NIST Technical Note 2111: An Empirical Study on Flow-based Botnet Attacks Prediction

こんにちは、丸山満彦です。

NISTがボット攻撃を予測することを目的とした研究のホワイトペーパーを公開していますね。

C2トラフィックの包括的なメトリクスを測定し、そのメトリクスの時系列データを攻撃データと関連づけて自動ラベリングすることで、ボットネットの攻撃予測を実証的かつ新規に分析したようで、実証した手法は、ボットネットによるスパムメールの増加を0.767の精度で予測することに成功したようです。ボットネット対策がさらに進むと良いですね。。。

● NIST -ITL

・2020.10.22 (updates) An Empirical Study on Flow-based Botnet Attacks Prediction: NIST Technical Note 2111

・2020.10.22 (publications) White Paper NIST Technical Note (TN) 2111 An Empirical Study on Flow-based Botnet Attacks Prediction

・[PDF]  White Paper

---

Abstract

There is a smart grid messaging framework known as an Open Field Message Bus (OpenFMB), which was ratified by the North American Energy Standards Board (NAESB) in March 2016 and has been released as NAESB RMQ.26, Open Field Message Bus (OpenFMB) Model Business Practices. OpenFMB focuses on describing a publish-and-subscribe model of communication for smart grid devices to enable efficient communication of data. Subsequent analysis of OpenFMB and its possible implementations will focus on threat analyses of the framework, implementations, cybersecurity recommendations, and a proof of concept implementation of OpenFMB. The OpenFMB framework is being explored as a way to implement publish-subscribe communications between smart grid network nodes. This paper focuses on the cybersecurity risk implications of deployments and a proof of concept implementation of OpenFMB.

---

Conclusion a Table of Contents

1. Introduction
2. Methodology
2.1. Measurement
2.2. Labeling
2.3. Prediction
3. Experimental Evaluation
3.1. Dataset
3.2. Results and Analysis
4. Related Work
5. Conclusion and Future Direction
References

List of Figures
Figure 1: Key idea in typical bot communication pattern
Figure 2: Example of labeling
Figure 3: Model
Figure 4: Accuracy transition
Figure 5: Contribution of metric and timestep 9

List of Tables
Table 1: C2 metrics
Table 2: Dataset
Table 3: Results of prediction

---

 

『スマートサイバー AI活用時代のサイバーリスク管理』第24回 コンピュータ犯罪に関する白浜シンポジウムの発表資料

こんにちは、丸山満彦です。

今年の8月27日に私が「第24回 コンピュータ犯罪に関する白浜シンポジウム」で発表した資料を公開しておきますね。。。今年のテーマは、「ＡＩはサイバーセキュリティの夢を見るか？ 」でしたね。

● 第24回 コンピュータ犯罪に関する白浜シンポジウム

・プログラム

---

  スマートサイバー　AI活用時代のサイバーリスク管理　丸山 満彦 氏（PwCコンサルティング合同会社）

機械学習、深層学習をはじめとするいわゆる人工知能技術（AI）の社会での実装が進んできています。サイバーリスクの防御の面でも機械学習、深層学習を活用したサイバー防御製品やサービスが広がってきています。サイバーリスク管理にAIがどのように活用できるのか、人間とのかかわりはどうすべきか、そしてAIを活用したサイバー攻撃、AIに対するサイバー攻撃といったことにも触れていきながら、これからの課題を考えていきたいと思います。

---

・[PDF] スマートサイバー　AI活用時代のサイバーリスク管理（配布用）

 

「コンピュータ犯罪に関する白浜シンポジウム」は今年はCOVID-19の影響もあり時期も例年の5月から8月になり、日程も3日から2日になり、さらにオンラインでの実施になり、リアルナイトセッションなどのイベントがなく寂しかったですね。

一方、録画した講演を流しながら、チャットで講演者と視聴者が会話をするというのは楽しかったですね。。。

敵対的機械学習に対する脅威マトリックス (Adversarial ML Threat Matrix)

こんにちは、丸山満彦です。

Microsoft、MITRE、Bosch、IBM、NVIDIA、Airbus、PwC、Deep Instinct、Two Six Labs、University of Toronto、Cardiff University、Software Engineering Institute/Carnegie Mellon University、Berryville Institute of Machine Learningのメンバーが集まってAdversarial ML Threat Matrixというイニシアティブを立ち上げ、機械学習（ML）システムに対する敵対的な攻撃を検出、対応、および修復できるようにすることを目的とした新しいオープンフレームワークを公表していますね。。。

● GitHub - mitre/advmlthreatmatrix

1. Adversarial ML 101
2. Adversarial ML Threat Matrix
3. Case Studies
4. Contributors
5. Feedback and Getting Involved
6. Contact Us

 

・1. Adversarial Machine Learning 101

Attack	Overview	Type
Model Evasion	Attacker modifies a query in order to get a desired outcome. These attacks are performed by iteratively querying a model and observing the output.	Inference
Functional Extraction	Attacker is able to recover a functionally equivalent model by iteratively querying the model. This allows an attacker to examine the offline copy of the model before further attacking the online model.	Inference
Model Poisoning	Attacker contaminates the training data of an ML system in order to get a desired outcome at inference time. With influence over training data an attacker can create "backdoors" where an arbitrary input will result in a particular output. The model could be "reprogrammed" to perform a new undesired task. Further, access to training data would allow the attacker to create an offline model and create a Model Evasion. Access to training data could also result in the compromise of private data.	Train
Model Inversion	Attacker recovers the features used to train the model. A successful attack would result in an attacker being able to launch a Membership inference attack. This attack could result in compromise of private data.	Inference
Traditional Attacks	Attacker uses well established TTPs to attain their goal.	Both
(仮訳)
攻撃	概要	タイプ
モデルの回避	攻撃者は、目的を達成するためにクエリを修正する。これらの攻撃は、モデルへの問い合わせを繰り返し行い、出力を観測することで実行される。	推論
機能抽出	攻撃者は、モデルを反復的にクエリすることで、機能的に等価なモデルを回復することができる。これにより、攻撃者は、オンラインモデルを攻撃する前に、モデルのオフラインコピーを調べることができる。	推論
モデル中毒	攻撃者は推論時に目的を達成するために機械学習システムの学習データを汚染する。学習データに影響を与えることで、攻撃者は任意の入力が特定の出力になるような「バックドア」を作成することができる。このようなバックドアを作成することで、モデルを「再プログラム」することが可能になる。さらに、学習データへのアクセスは、攻撃者がオフラインモデルを作成し、モデル回避を行うことを可能にする。学習データへのアクセスは、個人データの漏洩につながる可能性がある。	トレーニング
モデルの反転	攻撃者はモデルの訓練に使用された特徴を回復する。攻撃が成功すると、攻撃者はメンバーシップ推論攻撃を実行できるようになる。この攻撃は、個人データの漏洩につながる可能性がある。	推論
伝統的な攻撃	攻撃者は、目的を達成するために確立されたTTPを使用する。	推論・トレーニング

 

・2. Adversarial ML Threat Matrix

 

Adversarial ML Matrix - Description	Adversarial ML マトリックス - 説明
Reconnaissance	偵察
Acquire OSINT Information	OSINT情報の取得
ML Model Discovery	機械学習モデルの発見
Reveal ML Ontology	機械学習オントロジーの公開
Reveal ML Model Family	機械学習モデルファミリーの公開
Gathering Datasets	データセットの収集
Exploit Physical Environment	物理環境を利用する
Model Replication	モデルの複製
Exploit API - Shadow Model	エクスプロイトAPI - シャドーモデル
Alter Publicly Available, Pre-Trained Weights	アルター 公募・予習済みウェイト
Model Stealing	モデルの盗用
Initial Access	初期アクセス
Pre-Trained ML Model with Backdoor	バックドア付き事前学習済み機械学習モデル
Included ATT&CK Techniques	ATT&CK技術の参照
Exploit Public-Facing Application	公開されているアプリケーションの悪用
Valid Accounts	有効なアカウント
Phishing	フィッシング
External Remote Services	外部リモートサービス
Trusted Relationship	信頼関係
Execution	実行
Execute Unsafe ML Models	安全でない機械学習モデルの実行
ML Models from Compromised Sources	危殆化したソースからの機械学習モデル
Pickle Embedding	ピクルの埋め込み
Included ATT&CK Techniques	ATT&CK技術の参照
Execution via API	API経由での実行
Traditional Software Attacks	従来のソフトウェア攻撃
Persistence	永続化
Execute unsafe ML Model Execution	安全でない機械学習モデルの実行
Included ATT&CK Techniques	ATT&CK技術の参照
Account Manipulation	アカウント操作
Implant Container Image	インプラントコンテナイメージ
Evasion	回避
Evasion Attack	回避攻撃
Offline Evasion	オフライン回避
Online Evasion	オンライン回避
Model Poisoning	モデル中毒
Data Poisoning	データ中毒
Tainting Data from Acquisition - Label Corruption	取得データの汚染 - ラベルの破損
Tainting Data from Open Source Supply Chains	オープンソースのサプライチェーンからのデータの汚染
Tainting Data from Acquisition - Chaff Data	取得データの汚染 - 不要データ
Tainting Data in Training - Label Corruption	トレーニングにおけるデータの汚染 - ラベルの破損
Exfiltration	ろ過
Exfiltrate Training Data	トレーニングデータを流出させる
Membership Inference Attack	メンバーシップ推論攻撃
ML Model Inversion	機械学習モデルの反転
ML Model Stealing	機械学習モデルの盗用
Included ATT&CK Techniques	ATT&CK技術の参照
Insecure Storage	安全でないストレージ
Impact	影響
Defacement	改ざん
Denial of Service	サービスの拒否
Included ATT&CK Techniques	ATT&CK技術の参照
Stolen Intellectual Property	盗まれた知的財産
Data Encrypted for Impact	影響を考慮した暗号化されたデータ
Stop System Shutdown/Reboot	システムの停止/再起動
Next Recommended Reading	次の推奨文書

 

・3. Case Studies Page

• ClearviewAI Misconfiguration
• GPT-2 Model Replication
• ProofPoint Evasion
• Tay Poisoning
• Microsoft - Azure Service - Evasion
• Microsoft Edge AI - Evasion
• MITRE - Physical Adversarial Attack on Face Identification

 

---

● Microsoft - Security - Blog

・2020.10.22 機械学習システムに対するサイバー攻撃は、あなたが思っているよりも一般的です by Ram Shankar Siva Kumar and Ann Johnson

---

機械学習（ML）は、金融、医療、防衛などの重要な分野で驚くべき変革を遂げており、私たちの生活のほぼすべての側面に影響を与えています。MLの進歩を利用することを熱望している多くの企業は、MLシステムのセキュリティを精査していません。本日、MITRE、およびIBM、NVIDIA、Boschを含む11の組織からの貢献により、マイクロソフトは、セキュリティアナリストがMLシステムに対する脅威を検出、対応、および修復できるようにするために、業界に焦点を当てたオープンフレームワークであるAdversarial ML ThreatMatrixをリリースします。 。

過去4年間で、マイクロソフトは商用MLシステムへの攻撃が著しく増加しました。市場レポートもこの問題に注目しています。2019年10月に公開されたGartnerの2020年の戦略的テクノロジートレンドトップ10は、「2022年まで、すべてのAIサイバー攻撃の30％がトレーニングデータ中毒、AIモデルの盗難、または敵対的なサンプルを活用すると予測しています。 AIを利用したシステムを攻撃します。」MLシステムを保護するこれらの説得力のある理由にもかかわらず、28の企業にまたがるMicrosoftの調査ほとんどの業界の実務家は、敵対的な機械学習にまだ同意していないことがわかりました。28の企業のうち25は、MLシステムを保護するための適切なツールが整っていないことを示しています。さらに、彼らは明確にガイダンスを求めています。準備は小規模な組織だけに限定されないことがわかりました。Fortune 500企業、政府、非営利団体、中小企業に話を聞きました。

---

 

●　MITRE

・2020.10.22 (Project Stories) MITRE, MICROSOFT, AND 11 OTHER ORGANIZATIONS TAKE ON MACHINE-LEARNING THREATS

MITRE is partnering with Microsoft and collaborating with other organizations on the Adversarial Machine Learning Threat Matrix, an industry-focused open framework to empower security analysts to detect, respond, and remediate threats.

 

■ 参考（報道等）

● The Hacker News

・2020.10.23 New Framework Released to Protect Machine Learning Systems From Adversarial Attacks by Ravie Lakshmanan

Microsoft, in collaboration with MITRE, IBM, NVIDIA, and Bosch, has released a new open framework that aims to help security analysts detect, respond to, and remediate adversarial attacks against machine learning (ML) systems.

Called the Adversarial ML Threat Matrix, the initiative is an attempt to organize the different techniques employed by malicious adversaries in subverting ML systems.

● Neowin

・2020.10.23 Microsoft partners with Nvidia, IBM, and more to release Adversarial ML Threat Matrix by Usama Jawad 

Microsoft is observing National Cyber Security Awareness Month (NCSAM) currently, and cybersecurity seems to be at the forefront for the firm. Over the past few weeks, the company has announced new initiatives to promote cybersecurity awareness, Zero Trust Deployment Center, and an offensive against the malicious Trickbot botnet.

Now, it has released the Adversarial ML Threat Matrix framework in collaboration with various organizations such as IBM, Nvidia, MITRE, and more.

● The Daily Swig

・2020.10.23 Microsoft launches machine learning cyber-attack threat matrix by James Walker

Framework aimed at helping security pros detect and remediate threats against ML systems

 

●　IT Pro (U.K.)

・2020.10.23 Microsoft spearheads industry-wide charter against AI cyber attacks by Keumars Afifi-Sabet

Security professionals can rely on the framework to fight cyber attacks targeting corporate machine learning systems

● GIGAZIN

 ・2020.10.23 Microsoftがオープンソースの機械学習セキュリティフレームワークをリリース

機械学習は金融・医療・軍事などの分野で飛躍的な発展を遂げているというだけでなく、市民の生活にも大きな影響を与えています。しかし、Mircosoftは「機械学習に対する注目が高まっているにもかかわらず機械学習システムに対するサイバー攻撃対策は不十分」だとして、機械学習に対する攻撃を検出・対応・修正できる企業向けオープンフレームワーク「Adversarial ML Threat Matrix」をリリースしました。

 

 

 

 

NISTが測位・航法・計時（PNT）に関連するサービスに関連したセキュリティプロファイルに関する文書（NISTIR 8323）のパブコメを募集していますね。

こんにちは、丸山満彦です。

NISTが測位・航法・計時（PNT）に関連するサービスに関連したセキュリティプロファイルに関する文書（NISTIR 8323）のパブコメを募集していますね。

PNTに関連するサービスを提供している組織が提供するデータが中断したり、誤ったデータになっている大きな影響が出るからでしょうね。。。今年2月12日に出された大統領令13905「測位・航法・計時サービスの責任ある使用による国家のレジリエンスの強化」（Executive Order 13905 Strengthening National Resilience Through Responsible Use of Positioning, Navigation, and Timing Services）に対応したものですね。。。

● NIST - ITL

・2020.10.23 (publication) NISTIR 8323 (Draft) Cybersecurity Profile for the Responsible Use of Positioning, Navigation, and Timing (PNT) Services

・[PDF] NISTIR 8323 (Draft)

この文書は、PNTサービスに依存するシステム・ネットワーク・資産に関連するリスクを管理するのを支援するために開発されたということのようです。

NISTは、コメントを求めるにあたり、以下のポイントを特に気にしているようです。

• PNTサービスの責任ある利用に関連した既存の基準、ガイドライン、慣行とのギャップ。

• 付録で例として提供できるCybersecurity Frameworkの適用に関する追加のガイダンス。

• サイバースセキュリティフレームワークの機能・カテゴリ・サブカテゴリが、PNTサービスの責任ある利用に関するサイバースセキュリティ上の懸念に適切に対応しているか。

• 実装可能な標準やガイダンス文書などの追加の参考文献。

• 統制や参考文献が適切か。

---

Abstract

The national and economic security of the United States (US) is dependent upon the reliable functioning of critical infrastructure. Positioning, Navigation and Timing (PNT) services are widely deployed throughout the critical infrastructure. A disruption or manipulation of PNT services would have adverse impacts on much of the nation’s critical infrastructure. In a government wide effort to mitigate these impacts, Executive Order (EO) 13905, Strengthening National Resilience Through Responsible Use of Positioning, Navigation and Timing Services was issued on February 12, 2020. The EO tasks various Federal agencies with specific actions to ensure the responsible use of PNT services. The National Institute of Standards and Technology (NIST) as part of the Department of Commerce (DoC), is required to produce a “Profile” to address the responsible use of PNT services. This document is a PNT Profile that is based on the Cybersecurity Framework.  The PNT serves as the foundation for the broad and varied stakeholder community using PNT services.  The primary focus of this Profile is Cybersecurity as it relates to the US critical infrastructure. Applicability of this Profile to various sectors and sub-sectors is assumed, however sector specific concerns are not formally addressed. The EO provides guidance concerning the roles of the Sector Specific Agencies (SSAs) in regard to the specific PNT communities they serve, from which further sector efforts are expected to develop based on the use of this foundational Profile.

---

目次

Executive Summary	エグゼクティブサマリー
1 PNT Profile: Introduction	1 PNTプロフィールの紹介
1.1 Purpose and Objectives	1.1 目的と目標
1.2 Scope	1.2 範囲
1.3 Audience	1.3 対象者
2 Use the PNT Profile	2 PNTプロファイルの使用
3 PNT Profile: Overview	3 PNTのプロフィール：概要
3.1 Risk Management Overview	3.1 リスクマネジメントの概要
3.2 Cybersecurity Framework Overview	3.2 サイバーセキュリティフレームワークの概要
4 The PNT Profile	4 PNTプロファイル
4.1 Identify Function	4.1 識別機能
4.1.1 Asset Management Category	4.1.1 資産管理カテゴリー
4.1.2 Business Environment Category	4.1.2 ビジネス環境カテゴリー
4.1.3 Governance Category	4.1.3 ガバナンスカテゴリー
4.1.4 Risk Assessment Category	4.1.4 リスクアセスメントカテゴリー
4.1.5 Supply Chain Risk Management Category	4.1.5 サプライチェーンリスクマネジメントカテゴリー
4.2 Protect Function	4.2 防御機能
4.2.1 Access Control Category	4.2.1 アクセス制御カテゴリー
4.2.2 Awareness and Training Category	4.2.2 意識向上およびトレーニングカテゴリー
4.2.3 Data Security Category	4.2.3 データセキュリティカテゴリー
4.2.4 Information Protection Processes and Procedures Category	4.2.4 情報を保護するためのプロセスおよび手順カテゴリー
4.2.5 Maintenance Category	4.2.5 保守カテゴリー
4.2.6 Protective Technology Category	4.2.6 保護技術カテゴリー
4.3 Detect Function	4.3 検知機能
4.3.1 Anomalies and Events Category	4.3.1 異常とイベントカテゴリー
4.3.2 Security Continuous Monitoring Category	4.3.2 セキュリティの継続的なモニタリングカテゴリー
4.3.3 Detection Processes Category	4.3.3 検出プロセスカテゴリー
4.4 Respond Function	4.4 対応機能
4.4.1 Response Planning Category	4.4.1 対応計画の作成カテゴリー
4.4.2 Communications Category	4.4.2 コミュニケーションカテゴリー
4.4.3 Analysis Category	4.4.3 分析カテゴリー
4.4.4 Mitigation Category	4.4.4 緩和カテゴリー
4.4.5 Improvements Category	4.4.5 改善カテゴリー
4.5 Recover Function	4.5 復旧機能
4.5.1 Recovery Planning Category	4.5.1 復旧計画カテゴリー
4.5.2 Improvements Category	4.5.2 改善カテゴリー
4.5.3 Communications Category	4.5.3 コミュニケーションカテゴリー
5 Conclusion	5 結論
References	参考文献
List of Appendices	付録一覧
Appendix A— Acronyms and Abbreviations	付録 A- 略語と略語
Appendix B— Glossary	付録 B- 用語集
Appendix C— Additional Resources	付録 C- その他のリソース

 

---

 

■ 参考

● Whitehouse (Obama)

・2013.02.12 Presidential Policy Directive 21 of February 12, 2013 (Critical Infrastructure Security and Resilience)

● NIST - ITL

・Cyberframework

• Framework V1.1 (PDF)
• Framework V1.1 (PDF) with markup
• Framework V1.1 Core (Excel)
• Framework V1.1 Downloadable Presentation

---

 

中国政府支援攻撃者が利用する25の脆弱性 by 米国 国家安全保障局 中央保安部

こんにちは、丸山満彦です。

米国 国家安全保障局 中央保安部 (National Security Agency Central Security Service (NSA|CSS))が中国政府支援攻撃者が利用する25の脆弱性を公表し、注意を呼びかけていますね。。。

● NSA|CSS - Cybersecurity Advisories & Technical Guidance

・2020.10.20 (news) NSA Warns Chinese State-Sponsored Malicious Cyber Actors Exploiting 25 CVEs

・2020.10.20 [PDF] Chinese State-Sponsored Actors Exploit Publicly Known Vulnerabilities 

・[PDF]  infographic  (printable version)

CVE Number	Vulnerability Description	Affects
CVE-2019-11510	In Pulse Secure VPNs,® 7 an unauthenticated remote attacker can send a specially crafted URI to perform an arbitrary file reading vulnerability. This may lead to exposure of keys or passwords.	Pulse Connect Secure® (PCS) 8.2 before 8.2R12.1, 8.3 before 8.3R7.1, and 9.0 before 9.0R3.4.
CVE-2020-5902	In F5 BIG-IP® 8 proxy / load balancer devices, the Traffic Management User Interface (TMUI) - also referred to as the Configuration utility - has a Remote Code Execution (RCE) vulnerability in undisclosed pages.	F5 BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.1.
CVE-2019-19781	An issue was discovered in Citrix® 9 Application Delivery Controller (ADC) and Gateway. They allow directory traversal, which can lead to remote code execution without credentials.y	Citrix ADC and Gateway versions before 13.0.47.24, 12.1.55.18, 12.0.63.13, 11.1.63.15 and 10.5.70.12 and SD-WAN WANOP 4000-WO, 4100-WO, 5000-WO, and 5100-WO versions before 10.2.6b and 11.0.3b.
CVE-2020-8193 CVE-2020-8195 CVE-2020-8196	Improper access control and input validation, in Citrix® ADC and Citrix® Gateway and Citrix® SDWAN WAN-OP, allows unauthenticated access to certain URL endpoints and information disclosure to low-privileged users.	Citrix ADC and Gateway versions before 13.0-58.30, 12.1-57.18, 12.0-63.21, 11.1-64.14 and 10.5-70.18, ADC FIPS versions before 12.1-55.179 and SD-WAN WAN-OP versions before 11.1.1a, 11.0.3d and 10.2.7.
CVE-2019-0708	A remote code execution vulnerability exists within Remote Desktop Services®10 when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests.	Microsoft Windows® XP - 7, Microsoft Windows Server® 2003 - 2008.
CVE-2020-15505	A remote code execution vulnerability in the MobileIron® mobile device management (MDM) software that allows remote attackers to execute arbitrary code via unspecified vectors.	MobileIron® Core and Connector versions 10.6 and earlier, and Sentry versions 9.8 and earlier.
CVE-2020-1350	A remote code execution vulnerability exists in Windows® Domain Name System servers when they fail to properly handle requests.	Microsoft Windows Server® 2008 - 2019
CVE-2020-1472	An elevation of privilege vulnerability exists when an attacker establishes a vulnerable Netlogon secure channel connection to a domain controller, using the Netlogon Remote Protocol (MS-NRPC), aka 'Netlogon Elevation of Privilege Vulnerability'.	Microsoft Windows Server® 2008 - 2019
CVE-2019-1040	A tampering vulnerability exists in Microsoft Windows® when a man-in-the-middle attacker is able to successfully bypass the NTLM MIC (Message Integrity Check) protection.	Microsoft Windows® 7 - 10, Microsoft Windows Server® 2008 - 2019.
CVE-2018-6789	Sending a handcrafted message to Exim mail transfer agent may cause a buffer overflow. This can be used to execute code remotely.	Exim before 4.90.1.
CVE-2020-0688	A Microsoft Exchange® validation key remote code execution vulnerability exists when the software fails to properly handle objects in memory.	Microsoft Exchange Server® 2010 Service Pack 3 Update Rollup 29 and earlier, 2013 Cumulative Update 22 and earlier, 2016 Cumulative Update 13 and earlier and 2019 Cumulative Update 2 and earlier.
CVE-2018-4939	Certain Adobe ColdFusion® versions have an exploitable Deserialization of Untrusted Data vulnerability. Successful exploitation could lead to arbitrary code execution.	Adobe ColdFusion (2016 release) Update 5 and earlier versions, ColdFusion 11 Update 13 and earlier versions.
CVE-2015-4852	The WLS Security component in Oracle WebLogic® Server allows remote attackers to execute arbitrary commands via a crafted serialized Java® object.	Oracle WebLogic Server 10.3.6.0, 12.1.2.0, 12.1.3.0, and 12.2.1.0.
CVE-2020-2555	A vulnerability exists in the Oracle® Coherence product of Oracle Fusion® Middleware. This easily exploitable vulnerability allows unauthenticated attacker with network access via T3 to compromise Oracle® Coherence.	Oracle Coherence 3.7.1.0, 12.1.3.0.0, 12.2.1.3.0 and 12.2.1.4.0.
CVE-2019-3396	The Widget Connector macro in Atlassian Confluence® Server allows remote attackers to achieve path traversal and remote code execution on a Confluence® Server or Data Center instance via server-side template injection.	Atlassian Confluence before 6.6.12, 6.7.0 to before 6.12.3, 6.13.0 to before 6.13.3, and 6.14.0 to before 6.14.2.
CVE-2019-11580	Attackers who can send requests to an Atlassian® Crowd or Crowd Data Center instance can exploit this vulnerability to install arbitrary plugins, which permits remote code execution.	Atlassian Crowd from 2.1.0 to before 3.0.5, 3.1.0 to before 3.1.6, 3.2.0 to before 3.2.8, 3.3.0 to before 3.3.5, and 3.4.0 to before 3.4.4
CVE-2020-10189	Zoho ManageEngine® Desktop Central allows remote code execution because of deserialization of untrusted data.	Zoho ManageEngine Desktop Central before 10.0.479.
CVE-2019-18935	Progress Telerik® UI for ASP.NET AJAX contains a .NET deserialization vulnerability. Exploitation can result in remote code execution.	Progress Telerik UI for ASP.NET AJAX through 2019.3.1023.
CVE-2020-0601	A spoofing vulnerability exists in the way Windows® CryptoAPI (Crypt32.dll) validates Elliptic Curve Cryptography (ECC) certificates. An attacker could exploit the vulnerability by using a spoofed code-signing certificate to sign a malicious executable, making it appear that the file was from a trusted, legitimate source.	Microsoft Windows® 10, Server® 2016 - 2019.
CVE-2019-0803	An elevation of privilege vulnerability exists in Windows® when the Win32k component fails to properly handle objects in memory	Microsoft Windows® 7 - 10, Microsoft Windows Server® 2008 - 2019
CVE-2017-6327	The Symantec® Messaging Gateway can encounter a remote code execution issue.	Symantec Messaging Gateway before 10.6.3-267
CVE-2020-3118	A vulnerability in the Cisco® Discovery Protocol implementation for Cisco IOS® XR Software could allow an unauthenticated, adjacent attacker to execute arbitrary code or cause a reload on an affected device.	Cisco IOS XR 5.2.5, 6.5.2, 6.5.3, 6.6.25, 7.0.1.
CVE-2020-8515	DrayTek Vigor® devices allow remote code execution as root (without authentication) via shell metacharacters.	Cisco IOS XR 5.2.5, 6.5.2, 6.5.3, 6.6.25, 7.0.1.

---

 

■ 参考（報道等）

● xakep.ru
・2020.10.23 АНБ опубликовало список уязвимостей, наиболее популярных у китайских хакеров（NSAは、中国のハッカーの間で最も人気のある脆弱性のリストを公開しています）

● Security Week
・2020.10.21 NSA Lists 25 Vulnerabilities Currently Targeted by Chinese State-Sponsored Hackers by Ionut Arghire

The U.S. National Security Agency this week released an advisory containing information on 25 vulnerabilities that are being actively exploited or targeted by Chinese state-sponsored threat actors.

● Breaking Defense
・2020.10.22 NSA Warns Companies China Is Exploiting 25 Unpatched Vulnerabilities by KELSEY ATHERTON

The NSA cannot mandate patching on its own, but the new Cybersecurity Maturity Model Certification (CMMC) allows the Pentagon to penalize companies in its supply chain that fail to adequately protect their networks.

● Security Boulevard
・2020.10.22 The National Security Agency’s & Central Security Service’s Warning: Chinese State-Sponsored Malicious Cyber Actors Exploiting 25 CVEs by Marc Handelman 

● PSBE CYBER NEWS GROUP
・2020.10.22 US NSA Says – ‘Patch 25 Vulnerabilities To Deter Chinese Hackers!’ by Alan Rubins

In hope that enterprises patch them, the US NSA shared a list of 25 vulnerabilities currently being targeted by Chinese hackers.

The US Govt. has long warned about cyber threats emanating from China. Now, the National Security Agency (NSA) is outlining specific vulnerabilities its observed Chinese state-sponsored actors are using.

 

 

米国GAOのブログでDeepfakeが取り上げられていますね。。。

こんにちは、丸山満彦です。

米国のGAOのブログでDeepfakeが取り上げられています。Deepfakeの問題は色々なところで言われてきていますので、だいぶん世間にも知られてくるようになったと思います。

米国のGAOもDeepfakeの技術をかなり気にしているのだろうなということですね。。。

● U.S. GAO - Watchdog

・2020.10.20 Deconstructing Deepfakes—How do they work and what are the risks? 

Deepfakeの利点として、

• 映画などでの利用（俳優の若い頃の写真を利用する等）
• ウェブ上での試着

などが挙げられていますね。。。

一方、Deepfakeのリスクとして挙げられているのは、

• ポルノでの利用による人権侵害
• 選挙への影響、心理戦への利用

などが、挙げられていますね。

人びとを守るために何ができるか？として挙げられているの、

テクノロジー会社によるDeepfakeを見破る技術の開発、利用者への教育等が考えられるとしていますね。

 

■ 参考

● U.S. GAO

・2020.02.20 SCIENCE & TECH SPOTLIGHT: Deepfakes

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.12 欧州議会は「人工知能、ロボットおよび関連技術の倫理的側面の枠組み」を採択しましたね。。。

・2020.09.04 マイクロソフトがDeepfake検出ツールを発表してました。。。

・2020.08.10 ディープフェイク作のNATO、CSET、パートナーシップ・オン・AI、GAOの報告書（展開前ですが・・・）

・2020.04.20 別人になりきってオンラインビデオ会議に参加できるオープンソースのディープフェイクツール「Avatarify」...

・2020.01.27 Deepfake

 

 

---

・2020.10.23 追加

インドのボンベイ高等裁判所も動いていますね。。。

●DNA India
・2020.10.23 Bombay High Court seeks details on Telegram deepfake bots that create nude photos of women

Until recently Telegram app was considered to be safer than WhatsApp, but the deepfake revelation has raised a big question on the safety and security of social media platforms and apps.

 

 

 

 

NISTのZero Trust Architecture実装プロジェクトに関する文書

こんにちは、丸山満彦です。

これからの働き方やシステム構成を考えた場合、Zero Trust Architectureは理にかなっているので、かつてクラウドがいつの間にか当たり前になったように、Zero Trust Architectureも当たり前になっていくものと思っています。ただ、クラウドがそうであるように一度に全てのリソースがクラウドに移らないように、全てが一度にZero Trust Architectureに移行するわけではないでしょう。静かに静かに進んでいき、気がつけばいつの間にかそれが当たり前という状況になるのだろうと思っています。

なので、組織でセキュリティの設計を担う人は、今後を見据えて早めにシステム関連部署等と連携してZero Trust Architectureの導入を検討していくことが肝要と思います。

とはいえ、現在のセキュリティ設計の前提から変わる部分も多いので、その実装は実現不可能というほど困難なものではないですが、「では明日から」というほど簡単なものでもありません。Zero Trust Architectureの肝を十分に理解した上で、自組織のシステム環境や今後の計画、使える予算、人材等も十分に踏まえて、計画をたて（しかし技術変化が著しいので適宜見直しながら）進めていくことになると思います。

幸い、最近NISTが Zero Trust Architectureに関する文書である、NIST SP 800-207を公表したことから、Zero Trustに関連する考え方、用語等が統一されてくると思われ、理解もより容易になると思います。そして、この文書に基づいた実装プロジェクトも始まるようですね。。。

 

● NIST - ITL

・2020.10.21 (publication) White Paper [Project Description] Implementing a Zero Trust Architecture

・[PDF]  Project Description

参考

Supplemental Material:  Project homepage (other)

 

実装を想定しているシナリオは6つですね。

1. 従業員による企業リソースへのアクセス
2. 従業員によるインターネットリソースへのアクセス
3. 委託先勤務者による企業リソース・インターネットリソースへのアクセス
4. 企業内のサーバー間通信
5. ビジネスパートナーとの企業間連携
6. 企業リソースを活用した信頼度・信頼度の向上
   

今回のプロジェクトではOTは明確に対象から外していますね。。。

» Continue reading

NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)

こんにちは、丸山満彦です。

NISTのサイバーセキュリティとERMを統合する試みである、NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)が過去2回にわたるパブリックコメントを経て最終化していますね。。。

CSFとのマッピング表つき。。。

政府の内部統制に関する規則であるOMB Circular No. A-123やGAOのGreen Book (Standards for Internal Control in the Federal Government) はもちろんですが、COSO-ERM、ISO31000も参考にされていますよね。

● NIST - ITL

・2020.10.13 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)

・[PDF] NISTIR 8286

・[XLS] OLIR Mapping NISTIR 8286 to Cybersecurity Framework v1.1

---

Abstract

The increasing frequency, creativity, and severity of cybersecurity attacks means that all enterprises should ensure that cybersecurity risk is receiving appropriate attention within their enterprise risk management (ERM) programs. This document is intended to help individual organizations within an enterprise improve their cybersecurity risk information, which they provide as inputs to their enterprise’s ERM processes through communications and risk information sharing. By doing so, enterprises and their component organizations can better identify, assess, and manage their cybersecurity risks in the context of their broader mission and business objectives. Focusing on the use of risk registers to set out cybersecurity risk, this document explains the value of rolling up measures of risk usually addressed at lower system and organization levels to the broader enterprise level.

---

 

意訳すると

• サイバーセキュリティ攻撃の頻度が増え、より深刻になってきているので、全ての組織が、組織全体のリスク管理（ERM）プログラムの中で、サイバーセキュリティリスクが適切に対応されているか確認すべきである。
  
  
• NISTIR 8286は、組織内の個々の組織が、コミュニケーションやリスク情報の共有を通じて組織全体のERMプロセスへのインプットとして提供するサイバーセキュリティリスク情報を改善するのを支援することを目的としている。
  
  
• これが実現することで、組織とその下部組織は、より広範なミッションと事業目標の文脈の中で、サイバーセキュリティリスクをよりよく識別、評価、管理することができるようになる。
  
  
• NISTIR 8286では、サイバーセキュリティリスクを設定するためのリスクレジスターの使用に焦点を当て、通常はより低いシステムレベルや組織レベルで対処されるリスク対策を、より広範な企業レベルにロールアップすることの価値について説明している。

本文の構成は、

第１章は、本文書の目的、範囲等を説明しています。

第２章は、ERMとサイバーセキュリティ管理の基本を説明し、ERM とサイバーセキュリティリスク管理の現在の実践との間のハイレベルのギャップを説明しています。

第３章は、ERMプロセス全体を通じたサイバーセキュリティリスクの考慮事項を詳細に説明し、ERMのインプットとしてサイバーセキュリティリスクを文書化するための登録簿の使用を強調している。

第4節では、リスク登録を組織全体リスク登録簿に正規化・集約し、優先順位付けを適用して組織全体リスクプロファイルを生成することに基づいて、組織全体レベルでのリスクのポートフォリオビューを採用することを検討しています。

Executive Summary	エグゼクティブサマリー
1 Introduction	1 はじめに
1.1 Purpose and Scope	1.1 目的と範囲
1.2 Document Structure	1.2 ドキュメントの構造
2 Gaps in Managing Cybersecurity Risk as an ERM Input	2 ERMのインプットとしてのサイバーセキュリティリスク管理のギャップ
2.1 Overview of ERM	2.1 ERMの概要
2.2 Shortcomings of Typical Approaches to Cybersecurity Risk Management	2.2 サイバーセキュリティリスク管理の典型的なアプローチの欠点
2.3 The Gap Between CSRM Output and ERM Input	2.3 サイバーセキュリティリスク管理の出力とERM入力のギャップ
3 Cybersecurity Risk Considerations Throughout the ERM Process	3 ERMプロセスを通じたサイバーセキュリティリスクの考慮事項
3.1 Identify the Context	3.1 コンテキストの識別
3.2 Identify the Risks	3.2 リスクの特定
3.3 Analyze the Risks	3.3 リスクの分析
3.4 Prioritize Risks	3.4 リスクの優先順位付け
3.5 Plan and Execute Risk Response Strategies	3.5 リスク対応戦略の立案と実行
3.6 Monitor, Evaluate, and Adjust	3.6 監視・評価・調整
3.7 Considerations of Positive Risks as an Input to ERM	3.7 ERMへのインプットとしてのポジティブリスクの検討
3.8 Creating and Maintaining an Enterprise-Level Cybersecurity Risk Register	3.8 組織全体レベルのサイバーセキュリティリスク登録簿の作成と維持
3.9 Cybersecurity Risk Data Conditioned for Enterprise Risk Rollup	3.9 組織全体リスクロールアップのための条件付きサイバースセキュリティリスクデータ
4 Cybersecurity Risk Management as Part of a Portfolio View	4 ポートフォリオビューの一環としてのサイバーセキュリティリスク管理
4.1 Applying the Enterprise Risk Register and Developing the Enterprise Risk Profile	4.1 組織全体リスク登録の適用と企業リスクプロファイルの開発
4.2 Translating the Risk Profile to Inform Leadership Decisions	4.2 リーダシップの意思決定に情報を与えるためのリスクプロファイルの変換
4.3 Information and Decision Flows in Support of ERM	4.3 ERMを支える情報と意思決定の流れ
4.4 Conclusion	4.4 まとめ
References	参考文献
List of Appendices	付録一覧
Appendix A— Acronyms and Abbreviations	付録 A- 略語と略語
Appendix B— Glossary	付録 B- 用語集
Appendix C— Federal Government Sources for Identifying Risks	付録 C- リスクを特定するための連邦政府の情報源

---

■ 参考

まるちゃんの情報セキュリティ気まぐれ日記

・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)

・2020.06.23 GAO GreenbookとOMB Circular No. A-123

・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)

・

» Continue reading

ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。

こんにちは、丸山満彦です。

ENISAが脅威トップ15を公表していますね。。。レポートが22にもあります。。。

● ENISA

・2020.10.20 (press) ENISA Threat Landscape 2020: Cyber Attacks Becoming More Sophisticated, Targeted, Widespread and Undetected

・・[PDF] Infographic - Top 15 Threats

・・[PDF] Infographic - Threat Landscape Mapping during COVID-19

・ENISA Threat Landscape - 2020

・ENTRY POINT　

・・[PDF] The year inreview

・STRATEGIC REPORTS

・・[PDF] Sectoral/thematic threat analysis

・・[PDF] Main incidents in the EU and worldwide

・・[PDF] Research topics

・・[PDF] Emerging trends

・TECHNICAL REPORTS

・・[PDF] Cyber threat intelligence overview

・・[PDF] List of top 15 threats

・THREAT REPORTS

トップ15は次のようになりますね。。。

 

#	Threats [PDF]	脅威
1	Malware	マルウェア
2	Web-based Attacks	ウェブベースの攻撃
3	Phishing	フィッシング
4	Web Application Attacks	ウェブアプリケーション攻撃
5	SPAM	スパム
6	Distributed Denial of Service (DDoS)	分散型サービス拒否（DDoS
7	Identity Theft	アイデンティティの盗難
8	Data Breach	データ侵害
9	Insider Threat	内部者による脅威
10	Botnets	ボットネット
11	Physical Manipulation, Damage, Theft and Loss	物理的な操作、損傷、盗難、紛失
12	Information Leakage	情報漏洩
13	Ransomware	ランサムウェア
14	Cyber Espionage	サイバー・スパイ活動
15	Cryptojacking	クリプトジャッキング

 

---

中国電子標準化研究所が国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」に準拠した成熟度評価ツールをリリースしましたね

こんにちは、丸山満彦です。

中国電子標準化研究所が国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」に準拠した成熟度評価ツールをリリースしましたね。。。

● 中国电子技术标准化研究院  China Electronics Standardization Institute ('CESI')

・2020.10.19 (工作动态) 数据安全能力成熟度评估工具正式发布（データセキュリティ能力成熟度評価ツールが正式にリリースされました）

このツールは無料で、GB∕T 37988-2019 信息安全技术 数据安全能力成熟度模型（データセキュリティ能力成熟度モデル）に基づいて、つまり、データの「収集」、「送信」、「保存」、「処理」、「交換」、および「破棄」のライフサイクル全体に焦点を当て、「組織構築」、「システムフロー」、「技術ツール」、「人材能力」の4つの能力次元で5つの成熟度レベルを評価するもののようですね。

● 数据安全能力成熟度评估工具（データセキュリティ能力成熟度評価ツール）

・評価ツール（要登録）

メールアドレスを登録してアカウントを発行してもらえれば使えるようです。ただし、中国語だけです。

なお、国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」は、情報セキュリティ標準化技術委員会（TC260）で提案、承認され、2019年8月30日に正式に公開され、2020年3月1日から実施されています。 この規格で提案されているデータセキュリティ能力成熟度モデル（DSMM）は、アリババと中国電子技術標準化研究所（CIST）が、30社以上の企業や機関と共同で、広範な実践と研究に基づいて共同開発したと説明されていますね。。。

・[PDF] 国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」 (downloaded)

構成を見ればわかるのですが、経済産業省で個人情報保護法のガイドラインの安全管理措置を作った時の構造と似ていますね。。。つまり、最初にデータのライフサイクルでコントロールを記述し、次に全体的なセキュリティ対策を記述（ただし、組織的、人的、物理的、技術的という分類でしたが）するという。。。真似たということではなく、データセキュリティについて考えると論理的な帰結として同じになったということだと思います。。。

目 次	目 次
前言	前文
1 范围	1 スコープ
2 规范性引用文件	2 規範的な引用
3 术语和定义	3.用語と定義
4 缩略语	4 略語
5 DSMM 架构	5 DSMMアーキテクチャ
5.1 成熟度模型架构	5.1 成熟度モデルのアーキテクチャ
5.2 安全能力维度	5.2 セキュリティ能力の次元
5.3 能力成熟度等级维度	5.3 能力成熟度レベルの寸法
5.4 数据安全过程维度	5.4 データ・セキュリティ・プロセス・ディメンション
6 数据采集安全	6 データ取得のセキュリティ
6.1 PA01 数据分类分级	6.1 PA01 データ分類階層
6.2 PA02 数据采集安全管理	6.2 PA02 データ収集セキュリティ管理
6.3 PA03 数据源鉴别及记录	6.3 PA03 データソースの特定と記録
6.4 PA04 数据质量管理	6.4 PA04 データ品質管理
7 数据传输安全	7 データ伝送のセキュリティ
7.1 PA05 数据传输加密	7.1 PA05 データ伝送の暗号化
7.2 PA06 网络可用性管理	7.2 PA06 ネットワーク可用性管理
8 数据存储安全	8 データストレージのセキュリティ
8.1 PA07 存储媒体安全	8.1 PA07 ストレージメディアのセキュリティ
8.2 PA08 逻辑存储安全	8.2 PA08 論理ストレージのセキュリティ
8.3 PA09 数据备份和恢复	8.3 PA09 データバックアップとリカバリ
9 数据处理安全	9 データ処理のセキュリティ
9.1 PA10 数据脱敏	9.1 PA10 データの機微性の低減(?)
9.2 PA11 数据分析安全	9.2 PA11 データ分析のセキュリティ
9.3 PA12 数据正当使用	9.3 PA12 データの適切な使用
9.4 PA13 数据处理环境安全	9.4 PA13 データ処理環境のセキュリティ
9.5 PA14 数据导入导出安全	9.5 PA14 データのインポートとエクスポートのセキュリティ
10 数据交换安全	10 データ交換のセキュリティ
10.1 PA15 数据共享安全	10.1 PA15 データ共有のセキュリティ
10.2 PA16 数据发布安全	10.2 PA16 データリリースセキュリティ
10.3 PA17 数据接口安全	10.3 PA17 データインタフェースのセキュリティ
11 数据销毁安全	11 データ破壊のセキュリティ
11.1 PA18 数据销毁处置	11.1 PA18データ破壊処分
11.2 PA19 存储媒体销毁处置	11.2 PA19 記憶媒体破壊処理
12 通用安全	12 一般的なセキュリティ
12.1 PA20 数据安全策略规划	12.1 PA20 データセキュリティ戦略計画
12.2 PA21 组织和人员管理	12.2 PA21 組織と人のマネジメント
12.3 PA22 合规管理	12.3 PA22 コンプライアンス管理
12.4 PA23 数据资产管理	12.4 PA23 データ資産管理
12.5 PA24 数据供应链安全	12.5 PA24 データサプライチェーンのセキュリティ
12.6 PA25 元数据管理	12.6 PA25 メタデータ管理
12.7 PA26 终端数据安全	12.7 PA26 エンドポイントデータセキュリティ
12.8 PA27 监控与审计	12.8 PA27 モニタリングと監査
12.9 PA28 鉴别与访问控制	12.9 PA28 認証とアクセス制御
12.10 PA29 需求分析	12.10 PA29 ニーズ分析
12.11 PA30 安全事件应急	12.11 PA30 セキュリティインシデント対応
附录 A (资料性附录) 能力成熟度等级描述与 GP	付録A（参考資料） 能力成熟度レベルの記述とGP
A.1 概述	A.1 概要
A.2 能力成熟度等级1———非正式执行	A.2 キャパシティ成熟度レベル1-インフォーマルな実施
A.3 能力成熟度等级2———计划跟踪	A.3 能力成熟度レベル2-計画トラッキング
A.4 能力成熟度等级3———充分定义	A.4 能力成熟度レベル3-完全定義
A.5 能力成熟度等级4———量化控制	A.5 能力成熟度レベル4 - 定量的コントロール
A.6 能力成熟度等级5———持续优化	A.6 能力成熟度レベル5 - 継続的最適化
附录 B (资料性附录) 能力成熟度等级评估参考方法	付録B（参考資料） 習熟度評価のための参考方法
附录 C (资料性附录) 能力成熟度等级评估流程和模型使用方法	付録C（参考資料） 能力成熟度レベルとモデルの利用に関する評価プロセス
C.1 能力成熟度等级评估流程	C.1 キャパシティ成熟度評価プロセス
C.2 能力成熟度模型使用方法	C.2 能力成熟度モデルの利用方法
参考文献	参考文献

---

 

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

＜中国のセキュリティ標準関係＞
・2020.02.22 中国サイバーセキュリティ関連組織・・・
・2020.02.04 中国が情報セキュリティに関連の国家標準のパブコメを18件出していました・・・

＜米国のCMMC関係＞
・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています
・2020.05.01 Cybersecurity成熟度モデル認証制度は普及するか、しないか・・・
・2020.04.19 COVID-19によりDODのサイバーセキュリティ認証(CMMC)の開始が遅れる？
・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)
・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

 

中国 パブコメ 商業銀行法改正 商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け

こんにちは、丸山満彦です。

中国で商業銀行法の改正案がパブコメに出されていて、個人情報の適正な取得、目的外利用の禁止、安全の確保等の条文の追加が行われていますね。。。その他、大幅な変更な感じです。

国外に出された個人情報の保護も国内と同じようにできるようにしろと書いていますね。。。

● 中国人民银行

・2020.10.16 中国人民银行关于《中华人民共和国商业银行法（修改建议稿）》公开征求意见的通知
　　　　　　　「商業銀行に関する中華人民共和国の法律（改訂草案）」に対する意見募集に関する中華人民銀行の通知

・附件1：[PDF] 中华人民共和国商业银行法（修改建议稿） [TXT]
・別紙1：中華人民共和国商業銀行法（改訂草案）

---

第七十六条（个人信息保护与数据安全） 商业银行收集、保存和使用个人信息，应当符合法律、行政法规的规定，遵循合法、正当、必要原则，取得本人同意，并明示收集、保存、使用信息的目的、方式和范围。

商业银行不得收集与业务无关的个人信息或者采取不正当方式收集个人信息，不得篡改、倒卖、违法使用个人信息。

商业银行应当保障个人信息安全，防止个人信息泄露和滥用。商业银行将个人信息处理外包给第三方的，应当确保第三方遵守个人信息保护规定，并采取有效措施保障个人信息安全。

商业银行为处理跨境业务向境外传输境内个人信息和重要数据的，应当遵守法律、行政法规的规定，并采取有效措施，确保个人信息和重要数据的受保护水平不因出境而降低。

---

第76条（個人情報の保護とデータの安全性） 商業銀行は、法令の規定に基づき、適法性、正当性、必要性の原則に則り、本人の同意を得て、個人情報の収集、保管、利用の目的、方法、範囲を明示し、個人情報を収集、保管、利用しなければならない。

商業銀行は、業務に関係のない個人情報を収集したり、不正な手段で個人情報を収集したりしてはならず、法令に違反して個人情報を改ざんしたり、販売したり、利用したりしてはならない。

商業銀行は、個人情報の安全を確保し、個人情報の漏洩や悪用を防止します。 商業銀行は、個人情報の処理を第三者に委託する場合には、個人情報保護に関する規程を遵守させるとともに、個人情報の安全管理のために有効な措置を講じなければならない。

クロスボーダー業務を取り扱う目的で国内の個人情報及び重要データを海外に発信する商業銀行は、法令の規定を遵守するとともに、国外に出たことにより個人情報及び重要データの保護水準が低下することのないよう、実効性のある措置を講じなければならない。

---

 

 

■ 参考

● 全国人民代表大会
・中华人民共和国商业银行法

・[TXT] 2020.10.20 現在の法律

 

東証システム障害について - 「再発防止策検討協議会」の設置について

こんにちは、丸山満彦です。

2020.10.01に東京証券取引所のシステムが停止し、売買が行えない状況となり、翌日には復活し、2020.10.05に独立社外取締役による「システム障害に係る調査委員会」が設置され、2020.10.16に金融庁に報告が行われましたね。。。

2020.10.19に経緯、原因及び再発防止措置等について公表が行われ、「再発防止策検討協議会」を設置することが公表されましたね。。。メンバーは発表されていません。。。再発防止策検討協議会の議論を経て2021年3月末には市場再開のためのルール等を作るようです。。。

一方、システムベンダーの富士通からも障害の原因と対策について公表されていますね。。。

マニュアルの不備（製品仕様と異なるマニュアルへの記載）が原因の１つとなっていますね。。。

 

● 東京証券取引所

・2020.10.19 10月1日に株式売買システムで発生した障害について

今回発生した事象に関し、経緯、原因及び再発防止措置等について公表を行いました。
また、今般、当社では、再発防止に向けたシステム障害対応やルール整備の在り方についての検討を行うため、「再発防止策検討協議会」を設置することとしました。

・ [PDF] 10月1日に株式売買システムで発生した障害について (downloaded) 
・ [PDF] （補足資料）NAS設定値について (downloaded)
・ [PDF]  システム障害に係る「再発防止策検討協議会」の設置について  (downloaded)

---

(1) NAS 2 号機への自動切替えが正常に動作しなかった理由

当社は、NAS 故障時でも 30 秒以内に切替えて、業務を継続できることをシステム要件として定めています。現行 arrowhead⁴ 構築時に、富士通の製品マニュアルを参照して NAS の設定値の妥当性を当社と富士通で共同検討しましたが、そこには切替えに関する設定値に拠らず自動切替えが動作すると記載されていたことから、同設定値におけるこれまでの arrowhead の稼働実績に鑑み、富士通の設定値を当社が確認のうえ、決定しました。

しかし実際には、arrowhead に設定した値ではメモリ障害時には自動的に切り替わらない製品仕様であることが、本障害後の調査で判明しました。マニュアルの不備により正しい仕様が把握できませんでした^{5 6}。

富士通では、通常、初期設定値でマニュアルどおりに動作することをテストしてから製品として出荷します。今回、arrowhead
に設定した値は初期設定値ではなかったため、出荷時、机上で仕様を確認したものの、テストは行われていませんでした。当社においても NAS の切替えテストは実施していましたが、切替え後の業務継続に確認の重きを置き、設定値とマニュアルの整合性については富士通内の製品出荷プロセスで検証されている前提であったことから、テスト時はネットワーク故障を疑似的に発生させることで、切替えが正常に行われ業務継続できることを確認していました。

なお、NAS の手動での切替え完了まで時間を要したのは、自動的に切り替えられる機構であることを前提として、障害対応手順を整備していたことに拠ります。

⁴ 現行システム＝2019 年 11 月稼働
⁵ 2015 年 9 月に稼働した 2 代目の arrowhead 開発時からマニュアルの不備が発生していました。
⁶ NAS 設定値の経緯については、別紙「（補足資料）NAS 設定値について」をご参照ください。

---

(2) 当日中の取引再開ができなかった理由

① システム面

売買停止のためにネットワークを遮断しましたが、arrowhead 内部では約定等の処理が動き続けました。その結果、再開に向けた手順や確認項目が多くなりました。不測の事態に備え、複数種類の売買停止手段は用意していましたが、NAS が使えない場合においても確実に売買を停止する手段を具備していなかったことが問題と認識しています。

② 運用面

arrowhead を再立ち上げして売買を再開するという手順については取引参加者との合意もなく、テストも実施していない中で、不安定な対応は市場開設者として採用すべきではないと判断しました。システム障害発生時の売買停止後の再開に係る取扱いルールが整備されていなかったことが問題と認識しています。

---

3. 再発防止のために講じる措置

再発防止策	内容
① システム対応と総点検 （2.(1)への対応）	・ NAS 切替え設定値の修正（10 月 5 日完了） ・ NAS 設定値の総点検（10 月末まで） ・ 確実に切り替える手段の確認・整備（11 月末まで） ・ 切替えテスト・訓練（NAS については 21 年 1 月まで：その後も継続）
② 確実に売買停止をするための手段の拡充 （2.(2)①への対応）	・ 売買停止できないケースの確認（10 月末まで） ・ （該当ケースがある場合）指示方法や運用手順の整備（11 月末まで） ・ NAS を経由しない売買停止機能の開発（11 月末まで）
③ 市場停止及び再開に係るルールの整備等 （2.(2)②への対応）	取引参加者・投資家・システムベンダー等から構成される「再発防止策検討協議会」を設置し、議論のうえルール等を整備（21 年 3 月末目途） ・ 当日中に売買を再開するために必要となるルール ・ 売買の再開に向けた手順の整備 ・ 売買停止・再開の基準の明確化 ・ 情報発信の在り方、等

---

 

● 富士通

・2020.10.19 東京証券取引所様の株式売買システム「arrowhead」で発生した障害の原因と対策について

[PDF] ページ印刷

---

（2）共有ディスク装置の自動切替が行われなかった原因

• 当該共有ディスク装置のマニュアルには、メモリ故障等に起因する特定事象が発生した場合は、必ず自動切替が行われる旨の記載がありました。
• 実際の製品では、設定によっては、メモリ故障等に起因する特定事象が発生した場合、自動切替が行われない仕様となっておりました。今回は特定事象発生時に自動切替が行われない設定になっておりました。
• マニュアルの記載と実際の仕様の齟齬が生じた原因は、当該共有ディスク装置のオペレーティングシステムのバージョンアップにより製品仕様が変更された際に、マニュアルの記載が変更されていなかったことによるものです。
• マニュアルの記載が変更されていなかったこと、およびその状況を製品出荷時等の試験で検出できなかったことは当社の試験・確認が不十分であったことによるものです。

---

 ・2020.10.19 [PDF]［重要］ストレージシステム「ETERNUS NR1000 series」におけるコントローラ自動切替の仕様に関する重要なお知らせ

---

 

■ 参考

● Piyolog

・2020.10.02  2020年10月に発生した東京証券取引所のシステム障害についてまとめてみた

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.07 東証システム障害について　 - 「システム障害に係る調査委員会」の設置について

日本銀行 金融機関における在宅勤務の拡がりとシステム・セキュリティ面の課題 ― アンケート調査結果から ―

こんにちは、丸山満彦です。

日本銀行が、「金融機関における在宅勤務の拡がりとシステム・セキュリティ面の課題 ― アンケート調査結果から ―」を2020.10.13に公開していまして、（対策をやっていない割合とか）興味深いです。調査対象は日銀なので、いわゆる銀行、証券です。保険、クレジットは入りません。。。

● 日本銀行

・2020.10.13 金融機関における在宅勤務の拡がりとシステム・セキュリティ面の課題 ― アンケート調査結果から ―

金融機関においても在宅勤務の導入が大きく進展したことが確認された。また、システム面では、在宅勤務用の会社貸与端末の追加調達やシステムの能力増強など、様々な対策が実施されていたほか、今後も在宅勤務関連のシステム能力増強を図る先が少なからずみられた。一方、セキュリティ面では、会社貸与端末のセキュリティ対策は概ね適切に実施されていたが、在宅勤務での利用が認められた私用端末のセキュリティ対策に改善の余地がみられたほか、Web会議サービスの利用に当たって、運用ルールの策定など体制整備が必要な点がみられた。

・[PDF]

I.はしめに

II.在宅勤務に関するアンケートの結果

1.在宅勤務の実施状況
(1)在宅勤務制度
(2)在宅勤務・自宅待機の実施状況
(3)業務継続計画・コンティンジェンシープランの整備・実施状況

2.在宅勤務にかかるシステムの整備・利用状況
(1)社内システムへ接続する仕組み
(2)在宅勤務用端末・回線
(3)Web 会議
(4)方針発表後に実施したシステム対応および今後の方針

3.在宅勤務にかかるセキュリティ対策
(1)社内システムへの接続に用いるセキュリティ対策
(2)委託先による社内システムへの接続
(3)端末等のセキュリティ対策
(4)Web 会議サービス利用時のセキュリティ対策

4.在宅勤務の今後の活用方針と活用に向けた課題

III.おわりに

別紙

---

いくつかアンケート調査結果を。。。

• 在宅勤務に使用する端末と社内システムの接続方式(複数回答可)

 

 

• 全職員数に対する在宅勤務用端末台数の割合
  

 

• 端末台数に対する同時接続数の割合

 

 

• 在宅勤務のために行ったシステム対応(複数回答可)
  

 

• 社内システム接続の際のセキュリティ対策(複数回答可)
  

(多要素認証を利用していないところも多いんや、、、とか。。。)

 

• 私用端末の利用状況
  

(意外と私用端末の利用を認めていますね)

これら以外にも興味深いところはありますね。。。

ヨーロッパの次世代クラウドに向けて

こんにちは、丸山満彦です。

EUからヨーロッパの次世代クラウドを作るぞ、という宣言が出され、25か国が署名していますね。。。

ヨーロッパはデジタル主権（digital sovereignty）を意識していますね。。。これは重要な視点ですね。。。例えば、日本でもCOVID-19感染者との接触警告アプリの国への導入はGoogleとAppleの都合により決まりましたよね。。。結果が良いか悪いかではなく、そのようなプロセスで良いのかという問題ですよね。。。

● Europian Commission

・2020.10.15 Towards a next generation cloud for Europe

The European Commission and the German Presidency of the Council of the European Union welcome the political will expressed by 25 Member States on the next generation cloud for Europe. This secure and competitive cloud offering is essential to provide the trustworthy data processing infrastructure and services that public administrations, businesses and citizens require in Europe.

・[PDF] Declaration: Building the next generation cloud for businesses and the public sector in the EU

 

クラウドコンピューティングに関する内容

・Shaping Europe’s digital future

・・Cloud computing

・・2020.12.09 Towards a more secure and trusted cloud in Europe

関連するトピックスとして、

GAIA-X[wikipedia]がありますね。。。

● GAIA-X: A Federated Data Infrastructure for Europe

 

World Economic Forum ビジネス環境を巡る地域リスクレポート2020 （サイバー攻撃も上位に入っています。。。）

こんにちは、丸山満彦です。

World Economic Forumが10月7日に「ビジネス環境を巡る地域リスクレポート2020」を公表しています。128カ国1万2,000人余りのビジネスリーダーを対象とした調査を基にまとめたものです。

なかなか興味深いです。

COVID-19の環境ですから、この調査レポートは経営者に質問をしているので、経営者目線の結果ということになると思うんです。多くの地域で、やはり「感染症のひろがり」「失業」を気にしているのですが、北米だけは「サイバー攻撃」が一番なんですよね。。。選挙があるからですかね。。。

あと、日本の経営者は、北米以外の他の地域の経営者よりも「サイバー攻撃」をリスクと感じているようです。。。なるほど。。。

● World Economic Forum

・2020.10.07 「ビジネス環境を巡る地域リスクレポート2020」：失業がビジネスリーダーの最大の関心事。気候関連リスクも上位に

・インタラクティブマップ

 

インタラクティブマップは、国別、テーマ別に情報がみれます。。。

 

---

World Economic Forumからサイバーセキュリティの報告書（Cyber Information Sharing: Building Collective Security）が出ていましたね。。。

こんにちは、丸山満彦です。

世界経済フォーラム（World Economic Forum）からサイバーセキュリティの報告書（Cyber Information Sharing: Building Collective Security）が10月6日に出ていましたね。。。

サイバーセキュリティに関する情報共有についての報告書ですね。一個人、一企業で対応するのではなく、情報共有を進め協力して対応していくことが重要ですよね。より連携を進めるためには、機械学習やプライバシー強化技術等を活用が重要となってくるという話ですね。。。

最後に、組織のリーダ、サイバーセキュリティ業界のリーダ、政策と産業界のリーダ、研究開発関係者向けに推奨事項を挙げていますね。。。

昔、なくなった山口先生がおっしゃっていましたが、自助、共助、公助ですね。。。私も同感です。特に個人的には共助が進むように何かしら力添えができればと思っています。。。

 

● World Economic Forum
・2020.10.06 Cyber Information Sharing: Building Collective Security

Cybersecurity is one of the most systemically important issues facing the world today. Cyber information sharing is critical to helping better collective security in the digital ecosystem in which society increasingly relies. Cyber information sharing, however, faces multiple barriers. New technology, among other interventions, promises to overcome these barriers. Action is required to make sure that information sharing can continue to be an enabler of the strategic driver of the global cybersecurity community; the need to move from individual resilience to collective resilience.

・[PDF] Cyber Information Sharing: Building Collective Security - INSIGHT REPORT - OCTOBER 2020

目次

1 Executive Summary

2 Cyber information sharing: what is it and why does it matter?
 2.1 Cyber information sharing as a platform for collective resilience
 2.2 Cyber information sharing as a platform for collective action

3 Why does this matter now?

4 Seven barriers that need to be overcome

5 Information sharing 2.0: how next‑generation technology can help
 5.1 AI and ML
 5.2 Privacy Enhancing Technologies
 5.3 Encrypted computation
 5.4 Differential privacy

6 CDA case study: using PET to drive collective action in the cybercrime ecosystem
6.1 The pilot: secure and confidential querying
6.2 Results

CONCORDIA: an ecosystem for collaboration

Recommendations

Contributors

Endnotes

---

» Continue reading

数千万ユーロをマネーロンダリングしたと言われるQQAAZZネットワークに属していると思われる逮捕者が20名になりました

こんにちは、丸山満彦です。

米国司法省、ユーロポールが数千万ユーロをマネーロンダリングしたと言われるQQAAZZネットワークに属していると思われる逮捕者が20名になったと発表していますね。。。2019年10月に5名、2020年3月に1名、そして今回14名を逮捕し、総計20名になったということですね。。。

QQAAZZは、ロシア語圏のオンライン・サイバー犯罪者フォーラムで、「銀行口座へお金を落とすための国際的サービス」としてサービスを宣伝し、サイバー犯罪者が集まり、様々なサイバー犯罪活動に従事するために必要な専門的なスキルやサービスを提供したり、求めたりしています。世界で最も有害なマルウェアファミリー（例：Dridex、Trickbot、GozNymなど）の背後にある犯罪組織が、QQAAZZのサービスの恩恵を受けていると言われているようですね。。。

● U.S. Department of Justice
・2020.10.15 OFFICIALS ANNOUNCE INTERNATIONAL OPERATION TARGETING TRANSNATIONAL CRIMINAL ORGANIZATION QQAAZZ THAT PROVIDED MONEY LAUNDERING SERVICES TO HIGH-LEVEL CYBERCRIMINALS - U.S. Victims of Various Cybercriminal Malware Schemes throughout the United States Had Stolen Multi-Million Dollar Funds Laundered by QQAAZZ

・[Youtube]

・[PDF] 起訴状1 US v. Nazarovi, et. al. 
・[PDF] 起訴状2 US v. Trofimovics, et. al.

● FBI
・2020.10.15 FBI Pittsburgh Remarks on QQAAZZ Indictment

Michael Christman, special agent in charge of the FBI in Pittsburgh, said he is proud to stand with law enforcement partners from around the globe to announce major indictment.

 

● Europol
・2020.10.15 20 ARRESTS IN QQAAZZ MULTI-MILLION MONEY LAUNDERING CASE

・Infographics

 

---

ロシアのメディアでも取り上げられていますね。。。

● RIANovosti
・2020.10.15 В США арестовали россиянина по обвинению в кибермошенничестве

 

● Fontanka.ru
・2020.10.15 Минюст США опубликовал данные о преступной сети. Один из обвиняемых — петербургский рэпер

Более 20 человек проходят обвиняемыми по делу сети QQAAZZ. В основном это граждане Латвии, а россиянин — всего один.

● IZ.ru
・2020.10.15 Арестованный в США россиянин не признал вину в кибермошенничестве

Гражданин России Максим Бойко, арестованный в США по обвинению в кибермошенничестве и отмывании незаконно полученных денежных средств, не признает свою вину. Об этом сообщил в четверг, 15 октября, адвокат подозреваемого Аркадий Бух.

逮捕されたロシアの容疑者は容疑を否認していると弁護士を通じて表明しているという報道ですね。

---

 

■ 報道等

● Pittsburgh Post-Gazette

・2020.10.16 14 more charged in QQAAZZ international cybercrime conspiracy

 

● Dark Reading
・2020.10.16 US Indicts Members of Transnational Money-Laundering Organization by Jai Vijayan

Members of the QQAAZZ group helped cybercriminals conceal origins of stolen funds, DoJ alleges.

● ZDNet
・2020.10.15 US charges QQAAZZ group for laundering money for malware gangs

Among the QQAAZZ group's clients were famous malware groups like Dridex, Trickbot, and GozNym.

● Cyber Scoop
・2020.10.15 US, European authorities carry out sweeping crackdown on prolific QQAAZZ cybercriminal group by Sean Lyngaas

● CIO (Germany)
・20 Festnahmen bei Schlag gegen Geldwäschering - Europol zerstört Netzwerk QQAAZZ

● Il Mattino (Italy)
・2019.10.15 Cyber-riciclaggio, 19 arresti in tutta Europa: soldi sottratti dai conti online, tra le vittime l'ospedale pediatrico Santobono di Napoli

 

 

米国防省の新たなデータ戦略（データは弾薬）（データは燃料）

こんにちは、丸山満彦です。

先週、米国防省が新たなデータ戦略を発表しています。国民の命を預かっている組織であり、目の前の部下の命と直結している組織だからでしょうか、浮いた話はなく業務をきっちり意識しており、基本的でありながら、新しいトレンドもきっちり取り入れていて、よく練られていると思います。

● DoD

・2020.10.08 (release) DOD Issues New Data Strategy

・[PDF] DoD Data Strategy - Unleashing Data to Advance the National Defense Strategy 

 

Exective Summaryを簡単に日本語にしてみました。。。

 

---

要約: 国防総省データ戦略

防衛戦略を推進するためのデータの活用

 

総括: データ戦略は、国防総省をデータ中心の組織に転換するために必要な包括的なビジョン、重点領域、指導原則、基本的な能力、目標を設定することで、国防総省の防衛戦略とデジタル近代化の実現を支援する。成功が保証されているわけではない。データを兵器システムとして扱い、データを管理し、安全を確保し、運用効果を上げるために使用することは、国防総省の全リーダーの責任である。

 

ビジョン: 国防総省は、運用上の優位性と効率性の向上のためにデータをスピードを持って、かつ大規模に利用するデータ中心の組織となる。

 

重点領域: この戦略では、作戦コミュニティの利用者、特に戦闘員と密接に連携する必要性を強調している。当面の重点領域には次のようなものがある。

• すべての領域での共同作戦 - 戦場での優位性を高めるためにデータを利用する
• シニアリーダの意思決定支援 - データを使用して国防総省の管理を改善する
• 事業アナリティクス - データを使用して、あらゆる階層で情報に基づいた意思決定をする

 

8つの指導原則 （国防総省のすべてのデータへの取り組みの基礎となる）:

1.) データは戦略的資産– 国防総省のデータは関心を払うべきものであり、即時かつ永続的な軍事的優位性をもたらす方法で活用されなければならない。

2.) 統合的なデータの取り扱い – 国防総省は、データのライフサイクル全体を通して説明責任を果たすために、データ取扱者、データ保管者、および機能的なデータ管理者を任命しなければならない。

3.) データ倫理 – 国防総省は、データの収集、使用、保存方法に関して、倫理をすべての思考と行動の最優先事項にしなければならない。

4.) データ収集 – 国防総省は、データ作成時にデータの電子的収集を可能にし、そのデータの正当性を常に維持しなければならない。

5.) 組織を通じたデータアクセスと利用可能性– 国防総省のデータは、適切なメカニズムを通じて、権限を与えられた個人及び機器等を含む全てのエンティティが利用できるようにしなければならない。

6.) 人工知能トレーニング用のデータ – 人工知能トレーニング用のデータセットとアルゴリズムモデルは、今後ますます国防総省の最も価値のあるデジタル資産となるであろう。

7.) データの目的適合– 国防総省は、データ収集、共有、使用、迅速なデータ統合、意図しないバイアスの発生源の最小化など、倫理的な懸念事項を慎重に考慮しなければならない。

8.) コンプライアンスの設計 – 国防総省は、情報管理ライフサイクルを完全に自動化し、データを適切に保護し、エンドツーエンドの記録管理を維持する機会を提供する IT ソリューションを導入しなければならない。

 

4 つの基本的な能力 （目標達成に必要となる）:

1.) アーキテクチャ – クラウドやその他の技術によって実現された国防総省のアーキテクチャは、敵が適応するよりも迅速にデータを路線変更することを可能にしなければならない。

2.) 標準 – 国防総省は、データ資産の管理と利用のための一般的に認知されたアプローチだけでなく、データの表現と共有のための実績のある成功した方法を含む一連の標準化を採用している。

3.) ガバナンス – 国防総省のデータガバナンスは、データの作成から廃棄に至るまで、すべてのレベルでデータを効果的に管理 するために必要な原則、ポリシー、プロセス、フレームワーク、ツール、測定基準、監督を提供する。

4.) 人材と文化 – 国防総省の実施者（各階層の軍人、民間人、請負業者）は、データを使って仕事をし、データに基づいた意思決定を行い、証拠に基づいたポリシーを作成し、効果的なプロセスを実施するために、更に権限を与えられるようになるだろう。

 

7 つの目標 (別名, VAULTIS) データ中心のDoDになるために達成しなければならない:

1.) 可視化Visible – 利用者は必要なデータを見つけることができる。

2.) アクセス Accessible – 利用者はデータを検索できる。

3.) 理解 Understandable – 利用者は、内容、文脈、適用可能性を認識することができる。

4.) つなげる Linked – 利用者は、生得的な関係性を通じてデータ要素を利用できる。

5.) 信頼 Trustworthy – 利用者は、意思決定のためにデータのあらゆる側面で安心を持つことができる。

6.) 相互利用 Interoperable – 利用者は、データの共通の表現／理解を持つことができる。

7.) 安全 Secure – 利用者は、データが不正使用や不正操作から保護されていることを知ることができる。

 

今後に向けた取り組み: の戦略を実施するために、各コンポーネントは、国防総省 チーフデータオフィサー および 国防総省 データカウンシル の監督の下、測定可能なデータ戦略実施計画を策定する。データガバナンスコミュニティとユーザコミュニティは、すべてのデータ利害関係者のために、課題を特定し、解決策を開発し、ベスト プラクティスを共有するために、引き続きパートナーとなる。

---

 

目次

1. Introduction
1.1. Problem Statement
1.2. Scope

2. Vision and Guiding Principles
 2.1. Vision Statement
 2.2. Guiding Principles
  2.2.1. Data is a Strategic Asset
  2.2.2. Collective Data Stewardship
  2.2.3. Data Ethics
  2.2.4. Data Collection
  2.2.5. Enterprise-Wide Data Access and Availability
  2.2.6. Data for Artificial Intelligence Training
  2.2.7. Data Fit for Purpose
  2.2.8. Design for Compliance

3. Essential Capabilities
 3.1. Architecture
 3.2. Standards
 3.3. Governance
 3.4. Talent and Culture

4. Goals and Enabling Objectives
 4.1. Goal: Make Data Visible
 4.2. Goal: Make Data Accessible
 4.3. Goal: Make Data Understandable
 4.4. Goal: Make Data Linked
 4.5. Goal: Make Data Trustworthy
 4.6. Goal: Make Data Interoperable
 4.7. Goal: Make Data Secure

5. Operationalizing the Strategy
 5.1. Strengthened Governance
 5.2. Focus Areas
 5.3. Implementation Plans

6. Conclusion

---

Goals and Enabling Objectives

#	GOALS	#	ENABLING OBJECTIVES
1	Visible	1	Data is advertised and available for authorized users when and where needed.
		2	DoD implements metadata standards including location and access methods for shared data.
		3	All DoD data sources are catalogued.
		4	DoD implements common services to publish, search, and discover data.
		5	Warfighting and business governance bodies make decisions based on live visualizations of near real-time data.
2	Accessible	1	Data is accessible through documented standard Application Programming Interfaces (APIs).
		2	Common platforms and services create, retrieve, share, utilize, and manage data.
		3	Data access and sharing is controlled through reusable APIs.
3	Understandable	1	Data is presented in a way that preserves semantic meaning and is expressed in a standardized manner throughout DoD.
		2	DoD utilizes a common data syntax for the same data types and includes semantic metadata with data assets.
		3	Data elements are aligned into a comprehensive data dictionary with a controlled, yet flexible, vocabulary and taxonomy.
		4	Data is baselined and inventoried in comprehensive data catalogs with relevant information on purpose, ownership, points of contact, security, standards, interfaces, limitations, and restrictions on use.
		5	DoD has processes to create, align, implement, and manage business vocabularies, including enterprise standards.
4	Linked	1	DoD implements globally unique identifiers so data can be easily discovered, linked, retrieved, and referenced.
		2	DoD utilizes common metadata standards that allow data to be joined and integrated.
5	Trustworthy	1	DoD budget requests and the supporting budget process integrate data-focused evidence and Learning Agendas (see P.L. 115-435).
		2	DoD data has protection, lineage, and pedigree metadata bound throughout its lifecycle.
		3	DoD executes data quality management techniques to assess and enhance data quality.
		4	DoD implements master data management for business, intelligence, and warfighting data.
		5	DoD properly tags and maintains all appropriate data and records in accordance with established processes and policies.
6	Interoperable	1	DoD documents and implements data exchange specifications for all systems, including those of coalition partners.
		2	Exchange specifications contain required metadata and convey standardized semantic meaning with the data set.
		3	Public data assets are machine-readable and available for consumption.
		4	DoD rapidly mediates differing data standards and formats without mission-critical loss of fidelity, precision, or accuracy.
		5	DoD develops and promulgates a data-tagging strategy and subsequent implementation plan to enable data interoperability.
7	Secure	1	Granular privilege management (identity, attributes, permissions, etc.) is implemented to govern the access to, use of, and disposition of data.
		2	Data stewards regularly assess classification criteria and test compliance to prevent security issues resulting from data aggregation.
		3	DoD implements approved standards for security markings, handling restrictions, and records management.
		4	Classification and control markings are defined and implemented; content and record retention rules are developed and implemented.
		5	DoD implements data loss prevention technology to prevent unintended release and disclosure of data.
		6	Only authorized users are able to access and share data.
		7	Access and handling restriction metadata are bound to data in an immutable manner.
		8	Access, use, and disposition of data are fully audited.

 

 

ファイブアイズ＋インド＋日本による「エンドツーエンドの暗号化と公安」

こんにちは、丸山満彦です。

日本でも報道されていましたが、ファイブアイズ＋インド＋日本が共同で、例えばメッセンジャーソフトによる End to Endの暗号化された通信はPublic Safety上の課題があるので、テクノロジー企業はちゃんとバックドアを作れという声明を出していますね。。。結論を読むとデバイスの暗号化も含めておよそ全ての暗号化に関連する感じですかね。。。

● U.K. Government
・2020.10.11 (guidance) International statement: End-to-end encryption and public safety
・・[html]
・・[PDF]

● U.S. Department of Justice
・2020.10.11 (news) International Statement: End-To-End Encryption and Public Safety

● Canada Government
・2020.10.11 (publication) International Statement: End-To-End Encryption And Public Safety

 

---

CONCLUSION

We are committed to working with industry to develop reasonable proposals that will allow technology companies and governments to protect the public and their privacy, defend cyber security and human rights and support technological innovation. While this statement focuses on the challenges posed by end-to-end encryption, that commitment applies across the range of encrypted services available, including device encryption, custom encrypted applications and encryption across integrated platforms. We reiterate that data protection, respect for privacy and the importance of encryption as technology changes and global Internet standards are developed remain at the forefront of each state’s legal framework. However, we challenge the assertion that public safety cannot be protected without compromising privacy or cyber security. We strongly believe that approaches protecting each of these important values are possible and strive to work with industry to collaborate on mutually agreeable solutions.

---

日本語に訳すと

---

結論

我々は、テクノロジー企業と政府が、国民と国民のプライバシーを保護し、サイバーセキュリティと人権を守り、技術革新を支援することを可能にする合理的な提案を行うために、産業界と協力することにコミットしています。 この声明では、エンドツーエンドの暗号化がもたらす課題に焦点を当てていますが、このコミットメントは、デバイス暗号化、カスタム暗号化アプリケーション、統合プラットフォーム全体の暗号化など、利用可能な暗号化サービスの範囲にも適用されます。 我々は、データ保護、プライバシーの尊重、技術の変化やグローバルなインターネット標準の開発に伴う暗号化の重要性が、各州の法的枠組みの最前線にあることを再確認します。 しかし、我々は、プライバシーやサイバーセキュリティを犠牲にすることなく公共の安全を保護することはできないという主張に異議を唱えます。 我々は、これらの重要な価値観の各々を保護するアプローチが可能であると強く信じており、産業界と協力して、双方が合意可能な解決策が見つかるように努力しています。

---

という感じでしょうかね。。。

ちなみに署名は、

---

SIGNATORIES

Rt Hon Priti Patel MP, United Kingdom Secretary of State for the Home Department

William P. Barr, Attorney General of the United States

The Hon Peter Dutton MP, Australian Minister for Home Affairs

Hon Andrew Little MP, Minister of Justice, Minister Responsible for the GCSB, Minister Responsible for the NZSIS

The Honourable Bill Blair, Minister of Public Safety and Emergency Preparedness

India

Japan

11 October 2020

---

インドと日本は、誰の名前だ？？？という感じになっております。。。

日本政府のウェブページでは見つけられていないし。。。

---

 

中国側の反応？

● 中国国際放送
・2020.10.13 中国 データ保護世界的ルール策定の共同推進を呼びかける

中国は最近｢グローバルデータセキュリティイニシアチブ」を唱え、IT企業がその製品やサービスなどにバックドアを設置しないよう呼びかけています。また、関係側に対しては、｢グローバルデータセキュリティルール」を支持し、データセキュリティの世界的ルールの策定を共同推進し、ともにインターネットのセキュリティを守ることを呼びかけています。

 

■ 報道等

● Gigazin
・2020.10.12 日本を含めた7カ国の情報機関が「暗号化通信にアクセス可能なバックドア」をIT企業に要請

アメリカ・イギリス・カナダ・オーストラリア・ニュージーランド5か国の情報機関による協定「UKUSA協定(ファイブアイズ)」が、日本とインドの政府代表とともに声明を発表し、法執行機関がエンドツーエンド暗号化された通信にアクセスできるようにIT企業へ要請しました。

● ZDNet Japan
・2020.10.12 日本など7カ国、暗号化された通信へのバックドアをIT企業に要請

● IT Media
・2020.10.12 日本を含む7カ国、エンドツーエンド暗号化コンテンツへの公的接続を可能にするよう要請する国際声明 by 佐藤由紀子

● 日経ASIA
・2020.10.11 Five Eyes and Japan call for Facebook backdoor to monitor crime

Security alliance worries encrypted messaging apps can be used by bad actors

● RNZ
・2020.10.13 New Zealand joins call for access to social media encrypted data

New Zealand and its Five Eyes security partners have made another plea for social media companies like Facebook to allow governments to access their encrypted data.

● Coin Telegraph
・2020.10.11 Data encryption a threat to fighting child sexual abuse, says DOJ

The department, along with other international agencies, alleged end-to-end encryption can create “severe risks to public safety.”

● Finance Magnates
・2020.10.11 Can the US Keep Data Encryption without Furthering Child Exploitation? DoJ by Rachel McIntosh

The DoJ calls on tech companies to build solutions that protect children without encroaching on personal freedoms. 

 

日本公認会計士協会 監査基準委員会研究資料第１号「「監査上の主要な検討事項」の早期適用事例分析レポート」

こんにちは、丸山満彦です。

今回は、サイバーセキュリティではなく純粋な会計監査の話です。

上場企業に対する2021年3月決算に係る財務諸表の監査から監査報告書に「監査上の主要な検討事項」の記載が義務化されます。ただし、いつものごとく早期適用も認められますので、2020年3月期の監査報告書で「監査上の主要な検討事項」を既に記載している場合も出てきています。

「監査上の主要な検討事項」とは監査人が監査をする過程で監査上のリスクを感じ、慎重に監査を行った事項と言っても良いかもしれません。欧州系、つまり国際監査基準ではKey Audit Mattersと言われ、略してKAMと表記されることが多いです。米国は独自の路線？でPCAOBの基準では、Critical Audit Mattersと言われ、略してCAMと表記されます。個人的にはCAMが正確な表現だろうと思います。まぁ、好みの問題かもしれませんが。。。

監査上の主要な検討事項は、会計監査の透明化の一環と言われています。多様な企業に対する監査であるにもかかわらず、従来の監査報告書は標準文言に従ったもので、内容の違いといえば、会社名と日付くらいなもので、見事に同じ内容でした。しかし、監査人が監査の過程で監査リスクを感じ慎重に監査を行った項目を開示することにより、投資家等についても有益な情報を提供できるという考えがあるのは当然ですが、監査人のリスクの低減にも役立つのではないかと個人的には思っています。

日本では2021年3月期の監査報告書で義務化されますが、グローバルでみると出遅れ感満載の感じです。英国は2013年12月期の監査から始まっていますので、7−8年遅れです。ただ、この点については米国も遅く2020年12月期の監査からです。

今回、日本公認会計士協会から早期適用事例分析の報告書が公開されていますので、参考にされると良いですね。。。

● 日本公認会計士協会
・ 2020.10.12 監査基準委員会研究資料第１号「「監査上の主要な検討事項」の早期適用事例分析レポート」の公表について

• [PDF] 前書文
• [PDF] 「監査上の主要な検討事項」の早期適用事例分析レポート
• [PDF] 「監査上の主要な検討事項」の早期適用事例分析レポート 別紙１・２
• [PDF] 「監査上の主要な検討事項」の早期適用事例分析レポート 別紙３～６
• [PDF] 「監査上の主要な検討事項」の早期適用事例分析レポート 概要

 

■ 参考

● 金融庁
・2017.06.26 「監査報告書の透明化」について

---

ノルウェー政府は8月のノルウェー議会の電子メールシステムへのサイバー攻撃はロシアによるものだとする声明を出していますね。。。

こんにちは、丸山満彦です。

スカンジナビア半島[wikipedia]のGeopolitics[wikipedia]／地政学[wikipedia]には詳しくはないので詳しくはわからないのですが、、、
ノルウェー[wikipedia]政府が8月のノルウェー議会の電子メールシステムへのサイバー攻撃はロシアによるものだとする声明を出していますね。。。

8月24日にノルウェイ議会は、電子メールシステムがハッキングされたことを明らかにしたわけですが、民主主義に対して深刻な事態ということで安全保障機関と情報機関が緊密に協力して国家レベルでこの対応に当たってきたようですね。その結果、政府が把握している情報に基づくとロシアがこれらの活動に関連しているという結論になり、外務大臣による発表があったようですね。。。

ロシアの議員は否定しているという報道もありますね。。。

日本でも「2011年衆議院サーバーハッキング事件」[piyolog 2011.11.20 最終更新]があり、議員や秘書用端末のIDとパスワード（ハッシュ値）が盗まれましたね。。。

● Norway Government (En)

・2020.10.13 (release) The data breach at the Storting 

---

On 24 August, the Storting (Norwegian parliament) disclosed that its email systems had been hacked. ‘This is a very serious incident, affecting our most important democratic institution. The security and intelligence services are cooperating closely to deal with this matter at the national level. Based on the information the Government has, it is our view that Russia is responsible for these activities,’ said Minister of Foreign Affairs Ine Eriksen Søreide.

The incident management is coordinated through the Norwegian Joint Cyber Coordination Centre.

This incident demonstrates the importance of good security measures. The increasing use of digital solutions means that the threats against us have also shifted to the digital arena. The Government will continue its efforts to strengthen national cyber security and expand international cooperation in this field.

Businesses, organisations, and private individuals must all participate in preventive security efforts if we are to prevent breaches of digital security. All types of organisations are advised to follow the recommendations of the Norwegian National Security Authority (NSM) regarding passwords and the basic guidelines for ICT security.

---

 

 

■ 参考（報道等）

● BBC
・2020.10.14 Norway blames Russia for cyber-attack on parliament

Norway has blamed Russia for a cyber-attack on the email system in the Norwegian parliament in August.

● REUTERS
・2020.10.14 Russia denies it launched cyber attack on Norway parliament

OSLO (Reuters) - Norway’s accusations that Russia launched a cyber attack against the Norwegian parliament in August was a “deliberate provocation, harmful for bilateral relations”, the Russian embassy in Oslo said on Tuesday.

Oslo did not present Moscow with any evidence of its accusations, which were “unacceptable”, it added in a statement emailed to Reuters.

Reporting by Nerijus Adomaitis, editing by Gwladys Fouche

 

● Bloomberg Media
・2020.10.14 Norway Blames Russia for Hacking Lawmakers in Cyber Attack by Niclas Rolander

Russian politicians dismissed the allegations.

”As always, the accusations were brought without bothering to provide evidence or any offer to Russia to discuss this incident at the expert level,” Senator Konstantin Kosachyov, the head of the Federation Council’s Foreign Affairs Committee, told state-run Tass news service Tuesday. 

 

● Japan Today
・2020.10.14 Norway says Russia behind cyberattack against its parliament

Russia was behind a cyberattack launched against the Norwegian parliament in August, the Norwegian foreign minister said on Tuesday, an accusation Russia denies.

もちろん、ロシア語でもニュースにはなっていますね。。。

● SecurityLab.ru

・2020.10.14 Норвегия обвинила Россию в кибератаке на парламент страны

・2020.09.01 Компьютерная система Норвежского парламента взломана хакерами

 

米国GAOは連邦航空局がアビオニクスのリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。

こんにちは、丸山満彦です。

米国GAOは連邦航空局（Federal Aviation Administration: FAA）[wikipedia]がアビオニクス（Avionics [wikipedia]）のリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。

● U.S. GAO

・2020.10.08 AVIATION CYBERSECURITY: FAA Should Fully Implement Key Practices to Strengthen Its Oversight of Avionics Risks

・[PDF] Highlights 

・[PDF] Full Report

各航空機メーカはサイバーセキュリティ管理を実施しており、これまでのところ民間航空機のITシステムに対するサイバー攻撃が成功したという報告はないが、FAAが適切に監視をしなければ、サイバー脅威の進化、飛行機と他のシステム間の接続性の向上等により、将来の飛行の安全性が危険にさらされる可能性があるという評価のようです。

脆弱性は、

(1) 商用ソフトウェアにセキュリティパッチを適用しない
(2) 安全でないサプライチェーン
(3) 悪意のあるソフトウェアのアップロード
(4) 旧式機の古いシステム
(5) フライトデータのなりすまし

が原因で発生する可能性があると例示しています。

発見事項としては、

FAAは、

(1) 航空電子機器のサイバーセキュリティリスクの優先度を決定するための監視プログラムを評価していない
(2) 航空電子機器のサイバーセキュリティ訓練プログラムを開発していない
(3) 独立したサイバーセキュリティテストのためのガイダンスを発行していない
(4) 監視プロセスの一部として定期的なテストを含めていない

としていますね。。。

そして推奨事項が6項目ありますね。

いずれもFAA長官が航空安全担当副長官に指示しろとなっていますので、その部分は省略して記載すると

1. アビオニクスシステムのサイバーセキュリティのリスクアセスメントを実施し、他の安全上の懸念事項と比較してアビオニクスのサイバーセキュリティリスクの相対的な優先度を特定し、それらのリスクに対処するための計画を策定する。
   
   
2. アビオニクスのサイバーセキュリティリスクの評価に基づき、アビオニクスのサイバーセキュリティに特化した機関検査官の人員配置と訓練のニーズを特定し、特定されたニーズに対応するための適切な訓練を開発し、実施する。
   
   
3. アビオニクスのサイバーセキュリティリスクの評価に基づき、独立した試験を含む新しい航空機設計のアビオニクス・サイバーセキュリティ試験のためのガイダンスを開発し、実施する。
   
   
4. アビオニクスのサイバーセキュリティリスクの評価に基づき、独立した試験を安全に実施するための手順を開発することを含め、配備された航空機のアビオニクスのサイバーセキュリティ管理策の有効性を監視するための方針と手順を見直し、改訂することを検討する。
   
   
5. 内部の利害関係者間で調整を行う際に、アビオニクスのサイバーセキュリティ問題が適切に追跡され、解決されることを保証するメカニズムを開発する。
   
   
6. アビオニクスのサイバーセキュリティリスクの評価に基づき、アビオニクスのサイバーセキュリティにどの程度の監督資源を割くべきかを検討する。
   
   

これを受けてFAAがどのような対策を考えるのか興味がありますね。。。航空機メーカへの規制はすなわちサプライチェーン全体への規制になりますからね。。。

 

 

 

 

NIST NISTIR 8183 Rev. 1 Cybersecurity Framework Version 1.1 Manufacturing Profile

こんにちは、丸山満彦です。

NISTが3月に意見募集をしていた、NISTIR 8183 Rev. 1 Cybersecurity Framework Version 1.1 Manufacturing Profileが確定していましたね。。。

この文書は製造環境におけるCSFの実装を支援するため詳細に記述したものという感じですね。

この製造プロファイルは、

• 製造システムの現在のサイバーセキュリティ体制を改善する機会を特定する方法
• 許容可能なリスクレベルで制御環境を運用する能力の評価
• 製造システムのセキュリティを継続的に保証するためのサイバーセキュリティ計画を準備するための標準化されたアプローチ

を提供するものです。。。by Exective Summary

適用可能なサイバーセキュリティのリスク軽減策を検討し、特定し、管理するためにビジネス／ミッション目標との関係を意識する必要があるとしていますね。産業個別のビジネス／ミッション目標は網羅的には記載できないので、製造業セクターに共通のビジネス／ミッション目標を5つ設定していますね。

1. Maintain Environmental Safety　（環境安全の維持）
2. Maintain Human Safety　（人的安全の維持）
3. Maintain Production Goals　（生産目標の維持）
4. Maintain Quality of Product　（製品品質の維持）
5. Maintain Sensitive Information　（機密情報の維持）

 

● NIST - ITL

・2020.10.07 (publication) NISTIR 8183 Rev. 1 Cybersecurity Framework Version 1.1 Manufacturing Profile

Abstract

This document provides the Cybersecurity Framework (CSF) Version 1.1 implementation details developed for the manufacturing environment. The “Manufacturing Profile” of the CSF can be used as a roadmap for reducing cybersecurity risk for manufacturers that is aligned with manufacturing sector goals and industry best practices. This Manufacturing Profile provides a voluntary, risk-based approach for managing cybersecurity activities and reducing cyber risk to manufacturing systems. The Manufacturing Profile is meant to enhance but not replace current cybersecurity standards and industry guidelines that the manufacturer is embracing.

・[PDF]  NISTIR 8183 Rev. 1

Supplemental Material:

・ NIST Cybersecurity Framework (other)

Related NIST Publications:

・2018.04.16 White Paper Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1

・2019.05.20 NISTIR 8183 Cybersecurity Framework Manufacturing Profile

 

---

» Continue reading

米空軍は「連邦U-2ラボがU-2 Dragon LadyをKubernetesで飛行させた」と公開していますね。。。

こんにちは、丸山満彦です。

米空軍は連邦U-2ラボがU-2 Dragon Lady[wikipedia]をKubernetes[wikipedia]で飛行させたと公開していますね。。。

Kubernetesは、元々はGoogleによって設計されたもので、アプリケーションの展開、スケーリング、管理を自動化するためのオープンソースのコンテナオーケストレーションシステムで、マイクロサービスベースのアプリケーションを完全に自動化してデプロイすることを可能とすることができるということで、注目されていますよね。。。

機体に搭載している飛行認証を受けている4台のコンピューターを統合し、Kubenrnetesを活用して、高度な機械学習アルゴリズムをフライトシステムやミッションシステムに影響を与えることなく実行できたとしていますね。

「U-2のレガシーコンピュータシステムと最新のKubernetesソフトウェアの組み合わせに成功したことは、既存の空軍の兵器システムにおけるソフトウェアコンテナ化の開発にとって重要なマイルストーンとなった。」と、空軍最高ソフトウェア責任者のNicolas Chaillan氏は述べていますね。

Kubernetesは現在開発中のBー21 Raider [wikipedia]でも活用されるようですね。(参考：空軍のWill Roper調達、技術、ロジスティクス担当次官補のLinkedIn)

● U.S. Air Force - NEWS

・2020.10.07 U-2 Federal Lab achieves flight with Kubernetes

---

■ 参考（報道等）

● Aviation Today
・2020.10.09 In a First for the DoD, Kubernetes Installed on U-2 Dragon Lady by Kelsey Reichmann

● The Register
・2020.10.08 K8s on a plane! US Air Force slaps Googly container tech on yet another war machine to 'run advanced ML algorithms'

And if that's not Skynet enough for ya, Britten-Norman is working to make the BN-2 Islander fly autonomously

・2020.06.03 Talk about a control plane... US Air Force says upcoming B-21 stealth bomber will use Kubernetes

Google staff who protested drone AI effort could be quite interested in this

● The Aviationist
・2020.10.08 The U.S. Air Force Has Tested Kubernetes On A U-2 Dragon Lady Spyplane

This was the first time the open-source container-orchestration system has flown on an operational major weapon system in the Department of Defense.

● Military Embedded Sysstem
・2020.10.09 Kubernetes open-source system leveraged on U-2 Dragon Lady by EMMA HELFRICH

BEALE AIR FORCE BASE, Calif. The U-2 Federal Laboratory has leveraged Kubernetes during a local training sortie on a U-2 Dragon Lady assigned to the 9th Reconnaissance Wing at Beale Air Force Base. This represents the first time Kubernetes has flown on an operational major weapon system in the Department of Defense (DoD).

● GCN
・2020.10.07 Famed spy plane gets AI upgrade via Kubernetes by  SUSAN MILLER

The Air Force has equipped a legacy U-2 surveillance aircraft with machine learning thanks to Kubernetes, an open-source container-orchestration system that automates the application deployment, scaling and management.

 

欧州議会は「人工知能、ロボットおよび関連技術の倫理的側面の枠組み」を採択しましたね。。。

こんにちは、丸山満彦です。

欧州議会は「人工知能、ロボットおよび関連技術の倫理的側面の枠組み」を2010.10.08に採択しましたね。。。

● Europian Committee - Committee on Legal Affairs

・2020/2012(INL)  Framework of ethical aspects of artificial intelligence, robotics and related technologies

・202010.01 (press) Making Artificial Intelligence ethical, safe and innovative

・2020.10.08 REPORT with recommendations to the Commission on a framework of ethical aspects of artificial intelligence, robotics and related technologies (2020/2012(INL))

・[PDF] REPORT with recommendations to the Commission on a framework of ethical aspects of artificial intelligence, robotics and related technologies (2020/2012(INL))

 

目次

原文	仮訳
ANNEX TO THE MOTION FOR A RESOLUTION: DETAILED RECOMMENDATIONS AS TO THE CONTENT OF THE PROPOSAL REQUESTED	決議のための動議の付属文書：要求された提案の内容に関する詳細な勧告
A. PRINCIPLES AND AIMS OF THE PROPOSAL REQUESTED	A. 要求された提案の原則と目的
B. TEXT OF THE LEGISLATIVE PROPOSAL REQUESTED	B. 要求された立法案の文書
EXPLANATORY STATEMENT	説明文
OPINION OF THE COMMITTEE ON FOREIGN AFFAIRS	外交委員会の見解
OPINION OF THE COMMITTEE ON THE INTERNAL MARKET AND CONSUMER PROTECTION	内部市場・消費者保護委員会の見解
OPINION OF THE COMMITTEE ON TRANSPORT AND TOURISM	交通観光委員会の見解
OPINION OF THE COMMITTEE ON CIVIL LIBERTIES, JUSTICE AND HOME AFFAIRS	市民生活・司法・家事委員会の見解
OPINION OF THE COMMITTEE ON EMPLOYMENT AND SOCIAL AFFAIRS	雇用社会委員会の見解
OPINION OF THE COMMITTEE ON THE ENVIRONMENT, PUBLIC HEALTH AND FOOD SAFETY	環境・公衆衛生・食品安全委員会の見解
OPINION OF THE COMMITTEE ON CULTURE AND EDUCATION	文化教育委員会の見解
INFORMATION ON ADOPTION IN COMMITTEE RESPONSIBLE	委員会責任での採択に関する情報
FINAL VOTE BY ROLL CALL IN COMMITTEE RESPONSIBLE	委員会責任者による最終投票

要求された提案の内容に関する詳細な勧告の項目

 

原文	仮訳
Introduction	前書き
Human-centric and human-made artificial intelligence	人間中心の人工知能
Risk assessment	リスクアセスメント
Safety features, transparency and accountability	安全機能、透明性、説明責任
Non-bias and non-discrimination	非偏見と非差別
Social responsibility and gender balance	社会的責任とジェンダーバランス
Environment and sustainability	環境と持続可能性
Privacy and biometric recognition	プライバシーと生体認証
Good governance	良い統治
Consumers and the internal market	消費者と国内市場
Security and defence	セキュリティと防御
Transport	輸送
Employment, workers’ rights, digital skills and the workplace	雇用、労働者の権利、デジタルスキル、職場
Education and culture	教育と文化
National supervisory authorities	国家監督当局
Coordination at Union level	連合レベルでの調整
European certification of ethical compliance	倫理的コンプライアンスのヨーロッパ認証
International cooperation	国際協力
Final aspects	最終的な側面

 

---

■ 参考

● まるちゃんの情報赤キュリティ気まぐれ日記

• 2020.10.09 欧州議会は人工知能の民事責任に関する報告書を発表していますね
• 2020.09.16 AIと統合された職場における労働者の福祉を促進するためのフレームワーク
• 2020.09.12 2024年までに戦闘機でAIパイロットをテストすることを含め、米国はAIの軍事利用で世界をリードする by エスパー国防長官
• 2020.08.28 人工知能と感情知性に関する倫理（2020.07.30）
• 2020.08.24 AIがDARPAドッグファイトシミュレーションでトップレベルのF-16パイロットを倒す?
• 2020.08.21 NISTはAIに自己説明を求める？（説明可能な人工知能の4原則）
• 2020.08.10 DeepfakeについてのNATO, CSET, Partnership on AI, GAOの報告書（少し前ですが・・・） 
• 2020.07.31 英国のデータコミッショナーがAIとデータ保護に関するガイダンスを公表していますね。 
• 2020.07.20 欧州委員会が「自己評価用の信頼できる人工知能の評価リスト（ALTAI）」を公開していますね 
• 2020.07.05 米国 国防省の内部監査部門が「AIのプロジェクトのガバナンスとセキュリティをしっかりせい」とおっしゃっているようです。。。 
• 2020.06.26 国土交通省 自動運行装置（レベル３）に係る国際基準が初めて成立しました 
• 2020.06.15 「米海兵隊はAIを理論から実践に移す」というブログ
• 2020.06.15 カーネギーメロン大学 ソフトウェア研究所 AIエンジニアリングのリスク管理の視点 
• 2020.06.12 ENISA 人工知能サイバーセキュリティに関するワーキンググループが始動 2020.06.12
• 2020.06.09 米空軍は、2021年7月にAIが操縦する戦闘機と人間が操縦する戦闘機でドッグファイトをすることを考えているようですね。。。 
• 2020.06.07 米国国防省 人工知能が戦争をかえると予測 
• 2020.05.22 「倫理的な人工知能にとって、セキュリティは非常に重要」と言う意見 
• 2020.05.21 UK-ICO Explaining decisions made with AI / AIによる決定の説明 
• 2020.05.18 人工知能はJoint All Domain Command-and-Control (JADC2) には不可欠。。。 
• 2020.05.04 米国国防省と人工知能（戦略と倫理）
• 2020.04.17 EU 消費者保護の新側面 デジタルサービスとAI 
• 2020.04.04 日本IBM労組はAIを利用した人事評価・賃金決定について団体交渉に応じないのは不当な団交拒否に当たるとして、東京都労働委員会に救済を申し立てた。 
• 2020.03.31 AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生　　 AI 原則は機能するか？―非拘束的原則から普遍的原則への道筋 by 新保史生先生
• 2020.03.28 EU Ethics Guidelines for Trustworthy AI
• 2020.03.10 US Navy robot submarine would be able to kill without human 
• 2020.03.08 AIで手塚治虫作品をつくる？ 
• 2020.03.02 AIが権利能力の主体となるのであれば、それは法人ですね。。。 
• 2020.02.27 「AI倫理に関する現状」芳田千尋氏 
• 2020.02.27 IPA AI白書2020
• 2020.02.20 EUのデジタル戦略！
• 2020.02.18 AIによる差別の現状
• 2020.02.13 無人兵器・・・人工知能はついているかも・・・
• 2020.01.17 Deepfake