing a few changes: 2. 表記法。表記法が改訂され、いくつかの変更が導入された:
• Binary notation. All mentions of lengths in bytes have been updated to bits, allowing for better consistency with truncation, whose output bit-length need not be a multiple of eight. Lengths 𝐵 and 𝐿 (in bytes) were changed to 𝑏 and ℓ (in bits), respectively. - バイナリ表記。長さ𝐵と𝑄(バイト)は、それぞれ𝐵と𝑄(ビット)に変更された。長さ "𝐵 "と "𝐿 "(バイト)は、それぞれ "𝑏 "と "ℓ "(ビット)に変更された。

• Other updates to variable names. The variable 𝑡𝑒𝑥𝑡 has been changed to 𝑀 (the message being authenticated). The symbols HMAC (the tag generation algorithm), 𝑙𝑒𝑛 (length function), and 𝑛 (bit-size of the internal state of a hash function) were introduced. - その他、変数名が更新された。変数𝑡𝑒が𝑀(認証されるメッセージ)に変更された。記号HMAC(タグ生成的アルゴリズム)、𝑙𝑒𝑛 (長さ関数)、𝑛(ハッシュ関数の内部状態のビットサイズ)が導入された。
3. Revised requirements (indexation and content). In this publication, the set of require763 ments (in Section 3) is explicitly scoped within the context of an HMAC application to 764 message authentication. The requirements (based on requirements from FIPS 198-1 765 and SP 800 107r1) are now indexed and titled for easier referencing. 3. 要求事項の改訂(索引付けと内容)。本書では、(セクション3の)一連の要件は、メッセージ認証へのHMACアプリケーショ ンのコンテキスト内で明示的にスコープされる。要件(FIPS 198-1 765 および SP 800 107r1 の要件に基づく)は、参照しやすいように索引とタイトルが付けられた。
4. Approved hash functions. The approved hash functions listed in SP 800 107r1 included SHA-1 and did not include any SHA-3-based function. In comparison, this publication (see R1) does not approve SHA-1 and approves four SHA-3 based functions 769 for use in HMAC-based message authentication. 4. 承認ハッシュ機能。SP 800 107r1 に記載された承認ハッシュ機能には SHA-1 が含まれ、SHA-3 ベースの機能は含まれていなかった。対照的に、本書(R1参照)ではSHA-1を承認しておらず、HMACベースのメッセージ認証に使用する4つのSHA-3ベース関数を承認している。
5. Limited number of failed tag verifications. SP 800 107r1 required the key to be 771 changed before a maximum allowed number of failed tag verifications is reached. This publication rewrote the requirement, scoping it only to the cases when trun cation is used. This publication (see R8) explicitly requires that in such cases it is necessary to determine an acceptable maximum number of failed tag verifications.  5. タグ検証の失敗回数の制限。SP 800 107r1では、タグ検証の失敗回数が最大許容回数に達する前に、鍵を変更することを要 求していた。本書ではこの要件を書き直し、トランケーションが使用される場合のみにスコープした。本書(R8参照)では、このような場合、許容可能なタグ検証失敗の最大回数を決定する 必要があることを明確に要求している。
6. Validation context and test vectors. Section 4 improved the explanation of the object identifiers, test vectors, and validation context. The new Appendix B also adds a test vector that covers one HMAC input/output example for each possible underlying hash function. 6. 検証コンテキストとテストベクタ。 第 4 章では、オブジェクト識別子、テストベクター、検証コンテキストの説明を改善した。また、新しい附属書Bでは、各ハッシュ関数について1つのHMAC入出力例をカバーするテストベクターが追加されている。
7. Security notions. Section 6 explains some security notions at a high level, including the key strength (see Section 6.1); security strength against key-recovery attacks (see Section 6.2, which includes the notion of equivalent keys); and forgery attacks (see Section 6.3). 7. セキュリティ概念。 セクション6では、鍵強度(セクション6.1参照)、鍵回復攻撃に対する セキュリティ強度(等価鍵の概念を含むセクション6.2参照)、偽造攻撃 (セクション6.3参照)など、いくつかのセキュリティ概念を高いレベルで説明する。
8. References. The list of references has been substantially updated and extended. 8. 参考文献。 参考文献リストを大幅に更新・拡張した。
9. Glossary items. The glossary in Appendix C does not include all entries of the glos785 saries of FIPS 198-1and SP 800 107r1. The new glossary introduces the following 786 terms: block size, forgery, internal state size, key strength, pseudorandom function, secret key, should, tag, tag verification, truncation. 9. 用語集項目。附属書 C の用語集には、FIPS 198-1 および SP 800 107r1 の用語集のすべての項目が含まれていない。新しい用語集では、ブロック・サイズ、偽造、内部状態サイズ、鍵強度、擬似ランダム関数、秘密 鍵、should、タグ、タグ検証、切り捨てという用語が導入されている。

 

 

| | Comments (0)

2024.07.16

EU 2024.07.12にAI法がEU官報に掲載された

こんにちは、丸山満彦です。

AI法の学者からちゃんと官報を見なさいといわれたことがあるので...

AI法は、 2024.07.12に官報に掲載され、20日後、2024.08.01に拘束力を持つ法律となるということですかね...

 

EUR-LEX

・2024.07.12 Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act)Text with EEA relevance.

 

各国言語によるHTML、PDF版があります...

PDFよりもHTMLのほうが読みやすいですよね...

 

英語のHTML版...

英語のPDF版...

20240716-65629

 

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.05.22 EU 欧州理事会がAI法を承認...まもなく発効されますね...

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2023.12.10 欧州委員会、欧州議会がAI法について政治的合意

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

 

 

| | Comments (0)

ISMS-AC ISMS適合性評価制度に関するアンケート調査報告書

こんにちは、丸山満彦です。

ISMS-ACが、ISMS適合性評価制度に関するアンケート調査報告書が公表されていますね...

ISMS制度の立ち上げに関わったので、その当時から話をすこし...

経済産業省の情報システム安全対策基準認定制度を大臣認定から民間への移行という話があり、その制度をJIPDECが担うことになりましたが、その際に、経済産業省から良い制度を検討して欲しいという依頼があり、JIPDECの元で制度づくりをすることになりました。[PDF] 情報システム安全対策基準(1997.09.24改正)は、「設置基準」と「技術基準と運用基準」ということで、データセンタのセキュリティを考えていたので、設備の整備にも力をいれていたものでしたが、新しい基準をどうするかということで、従来通りの情報システム安全対策基準を改訂し、それをもとにJIPDECが認定をする制度としたいと考える人も多くいたと思いますが、私はこれからを見据えて、当時英国で話題になり始めていた、情報セキュリティマネジメントシステム認証(BS7799)を導入したほうが、よいと考えていて、BS7799の日本版をつくりそれを導入する方が良いという意見で、その導入を推していました。

結果的に、今のISMS認証制度を見ればわかるとおり、BS7799の日本版をつくり、のちにBS7799が国際基準のISO/IEC17999、最終的には、ISO/IEC 27001をもとにした、JIS Q 27001で認証をすることになりました。

そして、JIPDECはその流れもあり、JIS Q 27001によるマネジメント認証制度における認定機関(JABと同じ位置付け)になることになったわけですが、認定機関が制度の推進をしているのは、認定機関として適切ではないのではないかという話もあり、一般社団法人情報マネジメントシステム認定センター (ISMS-AC)が設立されたという経緯があります...

ということで、今回の調査報告の話です(^^)...

 

一般社団法人情報マネジメントシステム認定センター (ISMS-AC)

・2024.07.12 ISMS適合性評価制度に関するアンケート調査報告書を公開しました

 


調査内容:
 ・認証取得組織の基本情報(業種、規模、認証取得期間等)
 ・ISMSの導入及び認証取得の効果
 ・認証審査員の力量及び審査の質
 ・認証機関の認定の信頼性
 ・ISMS適合性評価制度全般
基本的に過去の調査との連続性を考慮した内容となっていますが、 新たにAIシステムの利用に関する設問を加えました。


 

・[PDF] 「ISMS適合性評価制度に関する調査報告書(2024年7月)」

20240716-61429

目次...

はじめに

調査概要

基本情報について
1
法人の業種。
2
資本金
3
従業員数
4 ISMS
取得の認証範囲について

ISMS認証の運用実績等について
1
経過年数
2
他のマネジメントシステム認証
3
認証機関の変更

ISMSの導入及び認証取得の効果等について
導入の目的又は動機
2 ISMS
導入の効果
3 顧客からの要求
4 ISMS
に関する今後の課題

審査員の力量及び審査の質について
1
審査員の力量
2
認証審査の質

認証機関の認定の信頼性について
1.
認定機関から認定を受けた認証機関の言頼性

制度全般に対するご意見等
1
調達先への要求
2
海外展開
AIシステムの利用
本センターへの期待。
5 ISMS
適合性評価制度全般に対するご意見・ご要望

おわりに

付録 ISMS 適合性評価制度に関するアンケート調査書

 

過去分も...

発行年月  
2024.07 (Pdf)
2018.07 (Pdf)
2014.10 (Pdf)
2012.06 (Pdf)
2009.03 (Pdf)

 

どうせなら、過去との比較分析もして欲しかったなぁ...

あまり変化がないかもしれないけど...

 

ちなみに、ISMSが形骸化しているという話をよく聞きますが...

それに対する私の考え方はこちら(^^)

 

まるちゃんのセキュリティ気まぐれ日記

2005.01.25 ISMSの形骸化

 

 

 

| | Comments (0)

金融における人工知能に関するOECD-FSBラウンドテーブル(2024年5月22日、パリ)におけるネリー・リャン米国国内金融担当次官兼金融安定理事会脆弱性アセスメント常設委員会議長の発言

こんにちは、丸山満彦です。

2024.05.22にパリで開催された、金融における人工知能に関するOECD-FSBラウンドテーブにおけるネリー・リャン米国国内金融担当次官兼金融安定理事会脆弱性アセスメント常設委員会議長の発言が公表されていたので、メモです。

金融機関では、これからますますAIの利用が進むと思いますが、規制当局の方の見方の理解というのも重要ですよね...

 

Financial Stability Board

1_20240716052201

・2024.07.04 Remarks on Artificial Intelligence in Finance

 

Remarks on Artificial Intelligence in Finance 金融における人工知能に関する発言
Remarks by Nellie Liang, US Under Secretary for Domestic Finance, and Chair of the Financial Stability Board Standing Committee on Assessment of Vulnerabilities, at the OECD – FSB Roundtable on Artificial Intelligence in Finance, Paris, 22 May 2024. 金融における人工知能に関するOECD-FSBラウンドテーブル(2024年5月22日、パリ)におけるネリー・リャン米国国内金融担当次官兼金融安定理事会脆弱性アセスメント常設委員会議長の発言。
I. INTRODUCTION  I. 序文 
Thank you to the OECD and FSB for organizing today’s roundtable, Artificial Intelligence in Finance, and for inviting me to speak. 本日の円卓会議「金融における人工知能」を企画し、私を講演に招いてくださったOECDとFSBに感謝する。
Artificial intelligence or “AI” has the potential to transform many aspects of our lives and society and, in the last year and a half, has captured our imaginations. But, like earlier waves of technology that offer great opportunities, it also brings challenges and fears. 人工知能(AI)は、私たちの生活や社会の様々な側面を変革する可能性を秘めており、ここ1年半の間に、私たちの想像力をかきたててきた。しかし、大きなチャンスを提供する初期のテクノロジーの波のように、AIもまた課題や恐れをもたらしている。
Financial firms have been using some kinds of AI for many years. Yet recent advances in computing capacity and the latest developments in AI – like generative AI or GenAI – represent a dramatic step up in its capabilities. New AI models can ingest a wide range of data, generate content, and have a greater capacity to evolve on their own and automate decision making. These technologies are developing rapidly, and firms and regulators alike are still in the early stages of understanding how the newest AI models could be used by financial institutions. It is crucial that we continue to deepen our understanding of potential benefits and risks and to ensure that the regulatory framework keeps pace. This is a big undertaking. Events like today’s are an important part of building our understanding. 金融会社は長年、ある種のAIを利用してきた。しかし、近年のコンピューティング能力の向上と、生成的AI(GenAI)のようなAIの最新開発により、その能力は飛躍的に向上している。新しいAIモデルは、さまざまなデータを取り込み、コンテンツを生成し、独自に進化して意思決定を自動化する能力を高めている。これらのテクノロジーは急速に発展しており、企業も規制当局も、最新のAIモデルが金融機構でどのように利用できるかを理解する初期段階にある。潜在的なメリットとリスクについて理解を深め、規制の枠組みが歩調を合わせていくことが極めて重要である。これは大きな仕事だ。本日のようなイベントは、我々の理解を深める上で重要な役割を果たす。
My remarks today will focus on how financial policymakers are learning about the use of new AI tools by financial firms, and what kinds of risks these tools could introduce to the financial system. Adoption of new technologies in finance is not new. Financial firms are innovating continuously in order to increase efficiencies and offer new services. Policymakers have experience with changing technologies and have developed regulatory frameworks focused on building guardrails, regardless of the underlying technology used. In other words, we are not starting from scratch in thinking about how to address the risks of AI while also allowing for the opportunities from it to be realized. The primary question today is whether new AI models are fundamentally distinct from existing technology or if they will be used in such a different way that the current regulatory frameworks are not sufficient or do not apply. 本日の私の発言は、金融政策立案者が金融会社による新たなAIツールの利用についてどのように学んでいるのか、また、これらのツールが金融システムにどのようなリスクをもたらす可能性があるのかに焦点を当てる。金融における新技術の採用は目新しいものではない。金融会社は効率性を高め、新たなサービスを提供するために絶え間なく技術革新を行っている。政策立案者はテクノロジーの変化について経験を積んでおり、使用される基礎的テクノロジーに関係なく、ガードレールの構築に焦点を当てた規制の枠組みを開発してきた。言い換えれば、AIのリスクに対処する一方で、AIの機会を実現する方法をゼロから考えることはない。今日の主要な問題は、新しいAIモデルが既存のテクノロジーとは根本的に異なるものなのか、それとも現行の規制の枠組みが十分でない、あるいは適用されないほど異なる方法で使用されるのか、ということである。
With that framing in mind, I will start my remarks today with a characterization of the technology and how financial institutions use AI today. These current uses can help us think about how financial firms perceive their opportunities and how they may want to use AI in the future. I will then consider the potential risks and our financial regulatory framework for assessing and addressing these risks. I will end with some questions for this group to consider. このような枠組みを念頭に置きながら、本日の私の発言は、AIのテクノロジーと、金融機構が現在どのようにAIを利用しているかという特徴付けから始めたい。このような現在の利用状況は、金融機関がどのようにAIを利用する機会を捉え、将来どのようにAIを利用したいと考えるかを考える上で参考になる。次に、潜在的なリスクと、これらのリスクをアセスメントし、対処するための金融規制の枠組みについて考えてみたい。最後に、このグループの皆さんに考えていただきたいことをいくつか挙げて終わりにする。
II. DEFINING AI  II. AIの定義 
Artificial intelligence is a broad concept and resists a precise definition. Here, I will use AI to describe any system that generates outputs – which can be forecasts, content, predictions, or recommendations – for a given set of objectives. From this conceptual framing of what AI systems do, we can think about the underlying technology as falling into three categories: “early” artificial intelligence, machine learning, and newer generative AI models. These categories roughly track the order in which they were developed, but many AI models combine elements across these three categories. 人工知能は広範な概念であり、正確な定義は難しい。ここでは、与えられた目的に対して、予測、コンテンツ、予測、推奨などのアウトプットを生成するシステムをAIと呼ぶことにする。このような概念的な枠組みから、AIシステムは3つのカテゴリーに分類されると考えることができる: 「初期の」人工知能、機械学習、そして新しい生成的AIモデルだ。これらのカテゴリーは、開発された順番にほぼ沿っているが、多くのAIモデルはこれら3つのカテゴリーにまたがる要素を組み合わせている。
First, early AI describes rule-based models. Many computer programming languages are basically rules-based AI and have been used since the 1970s. Generally, these systems solve problems using specific rules applied to a defined set of variables. We have all experienced customer service that uses a rule-based AI. We ask a question that leads to pre-defined follow-up questions, until we get a pre-packaged answer or press zero enough times that we can talk to a human. Internal loss forecasting models or early algorithmic trading, for example, also might be considered forms of early artificial intelligence. We are very familiar with these kinds of tools in finance. まず、初期のAIはルールベースのモデルを記述している。多くのコンピューター・プログラミング言語は基本的にルールベースのAIであり、1970年代から使われている。一般的に、これらのシステムは、定義された変数のセットに適用される特定のルールを使って問題を解決する。私たちは皆、ルールベースのAIを使ったカスタマーサービスを経験したことがある。事前に定義されたフォローアップの質問につながる質問をし、事前にパッケージ化された回答が得られるか、人間と話せるようになるまでゼロを何度も押す。例えば、社内の損失予測モデルや初期のアルゴリズム取引も、初期の人工知能の一形態と言えるかもしれない。私たちは金融業界において、この種のツールに非常に慣れ親しんでいる。
Second, in contrast to rules-based systems, machine learning identifies relationships between variables without explicit instruction or programming. In machine learning, data are the key input and the system identifies patterns from the data. Learning can be reinforced, for example, by providing feedback to the system about whether the output is good or bad. From this feedback, the machine learning model can learn to perform better in the future. Machine learning is also embedded into many existing processes for financial institutions. For example, it has long been used to develop fraud detection tools. Machine learning also enables the mobile banking app on your phone to read handwritten checks. 第二に、ルールベースのシステムとは対照的に、機械学習は明示的な指示やプログラミングなしに変数間の関係を識別する。機械学習では、データが重要な入力であり、システムはデータからパターンを特定する。学習は、例えば出力の良し悪しをシステムにフィードバックすることで強化することができる。このフィードバックから、機械学習モデルは将来より良いパフォーマンスを発揮できるように学習することができる。機械学習は、金融機関の多くの既存プロセスにも組み込まれている。例えば、不正検知ツールの開発には以前から使われている。機械学習は、携帯電話のモバイルバンキングアプリが手書きの小切手を読み取ることも可能にしている。
The latest AI models can be characterized by their ability to generate new content – from text to images to videos. Instead of being limited to a defined set of potential responses in a defined format, GenAI can produce a range of responses in a range of formats. For example, “Give me recommendations for where to eat in Paris but composed as a poem in iambic pentameter.” These models are flexible and often dynamic, learning from experience in generating responses and through ingesting new information. More advanced AI systems, which are still being developed, aim to be highly autonomous with capabilities that match or exceed human abilities. 最新のAIモデルの特徴は、テキストから画像、動画に至るまで、新しいコンテンツを生成する能力にある。GenAIは、定義された形式の潜在的な回答のセットに制限される代わりに、様々な形式の様々な回答を生成することができる。例えば、"パリで食事をするのにおすすめの場所を教えてください。ただし、イアンビック・ペンタメーターの詩として構成してください "といった具合だ。これらのモデルは柔軟で、しばしば動的であり、応答を生成する際に経験から学習し、新しい情報を摂取する。より高度なAIシステムは現在も開発中だが、人間の能力と同等かそれ以上の能力を持つ高度に自律的なシステムを目指している。
III. USE OF AI III. AIの利用
Our experience with earlier technological changes can help us understand how financial institutions might be approaching newer artificial intelligence and give us insights into its potential benefits and opportunities. これまでの技術的変化の経験は、金融機関が新しい人工知能にどのように取り組んでいるかを理解し、その潜在的なメリットや機会について洞察するのに役立つ。
I’ll start with a few thoughts on where we might see these benefits. まず、どのような場面で人工知能の利点を享受できるかについて、いくつか考えてみたい。
First, what are the best use cases? Many use cases stem from AI’s ability to better process volumes and types of information that otherwise may be impractical or impossible to analyze. In the context of financial firms, AI can be used for two purposes: First, AI can be used to reduce costs or risks, and increase productivity, such as by automating some back-office functions or providing routine customer service. For example, by analyzing a broader array and amount of data, AI may be able to identify patterns that suggest suspicious activity. Second, AI can be used to develop new products, such as more tailored services. For example, by processing more data from more sources to better understand their customers, AI may enable greater customization of customer’s online financial experiences. まず、最適なユースケースとは何か?多くのユースケースは、そうでなければ分析が現実的でなかったり、不可能であったりするような量や種類の情報を、よりうまく処理するAIの能力に由来している。金融会社の文脈では、AIは2つの目的で使用することができる: 第一に、AIはコストやリスクを削減し、バックオフィス機能の自動化や日常的な顧客サービスのプロバイダなど、生産性を向上させるために利用できる。例えば、より広範で大量のデータを分析することで、AIは不審な行動を示唆するパターンを特定できるかもしれない。第二に、AIは、よりカスタマイズされたサービスなど、新商品の開発に利用できる。例えば、より多くのデータをより多くのソースから処理し、顧客をよりよく理解することで、AIは顧客のオンライン金融体験をよりカスタマイズできるようになるかもしれない1。
That said, because AI is largely a function of the data it is trained on, not all AI tools are equally well suited to each kind of task. For example, large language models, by definition, are trained primarily with language. As a result, they may be better suited to language-based tasks like customer service than a task like assessing Value-at- risk, and many financial institutions are exploring use of large language models to support customer chatbots.2 とはいえ、AIは学習させるデータの機能によるところが大きいため、すべてのAIツールがそれぞれのタスクに同じように適しているわけではない。例えば、大規模な言語モデルは、定義上、主に言語を使って学習される。その結果、バリュー・アット・リスクのアセスメントのようなタスクよりも、顧客サービスのような言語ベースのタスクに適している可能性があり、多くの金融機関が顧客チャットボットをサポートするために大規模な言語モデルの使用を検討している2。
Second, what are the development and adoption costs? AI tools may require significant investment – for example, to develop or purchase the tool, or invest in computational resources. While some operational costs have fallen and computing capacity has expanded, resource demands will be an important consideration for the kinds of use cases that firms are pursuing or prioritizing. At the same time, there could be costs of falling behind competitors who use AI to improve their services. 第二に、開発・導入コストはどの程度か。例えば、ツールの開発や購入、計算リソースへの投資などである。一部の運用コストは低下し、コンピューティング能力は拡大しているが、リソース需要は、企業が追求または優先するユースケースの種類にとって重要な考慮事項となる。同時に、AIを活用してサービス改善を図る競合他社に遅れをとることで、コストが発生する可能性もある。
In addition, financial institutions also need to work within appropriate governance structures and risk appetite boundaries. For example, if a tool were to replace human operators, how costly would a mistake be from not involving active human intervention? If a tool does not replace a human operator, would there still be productivity gains? さらに、金融機関は適切なガバナンス構造とリスク選好の境界の中で取り組む必要もある。例えば、ツールが人間のオペレーターに取って代わるとしたら、人間の積極的な介入を伴わないことによるミスのコストはどの程度になるのだろうか。ツールが人間のオペレーターに取って代わらない場合、生産性は向上するのだろうか?
We do not have a full picture of the ways that various financial institutions are using AI. The FSB’s work in 2017 highlighted many, now relatively mature, uses, such as credit underwriting and trading execution. More recently, many authorities are conducting surveys and requesting public input as well as talking directly to firms. From this work, we see AI being used in three primary areas. First, AI is being used to automate back-office functions and aid compliance. Fraud and illicit finance detection tools are an example of this. Second, AI is being used for some customer facing applications, like customer service chatbots. Finally, some financial institutions are looking for ways to incorporate AI into their product offerings. Some of these applications are familiar – like trading strategies – but are relying more on AI than they have in the past.3 Some hedge funds advertise that their strategies are based entirely on predictive AI, while previously AI might have been used to inform human decisionmakers. In other cases, AI has resulted in new types of products. For example, some insurance brokers are experimenting with new software to help their clients, such as to manage supply chain risk, based on satellite imagery processed by AI.4 我々は、様々な金融機関がAIをどのように活用しているのか、その全体像を把握していない。2017年のFSBの作業では、信用引受や取引執行など、現在では比較的成熟した多くの利用方法が取り上げられた。さらに最近では、多くの認可当局が調査を実施し、一般からの意見を求めるだけでなく、企業と直接話をするようになっている。こうした作業から、AIは主に3つの分野で活用されていると考えられる。第一に、AIはバックオフィス機能を自動化し、コンプライアンスを支援するために使用されている。詐欺や不正資金検知ツールはその一例である。第二に、AIは顧客サービスのチャットボットなど、顧客と対面するアプリケーションに利用されている。最後に、一部の金融機構はAIを自社の商品提供に組み込む方法を模索している。これらのアプリケーションの中には、取引戦略のような馴染みのあるものもあるが、従来よりもAIに依存するようになっている3。一部のヘッジファンドは、自社の戦略がすべて予測AIに基づいていると宣伝しているが、以前はAIが人間の意思決定者に情報を提供するために使われていたかもしれない。また、AIが新しいタイプの商品を生み出すケースもある。例えば、一部の保険ブローカーは、AIによって処理された衛星画像に基づき、サプライチェーン・リスクマネジメントなど、顧客を支援するための新しいソフトウェアを実験的に導入している4。
It is still early days, but firms are pursuing a wide range of strategies for how to use new AI tools. They appear to be proceeding cautiously, especially when experimenting with GenAI, and at the same time making changes to internal governance.Some fintech firms that are subject to less regulation may be proceeding more quickly. まだ始まったばかりだが、各社は新しいAIツールの活用方法について幅広い戦略を追求している。特にGenAIを使った実験では、慎重に進めているように見えるが、同時に内部ガバナンスの変更も行っている5。
IV. RISKS IV. リスク
As these use cases highlight, AI may offer significant benefits to financial institutions in reducing costs and generating revenue. But as financial institutions explore new ways to benefit from AI, policymakers and financial institutions alike must consider the potential broader risks. We can consider these risks across a few categories – first, risks to individual financial institutions,; second, risks to the broader financial system; third, changes in the competitive landscape; and finally, implications for consumers and investors. これらのユースケースが強調するように、AIは金融機関にとって、コスト削減や収益創出において大きなメリットをもたらす可能性がある。しかし、金融機関がAIから利益を得る新たな方法を模索する際には、政策立案者も金融機関も同様に、潜在的な広範なリスクを考慮しなければならない。第一に、個々の金融機関にとってのリスク、第二に、より広範な金融システムにとってのリスク、第三に、競争環境の変化、最後に、消費者と投資家にとっての影響である。
Risks to Financial Institutions - Microprudential considerations 金融機関のリスク-マイクロプルーデンス上の懸念
A key risk for financial institutions using AI tools is model risk. Model risk refers to the consequences of poor design or misuse of models. Addressing model risk includes managing data quality, design, and governance. The data, design and governance of models are critical components of effective and safe development of AI, and its use. For example, it is important to consider where limitations in data can skew a model’s outputs. Models trained on historical data will, by definition, be informed only by the historical examples of stress or outlier events contained in the underlying data. While these types of events stand out in our memories, they are relatively few and unlikely to be repeated in the same ways. This limitation means that some models that could be used for trading may be less robust or predictive in future periods of stress. AIツールを利用する金融機関にとって重要なリスクは、モデル・リスクである。モデルリスクとは、モデルの不適切な設計や誤用がもたらす結果を指す。モデルリスクへの対応には、データの品質、設計、ガバナンスのマネジメントが含まれる。モデルのデータ、設計、ガバナンスは、AIの効果的かつ安全な開発、およびその利用に不可欠な要素である。例えば、データの制限がモデルの出力を歪める可能性がある場所を考慮することが重要である。過去のデータに基づいて訓練されたモデルは、定義上、基礎データに含まれるストレスや異常値事象の過去の例によってのみ情報を得ることになる。このようなタイプの事象は私たちの記憶の中では際立っているが、その数は比較的少なく、同じことが繰り返される可能性は低い。この限界は、トレーディングに使用可能なモデルでも、将来のストレス期にはロバスト性や予測性が低下する可能性があることを意味する。
It is also critical to consider how the model is being used. Even if a model is well designed, it can present risks if used or interpreted inappropriately. As firms become more comfortable with AI models and outputs, it may become easy to forget to question the models’ underlying assumptions or to conduct independent analysis. We have seen these kinds of dependencies in the past. For example, prior to the financial crisis, banks and market participants relied on credit rating agencies to an extent that reduced their capacity for independent assessments.Newer AI tools may create or exacerbate some of these existing challenges for governance and oversight. These tools can be less clear in their reasoning, more dynamic, and more automatic. For example, the speed and independence of some AI tools exacerbates the problem of overreliance as the opportunity for human intervention may be very short. This is particularly true for applications like trading strategies because of the speed required. モデルがどのように使われているかを考慮することも重要である。モデルがうまく設計されていたとしても、不適切に使用されたり解釈されたりすればリスクをもたらす可能性がある。企業がAIのモデルやアウトプットに慣れるにつれ、モデルの基礎となる仮定を疑ったり、独立した分析を行うことを忘れがちになるかもしれない。このような依存関係は過去にも見られた。例えば、金融危機以前、銀行や市場参加者は、独立したアセスメント能力を低下させる程度まで信用格付け機関に依存していた6。これらのツールは、推論が明確でなく、よりダイナミックで、より自動的である可能性がある。例えば、一部のAIツールのスピードと独立性は、人間が介入する機会が非常に短い可能性があるため、過信の問題を悪化させる。特に、取引戦略のようなアプリケーションでは、スピードが要求されるため、この傾向が強い。
Relatedly, use of AI tools may increase reliance on vendors and critical service providers. While the use of third parties can offer financial institutions significant benefits, these dependencies can introduce some risks. For example, AI tools require significant computing power and may increase reliance on a relatively small number of cloud service providers. There is likely less visibility into the AI tools developed by vendors than those developed in house. 関連して、AIツールの使用はベンダーや重要なサービスプロバイダーへの依存を高める可能性がある。サードパーティーの利用は金融機構に大きなメリットをもたらす可能性がある一方で、こうした依存はいくつかのリスクをもたらす可能性がある。例えば、AIツールは大きなコンピューティング・パワーを必要とし、比較的少数のクラウド・サービス・プロバイダへの依存を高める可能性がある。ベンダーが開発したAIツールの可視性は、自社で開発したものよりも低い可能性が高い。
Operational risks related to AI may also come from outside the financial institution. These include AI-enabled cyber-attacks, fraud, and deep fakes. Widely available GenAI tools are already expanding the pool of adversaries and enabling all adversaries to become more proficient. While the tactics are often not new – like phishing – they have become more effective and efficient in the last year. For example, in a reported incident earlier this year, an employee of a multinational financial institution was tricked into transferring $25 million after attending a video conference call with an AI deepfake of the firm’s chief financial officer.7 AIに関連する運用リスクは、金融機関の外部からもたらされる可能性もある。これには、AIを利用したサイバー攻撃、詐欺、ディープフェイクなどが含まれる。広く利用可能なGenAIツールは、すでに敵対者のプールを拡大し、すべての敵対者がより熟練することを可能にしている。手口はフィッシングのように目新しいものではないことが多いが、昨年はより効果的かつ効率的になっている。例えば、今年初めに報告されたインシデントでは、ある多国籍金融機関の従業員が、同社の最高財務責任者のAIディープフェイクとのビデオ電話会議に出席した後、騙されて2,500万ドルを送金させられた7。
Financial Stability and Macroprudential Considerations 財務安定性とマクロプルーデンス上の懸念
We should also consider whether AI use by financial firms could present financial stability risks – that is, risks to the broader financial system. For example, AI models may introduce or amplify interconnections among financial firms if model outputs are more highly correlated because they rely on the same data sources, or if firms are using the same model. In some cases, one model’s output may be an input to another model. These interconnections may exacerbate herding behavior or procyclicality. Where models inform trading strategies that are executed automatically, incidents like flash crashes may be more likely. Complexity and opacity are also of concern. To the extent that models are not transparent in their reasoning or rely on a wider range of data, it is difficult to predict how models might perform. 金融会社によるAIの利用が、金融の安定性リスク、すなわち、より広範な金融システムに対するリスクをもたらす可能性があるかどうかも考慮すべきである。例えば、AIモデルは、同じデータ・ソースに依存しているため、モデルの出力がより高い相関性を持つ場合、あるいは金融機関が同じモデルを使用している場合、金融機関間の相互連関を導入または増幅する可能性がある。場合によっては、あるモデルの出力が別のモデルの入力になることもある。このような相互関連は、ハーディング行動やプロシクリカリティを悪化させる可能性がある。モデルが取引戦略に情報を与え、それが自動的に実行される場合、フラッシュ・クラッシュのようなインシデントが発生しやすくなるかもしれない。複雑さと不透明さも懸念される。モデルの推論が透明でなかったり、より広範な データに依存していたりする限り、モデルがどのように機能するかを予測 することは難しい。
Changes in Competitive Landscape 競争環境の変化
AI has the potential to change the competitive landscape of financial services. This could happen in one of several ways. First, the significant investments of computing power and data required to develop AI models may advantage certain institutions over others. Small institutions with less access to data may be disadvantaged in their ability to develop or access AI. Institutions that have not migrated to cloud services may be less able to access or use AI. Alternatively, it is possible that the investments needed to develop AI models are so significant that financial institutions converge on a single model, thus leveling the playing field between large and small institutions. AIは金融サービスの競争環境を変える可能性を秘めている。これはいくつかの方法で起こりうる。第一に、AIモデルの開発に必要なコンピューティング・パワーとデータの多大な投資により、特定の機構が他の機構よりも有利になる可能性がある。データへのアクセスが少ない小規模な機構は、AIを開発したりアクセスしたりする能力で不利になるかもしれない。クラウドサービスに移行していない機構は、AIへのアクセスや利用が不利になるかもしれない。あるいは、AIモデルを開発するために必要な投資額があまりに大きいため、金融機関が単一のモデルに収斂し、大企業と中小企業の間の競争条件が平準化される可能性もある。
In addition, competitive dynamics outside of financial institutions may be relevant. AI tools and the cloud services that these tools depend on are being developed most intensively by a handful of companies that are not themselves financial institutions. AI may also bring new entrants into financial services, including technology providers that may be looking to make use of data collected in other contexts. さらに、金融機関以外の競争力学も関係するかもしれない。AIツールやそのツールに依存するクラウドサービスは、金融機関ではない一握りの企業によって最も集中的に開発されている。AIはまた、他の文脈で収集されたデータの活用を目指すテクノロジープロバイダーを含め、金融サービスへの新規参入をもたらすかもしれない。
Consumers and Investors 消費者と投資家
In my remarks today, I have focused mostly on the impact of AI on financial institutions and the financial system, but I would like to spend a few moments on the potentially significant implications for consumers and investors, as well. 本日の発言では、AIが金融機関や金融システムに与える影響に焦点を当ててきたが、消費者や投資家にとっても重要な意味を持つ可能性があることについて、少し触れておきたい。
We can think of these implications along two lines. First, while data have always been critical to financial services, AI further intensifies this demand for data. As a result, AI may amplify existing concerns regarding data privacy and surveillance. And, if data are collected, it must be stored, raising data security concerns. このような影響は2つの線で考えることができる。第一に、金融サービスにとってデータは常に重要であったが、AIはデータに対する需要をさらに高める。その結果、AIはデータ・プライバシーや監視に関する既存の懸念を増幅させる可能性がある。また、データを収集すれば、それを保存しなければならず、データ・セキュリティ上の懸念が高まる。
Second, the outputs of AI tools have significant implications for consumers and investors. Lenders using AI models may be able to develop a more comprehensive picture of creditworthiness by using many times more variables, including data from less traditional sources.8 Investment advisors are also experimenting with use of machine learning or predictive AI to provide more tailored advice. A particular area of concern, however, is the potential for AI tools to perpetuate bias. Historical data – whether used in traditional modeling or AI – embeds historically biased outcomes. A lender’s reliance on such historical data may be particularly problematic if the reasoning of a model is not clear, and if a decision may result in a consumer being denied service or credit in wrongful ways. In addition, with more and varied data being used, consumers will face challenges in correcting inaccuracies in their data. It is also important to take care that alternative sources of data, which may be less transparent and obscure embedded biases, are not proxies for race, gender, or ethnicity. 第二に、AIツールのアウトプットは、消費者や投資家にとって重要な意味を持つ。投資アドバイザーもまた、機械学習や予測AIの活用を試みており、よりオーダーメイドのアドバイスを提供している。しかし、特に懸念されるのは、AIツールがバイアスを永続させる可能性である。過去のデータは、伝統的なモデリングで使われるにせよ、AIで使われるにせよ、歴史的にバイアスのかかった結果を埋め込む。モデルの根拠が明確でない場合、また、ある決定が不当な方法で消費者のサービスや信用を拒否する結果をもたらす可能性がある場合、貸金業者がそのような過去のデータに依存することは特に問題となる可能性がある。加えて、より多くの多様なデータが利用されるようになれば、消費者はデータの不正確さを修正する際の課題に直面することになる。また、透明性が低く、埋め込まれたバイアスが不明瞭な代替データ源が、人種、性別、民族性の代用とならないように注意することも重要である。
V. FRAMEWORK FOR ADDRESSING RISKS V. リスクに対処するための枠組み
Many of the risks that I have described are familiar to financial regulators. When we consider how best to assess and mitigate financial risks posed by new AI developments, again, we are not starting from scratch. For example, principles of model risk management establish a framework for model design, governance, audit, and data quality. Principles of third-party risk management address risks associated with vendors and other critical service providers. Fair lending, fair credit, and data privacy laws are designed to address risks to consumers, and securities laws are designed to protect investors. Likewise, AI tools used for compliance, such as for AML/CFT compliance, must fit these regulatory requirements. While this framework is not specific to AI technology, it applies to AI and is designed to address risks regardless of the technology used. これまで述べてきたリスクの多くは、金融規制当局にとって馴染み深いものである。新たなAI開発によってもたらされる金融リスクをどのようにアセスメントし、軽減するのが最善かを検討する際、やはりゼロから始めるわけではない。例えば、モデルリスク・マネジメントの原則は、モデル設計、ガバナンス、監査、データ品質に関する枠組みを確立するものである。サードパーティリスク管理の原則は、ベンダーやその他の重要なサービス・プロバイダーに関連するリスクに対処するものである。公正貸付法、公正信用法、データ・プライバシー法は消費者のリスクに対処するために設計されており、証券法は投資家を保護するために設計されている。同様に、AML/CFTコンプライアンスなどのコンプライアンスに使用されるAIツールは、これらの規制要件に適合していなければならない。このフレームワークはAI技術に特化したものではないが、AIに適用され、使用される技術に関係なくリスクに対処するように設計されている。
It is from this starting point that we consider whether AI presents risks that are not adequately addressed in the existing framework. These risks could be of the same type, but of greater magnitude, or they may be entirely new types of risks. The technology is developing rapidly, and we should work to ensure that the policy framework is keeping pace. To that end, I would like to conclude by posing several questions to help guide this discussion: このような出発点から、既存の枠組みでは十分に対処できないリスクがAIに存在するかどうかを検討する。これらのリスクは、同じ種類のリスクであっても、より大きなリスクである可能性もあるし、まったく新しい種類のリスクである可能性もある。テクノロジーは急速に発展しており、我々は政策の枠組みが遅れを取らないよう努力すべきである。そのために、この議論の指針となるようないくつかの質問を投げかけて終わりにしたい:
First, where might AI amplify some known, familiar risks? For example, we have long understood the importance of data quality in modeling credit and market risk. Because AI relies on more and more different types of data, these concerns may be amplified. 第一に、AIが既知の身近なリスクを増幅させる可能性はどこにあるのか?例えば、信用リスクや市場リスクのモデリングにおけるデータの質の重要性については、以前から理解している。AIはより多くの異なる種類のデータに依存するため、こうした懸念が増幅される可能性がある。
Second, does AI present different kinds of risks? It may also be that AI presents categorically different types of risks. For example, AI acts according to defined objectives and it may be challenging to specify all relevant objectives. You may want AI to maximize profit, but within legal and ethical boundaries that can be difficult to define completely. If an AI model acts on its own and is capable of updating its reasoning with no human intervention, this may undermine accountability for wrongdoing or errors. 第二に、AIは異なる種類のリスクをもたらすのだろうか。また、AIはカテゴリーごとに異なる種類のリスクをもたらす可能性もある。例えば、AIは定義された目的に従って行動するが、関連する目的をすべて特定するのは難しいかもしれない。AIが利益を最大化することを望むかもしれないが、完全に定義することが難しい法的・倫理的な境界線の範囲内であればよい。AIモデルが独自に行動し、人間の介入なしに推論を更新できる場合、不正行為やエラーに対する説明責任が損なわれる可能性がある。
Third, are there changes in the competitive landscape that could have implications for the regulatory framework? AI may change the competitive landscape. These changes could occur both among financial companies – for example, firms with greater access to data or to computational power may be better positioned to compete. It could also occur between financial and non-financial companies, as some nonfinancial firms already have significant access to data and computing power, and have shown some interest in providing financial services directly. If this shifting landscape affects the ability to address risks in the financial sector, what adjustments should be considered, for example, for certain kinds of institutions or certain kinds of relationships? 第三に、規制の枠組みに影響を及ぼしうる競争環境の変化はあるか?AIは競争環境を変える可能性がある。例えば、データへのアクセスや計算能力が高い企業は、競争上有利な立場になるかもしれない。また、非金融会社の中には、すでにデータや計算能力への大きなアクセスを持っており、金融サービスを直接プロバイダとして提供することに関心を示しているところもあるからだ。このような状況の変化が、金融セクターのリスク対応能力に影響を及ぼすとすれば、例えば、特定の種類の機構や特定の種類の関係について、どのような調整を検討すべきであろうか。
Finally, what are the opportunities for financial regulators and other authorities to use AI? It is still early days for policymakers too. We are exploring opportunities to identify data anomalies to counter illicit finance and fraud, and to find better ways for the private sector to build more comprehensive databases to improve fraud detection.9 This is a high value proposition with a manageable risk if we work together across the public and private sectors. We might also consider what are other possible use cases and what considerations should guide those use cases. 最後に、金融規制当局やその他の認可機関がAIを活用する機会はどのようなものだろうか。政策立案者にとっても、まだ日が浅い。私たちは、不正資金や不正行為に対抗するためにデータの異常を特定する機会や、不正行為の検知を改善するために民間部門がより包括的なデータベースを構築するためのより良い方法を模索中である9。また、他にどのようなユースケースが考えられるか、そのユースケースを導くにはどのような配慮が必要かを検討することもできるだろう。
There are certainly other questions that could be asked now and certainly more to come for policymakers as AI technology continues to develop. Events like these and the ongoing work of the FSB and OECD are critical to deepen our understanding of the potential uses of AI by financial institutions and to ensuring that our policy framework keeps pace with technological change. AI技術が発展し続ける中、政策立案者にとっては、現在も、そしてこれからも、さらに多くの疑問が投げかけられるに違いない。今回のようなイベントや、FSBやOECDが現在進めている作業は、金融機関によるAIの潜在的な利用について理解を深め、我々の政策枠組みが技術革新に遅れないようにするために極めて重要である。
Thank you. ありがとう。
1. See, e.g., Dynamic Customer Embeddings for Financial Service Applications [←] 1. 例えば、Dynamic Customer Embeddings for Financial Service Applications [←]を参照のこと。
2. See Chatbots in consumer finance | Consumer Financial Protection Bureau [←] 2. 消費者金融におけるチャットボット|消費者金融保護局[←]を参照のこと。
3. See e.g., MIT-UBS-generative-AI-report_FNL.pdf [←] 3. 例えば、MIT-UBS-generative-AI-report_FNL.pdf [←]を参照のこと。
4. See e.g., Marsh McLennan launches AI-powered solution to transform supply chain risk management [←] 4. 例えば、Marsh McLennan launches AI-powered solution to transform supply chain risk management [←] を参照のこと。
5. 2023 IIF-EY Survey Report on AI_ML Use in Financial Services - Public Report - Final.pdf [←] 5. 2023 IIF-EY 金融サービスにおけるAI_ML利用に関する調査報告書 - 公開報告書 - Final.pdf [←] を参照のこと。
6. See Reducing Reliance on Credit Ratings - Financial Stability Board [←] 6. 信用格付けへの依存を減らす-金融安定理事会【←】を参照のこと。
7. See Managing Artificial Intelligence-Specific Cybersecurity Risks in the Financial Services Sector [←] 7. 金融サービスセクターにおける人工知能特有のサイバーセキュリティリスクのマネジメント [←] を参照。
8. See Assessing the Impact of New Entrant Non-bank Firms on Competition in Consumer Finance Markets [←] 8. 消費者金融市場における新規参入ノンバンクの競争へのアセスメント [←] を参照。
9. Managing Artificial Intelligence-Specific Cybersecurity Risks in the Financial Services Sector [←] 9. 金融サービスセクターにおける人工知能特有のサイバーセキュリティ・リスクのマネジメント [←] を参照。

 

| | Comments (0)

2024.07.15

SECのルールの改正によるサイバーセキュリティ開示 (20-F) 三井住友ファイナンシャル、ORIX、みずほファイナンシャル、野村、タケダ、ソニー、トヨタ、ホンダの場合

こんにちは、丸山満彦です。

2023.07.26にSECのルールが改正され、Cybersecurityについての開示が強化され、2023.12.15以後に終了する事業年度から、その開示が求められることになりましたが、それから半年以上がすぎ、Form20-Fに記載されている事例もたくさんありますので、ちょっと紹介...

20-FのItem 16K. Cybersecurity

Risk Management and Strategyとして、サイバーセキュリティの脅威から生じる重要性のあるリスクの評価、特定、管理についてのプロセスがある場合には、

  • そのプロセスが、全体的リスク管理システムまたはプロセスに統合されているか、またどのように統合されているか
  • そのプロセスに関連して、評価者、コンサルタント、監査人またはその他の第三者を従事させているか
  • 第三者の利用に関連するサイバーセキュリティの脅威から生じるリスクを監視および特定するプロセスを有しているか

を記載することになります。

また、過去のサイバーセキュリティインシデントの結果を含むサイバーセキュリティの脅威から生じるリスクが、その企業の事業戦略、業績、財務状況を含め、重要な影響を与えたか、重要な影響を与える可能性が合理的に高いかどうか、どのように影響を与えた(または、与える可能性が合理的に高いか)を記載する必要があります。。。

そして、

Governanceとして、サイバーセキュリティリスクについての取締役会の監督、経営者の役割についての記載が必要となります。

取締役会としての監督については、

  • サイバーセキュリティの脅威から生じるリスクの監督に責任を負う、取締役委員会または小委員会の特定
  • そのようなリスクについて取締役会または委員会が情報提供を受けるプロセス

経営者としての役割としては、

  • 経営委員会または役職がそのようなリスクの評価や管理の責任を負うか、責任を負う場合には
    • どの経営委員会又は役職が負うのか、
    • その担当者や委員が有する関連する専門知識
  • その担当者または委員会がサイバーセキュリティインシデントの防止、検出、軽減、是正についての情報を提供され、監視を行うプロセス
  • その担当者または委員会は、当該リスクに関する情報を取締役会または取締役会内の委員会や小委員会に報告するか

● SECURITIES AND EXCHANGE COMMISSION - EDGAR

1_20240714072701

 

開示内容...

 

・三井住友ファイナンシャル

・2024.06.27 20-F (Annual report - foreign issuer)

Item 16K. Cybersecurity 項目16K サイバーセキュリティ
The risk of cybersecurity threats is growing ever more serious as a result of the accelerated digitization of financial services and changes to the surrounding environment. We strengthen our security controls in order to achieve a society that is resilient to cybersecurity threats and provide more secure services to our customers. 金融サービスのデジタル化の加速や取り巻く環境の変化に伴い、サイバーセキュリティの脅威のリスクはますます深刻化している。サイバーセキュリティの脅威に強い社会を実現し、お客さまにより安全なサービスを提供するため、セキュリティ管理を強化している。
SMFG and some of our group companies have established a “Declaration of Cybersecurity Management.” This declaration indicates that we acknowledge cybersecurity as a key management issue, and expresses a commitment to enhancing the security posture not just within our organization, but across society as a whole. Under this declaration, we promote the strengthening of cybersecurity controls led by management in order to counter the increasing severity and sophistication of cyber threats. SMFGおよび一部のグループ会社では、"サイバーセキュリティ経営宣言 "を制定している。この宣言は、サイバーセキュリティを重要な経営課題として認識し、組織内のみならず社会全体のセキュリティ態勢を強化していくことを表明するものである。この宣言のもと、深刻化・巧妙化するサイバー脅威に対抗するため、経営主導によるサイバーセキュリティ管理の強化を推進している。
Risk Management and Strategy リスクマネジメントと戦略
We define cybersecurity threats as one of the top risks for our group. Under the concept of “three lines of defense,” we have integrated cybersecurity risk management, which assesses, identifies, and manages material risks from cybersecurity threats, into a company-wide framework and have established a structure with over 600 personnel. Cybersecurity risk management forms part of our cybersecurity operational plan, which is subject to approval by the Management Committee. 私たちは、サイバーセキュリティの脅威を当社グループの最重要リスクのひとつと定義している。3つの防衛ライン」というコンセプトのもと、サイバーセキュリティの脅威による重大なリスクをアセスメントし、識別し、管理するサイバーセキュリティ・リスクマネジメントを全社的なフレームワークに統合し、600名を超える人員による体制を構築している。サイバーセキュリティ・リスクマネジメントは、当社のサイバーセキュリティ・オペレーション・プランの一部を構成し、マネジメント委員会の承認を得ている。
We periodically engage third-party consultants to conduct maturity assessments based on global cybersecurity frameworks to test our cybersecurity controls. Using our threat intelligence function, we collect information such as the latest cybersecurity threats, vulnerabilities and geopolitical developments, and leverage them to detect and prevent those cybersecurity threats. To deter attacks exploiting vulnerabilities, we regularly conduct vulnerability assessments using various tools and also conduct threat-led penetration testing by entrusting external vendors to penetrate actual systems and evaluate vulnerabilities. 定期的にサードパーティーのコンサルタントに依頼して、グローバルなサイバーセキュリティフレームワークに基づく成熟度アセスメントを実施し、当社のサイバーセキュリティ管理体制を検証してもらっている。脅威インテリジェンス機能により、最新のサイバーセキュリティ脅威、脆弱性、地政学的動向などの情報を収集し、それらを活用してサイバーセキュリティ脅威を検知・防止している。脆弱性を悪用した攻撃を抑止するため、各種ツールを用いた脆弱性アセスメントを定期的に実施するほか、外部ベンダーに実システムへの侵入を委託し、脆弱性を評価する脅威主導型のペネトレーションテストも実施している。
We have designed a multilayered cyber defense system that includes detection and interception of suspicious communications from the outside, as well as operation and monitoring of various security programs and systems, to protect against various cyberattacks such as unauthorized access and mass access attacks. We have established a Security Operation Center (“SOC”) with a 24-hour, 365-day monitoring function and locate SOCs in various regions. Through coordination among SOCs in each region, we further strengthen security monitoring on a group-wide basis. 外部からの不審な通信の検知・防御、各種セキュリティプログラムやシステムの運用・監視など、多層的なサイバー防御体制を構築し、不正アクセスや大量アクセス攻撃など、さまざまなサイバー攻撃から身を守っている。24時間365日の監視機能を持つセキュリティ・オペレーションセンター(SOC)を設置し、各地域にSOCを配置している。各地域のSOCが連携することで、グループ全体のセキュリティ監視をさらに強化している。
In terms of preparedness for cyber incidents, we established a Computer Security Incident Response Team (“CSIRT”) to prepare for any incidents and have set up a response system. The CSIRT actively collects cyber information on attackers’ methods and vulnerabilities from both inside and outside of our organization and shares them with external organizations such as government authorities in relevant nations and the Financial Services Information Sharing and Analysis Center (“FS-ISAC”) or other relevant organizations as necessary. In addition, we regularly participate in attack simulation exercises conducted by outside experts or the authorities to further strengthen our cyberattack response and resilience. We have established risk management processes including in relation to third parties such as outsourced vendors, and regularly monitor the actual situation. サイバーインシデントへの備えとしては、インシデントに備えてコンピュータ・セキュリティ・インシデント対応チーム(以下、CSIRT)を設置し、対応体制を整えている。CSIRTは、攻撃者の手口や脆弱性に関するサイバー情報を社内外から積極的に収集し、必要に応じて関連国の政府当局や金融サービス情報共有・分析センター(FS-ISAC)等の外部組織と共有している。さらに、外部の専門家や当局が実施する攻撃シミュレーション演習に定期的に参加し、サイバー攻撃への対応とレジリエンスをさらに強化している。外部委託先などのサードパーティとの関係も含め、リスクマネジメントプロセスを確立し、定期的に実態をモニタリングしている。
For the fiscal year ended March 31, 2024, there were no cybersecurity incidents that had a material impact on our results of operations or financial condition. 2024年3月期において、当社の経営成績および財政状態に重要な影響を及ぼすサイバーセキュリティインシデントは発生していない。
Governance ガバナンス
The Management Committee regularly discusses cybersecurity risk management in order to further strengthen our security posture based on our cybersecurity operational plan. 経営委員会では、サイバーセキュリティ運用計画に基づき、当社のセキュリティ態勢をさらに強化するため、サイバーセキュリティリスクマネジメントについて定期的に議論している。
In order to clarify the roles and responsibilities for promoting the effectiveness of security controls, the position of Group Chief Information Security Officer (“CISO”) has been assigned under the Group Chief Information Officer (“CIO”) and the Group Chief Risk Officer (“CRO”). The Group CISO is responsible for supervision and direction of controls to manage cybersecurity threats on a group-wide basis. The current Group CISO has been working in the systems sector for many years and has extensive experience in cybersecurity, technology risk management and information security. Group Vice CISOs and regional CISOs are stationed under the Group CISO to help secure cybersecurity controls. セキュリティ管理の有効性を推進するための役割と責任を明確にするため、グループ最高情報責任者(CIO)およびグループ最高リスク責任者(CRO)の下に、グループ最高情報セキュリティ責任者(CISO)の役職を配置している。グループCISOは、サイバーセキュリティの脅威をグループ全体で管理するための統制の監督と指導に責任を負う。現在のグループCISOは、システム部門に長年勤務しており、サイバーセキュリティ、技術リスクマネジメント、情報セキュリティの分野で豊富な経験を有している。グループCISOの下には、グループ副CISOおよび地域CISOが配置され、サイバーセキュリティ統制の確保を支援している。
Our directors, in their capacities serving on the full board of directors as well as on the risk committee and audit committee, obtain information and oversee the status of the cybersecurity risk management. Based on reports from the Group CIO regarding the status of cybersecurity risk management, the board supervises the cybersecurity operational plan and its implementation on risk management related to systems, including cybersecurity. The risk committee oversees the implementation of the cybersecurity operational plan on comprehensive risk management, which includes cybersecurity risk, based on regular reports from the Group CRO. The audit committee supervises the implementation status based on regular reports from the Group CISO on the status of cybersecurity controls. Additionally, members of our board of directors periodically receive reports on cybersecurity information including external threat trends and our cybersecurity control measures from the Group CISO. 当社の取締役は、取締役会全体ならびにリスク委員会および監査委員会の委員として、サイバーセキュリティ・リスクマネジメントに関する情報を入手し、その状況を監督している。取締役会は、グループCIOからのサイバーセキュリティリスクマネジメントの実施状況に関する報告に基づき、サイバーセキュリティを含むシステムに関するリスクマネジメントについて、サイバーセキュリティ運用計画およびその実施状況を監督している。リスク委員会は、グループCROからの定期的な報告に基づき、サイバーセキュリティ・リスクを含む包括的なリスクマネジメントに関するサイバーセキュリティ運用計画の実施状況を監督する。監査委員会は、グループCISOからのサイバーセキュリティ管理状況に関する定期的な報告に基づき、実施状況を監督する。さらに、取締役会のメンバーは、グループCISOから外部脅威の動向や当社のサイバーセキュリティ管理策を含むサイバーセキュリティ情報に関する報告を定期的に受けている。

 

 

・ORIX

・2024.06.27 20-F (Annual report - foreign issuer)

Item 16K.Cybersecurity 項目16K.サイバーセキュリティ
(1) Risk management and strategy (1) リスクマネジメンと戦略
Our Information Security Control Department reports to and manages cyber and information security risks to the Information Technology Management Committee. 当社の情報セキュリティ管理部は、サイバーセキュリティおよび情報セキュリティリスクを情報技術マネジメント委員会に報告し、管理している。
Our Information Security Control Department has established a cyber and information security awareness training program for our consolidated group companies. All employees of our consolidated group companies, including investee companies, and employees of outsourcing companies with access to our network are required to take online training at least once a year. These educational programs also include phishing e-mails simulations, which are conducted several times a year on an irregular basis. We also provide training through escalation and response simulations in the event of a cyber or information security incident. 当社の情報セキュリティ管理部は、当社連結グループ会社に対してサイバーセキュリティおよび情報セキュリティに関する意識向上およびトレーニングプログラムを策定している。投資先企業を含む連結グループ会社の全従業員、および当社のネットワークにアクセスできる業務委託先企業の従業員は、少なくとも年1回のオンライン研修の受講を義務付けられている。これらの教育プログラムには、フィッシングメールのシミュレーションも含まれており、年に数回、不定期に実施している。また、サイバーインシデントや情報セキュリティインシデントが発生した場合のエスカレーションや対応シミュレーションを通じた教育も行っている。
Each of our consolidated group companies is assigned an Information Security Accountable Owner, and cyber and information security knowledge and the Group’s security policies are shared with the companies on a quarterly basis to raise readiness levels across the ORIX Group. また、連結グループ各社に情報セキュリティ責任者を配置し、四半期ごとにサイバーセキュリティや情報セキュリティに関する知識やオリックスグループのセキュリティポリシーを共有することで、オリックスグループ全体のレベルアップを図っている。
In order to control cyber and information security risks we face through our interactions with and reliance on third parties, such as through our outsourcing activities and use of cloud services, we conduct regular security assessments of business partners and outsourcing vendors. In addition, we have a framework in place for the Information Security Control Department to evaluate the security risks of information systems and cloud services provided by business partners and outsourcing vendors. アウトソーシング活動やクラウドサービスの利用など、サードパーティとの交流や依存を通じて直面するサイバーセキュリティおよび情報セキュリティリスクをコントロールするため、ビジネスパートナーやアウトソーシングベンダーのセキュリティアセスメントを定期的に実施している。さらに、情報セキュリティ管理部が、ビジネスパートナーやアウトソーシングベンダーが提供する情報システムやクラウドサービスのセキュリティリスクを評価するための枠組みを用意している。
The Information Security Control Department is responsible for assessing and managing our cyber and information security risks and where necessary, engages third-party consultants for advice regarding specific areas where enhanced controls or in-depth analysis is required. 情報セキュリティ管理部は、当社のサイバーリスクおよび情報セキュリティリスクのアセスメントとマネジメントを担当し、必要に応じて、管理の強化や詳細な分析が必要な特定の分野に関して、サードパーティに助言を依頼している。
The ORIX Group has also established a framework to respond to cyber and information security incidents and to mitigate the risk of security breaches, system failures and information leaks, including cyber attacks and damage to information security systems. A system has been established to assess the impact on operations and the likelihood of secondary damage in the event of a cyber and information security incident caused by cyber attacks. The Information Security Control Department analyzes and investigates the incident and also works with the legal department and compliance department to minimize the impact of the incident and prevent secondary damage. Any serious incidents are reported to the Executive Officer in charge of the Information Security Control Department and appropriate action is taken under his/her direction. The current Executive Officer in charge of information security at ORIX has extensive knowledge of information technology and security, cultivated through his experience with system development, project management and security management in over two decades at various international companies prior to joining ORIX Corporation, including over a decade of experience in the financial business sector. また、オリックスグループは、サイバー攻撃や情報セキュリティシステムの破損などのセキュリティ侵害やシステム障害、情報漏えいなどのリスク低減のため、サイバーセキュリティおよび情報セキュリティインシデントへの対応体制を整備している。サイバー攻撃によるサイバー・インシデントや情報セキュリティ・インシデントが発生した場合、業務への影響や二次被害の可能性をアセスメントする体制を構築している。情報セキュリティ統括部は、インシデントの分析・調査を行うとともに、法務部門やコンプライアンス部門と連携し、インシデントによる影響を最小限に抑え、二次被害を防止する。重大なインシデントが発生した場合は、情報セキュリティ統括部担当執行役員に報告され、その指示のもと適切な処置がとられる。現執行役員(情報セキュリティ担当)は、オリックス(株)入社以前20年以上にわたり、さまざまな外資系企業でシステム開発、プロジェクトマネジメント、セキュリティマネジメントに携わり、その中で培った情報技術やセキュリティに関する豊富な知見を有している。
In the current fiscal year, we did not identify any cyber or information security incidents that have materially affected or are reasonably likely to materially affect our business activities, results of operations or financial condition. 当連結会計年度において、当社の事業活動、経営成績および財政状態に重要な影響を及ぼした、または及ぼすおそれがあると合理的に判断されるサイバーまたはインシデントは確認されていない。
(2) Governance (2)ガバナンス
The ORIX Group has established internal rules governing the structure, basic policies, management standards for information security, education, and audits in accordance with global standards for information security controls such as ISO and NIST. オリックスグループは、ISOやNISTなどの情報セキュリティ管理に関するグローバルスタンダードに準拠した体制、基本方針、情報セキュリティに関する管理標準、教育、監査などを定めた社内規程を制定している。
The Information Security Management Rules stipulate that strategies and policies regarding cyber and information security and its response policies for cyber and information security incidents, are to be discussed and determined at the Information Technology Committee, consisting of the Group CEO, CFO and other members. In addition, the response status of any cyber or information security incident is reported to the Audit Committee by the Executive Officer in charge of the Information Security Control Department to ensure appropriate information sharing. 情報セキュリティ管理規程」では、サイバーセキュリティおよび情報セキュリティに関する戦略・方針、ならびにサイバーセキュリティおよび情報セキュリティインシデントへの対応方針について、グループCEO、CFOなどで構成される「情報技術委員会」で審議・決定することを定めている。また、サイバー・セキュリティ、情報セキュリティインシデント発生時の対応状況は、情報セキュリティ統括部担当執行役員から監査委員会に報告され、適切な情報共有が図られている。
We have a system in place to determine the seriousness of cyber or information security incidents, report to the Disclosure Committee in a timely manner, as well as to disclose information on cyber security risks, strategies, and governance on a regular basis, in addition to the status of incident management. In addition to the management of incidents, we have also established a system that enables regular disclosure of cyber security risks, strategies, and governance. サイバーセキュリティまたは情報セキュリティインシデントの重大性を判断し、適時開示委員会に報告するとともに、インシデントマネジメントの状況に加え、サイバーセキュリティリスク、戦略、ガバナンスに関する情報を定期的に開示する体制を整備している。インシデントマネジメントに加え、サイバーセキュリティのリスク、戦略、ガバナンスについても定期的に開示できる体制を構築している。
We have also established company-wide security requirements with which all consolidated group companies must comply, such as keeping systems up to date through vulnerability management program and technical measures for network defense. We have also established internal rules for security log management that take into account physical and logical boundaries with external networks as well as information breaches caused by internal fraud. また、脆弱性管理プログラムによるシステムの最新状態の維持や、ネットワーク防御のための技術的対策など、連結グループ各社が遵守すべき全社的なセキュリティ要件を定めている。また、外部ネットワークとの物理的・論理的な境界や、内部不正による情報漏えいを考慮したセキュリティログ管理に関する社内ルールを制定している。

 

・みずほファイナンシャル

・2024.06.26 20-F (Annual report - foreign issuer)

ITEM 16K. Cybersecurity 項目16K サイバーセキュリティ
Cybersecurity Strategy サイバーセキュリティ戦略
Many of our systems are connected to our domestic and overseas locations, and the systems of our customers and various payment institutions, through a global network. In light of the growing sophistication and scope of cyber-attacks, we recognize cybersecurity as an important management issue and continuously promote cybersecurity measures under management leadership. 当行のシステムの多くは、グローバルなネットワークを通じて、国内外の拠点、顧客や各種決済機構のシステムに接続されている。サイバー攻撃の高度化・大規模化を踏まえ、サイバーセキュリティを重要な経営課題と認識し、経営陣主導のもと、継続的にサイバーセキュリティ対策を推進している。
We define cybersecurity risk as the risk that the group may incur tangible or intangible losses due to cybersecurity-related problems that occur at the group and/or at its clients, along with organizations, etc., that have a business relationship with the group, such as outside vendors and goods/services suppliers and view it as one of our top risks. Accordingly, we have established a system to centrally manage cybersecurity risk through the Risk Appetite Framework and the Comprehensive Risk Management Framework. サイバーセキュリティリスクとは、当社グループおよび取引先、ならびに外部業者や商品・サービスの仕入先など、当社グループと取引関係のある組織等で発生するサイバーセキュリティ上の問題により、当社グループが有形・無形の損失を被るリスクと定義し、当社グループの最重要リスクの一つとして捉えている。そのため、「リスクアペタイトフレームワーク」や「包括的リスクマネジメントフレームワーク」を通じて、サイバーセキュリティリスクを一元的に管理する体制を構築している。
Governance System ガバナンス体制
At Mizuho Financial Group, the Board of Directors deliberates and resolves fundamental issues related to cybersecurity risk management. The Board of Directors receives reports from the Group Chief Information Security Officer (“CISO”) *1 on cybersecurity risks that may have an impact on management policies and strategies, annual business plans, medium- to long-term business plans, etc., other cybersecurity risks that the Board of Directors should be aware of from a medium- to long-term perspective, and important matters such as the status of risk control. みずほフィナンシャルグループでは、取締役会において、サイバーセキュリティリスクマネジメントに関する基本的事項を審議・決議している。取締役会は、グループ最高情報セキュリティ責任者(CISO)※1より、経営方針・戦略、年度事業計画、中長期事業計画等に影響を及ぼす可能性のあるサイバーセキュリティリスク、その他取締役会が中長期的な観点から認識すべきサイバーセキュリティリスク、リスクコントロールの状況等の重要事項について報告を受ける。
The Risk Committee and the IT/Digital Transformation Committee *2, both of which are advisory bodies to the Board of Directors, each receive reports from the Group CRO on the status of comprehensive risk management and from the Group CISO on basic matters related to cybersecurity risk management, evaluate conformity with our basic management policies and the appropriateness of our cyber initiatives, and present recommendations or opinions to the Board of Directors. In addition, the independent third line in the three lines of defense *3 conducts audits on the initiatives of the first and second lines, and reports the results to the Operational Audit Committee, etc. 取締役会の諮問機関であるリスク委員会およびIT・デジタルトランスフォーメーション委員会※2は、それぞれグループCROから総合的なリスクマネジメントの状況について、グループCISOからサイバーセキュリティリスクマネジメントに関する基本的事項についての報告を受け、経営基本方針への適合性およびサイバー施策の適切性を評価し、取締役会に提言または意見を述べる。また、3つの防衛ライン※3のうち独立した第3のラインは、第1および第2のラインの取り組みについて監査を実施し、その結果を業務監査委員会等に報告している。
Under such supervision by the Board of Directors, the President and Chief Executive Officer oversees the cybersecurity risk management of Mizuho Financial Group, and the Group CISO, in accordance with the instructions of the Group CIO and the Group CRO, establishes measures for risk management through autonomous control activities by the first line, and monitoring, measurement, and evaluation by the second line of such autonomous control activities by the first line and give instructions to prevent cybersecurity risks that may arise from fraud or outsourcing, and to respond appropriately to cyber incidents. このような取締役会の監督のもと、代表執行役社長がみずほフィナンシャルグループのサイバーセキュリティリスクマネジメントを統括し、グループCIOおよびグループCROの指示に従い、グループCISOが、ファーストラインによる自律的な統制活動、およびファーストラインによる自律的な統制活動に対するセカンドラインによる監視・計測・評価を通じて、リスクマネジメントの方策を策定し、不正や外部委託に起因するサイバーセキュリティリスクの未然防止やサイバーインシデントへの適切な対応を指示する。
The Group CISO has been engaged in the IT and systems industry for more than 30 years and, with extensive knowledge and experience, is responsible for the planning and operation of cybersecurity risk management. グループCISOは、IT・システム業界に30年以上従事し、豊富な知識と経験を有しており、サイバーセキュリティリスクマネジメントの企画・運営を担っている。
Based on the instructions of the Group CISO, the Cybersecurity Management Department identifies possible cybersecurity risks to our business and systems, evaluates our preparedness, assesses risks identified by analyzing the location and magnitude of cybersecurity risks, and then reviews and formulates additional measures to strengthen risk control, such as preventive measures and reactive responses, and strengthens risk control and governance through reflection in business plans. サイバーセキュリティマネジメント部は、グループCISOの指示に基づき、当社の事業やシステムに起こりうるサイバーセキュリティリスクの洗い出し、備えの評価、サイバーセキュリティリスクの所在や大きさの分析により洗い出したリスクのアセスメントを行い、予防策や事後対応などリスクコントロール強化のための追加施策の検討・策定、事業計画への反映によるリスクコントロールやガバナンスの強化を図っている。
The Cybersecurity Management Department reports to the Group CISO on the status of cybersecurity risk management, and the Group CISO reports, and if applicable, submits proposals for deliberation, to the Management Committee via the IT Strategy Promotion Committee and to the Board of Directors, each on the status of our cybersecurity measures, etc., with the aim of developing and strengthening a system for ensuring cybersecurity. サイバーセキュリティマネジメント部は、サイバーセキュリティリスクの管理状況をグループCISOに報告し、グループCISOは、当社のサイバーセキュリティ対策の状況等について、IT戦略推進委員会を経由してマネジメント委員会に報告し、場合によっては取締役会に付議するなど、サイバーセキュリティを確保するための体制の整備・強化を図っている。
We have appointed a person in charge of cybersecurity and have established a communication system at group companies, to monitor the status of our cybersecurity measures and to quickly gather information when an incident occurs. サイバーセキュリティ担当者を設置し、グループ各社におけるコミュニケーション体制を確立することで、サイバーセキュリティ対策状況の把握やインシデント発生時の迅速な情報収集に努めている。
Initiatives for Cybersecurity Measures サイバーセキュリティ対策への取り組み
Based on the cybersecurity risks identified and assessed by the Cybersecurity Management Department, Mizuho Financial Group promotes cybersecurity risk management measures across the group, globally and in our supply chains. Specifically, the Mizuho-Cyber Incident Response Team *4 and other highly qualified professionals are deployed, and a 24-hour, 365-day a year monitoring system is in place using an integrated Security Operation Center *5, etc., while making full use of intelligence and advanced technologies in cooperation with external specialized agencies. みずほフィナンシャルグループでは、サイバーセキュリティマネジメント部が抽出・評価したサイバーセキュリティリスクに基づき、グループ全体、グローバル、サプライチェーンにおけるサイバーセキュリティリスクマネジメントを推進している。具体的には、「みずほ・サイバーインシデント対応チーム※4」をはじめとする優秀な専門家の配置、統合セキュリティ・オペレーションセンター※5等による24時間365日の監視体制を整備するとともに、外部専門機関と連携し、インテリジェンスや先端技術を駆使している。
Our systems have a virus analysis and a multi-layered defense mechanism, and we are working to strengthen our resilience by implementing Threat-Led Penetration Testing *6 to test the effectiveness of these technical measures and the effectiveness of the response process. システム面では、ウイルス分析や多層防御の仕組みを導入しており、これらの技術的防御策の有効性や対応プロセスの有効性を検証する「脅威主導型ペネトレーションテスト※6」を実施するなど、レジリエンスの強化に努めている。
We are also focusing on human resources development, such as conducting study groups for directors including outside directors, cybersecurity training for each executive layer, and phishing email training for all executives and employees at least once every six months. また、社外取締役を含む取締役を対象とした勉強会、各役員層を対象としたサイバーセキュリティ研修、全役職員を対象としたフィッシングメール研修を半年に1回以上実施するなど、人材育成にも注力している。
We confirm in advance and on a regular basis the security management preparedness, including responses in the event of a cyber-incident, of third parties such as cloud service providers that provide outsourcing and cloud services. When we receive reports of cyber-incidents from third parties, in addition to identifying and analyzing the impact on the group, we also strive to respond appropriately to risks when there is concern about the impact on the group. アウトソーシングやクラウドサービスを提供するクラウドサービス・プロバイダなどのサードパーティに対して、サイバーインシデント発生時の対応を含めたマネージド・セキュリティ・プロバイダーとしての心構えを事前かつ定期的に確認している。また、サードパーティからサイバーインシデントの報告を受けた際には、当社グループへの影響を識別・分析するとともに、当社グループへの影響が懸念されるリスクについては、適切な対応に努めている。
In order to evaluate the maturity of these cybersecurity measures, we refer to third party assessment by the Cybersecurity Assessment Tool of the Federal Financial Institutions Examination Council and the Cybersecurity Framework of the National Institute of Standards and Technology. これらのサイバーセキュリティ対策の成熟度を評価するために、連邦金融機関審査委員会のサイバーセキュリティアセスメントツールや国立標準技術研究所のサイバーセキュリティフレームワークによる第三者評価を参考にしている。
Impact and Response When a Cyber-Incident Occurs サイバーインシデント発生時の影響と対応
As a result of our enhanced cybersecurity measures, we are not aware of any past cyber-attacks that could have had a significant impact on investor decisions or could have materially affected our business operations, results of operations and financial condition. However, in the event of a cyber-attack due to a failure to strengthen cybersecurity measures, leaks or falsification of electronic data, suspension of business operations, information leaks, and unauthorized remittances may occur and cause inconvenience and disadvantage to our customers. In addition, our business operations, results of operations and financial condition may be materially affected by compensation for damages, administrative actions and damage to reputation. 当社のサイバーセキュリティ対策強化の結果、投資家の意思決定に重大な影響を与えたり、当社の事業運営、経営成績および財政状態に重大な影響を与えた可能性のあるサイバー攻撃を過去に認識したことはない。しかしながら、サイバーセキュリティ対策の不徹底によるサイバー攻撃等が発生した場合、電子データの漏洩・改ざん、業務の停止、情報漏洩、不正送金等が発生し、お客さまにご迷惑・ご不便をおかけする可能性がある。また、損害賠償、行政処分、信用毀損等により、当社の事業運営、経営成績及び財政状態に重大な影響を及ぼす可能性がある。
In the unlikely event that a cyber-incident is detected, or if it is determined on firm grounds that the likelihood of a cyber-incident occurring is very high, the Cybersecurity Management Department will report the cyber-incident to the Group CISO. The Group CISO reports to the Management Committee and the Board of Directors when particularly important incidents occur or are likely to occur. 万が一、サイバーインシデントが検知された場合、またはサイバーインシデントが発生する可能性が極めて高いと確たる根拠に基づいて判断された場合、サイバーセキュリティ管理部はグループCISOに報告する。グループCISOは、特に重要なインシデントが発生した場合、または発生する可能性が高い場合には、経営会議および取締役会に報告する。
Based on the instructions from the Group CISO, the Cybersecurity Management Department monitors the cause of the incident (including incidents for which the likelihood of occurrence is determined on firm grounds to be very high), the nature and extent of the damage or expected damage, supports the formulation of effective containment, eradication, and recovery measures, analyzes attack methods or expected attack methods based on cyber-incident information, and conducts incident response. サイバーセキュリティ統括部は、グループCISOの指示に基づき、インシデント(発生可能性が極めて高いと確たる根拠に基づいて判断されるものを含む)の発生原因、被害内容・程度、効果的な封じ込め・根絶・復旧策の策定支援、サイバーインシデント情報に基づく攻撃手法・予想される攻撃手法の分析、インシデント対応を行う。
Even after incident recovery, the Cybersecurity Management Department monitors changes that could lead to cyber-incidents in the group and promptly reports to the Group CISO when a breach of the threshold is identified. In addition, the Cybersecurity Management Department analyzes and evaluates the status of causes and risks, and implements necessary measures after consulting with the Group CISO on the response policy. インシデント復旧後も、サイバーセキュリティ統括部は、グループ内のサイバーインシデントにつながる可能性のある変化を監視し、閾値突破が確認された場合には、速やかにグループCISOに報告する。また、サイバーセキュリティマネジメント部は、原因やリスクの状況を分析・評価し、グループCISOと対応方針を協議の上、必要な対策を実施している。
*1 Chief Information Security Officer *1 最高情報セキュリティ責任者
*2 IT/Digital Transformation Committee (as described in “Item6.C. Board Practices”) *IT/Digital Transformation委員会(「項目6.C. 取締役会の実務」に記載)
*3 Three lines of defense (concept for defining and classifying organizational functions and responsibilities in risk management and compliance) *3 スリー・ライン・オブ・ディフェンス(リスクマネジメントとコンプライアンスにおける組織の機能と責任を定義・分類する考え方)
*4 Cyber Incident Response Team (incident response teams within the Cybersecurity Management Department that specialize in information security issues within the organization) *4 サイバーインシデント対応チーム(サイバーセキュリティ管理部内に設置された、組織内の情報セキュリティ問題に特化したインシデント対応チーム)
*5 Security Operation Center (a specialized team within the Cybersecurity Management Department that monitors and analyzes threats to information systems in organizations such as enterprises) *5 セキュリティ・オペレーション・センター(エンタープライズなど組織内の情報システムに対する脅威を監視・分析するサイバーセキュリティ管理部内の専門チーム)
*6 Threat-Led Penetration Testing (evaluation of systems and response processes by analyzing targeted threats and conducting attacks that mimic actual attacks) *6 Threat-Led Penetration Testing(標的型脅威を分析し、実際の攻撃を模倣した攻撃を実施することで、システムや対応プロセスを評価する。)

 

 

・野村ホールディングス

・2024.06.26 20-F (Annual report - foreign issuer)  

Item 16K.Cybersecurity 項目16K.サイバーセキュリティ
Risk Management and Strategy リスクマネジメント戦略
Nomura maintains a comprehensive cybersecurity strategy. Identifying, assessing and managing cybersecurity threats and risks are an integral component of Nomura’s Operational Risk Management (ORM) Framework. See Item 11. “Quantitative and Qualitative Disclosures about Market, Credit and Other Risk—Operational Risk Management Framework” for further information on the framework. 野村は包括的なサイバーセキュリティ戦略を維持している。サイバーセキュリティの脅威およびリスクの特定、アセスメント、管理は、野村のオペレーショナル・リスク・マネジメント(ORM)フレームワークの不可欠な要素である。項目11. 「市場リスク、信用リスクおよびその他のリスクに関する定量的・定性的開示-オペレーショナル・リスク・マネジメントの枠組み」を参照のこと。
Nomura has invested and is continuing to invest in its cybersecurity strategy to address fast-evolving and sophisticated cybersecurity threats while at the same time complying with extensive global, legal and regulatory expectations. Our cybersecurity programs are designed to be in line with industry best practice standards and include core capabilities such as Security Governance, Security Awareness and Training, Threat Intelligence & Management, Security Operations Management, Vulnerability Management, Application Security, Data Security, and Identity and Access Management. 野村は、急速に進化する高度なサイバーセキュリティの脅威に対処すると同時に、グローバルで広範な法律や規制の期待に応えるため、サイバーセキュリティ戦略に投資しており、現在も投資を継続している。野村のサイバーセキュリティ・プログラムは、業界のベストプラクティスの標準に沿うように設計されており、セキュリティ・ガバナンス、セキュリティ意識向上およびトレーニング、脅威インテリジェンスおよび管理、セキュリティ・オペレーション・マネジメント、脆弱性管理、アプリケーション・セキュリティ、データ・セキュリティ、アイデンティティおよびアクセス・マネジメントなどの中核的な機能を備えている。
Nomura is regularly engaging various external service providers to perform independent assessments of our cybersecurity programs and controls. The results from these independent engagements are integrated into updates to our cybersecurity strategy as appropriate. We also conduct our own regular internal security assessments, such as penetration testing, vulnerability scanning, red teaming, and tabletop cyber attack simulations. 野村は、さまざまな外部サービス・プロバイダと定期的に契約し、サイバーセキュリティ・プログラムと統制の第三者評価を行っている。これらの第三者評価の結果は、適宜サイバーセキュリティ戦略の更新に反映される。また、侵入テスト、脆弱性スキャン、レッドチーム、机上でのサイバー攻撃シミュレーションなどの内部セキュリティ・アセスメントも定期的に実施している。
Nomura has developed a Third-Party Security Risk Management program that monitors and assesses the cybersecurity controls of our third-party vendors, which include, among others, service providers, SaaS providers, contractors, consultants, suppliers, etc. This program provides a consistent, controlled, cross-divisional approach to managing the services provided by third-party vendors. We perform various risk identification activities including security questionnaires, threat intel reports, SOC2 Type 2 attestation, and onsite reviews for critical suppliers. We also perform periodic reassessment of existing critical vendors. Security risks and exceptions observed are monitored per our global Operational Risk Management framework. 野村は、サードパーティ・セキュリティ・リスク管理プログラムを策定し、サービスプロバイダー、SaaSプロバイダー、請負業者、コンサルタント、サプライヤーなどのサードパーティ・ベンダーのサイバーセキュリティ管理体制を監視・アセスメントしている。このプログラムは、サードパーティ・ベンダーが提供するサービスを管理するための、一貫性のある管理された部門横断的なアプローチを提供する。セキュリティ・アンケート、脅威情報レポート、SOC2タイプ2認証、重要なサプライヤーのオンサイト・レビューなど、さまざまなリスク識別活動を行っている。また、既存の重要ベンダーの定期的な再評価も実施している。観察されたセキュリティリスクおよび例外は、当社のグローバルなオペレーショナルリスクマネジメントの枠組みに従って監視される。
During the fiscal year ended March 31, 2024, we did not identify any risks from cybersecurity threats, including as a result of previously identified cybersecurity incidents that have materially affected or are reasonably likely to materially affect our business strategy, results of operations or financial condition. However, there is no guarantee that our business strategy, results of operations and financial condition will not be materially affected by a future cybersecurity incident, and we cannot provide assurances that we have not had occurrences of undetected cybersecurity incidents. See Item 3.D “ Risk Factors ” for further information on our cybersecurity-related risks. 2024年3月31日に終了した事業年度において、過去に確認されたサイバーセキュリティインシデントの結果も含め、当社の事業戦略、経営成績または財政状態に重大な影響を与えた、または与える可能性が合理的に高いサイバーセキュリティの脅威によるリスクは確認されなかった。しかしながら、当社の事業戦略、経営成績および財政状態が将来のサイバーセキュリティインシデントによって重大な影響を受けないという保証はなく、また、未検出のサイバーセキュリティインシデントが発生していないという保証を提供することはできない。サイバーセキュリティ関連のリスクに関する詳細については、項目3.D「リスク要因」を参照のこと。
Cybersecurity Risk Governance サイバーセキュリティ・リスクのガバナンス
Nomura’s cybersecurity strategy and programs are managed by senior officers: the Group Chief Information Officer (“CIO”), who is supported by the Group Chief Information Security Officer (“CISO”) and the Group Chief Data Officer (“CDO”). 野村のサイバーセキュリティ戦略およびプログラムは、グループ・チーフ・インフォメーション・オフィサー(以下「CIO」)、グループ・チーフ・インフォメーション・セキュリティ・オフィサー(以下「CISO」)、グループ・チーフ・データ・オフィサー(以下「CDO」)というシニア・オフィサーによって管理されている。
These senior officers have extensive experience in technology, cybersecurity, information security, and data protection and privacy. The CIO has over 35 years of experience in various engineering, IT, Operations and information security roles. The CISO has over 20 years of experience leading cybersecurity teams at financial institutions, including in the areas of security engineering, risk and control management, data privacy, information security, and cybersecurity. The CDO has over 25 years of experience in data and analytics-led business transformation. これらの上級役員は、テクノロジー、サイバーセキュリティ、情報セキュリティ、データ・プライバシーの分野で豊富な経験を有している。CIOは、様々なエンジニアリング、IT、オペレーション、情報セキュリティの職務において35年以上の経験を有する。CISOは、セキュリティ・エンジニアリング、リスク・マネジメント、データ・プライバシー、情報セキュリティ、サイバーセキュリティの分野を含め、金融機関におけるサイバーセキュリティ・チームのリーダーとして20年以上の経験がある。CDOは、データとアナリティクス主導のビジネス変革において25年以上の経験を有する。
Our Board of Directors (“BoD”) has overall responsibility for risk management, with its committees assisting the BoD in performing this function based on their respective areas of expertise. Our BoD delegates its authority to execute business to the Executive Officers led by Group CEO to the extent permitted by law. Among the matters delegated to the Executive Officers by the BoD, the most important matters of business are decided upon deliberation by the Executive Management Board (“EMB”) which consists of the Executive Officers. The EMB delegates responsibility for deliberation of matters concerning risk management including cybersecurity risks to the Group Risk Management Committee (“GRMC”). The CIO is an observer of the EMB and the GRMC, and provides cybersecurity updates to the EMB and the GRMC. 当社の取締役会(以下「取締役会」)はリスクマネジメントの全体的な責任を負っており、取締役会を補佐する委員会がそれぞれの専門分野に基づいてこの機能を遂行している。取締役会は、法律で認められている範囲内で、グループCEO率いる執行役に業務執行権限を委譲している。取締役会から執行役に委任された事項のうち、最も重要な業務執行事項については、執行役で構成される執行役会(以下「EMB」という。EMBは、サイバーセキュリティリスクを含むリスクマネジメントに関する事項の審議をグループリスクマネジメント委員会(GRMC)に委任している。CIOはEMBおよびGRMCのオブザーバーであり、サイバーセキュリティに関する最新情報をEMBおよびGRMCに提供する。
The GRMC, based on a delegation from the EMB, meets regularly and reports on its activities and findings to the EMB. These meetings cover critical security topics such as resources and budget in cybersecurity risk mitigation and governance, cybersecurity risks, as well as security incidents and cyber tabletop simulations. In addition to these regular reporting activities to the GRMC, the EMB, and the BoD, potentially material cybersecurity events will be escalated to the same management bodies as well as key stakeholders according to Nomura’s security incident response process including crisis management perspectives. GRMCはEMBからの委任に基づいて定期的に会合を開き、その活動と調査結果をEMBに報告する。これらの会議では、サイバーセキュリティリスクの軽減やガバナンスにおけるリソースや予算、サイバーセキュリティリスクのほか、セキュリティインシデントやサイバー机上シミュレーションなど、重要なセキュリティトピックを取り上げている。GRMC、EMB、取締役会への定期的な報告活動に加え、サイバーセキュリティに関する潜在的に重要な事象は、危機管理の観点を含む野村のセキュリティ・インシデント対応プロセスに従って、同じ経営団体や主要なステークホルダーにエスカレーションされる。

 

・ダケダ

・2024.06.26 20-F (Annual report - foreign issuer)

Item 16K. Cybersecurity 項目16K サイバーセキュリティ
Risk management and strategy リスクマネジメント戦略
Cybersecurity Risk Management Framework サイバーセキュリティ・リスクマネジメントの枠組み
Takeda maintains a cybersecurity controls framework designed to identify, protect from, detect, respond to and recover from cybersecurity threats consistent with the U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) Cybersecurity Framework. Preventive control measures are deployed across Takeda’s application, cloud, end-user device, networking and manufacturing infrastructure. Takeda’s Chief Information Security Officer (“CISO”) oversees our cybersecurity risk management framework, reporting to the Chief Data and Technology Officer (“CDTO”). Our CISO has over 30 years of experience in information technology, including more than 10 years serving in a CISO capacity at companies in various industries, including pharmaceuticals. タケダは、米国商務省の国立標準技術研究所(NIST)のサイバーセキュリティフレームワークに準拠し、サイバーセキュリティの脅威を特定、防御、検知、対応、回復するためのサイバーセキュリティ管理体制を維持している。予防的管理策は、タケダのアプリケーション、クラウド、エンドユーザーデバイス、ネットワーク、製造事業者のインフラ全体に展開されている。タケダのチーフ・インフォメーション・セキュリティ・オフィサー(CISO)は、チーフ・データ・アンド・テクノロジー・オフィサー(CDTO)に報告し、タケダのサイバーセキュリティ・リスクマネジメントの枠組みを監督している。当社のCISOは、製薬を含む様々な業種の企業で10年以上CISOを務めるなど、情報技術分野で30年以上の経験を有している。
Experienced and trained cyber risk professionals in the Cybersecurity & Risk team (“TCR”) within Takeda’s global data, digital & technology function (“DD&T”), many of whom hold certifications from established cybersecurity organizations, are responsible for identifying and managing cybersecurity risks from various sources, including proactive control evaluations, reporting by Takeda personnel, third-party security assessments, penetration testing, threat modeling, and vulnerability scanning of information systems. Takeda’s internal audit function performs periodic assessments on our cybersecurity controls framework. Third-party security assessments are performed during the vendor selection process or when significant changes are made to a vendor relationship, with each vendor assigned a residual risk rating which determines the frequency of re-assessment. Our commercial agreements typically include contractual provisions to ensure third-party vendors meet Takeda’s standards for data protection. タケダのグローバルデータ・デジタル・テクノロジー部門(以下、「DD&T」)内のサイバーセキュリティ&リスクチーム(以下、「TCR」)の経験豊富で訓練を受けたサイバーリスクの専門家は、その多くが確立されたサイバーセキュリティ組織の認定資格を有しており、プロアクティブな制御評価、タケダの職員による報告、サードパーティによるセキュリティ評価、侵入テスト、脅威モデル、情報システムの脆弱性スキャンなど、様々な情報源からサイバーセキュリティ・リスクを特定し、マネジメントする責任を負っている。タケダの内部監査機能は、タケダのサイバーセキュリティ管理体制について定期的なアセスメントを実施している。サードパーティによるセキュリティアセスメントは、ベンダーの選定プロセス中、またはベンダーとの関係に重要な変更があった場合に実施され、各ベンダーには、再評価の頻度を決定する残余リスク評価が割り当てられている。当社の商業契約には通常、サードパーティがタケダのデータ保護標準を満たすことを保証する契約条項が含まれている。
TCR risk professionals assess identified risks for their perceived severity of impact on Takeda and likelihood of occurrence, and design and implement appropriate responsive measures in collaboration with relevant business units. TCR provides to the CISO on a monthly basis, and to other members of DD&T senior management on a quarterly basis, operational reports regarding the number and nature of cyber incidents detected and the status of controls and program enhancements. Cybersecurity risk management is integrated into Takeda’s Enterprise Risk Management (“ERM”) program and addressed as a principal risk in our annual Enterprise Risk Assessment, which is reported to the RECC and the Board of Directors, each of which is responsible for approving the reported risks and associated mitigation plans, as well as assessing the effectiveness of the mitigation. In addition, all Takeda employees receive online training on cyber threats as well as periodic e-mail reminders about best practices to safeguard from those threats. TCRのリスク専門家は、特定されたリスクについて、タケダへの影響の重大性と発生の可能性を評価し、関連する事業部門と協力して適切な対応策を立案・実施する。TCRは、月次でCISOに、四半期ごとにDD&T上級管理職の他のメンバーに、検知されたサイバーインシデントの件数と性質、管理およびプログラムの強化状況に関する業務報告書を提供している。サイバーセキュリティリスクマネジメントは、タケダのエンタープライズリスクマネジメント(ERM)プログラムに組み込まれ、年次エンタープライズリスクアセスメントにおいて主要リスクとして取り上げられている。さらに、タケダの全従業員は、サイバー脅威に関するオンライントレーニングを受けるとともに、これらの脅威から身を守るためのベストプラクティスについて、定期的に電子メールによる注意喚起を受けている。
Cybersecurity Incident Response サイバーセキュリティインシデント対応
The TCR team has established an incident response procedure that governs our response to cybersecurity events and regularly conducts tabletop incident response exercises during the year. In the event a potential cybersecurity incident is detected, TCR’s core Information Security Incident Response Team (“ISIRT”) is responsible for investigation, analysis, containment and eradication of the threat, as well as recovery efforts, in coordination with other functions, such as Takeda’s Privacy Office, Human Resources, Crisis Management, Compliance and Legal, as needed depending on the severity and scope of the incident. Following recovery from an incident, ISIRT analyzes the underlying cause of the incident to identify and, as applicable, implement potential improvements to internal controls. While Takeda’s cybersecurity risk management program is principally managed by TCR risk professionals, it does engage third parties on an as-needed basis, including with respect to technical consulting and third-party digital forensic or cyber recovery partners in connection with incident response activities. TCRチームは、サイバーセキュリティ事象への対応をガバナンスするインシデント対応手順を策定し、年間を通じて定期的に机上インシデント対応演習を実施している。サイバーセキュリティに関するインシデントの可能性が検知された場合、TCRの中核をなす情報セキュリティ・インシデント対応チーム(ISIRT)は、インシデントの深刻度や範囲に応じて、必要に応じてタケダのプライバシーオフィス、人事、危機管理、コンプライアンス、法務などの他の部門と連携しながら、脅威の調査、分析、封じ込め、根絶、および復旧作業に責任を負う。インシデントからの復旧後、ISIRTは、インシデントの根本的な原因を分析し、該当する場合には、内部統制の改善の可能性を特定し、実施する。タケダのサイバーセキュリティリスクマネジメントプログラムは、主にTCRのリスク専門家によって管理されているが、インシデント対応活動に関連して、技術コンサルティングやサードパーティデジタルフォレンジックまたはサイバーリカバリーパートナーなど、必要に応じてサードパーティを起用している。
Cyber Incident Impacts サイバーインシデントによる影響
During the three fiscal years ended March 31, 2024, no risks from cybersecurity threats, including previous incidents, have materially affected or are reasonably likely to materially affect Takeda, including its business strategy, results of operations or financial condition. Notwithstanding our risk management efforts described above, we have been the target of cyberattacks and anticipate they will continue. Takeda cannot completely eliminate all risks associated with such attacks, which could have a material adverse effect on Takeda’s business strategy, results of operations or financial condition as further described in “Item 3.D. Risk Factors — Risks Relating to Our Business Strategies—We are increasingly dependent on information technology systems and our systems and infrastructure face the risk of misuse, theft, exposure, tampering or other intrusions”. 2024年3月31日に終了した3事業年度において、過去のインシデントを含め、サイバーセキュリティ上の脅威によるリスクは、タケダの事業戦略、経営成績または財政状態を含め、タケダに重大な影響を及ぼしたことはなく、また、及ぼす合理的な可能性もない。上記のようなリスクマネジメントの取り組みにもかかわらず、当社はサイバー攻撃の標的となっており、今後もサイバー攻撃は継続すると予想される。武田薬品は、このような攻撃に関連するすべてのリスクを完全に排除することはできず、「項目3.D. リスク要因-事業戦略に関するリスク-情報技術システムへの依存度が高まっており、当社のシステムおよびインフラは、誤用、盗難、エクスポージャー、改ざんまたはその他の侵入のリスクに直面している」に記載のとおり、当社の事業戦略、経営成績または財政状態に重要な悪影響を及ぼす可能性がある。
Governance ガバナンス
Takeda’s Board of Directors (the “Board”) is ultimately responsible for overseeing Takeda’s management of cybersecurity risk and provides strategic direction for Takeda’s information security program and responses to cybersecurity risks and incidents. Takeda’s CISO generally provides an annual update to the Board on the status of Takeda’s information security program, including significant developments, and the Board receives reports of any decisions by any of Takeda’s Business and Sustainability Committee, Portfolio Review Committee or Risk, Ethics and Compliance Committee (see “Item 6. Directors, Senior Management and Employees—C. Board Practices—Takeda Executive Team”) related to cybersecurity. In addition, the Board reviews and approves the Enterprise Risk Assessment, which includes significant cybersecurity risk matters, on an annual basis. On an as-needed basis, the Board is informed of, and provides strategic direction on, significant cybersecurity risks or incidents, if and when identified, by the CISO and CDTO. タケダの取締役会(以下「取締役会」という。)は、タケダのサイバーセキュリティリスクマネジメントを監督する最終的な責任を負っており、タケダの情報セキュリティプログラムおよびサイバーセキュリティリスクやインシデントへの対応について戦略的な方向性を示している。タケダのCISOは、通常、取締役会に対して、重要な進展を含むタケダの情報セキュリティプログラムの状況について、年次報告書を提出し、取締役会は、タケダの事業・持続可能性委員会、ポートフォリオ検討委員会またはリスク・エシックス・コンプライアンス委員会(「項目6.取締役、上級管理職および従業員-C.取締役会の慣行-タケダ・エグゼクティブ・チーム」を参照)。さらに、取締役会は、サイバーセキュリティリスクの重要事項を含むエンタープライズリスク アセスメントを毎年見直し、承認している。取締役会は、必要に応じて、CISOおよびCDTOから、重大なサイバーセキュリティリスクまたはインシデントが特定された場合、その内容について報告を受け、戦略的な指示を行う。
The Risk, Ethics & Compliance Committee (“RECC”) is the governing management committee responsible for overseeing risk management, including cybersecurity risk. The RECC is composed of the Takeda Executive Team, including Takeda’s CDTO and is chaired by Takeda’s Chief Ethics and Compliance Officer. In addition, Takeda’s CISO attends RECC meetings for relevant agenda items and generally provides an update to the RECC on the status of Takeda’s information security program, including significant developments, on at least annual basis. On an as-needed basis, DD&T senior management escalates decisions regarding significant cybersecurity risks to the RECC, which also reviews and approves Takeda’s annual Enterprise Risk Assessment before it is approved by the Board. For a description of the relevant expertise of the CISO and of management’s role and processes in assessing and managing material risks from cybersecurity threats, see “—Risk management and strategy—Cybersecurity Risk Management Framework.” リスク・エシックス・コンプライアンス委員会(RECC)は、サイバーセキュリティ・リスクを含むリスクマネジメントの監督に責任を負うガバナンス・マネジメント委員会である。RECCは、タケダのCDTOを含むタケダ・エグゼクティブ・チームで構成され、タケダの最高倫理・コンプライアンス責任者が委員長を務める。さらに、タケダのCISOは、関連する議題についてRECCの会合に出席し、通常、少なくとも年1回、重要な進展を含むタケダの情報セキュリティプログラムの状況についてRECCに最新情報を提供する。また、DD&Tの上級管理職は、必要に応じて、重要なサイバーセキュリティリスクに関する決定をRECCにエスカレーションし、RECCは、取締役会の承認を得る前に、タケダの年次エンタープライズリスクアセスメントを見直し、承認する。CISOの専門知識、およびサイバーセキュリティの脅威による重大なリスクの評価と管理における経営陣の役割とプロセスについては、「-リスクマネジメントと戦略-サイバーセキュリティ・リスクマネジメント・フレームワーク」を参照のこと。

 

・ソニー

・2024.06.25 20-F (Annual report - foreign issuer)

Item 16K. Cybersecurity 項目16K サイバーセキュリティ
Sony recognizes the importance of cybersecurity, both in achieving financial success for the company and in maintaining the trust of its stakeholders, which include shareholders, customers, employees, suppliers, and business partners. ソニーは、会社の経済的成功と、株主、顧客、従業員、サプライヤー、ビジネスパートナーなどのステークホルダーの信頼維持の両面で、サイバーセキュリティの重要性を認識している 。
Risk Management & Strategy リスクマネジメントと戦略
As part of Sony’s risk management framework, Sony maintains and continuously strives to enhance its information security program. This program covers the entire Sony Group and is implemented in accordance with policies and standards, which include cybersecurity risk management and governance frameworks, and guidance, developed by Sony and based on globally recognized industry best practices and standards. The policies define information security responsibilities within Sony and outline certain actions and procedures that officers and employees are required to follow, including with respect to the assessment and management of cybersecurity risks to Sony, including its systems and information. The policies, standards, and guidance are structured to help Sony respond effectively to the dynamically changing environment of cybersecurity threats, cybersecurity risks, technologies, laws, and regulations. Sony modifies its policies, standards, and guidance as needed to adjust to this changing environment. ソニーは、リスクマネジメントの一環として、情報セキュリティプログラムを維持し、継続的に強化している。このプログラムは、サイバーセキュリティリスクマネジメントやガバナンスの枠組み、ガイダンスなど、ソニーが開発し、グローバルに認められた業界のベストプラクティスや標準に基づくポリシーや標準に従って実施されている。これらの方針は、ソニーにおける情報セキュリティ責任を定義し、システムおよび情報を含むソニーのサイバーセキュリティリスクのアセスメントおよびマネジメントを含め、役員および従業員が従うべき一定の行動および手続きの概要を示している。これらの方針、標準、ガイダンスは、ダイナミックに変化するサイバーセキュリティ上の脅威、サイバーセキュリティ上のリスク、技術、法律、規制などの環境にソニーが効果的に対応できるように構成されています。ソニーは、このような環境の変化に適応するため、必要に応じて方針、標準、およびガイダンスを変更します。
If Sony’s cybersecurity risk management controls are overcome by a cyber attacker, Sony follows an incident response plan and escalation process as defined in the information security program. The response process includes an assessment of whether an incident may be material, and this assessment is adjusted as necessary as additional facts become known during the incident response. Any incident that is assessed as potentially material is escalated to Sony’s senior management and is reported to the two outside Directors in charge of information security on Sony Group Corporation’s Board of Directors (the “Board”). ソニーのサイバーセキュリティリスクマネジメントの統制がサイバー攻撃者に克服された場合、ソニーは情報セキュリティプログラムに定められたインシデント対応計画とエスカレーションプロセスに従う。この対応プロセスには、インシデントが重要であるかどうかのアセスメントが含まれ、このアセスメントは、インシデント対応中に追加的な事実が判明した場合、必要に応じて調整される。重要なインシデントである可能性があると評価されたインシデントは、ソニーの経営陣にエスカレーションされ、ソニーグループ株式会社の取締役会(以下「取締役会」)の情報セキュリティ担当社外取締役2名に報告される。
In the fiscal year ended March 31, 2024, Sony was the victim of several cyberattacks. None of these incidents was assessed to be material, nor did they materially affect Sony’s business strategy, the results of its operations, or its financial condition. However, there can be no guarantee that this will be the case with a future incident. For more information about risks Sony faces from cyberattacks, please refer to “Sony’s brand image, reputation and business may be harmed and Sony may be subject to legal claims if there is a breach or other compromise of Sony’s information security or that of its third-party service providers or business partners.” included in “Risk Factors” in “Item 3. Key Information.” 2024年度において、ソニーは複数のサイバー攻撃の被害にあった。これらのインシデントはいずれも重要性がなく、ソニーのビジネス戦略、経営成績、財政状態に重要な影響を及ぼすものではありませんでした。しかし、将来このようなインシデントが発生するという保証はありません。ソニーが直面するサイバー攻撃に関するリスクについては、「3.リスク要因」に記載されている「ソニーの情報セキュリティ、またはサードパーティやビジネス・パートナーの情報セキュリティが侵害された場合、ソニーのブランドイメージ、評判、ビジネスが損なわれ、法的責任を問われる可能性があります。重要な情報」の「リスク要因」に含まれている。
Sony has also established policies and processes to help identify and manage cybersecurity risks associated with third parties, including companies that provide services and products to Sony, and companies that hold Sony information or have electronic access to Sony systems or information. The policies and processes include assessment of the cybersecurity and privacy programs at certain third parties, the use of this risk information when making contracting decisions, and the use of contract language that includes cybersecurity and privacy requirements. また、ソニーは、サードパーティ(ソニーにサービスや製品を提供する会社、ソニーの情報を保有し、またはソニーのシステムや情報に電子的にアクセスできる会社を含みます。)に関連するサイバーセキュリティ・リスクを特定し管理するための方針およびプロセスを確立しています。この方針およびプロセスには、特定のサードパーティにおけるサイバーセキュリティおよびプライバシープログラムのアセスメント、契約上の意思決定を行う際のこのリスク情報の利用、サイバーセキュリティおよびプライバシーの要件を含む契約文言の使用などが含まれる。
Most of the information security program is implemented by Sony employees. Sony also engages the services of external providers to enhance and support its information security program, including leading cyber response specialists as may be needed, and consultants to evaluate and help improve organization, policies, and other aspects of the program. 情報セキュリティプログラムのほとんどは、ソニーの従業員によって実施されている。ソニーはまた、情報セキュリティプログラムを強化・支援するために、必要に応 じてサイバー対応の専門家や、組織・方針・その他の面を評価し改善を支援するコンサルタントを含む外部プロバイダのサービスを利用している。
Structure and Governance of Sony’s Information Security Program ソニーの情報セキュリティプログラムの構造とガバナンス
Sony’s information security program is under the responsibility of a Senior Executive, specifically, the Sony Group Chief Digital Officer (“CDO”), and the Sony Group Chief Information Security Officer (“CISO”), who reports to the CDO. ソ ニ ー の 情 報 セキュリティプ ログ ラム は 、ソ ニ ー グ ル ー プ チ ー フ デ ジ タ ル オ フィサー( 以 下「 CDO」)およびCDOの直轄組織であるソニーグループチーフインフォメー ションセキュリティオフィサー( 以 下「 CISO」)を中心とする経営陣の責任のもとに運営されている。
Under the leadership of the CDO and CISO, and supported by a global information security team that works across the entire Sony Group, Sony implements the cybersecurity risk management and governance frameworks that are described in its policies and standards. Each business segment of Sony has a senior information security leader, called an Executive Information Security Officer (“EISO”), who reports both to the CISO and to the senior management of the particular business unit. EISOs and their associated teams are responsible for ensuring implementation and operation of the information security program in a way that is tailored to each specific business unit, including as it relates to the assessment and management of cybersecurity risks. The CISO coordinates with the EISOs to monitor the proper implementation and compliance with Sony’s cybersecurity policies and standards. CDOとCISOのリーダーシップのもと、ソニーグループ全体で活動するグローバルな情報セキュリティチームの支援を受けながら、ソニーはポリシーと標準に記載されているサイバーセキュリティリスクマネジメントとガバナンスの枠組みを実施している。ソニーの各事業部門には、エグゼクティブ・インフォメーション・セキュリティ・オフィサー(「EISO」)と呼ばれる上級情報セキュリティ・リーダーがおり、CISOと特定の事業部門の経営陣の両方に報告を行う。EISOとその関連チームは、サイバーセキュリティリスクのアセスメントとマネジメントを含め、各事業部門に応じた情報セキュリティプログラムの実施と運用を確保する責任を負っている。CISOは、EISOと連携し、ソニーのサイバーセキュリティ方針および標準の適切な実施および遵守を監視する。
The current CDO has experience within Sony in launching and overseeing the development, technical operation, and business operations of large-scale network products and services, including overseeing implementation and operation of the information security program. The current CISO has more than 40 years of experience in cybersecurity. Before joining Sony, the CISO served as Deputy Chief Information Officer for Cybersecurity of the U.S. Department of Defense (the department’s equivalent of a CISO) and before that, as the Chief Information Assurance Executive at the Defense Information Systems Agency (DISA), an agency of the U.S. Department of Defense. 現職のCDOは、ソニーにおいて、情報セキュリティプログラムの実施および運用の監督を含む、大規模なネットワーク製品およびサービスの開発、技術的運用、および事業運営の立ち上げおよび監督に関する経験を有している。現CISOは、サイバーセキュリティにおいて40年以上の経験を有する。ソニー入社以前は、米国国防総省のサイバーセキュリティ担当副最高情報責任者(同省のCISOに相当)を務め、それ以前は、米国国防総省の一機関である防衛情報システム局(DISA)で最高情報保証責任者を務めていた。
To oversee the information security program, the Sony Group CEO and COO receive regular reports from the CDO, monthly reports from the CISO, additional reports as needed during the response to a cyber incident, and briefings from the CDO and CISO at various times during the year. The head of each Sony business segment also receives the monthly reports from the CDO and the CISO, as well as reports and briefings from the business segment EISO. 情報セキュリティプログラムを監督するため、ソニーグループのCEOとCOOは、CDOから定期的な報告を受け、CISOから月次報告を受け、サイバーインシデント対応時に必要に応じて追加報告を受け、CDOとCISOから年間を通じて様々なタイミングでブリーフィングを受けている。また、ソニーの各事業分野の責任者は、CDOおよびCISOからの月次報告、ならびに各事業分野のEISOからの報告および説明を受けている。
The Board oversees Sony’s information security efforts, including in the following ways: 取締役会は、以下の方法を含め、ソニーの情報セキュリティへの取り組みを監督している:
• Two outside Directors oversee Sony’s information security efforts, via monthly meetings and ad-hoc incident response communications with the CDO and CISO. Those meetings address, among other matters, significant cybersecurity incidents and Sony Group-level policies and key initiatives regarding cybersecurity. ・2名の社外取締役が、月1回の定例会議およびCDOおよびCISOとの臨時のインシデント対応コミュニケーションを通じて、ソニーの情報セキュリティの取り組みを監督している。これらの会議では、特に重要なサイバーセキュリティインシデント、サイバーセキュリティに関するソニーグループレベルの方針および主要な取り組みについて議論している。
- One of these two outside Directors has extensive experience in the development of large-scale information systems, including experience with management of the risks associated with cyberattacks. ・・社外取締役2名のうち1名は,サイバー攻撃に関連するリスクマネジメントの経験を含め,大規模情報システムの開発において豊富な経験を有している。
- The other outside Director serves simultaneously as the Chair of the Audit Committee. ・・もう一人の社外取締役は監査委員会の委員長を兼務している。
• The full Board receives reports from the outside Directors in charge of information security and briefings several times a year from the CDO and the CISO. The full Board also engages in discussion of these matters. ・取締役会全体は,情報セキュリティ担当の社外取締役から報告を受けるほか,CDOおよびCISOから年に数回説明を受ける。また,取締役会全体でもこれらの事項についての討議が行われる。

 

トヨタ

・2024.06.25 20-F (Annual report - foreign issuer)

ITEM 16K.CYBERSECURITY 項目16K.サイバーセキュリティ
Cybersecurity Risk Management and Strategy サイバーセキュリティのリスクマネジメントと戦略
The process at TMC for managing cybersecurity risks is integrated into the TGRS, a company-wide risk management framework based on ISO and COSO. For instance, based on the TGRS, TMC identifies cybersecurity risks, determines their degree of significance, and sets priorities to enable an effective response. For a further discussion of TMC’s company-wide risk management, see “Item 4. Information on TMC — 4.B. Business Overview — Climate Change-related Disclosures — Risk Management” in this annual report. TMCにおけるサイバーセキュリティ・リスクの管理プロセスは、ISOとCOSOに基づく全社的なリスクマネジメントの枠組みであるTGRSに統合されている。例えば、TGRSに基づき、TMCはサイバーセキュリティ・リスクを識別し、その重要度を判断し、効果的な対応を可能にするための優先順位を設定している。TMCの全社的リスクマネジメントの詳細については、「項目4.TMCに関する情報 - 4.B.事業概要 - 気候変動関連の開示 - リスクマネジメント」を参照のこと。
As part of TMC’s cybersecurity risk management process, TMC has a cybersecurity team established within the information systems field that gathers information concerning cybersecurity-related trends and case examples relating to other companies from third parties such as governmental security agencies, cybersecurity companies and software vendors, and monitors cyberattacks from external sources. In addition, by being a member of the Automotive Information Sharing & Analysis Center (Auto-ISAC) in Japan and the U.S., TMC is able to learn promptly about problematic events that occur within the industry and puts the information to use to improve and implement cybersecurity measures. Furthermore, TMC also actively collaborates with outside experts to gain outside knowledge and uses it to improve security. TMC also is a member of the Nippon Computer Security Incident Response Team (CSIRT) Association, which shares information about incidents, vulnerabilities, and signs of attacks, among member companies. TMCのサイバーセキュリティリスクマネジメントの一環として、情報システム分野にサイバーセキュリティチームを設置し、政府系セキュリティ機関、サイバーセキュリティ企業、ソフトウェアベンダーなどのサードパーティからサイバーセキュリティ関連の動向や他社事例に関する情報を収集し、外部からのサイバー攻撃を監視している。また、日米の自動車情報共有分析センター(Auto-ISAC)に加盟することで、業界内で発生した問題事象をいち早く把握し、サイバーセキュリティ対策の改善・実施に役立てている。さらに、外部の専門家とも積極的に連携し、外部の知見を得ることで、セキュリティの改善に役立てている。また、日本コンピュータ・セキュリティ・インシデント対応チーム(CSIRT)協議会にも加盟しており、インシデントや脆弱性、攻撃の兆候などの情報を会員企業間で共有している。
The team also shares information about security threats with Toyota’s overseas regional headquarters, which then share information within their own regions and implement countermeasures as necessary. Similarly, in the area of product security, the groups in charge of automotive security within the specialized team promotes automotive security initiatives throughout the entire automotive lifecycle in collaboration with the automotive development field, including product development with security-by-design and multi-layered protection in mind, in addition to compliance with international regulations and standards such as UNR155*1 and ISO/SAE 21434*2, and the collection and monitoring of threat and vulnerability information. 同チームは、トヨタの海外地域本部ともセキュリティ脅威に関する情報を共有し、海外地域本部は各地域で情報を共有し、必要に応じて対策を実施している。同様に、製品セキュリティの分野では、専門チーム内の自動車セキュリティ担当グループが、UNR155※1やISO/SAE 21434※2などの国際規制・規格への対応や、脅威・脆弱性情報の収集・監視に加え、セキュリティ・バイ・デザインや多層防御を考慮した製品開発など、自動車開発現場と連携しながら、自動車のライフサイクル全体を通じた自動車セキュリティへの取り組みを推進している。
 *1 Regulations concerning cybersecurity, which were adopted at the World Forum for the Harmonization of Vehicle Regulations (WP.29) in June 2020  *1 2020年6月の自動車規制調和世界フォーラム(WP.29)で採択されたサイバーセキュリティに関する規制。
 *2 International standards concerning cyber security of electrical/electronic systems of automobiles  *2 自動車の電気・電子システムのサイバーセキュリティに関する国際標準規格
TMC also provides information security training for all of TMC’s employees, including secondees and dispatched employees, such as through activities to raise awareness during “Information Security Reinforcement Months,” educational or warning information displayed at the startup of individuals’ personal computers, and unannounced training to test responses to targeted-attack-type emails. また、出向者や派遣社員を含む全社員を対象に、「情報セキュリティ強化月間」での意識向上活動や、パソコン起動時の啓発・注意喚起情報の表示、標的型攻撃メールへの対応をテストする抜き打ちトレーニングなど、情報セキュリティ教育を実施している。
In addition, third-party organizations with expertise in cybersecurity and risk management evaluate, based on such standards as those of the U.S National Institute of Standards and Technology Cybersecurity Framework (NIST CSF), NIST’s Special Publications (SP) Series, ISO and International Electrotechnical Commission (IEC), the condition of the management and technical aspects of TMC’s security measures for information technology, operational technology, products and other areas. TMC implements measures to address problems identified through these evaluations as needed, working to raise the level of security. また、米国国立標準技術研究所のサイバーセキュリティフレームワーク(NIST CSF)、NISTの特別刊行物(SP)シリーズ、ISO、国際電気標準会議(IEC)などの標準に基づき、サイバーセキュリティやリスクマネジメントに精通したサードパーティが、情報技術、運用技術、製品などのセキュリティ対策のマネジメントや技術的な状況を評価している。これらの評価を通じて特定された問題点については、必要に応じて対策を実施し、セキュリティレベルの向上に努めている。
TMC has an ongoing process in place to monitor known access routes to its systems, block potential threats, and evaluate incidents as they are identified. This process also applies to the systems of certain subsidiaries as well as certain third-party distributors, suppliers, and service providers. TMCは、システムへの既知のアクセス経路を監視し、潜在的な脅威をブロックし、インシデントが特定された場合に評価する継続的なプロセスを実施している。このプロセスは、特定の子会社のシステム、および特定のサードパーティーの頒布事業者、サプライヤー、サービスプロバイダーにも適用される。
TMC has issued the All Toyota Security Guidelines (“ATSG”), which are guidelines for identifying and mitigating cybersecurity risks, to TMC’s consolidated subsidiaries, as well as third party dealers and rental or leasing agencies in Japan, requesting them to conduct self-inspections covering more than 100 items and enhance cybersecurity measures. In addition, the cybersecurity team carries out on-site audits by visiting the subsidiaries and other entities that the ATSG applies to, to check responses to the ATSG and the status of implementation of physical security measures at each company. TMC has also requested TMC’s key suppliers to enhance their cybersecurity measures based on the guidelines that are equivalent to the ATSG. TMCは、サイバーセキュリティリスクを特定し、低減するためのガイドラインである「オールトヨタセキュリティガイドライン(ATSG)」をTMCの連結子会社、日本国内のサードパーティ販売会社、レンタル・リース会社に発行し、100項目以上に及ぶ自己点検の実施とサイバーセキュリティ対策の強化を要請している。また、サイバーセキュリティチームは、ATSGが適用される子会社等の事業体を訪問し、ATSGへの対応状況や各社の物理的セキュリティ対策の実施状況を確認する実地監査を実施している。また、TMCの主要取引先に対しても、ATSGと同等のガイドラインに基づくサイバーセキュリティ対策の強化を要請している。
No material cybersecurity incident has occurred to Toyota to date. In fiscal 2024, Toyota did not identify cybersecurity risks from cybersecurity threats, including as a result of past cybersecurity incidents, that are reasonably likely to materially affect Toyota, including its business strategy, results of operations, or financial condition. However, despite the capabilities, processes, and other security measures we employ that we believe are designed to assess, identify, and mitigate the risk of cybersecurity incidents, we may not be aware of all vulnerabilities or might not accurately assess the risks of incidents, and such preventative measures cannot provide absolute security and may not be sufficient in all circumstances or mitigate all potential risks. For a further discussion of risks that may materially affect Toyota if a cybersecurity threat materializes and other matters, see “Risk Factors” in this annual report. これまでトヨタにサイバーセキュリティに関する重大インシデントは発生していない。2024年度において、トヨタは、過去のサイバーセキュリティインシデントの結果も含め、トヨタの事業戦略、経営成績または財政状態を含むトヨタに重大な影響を及ぼす可能性が合理的に高いサイバーセキュリティ脅威によるサイバーセキュリティリスクを特定していない。しかしながら、サイバーセキュリティインシデントのリスクをアセスメントし、特定し、軽減するために設計されていると考える、当社が採用している能力、プロセス、およびその他のセキュリティ対策にもかかわらず、当社はすべての脆弱性を把握しているとは限らず、インシデントのリスクを正確に評価できない可能性があり、そのような予防的対策は絶対的なセキュリティを提供することはできず、すべての状況において十分であるとは限らず、すべての潜在的リスクを軽減できるとは限らない。サイバーセキュリティの脅威が顕在化した場合にトヨタ自動車に重大な影響を及ぼす可能性のあるリスク等の詳細については、本年次報告書の「リスク要因」を参照されたい。
Cybersecurity Governance サイバーセキュリティガバナンス
TMC considers cybersecurity risk to be a particularly important risk within its risk management framework and one of the areas of focus for its board of directors, audit & supervisory board, and management. As part of the company-wide risk management process, in addition to developing the TGRS described above, TMC has established a governance and risk subcommittee that includes members of the board of directors and audit & supervisory board, as well as the Chief Information & Security Officer (“CISO”) as a member in charge of cybersecurity. The subcommittee discusses cybersecurity as one of the company-wide risks. トヨタ自動車は、サイバーセキュリティリスクをリスクマネジメントの枠組みの中で特に重要なリスクと位置づけ、取締役会、監査役会、経営陣の注力分野の一つとしている。全社的なリスクマネジメントプロセスの一環として、上記のTGRSの策定に加え、取締役会および監査役会のメンバー、ならびにサイバーセキュリティ担当として最高情報セキュリティ責任者(CISO)を含むガバナンス・リスク小委員会を設置している。同部会では、サイバーセキュリティを全社的なリスクのひとつとして議論している。
TMC’s cybersecurity team is led by the CISO and reports serious cybersecurity risks or incidents to the board of directors and the audit & supervisory board as they arise. TMCのサイバーセキュリティ・チームはCISOが率い、重大なサイバーセキュリティ・リスクやインシデントが発生した場合には、取締役会および監査役会に報告する。
In addition, the members of the Information Security Management Meeting, which is held approximately four times a year, receives reports on and oversees the status of cybersecurity risks and incidents at TMC. This body, chaired by the CISO, is attended by responsible personnel assigned to each security area, such as confidential information management, information systems, and supply chain. Participants report and share information about security risks and the status of incidents. さらに、年4回程度開催される情報セキュリティ・マネジメント会議のメンバーは、TMCのサイバーセキュリティ・リスクやインシデントの状況について報告を受け、監督している。CISOが議長を務めるこの団体には、機密情報管理、情報システム、サプライチェーンなど、各セキュリティ分野の責任者が出席する。参加者は、セキュリティ・リスクやインシデントの状況について報告し、情報を共有する。
Of such information, material matters are reported by the CISO to the board of directors and audit & supervisory board through the CRO, who is responsible for overall risk management. こうした情報のうち、重要なものについては、CISOがリスクマネジメント全般の責任者であるCROを通じて取締役会および監査役会に報告する。
In addition to the meeting mentioned above, the cybersecurity team is in close contact with full-time audit & supervisory board members, providing regular reports and receiving and responding to their inquiries about the state of TMC’s approach to cybersecurity and incident trends in the world. 上記の会議に加えて、サイバーセキュリティ・チームは常勤の監査役と緊密に連絡を取り合っており、定期的に報告を行うほか、サイバーセキュリティに対するTMCの取り組み状況や世界のインシデント動向に関する問い合わせを受け、対応している。
TMC’s process for identifying, tracking and managing cybersecurity risks on a daily basis is primarily carried out by the cybersecurity team led by the CISO. TMCの日常的なサイバーセキュリティ・リスクの識別、追跡、マネジメントのプロセスは、主にCISO率いるサイバーセキュリティ・チームによって行われている。
The cybersecurity team consists of professionals with cybersecurity expertise. Among the members, the CISO has gained experience in the development of in-vehicle software and on-board devices since joining TMC and has insights into information technologies such as software and cloud services. The CISO also gained experience in the field of cybersecurity since 2016, whe n he became an officer of Toyota’s Connected Company, and thus has knowledge of and insights into cybersecurity. サイバーセキュリティ・チームは、サイバーセキュリティの専門知識を持つプロフェッショナルで構成されている。メンバーのうち、CISOはTMC入社以来、車載ソフトウェアや車載機器の開発で経験を積み、ソフトウェアやクラウドサービスなどの情報技術に関する見識を持っている。また、CISOはトヨタのコネクティッドカンパニーの役員に就任した2016年からサイバーセキュリティ分野の経験を積んでおり、サイバーセキュリティに関する知見や見識を持っている。
TMC has a process where cybersecurity incidents at TMC or TMC’s group companies or suppliers is reported to an appropriate cybersecurity team in a timely manner as it occurs and escalated to the CISO according to the severity of the incident. TMCは、TMCまたはTMCのグループ会社やサプライヤーでサイバーセキュリティに関するインシデントが発生した場合、タイムリーに適切なサイバーセキュリティチームに報告され、インシデントの重大性に応じてCISOにエスカレーションされるプロセスを有している。
In addition, TMC has the Toyota Motor Corporation-Security Incident Response Team (TMC-SIRT), a response team including members of management, and has established a system to take appropriate and prompt action to resolve incidents. The TMC-SIRT does not only respond to cybersecurity incidents at TMC, but also provides support for incidents at TMC’s subsidiaries in Japan and overseas and key suppliers in Japan as necessary to bring the situation under control. また、経営層を含む対応チーム「トヨタ自動車・セキュリティ・インシデント対応チーム(TMC-SIRT)」を設置し、インシデントの解決に向けて適切かつ迅速な対応を行う体制を構築している。TMC-SIRTは、TMCにおけるサイバーセキュリティインシデントへの対応だけでなく、TMCの国内外子会社や国内主要取引先におけるインシデントに対しても、必要に応じて事態収束に向けた支援を行っている。
The CISO is responsible for managing the cybersecurity risks and strategic processes described above, as well as overseeing the prevention, mitigation, detection, and remediation of cybersecurity incidents. CISOは、上記のサイバーセキュリティリスクと戦略プロセスのマネジメントに加え、サイバーセキュリティインシデントの予防、低減、検知、是正を監督する責任を負う。

 

ホンダ

・2024.06.20 20-F (Annual report - foreign issuer)

Item 16K. Cybersecurity 項目16K サイバーセキュリティ
Risk Management and Strategy リスクマネジメントと戦略
Honda has established a management system and standards for information system security in order to minimize the negative impact on its business and business results from the occurrence of cybersecurity incidents. Based on these standards, we have implemented security measures in both hardware and software aspects to strengthen the security of our information systems. To address security, including product security, we have established a cross-functional system across business and manufacturing systems, software, quality, and other areas. ホンダは、サイバーセキュリティインシデントの発生による事業および業績への悪影響を最小限に抑えるため、情報システムセキュリティに関する管理体制および標準を確立している。これらの標準に基づき、ハードウェアとソフトウェアの両面からセキュリティ対策を実施し、情報システムのセキュリティ強化を図っている。製品セキュリティを含むセキュリティ対策として、業務・製造システム、ソフトウェア、品質など横断的な体制を構築している。
We develop rules and procedures based on laws and regulations, formulate response flows, verify and implement measures for improvement through cybersecurity exercises, and develop human resources, among other things. We also utilize solutions for managing cybersecurity information and monitoring malicious activities to monitor and analyze cybersecurity threats and vulnerabilities, and in the event of a security incident related to a cyberattack with a significant impact on Honda, we establish a Global Emergency Headquarters under the supervision and monitoring of the Risk Management Officer, and the supervisory division in charge of risks from cybersecurity threats plays a central role in quickly ascertaining the actual situation and taking measures to minimize the impacts of cybersecurity incidents from a company-wide perspective. 法令に基づくルールや手順の整備、対応フローの策定、サイバーセキュリティ演習による改善策の検証・実施、人材育成などを行っている。また、サイバーセキュリティ情報管理ソリューションや悪質行為監視ソリューションを活用し、サイバーセキュリティ上の脅威や脆弱性を監視・分析するとともに、ホンダに重大な影響を及ぼすサイバー攻撃に関するセキュリティインシデントが発生した場合には、リスクマネジメント責任者の統括・監視のもと、グローバル緊急対策本部を設置し、サイバーセキュリティ上の脅威によるリスクを担当する統括部門が中心となって、全社的な観点から迅速な実態把握とサイバーセキュリティインシデントによる影響を最小限に抑えるための対策を講じている。
When implementing third-party packaged software and cloud services, we make decisions based on risk assessments following established security standards and conduct annual checks after implementation. In response to cyberattacks on production facilities and suppliers, we verify the status of security measures at both domestic and overseas production facilities and suppliers. Based on the results of these verifications, we take measures to strengthen security, such as supporting the introduction of solutions for managing cybersecurity incident information, and monitoring malicious activities. For such activities to strengthen security, we have concluded outsourcing agreements with security consulting companies and external specialists to receive support. サードパーティ製のパッケージソフトやクラウドサービスの導入に際しては、定められたセキュリティ標準に従ったリスクアセスメントに基づいて判断し、導入後も年1回のチェックを実施している。生産拠点やサプライヤーへのサイバー攻撃に対しては、国内外の生産拠点やサプライヤーのセキュリティ対策状況を検証している。検証結果に基づき、サイバーセキュリティインシデント情報管理ソリューションの導入支援や悪質な行為の監視など、セキュリティ強化策を講じている。こうしたセキュリティ強化のための活動については、セキュリティコンサルティング会社や外部の専門家と業務委託契約を締結し、支援を受けている。
With regard to personal information protection regulations and cybersecurity-related laws and regulations in various countries, in addition to current regulations, we collect and monitor information on regulatory trends that are expected to be enforced in the future. 各国の個人情報保護規制やサイバーセキュリティ関連法規制については、現行の規制に加えて、今後施行が予想される規制動向の情報収集・監視を行っている。
These comprehensive cybersecurity response processes are incorporated into Honda’s comprehensive risk management system and will be discussed in detail in the following “Governance” section. これらの包括的なサイバーセキュリティ対応プロセスは、ホンダの包括的なリスクマネジメントシステムに組み込まれており、詳細は以下の「ガバナンス」の項で説明する。
For a description of information security-related risks, including risks from cybersecurity threats, identified by Honda as of the filing date of this Annual Report, please refer to Item 3. “Key Information—D. Risk Factors—Information Security Risks”. 本アニュアルレポートの提出日現在、ホンダが認識しているサイバーセキュリティの脅威によるリスクを含む情報セキュリティ関連リスクについては、「3.「重要な情報-D.リスク要因-情報セキュリティリスク」を参照のこと。
Honda has been targeted by cyberattacks in the past; however, no risks from cybersecurity threats have been identified that have materially affected or are reasonably likely to materially affect us, including our business strategy, results of operations or financial condition, over the past three fiscal years, including the fiscal year that is the subject of this annual report. ホンダは過去にサイバー攻撃の標的にされたことがあるが、本アニュアルレポートの対象となっている事業年度を含む過去3事業年度において、当社の事業戦略、経営成績または財政状態を含む当社に重大な影響を与えた、または与える可能性が合理的に高いサイバーセキュリティの脅威によるリスクは確認されていない。
Governance ガバナンス
Based on the resolution of the Board of Directors, the Board of Directors has appointed the Director, Executive Vice President and Representative Executive Officer as the Risk Management Officer, who monitors and supervises the response status of significant risks, including risks from cybersecurity threats. 取締役会の決議に基づき、取締役副社長執行役員をリスクマネジメント担当執行役員に任命し、サイバーセキュリティ上の脅威によるリスクを含む重要なリスクへの対応状況を監視・監督している。
The Risk Management Committee, chaired by the Risk Management Officer, has been established to deliberate on important matters related to risk management, including risk from cybersecurity threats. Honda has established the Honda Global Risk Management Policy, which stipulates the Company’s basic policy for risk management, the collection of risk information, and the response system in the event of risk occurrence. サイバーセキュリティの脅威によるリスクを含むリスクマネジメントに関する重要事項を審議するため、リスクマネジメントオフィサーを委員長とするリスクマネジメント委員会を設置している。ホンダは、リスクマネジメントの基本方針、リスク情報の収集、リスク発生時の対応体制などを定めた「ホンダグローバルリスクマネジメント方針」を制定している。
In accordance with the aforementioned Policy, Honda has designated its cybersecurity supervisory divisions to conduct risk assessments and report the status of cybersecurity risk responses to the Risk Management Officer through the Risk Management Committee. The designated cybersecurity supervisory divisions consisted of 64 members as of the filing date of this Annual Report with practical experience in various roles related to information technology, including security, auditing, and systems are established in both the Quality Innovation Operations and Corporate Administration Operations divisions. The Risk Management Officer, who has knowledge and experience in overall risk management, receives technical support from the cybersecurity risk supervisory divisions, and monitors and supervises the responses to risks from cybersecurity threats. 同方針に基づき、サイバーセキュリティ統括部署を定め、リスクアセスメントを実施するとともに、サイバーセキュリティリスクへの対応状況をリスクマネジメント委員会を通じてリスクマネジメントオフィサーに報告している。サイバーセキュリティ統括部署は、本有価証券報告書提出日現在64名で構成され、セキュリティ、監査、システムなど情報技術に関する様々な職務の実務経験を有する者を、品質革新業務部門と経営管理業務部門の双方に設置している。また、リスクマネジメント全般の知識と経験を有するリスクマネジメントオフィサーが、サイバーセキュリティリスク統括部門から技術的な支援を受け、サイバーセキュリティの脅威によるリスクへの対応を監視・監督している。
In the event of a material cybersecurity incident, the cybersecurity risk supervisory divisions are to immediately report it to the Risk Management Officer. Upon receiving the report, the Risk Management Officer is to establish a Global Emergency Headquarters, which coordinate with relevant organizations affected by the incident in order to prevent and contain the crisis. Such response status is reported to the Board of Directors and the Executive Council as necessary based on the judgment of the Risk Management Officer. 重要なサイバーセキュリティインシデントが発生した場合、サイバーセキュリティリスク統括部門は直ちにリスクマネジメントオフィサーに報告する。報告を受けたリスクマネジメントオフィサーは、グローバル緊急対策本部を設置し、インシデントの影響を受ける関連組織と連携して、危機の予防と封じ込めを行う。こうした対応状況は、リスクマネジメント担当役員の判断に基づき、必要に応じて取締役会および経営会議に報告される。

 

今日現在で、MUFGは20-Fを見つけられませんでした...

Canonは昨年、NYSE上場を廃止すると発表していますね...昔は、(12月決算会社だったので)USGAAPで開示している日本企業のトップを切って開示をしていましたので、USGAAPの監査をする際には、キヤノン先生(^^)の開示を確認したりしていましたね...

あと、10年以上前に廃止していますけど、日立製作所の経理部門もレベルが高かったですよね...

Nasdaqといえば、IIJが上場していましたね...ここも廃止しましたけど...

 

今回紹介したところの2024年の20-Fと有価証券報告書...

2024 20-F 有価証券報告書
三井住友ファイナンシャルグループ
ORIX
みずほファイナンシャルグループ
三菱UFJファイナンシャルグループ  
野村ホールディングス
武田薬品工業
ソニーグループ
トヨタ自動車
本田技研工業

 

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.19 SECのルールの改正によるサイバーセキュリティ開示 (20-F) 阿里巴巴 (Alibaba)、捜狐 (SOHU)、網易 (NETEASE) の場合

・2024.07.15 SECのルールの改正によるサイバーセキュリティ開示 (20-F) ORIX、野村、タケダ、ソニー、トヨタ、ホンダの場合

・2024.07.14 SECのルールの改正によるサイバーセキュリティ開示 (10-K) IBM, Intel, Boeing, AMEX, Jonson & Johnson, Pfizer, Coca-Cola. McDonaldsの場合

・2024.06.02 米国 SEC ニューヨーク証券取引所を所有するインターコンチネンタル取引所をサイバー侵入をしていたのに通知しなかったいうことで1000万ドル(約16億円)の罰金を受け入れていますね... (2024.05.22)

・2023.11.08 米国 SEC ソーラーウィンズ社と最高情報セキュリティ責任者を詐欺と内部統制の不備で告発 (2023.10.30)

・2023.09.16 米国 カジノホテルグループのシーザーズがサイバー攻撃を受けて8-Kを公表していますね。。。

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

・2023.03.17 米国 SEC 米国証券市場のサイバーセキュリティリスクに対処するための新たな要件を市場関係者向けに提案

 

 

| | Comments (0)

2024.07.14

SECのルールの改正によるサイバーセキュリティ開示 (10-K) IBM, Intel, Boeing, AMEX, Jonson & Johnson, Pfizer, Coca-Cola. McDonaldsの場合

こんにちは、丸山満彦です。

2023.07.26にSECのルールが改正され、Cybersecurityについての開示が強化され、2023.12.15以後に終了する事業年度から、その開示が求められることになりましたが、それから半年以上がすぎ、Form10-Kに記載されている事例もたくさんありますので、ちょっと紹介...

10-KのItem 1C. Cybersecurity

Risk Management and Strategyとして、サイバーセキュリティの脅威から生じる重要性のあるリスクの評価、特定、管理についてのプロセスがある場合には、

  • そのプロセスが、全体的リスク管理システムまたはプロセスに統合されているか、またどのように統合されているか
  • そのプロセスに関連して、評価者、コンサルタント、監査人またはその他の第三者を従事させているか
  • 第三者の利用に関連するサイバーセキュリティの脅威から生じるリスクを監視および特定するプロセスを有しているか

を記載することになります。

また、過去のサイバーセキュリティインシデントの結果を含むサイバーセキュリティの脅威から生じるリスクが、その企業の事業戦略、業績、財務状況を含め、重要な影響を与えたか、重要な影響を与える可能性が合理的に高いかどうか、どのように影響を与えた(または、与える可能性が合理的に高いか)を記載する必要があります。。。

そして、

Governanceとして、サイバーセキュリティリスクについての取締役会の監督、経営者の役割についての記載が必要となります。

取締役会としての監督については、

  • サイバーセキュリティの脅威から生じるリスクの監督に責任を負う、取締役委員会または小委員会の特定
  • そのようなリスクについて取締役会または委員会が情報提供を受けるプロセス

経営者としての役割としては、

  • 経営委員会または役職がそのようなリスクの評価や管理の責任を負うか、責任を負う場合には
    • どの経営委員会又は役職が負うのか、
    • その担当者や委員が有する関連する専門知識
  • その担当者または委員会がサイバーセキュリティインシデントの防止、検出、軽減、是正についての情報を提供され、監視を行うプロセス
  • その担当者または委員会は、当該リスクに関する情報を取締役会または取締役会内の委員会や小委員会に報告するか

● SECURITIES AND EXCHANGE COMMISSION - EDGAR

1_20240714072701

 

開示内容...

 

・ INTERNATIONAL BUSINESS MACHINES CORP (IBM)

・2024.02.26 10-K (Annual report

Item 1C.Cybersecurity: 項目1C.サイバーセキュリティ
Risk Management and Strategy リスクマネジメントと戦略
Cybersecurity is a critical part of risk management at IBM and is integrated with the company’s overall enterprise risk management framework. The Board of Directors and the Audit Committee of the Board are responsible for overseeing management’s execution of cybersecurity risk management and for assessing IBM’s approach to risk management. Senior management is responsible for assessing and managing IBM’s exposure to cybersecurity risks on an ongoing basis. サイバーセキュリティは、IBM のリスクマネジメントの重要な一部であり、IBM のエンタープライズリスク管理フレームワーク全体と統合されている。取締役会および取締役会監査委員会は、経営陣によるサイバーセキュリティ・リスクマネジメントの実行を監督し、リスクマネジメントに対する IBM のアプローチを評価する責任を負う。上級経営陣は、IBM のサイバーセキュリティ・リスクへのエクスポージャーを継続的に評価し、管理する責任を負う。
From an enterprise perspective, we implement a multi-faceted risk management approach based on the National Institute of Standards and Technology Cybersecurity Framework. We have established policies and procedures that provide the foundation upon which IBM’s infrastructure and data are managed. We regularly assess and adjust our technical controls and methods to identify and mitigate emerging cybersecurity risks. We use a layered approach with overlapping controls to defend against cybersecurity attacks and threats on IBM networks, end-user devices, servers, applications, data, and cloud solutions. エンタープライズの観点から、当社は国立標準技術研究所サイバーセキュリティフレームワークに基づく多面的なリスクマネジメントを実施している。当社は、IBM のインフラとデータを管理する基盤となる方針と手順を確立している。私たちは、新たなサイバーセキュリティ・リスクを特定し、軽減するために、技術的なコントロールと方法を定期的にアセスメントし、調整している。当社は、IBM ネットワーク、エンドユーザー・デバイス、サーバー、アプリケーション、データ、およびクラウド・ソリューションに対するサイバーセキュリティ攻撃や脅威を防御するために、重層的な管理手法を使用している。
We draw heavily on our own commercial security solutions and services to manage and mitigate cybersecurity risks. IBM maintains a Security Operations Center (“SOC”) that monitors for threats to IBM’s networks and systems, utilizing threat intelligence provided by a range of sources, including the IBM Security X-Force Exchange platform, which maintains one of the largest compilations of threat intelligence in the world. We also rely on tools licensed from third party security vendors to monitor and manage cybersecurity risks. We periodically engage third parties to supplement and review our cybersecurity practices and provide relevant certifications. サイバーセキュリティ・リスクを管理・軽減するために、IBM は独自の商用セキュリティ・ソリューションとサービスを多用している。IBMは、IBMのネットワークとシステムに対する脅威を監視するセキュリティ・オペレーション・センター(「SOC」)を維持しており、世界最大級の脅威インテリジェンス集を維持するIBM Security X-Force Exchangeプラットフォームなど、さまざまなソースから提供される脅威インテリジェンスを活用している。また、サイバーセキュリティ・リスクを監視・管理するために、サードパーティのセキュリティ・ベンダーからライセンスを受けたツールにも依存している。サードパーティとは、当社のサイバーセキュリティの実践を補足・検証し、関連認証を提供するために定期的に契約している。
We have a global incident response process, managed by IBM’s Computer Security Incident Response Team (“CSIRT”), that relies primarily on internal expertise to respond to cybersecurity threats and attacks. We utilize a combination of online training, educational tools, videos and other awareness initiatives to foster a culture of security awareness and responsibility among our workforce, including responsibility for reporting suspicious activity. 当社は、IBM のコンピュータ・セキュリティ・インシデント対応チーム(「CSIRT」)が管理するグローバル・インシデント対応プロセスを持っており、サイバーセキュリティの脅威や攻撃に対応するために、主に社内の専門知識に依存している。IBM は、オンライン・トレーニング、教育ツール、ビデオ、およびその他の意識向上イニシアチブを組み合わせて活用し、不審な活動を報告する責任を含め、従業員の間でセキュリティに対する意識と責任の文化を醸成している。
IBM has a third party supplier risk management program to oversee and identify risks from cybersecurity threats associated with its use of third party service providers and vendors. Risks are assessed and prioritized based, among other things, on the type of offering/engagement, supplier assessments, threat intelligence, and industry practices. IBM は、サードパーティのサービスプロバイダーやベンダーの使用に関連するサイバーセキュリティの脅威によるリスクを監督し、特定するためのサードパーティサプライヤーリスク管理プログラムを有している。リスクは、提供/契約の種類、サプライヤーのアセスメント、脅威情報、および業界の慣行などに基づいて評価され、優先順位が付けられる。
As discussed in greater detail in Item 1A., "Risk Factors," the company faces numerous and evolving cybersecurity threats, including risks originating from intentional acts of criminal hackers, hacktivists, nation states and competitors; from intentional and unintentional acts or omissions of customers, contractors, business partners, vendors, employees and other third parties; and from errors in processes or technologies, as well as the risks associated with an increase in the number of customers, contractors, business partners, vendors, employees and other third parties working remotely. While the company continues to monitor for, identify, investigate, respond to and remediate cybersecurity risks, including incidents and vulnerabilities, there have not been any that have had a material adverse effect on the company, though there is no assurance that there will not be cybersecurity risks that will have a material adverse effect in the future. 項目1A「リスク要因」で詳述しているように、当社は、犯罪的ハッカー、ハクティビスト、国家、競合他社の意図的行為に起因するリスク、顧客、請負業者、ビジネス・パートナー、ベンダー、従業員、その他の第三者の意図的・非意図的な作為・不作為に起因するリスク、プロセスや技術のエラーに起因するリスク、さらにはリモートで作業する顧客、請負業者、ビジネス・パートナー、ベンダー、従業員、その他の第三者の増加に伴うリスクなど、数多くの進化するサイバーセキュリティの脅威に直面している。当社は、インシデントや脆弱性を含むサイバーセキュリティリスクの監視、特定、調査、対応、是正を継続しているが、当社に重大な悪影響を及ぼしたリスクは発生していない。
Governance ガバナンス
IBM’s Enterprise & Technology Security (“E&TS”) organization has oversight responsibility for the security of both IBM’s internal systems and external offerings and works across all of the organizations within the company to protect IBM, its brand, and its clients against cybersecurity risks. E&TS also addresses cybersecurity risks associated with third party suppliers. For these purposes, E&TS includes a dedicated Chief Information Security Officer (“CISO”) whose team is responsible for leading enterprise-wide information security strategy, policy, standards, architecture, and processes for IBM’s internal systems. The CISO manages the CSIRT. The CISO also manages the Product Security Incident Response Team (“PSIRT”), which focuses on product vulnerabilities potentially affecting the security of offerings sold to customers. IBM also has Business Information Security Officers (“BISO”) who coordinate with the Office of the CISO on security issues specific to particular business segments. IBMのエンタープライズ&テクノロジー・セキュリティ(以下「E&TS」)組織は、IBMの社内システムと社外提供物の両方のセキュリティに対する監督責任を有し、IBM、そのブランド、およびその顧客をサイバーセキュリティリスクから保護するために、社内のすべての組織にまたがって活動している。E&TS は、サードパーティ・サプライヤーに関連するサイバーセキュリティ・リスクにも対処している。これらの目的のために、E&TS には専任の最高情報セキュリティ責任者(「CISO」)が含まれ、そのチームは IBM の社内システムに関するエンタープライズ全体の情報セキュリティ戦略、ポリシー、標準、アーキテクチャ、およびプロセスを統率する責任を負う。CISOはCSIRTを管理する。CISOはまた、製品セキュリティインシデントレスポンスチーム(以下「PSIRT」)を管理し、顧客に販売される製品のセキュリティに影響を及ぼす可能性のある製品の脆弱性に焦点を当てている。IBMはまた、特定の事業セグメントに特有のセキュリティ問題についてCISOオフィスと調整するビジネス情報セキュリティ・オフィサー(「BISO」)も擁している。
The CSIRT team, together with the Office of the Chief Information Officer (“CIO”), Cyber Legal, Corporate Security, and BISOs, engages in on-going reviews of incidents, threat intelligence, detections, and vulnerabilities, including to assess client and regulatory impact. Events of interest are promptly reported to the Senior Vice President (“SVP”) for Legal & Regulatory Affairs and General Counsel (“GC”) and the SVP overseeing cybersecurity (“SVP Sponsor”). CSIRTチームは、最高情報責任者室(「CIO」)、サイバー法務部、コーポレート・セキュリティ部、およびBISOとともに、インシデント、脅威インテリジェンス、検知、および脆弱性の継続的なレビューに従事し、顧客および規制への影響の評価も行っている。関心のある事象は、法務・規制担当上級副社長(「SVP」)および法務顧問(「GC」)、サイバーセキュリティを監督するSVP(「SVPスポンサー」)に速やかに報告される。
Incidents are delegated to an appropriate incident response team for assessment, investigation, and remediation. Depending on the nature of the matter, the incident response team may include individuals from E&TS, the Office of the CISO, the Office of the CIO, Cyber Legal, Business Units, the Chief Privacy Office, Human Resources, Procurement, Finance and Operations, and Corporate Security. The incident response teams advise and consult with the GC and the SVP Sponsor, as appropriate. アセスメントは、適切なインシデント対応チームに委譲され、評価、調査、修復が行われる。問題の性質に応じて、インシデント対応チームには、E&TS、CISO室、CIO室、サイバー法務部、事業部門、チーフプライバシーオフィス、人事部、調達部、財務・業務部、およびコーポレートセキュリティの担当者が含まれる。インシデント対応チームは、適宜、GCおよびSVPスポンサーに助言し、協議を行う。
The Cybersecurity Advisory Committee (“CAC”) meets regularly and is responsible for overseeing management of the Company’s cybersecurity risk. The CAC is composed of, among others, SVPs from the major business units, the SVP Sponsor, and the GC. The CAC is responsible for, among other things, setting the Company’s governance structure for managing cybersecurity risk and reviewing noteworthy cybersecurity incidents and strategies to prevent recurrence. IBM management responsible for managing cybersecurity risk reflects a cross-section of functions from across the organization with significant experience in managing such risk as well as the technologies underlying these risks. They also hold leadership positions outside of IBM in the field of cybersecurity, serving on governing and advisory boards of public and private institutions at the forefront of issues related to cybersecurity, including technology development, cybersecurity policy, and national security. サイバーセキュリティ諮問委員会(CAC)は定期的に会合を開き、当社のサイバーセキュリティリスクマネジメントを監督する責任を負う。CACは、特に主要事業部門のSVP、SVPスポンサー、GCで構成される。CACは特に、サイバーセキュリティリスクを管理するための当社のガバナンス構造を設定し、注目すべきサイバーセキュリティインシデントと再発防止戦略を検討する責任を負う。サイバーセキュリティ・リスクの管理を担当するIBMのマネジメントは、そのようなリスクやリスクの根底にあるテクノロジーの管理について豊富な経験を持つ、組織全体の機能を横断的に反映している。また、IBM の外部でサイバーセキュリティの分野で指導的な立場にあり、技術開発、サイバーセキュリティ政策、国家安全保障など、サイバーセキュリティに関連する問題の最前線にある公的機関や民間機関のガバナンスや諮問委員会の委員を務めている。
The Board of Directors and the Audit Committee oversees the cyber governance process. Leadership from E&TS, including the CISO, make regular presentations to the Audit Committee and the full Board on identification, management, and remediation of cybersecurity risks, both internal and external, as well as threat intelligence, emerging global policies and regulations, cybersecurity technologies, and best practices. In addition, senior management provides briefings as needed to the Audit Committee Chair, the Audit Committee, and, as appropriate, the full Board, on cybersecurity issues and incidents of potential interest. 取締役会と監査委員会がサイバーガバナンス・プロセスを監督している。CISOを含むE&TSのリーダーシップは、監査委員会および取締役会全体に対して、内外のサイバーセキュリティ・リスクの特定、マネジメント、是正、脅威情報、新たなグローバル政策・規制、サイバーセキュリティ・テクノロジー、ベストプラクティスに関するプレゼンテーションを定期的に行っている。さらに、上級管理職は監査委員会委員長、監査委員会、および必要に応じて取締役会全体に対して、サイバーセキュリティの問題や潜在的な関心事に関するブリーフィングを随時行っている。

 

・Intel

・2024.01.26 10-K (Annual report)

Cybersecurity サイバーセキュリティ
We face significant and persistent cybersecurity risks due to: the breadth of geographies, networks, and systems we must defend against cybersecurity attacks; the complexity, technical sophistication, value, and widespread use of our systems, products and processes; the attractiveness of our systems, products and processes to threat actors (including state-sponsored organizations) seeking to inflict harm on us or our customers; the substantial level of harm that could occur to us and our customers were we to suffer impacts of a material cybersecurity incident; and our use of third-party products, services and components. We are committed to maintaining robust governance and oversight of these risks and to implementing mechanisms, controls, technologies, and processes designed to help us assess, identify, and manage these risks. While we have not, as of the date of this Form 10-K, experienced a cybersecurity threat or incident that resulted in a material adverse impact to our business or operations, there can be no guarantee that we will not experience such an incident in the future. Such incidents, whether or not successful, could result in our incurring significant costs related to, for example, rebuilding our internal systems, writing down inventory value, implementing additional threat protection measures, providing modifications or replacements to our products and services, defending against litigation, responding to regulatory inquiries or actions, paying damages, providing customers with incentives to maintain a business relationship with us, or taking other remedial steps with respect to third parties, as well as incurring significant reputational harm. In addition, these threats are constantly evolving, thereby increasing the difficulty of successfully defending against them or implementing adequate preventative measures. We have seen an increase in cyberattack volume, frequency, and sophistication. We seek to detect and investigate unauthorized attempts and attacks against our network, products, and services, and to prevent their occurrence and recurrence where practicable through changes or updates to our internal processes and tools and changes or updates to our products and services; however, we remain potentially vulnerable to known or unknown threats. In some instances, we, our suppliers, our customers, and the users of our products and services can be unaware of a threat or incident or its magnitude and effects. Further, there is increasing regulation regarding responses to cybersecurity incidents, including reporting to regulators, which could subject us to additional liability and reputational harm. See "Risk Factors" for more information on our cybersecurity risks and product vulnerability risks. サイバーセキュリティ攻撃から守らなければならない地域、ネットワーク、システムの広さ、当社のシステム、製品、プロセスの複雑さ、技術的洗練度、価値、広範な使用、当社または当社の顧客に損害を与えようとする脅威行為者(国家支援組織を含む)にとって当社のシステム、製品、プロセスが魅力的であること、当社が重大なサイバーセキュリティインシデントの影響を受けた場合、当社および当社の顧客に発生する可能性のある実質的な損害のレベル、サードパーティ製品、サービス、コンポーネントの使用により、当社は重大かつ持続的なサイバーセキュリティリスクに直面している。当社は、これらのリスクに対する強固なガバナンスと監視を維持し、これらのリスクのアセスメント、識別、管理を支援するために設計されたメカニズム、コントロール、テクノロジー、およびプロセスの導入に取り組んでいる。本フォーム10-Kの日付現在、当社の事業または業務に重大な悪影響をもたらすサイバーセキュリティの脅威またはインシデントを経験したことはないが、当社が将来そのようなインシデントを経験しないという保証はない。このようなインシデントが発生した場合、その成否にかかわらず、例えば、社内システムの再構築、在庫価値の評価減、追加の脅威防御策の導入、当社製品およびサービスの修正または代替品の提供、訴訟に対する防御、規制当局からの照会または措置への対応、損害賠償金の支払い、当社との取引関係を維持するためのインセンティブの顧客への提供、または第三者に関するその他の是正措置などに関連する多額の費用が発生し、また、大きな風評被害を被る可能性がある。加えて、これらの脅威は常に進化しているため、これらに対する防御を成功させたり、適切な予防策を実施したりすることの難易度が増している。サイバー攻撃の量、頻度、巧妙さが増加している。当社は、当社のネットワーク、製品、サービスに対する不正な試みや攻撃を検知・調査し、内部プロセスやツールの変更・更新、製品やサービスの変更・更新を通じて、その発生や再発を可能な限り防止するよう努めているが、既知または未知の脅威に対する脆弱性は依然として残っている。場合によっては、当社、当社のサプライヤー、顧客、当社の製品・サービスの利用者が、脅威やインシデント、あるいはその規模や影響に気づかない可能性もある。さらに、規制当局への報告を含め、サイバーセキュリティインシデントへの対応に関する規制が強化されており、当社が追加責任や風評被害を受ける可能性がある。当社のサイバーセキュリティリスクと製品脆弱性リスクに関する詳細は「リスク要因」を参照されたい。
We aim to incorporate industry best practices throughout our cybersecurity program. Our cybersecurity strategy focuses on implementing effective and efficient controls, technologies, and other processes to assess, identify, and manage material cybersecurity risks. Our cybersecurity program is designed to be aligned with applicable industry standards and is assessed annually by independent third-party auditors. We have processes in place to assess, identify, manage, and address material cybersecurity threats and incidents. These include, among other things: annual and ongoing security awareness training for employees; mechanisms to detect and monitor unusual network activity; and containment and incident response tools. We actively engage with industry groups for benchmarking and awareness of best practices. We monitor issues that are internally discovered or externally reported that may affect our products, and have processes to assess those issues for potential cybersecurity impact or risk. We also have a process in place to manage cybersecurity risks associated with third-party service providers. We impose security requirements upon our suppliers, including: maintaining an effective security management program; abiding by information handling and asset management requirements; and notifying us in the event of any known or suspected cyber incident. 当社はサイバーセキュリティ・プログラム全体に業界のベストプラクティスを取り入れることを目指している。当社のサイバーセキュリティ戦略は、重要なサイバーセキュリティ・リスクをアセスメントし、特定し、マネジメントするために、効果的かつ効率的なコントロール、テクノロジー、その他のプロセスを導入することに重点を置いている。当グループのサイバーセキュリティ・プログラムは、適用される業界標準に沿うように設計されており、毎年独立したサードパーティ監査人によるアセスメントを受けている。当社は、重要なサイバーセキュリティ上の脅威やインシデントを評価、識別、管理、対処するためのプロセスを備えている。これには特に、従業員に対する年次および継続的なセキュリティ意識向上およびトレーニング、異常なネットワーク活動を検知・監視する仕組み、封じ込めおよびインシデント対応ツールが含まれる。ベンチマークやベストプラクティスの認識のために、業界団体と積極的に連携している。当社は、社内で発見された、または社外から報告された、当社製品に影響を及ぼす可能性のある問題を監視し、サイバーセキュリティへの潜在的な影響やリスクについてそれらの問題をアセスメントするプロセスを有している。また、サードパーティのサービス・プロバイダに関連するサイバーセキュリティ・リスクを管理するためのプロセスも整備している。これには、効果的なセキュリティ管理プログラムの維持、情報ハンドリングおよび資産管理要件の遵守、既知または疑いのあるサイバーインシデント発生時の当社への通知などが含まれる。
Our Board of Directors has ultimate oversight of cybersecurity risk, which it manages as part of our enterprise risk management program. That program is utilized in making decisions with respect to company priorities, resource allocations, and oversight structures. The Board of Directors is assisted by the Audit & Finance Committee, which regularly reviews our cybersecurity program with management and reports to the Board of Directors. Cybersecurity reviews by the Audit & Finance Committee or the Board of Directors generally occur at least twice annually, or more frequently as determined to be necessary or advisable. A number of Intel directors have experience in assessing and managing cybersecurity risk. 当社の取締役会は、エンタープライズ・リスク・マネジメント・プログラムの一環として管理するサイバーセキュリティ・リスクを最終的に監督している。このプログラムは、会社の優先事項、リソースの配分、監督体制に関する意思決定に活用されている。取締役会は監査・財務委員会の支援を受けており、同委員会は経営陣とともにサイバーセキュリティ・プログラムを定期的に見直し、取締役会に報告している。監査・財務委員会または取締役会によるサイバーセキュリティの見直しは、通常、少なくとも年2回、または必要または望ましいと判断される場合はそれ以上の頻度で行われる。インテルの取締役の多くは、サイバーセキュリティ・リスクのアセスメントとマネジメントの経験を有している。
Our cybersecurity program is run by our Chief Information Security Officer (CISO), who reports to our Executive Vice President and Chief Technology Officer (CTO). Our CISO is informed about and monitors prevention, detection, mitigation, and remediation efforts through regular communication and reporting from professionals in the information security team, many of whom hold cybersecurity certifications such as a Certified Information Systems Security Professional or Certified Information Security Manager, and through the use of technological tools and software and results from third party audits. Our CISO and CTO have extensive experience assessing and managing cybersecurity programs and cybersecurity risk. Our CISO has served in that position since 2015 and, before Intel, was previously the Chief Security Officer at McAfee and the Chief Information Officer and CISO for the US House of Representatives. Our CTO joined Intel in 2021 and was previously Senior Vice President and CTO at VMware, with responsibility for product security. Our CISO and CTO regularly report directly to the Audit & Finance Committee or the Board of Directors on our cybersecurity program and efforts to prevent, detect, mitigate, and remediate issues. In addition, we have an escalation process in place to inform senior management and the Board of Directors of material issues. インテルのサイバーセキュリティ・プログラムは、最高情報セキュリティ責任者 (CISO) によって運営されており、CISO はインテルの取締役副社長兼最高技術責任者 (CTO) の直属となっている。当社のCISOは、情報セキュリティチームの専門家(その多くは公認情報システム・セキュリティ・プロフェッショナルや公認情報セキュリティ・マネージャーなどのサイバーセキュリティ資格を保有している)からの定期的なコミュニケーションや報告、技術的なツールやソフトウェアの使用、サードパーティによる監査の結果を通じて、予防、検知、軽減、修復の取り組みに関する情報を入手し、監視している。当社のCISOとCTOは、サイバーセキュリティ・プログラムとサイバーセキュリティ・リスクのアセスメントとマネジメントに豊富な経験を有している。当社のCISOは2015年からその職に就いており、インテル以前はマカフィーの最高セキュリティ責任者、米国下院の最高情報責任者兼CISOを務めていた。CTOは2021年にインテルに入社し、それ以前はVMwareの上級副社長兼CTOとして製品のセキュリティを担当していた。当社のCISOとCTOは、当社のサイバーセキュリティ・プログラムと問題の予防、検知、軽減、修復の取り組みについて、定期的に監査・財務委員会または取締役会に直接報告している。さらに、重大な問題を上級管理職および取締役会に報告するためのエスカレーションプロセスも設けている。

 

 

・Boeing

・2024.01.31 10-K (Annual report)

Item 1C.Cybersecurity 項目1C.サイバーセキュリティ
Risk Management and Strategy リスクマネジメント戦略
Our cybersecurity strategy prioritizes detection, analysis and response to known, anticipated or unexpected threats; effective management of security risks; and resiliency against incidents. Our cybersecurity risk management processes include technical security controls, policy enforcement mechanisms, monitoring systems, employee training, contractual arrangements, tools and related services from third-party providers, and management oversight to assess, identify and manage material risks from cybersecurity threats. We implement risk-based controls to protect our information, the information of our customers, suppliers, and other third parties, our information systems, our business operations, and our products and related services. We have adopted security-control principles based on the National Institute of Standards and Technology (NIST) Cybersecurity Framework, other industry-recognized standards, and contractual requirements, as applicable. We also leverage government partnerships, industry and government associations, third-party benchmarking, the results from regular internal and third-party audits, threat intelligence feeds, and other similar resources to inform our cybersecurity processes and allocate resources. 当社のサイバーセキュリティ戦略は、既知・予期・予期せぬ脅威の検知・分析・対応、セキュリティリスクの効果的な管理、インシデントに対するレジリエンスを最優先事項としている。当社のサイバーセキュリティ・リスク・マネジメント・プロセスには、サイバーセキュリティの脅威による重大なリスクをアセスメントし、特定し、管理するための技術的なセキュリティ・コントロール、ポリシー実施メカニズム、モニタリング・システム、従業員トレーニング、契約上の取り決め、サードパーティ・プロバイダーからのツールや関連サービス、およびマネージド・オーバーサイトが含まれる。当社は、当社の情報、当社の顧客、サプライヤー、その他のサードパーティーの情報、当社の情報システム、当社の事業運営、および当社の製品と関連サービスを保護するために、リスクに基づく管理を実施している。当社は、国立標準技術研究所(NIST)のサイバーセキュリティ・フレームワーク、その他の業界標準、および契約上の要件に基づくセキュリティ管理機構を採用している。また、政府とのパートナーシップ、業界団体、政府機関、サードパーティによるベンチマーク、定期的な内部監査およびサードパーティ監査の結果、脅威情報、その他同様のリソースを活用して、サイバーセキュリティプロセスに情報を提供し、リソースを配分している。
We maintain security programs that include physical, administrative and technical safeguards, and we maintain plans and procedures whose objective is to help us prevent and timely and effectively respond to cybersecurity threats or incidents. Through our cybersecurity risk management process, we continuously monitor cybersecurity vulnerabilities and potential attack vectors to company systems as well as our aerospace products and services, and we evaluate the potential operational and financial effects of any threat and of cybersecurity countermeasures made to defend against such threats. We continue to integrate our cyber practice into our Enterprise Risk Management program and our Compliance Risk Management program, both of which are overseen by our Board of Directors and provide central, standardized frameworks for identifying and tracking cyber-related business and compliance risks across the Company. Risks from cybersecurity threats to our products and services are also overseen by our Board of Directors. In addition, we periodically engage third-party consultants to assist us in assessing, enhancing, implementing, and monitoring our cybersecurity risk management programs and responding to any incidents. 当社は、物理的、管理的、技術的なセーフガードを含むセキュリティ・プログラムを維持し、サイバーセキュリティの脅威やインシデントを予防し、タイムリーかつ効果的に対応することを目的とした計画と手順を維持している。サイバーセキュリティ・リスクマネジメント・プロセスを通じて、当社は航空宇宙製品・サービスだけでなく、会社のシステムに対するサイバーセキュリティの脆弱性と潜在的な攻撃ベクトルを継続的に監視し、あらゆる脅威とそのような脅威を防御するために行われるサイバーセキュリティ対策の潜在的な業務上・財務上の影響を評価している。この2つのプログラムは取締役会によって監督されており、全社的なサイバー関連ビジネスリスクおよびコンプライアンスリスクを特定・追跡するための集中的で標準化されたフレームワークを提供している。当社の製品およびサービスに対するサイバーセキュリティの脅威によるリスクも取締役会が監督している。さらに、サイバーセキュリティ・リスクマネジメント・プログラムのアセスメント、強化、実施、モニタリング、およびインシデントへの対応を支援するため、サードパーティ・コンサルタントを定期的に雇用している。
As part of our cybersecurity risk management process, we conduct “tabletop” exercises during which we simulate cybersecurity incidents to ensure that we are prepared to respond to such an incident and to highlight any areas for potential improvement in our cyber incident preparedness. These exercises are conducted at both the technical level and senior management level, which has included participation by a member of our Board of Directors. In addition, all employees are required to pass a mandatory cybersecurity training course on an annual basis and receive monthly phishing simulations to provide “experiential learning” on how to recognize phishing attempts. サイバーセキュリティ・リスクマネジメント・プロセスの一環として、当社は「机上」演習を実施している。この演習では、サイバーセキュリティ・インシデントをシミュレートし、そのようなインシデントへの対応態勢が整っていることを確認するとともに、サイバーインシデントへの対応態勢において改善すべき点を浮き彫りにする。これらの演習は技術レベルと上級管理レベルの両方で実施され、取締役会のメンバーも参加している。さらに、全従業員はサイバーセキュリティ・トレーニングに毎年合格することが義務付けられており、毎月フィッシング・シミュレーションを受けることで、フィッシングを見分ける方法を「体験学習」している。
We have established a cybersecurity supply chain risk management program, which is a cross-functional program that forms part of our Enterprise Risk Management program and is supported by our security, compliance, and supply chain organizations. Through this evolving program, we assess the risks from cybersecurity threats that impact select suppliers and third-party service providers with whom we share personal identifying and confidential information. We continue to evolve our oversight processes to mature how we identify and manage cybersecurity risks associated with the products or services we procure from such suppliers. We generally require our suppliers to adopt security-control principles based on industry-recognized standards. サイバーセキュリティ・サプライチェーン・リスクマネジメント・プログラムは、エンタープライズ・リスク・マネジメント・プログラムの一部を構成する機能横断的なプログラムであり、当社のセキュリティ、コンプライアンス、サプライチェーンの各組織によってサポートされている。この進化するプログラムを通じて、個人を特定できる情報や機密情報を共有する厳選されたサプライヤーやサードパーティ・サービス・プロバイダに影響を及ぼすサイバーセキュリティの脅威によるリスクをアセスメントしている。当社は、こうしたサプライヤーから調達する製品やサービスに関連するサイバーセキュリティ・リスクを特定し、管理する方法を成熟させるため、監視プロセスを進化させ続けている。当社は全般的に、業界標準に基づくセキュリティ管理原則を採用するようサプライヤーに求めている。
We have experienced, and may in the future experience, whether directly or through our supply chain or other channels, cybersecurity incidents. While prior incidents have not materially affected our business strategy, results of operations or financial condition, and although our processes are designed to help prevent, detect, respond to, and mitigate the impact of such incidents, there is no guarantee that a future cyber incident would not materially affect our business strategy, results of operations or financial condition. See “Risks Related to Cybersecurity and Business Disruptions” in “Risk Factors” on page 14 of this Form 10-K. 当社は、直接であれ、サプライチェーンやその他のチャネルを通じてであれ、サイバーセキュリティインシデントを経験しており、今後も経験する可能性がある。過去のインシデントが当社の事業戦略、経営成績、財務状況に重大な影響を及ぼすことはなく、当社のプロセスはそのようなインシデントの防止、検知、対応、影響の軽減を支援するように設計されているが、将来のサイバーインシデントが当社の事業戦略、経営成績、財務状況に重大な影響を及ぼさないという保証はない。本フォーム10-Kの14ページにある「リスク要因」の「サイバーセキュリティと事業中断に関するリスク」を参照のこと。
Governance ガバナンス
Our Board of Directors has overall responsibility for risk oversight, with its committees assisting the Board in performing this function based on their respective areas of expertise. Our Board of Directors has delegated oversight of risks related to cybersecurity to two Board committees, the Audit Committee and the Aerospace Safety Committee, and each committee reports on its activities and findings to the full Board after each meeting. The Audit Committee is charged with reviewing our cybersecurity processes for assessing key strategic, operational, and compliance risks. Our Chief Information Officer and Senior Vice President, Information Technology & Data Analytics (CIO) and our Chief Security Officer (CSO) provide presentations to the Audit Committee on cybersecurity risks at each of its bimonthly meetings. These briefings include assessments of cyber risks, the threat landscape, updates on incidents, and reports on our investments in cybersecurity risk mitigation and governance. In addition, the Audit Committee has designated one of its members with expertise in cyber risk management to meet regularly with management and review our cybersecurity strategy and key initiatives and progress toward our objectives. In the event of a potentially material cybersecurity event, the Chair of the Audit Committee is notified and briefed, and meetings of the Audit Committee and/or full Board of Directors would be held, as appropriate. The Aerospace Safety Committee provides oversight of the risks from cybersecurity threats related to our aerospace products and services. The Aerospace Safety Committee receives regular updates and reports from senior management, including the Chief Engineer, the Chief Aerospace Safety Officer, and the Chief Product Security Engineer, who provide briefings on significant cybersecurity threats or incidents that may pose a risk to the safe operation of our aerospace products. Both committees brief the full Board on cybersecurity matters discussed during committee meetings, and the CIO provides annual briefings to the Board on information technology and data analytics related matters, including cybersecurity. 当社の取締役会はリスク監視の全体的な責任を負っており、各委員会はそれぞれの専門分野に基づいて取締役会のこの機能の遂行を支援している。当社の取締役会は、サイバーセキュリティに関連するリスクの監督を監査委員会と航空宇宙安全委員会の2つの取締役会委員会に委任しており、各委員会は各会合後にその活動と調査結果を取締役会全体に報告している。監査委員会は、主要な戦略リスク、業務リスク、コンプライアンス・リスクを評価するためのサイバーセキュリティ・プロセスを検討する責任を負っている。当社の最高情報責任者兼情報技術・データ分析担当上級副社長(CIO)と最高セキュリティ責任者(CSO)は、監査委員会の隔月開催の会合で、サイバーセキュリティ・リスクに関するプレゼンテーションを行う。これらの説明には、サイバーリスクのアセスメント、脅威の状況、インシデントの最新情報、サイバーセキュリティリスクの軽減とガバナンスへの投資に関する報告などが含まれる。さらに、監査委員会はサイバーリスクマネジメントの専門知識を持つ委員を1名指名し、経営陣と定期的に会合を持ち、当社のサイバーセキュリティ戦略や主要な取り組み、目標に向けた進捗状況をレビューしている。重要なサイバーセキュリティ事象が発生する可能性がある場合は、監査委員長に通知され、説明を受け、必要に応じて監査委員会および/または取締役会全体が開催される。航空宇宙安全委員会は、当社の航空宇宙製品およびサービスに関連するサイバーセキュリティの脅威によるリスクを監督する。航空宇宙安全委員会は、チーフエンジニア、チーフ航空宇宙安全責任者、チーフプロダクトセキュリティエンジニアを含む上級マネジメントから定期的な最新情報と報告を受け、当社の航空宇宙製品の安全な運用にリスクをもたらす可能性のある重大なサイバーセキュリティの脅威やインシデントに関する説明を受ける。両委員会は、委員会会議で議論されたサイバーセキュリティに関する事項を取締役会全体に説明し、CIOはサイバーセキュリティを含む情報技術およびデータ分析関連事項について取締役会に年次報告を行っている。
At the management level, we have established a Global Security Governance Council (the Council) to further strengthen our cybersecurity risk management activities across the Company, including the prevention, detection, mitigation, and remediation of cybersecurity incidents. The Council is responsible for developing and coordinating enterprise cybersecurity policy and strategy, and for providing guidance to key management and oversight bodies. 経営レベルでは、サイバーセキュリティ・インシデントの予防、検知、低減、修復など、全社的なサイバーセキュリティ・リスクマネジメント活動をさらに強化するため、グローバル・セキュリティ・ガバナンス評議会(評議会)を設立した。同評議会は、エンタープライズ・サイバーセキュリティ・ポリシーと戦略を策定・調整し、主要な経営・監督団体にガイダンスを提供する役割を担っている。
Richard Puckett, as our CSO, serves as the chair of the Council. He is responsible for overseeing a unified security program that provides cybersecurity, fire and protection operations, physical security, insider threat, and classified security. Mr. Puckett has nearly 30 years of experience in the cybersecurity industry, including, prior to joining Boeing in 2022, as Chief Information Security Officer of SAP SE and Thomson Reuters Corporation, Vice President, Product and Commercial Security of General Electric, Inc., and Senior Security Architect at Cisco Systems, Inc. He reports directly to the CIO and meets regularly with other members of senior management and the Audit Committee. リチャード・パケットはCSOとして、評議会の議長を務めている。彼は、サイバーセキュリティ、消防・保護業務、物理的セキュリティ、内部脅威、機密セキュリティを提供する統合セキュリティ・プログラムを監督する責任を負っている。2022年にボーイングに入社する以前は、SAP SEおよびトムソン・ロイター・コーポレーションの最高情報セキュリティ責任者、ゼネラル・エレクトリック社の製品・商業セキュリティ担当副社長、シスコシステムズ社のシニア・セキュリティ・アーキテクトなど、サイバーセキュリティ業界で30年近い経験を持つ。CIOに直属し、他の上級管理職や監査委員会のメンバーと定期的に会合を持つ。
The Council also includes, among other senior executives, our Chief Engineer, Chief Information Officer, Chief Aerospace Safety Officer and Chief Product Security Engineer, who each have several decades of business and senior leadership experience managing risks in their respective fields, collectively covering all aspects of cybersecurity, data and analytics, product security engineering, enterprise engineering, safety and the technical integrity of our products and services. 彼らはそれぞれ数十年にわたり各分野のリスクマネジメントに携わっており、サイバーセキュリティ、データとアナリティクス、製品セキュリティ・エンジニアリング、エンタープライズ・エンジニアリング、安全性、当社製品とサービスの技術的完全性など、あらゆる側面を網羅している。
The Council meets monthly and updates key members of the Company’s Executive Council on progress towards specific cybersecurity objectives. A strong partnership exists between Information Technology, Enterprise Security, Corporate Audit, and Legal so that identified issues are addressed in a timely manner and incidents are reported to the appropriate regulatory bodies as required. 同評議会は毎月会合を開き、サイバーセキュリティに関する具体的な目標に向けた進捗状況について、当社経営陣の主要メンバーに報告している。インフォメーション・テクノロジー、エンタープライズ・セキュリティ、コーポレート・オーディット、法務の間には強力なパートナーシップが存在し、特定された問題はタイムリーに対処され、インシデントは必要に応じて適切な規制団体に報告される。

 

 

American Express

・2024.02.09 10-K (Annual report)

ITEM 1C   CYBERSECURITY 項目1C サイバーセキュリティ
We maintain an information security and cybersecurity program and a cybersecurity governance framework that are designed to protect our information systems against operational risks related to cybersecurity./span> 当社は、サイバーセキュリティに関連する業務リスクから情報システムを保護するための情報セキュリティおよびサイバーセキュリティ・プログラムとサイバーセキュリティ・ガバナンス・フレームワークを維持している。
Cybersecurity Risk Management and Strategy サイバーセキュリティリスクマネジメントと戦略
We define information security and cybersecurity risk as the risk that the confidentiality, integrity or availability of our information and information systems are impacted by unauthorized or unintended access, use, disclosure, disruption, modification or destruction. Information security and cybersecurity risk is an operational risk that is measured and managed as part of our operational risk framework. Operational risk is incorporated into our comprehensive Enterprise Risk Management (ERM) program, which we use to identify, aggregate, monitor, report and manage risks. For more information on our ERM program, see “Risk Management” under “MD&A.” 当社は、情報セキュリティおよびサイバーセキュリティ・リスクを、当社の情報および情報システムの機密性、完全性、または可用性が、不正または意図しないアクセス、使用、開示、中断、変更、または破壊によって影響を受けるリスクと定義している。情報セキュリティ・リスクとサイバーセキュリティ・リスクは、オペレーショナル・リスクの枠組みの一部として測定・マネジメントされるオペレーショナル・リスクである。オペレーショナル・リスクは、当グループの包括的なエンタープライズ・リスク・マネジメント(ERM)プログラムに組み込まれており、リスクの識別、集約、監視、報告、管理に利用されている。ERMプログラムの詳細については、「MD&A」の「リスクマネジメント」を参照のこと。
Our Technology Risk and Information Security (TRIS) program, which is our enterprise information security and cybersecurity program incorporated in our ERM program and led by our Chief Information Security Officer (CISO), is designed to (i) ensure the security, confidentiality, integrity and availability of our information and information systems; (ii) protect against any anticipated threats or hazards to the security, confidentiality, integrity or availability of such information and information systems; and (iii) protect against unauthorized access to or use of such information or information systems that could result in substantial harm or inconvenience to us, our colleagues or our customers. The TRIS program is built upon a foundation of advanced security technology, employs a highly trained team of experts and is designed to operate in alignment with global regulatory requirements. The program deploys multiple layers of controls, including embedding security into our technology investments, designed to identify, protect, detect, respond to and recover from information security and cybersecurity incidents. Those controls are measured and monitored by a combination of subject matter experts and a security operations center with integrated cyber detection, response and recovery capabilities. The TRIS program includes our Enterprise Incident Response Program, which manages information security incidents involving compromises of sensitive information, and our Cyber Crisis Response Plan, which provides a documented framework for handling high-severity security incidents and facilitates coordination across multiple parts of the Company to manage response efforts. We also routinely perform simulations and drills at both a technical and management level, and our colleagues receive annual cybersecurity awareness training. 当社のテクノロジーリスク・情報セキュリティ(TRIS)プログラムは、当社のERMプログラムに組み込まれ、当社の最高情報セキュリティ責任者(CISO)が率いるエンタープライズ情報セキュリティおよびサイバーセキュリティプログラムであり、(i)当社の情報と情報システムのセキュリティ、機密性、完全性、可用性を確保する; (ii) そのような情報および情報システムのセキュリティ、機密性、完全性、可用性に対する予想される脅威または危険から保護すること、および (iii) 当社、当社の同僚、または顧客に重大な損害または不都合をもたらす可能性のある、そのような情報または情報システムへの不正アクセスまたは使用から保護すること。TRISプログラムは、高度なセキュリティ技術の基盤の上に構築され、高度な訓練を受けた専門家チームを雇用し、世界的な規制要件に沿って運用されるように設計されている。TRISプログラムは、情報セキュリティおよびサイバーセキュリティのインシデントを特定し、防御し、検知し、対応し、復旧させるために設計された、当社の技術投資へのセキュリティの組み込みを含む、多層的なコントロールを展開している。これらの管理体制は、サイバー検知・対応・復旧機能を統合したセキュリティ・オペレーションセンターと専門家の組み合わせによって測定・監視される。TRISプログラムには、機密情報の漏洩を伴う情報セキュリティ・インシデントを管理するエンタープライズ・インシデント・レスポンス・プログラムと、重大性の高いセキュリティ・インシデントに対応するための文書化されたフレームワークを提供し、対応努力を管理するために社内の複数の部署間の調整を促進するサイバー危機対応計画が含まれている。また、技術レベルと管理レベルの両方でシミュレーションと訓練を定期的に実施し、社員はサイバーセキュリティに関する意識向上およびトレーニングを毎年受けている。
In addition, we incorporate reviews by our Internal Audit Group and external expertise in our TRIS program, including an independent third-party assessment of our cybersecurity measures and controls and a third-party cyber maturity assessment of our TRIS program against the Cyber Risk Institute Profile standards for the financial sector. We also invest in threat intelligence, collaborate with our peers in areas of threat intelligence, vulnerability management, incident response and drills, and are active participants in industry and government forums. さらに、TRIS プログラムには内部アセスメント・グループによるレビューと外部の専門知識を取り入れている。これには、当社のサイバーセキュリティ対策と統制に関する独立した第三者による評価や、金融セクター向けのサイバーリスク・インスティテュート・プロファイル標準に照らした当社の TRIS プログラムのサードパーティによるサイバー成熟度評価などが含まれる。また、脅威情報に投資し、脅威情報、脆弱性管理、インシデント対応、訓練の分野で同業他社と協力し、業界や政府のフォーラムにも積極的に参加している。
Cybersecurity risks related to third parties are managed as part of our Third Party Management Policy, which sets forth the procurement, risk management and contracting framework for managing third-party relationships commensurate with their risk and complexity. Our Third Party Lifecycle Management (TLM) program sets guidelines for identifying, measuring, monitoring, and reporting the risks associated with third parties through the life cycle of the relationships, which includes planning, due diligence and third-party selection, contracting, ongoing monitoring and termination. Our TLM program includes the identification of third parties with risks related to information security. Third parties that access, process, collect, share, create, store, transmit or destroy our information or have access to our systems may have additional security requirements depending on the levels of risk, such as enhanced risk assessments and monitoring, and additional contractual controls. サードパーティに関連するサイバーセキュリティリスクは、当社のサードパーティ管理方針の一環として管理されている。この方針は、サードパーティとの関係をそのリスクと複雑性に応じて管理するための調達、リスクマネジメント、契約の枠組みを定めたものである。当社のサードパーティライフサイクルマネジメント(TLM)プログラムは、計画、デューデリジェンス、サードパーティの選定、契約、継続的モニタリング、解約を含む関係のライフサイクルを通じて、サードパーティに関連するリスクを特定、測定、モニタリング、報告するためのガイドラインを定めている。当社のTLMプログラムには、情報セキュリティに関連するリスクを持つサードパーティーの特定が含まれる。当社の情報にアクセスし、処理し、収集し、共有し、作成し、保存し、送信し、または破棄し、あるいは当社のシステムにアクセスするサードパーティは、リスクアセスメントやモニタリングの強化、契約上の追加管理など、リスクのレベルに応じて追加のセキュリティ要件が課される場合がある。
While we do not believe that our business strategy, results of operations or financial condition have been materially adversely affected by any cybersecurity incidents, cybersecurity threats are pervasive and, similar to other global financial institutions, we, as well as our customers, colleagues, regulators, service providers and other third parties, have experienced a significant increase in information security and cybersecurity risk in recent years and will likely continue to be the target of cyber attacks. We continue to assess the risks and changes in the cyber environment, invest in enhancements to our cybersecurity capabilities, and engage in industry and government forums to promote advancements in our cybersecurity capabilities, as well as the broader financial services cybersecurity ecosystem. For more information on risks to us from cybersecurity threats, see “A major information or cybersecurity incident or an increase in fraudulent activity could lead to reputational damage to our brand and material legal, regulatory and financial exposure, and could reduce the use and acceptance of our products and services.” under “Risk Factors.” 当社の事業戦略、経営成績、財務状況がサイバーセキュリティインシデントによって重大な悪影響を受けたとは考えていないが、サイバーセキュリティ脅威は蔓延しており、他のグローバル金融機関と同様に、当社、当社の顧客、同僚、規制当局、サービスプロバイダー、その他のサードパーティも、近年、情報セキュリティおよびサイバーセキュリティリスクの重要な増加を経験しており、今後もサイバー攻撃の標的になる可能性が高い。当社は引き続き、サイバー環境のリスクと変化をアセスメントし、サイバーセキュリティ能力の強化に投資し、業界や政府のフォーラムに参加して、当社のサイバーセキュリティ能力だけでなく、より広範な金融サービスのサイバーセキュリティ・エコシステムの進歩を促進していく。サイバーセキュリティの脅威による当社へのリスクについては、"リスク要因 "の「重大な情報またはサイバーセキュリティのインシデントや詐欺行為の増加は、当社ブランドの風評被害や重大な法的、規制的、財務的エクスポージャーにつながる可能性があり、当社の製品やサービスの利用や受容を低下させる可能性がある」を参照されたい。
Cybersecurity Governance サイバーセキュリティ・ガバナンス
Under our cybersecurity governance framework, our Board and our Risk Committee are primarily responsible for overseeing and governing the development, implementation and maintenance of our TRIS program, with the Board designating our Risk Committee to provide oversight and governance of technology and cybersecurity risks. Our Board receives an update on cybersecurity at least once a year from our CISO or their designee. Our Risk Committee receives reports on cybersecurity at least twice a year, including in at least one joint meeting with our Audit and Compliance Committee, and our Board and these committees all receive ad hoc updates as needed. In addition, our Risk Committee annually approves our TRIS program. 当社のサイバーセキュリティ・ガバナンス・フレームワークでは、当社の取締役会とリスク委員会がTRISプログラムの開発、実施、保守を監督・ガバナンスする主な責任を負っており、取締役会はリスク委員会にテクノロジーとサイバーセキュリティ・リスクの監督・ガバナンスを行わせることを指定している。取締役会は少なくとも年1回、CISOまたはその被指名者からサイバーセキュリティに関する最新情報を受け取る。当社のリスク委員会は、当社の監査・コンプライアンス委員会との少なくとも1回の合同会議を含め、サイバーセキュリティに関する報告を少なくとも年に2回受け、当社の取締役会とこれらの委員会はすべて、必要に応じて臨時の最新情報を受け取る。さらに、リスク委員会は毎年TRISプログラムを承認している。
We have multiple internal management committees that are responsible for the oversight of cybersecurity risk. Our Operational Risk Management Committee (ORMC), chaired by our Chief Operational Risk Officer, provides oversight and governance for our information security risk management activities, including those related to cybersecurity.This includes efforts to identify, measure, manage, monitor and report information security risks associated with our information and information systems and potential impacts to the American Express brand. The ORMC escalates risks to our Enterprise Risk Management Committee (ERMC), chaired by our Chief Risk Officer, or our Board based on the escalation criteria provided in our enterprise-wide risk appetite framework. Members of management with cybersecurity oversight responsibilities are informed about cybersecurity risks and incidents through a number of channels, including periodic and annual reports, with the annual report also provided to our Risk Committee, the ORMC and ERMC. 当社には、サイバーセキュリティ・リスクの監督を担当する複数の社内マネジメント委員会がある。これには、当社の情報および情報システムに関連する情報セキュリティリスク、ならびにアメリカン・エキスプレス・ブランドへの潜在的な影響を特定、測定、管理、監視、報告する取り組みが含まれる。ORMCは、全社的なリスク選好フレームワークで規定されたエスカレーション基準に基づき、リスクをチーフ・リスク・オフィサーが議長を務めるエンタープライズ・リスクマネジメント委員会(ERMC)または取締役会にエスカレーションする。サイバーセキュリティの監督責任を負うマネジメントのメンバーは、定期報告書や年次報告書を含む多くのチャネルを通じてサイバーセキュリティリスクやインシデントについて知らされており、年次報告書はリスク委員会、ORMC、ERMCにも提供されている。
Our CISO leads the strategy, engineering and operations of cybersecurity across the Company and is responsible for providing annual updates to our Board, the ERMC and the ORMC on our TRIS program, as well as ad hoc updates on information security and cybersecurity matters. Our current CISO has held a series of roles in telecommunications, networking and information security at American Express, including promotion to the CISO role in 2013 and the addition of responsibility for technology risk management in 2023. Prior to joining American Express, our current CISO served in a variety of technology leadership roles at a public pharmaceutical and biotechnology company for 14 years. Our CISO reports to the Chief Information Officer, information about whom is included in “Information About Our Executive Officers” under “Business.” 当社のCISOは、全社的なサイバーセキュリティの戦略、エンジニアリング、運用を指揮し、取締役会、ERMC、ORMCに対し、当社のTRISプログラムに関する年次報告、および情報セキュリティとサイバーセキュリティに関する臨時報告を行う責任を負っている。現在のCISOは、2013年にCISOに昇格し、2023年にはテクノロジー・リスク・マネジメントの責任者となるなど、アメリカン・エキスプレスで電気通信、ネットワーク、情報セキュリティの職務を歴任してきた。アメリカン・エキスプレスに入社する以前は、上場製薬・バイオテクノロジー企業で14年間、さまざまな技術指導的職務に就いていた。CISO はチーフ・インフォメーション・オフィサーの直属であり、チーフ・インフォメーション・オフィ サーに関する情報は、"事業内容 "の "執行役員に関する情報 "に記載されている。
For more information on our risk governance structure, see “Risk Management — Governance” and “Risk Management —Operational Risk Management Process” under “MD&A.” 当社のリスク・ガバナンス体制の詳細については、"MD&A "の "リスクマネジメント-ガバナンス "および "リスクマネジメント-オペレーショナル・リスク管理プロセス "を参照のこと。

 

・Johnson & Johnson

・2024.02.16 10-K (Annual report)

Item 1C.Cybersecurity 項目1C.サイバーセキュリティ
Risk management and strategy リスクマネジメントと戦略
The Company has documented cybersecurity policies and standards, assesses risks from cybersecurity threats, and monitors information systems for potential cybersecurity issues. To protect the Company’s information systems from cybersecurity threats, the Company uses various security tools supporting protection, detection, and response capabilities. The Company maintains a cybersecurity incident response plan to help ensure a timely, consistent response to actual or attempted cybersecurity incidents impacting the Company. 当社は、サイバーセキュリティの方針と標準を文書化し、サイバーセキュリティの脅威によるリスクをアセスメントし、サイバーセキュリティの潜在的問題について情報システムを監視している。サイバーセキュリティの脅威から当社の情報システムを保護するため、当社は保護、検知、対応能力をサポートする様々なセキュリティ・ツールを使用している。当社はサイバーセキュリティ・インシデント対応計画を維持し、当社に影響を及ぼす実際の、または未遂のサイバーセキュリティ・インシデントへのタイムリーで一貫した対応を保証している。
The Company also identifies and assesses third-party risks within the enterprise, and through the Company's use of third-party service providers, across a range of areas including data security and supply chain through a structured third-party risk management program. 当社はまた、構造化されたサードパーティ・リスク・マネジメント・プログラムを通じて、データ・セキュリティやサプライ・チェーンを含むさまざまな分野において、エンタープライズ内およびサードパーティ・サービス・プロバイダの利用を通じて、サードパーティのリスクを特定し、アセスメントしている。
The Company maintains a formal information security training program for all employees that includes training on matters such as phishing and email security best practices. Employees are also required to complete mandatory training on data privacy. 当社は、フィッシングや電子メール・セキュリティのベスト・プラクティスなどのトレーニングを含む、全従業員向けの正式な情報セキュリティ・トレーニング・プログラムを維持している。従業員にはデータ・プライバシーに関する必須研修の受講も義務付けられている。
To evaluate and enhance its cybersecurity program, the Company periodically utilizes third-party experts to undertake maturity assessments of the Company’s information security program. サイバーセキュリティ・プログラムを評価・強化するため、当社はサードパーティーの専門家を定期的に活用し、当社の情報セキュリティ・プログラムの成熟度アセスメントを実施している。
To date, the Company is not aware of any cybersecurity incident that has had or is reasonably likely to have a material impact on the Company’s business or operations; however, because of the frequently changing attack techniques, along with the increased volume and sophistication of the attacks, there is the potential for the Company to be adversely impacted. This impact could result in reputational, competitive, operational or other business harm as well as financial costs and regulatory action. Refer to the risk factor captioned An information security incident, including a cybersecurity breach, could have a negative impact to the Company’s business or reputation in Part I, Item 1A. Risk factors for additional description of cybersecurity risks and potential related impacts on the Company. 現在までのところ、当社の事業または業務に重大な影響を及ぼした、あるいは及ぼす可能性のあるサイバーセキュリティインシデントについて、当社は認識していない。しかし、攻撃手法は頻繁に変化し、攻撃の量も高度化しているため、当社が悪影響を受ける可能性はある。このような影響は、風評、競争、業務、その他の事業上の損害、財務上のコスト、規制上の措置をもたらす可能性がある。サイバーセキュリティ侵害を含む情報セキュリティインシデントが、当社の事業または評判に悪影響を及ぼす可能性がある。サイバーセキュリティリスクおよび関連する当社への潜在的な影響に関する補足説明については、「リスク要因」を参照のこと。
Governance - management’s responsibility ガバナンス-経営陣の責任
The Company takes a risk-based approach to cybersecurity and has implemented cybersecurity controls designed to address cybersecurity threats and risks. The Chief Information Officer (CIO), who is a member of the Company’s Executive Committee, and the Chief Information Security Officer (CISO) are responsible for assessing and managing cybersecurity risks, including the prevention, mitigation, detection, and remediation of cybersecurity incidents. 当社はサイバーセキュリティに対してリスクベースのアプローチをとっており、サイバーセキュリティの脅威とリスクに対処するために設計されたサイバーセキュリティ統制を導入している。当社の経営委員会のメンバーである最高情報責任者(CIO)と最高情報セキュリティ責任者(CISO)は、サイバーセキュリティ・インシデントの予防、低減、検知、修復を含むサイバーセキュリティ・リスクのアセスメントとマネジメントに責任を負っている。
The Company’s CISO, in coordination with the CIO, is responsible for leading the Company’s cybersecurity program and management of cybersecurity risk. The current CISO has over twenty-five years of experience in information security, and his background includes technical experience, strategy and architecture focused roles, cyber and threat experience, and various leadership roles. 当社のCISOはCIOと連携し、当社のサイバーセキュリティ・プログラムとサイバーセキュリティ・リスクのマネジメントを主導する責任を負っている。現在のCISOは情報セキュリティ分野で25年以上の経験を持ち、その経歴には、技術的な経験、戦略とアーキテクチャに重点を置いた役割、サイバーと脅威に関する経験、さまざまな指導的役割などが含まれる。
Governance - board oversight ガバナンス - 取締役会の監督
The Company’s Board of Directors oversees the overall risk management process, including cybersecurity risks, directly and through its committees. The Regulatory Compliance & Sustainability Committee (RCSC) of the board is primarily responsible for oversight of risk from cybersecurity threats and oversees compliance with applicable laws, regulations and Company policies related to, among others, privacy and cybersecurity. 当社の取締役会は、サイバーセキュリティ・リスクを含むリスクマネジメント・プロセス全体を、直接または委員会を通じて監督している。取締役会の規制コンプライアンス&サステナビリティ委員会(RCSC)は、主にサイバーセキュリティの脅威によるリスクの監督を担当し、特にプライバシーとサイバーセキュリティに関連する適用法、規制、会社方針の遵守を監督している。
RCSC meetings include discussions of specific risk areas throughout the year including, among others, those relating to cybersecurity.The CISO provides at least two updates each year to RCSC on cybersecurity matters. These reports include an overview of the cybersecurity threat landscape, key cybersecurity initiatives to improve the Company’s risk posture, changes in the legal and regulatory landscape relative to cybersecurity, and overviews of certain cybersecurity incidents that have occurred within the Company and within the industry. CISOは毎年少なくとも2回、サイバーセキュリティに関する最新情報をRCSCに提供している。これらの報告には、サイバーセキュリティの脅威状況の概要、当社のリスク態勢を改善するための主要なサイバーセキュリティ・イニシアチブ、サイバーセキュリティに関連する法規制状況の変化、当社および業界で発生した特定のサイバーセキュリティ・インシデントの概要などが含まれる。

 

 

・Pfizer

・2024.02.22 10-K (Annual report)

ITEM 1C CYBERSECURITY 項目1C サイバーセキュリティ
Managing cybersecurity risk is a crucial part of our overall strategy for safely operating our business. We incorporate cybersecurity practices into our Enterprise Risk Management (ERM) approach, which is subject to oversight by our BOD. Our cybersecurity policies and practices are aligned with relevant industry standards. サイバーセキュリティ・リスクのマネジメントは、事業を安全に運営するための全体的な戦略の極めて重要な部分である。当社はサイバーセキュリティの実践をエンタープライズ・リスク・マネジメント(ERM)アプローチに組み込んでおり、これは取締役会の監督を受けている。当社のサイバーセキュリティ方針と実践は、関連する業界標準に沿ったものである。
Consistent with our overall ERM program and practices, our cybersecurity program includes: 当社の全体的なERMプログラムおよび慣行と一貫して、当社のサイバーセキュリティ・プログラムには以下が含まれる:
• Vigilance: We maintain a global cybersecurity operation that endeavors to detect, prevent, contain, and respond to cybersecurity threats and incidents in a prompt and effective manner with the goal of minimizing business disruptions. < ・警戒: 警戒:当社は,事業の中断を最小限に抑えることを目標に,サイバーセキュリティの脅威およびインシデントを迅速かつ効果的な方法で検知,予防,封じ込め,対応するよう努めるグローバルなサイバーセキュリティ業務を維持している。
• External Collaboration: We collaborate with public and private entities, including intelligence and law enforcement agencies, industry groups and third-party service providers to identify, assess and mitigate cybersecurity risks. ・外部との連携: 情報機関や法執行機関,業界団体,サードパーティ・サービス・プロバイダを含む官民の事業体と協力し,サイバーセキュリティ・リスクを特定,アセスメント,軽減する。
• Systems Safeguards: We deploy technical safeguards that are designed to protect our information systems, products, operations and sensitive information from cybersecurity threats. These include firewalls, intrusion prevention and detection systems, disaster recovery capabilities, malware and ransomware prevention, access controls and data protection. We continuously conduct vulnerability assessments to identify new risks and periodically test the efficacy of our safeguards through both internal and external penetration tests. ・システム・セーフガード: システムの防御:当社は,当社の情報システム,製品,業務,および機密情報をサイバーセキュリティの脅威から保護するための技術的な防御策を導入している。これには,ファイアウォール,侵入防御・検知システム,災害復旧機能,マルウェアやランサムウェアの防止,アクセス管理,データ保護などが含まれる。また,新たなリスクを特定するために脆弱性アセスメントを継続的に実施し,社内外の侵入テストを通じて定期的に保護措置の有効性を検証している。
• Education: We provide periodic training for all personnel regarding cybersecurity threats, with such training appropriate to the roles, responsibilities and access of the relevant Company personnel. Our policies require all workers to report any real or suspected cybersecurity events. ・教育: 教育:当社は,サイバーセキュリティの脅威に関する定期的なトレーニングを全従業員に提供し,当該従業員の役割,責任,およびアクセスに応じた適切なトレーニングを行う。当社のポリシーでは,すべての従業員に対し,サイバーセキュリティに関する事実またはその疑いがある事象を報告することを義務付けている。
• Supplier Ecosystem Management: We extend our cybersecurity management control expectations to our supply chain ecosystem, as applicable. This includes identifying cybersecurity risks presented by third parties. ・サプライヤーのエコシステム管理: サプライヤーのエコシステム管理:当社は,サイバーセキュリティ管理統制に期待される範囲を,該当す るサプライチェーンのエコシステムにも拡大する。これには,サードパーティがもたらすサイバーセキュリティリスクの識別が含まれる。
• Incident Response Planning: We have established, and maintain and periodically test, incident response plans that direct our response to cybersecurity events and incidents. Such plans include the protocol by which material incidents would be communicated to executive management, our BOD, external regulators and shareholders. ・インシデント対応計画: インシデント対応計画:当社は,サイバーセキュリティのイベントやインシデントへの対応を指示するインシデント対応計画を策定し,維持し,定期的にテストしている。このような計画には,重要なインシデントが経営陣,取締役会,外部の規制当局,株主に伝達される手順が含まれる。
• Enterprise-Wide Coordination: We engage experts from across the Company to identify emerging risks and respond to cybersecurity threats. This cross-functional approach includes personnel from our R&D, manufacturing, commercial, technology, legal, compliance, internal audit and other business functions. ・エンタープライズ全体の調整: 全社的な調整:当社では,新たなリスクを特定し,サイバーセキュリティの脅威に対応するために,全社的な専門家を関与させている。この部門横断的アプローチには,研究開発,製造事業者,商業,技術,法務,コンプライアンス,内部監査,その他の事業機能の担当者が含まれる。
• Governance: Our BOD’s oversight of cybersecurity risk management is led by the Audit Committee, which oversees our ERM program. Cybersecurity threats, risks and mitigation are periodically reviewed by the Audit Committee and such reviews include both internal and independent assessment of risks, controls and effectiveness. ・ガバナンス: ガバナンス:当社の取締役会によるサイバーセキュリティ・リスクマネジメントの監視は,当社のERMプログラムを監督する監査委員会が主導している。サイバーセキュリティの脅威,リスク,低減は監査委員会により定期的にレビューされ,そのレビューにはリスク,統制,有効性に関する内部評価と独立した評価の両方が含まれる。
Our risk assessment efforts have indicated that we are a target for theft of intellectual property, financial resources, personal information, and trade secrets from a wide range of actors including nation states, organized crime, malicious insiders and activists. The impacts of attacks, abuse and misuse of Pfizer’s systems and information include, without limitation, loss of assets, operational disruption and damage to Pfizer’s reputation. 当社のリスクアセスメントによると、当社は国家、組織犯罪、悪意のある内部関係者、活動家など、さまざまな主体から知的財産、財務資源、個人情報、企業秘密を窃取される標的となっている。ファイザーのシステムおよび情報に対する攻撃、悪用、および悪用の影響には、資産の損失、業務の中断、およびファイザーの評判に対する損害が含まれるが、これらに限定されない。
A key element of managing cybersecurity risk is the ongoing assessment and testing of our processes and practices through auditing, assessments, drills and other exercises focused on evaluating the sufficiency and effectiveness of our risk mitigation. We regularly engage third parties to perform assessments of our cybersecurity measures, including information security maturity assessments and independent reviews of our information security control environment and operating effectiveness. Certain results of such assessments and reviews are reported to the Audit Committee and the BOD, as appropriate, and we make adjustments to our cybersecurity processes and practices as necessary based on the information provided by the third-party assessments and reviews. サイバーセキュリティ リスク マネジメントの重要な要素は、監査、リスク アセスメント、訓練、および当社のリスク低減の十分性と有効性を評価することに重点を置いたその他の演習を通じて、当社のプロセスと実践を継続的に評価およびテストすることである。当社は、情報セキュリティ成熟度評価、情報セキュリティ管理環境および運用の有効性に関する独立したレビューなど、当社のサイバーセキュリティ対策のアセスメントを実施するため、定期的にサードパーティを起用している。このような評価およびレビューの一定の結果は、適宜、監査委員会および取締役会に報告され、当社はサードパーティによる評価およびレビューによってプロバイダから提供された情報に基づいて、必要に応じてサイバーセキュリティ・プロセスおよび慣行の調整を行う。
The Audit Committee oversees cybersecurity risk management, including the policies, processes and practices that management implements to prevent, detect and address risks from cybersecurity threats. The Audit Committee receives regular briefings on cybersecurity risks and risk management practices, including, for example, recent developments in the external cybersecurity threat landscape, evolving standards, vulnerability assessments, third-party and independent reviews, technological trends and considerations arising from our supplier ecosystem. The Audit Committee may also promptly receive information regarding any material cybersecurity incident that may occur, including any ongoing updates regarding the same. The Audit Committee periodically discusses our approach to cybersecurity risk management with our Chief Information Security Officer (CISO). 監査委員会は、サイバーセキュリティの脅威によるリスクを防止、検知、対処するためにマネジメントが実施する方針、プロセス、慣行を含むサイバーセキュリティのリスクマネジメントを監督する。監査委員会は、サイバーセキュリティリスクおよびリスクマネジメントの実践に関する定期的なブリーフィングを受ける。これには、例えば、外部のサイバーセキュリティ脅威の状況における最近の動向、進化する標準、脆弱性評価、サードパーティおよび独立機関によるレビュー、技術動向、当社のサプライヤーエコシステムから生じる考慮事項などが含まれる。監査委員会はまた、発生する可能性のある重要なサイバーセキュリティインシデントに関する情報(同インシデントに関する継続的な更新を含む)を速やかに受け取ることができる。監査委員会は、サイバーセキュリティ・リスクマネジメントに対する当社のアプローチについて、当社の最高情報セキュリティ責任者(CISO)と定期的に協議している。
Our CISO is a member of our management team who is principally responsible for overseeing our cybersecurity risk management program, in partnership with other business leaders across the Company. The CISO works in coordination with other members of the management team, including, among others, the Chief Digital Officer, the Chief Financial Officer, the Chief Compliance and Risk Officer and the General Counsel and their designees. We believe our business leaders have the appropriate expertise, background and depth of experience to manage risks arising from cybersecurity threats. 当社のCISOは当社のマネジメント・チームのメンバーであり、当社全体の他のビジネス・リーダーと連携して、当社のサイバーセキュリティ・リスク管理プログラムを監督する主な責任を負っている。CISOは、チーフ・デジタル・オフィサー、チーフ・ファイナンシャル・オフィサー、チーフ・コンプライアンス&リスク・オフィサー、ジェネラル・カウンセルおよびその被指名人など、マネジメント・チームの他のメンバーと連携して業務を遂行する。当社のビジネスリーダーは、サイバーセキュリティの脅威から生じるリスクをマネジメントするための適切な専門知識、経歴、豊富な経験を有していると確信している。
Our CISO, along with leaders from our privacy and corporate compliance functions, collaborate to implement a program designed to manage our exposure to cybersecurity risks and to promptly respond to cybersecurity incidents. Prompt response to incidents is delivered by multi-disciplinary teams in accordance with our incident response plan. Through ongoing communications with these teams during incidents, the CISO monitors the triage, mitigation and remediation of cybersecurity incidents, and reports such incidents to executive management, the Audit Committee and other Pfizer colleagues in accordance with our cybersecurity policies and procedures, as is appropriate. 当社のCISOは、プライバシーおよび企業コンプライアンス機能のリーダーとともに、サイバーセキュリティリスクへのエクスポージャーを管理し、サイバーセキュリティインシデントに迅速に対応するためのプログラムを実施するために協力している。インシデントへの迅速な対応は、当社のインシデント対応計画に基づき、複数の部門からなるチームによって行われる。インシデント発生中のこれらのチームとの継続的なコミュニケーションを通じて、CISO はサイバーセキュリティ・インシデントのトリアージ、低減、および修復を監視し、そのようなインシデントを適切な場合、当社のサイバーセキュリティ方針および手順に従って経営幹部、監査委員会、および他のファイザーの同僚に報告する。
As of the date of this Form 10-K, we are not aware of any cybersecurity incidents that have materially affected or are reasonably likely to materially affect the Company, including our business strategy, results of operations, or financial condition at this time. For further discussion of the risks associated with cybersecurity incidents, see the Item 1A. Risk Factors—Information Technology and Security section in this Form 10-K. 本フォーム 10-K の日付現在、当社の事業戦略、経営成績、財務状況など、当社に重大な影響を及ぼした、または及ぼす可能性のあるサイバーセキュリティインシデントを当社は認識していない。サイバーセキュリティインシデントに関連するリスクの詳細については、項目1A. リスク要因-情報技術およびセキュリティ」を参照のこと。

 

 

Coca-Cola

・2024.02.21 10-K (Annual report)

Item 1C Cybersecurity 項目1C サイバーセキュリティ
Risk Management and Strategy リスクマネジメント戦略
The Company is committed to maintaining robust processes to assess, identify and mitigate material risks from cybersecurity threats and to protect against, detect and respond to cybersecurity incidents. We integrate these processes into the Company’s overall risk management program and, through the Company’s Cybersecurity Incident Response Plan, we document the intended processes and the roles and responsibilities of teammates involved in assessing, identifying and managing material risks from cybersecurity threats. Periodically, the Company engages third parties to assist in the assessment and ongoing development of cybersecurity processes. 当社は、サイバーセキュリティの脅威による重大なリスクを評価、特定、軽減し、サイバーセキュリティインシデントから保護、検知、対応するための強固なプロセスの維持に努めている。当社はこれらのプロセスを当社の全体的なリスク管理プログラムに統合し、当社のサイバーセキュリティ・インシデント対応計画を通じて、サイバーセキュリティの脅威から生じる重大なリスクの評価、特定、マネジメントに関与するチームメンバーの意図するプロセスおよび役割と責任を文書化している。当社は定期的に、サイバーセキュリティ・プロセスのアセスメントと継続的な開発を支援するサードパーティを起用している。
Our cybersecurity processes are grounded in the National Institute of Standards and Technology Cybersecurity Framework and include a number of different preventative measures. The Company performs periodic risk assessments of systems and applications to identify risks, vulnerabilities and threats in systems and software, performs an annual assessment of the effectiveness of the current 当社のサイバーセキュリティ・プロセスは、国立標準技術研究所のサイバーセキュリティ・フレームワークに基づき、さまざまな予防策を含んでいる。当社は、システムおよびソフトウェアのリスク、脆弱性、脅威を特定するために、システムおよびアプリケーションのリスクアセスメントを定期的に実施し、システムおよびソフトウェアに存在するリスク、脆弱性、脅威を特定するために、システムおよびアプリケーションのリスクアセスメントを定期的に実施する。
cybersecurity response process by conducting incident response tabletop exercises that involve participation by members of the management team, and requires all teammates to participate in user awareness training for information technology and cybersecurity./span> 経営陣も参加するインシデント対応机上演習を実施することで、現在のサイバーセキュリティ対応プロセスの有効性を毎年評価し、全社員に情報テクノロジーおよびサイバーセキュリティに関するユーザー意識向上およびトレーニングへの参加を義務付けている。
Our systems are reasonably designed to enable the information technology infrastructure group to capture application, system and network alerts. In the event of a cybersecurity incident, the Cyber Incident Response Team (the “CIRT”), led by a designated Cyber Incident Coordinator (the “CIC”), is responsible for collecting and analyzing relevant data about the incident and its risks. Members of the CIRT, including the CIC, are selected based on their knowledge of either cybersecurity or the specific information systems or business function affected by the incident. 当社のシステムは、情報技術インフラストラクチャグループがアプリケーション、システム、ネットワークのアラートを捕捉できるように合理的に設計されている。サイバーセキュリティインシデントが発生した場合、指定されたサイバーインシデントコーディネーター(「CIC」)が率いるサイバーインシデント対応チーム(「CIRT」)が、インシデントとそのリスクに関する関連データの収集と分析を担当する。CICを含むCIRTのメンバーは、サイバーセキュリティまたはインシデントの影響を受ける特定の情報システムもしくは業務機能のいずれかの知識に基づいて選出される。
As part of planning for any suspected cybersecurity incident, the CIRT has developed certain incident response strategies to help collect and preserve forensic data, to mitigate the threat and to perform other activities to restore systems to normal operation. These strategies include many of the practices recommended by the U.S. Department of Homeland Security’s Industrial Control Systems Computer Emergency Response Team. In addressing and resolving a significant cybersecurity incident, the Company may engage external experts in relevant fields, such as legal or forensic services, as needed. The Company also has a process whereby the Chief Information Officer (the “CIO”) periodically meets with and assesses third-party service providers in order to help ensure the Company is made aware of any potential material cybersecurity threats or incidents in a timely manner. The Company’s largest external service provider is CONA, as further discussed in “Item 1A. Risk Factors” of this report. サイバーセキュリティのインシデントが疑われる場合の対応計画の一環として、CIRTは、フォレンジック・データの収集と保存、脅威の軽減、およびシステムを通常運用に戻すためのその他の活動を支援するために、一定のインシデント対応戦略を策定している。これらの戦略には、米国国土安全保障省の産業制御システム・コンピュータ緊急対応チームが推奨するプラクティスの多くが含まれている。重大なサイバーセキュリティインシデントに対処し解決する際、当社は必要に応じて、法律やフォレンジックサービスなど、関連分野の外部専門家に依頼することがある。当社はまた、最高情報責任者(CIO)がサードパーティーのサービスプロバイダーと定期的に面談し、アセスメントを行うことで、重大なサイバーセキュリティの脅威やインシデントが発生する可能性があることをタイムリーに把握できるようにしている。当社の最大の外部サービスプロバイダーはCONAである。リスク要因」で詳述する。
During 2023, there were no identified cybersecurity risks or threats, including as a result of previous cybersecurity incidents, that had, or were reasonably likely to have, a material effect on our business strategy, results of operations or financial condition. While we maintain cybersecurity insurance, the costs related to cybersecurity incidents or disruptions may not be fully insured. See “Item 1A. Risk Factors” for a discussion of cybersecurity risks. 2023年中、過去のサイバーセキュリティ・インシデントの結果も含め、当社の事業戦略、経営成績または財政状態に重大な影響を及ぼす、または及ぼす可能性が合理的に高い、特定されたサイバーセキュリティ・リスクまたは脅威はなかった。当社はサイバーセキュリティ保険に加入しているが、サイバーセキュリティインシデントや混乱に関連する費用は完全に保険で賄えない可能性がある。項目1A. リスク要因」を参照のこと。
Governance ガバナンス
The Information Security Director, who reports to the CIO, is responsible for establishing basic policies and procedures related to cybersecurity.The Information Security Director is also responsible for selecting the CIRT and the CIC to lead the response to each incident. Established policies and procedures are employed by the CIRT in planning and executing a response to a cybersecurity incident. The CIO and the Information Security Director have over 55 combined years of information technology and program management experience and have served over 31 combined years in the Company’s corporate information security organization. They are familiar with the Company’s cybersecurity landscape, risks and best practices for mitigation of those risks identified. 情報セキュリティ・ディレクターはCIOの直属であり、サイバーセキュリティに関する基本的な方針と手順を確立する責任を負っている。情報セキュリティ・ディレクターはまた、各インシデントへの対応を主導するCIRTとCICを選定する責任も負っている。確立されたポリシーと手順は、CIRT がサイバーセキュリティインシデントへの対応計画を立案し、実行する際に採用される。CIOと情報セキュリティ・ディレクターは、合わせて55年以上の情報技術およびプログラム管理の経験を有し、当社の情報セキュリティ組織で合わせて31年以上勤務している。彼らは当社のサイバーセキュリティの状況、リスク、特定されたリスクを低減するためのベストプラクティスに精通している。
The Company has developed a matrix to assist in determining if a cybersecurity incident is significant. The Information Security Director, with the help of the CIRT, determines whether an incident should be escalated to executive management, including to the Chief Executive Officer, the Chief Financial Officer and the General Counsel, based on its significance. Once escalated, executive management determines the appropriate incident handling strategy, with input from the Information Security Director, including whether the incident warrants immediate notification to the Audit Committee of the Board of Directors. After determining the incident handling approach, the CIC regularly updates executive management on incident response progress to ensure it is aware of the business risks posed by the incident until the incident is resolved. 当社は、サイバーセキュリティインシデントが重大かどうかを判断するためのマトリクスを開発した。情報セキュリティ・ディレクターは、CIRT の助けを借りて、インシデントがその重要性に基づいて、最高経営責任者、最高財務責任者、法律顧問を含む経営幹部にエスカレーションされるべきかどうかを決定する。一旦エスカレーションされると、経営幹部は、インシデントが取締役会の監査委員会に直ちに通知する必要があるかどうかを含め、情報セキュリティ・ディレクターの意見を取り入れながら、適切なインシデント・ハンドリング戦略を決定する。インシデントハンドリングのアプローチを決定した後、CICは定期的にインシデント対応の進捗状況を経営陣に報告し、インシデントが解決されるまで、インシデントがもたらすビジネスリスクを経営陣が認識できるようにする。
The Board of Directors delegates oversight of information technology and cybersecurity to the Audit Committee of the Board of Directors. As part of this oversight, information technology leadership annually provides a detailed cybersecurity update to the Audit Committee. Additionally, on a quarterly basis, the Audit Committee receives a summarized cybersecurity update, including the results of teammate phishing testing programs and the results of the quarterly cybersecurity disclosure questionnaires. In the event of a material cybersecurity incident, the Audit Committee will report such incident to the full Board of Directors. 取締役会は、情報テクノロジーとサイバーセキュリティの監督を取締役会監査委員会に委任している。この監視の一環として、情報技術指導部は毎年、監査委員会にサイバーセキュリティに関する詳細な最新情報を提供している。さらに四半期ごとに、監査委員会はチームメイトのフィッシング・テスト・プログラムの結果や四半期ごとのサイバーセキュリティ開示アンケートの結果など、サイバーセキュリティに関する最新情報の要約を受け取る。重要なサイバーセキュリティインシデントが発生した場合、監査委員会は当該インシデントを取締役会に報告する。

 

 

McDonalds Corp.

・2024.02.22 10-K (Annual report)

CYBERSECURITY サイバーセキュリティ
Governance ガバナンス
Management has primary responsibility for enterprise-wide risk management (“ERM”), including cybersecurity risk, within our Company, as detailed below. Our Board of Directors is responsible for overseeing our ERM framework and exercises this oversight both as a full Board and through its standing committees. Our Board’s Public Policy & Strategy Committee (“PPS Committee”) has oversight responsibility for our strategy and processes relating to cybersecurity risk management. Our PPS Committee receives updates at regular intervals on cybersecurity matters from management, including our Global Chief Information Officer (“CIO”) and Chief Information Security Officer (“CISO”) who, as discussed below, are responsible for assessing and managing material cybersecurity risks. Such updates include a discussion of the status of our cybersecurity landscape and our cybersecurity strategies, including potential risks and mitigation efforts. If a cybersecurity incident meets our established internal escalation threshold, accelerated reporting of the incident is provided to the applicable members of the Board. The PPS Committee also considers potential remedies to any strategic or process gaps that may be identified during the Company’s review of specific cybersecurity incidents. 経営陣は、以下に詳述するとおり、サイバーセキュリティ・リスクを含むエンタープライズ全体のリスクマネジメント(以下「ERM」という。当社の取締役会は、当社のERMフレームワークを監督する責任を負っており、取締役会全体として、また常任委員会を通じてこの監督を行う。当社取締役会の公共政策・戦略委員会(「PPS委員会」)は、サイバーセキュリティ・リスクマネジメントに関する当社の戦略とプロセスに対する監督責任を有する。当社のPPS委員会は、後述するように、重要なサイバーセキュリティリスクのアセスメントとマネジメントに責任を負う当社のグローバル最高情報責任者(CIO)および最高情報セキュリティ責任者(CISO)を含む経営陣から、サイバーセキュリティに関する最新情報を定期的に受け取っている。このような更新には、当社のサイバーセキュリティの状況、および潜在的リスクと低減努力を含む当社のサイバーセキュリティ戦略に関する議論が含まれる。サイバーセキュリティインシデントが社内で確立されたエスカレーション閾値を満たした場合、インシデントの迅速な報告が該当する取締役会メンバーに提供される。PPS委員会はまた、特定のサイバーセキュリティ・インシデントのレビュー中に特定される可能性のある戦略上またはプロセス上のギャップに対する潜在的な改善策を検討する。
Our Board of Directors recognizes the importance to the Company of effectively identifying, assessing and managing risks that could have a significant impact on our business strategy. The ERM framework leverages internal risk committees comprised of cross-functional leadership who meet regularly to evaluate and prioritize risks, including cybersecurity risk, in the context of our strategy, with further escalation to our CEO, Board and/or Committees, as appropriate. Effective management of cybersecurity risks is critical to the successful execution of our business strategy. 当社の取締役会は、当社の事業戦略に重大な影響を及ぼしうるリスクを効果的に特定、アセスメント、マネジメン トすることが当社にとって重要であることを認識している。ERMの枠組みは、サイバーセキュリティ・リスクを含むリスクを当社の戦略に照らして評価し、優先順位を決定するために定期的に開催される、部門横断的なリーダーシップで構成される社内のリスク委員会を活用しており、必要に応じてCEO、取締役会、および/または委員会にさらにエスカレーションされる。サイバーセキュリティ・リスクを効果的にマネジメントすることは、当社の事業戦略を成功裏に遂行するために不可欠である。
Risk Management and Strategy リスクマネジメント戦略と戦略
Our CIO and CISO are responsible for assessing and implementing our cybersecurity risk management programs, which are informed by the National Institute of Standards and Technology (NIST) Cybersecurity Framework. These leaders and their teams have significant relevant experience in various fields, such as incident response, application security, data protection, network security and identity and access management, and have implemented and executed security programs across multiple industries at Fortune 100 companies. Our programs are designed to create a comprehensive, cross-functional approach to identify and mitigate cybersecurity risks as well as to prevent cybersecurity incidents in an effort to support business continuity and achieve operational resiliency. 当社のCIOとCISOは、国立標準技術研究所(NIST)のサイバーセキュリティ・フレームワークに準拠したサイバーセキュリティ・リスクマネジメント・プログラムのアセスメントと実施に責任を負っている。これらのリーダーとそのチームは、インシデント対応、アプリケーション・セキュリティ、データ保護、ネットワーク・セキュリティ、ID・アクセス管理など、さまざまな分野で関連する重要な経験を有しており、フォーチュン100社のさまざまな業界でセキュリティ・プログラムを実施・実行してきた。当社のプログラムは、サイバーセキュリティ・リスクを特定・軽減し、サイバーセキュリティ・インシデントを未然に防ぐための包括的かつ部門横断的なアプローチを構築することで、事業継続を支援し、業務レジリエンスを実現することを目的としている。
We leverage certain third-party providers and local technology support teams to help execute certain aspects of our cybersecurity risk management programs. We also engage third parties in assessments and testing of our policies, processes and standards that are designed to identify and remediate cybersecurity incidents. These efforts include a wide range of activities focused on evaluating the effectiveness of the program, including audits, modeling, tabletop exercises and vulnerability testing. We also periodically engage independent third parties to perform assessments and evaluations of certain aspects of our information security control environment and operation of our program. Further, we have various processes and programs to manage cybersecurity risks associated with our use of third-party vendors and suppliers. 当社は、サイバーセキュリティ・リスク管理プログラムの特定の側面の実行を支援するために、特定のサードパーティ・プロバイダーと現地の技術サポート・チームを活用している。また、サイバーセキュリティ・インシデントの特定と是正を目的とした当社のポリシー、プロセス、標準のアセスメントとテストにサードパーティを関与させている。こうした取り組みには、監査、モデリング、机上演習、脆弱性テストなど、プログラムの有効性評価に焦点を当てた幅広い活動が含まれる。また、独立したサードパーティを定期的に雇い、当社の情報セキュリティ管理環境とプログラムの運用の特定の側面についてアセスメントと評価を行っている。さらに、サードパーティーのベンダーやサプライヤーの利用に関連するサイバーセキュリティ・リスクを管理するためのさまざまなプロセスやプログラムを用意している。
We provide regular, mandatory training for employees regarding cybersecurity threats to bring awareness on how they can help prevent and report potential cybersecurity incidents. In addition, key stakeholders involved with our cybersecurity risk management programs receive additional training and regularly participate in scenario-based training exercises to support the effective administration of our programs. 従業員に対しては、サイバーセキュリティの脅威に関する定期的な必須トレーニングを実施し、潜在的なサイバーセキュリティインシデントの予防と報告について従業員の意識向上を図っている。さらに、当社のサイバーセキュリティ・リスクマネジメント・プログラムに関与する主要な利害関係者は、追加的なトレーニングを受け、当社のプログラムの効果的な運営をサポートするために、シナリオベースのトレーニング演習に定期的に参加している。
We have established and regularly tested incident response processes and controls that identify and risk-rank incidents through a centralized system to promote timely escalation of cybersecurity incidents that exceed a particular level of risk, including escalation of incidents of sufficient magnitude or severity to our CIO and CISO. In evaluating cybersecurity incidents, management considers the potential impact to our results of operations, control framework, and financial condition, as well as the potential impact, if any, to our business strategy or reputation. 当社は、特定のリスクレベルを超えるサイバーセキュリティインシデントのタイムリーなエスカレーション(十分な規模または重大性のあるインシデントのCIOおよびCISOへのエスカレーションを含む)を促進するため、集中システムを通じてインシデントを特定し、リスクランク付けするインシデント対応プロセスおよびコントロールを確立し、定期的にテストしている。サイバーセキュリティインシデントを評価する際、経営陣は当社の経営成績、統制の枠組み、財務状況に与える潜在的な影響、および事業戦略や評判に与える潜在的な影響(もしあれば)を考慮する。
Cybersecurity threats, including as a result of our previous cybersecurity incidents, have not materially affected our results of operations or financial condition, including our business strategy, in 2023. For additional information on risks from cybersecurity threats, please see our Risk Factors beginning on page 28. 当社の過去のサイバーセキュリティ・インシデントの結果を含むサイバーセキュリティの脅威は、2023年において、当社の事業戦略を含む経営成績または財政状態に重大な影響を及ぼしていない。サイバーセキュリティの脅威によるリスクに関する追加情報については、28ページから始まる「リスク要因」を参照されたい。

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.19 SECのルールの改正によるサイバーセキュリティ開示 (20-F) 阿里巴巴 (Alibaba)、捜狐 (SOHU)、網易 (NETEASE) の場合

・2024.07.15 SECのルールの改正によるサイバーセキュリティ開示 (20-F) ORIX、野村、タケダ、ソニー、トヨタ、ホンダの場合

・2024.07.14 SECのルールの改正によるサイバーセキュリティ開示 (10-K) IBM, Intel, Boeing, AMEX, Jonson & Johnson, Pfizer, Coca-Cola. McDonaldsの場合

・2024.06.02 米国 SEC ニューヨーク証券取引所を所有するインターコンチネンタル取引所をサイバー侵入をしていたのに通知しなかったいうことで1000万ドル(約16億円)の罰金を受け入れていますね... (2024.05.22)

・2023.11.08 米国 SEC ソーラーウィンズ社と最高情報セキュリティ責任者を詐欺と内部統制の不備で告発 (2023.10.30)

・2023.09.16 米国 カジノホテルグループのシーザーズがサイバー攻撃を受けて8-Kを公表していますね。。。

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

・2023.03.17 米国 SEC 米国証券市場のサイバーセキュリティリスクに対処するための新たな要件を市場関係者向けに提案

 

 

 

| | Comments (0)

2024.07.13

防衛白書(2024年)

こんにちは、丸山満彦です。

防衛省が令和6年、2024年の防衛白書を公表しましたね。。

70周年...

今年も表紙がいいですね。。。

今年の表紙のコンセプトは、刀鍛冶。込められた思いは抑止力の維持ですかね...ほとんど全ての市井の人は戦争なんてしたくないし、戦争に行きたくもない...


表紙のコンセプト「刀鍛冶」

防衛省・自衛隊は発足以来、「刀を抜かないために」必死で刀を鍛えてきました。すなわち、抑止力となる刀を鍛え上げ、わが国に対する武力侵攻を未然に防いできました。自衛隊発足70周年の節目にあたり、国家安全保障戦略などを踏まえ、わが国の防衛力、抑止力が順調に強化されている様と、今後もたゆまぬ努力を続ける決意を表現しています。


 

特集1 白書でひも解く 自衛隊発足70年の歩み

特集2 私はこうして「日本を守る! 」

 

20240713-55103

 

・2024.07.12 報道・白書・広報イベント|令和6年度版防衛白書を掲載

 


 

サイバーという用語は508ヶ所にでてきますね...

新しい領域ということで、宇宙、サイバー、電磁波に関する文書が増えていますかね...

 


第I部

第4章 宇宙・サイバー・電磁波の領域や情報戦などをめぐる動向・国際社会の課題など

第3節 サイバー領域をめぐる動向

1 サイバー空間と安全保障

インターネットは、様々なサービスやコミュニティが 形成され、新たな社会領域(サイバー空間)として重要 性を増している。このため、サイバー空間上の情報資産 やネットワークを侵害するサイバー攻撃は、社会に深刻 な影響を及ぼすことができるため、安全保障にとって現 実の脅威となっている。 サイバー攻撃の種類は、不正アクセス、マルウェア(不 正プログラム)による情報流出や機能妨害、情報の改ざ ん・窃取、大量のデータの同時送信による機能妨害のほ か、電力システムや医療システムなど重要インフラのシ ステムダウンや乗っ取りなどがあげられる。また、AIを 利用したサイバー攻撃の可能性も指摘されるなど、攻撃 手法は高度化、巧妙化している。 軍隊にとっても、サイバー空間は、指揮中枢から末端 部隊に至る指揮統制のための基盤であり、サイバー空間 への依存度が増大している。サイバー攻撃は、攻撃主体 の特定や被害の把握が容易ではないことから、敵の軍事 活動を低コストで妨害できる非対称な攻撃手段として認 識されており、多くの国がサイバー攻撃能力を開発して いるとみられる。

2 サイバー空間における脅威の動向

諸外国の政府機関や軍隊のみならず民間企業や学術機関などに対するサイバー攻撃が多発しており、重要技術、機密情報、個人情報などが標的となっている。また、高度サイバー攻撃(A Advanced Persistent Threat PT)は、特定の組織を執拗に攻撃するとされ、長期的な活動を行うための潤沢なリソース、体制や能力が必要となることから、組織的活動であるとされる。

このようなサイバー攻撃に対処するために、脅威認識の共有などを通じて諸外国との技術面・運用面の協力が求められている。こうしたなか、米国は、攻撃主体が悪意のあるサイバー活動によって非対称な優位性を獲得し、重要インフラを標的にすることで、米国の軍事的優位性を低下させていると評価しており、特に、中国、ロシア、北朝鮮、イランをあげている1

1 中国

中国では、これまで、サイバー戦部隊は戦略支援部隊のもとに編成されていたとみられてきたが、この戦略支援部隊は、2024年に信息(情報)支援部隊などに再編された可能性が指摘されている。なお、2024年以前の戦略支援部隊は17万5,000人規模とされており、このうち、サイバー攻撃部隊は3万人との指摘もあった。台湾国防部は、サイバー領域における安全保障上の脅威として、中国が平時において、情報収集・情報窃取によりサイバー攻撃ポイントを把握し、有事では、国家の基幹インフラや情報システムの破壊、社会の動揺、秩序の混乱をもたらし、軍や政府の治安能力を破壊すると指摘している2。また、中国が2019年に発表した国防白書「新時代における中国の国防」において、軍によるサイバー空間における能力構築を加速させるとしているなど、軍のサイバー戦能力を強化していると考えられる。

3章2節2項5(軍事態勢)

中国は、サイバー空間において、日常的に技術窃取や国外の敵対者の監視活動を実施しているとされ3 、2023年には、次の事案への関与が指摘されている。

・ 2023年4月、米司法省は、米居住の中国反体制派のオンライン会議において、反体制派の発信をメッセージの大量送信により妨害したとして、中国政府職員を起訴。

・ 2023年5月、米国と英国などは、中国政府が支援するサイバーアクター「Volt Typhoon」が米国の重要インフラに侵入していたと公表。痕跡が残らないように、侵入先の環境にあるネットワークツールを使用して検知を回避していたと指摘。

・ 2023年7月、米IT企業は、中国を拠点とするサイバーアクター「Storm-0558」が米国務省、商務省などの電子メールアカウントをハッキングしていたと公表。

・ 2023年8月、米IT企業は、中国を拠点とするサイバーアクター「Flux Typhoon」が台湾の政府機関などに侵入し、長期的なアクセスを確立・維持していたと公表。

・ 2023年9月、警察庁・内閣サイバーセキュリティセンターなどは、中国を背景とするサイバーアクター「BlackTech」がわが国を含む東アジアと米国の政府、産業、技術分野などの情報窃取を目的としたサイバー攻撃をしたとして注意喚起。

2 北朝鮮

北朝鮮には、偵察総局、国家保衛省、朝鮮労働党統一戦線部、文化交流局の4つの主要な情報機関と対外情報機関が存在しており、情報収集の主たる標的は韓国、米国とわが国であるとの指摘がある4 。また、人材育成はこれらの機関が行っており5 、軍の偵察総局を中心に、サイバー部隊を集中的に増強し、約6,800人を運用中と指摘されている6 。各種制裁措置が課せられている北朝鮮は、国際的な統制をかいくぐり、通貨を獲得するための手段としてサイバー攻撃を利用しているとみられる7ほか、軍事機密情報の窃取や他国の重要インフラへの攻撃能力の開発などを行っているとされる。2024年に発表された「国連安保理北朝鮮制裁委員会専門家パネル2023年最終報告書」においては、2017年から2023年までの北朝鮮の関与が疑われる暗号資産関連企業に対する58件のサイバー攻撃の被害が約30億ドルにのぼるほか、北朝鮮は外貨収入の約5割をサイバー攻撃により獲得し大量破壊兵器計画に使用していると報告されている。2023年には、次の事案への関与が指摘されている。

・ 2023年4月、米司法省は、サイバー攻撃によって得た暗号資産を資金洗浄したなどとして北朝鮮の朝鮮貿易銀行の幹部を起訴。

・ 2023年6月、韓国と米国は、北朝鮮のサイバーアクター「キムスキー」がソーシャルエンジニアリングを利用した不正アクセスによって外交情報を収集していたとして注意喚起。

・ 2023年7月、米セキュリティ企業は、北朝鮮偵察総局傘下とみられるサイバーアクターが米ソフトウェア事業者のシステムに侵入し、この事業者の顧客に対して悪意のあるスクリプトを実行したと発表。

・ 2023年8月、米連邦捜査局は、北朝鮮のサイバーアクターが6月に複数事業者から数億ドル相当の暗号資産を窃取していたとして注意喚起。

・ 2023年10月、韓国国家情報院は、8月と9月に北朝鮮のハッカーが韓国国内の造船企業やその従業員に対して、技術情報窃取とみられるサイバー攻撃の試みを検知したとして注意喚起。

3 ロシア

ロシアについては、軍参謀本部情報総局、連邦保安庁、対外情報庁がサイバー攻撃に関与しているとの指摘があるほか、軍のサイバー部隊8 の存在が明らかとなっている。サイバー部隊は、敵の指揮・統制システムへのマル ウェアの挿入を含む攻撃的なサイバー活動を担うとされ9、その要員は、約1,000人と指摘されている。また、2021年に公表した国家安全保障戦略において、宇宙・情報空間は、軍事活動の新たな領域として活発に開発されているとの認識を示し、情報空間におけるロシアの主権の強化を国家の優先課題として掲げている。なお、2019年には、サイバー攻撃などの際にグローバルネットワークから自国のネットワークを遮断し、ネットワークの継続性を確保することを想定したいわゆるインターネット主権法を施行している。ロシアは、スパイ活動、影響力行使、攻撃に関する能力を向上させているとされ10 、2023年には、次の事案への関与が指摘されている。

・ 2023年4月、ポーランドは、ロシア連邦保安庁に関連するサイバーアクターがEU諸国の省庁などを標的とする広範な諜報活動を観測したとして注意喚起。大使館を装い、マルウェアを挿入させるリンク付き電子メールを送信していたと指摘。

・ 2023年5月、米国と英国などは、ロシア連邦保安庁がマルウェア「Snake」を使用し、50か国以上で20年近く諜報活動をしていたと発表。マルウェアに感染したコンピュータは、暗号化したネットワークを構築し、偽装した通信を中継していたと指摘。

・ 2023年6月、ウクライナは、ロシアのサイバーアクター「APT28」がウクライナの省庁などに対して、ウェブメールの脆弱性を悪用した諜報活動をしていたとして注意喚起。

・ 2023年8月、ウクライナ、英国、米国は、ロシア軍参謀本部情報総局がウクライナ軍の使用する端末に対して新しいマルウェア「Infamous Chisel」を展開しようとしていたとして注意喚起。

・ 2023年12月、英国と米国などは、ロシア連邦保安庁傘下のサイバーアクター「Star Blizzard」が英国やその他の地域の組織や個人を標的とするスピアフィッシング攻撃をしていたとしてロシアを非難。

4 その他の脅威の動向近年では、日常的に使用する製品の脆弱性やセキュリティが緩い取引先などを介したサプライチェーン攻撃や、重要インフラなどの産業制御システムへのサイバー攻撃も注目されている。

サプライチェーン攻撃は、製品の部品調達から販売に至る供給過程において、信頼している組織やソフトウェアを侵害して標的となる組織に侵入するため、従来セキュリティの回避が懸念されている。2023年に、米国と英国などは、ランサムウェア攻撃を仕掛けるアクター「cl0p」が政府機関の使用するソフトウェアの脆弱性を利用して政府ネットワーク内に侵入していたとして注意喚起している。

産業制御システムへのサイバー攻撃は、これまでは独自仕様やクローズドなシステムであったものが、ITの利用によりオープンなシステムに移行することで、攻撃の標的になりやすくなっていることから、重要インフラなどへのサイバー攻撃が懸念されている。2022年に欧州のセキュリティ企業は、ウクライナ送変電施設へのロシアのサイバー攻撃において、ITネットワークよりも内側にある産業制御システムに侵入し、破壊的なマルウェアを展開しようとしていたと指摘している。また、宇宙システムについても、2022年に衛星通信事業者に対するロシアのサイバー攻撃によって衛星通信サービスが中断している。このため、各国は衛星通信に関する新たなアドバイザリやガイドラインなどによりセキュリティ対策を強化するほか、欧米では、宇宙システムの脆弱性を明確にする侵入試験やハッキング競技会なども実施されている。

3 サイバー空間における脅威に対する動向

こうしたサイバー空間における脅威の増大を受け、各国で各種の取組が進められている。サイバー空間に関しては、国際法の適用のあり方など、基本的な点についても国際社会の意見の隔たりがあるとされ、例えば、米国、欧州、わが国などが自由なサイバー空間の維持を訴える一方、ロシアや中国、新興国などの多くは、サイバー空間の国家管理の強化を訴えている。国連では、2021年から2025年にかけ、サイバー空間における脅威認識、規範、国際法の適用など幅広い議論をするオープン・エンド作業部会が開催されている。

参照 Ⅲ部1章4節5項(サイバー領域での対応)

1 米国

米国では、連邦政府のネットワークや重要インフラのサイバー防護に関しては、国土安全保障省が責任を有しており、国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(Cybersecurity and Infrastructure Security Agency; CISA)が政府機関のネットワーク防御に取り組んでいる。

戦略面では、国家サイバーセキュリティ戦略を発表し、重要インフラの防御や脅威アクターの阻止・解体などに注力するとしている。また、連邦政府機関のサイバーセキュリティを強化するための「ゼロトラスト11戦略」を発表し、各省庁に対してゼロトラストモデルのセキュリティ対策を求めている。さらに、不足するサイバー人材を確保するため国家サイバー人材・教育戦略を発表し、国民の基本的サイバースキルの習得やサイバー教育の変革などに長期的に対処するとしている。

安全保障に関しては、国家安全保障戦略において、サイバー攻撃の抑止を目指し、サイバー空間における敵対的行動に断固として対応するとし、国家防衛戦略では、サイバー領域における抗たん性の構築を優先し、直接的な抑止力の手段として攻勢的サイバー防御をあげている。また、国防省のサイバー戦略2023では、攻撃者の組 織・能力・意図を追跡し、悪意のあるサイバー活動を妨害・劣化させて防御するほか、統合軍のサイバー領域での作戦を支援し、同盟国や関係国と協力して防御するとしている。

なお、2019年日米「2+2」では、サイバー分野における協力を強化していくことで一致し、国際法がサイバー空間に適用されるとともに、一定の場合には、サイバー攻撃が日米安全保障条約にいう武力攻撃に当たりうることを確認している。米軍は、2018年に統合軍に格上げされたサイバー軍が、サイバー空間における作戦を統括している。米サイバー軍は、国防省の情報ネットワークの防護、敵のサイバー活動監視や攻撃防御、統合軍の作戦支援などのチームから構成されており、6,200人規模である。また、米軍は、ラトビアやリトアニアなどのパートナー国において、重要なネットワーク上の悪意のあるサイバー活動に 対して、防御し妨害する作戦を実施している。

2 韓国

韓国は、2024年、北朝鮮などによるサイバー脅威や高度化するサイバー環境に対応するため、攻勢的サイバー防御や抗たん性確保などを目標とする新しい「国家サイバー安保戦略」を発表している。国防部門では、韓国軍は、サイバー作戦態勢を強化し、サイバー空間における脅威に効果的に対応するため、2019年に合同参謀本部を中心としたサイバー作戦の遂行体系を構築するとともに、合同参謀本部、サイバー作戦司令部、各軍の連携体制を整備した。2023年には、米韓サイバー安全保障協力を強化するため、米韓高官級協議体「高位運営グループ」が発足している。

3 オーストラリア

オーストラリアは、2022年に発表した国防サイバーセキュリティ戦略において、サイバー脅威環境に適応した任務重視かつ最新のサイバーセキュリティをベストプラクティスとパートナーシップによって実現するとし、運用モデル実装や能力取得など行動目標を定めている。また、2023年に公表した「2023年から2030年までのサイバーセキュリティ戦略」において、2030年までにサイバーセキュリティの世界的なリーダーになるためのロードマップを定めている。

2023年に公表した国防戦略見直しでは、ドメイン統合作戦を支援するサイバー能力を広範に強化すべきとしており、2024年に公表した国家防衛戦略および統合投資プログラムにおいて、2034年までの10年間にわたり、サイバー能力を含む防衛能力を向上させることとしている。

組織面では、オーストラリアサイバーセキュリティセンター(A Australian Cyber Security Centre CSC)を設置し、政府機関と重要ンフラに関する重大なサイバーセキュリティ事案に対処している。また、2022年、サイバー攻撃を未然に阻止するため、通信局と連邦警察から選抜された100名のサイバー要員で構成される常設共同タスクフォースの新設を発表し、サイバーセキュリティ大臣は攻勢的なサイバー防御を明言した。

豪軍は、2017年に統合能力群内に情報戦能力部を、2018年にその隷下に国防通信情報・サイバー・コマンド(D Defence Signals Intelligence and Cyber Command SCC)を設立した。空軍では、職種区分としてネットワーク、データ、情報システムなどを防護するサイバー関連特技を新設し、2019年に新設した特技の募集を開始した。

4 欧州

EUは、2020年に「デジタル10年のためのEUのサイバーセキュリティ戦略」を発表し、強靱なインフラと重要サービスのための規則改正や、民間・外交・警察・防衛各分野横断型の共同サイバーユニットの設立などを目標としている。加えて、EUの市民とインフラの保護能力強化などのため、2022年にEUサイバー防衛政策を発表している。

また、域内のサイバー協力のため、サイバー防御活動の共通フレームワークを加盟国軍のサイバー事案対処チームでの利用を進めるほか、加盟国相互のサイバーセキュリティ支援などに取り組んでいる。2023年には、サイバー関連の危機対応のため、加盟国間の情報共有と状況認識を強化する運用者レベルでの演習を実施している。

NATOは、2014年のNATO首脳会議において、加盟国に対するサイバー攻撃をNATOの集団防衛の対象とみなすことで合意している。また、2023年のNATO首脳会議では、サイバー防衛分野の政治、軍事、技術を統合して平時・危機・有事を通して軍民協力を確保し、重要インフラを含む国家サイバー防衛をさらに強化するとしている。

組織面では、NATOサイバーセキュリティセンターがNATO自身のネットワークを保護するほか、サイバー領域作戦センターがサイバー領域における作戦行動の調整、行動自由の確保、脅威への回復力を提供している。2023年には、悪意のある重大なサイバー活動に対する支援として仮想サイバー事案支援能力(V Virtual Cyber Incident Support Capability CISC)を立上げている。

また、研究や訓練などを行う機関としてNATOサイバー防衛協力センター(Cooperative Cyber Defence Centre of Excellence CCDCOE)が2008年に認可さ れた。CCDCOEは、サイバー活動に適用される国際法をとりまとめたタリンマニュアル2.0を2017年に公表しており、このマニュアルを3.0へ更新する取組が進められている。また、2023年、CCDCOE主催「ロックド・シールズ」や、NATO主催「サイバー・コアリション」のサイバー防衛演習が開催され、NATO加盟国のほか、わが国も参加している。

英国は、2021年に公表した国家サイバー戦略において、敵対勢力の探知・阻止・抑止などの戦略的目標を掲げている。また、2023年に公表した「国家サイバー部隊:責任あるサイバー戦力の実践」では、テロ活動の妨害、APT脅威への対抗、選挙干渉の軽減などを実施し、今後、国家サイバー部隊の規模・能力・機能統合を追求するとしている。

組織面では、2016年に、国のサイバーインシデントに対応し、官民のパートナーシップを推進するため、国家サイバーセキュリティセンターを政府通信本部に新設した。また、2020年に軍のネットワーク防護を担当する第13通信連隊を発足させたほか、国家サイバー部隊を設立している。

フランスは、2015年に発表した国家デジタルセキュリティ戦略において、サイバー空間の基本的利益を保護し、サイバー犯罪への対応を強化するなどとしている。また、2018年の「サイバー防御の戦略見直し」では、サ イバー危機管理プロセスを明確化している。

組織面では、2017年に統合参謀本部隷下にサイバー防衛軍を発足させており、2025年までに約5,000名規模の人員に増強し、サイバー防衛能力を強化するとしている。また、2023年に成立した「2024から2030年の軍事計画法」では、サイバー任務のための戦術・手法・手順を構築するセンター・オブ・エクセレンス(研究拠点)の創設を目指すとしている。

1 米国防省「サイバー戦略2023」(2023年)による。

2 台湾国防部「国防報告書」(2021年)による。

3 米国防省「サイバー戦略2023」(2023年)による。

4 米国防情報局「北朝鮮の軍事力」(2021年)による。

5 韓国国防部「2016国防白書」(2017年)による。

6 韓国国防部「2022国防白書」(2023年)による。

7 米国防情報局「北朝鮮の軍事力」(2021年)による。

8 2017年2月、ロシアのショイグ国防相の下院の説明会での発言による。ロシア軍に「情報作戦部隊」が存在するとし、欧米との情報戦が起きており「政治宣伝活動に対抗する」としている。ただし、ショイグ国防相は部隊名の言及はしていない。

9 2015年9月、クラッパー米国家情報長官(当時)が下院情報委員会で「世界のサイバー脅威」について行った書面証言による。

10 米国防省「サイバー戦略2023」(2023年)による。

11 「内部であっても信頼しない、外部も内部も区別なく疑ってかかる」という性悪説に基づいた考え方。利用者を疑い、端末などの機器を疑い、許されたアクセス権でも、なりすましなどの可能性が高い場合は動的にアクセス権を停止する。防御対象の中心はデータや機器などの資源。

 

  

サイバー安全保障という用語は19ヶ所にでてきますね...

 


第III部 防衛目標を実現するための3つのアプローチ

第1章 わが国自身の防衛体制

3 サイバー安全保障

政府は、国家安全保障戦略を踏まえ、武力攻撃に至らないものの安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合に能動的サイバー防御を導入することなど、政府全体としてサイバー安全保障分野における対応能力を欧米主要国と同等以上に向上させる方針である。

2024年度においては、特に、政府機関などの情報システムのサイバーセキュリティ確保についての施策を中心に事業を計画している。このほか、サイバー安全保障関連予算の一定の増強を図るとともに、複数の幹部職員の新たな配置と指揮命令系統の強化により、内閣サイバーセキュリティセンター(NISC; National center of Incident readiness and Strategy for Cybersecurity)の抜本的強化を図る。また、能動的サイバー防御の実施に関する事業については、関連する法整備に向けた検討の進展状況を踏まえつつ、実施すべき事業について引き続き精査を行うこととしている。

20240713-70502


 

第4節 ミサイル攻撃を含むわが国に対する侵攻への対応

5 サイバー領域での対応

サイバー領域においては、諸外国や関係省庁、民間事業者との連携により、平素から有事までのあらゆる段階において、情報収集、共有を図るとともに、わが国全体としてのサイバー安全保障分野での対応能力の強化を図ることが重要である。政府全体において、サイバー安全保障分野の政策が一元的に総合調整されていくことを踏まえ、防衛省・自衛隊においては、自らのサイバーセキュリティのレベルを高めつつ、関係省庁、重要インフラ事業者、防衛産業との連携強化に資する取組を推進することとする。Ⅰ部4章3節(サイバー領域をめぐる動向)

1 政府全体としての取組

政府は、国家安全保障戦略を踏まえ、武力攻撃に至らないものの安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合に能動的サイバー防御を導入することなど、政府全体としてサイバー安全保障分野における対応能力を欧米主要国と同等以上に向上させる方針である。2024年度においては、特に、政府機関などの情報システムのサイバーセキュリティ確保についての施策を中心に事業を計画しているほか、内閣サイバーセキュリティセンター(N National center of Incident readiness and Strategy for Cybersecurity ISC)の抜本的強化を図ることとしている。

1節2項3(サイバー安全保障)

2 防衛省・自衛隊の取組

サイバー領域は、国民生活にとっての基幹インフラであるとともに、わが国の防衛にとっても領域横断作戦を遂行する上で死活的に重要である。近年のサイバー空間における厳しい情勢を踏まえ、国家安全保障戦略においては、武力攻撃に至らないものの、安全保障上の懸念を生じさせる重大なサイバー攻撃を可能な限り未然に排除し、発生してしまった場合には被害の拡大を防止するため、能動的サイバー防御を導入することとしている。防衛省・自衛隊は、能動的サイバー防御を含むサイバー安全保障分野における政府全体での取組と連携していく。その際、重要なシステムなどを中心に常時継続的にリスク管理を実施する態勢に移行し、これに対応するサイバー要員を大幅増強するとともに、特に高度なスキルを有する外部人材を活用することにより、高度なサイバーセキュリティを実現する。高いサイバーセキュリティの能力により、あらゆるサイバー脅威から自らを防護するとともに、その能力を活かしてわが国全体のサイバーセキュリティの強化に取り組んでいくこととする。

20240713-83410

このため、2027年度までに、サイバー攻撃31状況下においても、指揮統制能力や優先度の高い装備品システムを保全できる態勢を確立し、また防衛産業のサイバー防衛を下支えできる態勢を確立する。今後、おおむね10年 後までに、サイバー攻撃状況下においても、指揮統制能力、戦力発揮能力、作戦基盤を保全し任務が遂行できる態勢を確立しつつ、自衛隊以外へのサイバーセキュリティを支援できる態勢を強化することとしている。図表Ⅲ-1-4-12(防衛省・自衛隊におけるサイバー攻撃対処のための総合的施策)、資料16(防衛省のサイバーセキュリティに関する近年の取組)

(1)サイバーセキュリティ確保のための体制整備

ア サイバー専門部隊の体制拡充

2022年3月、共同の部隊として自衛隊サイバー防衛隊が新編され、サイバー攻撃などへの対処のほか、陸・海・空自のサイバー専門部隊に対する訓練支援や防衛省・自衛隊の共通ネットワークである防衛情報通信基 盤32(Defense Information Infrastructure DII)の管理・運用などを実施している。2023年度 以降も、自衛隊サイバー防衛隊をはじめ陸・海・空自のサイバー専門部隊の体制を拡充しているほか、サイバー関連業務に従事する隊員のサイバー要員化を推進している。また、2023年7月に整備計画局情報通信課を改編し、サイバー整備課と大臣官房参事官を新設するなど、サイバー政策の企画立案機能も強化した。

イ 民間人材の活用

サイバーセキュリティに関する専門的知見や経験を有する者を自衛官や技官として採用するとともに、官民人事交流も行っている。また、2021年7月から、サイバー領域における高度な知識・スキルや豊富な経験・実績を有する人材をサイバーセキュリティ統括アドバイザーとして採用しているほか、民間企業における実務経験を積んだ者を採用する官民人事交流制度や役務契約などによる外部人材の活用などにも取り組んでいる。2021年から、サイバーセキュリティに関する専門的知見を備えた優秀な人材を発掘することを目的として、防衛省サイバーコンテストを実施31 情報通信ネットワークや情報システムなどの悪用により、サイバー空間を経由して行われる不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動、不正プログラムの実行やDDoS攻撃(分散サービス不能攻撃)など。32 自衛隊の任務遂行に必要な情報通信基盤で、防衛省が保有する自営のマイクロ回線、通信事業者から借り上げている部外回線や衛星回線の各種回線を利用し、データ通信網と音声通信網を構成する全自衛隊の共通ネットワーク。している。さらに、2022年から、新たにサイバーセキュリティの技能を持つ予備自衛官補の採用も開始している。

(2)セキュリティ強化

ア 最新のアーキテクチャの導入

サイバー領域における脅威は日々高度化・巧妙化していることから、情報システムのセキュリティ対策についても、一過性の「リスク排除」から継続的な「リスク管理」へ考え方を転換し、情報システムの運用開始後も常時継続的にリスクを分析・評価し、必要なセキュリティ対策を実施するリスク管理枠組み(Risk Management Framework RMF)を2023年度から実施している。また、境界型セキュリティのみで組織ネットワーク内部を安全に保ちうるという従来の発想から脱却し、ゼロトラストの概念に基づくセキュリティ機能の導入に向けた取組を進めていく。これらにより、防衛省・自衛隊のサイバーセキュリティレベルを向上させ、万が一、組織ネットワーク内部に侵入されたとしても迅速に検知、対処できる体制を構築する。

KEY WORD: ゼロトラスト 組織ネットワーク内部の安全性を当然視せず、内外からすべてのアクセスについて真正性を動的に検証・制御することで、組織の情報資産(データ、デバイス、アプリケーションなど)を安全に保つとの考え方。

20240713-83509

イ 装備品や施設インフラを含めたセキュリティ対策

日々高度化・巧妙化する最新のサイバー攻撃の脅威に対して適切に対応していくためには、情報システムの防護態勢を強化していくことが必要である。そのため、自衛隊のシステムを統合・共通化したクラウドを整備し、一元的なサイバーセキュリティ対策を実施するほか、装備品システムや施設インフラシステムの防護態勢を強化するとともに、ネットワーク内部に脅威が既に侵入している前提で内部の潜在的脅威を継続的に探索・検出するスレットハンティング機能の強化などを進めていく。

ウ 防衛産業サイバーセキュリティの強化

防衛省・自衛隊は、米国の基準であるNIST SP800- 17133と同水準の管理策を盛り込んだ新たな情報セキュリティ基準である「防衛産業サイバーセキュリティ基準」を2022年3月に整備した。これを受け、2023年4月以降、防衛関連企業において保有する情報システムの改修などが進められている。図表Ⅲ-1-4-13(ゼロトラスト概念に基づくセキュリティ機能の強化(イメージ))、Ⅳ部1章1節2項4 (防衛産業保全の強化)

(3)教育・研究

自衛隊のサイバー防衛能力の抜本的強化を図るためには、サイバーセキュリティに関する高度かつ幅広い知識を保有する人材を育成していくことが喫緊の課題であり、教育の拡充や民間の知見の活用も含めて積極的な取組が必要である。このため、高度な知識や技能を修得・維持できるよう、要員をサイバー関連部署に継続的かつ段階的に配属するとともに、部内教育や部外教育による育成を行っている。

各自衛隊の共通教育として、2019年度から陸自通信学校(当時)においてサイバーセキュリティに関する共通的かつ高度な知識を習得させるサイバー共通教育を実施しているほか、米国防大学サイバー戦指揮官要員課程、米陸軍サイバー戦計画者課程への隊員派遣、陸自高等工科学校へのシステム・サイバー専修コースの設置といった取組を実施している。また、2024年3月に、陸自通信学校を陸自システム通信・サイバー学校に改編してサイバー教育部を新設し、サイバー要員を育成する教育基盤を拡充した。防衛大学校においても、サイバーに関するリテラシー教育の拡充を行うとともに、2024年度に情報工学科をサイバー・情報工学科に改編した。

さらに、サイバーセキュリティは高度な知識をもつ専門人材のみならず、ネットワーク・システムを利用するすべての人員のリテラシーなくしては成立しないことから、一般隊員へのリテラシー教育を推進している。

研究面では、2023年度に防衛研究所に新設したサイバー安全保障研究室の研究体制を強化するとともに、防衛装備庁次世代装備研究所において、サイバー攻撃による被害拡大の防止やサイバー攻撃を受けても各種装備システムの運用を継続できるよう、装備システム用サイバー防護技術の研究を進めている。

(4)民間企業や諸外国との連携

サイバー攻撃に対して、迅速かつ的確に対応するためには、民間部門との協力、同盟国などとの戦略対話や共同訓練などを通じ、サイバーセキュリティにかかる最新のリスク、対応策、技術動向を常に把握しておく必要がある。このため、民間企業や同盟国である米国をはじめとする諸外国と効果的に連携していくこととしている。

ア 民間企業などとの協力

2013年7月に、サイバーセキュリティへの関心が高い防衛産業10社程度をメンバーとするサイバーディ フェンス連携協議会(C Cyber Defense Council DC)を設置し、防衛省がハブとなり、防衛産業間において情報共有を実施することにより、情報を集約し、サイバー攻撃の全体像の把握に努めている。また、毎年1回、防衛省・自衛隊と防衛産業にサイバー攻撃が発生した事態などを想定した共同訓練を実施し、防衛省・自衛隊と防衛産業双方のサイバー攻撃対処能力向上に取り組んでいる。

イ 米国との協力

あらゆる段階における日米共同での実効的な対処を支える基盤を強化するため、日米両国がその能力を十分に発揮できるよう、あらゆるレベルにおける情報共有をさらに強化し、情報保全やサイバーセキュリティにかかる取組を抜本的に強化していく。

2013年10月、日米両政府は、防衛当局間の政策協議の枠組みとして日米サイバー防衛政策ワーキンググループ(Cyber Defense Policy Working Group CDPWG)を設置した。この枠組みでは、サイバーに関する政策的な協議の推進、情報共有の緊密化など、幅広い分野に関する専門的・具体的な検討を行った。

2015年には日米防衛協力のための指針(ガイドライン)とCDPWG共同声明が発表され、日米両政府の協力として、迅速かつ適切な情報共有体制の構築や、自衛隊と米軍が任務遂行上依拠する重要インフラの防衛などがあげられるとともに、自衛隊と米軍の協力として、各々のネットワークとシステムの抗たん性の確保や教育交流、共同演習の実施などがあげられた。また、2019年 4月の日米「2+2」では、国際法がサイバー空間に適用されるとともに、一定の場合には、サイバー攻撃が日米 安保条約第5条にいう武力攻撃にあたりうることを確認した。さらに、2023年1月の日米「2+2」や、同年10 月の日米防衛相会談において、サイバー分野における協力を強化することで一致するとともに、日米両政府全体の枠組みである日米サイバー対話への参加や、防衛当局間の枠組みである日米ITフォーラムを継続的に開催するなど、米国との連携強化を一層推進している。運用協力の面では、日米共同統合演習(実動演習)、日米豪共同指揮所演習などにおいてサイバー攻撃対処訓練を実施し、日米共同対処能力の向上に取り組んでいる。

ウ 同志国などとの協力

米国以外の関係国とは、脅威認識の共有、サイバー攻撃対処に関する意見交換、多国間演習への参加などにより、連携・協力を強化することとしている。North Atlantic Treaty Organization NATOなどとの間では、政府全体の枠組みである日

NATOサイバー協議への参加や、防衛当局間においてサイバー空間を巡る諸課題について意見交換する日NATOサイバー防衛スタッフトークスなどを行うとと もに、エストニアに設置されているNATOサイバー防衛協力センター(Cooperative Cyber Defence Centre of Excellence CCDCOE)が主催する「サイバー紛 争に関する国際会議」(International Conference on Cyber Conflict CyCon)に参加している。CCDCOEには、2019年3月から、防衛省から職員を派遣している。2022年10月、CCDCOEの活動への参加にかかる取決めへの署名手続きが完了し、防衛省は正式に同センターの活動に参加することとなった。

このほか、オーストラリア、英国、ドイツ、フランス、エストニアとの防衛当局間のサイバー協議を行っている。また、シンガポール、ベトナムなどとの防衛当局間で、ITフォーラムを実施し、サイバーセキュリティを含む情報通信分野の取組や技術動向に関する意見交換を行っているほか、ASEANに対するサイバーセキュリティ分野の能力構築支援なども実施している。自衛隊のサイバー領域の能力強化や諸外国との連携強化を目的に、2023年4月、CCDCOEが主催する多国間サイバー防衛演習「ロックド・シールズ2023」に日豪合同チームで参加するとともに、2024年2月には英国主催の「ディフェンス・サイバー・マーベル3」に前年に続いて参加した。さらに同月には、陸自が多国間サイバー防護競技会「Cyber KONGO 2024」を主催し、米国、オーストラリア、ドイツ、フランス、リトアニア、ベトナム、フィリピンなど計16か国の参加国とともに、サイバー領域における能力の強化を図った。(

5)政府全体としての取組への寄与

防衛省・自衛隊は、警察庁、デジタル庁、総務省、外務省、経済産業省と並び、サイバーセキュリティ戦略本部の構成員として、NISCを中心とする政府横断的な取組に貢献しており、例えばサイバー攻撃対処訓練への参加 や人事交流、サイバー攻撃に関する情報提供、情報セキュリティ緊急支援チーム34(C Cyber incident Mobile Assistance Team YMAT)に対する要員の派遣などを行っている。また、NISCが実施している府省庁の情報システムの侵入耐性診断に関し、自衛隊が有する知識・経験を活用し、協力している。

31 情報通信ネットワークや情報システムなどの悪用により、サイバー空間を経由して行われる不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動、不正プログラムの実行やDDoS攻撃(分散サービス不能攻撃)など。

32 自衛隊の任務遂行に必要な情報通信基盤で、防衛省が保有する自営のマイクロ回線、通信事業者から借り上げている部外回線や衛星回線の各種回線を利用し、データ通信網と音声通信網を構成する全自衛隊の共通ネットワーク。

33 非政府機関情報システムにおけるセキュリティ管理策であり、米国防省が注意情報を取り扱う契約企業に対して義務付けている情報セキュリティ基準。

34 政府として一体となった対応が必要となる情報セキュリティにかかる事象が発生した際に、被害拡大防止、復旧、原因調査や再発防止のための技術的な支援、助言などを行うチーム。

 

 


 

防衛白書


・HTML版(準備中)

・PDF分割版(準備中)

PDF一括(本編)

20240713-55103

 

PDF一括(資料編)

20240713-61229

 

PDF一括(防衛年表)

20240713-61730

 

・電子書籍(epub)版(準備中)

まるわかり!日本の防衛 ~ はじめての防衛白書2024 ~




パンフレット

 


 

目次...

特集1 白書でひも解く 自衛隊発足70年の歩み
特集2 私はこうして「日本を守る! 」
ダイジェスト
本文第Ⅰ部~第Ⅳ部の記述について、分かりやすく要約しています。

第I部 わが国を取り巻く安全保障環境
第1章 概観

1
グローバルな安全保障環境
2 インド太平洋地域における安全保障環境

第2章 ロシアによる侵略とウクライナによる防衛
1
全般
2 ウクライナ侵略の経過と見通し
3 ウクライナ侵略が国際情勢に与える影響と各国の対応

第3章 諸外国の防衛政策など
第1節 米国

1 安全保障・国防政策
2 軍事態勢
第2節 中国
1 全般
2 軍事
3 対外関係など
第3節 米国と中国の関係など
1 米国と中国の関係(全般)
2 インド太平洋地域における米中の軍事動向
3 台湾の軍事力と中台軍事バランス
第4節 朝鮮半島
1 北朝鮮
2 韓国・在韓米軍
第5節 ロシア
1 全般
2 安全保障・国防政策
3 軍事態勢と動向
4 北方領土などにおけるロシア軍
5 対外関係
第6節 大洋州
1 オーストラリア
2 ニュージーランド
第7節 東南アジア
1 全般
2 各国の安全保障・国防政策
3 各国の軍近代化
4 地域内外における協力
第8節 南アジア
1 インド
2 パキスタン
3 カシミール地方の帰属をめぐるインドとパキスタンとの対立
第9節 欧州・カナダ
1 全般
2 多国間の安全保障の枠組みの強化
3 欧州各国などの安全保障・防衛政策
第10節 その他の地域など(中東・アフリカを中心に)
1 中東
2 アフリカ
3 国際テロリズムの動向

第4章 宇宙・サイバー・電磁波の領域や情報戦などをめぐる動向・国際社会の課題など
第1節 情報戦などにも広がりをみせる科学技術をめぐる動向
1 科学技術と安全保障
2 軍事分野における先端技術動向
3 民生分野における先端技術動向
4 情報関連技術の広まりと情報戦
5 防衛生産・技術基盤をめぐる動向
第2節 宇宙領域をめぐる動向
1 宇宙領域と安全保障
2 宇宙空間に関する各国の取組
第3節 サイバー領域をめぐる動向
1 サイバー空間と安全保障
2 サイバー空間における脅威の動向
3 サイバー空間における脅威に対する動向
第4節 電磁波領域をめぐる動向
1 電磁波領域と安全保障
2 電子戦に関する各国の取組
第5節 海洋をめぐる動向
1 「公海自由の原則」などをめぐる動向
2 海洋安全保障をめぐる各国の取組
3 北極海をめぐる動向
第6節 大量破壊兵器の移転・拡散
1 核兵器
2 生物・化学兵器
3 弾道ミサイルなど
4 大量破壊兵器などの移転・拡散の懸念の拡大
第7節 気候変動が安全保障環境や軍に与える影響
1 全般
2 安全保障への影響
3 インド太平洋地域における気候変動

第II部 わが国の安全保障・防衛政策
第1章 安全保障と防衛の基本的考え方
第1節 安全保障を確保する方策
第2節 憲法と防衛政策の基本

1
憲法と自衛権
2
憲法第9条の趣旨についての政府見解
3
基本政策
第3節 安全保障政策の体系
第2章 国家安全保障戦略などの「三文書」
第1節 国家安全保障戦略の概要
第2節 国家防衛戦略の概要

1 防衛大綱から国家防衛戦略への変遷
2 国家防衛戦略の概要
第3節 防衛力整備計画の概要
1 計画の方針
2 自衛隊の体制など
3 整備規模
4 所要経費など

第3章 防衛力整備と予算
第1節 令和6(2024)年度の防衛力整備
第2節 防衛関係費

1 令和6(2024)年度防衛関係費の概要
2 重点ポイント
3 防衛関係費の内訳
4 最適化への取組
5 防衛力強化のための財源確保
6 各国との比較

第4章 安全保障と防衛を担う組織
第1節 国家安全保障会議
第2節 防衛省・自衛隊の組織

1 防衛力を支える組織
2 自衛隊の統合運用体制
3 統合作戦司令部

第5章 自衛隊の行動に関する枠組み
1
自衛隊の任務
2 わが国の防衛
3 公共の秩序の維持や武力攻撃に至らない侵害への対処など
4 重要影響事態への対応
5 国際社会の平和と安定への貢献に関する枠組み

第III部 防衛目標を実現するための 3つのアプローチ
第1章 わが国自身の防衛体制
第1節 わが国の防衛力の抜本的強化と国全体の防衛体制の強化

1 わが国の防衛力の抜本的強化
2 国全体の防衛体制の強化
第2節 力による一方的な現状変更を許容しない安全保障環境の創出
1 「瀬取り」への対応
2 中東地域における日本関係船舶の安全確保のための情報収集
第3節 力による一方的な現状変更やその試みへの対応
1 わが国周辺における常続的な情報収集・警戒監視・偵察(ISR)
2 わが国の主権を侵害する行為に対する措置
第4節 ミサイル攻撃を含むわが国に対する侵攻への対応
1 島嶼部を含むわが国に対する侵攻への対応
2 ミサイル攻撃などへの対応
3 陸・海・空領域における対応
4 宇宙領域での対応
5 サイバー領域での対応
6 電磁波領域での対応
7 大規模テロや重要インフラに対する攻撃などへの対応
8 国民保護に関する取組
第5節 情報戦への対応を含む情報力強化の取組
1 情報収集・分析などの機能の強化
2 認知領域を含む情報戦などへの対処
第6節 継戦能力を確保するための持続性・強靱性強化の取組
1 弾薬の確保
2 燃料などの確保
3 装備品の可動状況の改善
4 施設の強靱化
第7節 国民の生命・身体・財産の保護に向けた取組
1 大規模災害などへの対応
               令和6年能登半島地震への対応
2 在外邦人等の保護措置および輸送への対応

第2章 日米同盟
第1節 日米安全保障体制の概要

1 日米安全保障体制の意義
2 日米防衛協力のための指針(ガイドライン)の内容
3 日米間の政策協議
第2節 日米共同の抑止力・対処力の強化
1 宇宙領域やサイバー領域などにおける協力
2 統合防空ミサイル防衛
3 情報収集・警戒監視・偵察(ISR)活動
4 米軍等の部隊の武器等防護
5 後方支援
6 共同訓練・演習
7 拡大抑止
8 共同使用
第3節 同盟調整機能の強化
1 同盟調整メカニズムの設置
2 運用面におけるより緊密な調整
第4節 共同対処基盤の強化
1 情報保全およびサイバーセキュリティ
2 防衛装備・技術協力
第5節 在日米軍の駐留に関する取組
1 在日米軍の駐留
2 在日米軍再編に向けた取組
3 在日米軍の駐留に関する取組
第3章 同志国などとの連携
第1節 多角的・多層的な安全保障協力の戦略的な推進

1 同志国などとの連携の意義など
2 各国との防衛協力・交流の推進
3 多国間安全保障協力の推進
4 能力構築支援への積極的かつ戦略的な取組
5 女性・平和・安全保障(WPS)推進に向けた取組
第2節 海洋安全保障の確保
1 海洋安全保障の確保に向けた取組
2 海賊対処への取組
3 海洋安全保障にかかる協力
第3節 国際平和協力活動への取組
1 国際平和協力活動の枠組みなど
2 国連PKOなどへの取組
3 国際緊急援助活動への取組
第4節 軍備管理・軍縮や不拡散への取組
1 軍備管理・軍縮・不拡散関連条約などへの取組
2 大量破壊兵器の不拡散などのための国際的な取組

第IV部 共通基盤の強化
第1章 いわば防衛力そのものとしての防衛生産・技術基盤の強化
第1節 防衛生産基盤の強化

1 防衛生産基盤強化法と基本方針
2 防衛生産基盤強化法以外の主な取組
第2節 防衛技術基盤の強化
1 防衛技術基盤の強化の必要性
2 防衛技術指針2023に示す防衛技術基盤の強化の方向性
3 次期戦闘機の開発
4 民生技術の積極的な活用
第3節 防衛装備・技術協力と防衛装備移転の推進
1 防衛装備移転三原則にかかわる制度
2 防衛装備移転の推進のための取組
3 米国との防衛装備・技術協力関係の深化
4 新たな防衛装備・技術協力の構築
5 防衛装備・技術協力にかかるその他の取組
第4節 装備品の最適化の取組
1 合理的な装備体系の構築のための取組
2 限られた人材を最大限有効に活用するための取組(無人化・省人化)
3 ライフサイクルを通じたプロジェクト管理
4 契約制度などの改善
5 調達の効率化に向けた取組など
6 FMS調達の合理化に向けた取組の推進
第5節 経済安全保障に関する取組
1 日本政府内の動向
2 防衛省の取組
第2章 防衛力の中核である自衛隊員の能力を発揮するための基盤の強化
第1節 人的基盤の強化

1 採用の取組強化
2 予備自衛官などの活用
3 人材の有効活用に向けた施策など
4 生活・勤務環境の改善など
5 人材の育成
6 処遇の向上、再就職支援など
第2節 ハラスメントを一切許容しない環境の構築
1 ハラスメント被害への対応
2 ハラスメント根絶に向けた措置に関する防衛大臣指示など
3 防衛省ハラスメント防止対策有識者会議
4 ハラスメント防止の状況に関する特別防衛監察
5 ハラスメント防止対策の抜本的見直し
第3節 ワークライフバランス・女性の活躍のさらなる推進
1 ワークライフバランス推進のための働き方改革
2 女性の活躍推進のための改革
第4節 衛生機能の変革
1 戦傷医療対処能力の抜本的強化
2 各種事態や多様な任務に対応するための衛生機能の強化
第5節 政策立案機能の強化
1 政策立案機能の強化に向けた取組
2 防衛研究所における取組
3 その他の機関における取組

第3章 訓練・演習に関する諸施策
第1節 訓練・演習に関する取組

1 わが国自身による各種事態への対処力強化に資する訓練
2 日米同盟の強化に資する訓練
3 日米に第三国を交えた多国間共同訓練
4 同志国との二国間共同訓練
5 同志国などとの多国間訓練
第2節 各種訓練環境の整備や安全管理
1 訓練環境
2 安全管理への取組

第4章 地域社会や環境との共生に関する取組
第1節 地域社会との調和にかかる施策

1 民生支援活動
2 地方公共団体などによる自衛隊への協力
3 地方公共団体と地域住民の理解・協力を確保するための施策
4 防衛施設と周辺地域との調和を図るための施策
5 国家行事への参加
6 南極地域観測に対する支援
7 部外土木工事の受託
8 その他の取組
第2節 気候変動・環境問題への対応
1 防衛省・自衛隊の施設に関する取組
2 在日米軍施設・区域に関する取組
第3節 情報発信や公文書管理・情報公開など
1 様々な広報活動
2 公文書管理・情報公開に関する取組
3 政策評価などに関する取組


コラム
第I部
第1章 概観

解 説 わが国周辺における核・ミサイル戦力の増強
第2章 ロシアによる侵略とウクライナによる防衛
視 点 ロシアによるウクライナ侵略の状況
第3章 諸外国の防衛政策など
視 点 三正面の対応を迫られる米国
解 説 台湾をめぐる中国の軍事動向
視 点 連携を強める中国軍とロシア軍
解 説 2023年以降の北朝鮮の核・ミサイル開発動向
解 説 わが国周辺におけるロシアの軍事動向
解 説 太平洋島嶼国が抱える安全保障上の問題
視 点 フィンランド・スウェーデンのNATO加盟の意義
視 点 イスラエル・パレスチナ武装勢力間の衝突

第4章 宇宙・サイバー・電磁波の領域や情報戦などをめぐる動向・国際社会の課題など
視 点 偽情報を含む影響工作と「情報機関」による「情報戦」の論点
第II部
第2章 国家安全保障戦略などの「三文書」

解 説 反撃能力
視 点 抑止力の意義

第3章 防衛力整備と予算
解 説 安全保障に関連する経費
第4章 安全保障と防衛を担う組織
解 説 自衛隊の統合運用体制の深化
第III部
第1章 わが国自身の防衛体制

解 説 尖閣諸島について
解 説 南西防衛体制の強化
VOICE 宇宙領域把握(SDA)任務
解 説 宇宙安全保障構想と防衛省の取組
VOICE 陸自高等工科学校で学んで
解 説 Jアラートによる弾道ミサイルに関する情報伝達
(内閣官房からのお知らせ)
VOICE 国民保護訓練に参加した隊員の声
VOICE 令和6年能登半島地震における災害派遣に従事した
即応予備自衛官の声

第2章 日米同盟
解 説 同盟強化のための取組
解 説 日米拡大抑止協議
VOICE 日米間の調整業務を通じて感じたこと
解 説 米軍ロウワー・プラザ住宅地区の一般開放

第3章 同志国などとの連携
VOICE
乗艦協力プログラムに参加した
防衛省内部部局職員の声
VOICE 令和5年度インド太平洋方面派遣(IPD23)
護衛艦部隊幕僚の声
VOICE WPS推進に向けた防衛省の取組

第IV部
第1章 いわば防衛力そのものとしての防衛生産・技術基盤の強化

VOICE ①
装備品の開発・生産拠点強化にかかる取組
②「君シカオラン」で、装備品のキーサプライヤーに。
解 説 次期戦闘機:国際機関の創設
解 説 次期戦闘機の第三国移転(国会審議での主要な論点)
解 説 防衛装備移転三原則改正に対する
諸外国・企業などの反応
VOICE 日本製警戒管制レーダーの受領をうけて
(フィリピン空軍第580警戒管制団司令の声)

第2章 防衛力の中核である自衛隊員の
能力を発揮するための基盤の強化
VOICE 活躍する即応予備自衛官と雇用主の声
VOICE 再就職した隊員と雇用主の声
解 説 戦傷医療対処能力強化に向けた取組
~防衛省の戦傷医療における輸血戦略~
解 説 防衛大学校卒業式

第3章 訓練・演習に関する諸施策
解 説 令和5年度自衛隊統合演習(実動演習)「05JX」
VOICE 米海兵隊との実動訓練
「レゾリュート・ドラゴン23」に参加した隊員の声
VOICE 日仏共同訓練に参加した隊員の声
VOICE 米豪主催多国間共同訓練
「タリスマン・セイバー23」に参加した隊員の声

第4章 地域社会や環境との共生に関する取組
解 説 わが国の水産物の消費拡大に向けた取組
解 説 令和5年度航空観閲式


 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.28 防衛白書(2023年) (+ 能動的サイバー防衛...)

・2022.07.26 防衛白書(2022年)

・2021.07.14 日本の防衛白書が初めて台湾周辺情勢の安定の重要性に言及したことについての中国政府の見解

・2021.07.13 防衛白書(2021年)

 

| | Comments (0)

総務省 令和6年版情報通信白書 (2024.07.05)

こんにちは、丸山満彦です。

総務省から 令和6年版情報通信白書が公表されていますよね...

 

総務省

・2024.07.05 令和6年「情報通信に関する現状報告」(令和6年版情報通信白書)の公表

 

情報通信白書

特集...

(1) 令和6年能登半島地震における情報通信の状況

(2) 進化するデジタルテクノロジーとの共生

 

本文等...

  情報通信白書令和6年版 概要 

  情報通信白書令和6年版 インフォグラフィック

  情報通信白書令和6年版 データ集

 (データ集のみ先行公開。HTML版は準備中。)

  情報通信白書令和6年版 PDF版 

20240712-205008

  情報通信白書令和6年版の二次利用について 

  正誤表 

 

 本文の目次のようなもの

・[PDF] 全体版

第Ⅰ部   第Ⅱ部 情報通信分野の現状と課題    
特集① 令和6年能登半島地震における情報通信の状況 第1章 ICT市場の動向 第2章 総務省におけるICT政策の取組状況
第1章 令和6年能登半島地震における情報通信の状況 第1節 ICT産業の動向 第1節 総合的なICT政策の推進
第1節 令和6年能登半島地震の概要 第2節 電気通信分野の動向 第2節 電気通信事業政策の動向
第2節 通信、放送、郵便等の状況 第3節 放送・コンテンツ分野の動向 第3節 電波政策の動向
第2 情報通信が果たした役割と課題 第4節 我が国の電波の利用状況 第4節 放送政策の動向
第1節 震災関連情報の収集と発信 第5節 国内外におけるICT機器・端末関連の動向 第5節 サイバーセキュリティ政策の動向
第2 浮かび上がった課題と今後の対応 第6節 プラットフォームの動向 第6節 ICT利活用の推進
コラム1 災害時における偽・誤情報への対応 第7節 ICTサービス及びコンテンツ・アプリケーションサービス市場の動向 第7節 ICT技術政策の動向
特集② 進化するデジタルテクノロジーとの共生 第8節 データセンター市場及びクラウドサービス市場の動向 政策フォーカス 社会実装・海外展開を見据えたBeyond 5Gの推進戦略
第3章 ジタルテクノロジーの変遷 第9節 AIの動向 第8節 ICT国際戦略の推進
第1節 AI進展の経緯と生成AIのインパクト 第10節 サイバーセキュリティの動向 第9節 郵政行政の推進
2節 AIの進化に伴い発展するテクノロジー 第11節 デジタル活用の動向    
第4章 デジタルテクノロジーの課題と現状の対応策 第12節 郵政事業・信書便事業の動向    
第1節 AIの進化に伴う課題と現状の取組        
第2節 AIに関する各国の対応        
第3 その他デジタルテクノロジーに関する議論の動向        
第5章 デジタルテクノロジーの浸透        
第1節 国民・企業における利用状況        
第2 活用の現状・新たな潮流        
第6章 デジタルテクノロジーとのさらなる共生に向けて        
第1節 デジタルテクノロジーとのさらなる共生に向けた課題と必要な取組        
コラム2 AIやロボットと協働・共生する未来に向けて(コンヴィヴィアルな関係)        

 

資料編

 


 

サイバーセキュリティの世界マーケットは、約800億ドル(12兆円)?

20240713-51926

 

2. 世界のサイバーセキュリティ主要事業者

F00294

 

2022年現在、国内情報セキュリティ製品市場は約5300億円で、国内シェアは8%...

20240713-52803

 

国内5300億円のうち、ソフトウェアは80%、アプライアンスは20%

セキュリティ製品の機能市場セグメント別では、エンドポイントセキュリティソフトウェアやネットワークセキュリティソフトウェアなどを含む、セキュリティソフトウェア市場の2022年の売上額が4,274億200万円で全体の81.3%を占め、コンテンツ管理、UTMやVPNなどを含むセキュリティアプライアンス市場は980億5,100万円で全体の18.7%となった。

 

 

| | Comments (0)

2024.07.12

総務省 「ICTサイバーセキュリティ政策の中期重点方針」(案)に対する意見募集 (2024.07.01)

こんにちは、丸山満彦です。

総務省が、「ICTサイバーセキュリティ政策の中期重点方針」(案)を公表し、意見募集していますね...

総務省が所管する範囲となりますよね...

構成員は、主婦連合会会長の河村さん以外は皆さん知っているのですが、KDDIの田中さんは、たしかNISCで最初に統一基準を作るときに大活躍をしてくれた方ですね。20年近く前になりますかね。。。

 

● 総務省 

 プレス...

・2024.07.01 「ICTサイバーセキュリティ政策の中期重点方針」(案)に対する意見募集

「ICTサイバーセキュリティ政策の中期重点方針」(案)

・[PDF] 概要

20240712-43226

・[PDF] 本文

20240712-43353

 

議論の過程...

サイバーセキュリティタスクフォース

ICTサイバーセキュリティ政策分科会

 

2024.02.02 開催に関する報道発表
2024.02.09 第1回 開催案内 (1)サイバーセキュリティの最近の状況及びICTサイバーセキュリティ政策分科会について 配付資料 資料1-1 「ICTサイバーセキュリティ政策分科会」開催要綱 議事要旨
      (2)我が国を取り巻くサイバーセキュリティの情勢   資料1-2 サイバーセキュリティの最近の状況及びICTサイバーセキュリティ政策分科会について  
      (3)通信分野におけるサイバーセキュリティ対策の取組について   資料1-3 スマートフォン/モバイルにおけるセキュリティ課題とJSSECの取り組み(JSSEC)  
          資料1-4 サイバー未来図:ウクライナから学び、台湾有事を見据えて(トレンドマイクロ株式会社)(非公開資料)  
          資料1-5 NTTコミュニケーションズにおけるサイバーセキュリティの取組(NTTコミュニケーションズ)(非公開資料)  
          資料1―6 ICT-ISACにおけるサイバーセキュリティ対策に関する取組(ICT-ISAC)  
          参考資料 「サイバーセキュリティタスクフォース」開催要綱  
2024.02.27 第2回 開催案内 放送分野におけるサイバーセキュリティ対策の取組について 配付資料 資料2-1 放送設備の安全・信頼性に関する技術基準の概要と最近の動向 議事要旨
          資料2-2 ICT-ISAC放送WGの活動と放送局の設備、セキュリティ(一部非公開資料)(栗原構成員)  
          資料2-3 (一社)日本ケーブルラボとケーブルテレビ業界に向けたセキュリティの取組み(日本ケーブルラボ)  
2024.03.13 第3回 開催案内 (1)国際連携に係る取組について 配付資料 資料3-1 国際連携に係る取組状況 議事要旨
      (2)海外における人材育成に係る取組状況について   資料3-2 サイバーセキュリティの国際連携(NTTセキュリティホールディングス)(一部非公開資料)  
          資料3-3 サイバーセキュリティ国際連携の紹介(JPCERT/CC)(一部非公開資料)  
          資料3-4 海外における人材育成に係る取組状況  
          資料3-5 JICAサイバーセキュリティ協力事業概要(JICA)  
          資料3-6 サイバーセキュリティ分野における世界銀行の途上国向け能力構築支援(世界銀行)  
          参考資料1 ICTサイバーセキュリティ政策分科会第1回 議事要旨  
          参考資料2 ICTサイバーセキュリティ政策分科会第2回 議事要旨  
2024.03.27 第4回 開催案内 地域におけるサイバーセキュリティ対策の取組について 配付資料 資料4-1 実践的サイバー防御演習「CYDER」2023年度結果と2024年度の実施予定について(NICT)(一部非公開資料) 議事要旨
      (1)人材育成に係る取組状況   資料4-2 中之条町における情報セキュリティ研修について(群馬県中之条町)(非公開資料)  
      (2)地域の事業者等に向けた普及啓発に係る取組状況   資料4-3 サイバーセキュリティに関する近畿総合通信局の取組(近畿総合通信局)  
          資料4-4 日本シーサート協議会の活動(日本シーサート協議会)(一部非公開資料)  
2024.04.05 第5回 開催案内 通信分野におけるサイバーセキュリティ対策の取組について(2) 配付資料 資料5-1 令和5年度「通信アプリに含まれうる不正機能の検証に関する実証」について(KDDI) 議事要旨
      (1)スマートフォンのセキュリティ確保に向けた取組状況   資料5-2 スマートフォンプライバシーアウトルックX(KDDI)  
      (2)情報通信ネットワークの安全性・信頼性の確保に向けた取組状況   資料5-3 アプリ診断の取組紹介(OWASP)  
          資料5-4 eシールの制度化に向けた検討状況について  
          資料5-5 令和5年度「通信分野におけるSBOMの導入に向けた調査の請負」について(KDDI)  
          資料5-6 令和5年度ISPにおけるネットワークセキュリティ技術の導入及び普及促進に関する調査(三菱総合研究所)  
          参考資料1 利用者情報に関するワーキンググループ(第1回)事務局資料(抜粋)  
          参考資料2 RPKIのROAを使ったインターネットにおける不正経路への対策ガイドライン案  
          参考資料3 DNSSECによるDNS応答の認証技術ガイドライン案  
          参考資料4 電子メールのなりすまし対策、迷惑メール対策技術であるDMARC等(SPF、DKIMを含む)のメール認証技術ガイドライン案  
          参考資料5 ICTサイバーセキュリティ政策分科会第3回 議事要旨  
2024.04.26 第6回 開催案内 自治体におけるサイバーセキュリティ対策の取組について 配付資料 資料6-1 地方公共団体情報セキュリティポリシーに関するガイドラインの改定方針(総務省自治行政局) 議事要旨
          資料6-2 地方自治体情報セキュリティの現状(KUコンサルティング)(一部非公開資料)  
          資料6-3 J-LISにおける地方公共団体への情報セキュリティ対策支援・教育研修に関する取組について(J-LIS)  
          資料6-4 自治体情報システム標準化時代の現状(APPLIC)  
          資料6-5 スマートシティセキュリティガイドラインの改定について (事務局)  
          参考資料1 スマートシティセキュリティガイドライン(第 3.0 版)(案)  
          参考資料2 実践的サイバー防御演習「 CYDER 」 2024 年度開催予定  
          参考資料3 ICTサイバーセキュリティ政策分科会第4回 議事要旨  
2024.05.10 第7回 開催案内 通信分野におけるサイバーセキュリティ対策の取組について(3) 配付資料 資料7-1 IoT機器へのサイバー攻撃の観測と対策について(吉岡構成員)(一部非公開資料) 議事要旨
          資料7-2 NOTICEの活動について(事務局)  
          資料7-3 新しいNOTICEにおける調査業務(NICT)(一部非公開資料)  
          資料7-4 電気通信事業者によるサイバー攻撃への効果的な対処を通じた安心・安全な情報通信ネットワークの実現に向けて(NTTコミュニケーションズ)  
2024.05.27 第8回 開催案内 新技術の進展に応じたサイバーセキュリティ対策の取組について 配付資料 資料8-1 耐量子計算機暗号(PQC)とNICTの研究開発(NICT) 議事要旨
          資料8-2 「安全な無線通信サービスのための新世代暗号技術に関する研究開発」について(KDDI総合研究所、横浜国立大学)(一部非公開資料)