まるちゃんの情報セキュリティ気まぐれ日記

March 2025
Sun	Mon	Tue	Wed	Thu	Fri	Sat
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

2025.03.17

欧州 AIファクトリーの第2波 (2025.03.12)

こんにちは、丸山満彦です。

AIで米国に出遅れたと感じている欧州は、その巻き返しに力を注いでいますね。その進め方は、やはり欧州的という感じはします。。。

EU27カ国の経済規模及びその可能性というのは米国と引けをとりません...

名目GDPでいえば、2023年の数字でEUは米国の2/3の18兆ドル。中国よりわずかに大きい(4%)。

人口は、米国の1.3倍の4.5億人...

潜在力はあると思います...さて、どうなりますか...

⚫︎ Europian Commission

・2025.03.12 Second wave of AI Factories set to drive EU-wide innovation

Second wave of AI Factories set to drive EU-wide innovation	AIファクトリーの第2波がEU全域のイノベーションを推進する
The European High Performance Computing Joint Undertaking (EuroHPC JU) has selected six additional Artificial Intelligence (AI) Factories in the EU.	欧州高性能計算共同事業（EuroHPC JU）は、EU内の6つの人工知能（AI）ファクトリーを追加で選定した。
This follows the first selection of seven AI Factories in December 2024.	これは、2024年12月に7つのAIファクトリーを初めて選定したことに続くものである。
Austria, Bulgaria, France, Germany, Poland, and Slovenia will host the newly selected AI Factories, supported by a combined national and EU investment of around €485 million. The factories will offer privileged access to AI startups and small-and-medium sized enterprises (SMEs), fostering growth and more effective scaling up.	オーストリア、ブルガリア、フランス、ドイツ、ポーランド、スロベニアが、新たに選定されたAIファクトリーをホストし、各国およびEUの投資総額約4億8500万ユーロの支援を受ける。AIファクトリーは、AIスタートアップや中小企業（SME）に優先的なアクセスを提供し、成長とより効果的なスケールアップを促進する。
AI Factories are a core pillar of the Commission’s strategy for Europe to become a leader in AI, bringing together 17 Member States and two associated EuroHPC participating states. The infrastructure and services provided by AI Factories are essential for unlocking the full potential of the sector in Europe. Backed by the EU’s world-class network of supercomputers, these factories will bring together the key ingredients for AI innovation: computing power, data, and talent. This will enable AI companies, particularly SMEs and startups, as well as researchers, to enhance the training and development of large-scale, trustworthy and ethical AI models.	AIファクトリーは、欧州委員会がAI分野におけるリーダーとなるための戦略の中核をなすものであり、17の加盟国と2つの関連ユーロHPC参加国が参加している。AIファクトリーが提供するインフラとサービスは、欧州におけるこの分野の潜在能力を最大限に引き出すために不可欠である。EUの世界トップクラスのスーパーコンピューターネットワークを基盤として、これらのAIファクトリーは、AIイノベーションの主要な要素であるコンピューティングパワー、データ、人材を集結させる。これにより、AI企業（特に中小企業や新興企業）や研究者は、大規模で信頼性が高く倫理的なAIモデルのトレーニングと開発を強化することが可能になる。
As announced by President von der Leyen at the AI Action Summit in Paris, the Invest AI initiative aims to mobilise up to €200 billion of European investments in AI. This will include the deployment of several AI Gigafactories across Europe, which will be massive high-performance computing facilities designed to develop and train next-generation AI models and applications.	フォン・デア・ライエン委員長がパリで開催されたAIアクションサミットで発表したように、Invest AIイニシアティブは、AIへの欧州からの投資を最大2000億ユーロまで動員することを目指している。これには、次世代のAIモデルやアプリケーションの開発とトレーニングを目的とした大規模な高性能コンピューティング施設であるAIギガファクトリーの欧州全域への展開が含まれる。
・Read the full press release	・プレスリリース全文を読む
・Find more information about AI Factories	・AIファクトリーに関する詳細情報

・2025.03.12 The EuroHPC JU Selects Additional AI Factories to Strengthen Europe’s AI Leadership

The European High Performance Computing Joint Undertaking (EuroHPC JU)	欧州高性能計算ジョイント・アンダーテイキング（EuroHPC JU）
The EuroHPC JU Selects Additional AI Factories to Strengthen Europe’s AI Leadership	欧州のAIリーダーシップ強化に向け、EuroHPC JUがAIファクトリーを追加選定
The EuroHPC Joint Undertaking (EuroHPC JU) has selected six new sites across Europe to host additional AI Factories, which are set to be deployed next year in Austria, Bulgaria, France, Germany, Poland, and Slovenia.	欧州高性能計算ジョイント・アンダーテイキング（EuroHPC JU）は、欧州全域にわたる6つの新たな拠点をAIファクトリーの追加設置先として選定した。AIファクトリーは来年、オーストリア、ブルガリア、フランス、ドイツ、ポーランド、スロベニアに展開される予定である。
France and Germany will establish AI Factories, which operate alongside Europe’s first exascale supercomputers, Alice Recoque and JUPITER. Meanwhile, Austria, Bulgaria, Poland and Slovenia, will deploy new AI-optimised systems with AI Factories to further expand Europe’s AI infrastructure.	フランスとドイツでは、欧州初のエクサスケール・スーパーコンピューターである「Alice Recoque」と「JUPITER」と並行して稼働するAIファクトリーが設置される。一方、オーストリア、ブルガリア、ポーランド、スロベニアでは、AIファクトリーとAIに最適化された新しいシステムを展開し、欧州のAIインフラをさらに拡大する。
The AI Factory in Germany (Julich) will also include an experimental platform, which will serve as a cutting-edge infrastructure for developing and testing innovative AI models and applications, as well as promoting collaboration across Europe.	ドイツ（ユーリッヒ）のAIファクトリーには、実験用プラットフォームも設置され、革新的なAIモデルやアプリケーションの開発とテストを行う最先端のインフラとして、また欧州全域での協力を促進する役割も果たすことになる。
These new six AI Factories will be added to the seven AI Factories previously selected, creating an interconnected network of AI hubs ready to accommodate AI innovation across Europe. Each factory will be one-stop shop, offering AI startups, SMEs, and researchers with comprehensive support to develop their data-sets as well as to access to AI-optimised high-performance computing (HPC) resources, training, and technical expertise.	これら新たに6つのAIファクトリーが、すでに選定されている7つのAIファクトリーに加わり、欧州全域のAIイノベーションに対応できるAIハブの相互接続ネットワークが構築されることになる。各AIファクトリーはワンストップショップとして、AIスタートアップ企業、中小企業、研究者に、データセットの開発やAIに最適化された高性能コンピューティング（HPC）リソース、トレーニング、技術的専門知識へのアクセスなど、包括的なサポートを提供する。
Austria (AI:AT)	オーストリア（AI:AT）
The AI Factory Austria (AI:AT) aims to support ethical, practical and sustainable AI development, helping businesses, researchers, and policymakers turn ideas into useful solutions.	AIファクトリー・オーストリア（AI:AT）は、倫理的で実用的かつ持続可能なAI開発を支援し、企業、研究者、政策立案者がアイデアを有用なソリューションに変えることを支援することを目的としている。
It will serve as a critical enabler for the integration of AI technologies into Austria’s manufacturing industries, addressing key challenges and unlocking new opportunities for innovation and growth.	オーストリアの製造事業者にとって、AI技術の統合を可能にする重要な役割を担い、主要な課題に対処し、イノベーションと成長のための新たな機会を開拓する。
By providing access to high-quality datasets, advanced AI models, and scalable computing infrastructure, the AI Factory will empower companies to enhance and optimise production planning, and improve quality assurance.	高品質のデータセット、高度なAIモデル、拡張可能なコンピューティングインフラへのアクセスを提供することで、AIファクトリーは、企業の生産計画の改善と最適化、品質保証の改善を支援する。
The AI Factory will be installed at TU Wien, Vienna.	AIファクトリーはウィーン工科大学に設置される。
The main entities driving the Austrian AI Factory forward are the Advanced Computing Austria (ACA) and the AIT Austrian Institute of Technology (AIT)	オーストリアAIファクトリーの推進を主導する事業体は、Advanced Computing Austria (ACA) とAITオーストリア工科大学 (AIT) である。
In addition, the AI Factory will also forge strong collaborations with the emerging EuroHPC AI Factories, ensuring that the different needs of the European AI communities are met.	さらに、AIファクトリーは、新たに設立されたEuroHPC AIファクトリーとも強力な連携を図り、欧州のAIコミュニティの多様なニーズに応えていく。
Bulgaria (BRAIN++ [Bulgarian Robotics & AI Nexus])	ブルガリア（BRAIN++ [ブルガリア・ロボティクス＆AI・ネクサス]）
The Bulgarian AI Factory BRAIN++, will be located at Sofia Tech Park, in Sofia, Bulgaria, and will comprise of two key components, which will operate in synergy: the Discoverer++, a next-generation supercomputer tailored for advanced AI workloads, and the Bulgarian AI Factory, a comprehensive AI hub offering one-stop shop governmental, education and private companies which will be able to adopt and responsibly innovate with AI.	ブルガリアAIファクトリーBRAIN++は、ブルガリアのソフィアにあるソフィア・テック・パークに設置され、2つの主要コンポーネントで構成される。高度なAIワークロード向けにカスタマイズされた次世代スーパーコンピューター「Discoverer++」と、政府、教育機関、民間企業がAIを導入し、責任を持って革新を行うことができるワンストップショップを提供する包括的なAIハブ「ブルガリアAIファクトリー」である。
BRAIN++ aims to position Bulgaria as a regional leader in AI innovation by fostering talent development, supporting startups/SMEs, and driving further development and deployment of Bulgarian Language LLMs, Robotics AI, Space Observation AI, product manufacturing (with an emphasis on consumer good products), Trustworthy AI Compliance Tools, Federated AI Data Lake, collaborative office and virtual AI workspaces (BulgAI Sandbox) and with AI skills and talent development and responsible AI entrepreneurship.	BRAIN++は、人材開発の促進、スタートアップ/中小企業の支援、ブルガリア語の言語処理ライブラリ（LLM）、ロボット工学AI、宇宙観測AI、製品製造（消費財に重点を置く）、信頼できるAIコンプライアンスツール、統合AIデータレイク、共同オフィス、仮想AIワークスペース（BulgAI Sandbox）の開発と展開を推進し、AIスキルと人材開発、責任あるAI起業家精神を育むことで、ブルガリアをAIイノベーションにおける地域リーダーとして位置づけることを目指している。
By integrating with other EuroHPC AI Factories across Europe, BRAIN++ will contribute to a unified European AI ecosystem while promoting ethical and responsible AI practices	ヨーロッパ各地の他のEuroHPC AIファクトリーと統合することで、BRAIN++は倫理的かつ責任あるAIの実践を推進しながら、統一されたヨーロッパのAIエコシステムに貢献する
France (AI2F)	フランス（AI2F）
The AI Factory France (AI2F) will build on an existing, decentralised AI French ecosystem, involving large companies, startups, research laboratories, data centres, universities and schools, venture capitalists and incubators as well as AI think tanks and associations.	AIファクトリー・フランス（AI2F）は、大企業、スタートアップ、研究機関、データセンター、大学、学校、ベンチャーキャピタル、インキュベーター、AIシンクタンク、協会など、既存の分散型AIフランス・エコシステムを基盤として構築される。
By leveraging state-of-the-art supercomputing infrastructure and support services, the AI2F will foster the use of AI in research, innovation and public services in France and in Europe.	最先端のスーパーコンピューティングインフラとサポートサービスを活用することで、AI2Fはフランスおよびヨーロッパにおける研究、イノベーション、公共サービスにおけるAIの利用を促進する。
The consortium of the AI2F is led by the French Hosting Entity GENCI, in collaboration with academic and innovation partners : AMIAD, CEA, Cines, CNRS, France Universités (FU) representing the 74 French universities, Inria, The French Tech, Station F, and HubFranceIA.	AI2Fのコンソーシアムは、学術機関およびイノベーションパートナーであるAMIAD、CEA、Cines、CNRS、フランス大学（FU）の代表であるフランス・ホスティング事業体GENCIが主導し、 AMIAD、CEA、Cines、CNRS、フランス大学（FU）の74のフランス大学代表者、Inria、The French Tech、Station F、HubFranceIAである。
The AI2F relies on Alice Recoque, the second EuroHPC Exascale supercomputer, which is an AI-ready EuroHPC supercomputer. As this system will start being deployed in 2026, the AI2F is committed to provide access to the existing French national infrastructures, owned by GENCI: Jean Zay at IDRIS (CNRS), Adastra at CINES (France Universités), and Joliot-Curie at TGCC (CEA).	AI2Fは、AI対応のEuroHPCスーパーコンピューターである第2世代のEuroHPCエクサスケールスーパーコンピューター「Alice Recoque」に依存している。このシステムは2026年に展開が開始される予定であるため、AI2Fは、GENCIが所有する既存のフランス国立インフラへのアクセスを提供することに専念している。IDRIS（CNRS）のJean Zay、CINES（フランス大学）のAdastra、TGCC（CEA）のJoliot-Curieである。
AI2F will be open to all sectors, welcoming industry stakeholders to collaborate and develop initiatives that drive AI adoption and innovation within their domains.	AI2Fはあらゆる分野に門戸を開き、各分野におけるAIの採用とイノベーションを推進するイニシアティブの共同開発に産業界の関係者を歓迎する。
In this context, AI2F aims to support key societal and industrial sectors, including defense, energy, aerospace, edtech, agriculture, finance, humanities, robotics, health, earth science, materials science, and mobility.	この文脈において、AI2Fは、防衛、エネルギー、航空宇宙、教育テクノロジー、農業、金融、人文科学、ロボティクス、健康、地球科学、材料科学、モビリティなどの主要な社会および産業分野を支援することを目指している。
As AI2F is part of a European infrastructure of AI factories within an AI Continent, it will collaborate with other AI Factories in Europe (especially with the JAIF German AI Factory led by Forschungszentrum Jülich) and many European stakeholders (including ALT_EDIC, BDVA, EOSC, Gaia-X, EDIHs and TEFs to name a few).	AI2FはAI大陸における欧州のAIファクトリーのインフラの一部であるため、欧州の他のAIファクトリー（特にユーリッヒ研究センターが主導するJAIFドイツAIファクトリー）や多くの欧州のステークホルダー（ALT_EDIC、BDVA、EOSC、Gaia-X、EDIHs、TEFsなど）と協力していく。
Additional details can be found on the French Press Release.	追加の詳細は、フランスのプレスリリースを参照のこと。
Germany (JAIF)	ドイツ（JAIF）
JAIF, the JUPITER AI Factory, will contribute to Europe's AI innovation cluster by supporting the development and deployment of AI solutions using Europe's HPC infrastructure, particularly to address growing industry needs.	JUPITER AI FactoryであるJAIFは、特に高まりつつある産業ニーズに対応するため、欧州のHPCインフラストラクチャーを活用したAIソリューションの開発と展開を支援することで、欧州のAIイノベーションクラスターに貢献する。
The JAIF leverages the capabilities of Europe’s first exascale supercomputer JUPITER (Joint Undertaking Pioneer for Innovative and Transformative Exascale Research) to support European startups, SMEs, industries, the public sector, and the broader scientific and technological community.	JAIFは、欧州初のエクサスケール・スーパーコンピュータJUPITER（革新的なエクサスケール研究のための共同事業体）の能力を活用し、欧州のスタートアップ企業、中小企業、産業界、公共部門、およびより幅広い科学技術コミュニティを支援する。
Acting as a one-stop shop, it will provide a single point of contact for these stakeholders, facilitating innovation and collaboration. JAIF will also feature an experimental platform for developing and testing AI models: JARVIS (JUPITER Advanced Research Vehicle for Inference Services), an inference module designed to accelerate the execution and optimization of AI models.	ワンストップショップとして、これらのステークホルダーに単一の窓口を提供し、イノベーションとコラボレーションを促進する。JAIFは、AIモデルの開発とテストのための実験プラットフォームも提供する。JARVIS（JUPITER Advanced Research Vehicle for Inference Services）は、AIモデルの実行と最適化を加速させる推論モジュールである。
With a consortium of leading institutions and an ambitious service portfolio, JAIF addresses the growing demand for AI solutions, bridges gaps in expertise, fosters collaboration across Europe, and strengthens Europe's position as a leader in AI-driven prosperity and growth across the key sectors of healthcare, energy, climate change and the environment, education, media and culture, the public sector, finance and insurance.	JAIFは、主要機関のコンソーシアムと野心的なサービスポートフォリオにより、AIソリューションに対する高まる需要に対応し、専門知識のギャップを埋め、欧州全域での協力を促進し、AI主導の繁栄と成長のリーダーとしての欧州の地位を強化する。
JAIF’s partners include the Jülich Supercomputing Centre at Forschungszentrum Jülich, the Center for Artificial Intelligence at RWTH Aachen University, the Fraunhofer Institute for Applied Information Technology (FIT) and the Fraunhofer Institute for Intelligent Analysis and Information Systems (IAIS), as well as the Hessian Center for Artificial Intelligence (hessian.AI). Associated partners include KI Bundesverband, WestAI, hessian.AISC, and the Institute for Machine Learning and Artificial Intelligence (LAMARR).	JAIFのパートナーには、ユーリッヒ研究センターのユーリッヒ・スーパーコンピューティング・センター、アーヘン工科大学の人工知能センター、フラウンホーファー応用情報技術研究所（FIT）、フラウンホーファー知能分析情報システム研究所（IAIS）、ヘッセン人工知能センター（hessian.AI）などが含まれる。提携パートナーには、KI Bundesverband、WestAI、hessian.AISC、機械学習・人工知能研究所（LAMARR）が含まれる。
In addition to its local stakeholders, JAIF will maintain a close partnership with the AI Factory France led by GENCI, where Alice Recoque, Europe’s second Exascale supercomputer, is being developed. Additionally, JAIF will establish links with key AI partners across Europe, including HammerHAI, IT4LIA, AIF Spain, MeluXina-AI, LUMI AIF, MIMER and Pharos.	JAIFは、地元の利害関係者だけでなく、欧州で2番目に高速なエクサスケール・スーパーコンピューター「Alice Recoque」の開発が進められているGENCIが主導するAI Factory Franceとも緊密なパートナーシップを維持する。さらに、JAIFはHammerHAI、IT4LIA、AIF Spain、MeluXina-AI、LUMI AIF、MIMER、Pharosなど、欧州全域の主要なAIパートナーとの連携も確立する。
Further details about JAIF can be found here.	JAIFに関する詳細はこちら。
Poland (PIAST)	ポーランド（PIAST
The PIAST AI Factory is dedicated to advancing AI research, innovation, and application in Poland and across Europe. By bridging the gap between academia, industry, and government, the PIAST AI Factory fosters a dynamic ecosystem for knowledge exchange and AI innovation.	PIAST AI Factoryは、ポーランドおよびヨーロッパ全域におけるAIの研究、イノベーション、応用を推進することを目的としている。学術界、産業界、政府間のギャップを埋めることで、PIAST AI Factoryは知識の交換とAIのイノベーションのためのダイナミックなエコシステムを育成する。
Led by the Poznan Supercomputing and Networking Center (PSNC), PIAST AI Factory collaborates with the Poznan University of Technology (PUT), the Adam Mickiewicz University (AMU), and the Nicolaus Copernicus University (NCU), along with regional industry clusters and innovation hubs, particularly the Wielkopolska IT & Telecommunication Cluster.	ポズナン・スーパーコンピューティング・アンド・ネットワーキング・センター（PSNC）が主導するPIAST AI Factoryは、ポズナン工科大学（PUT）、アダム・ミツキェヴィチ大学（AMU）、ニコラウス・コペルニクス大学（NCU）と協力し、また、特にヴィエルコポルスカIT＆テレコミュニケーション・クラスターなどの地域産業クラスターやイノベーション・ハブとも連携している。
The PIAST AIF seeks to accelerate the adoption of AI technologies across academia and industry sectors, in particular for Health & Life sciences, IT & Cybersecurity (including Quantum), Space & Robotics, Sustainability (Energy, Agriculture and Climate Change) and the public sector.	PIAST AIFは、特にヘルスケア＆ライフサイエンス、IT＆サイバーセキュリティ（量子を含む）、宇宙＆ロボット工学、持続可能性（エネルギー、農業、気候変動）、公共部門において、学術界と産業界全体でのAI技術の採用を加速することを目指している。
Leveraging PSNC’s advanced HPC infrastructure and the EuroHPC quantum computer, Piast, the PIAST AI Factory promises to drive innovation, foster collaboration, and strengthen Poland’s position within the European HPC, Quantum and AI ecosystem.	PSNCの先進的なHPCインフラとEuroHPCの量子コンピューターを活用し、PIAST AI Factoryは、イノベーションを推進し、協力を促進し、欧州のHPC、量子、AIエコシステムにおけるポーランドの地位を強化することを約束している。
The AI Factory will focus on accessibility, sustainability, and cross-border cooperation creating a platform for impactful AI applications that address pressing societal challenges while driving economic growth.	AI Factoryは、アクセシビリティ、持続可能性、国境を越えた協力に重点的に取り組み、経済成長を促進しながら、差し迫った社会問題に対処するインパクトのあるAIアプリケーションのためのプラットフォームを構築する。
Through these efforts, the PIAST AI Factory wishes to contribute to the realisation of a technologically sovereign and globally competitive European AI ecosystem.	これらの取り組みを通じて、PIAST AI Factoryは、技術的に自立し、グローバルに競争力のある欧州のAIエコシステムの実現に貢献することを目指している。
Slovenia (SLAIF)	スロベニア（SLAIF）
SLAIF, the Slovenian AIF, will provide companies and the public sector with AI tools to enhance competitiveness, improve services, and benefit citizens.	SLAIF（スロベニアAIF）は、企業や公共部門にAIツールを提供し、競争力を強化し、サービスを改善し、市民に利益をもたらす。
Through extensive collaboration with entities and countries in the region, SLAIF will also contribute to the wide uptake of AI tools and services to help develop the AI ecosystem in Europe.	また、SLAIFは、この地域の事業体や各国との広範な連携を通じて、AIツールやサービスの普及に貢献し、欧州におけるAIエコシステムの構築を支援する。
SLAIF will provide a dedicated AI-optimised supercomputing facility, , located at IZUM in Maribor, that will support industrial AI applications and enable training of large-scale AI models, conducting inference at scale, and supporting AI-driven scientific discovery.	SLAIFは、マリボルにあるIZUMにAIに最適化された専用スーパーコンピューティング施設を提供し、産業用AIアプリケーションをサポートし、大規模なAIモデルのトレーニング、大規模な推論の実行、AI主導の科学的発見の支援を可能にする。
The Hosting Entity and overall coordinator of SLAIF will be IZUM, while the consortium will include the Jožef Stefan Institute (technical coordinator of the AI Factory part), ARNES, and five universities: the University of Ljubljana, the University of Maribor, the University of Nova Gorica, the University of Primorska, and the Faculty of Information Studies in Novo Mesto. All these institutions provide AI expertise, training, and talent. In addition, the Technology Park Ljubljana and the Chamber of Commerce and Industry of Slovenia will support knowledge transfer and business engagement.	SLAIFのホスティング事業体および全体的なコーディネーターはIZUMが務め、コンソーシアムには、ヨジェフ・シュテファン研究所（AIファクトリーの技術的コーディネーター）、アルネス、およびリュブリャナ大学、マリボル大学、ノヴァ・ゴリツァ大学、プリモルスカ大学、ノボメスト情報学部という5つの大学が参加する。これらのすべての機構がAIの専門知識、トレーニング、人材を提供している。さらに、リュブリャナ技術パークとスロベニア商工会議所が知識移転と事業提携を支援する。
Acting as a one-stop-shop, SLAIF's mission is to foster AI-driven innovation across various sectors, engaging with industry partners to provide businesses with AI-powered solutions, technical support, and infrastructure access.	ワンストップショップとして、SLAIFの使命は、さまざまな分野でAI主導のイノベーションを促進し、業界パートナーと連携してAIを活用したソリューション、技術サポート、インフラへのアクセスを企業に提供することである。
SLAIF's roadmap aligns with both national and European AI strategies, integrating with existing infrastructures like the petascale EuroHPC system VEGA and the SLING network. By seamlessly integrating national and European AI initiatives, SLAIF will crucially contribute to positioning Slovenia as a key AI hub in Europe.	SLAIFのロードマップは、国家および欧州のAI戦略と一致しており、ペタスケールEuroHPCシステムVEGAやSLINGネットワークなどの既存のインフラと統合されている。国家および欧州のAIイニシアティブをシームレスに統合することで、SLAIFはスロベニアを欧州におけるAIの主要ハブとして位置づけることに大きく貢献する。
Further details about SLAIF can be found at www.slaif.si.	SLAIFに関する詳細情報は、www.slaif.siを参照。
More Details	詳細
As a result of the second cut-off on 1 February 2025, the EuroHPC JU Governing Board has approved the selection of six new AI Factories. This number comprises two successful submissions under EUROHPC-2024-CEI-AI-01 call and four under EUROHPC-2024-CEI-AI-02 call. The next cut-off deadline for additional proposals is 2^nd May 2025.	2025年2月1日の第2回締め切りにより、EuroHPC JUガバナンス委員会は6つの新しいAIファクトリーの選定を承認した。この数は、EUROHPC-2024-CEI-AI-01の呼びかけに対する2つの成功した応募と、EUROHPC-2024-CEI-AI-02の呼びかけに対する4つの応募で構成されている。追加提案の次の締め切りは2025年5月2日である。
So far, 13 sites across Europe have been selected to host AI Factories. From the first cut-off of 1 November 2024, seven countries were selected to deploy the first AI Factories: Finland, Germany, Italy, Luxembourg, and Sweden, hosting brand-new AI-optimised supercomputers, Spain establishing an AI Factory by upgrading existing EuroHPC systems and Greece operating an existing AI-ready system. In addition, Spain and Finland’s AI Factories will also include experimental platforms, serving as testbeds for AI model development.	これまでに、ヨーロッパ全土で13の拠点がAIファクトリーのホストとして選定されている。2024年11月1日の最初の締め切りでは、7か国が最初のAIファクトリーの展開先として選定された。フィンランド、ドイツ、イタリア、ルクセンブルク、スウェーデンは、AIに最適化された最新鋭のスーパーコンピューターをホスティングし、スペインは既存のEuroHPCシステムをアップグレードしてAIファクトリーを設立し、ギリシャは既存のAI対応システムを運用する。さらに、スペインとフィンランドのAIファクトリーには実験用プラットフォームも設置され、AIモデル開発のためのテストベッドとして機能する。
The hosting agreements with the first selected Hosting Entities have been signed, leading currently to the launch of the procurement process for the relevant systems, which is scheduled to take place in the first half of 2025. The hosting agreements are contractual documents that define the roles, rights and obligations of each party. The procurement process for the AI Factories is managed by EuroHPC JU.	最初の選定されたホスティング事業体とのホスティング契約が締結され、現在、関連システムの調達プロセスの開始に向けた準備が進められている。調達プロセスは2025年前半に実施される予定である。ホスティング契約は、各当事者の役割、権利、義務を定義する契約文書である。AIファクトリーの調達プロセスは、EuroHPC JUが管理している。
By 2026, these AI Factories will be the backbone of Europe’s AI strategy, combining computing power, data, and talent to drive innovation and secure Europe’s leadership in AI.	2026年までに、これらのAIファクトリーは欧州のAI戦略の中核となり、コンピューティングパワー、データ、人材を結集してイノベーションを推進し、欧州のAIにおけるリーダーシップを確保する。
Background	背景
The EuroHPC JU is a legal and funding entity, created in 2018 and reviewed in 2021 by Council Regulation (EU) 2021/1173 to enable the European Union and participating countries to coordinate efforts and pool resources with the objective of making Europe a world leader in supercomputing.	EuroHPC JUは、欧州連合および参加国がスーパーコンピューティング分野で欧州を世界のリーダーにするという目標のもと、取り組みを調整し、リソースを共有することを可能にするために、2018年に設立され、2021年に理事会規則（EU）2021/1173によって見直された法的および資金的な事業体である。
In order to equip Europe with a world-leading supercomputing infrastructure, the EuroHPC JU has already procured nine supercomputers, located across Europe. Regardless of their location in Europe, European scientists and users from the public sector and industry can benefit from these EuroHPC supercomputers via the EuroHPC Access Calls. This access enables them to advance science and support the development of a wide range of applications with industrial, scientific, and societal relevance for Europe.	欧州に世界トップクラスのスーパーコンピューティングインフラを整備するため、EuroHPC JUはすでに9台のスーパーコンピューターを調達し、欧州各地に配置している。欧州内の配置場所に関わらず、欧州の科学者や公共部門および産業界のユーザーは、EuroHPCアクセスコールを通じて、これらのEuroHPCスーパーコンピューターを利用することができる。このアクセスにより、科学の進歩や、欧州の産業、科学、社会に関連する幅広いアプリケーションの開発を支援することが可能となる。
Recently reviewed by means of Council Regulation (EU) 2024/1732, the EuroHPC JU received a new mandate to develop and operate AI factories. These comprehensive open AI ecosystems located around EuroHPC supercomputing facilities will support the growth of a highly competitive and innovative AI ecosystem in Europe.	最近、理事会規則（EU）2024/1732により見直されたユーロHPC JUは、AIファクトリーの開発と運用という新たな任務を受けた。ユーロHPCスーパーコンピューティング施設周辺に配置されたこれらの包括的なオープンAIエコシステムは、欧州における競争力と革新性の高いAIエコシステムの成長を支援する。

ヨーロッパについての情報...

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2025.02.02 欧州連合競争力コンパス (2025.01.29)

・2024.09.26 欧州委員会信頼できる安全なAI開発の推進を誓約するEUのAI協定に100社以上が署名

・2024.08.05 欧州AI法が施行された... (2024.08.01)

・2024.06.07 欧州委員会安全で信頼できる人工知能におけるEUのリーダーシップを強化するため、AI事務局を設置 (2024.05.29)

2025.03.17 05:41 in AI/Deep Learning | Permalink | Comments (0)
Tweet

2025.03.16

中国人工知能生成合成コンテンツ識別弁法 (2025.03.14)

こんにちは、丸山満彦です。

中国は生成AIで作成、合成した音声、画像、映像、文書等にマークをつけることになっていますね...欧米でもそういう方法がよいのではないかという議論がありますが、人口14億人の国でそれが行われます...

ちなみに、AIについても登録制度になっていますが、2025.03.12現在で約400、正確には397のAIが登録されています。

● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China: CAC)

・2025.03.14 关于印发《人工智能生成合成内容标识办法》的通知

关于印发《人工智能生成合成内容标识办法》的通知	「人工知能生成合成コンテンツ識別弁法」の発行に関する通知
国信办通字〔2025〕2号	国新弁通字[2025]第2号
各省、自治区、直辖市互联网信息办公室、通信管理局、公安厅（局）、广播电视局，新疆生产建设兵团互联网信息办公室、工业和信息化局、公安局、文化体育广电和旅游局：	各省、自治区、直轄市のインターネット情報弁公室、通信管理局、公安局（局）、ラジオ・テレビ局、および新疆生産建設兵団のインターネット情報弁公室、工業・情報化局、公安局、文化・スポーツ・ラジオ・テレビ・観光局：
为了促进人工智能健康发展，规范人工智能生成合成内容标识，保护公民、法人和其他组织合法权益，维护社会公共利益，国家互联网信息办公室、工业和信息化部、公安部、国家广播电视总局制定了《人工智能生成合成内容标识办法》，现印发给你们，请认真遵照执行。	人工知能の健全な発展を促進し、人工知能により生成された合成コンテンツの表示を規範化し、公民、法人その他の組織の合法的な権益を保護し、公共の利益を保障するため、国家サイバースペース管理局、工業・情報化部、公安部、ラジオ・テレビ総局は「人工知能により生成された合成コンテンツの表示に関する弁法」を制定したので、これを公布し、実施する。
国家互联网信息办公室	国家サイバースペース管理局
工业和信息化部	工業情報化部
公安部	公安部
国家广播电视总局	国家ラジオ・テレビ総局
2025年3月7日	2025年3月7日
人工智能生成合成内容标识办法	人工知能生成合成コンテンツ識別弁法
第一条为了促进人工智能健康发展，规范人工智能生成合成内容标识，保护公民、法人和其他组织合法权益，维护社会公共利益，根据《中华人民共和国网络安全法》、《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》等法律、行政法规和部门规章，制定本办法。	第1条本弁法は、中華人民共和国サイバーセキュリティ法、インターネット情報サービスアルゴリズム推奨管理弁法、インターネット情報サービス深層合成管理弁法、生成的人工知能サービス管理暫定弁法、その他の法律、行政法規、部門規則に基づき、人工知能の健全な発展を促進し、人工知能生成合成コンテンツの識別を規範化し、公民、法人その他の組織の合法的権益を保護し、公共の利益を保障することを目的として制定される。
第二条符合《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》规定情形的网络信息服务提供者（以下简称“服务提供者”）开展人工智能生成合成内容标识活动，适用本办法。	第2条本弁法は、「インターネット情報サービスにおけるアルゴリズム推奨に関する管理規定」、「インターネット情報サービスにおける綿密な合成に関する管理規定」、および「生成的AIサービス管理に関する暫定措置」に規定された状況において、ネットワーク情報サービスプロバイダー（以下、「サービスプロバイダー」）が人工知能生成・合成コンテンツを識別する際に適用される。
第三条人工智能生成合成内容是指利用人工智能技术生成、合成的文本、图片、音频、视频、虚拟场景等信息。	第3条人工知能生成・合成コンテンツとは、人工知能技術を用いて生成・合成されたテキスト、画像、音声、動画、仮想シーンなどの情報を指す。
人工智能生成合成内容标识包括显式标识和隐式标识。	人工知能生成・合成コンテンツの識別には、明示的表示と暗示的表示が含まれる。
显式标识是指在生成合成内容或者交互场景界面中添加的，以文字、声音、图形等方式呈现并可以被用户明显感知到的标识。	明示的表示とは、生成された合成コンテンツまたはインタラクティブなシーンのインターフェースに追加されたものを指し、テキスト、音声、グラフィックなどの形式で表示され、ユーザーが明確に認識できる。
隐式标识是指采取技术措施在生成合成内容文件数据中添加的，不易被用户明显感知到的标识。	暗示的表示とは、技術的手段により生成された合成コンテンツファイルのデータに追加されたものを指し、ユーザーが容易に認識できない。
第四条服务提供者提供的生成合成服务属于《互联网信息服务深度合成管理规定》第十七条第一款情形的，应当按照下列要求对生成合成内容添加显式标识：	第4条サービスプロバイダーの生成合成サービスが「インターネット情報サービスにおけるディープ合成に関する管理規定」第17条第1項の状況に該当する場合、生成された合成コンテンツに明示的表示を追加するには、以下の要件に従うものとする。
（一）在文本的起始、末尾或者中间适当位置添加文字提示或者通用符号提示等标识，或者在交互场景界面、文字周边添加显著的提示标识；	(1) テキストの冒頭、末尾、または途中にテキストプロンプトまたはユニバーサルシンボルプロンプトなどのプロンプトを追加するか、またはインタラクティブなシーンのインターフェース内またはテキストの周囲に目立つプロンプトを追加する。
（二）在音频的起始、末尾或者中间适当位置添加语音提示或者音频节奏提示等标识，或者在交互场景界面中添加显著的提示标识；	(2) 音声の冒頭、末尾、または途中に音声プロンプトまたは音声リズムプロンプトなどのプロンプトを追加するか、またはインタラクティブなシーンのインターフェース内に目立つプロンプトを追加する。
（三）在图片的适当位置添加显著的提示标识；	(3) 画像内の適切な場所に目立つプロンプトを追加する。
（四）在视频起始画面和视频播放周边的适当位置添加显著的提示标识，可以在视频末尾和中间适当位置添加显著的提示标识；	(4) 動画の開始画面およびその周辺、動画の終了時および動画の中間部分の適切な位置に、目立つ合図を追加する。
（五）呈现虚拟场景时，在起始画面的适当位置添加显著的提示标识，可以在虚拟场景持续服务过程中的适当位置添加显著的提示标识；	(5) 仮想シーンを表示する際、開始画面の適切な位置、および仮想シーンの連続サービス中の適切な位置に、目立つ合図を追加する。
（六）其他生成合成服务场景根据自身应用特点添加显著的提示标识。	(6) その他の生成された合成サービスシナリオは、そのアプリケーションの特性に応じて目立つ合図を追加する。
服务提供者提供生成合成内容下载、复制、导出等功能时，应当确保文件中含有满足要求的显式标识。	サービス提供者が生成合成コンテンツのダウンロード、コピー、エクスポートなどの機能を提供する場合は、ファイルに要件を満たす明示的表示が含まれるようにしなければならない。
第五条服务提供者应当按照《互联网信息服务深度合成管理规定》第十六条的规定，在生成合成内容的文件元数据中添加隐式标识，隐式标识包含生成合成内容属性信息、服务提供者名称或者编码、内容编号等制作要素信息。	第5条サービス提供者は、「インターネット情報サービスにおけるディープ・シンセシスに関する管理規定」第16条の規定に従い、生成合成コンテンツのファイルメタデータに暗示的表示を追加しなければならない。暗示的表示には、生成合成コンテンツの属性情報、サービス提供者の名称またはコード、コンテンツ番号などの制作要素情報を含めなければならない。
鼓励服务提供者在生成合成内容中添加数字水印等形式的隐式标识。	サービス提供者は、生成合成コンテンツに電子透かし形式の暗示的表示を追加することが推奨される。
文件元数据是指按照特定编码格式嵌入到文件头部的描述性信息，用于记录文件来源、属性、用途等信息内容。	ファイルのメタデータとは、特定の符号化形式のファイルのヘッダーに埋め込まれた記述情報を指し、ファイルのソース、属性、目的などの情報を記録するために使用される。
第六条提供网络信息内容传播服务的服务提供者应当采取下列措施，规范生成合成内容传播活动：	第6条オンライン情報内容配信サービスを提供するサービス提供者は、生成された合成コンテンツの配信を規制するために、以下の措置を講じなければならない。
（一）核验文件元数据中是否含有隐式标识，文件元数据明确标明为生成合成内容的，采取适当方式在发布内容周边添加显著的提示标识，明确提醒公众该内容属于生成合成内容；	(1) 文書メタデータに暗示的表示があるかどうかを確認する。文書メタデータが明らかに生成合成コンテンツであることを示している場合、適切な措置を講じて、公開コンテンツの周囲に目立つプロンプトインジケータを追加し、コンテンツが生成合成コンテンツであることを一般ユーザーに明確に通知する。
（二）文件元数据中未核验到隐式标识，但用户声明为生成合成内容的，采取适当方式在发布内容周边添加显著的提示标识，提醒公众该内容可能为生成合成内容；	(2) 文書メタデータに暗示的表示がないことが確認されたが、ユーザーがコンテンツが生成合成コンテンツであることを宣言した場合、適切な措置を講じて、公開コンテンツの周囲に目立つプロンプトインジケータを追加し、コンテンツが生成合成コンテンツである可能性があることを一般ユーザーに通知する。
（三）文件元数据中未核验到隐式标识，用户也未声明为生成合成内容，但提供网络信息内容传播服务的服务提供者检测到显式标识或者其他生成合成痕迹的，识别为疑似生成合成内容，采取适当方式在发布内容周边添加显著的提示标识，提醒公众该内容疑似生成合成内容；	(3) ファイルのメタデータで暗示的表示が確認されず、かつ、ユーザーが生成合成コンテンツであることを宣言していないが、オンライン情報コンテンツ配信サービスを提供するサービスプロバイダーが生成合成コンテンツの明示的表示またはその他の痕跡を検出した場合、生成合成コンテンツの疑いがあるものとして識別し、公開コンテンツの周囲に適切な方法で目立つプロンプトを追加し、コンテンツが生成合成コンテンツの疑いがあることをユーザーに警告する。
（四）提供必要的标识功能，并提醒用户主动声明发布内容中是否包含生成合成内容。	(4) 必要な表示機能を提供し、公開コンテンツに生成合成コンテンツが含まれるかどうかについて、ユーザーに積極的に宣言するよう促す。
有前款第一项至第三项情形的，应当在文件元数据中添加生成合成内容属性信息、传播平台名称或者编码、内容编号等传播要素信息。	前項の第1から第3の状況が発生した場合、生成された合成コンテンツの情報、伝送プラットフォーム名またはコード、コンテンツ番号、その他の伝送要素情報をファイルのメタデータに追加する。
第七条互联网应用程序分发平台在应用程序上架或者上线审核时，应当要求互联网应用程序服务提供者说明是否提供人工智能生成合成服务。互联网应用程序服务提供者提供人工智能生成合成服务的，互联网应用程序分发平台应当核验其生成合成内容标识相关材料。	第7条インターネットアプリケーション配信プラットフォームが、掲載またはオンライン化の申請を審査する際には、インターネットアプリケーションサービス提供者に、人工知能による合成コンテンツサービスを提供しているかどうかを明らかにするよう求める。インターネットアプリケーションサービス提供者が人工知能による合成コンテンツサービスを提供している場合、インターネットアプリケーション配信プラットフォームは、生成された合成コンテンツを識別するための関連資料を検証する。
第八条服务提供者应当在用户服务协议中明确说明生成合成内容标识的方法、样式等规范内容，并提示用户仔细阅读并理解相关的标识管理要求。	第8条サービス提供者は、ユーザーサービス契約において、コンテンツ識別の方法と形式を明確に規定し、ユーザーにコンテンツ識別管理要求を注意深く読み、理解するよう促さなければならない。
第九条用户申请服务提供者提供没有添加显式标识的生成合成内容的，服务提供者可以在通过用户协议明确用户的标识义务和使用责任后，提供不含显式标识的生成合成内容，并依法留存提供对象信息等相关日志不少于六个月。	第9条ユーザーがサービス提供者に対して、明示的表示を含まない生成合成コンテンツを申請する場合、サービス提供者は、ユーザー契約において、ユーザーのコンテンツ識別義務と利用責任を明確にした上で、明示的表示を含まない生成合成コンテンツを提供することができ、また、コンテンツが提供された相手の情報を含む関連ログを、法律に基づき6か月以上保存しなければならない。
第十条用户使用网络信息内容传播服务发布生成合成内容的，应当主动声明并使用服务提供者提供的标识功能进行标识。	第10条ユーザーがオンライン情報内容発信サービスを利用して生成された合成コンテンツを公表する場合、サービス提供者が提供する識別機能を積極的に申告し、使用しなければならない。
任何组织和个人不得恶意删除、篡改、伪造、隐匿本办法规定的生成合成内容标识，不得为他人实施上述恶意行为提供工具或者服务，不得通过不正当标识手段损害他人合法权益。	いかなる組織または個人も、本弁法に規定された生成された合成コンテンツの識別情報を悪意を持って削除、改ざん、偽造、隠蔽してはならず、また、他者がこのような悪意のある行為を行うためのツールまたはサービスを提供したり、不正な識別手段により他者の合法的な権利と利益を損なってはならない。
第十一条服务提供者开展标识活动的，还应当符合相关法律、行政法规、部门规章和强制性国家标准的要求。	第11条サービス提供者が識別活動を行う場合、関連する法律、行政法規、部門規定および強制性国家標準の要求にも従わなければならない。
第十二条服务提供者在履行算法备案、安全评估等手续时，应当按照本办法提供生成合成内容标识相关材料，并加强标识信息共享，为防范打击相关违法犯罪活动提供支持和帮助。	第12条サービスプロバイダーは、アルゴリズム登録やセキュリティ評価などの手続きを行う際には、本弁法に従って総合的なコンテンツ識別を行うための関連資料を提供し、識別情報の共有を強化し、関連する違法・犯罪行為の防止と取締りへの支援と協力を提供しなければならない。
第十三条违反本办法规定的，由网信、电信、公安和广播电视等有关主管部门依据职责，按照有关法律、行政法规、部门规章的规定予以处理。	第13条本弁法に違反する行為は、サイバー空間管理局、工業・情報化省、公安部、ラジオ・テレビ総局などの関連主管部門が職責に基づき、関連する法律、行政法規、部門規則に従って処理する。
第十四条本办法自2025年9月1日起施行。	第14条本弁法は2025年9月1日に施行する。

・2024.03.14 四部门联合发布《人工智能生成合成内容标识办法》

四部门联合发布《人工智能生成合成内容标识办法》	4つの部門が共同で「人工知能生成合成コンテンツ識別弁法」を公布
近日，国家互联网信息办公室、工业和信息化部、公安部、国家广播电视总局联合发布《人工智能生成合成内容标识办法》（以下简称《标识办法》），自2025年9月1日起施行。国家互联网信息办公室有关负责人表示，《标识办法》旨在促进人工智能健康发展，规范人工智能生成合成内容标识，保护公民、法人和其他组织合法权益，维护社会公共利益。	このほど、国家サイバースペース管理局、工業・情報化部、公安部、国家ラジオ・テレビ総局が共同で「人工知能生成合成コンテンツ識別弁法」（以下、「識別弁法」と略す）を公布し、2025年9月1日より施行される。国家サイバースペース管理局の関係者は、弁法は人工知能の健全な発展を促進し、人工知能生成合成コンテンツのラベル付けを標準化し、公民、法人その他の組織の合法的な権益を保護し、公益を保障することを目的としていると述べた。
近年来，生成式人工智能、深度合成等新技术快速发展，为生成合成文本、图片、音频、视频等信息提供了便利工具，在促进经济发展、丰富网上内容、便利公众生活的同时，也造成虚假信息传播、破坏网络生态等问题。社会广泛呼吁加快专门立法、强化技术监管、压实平台责任。为积极响应社会关切和群众关心，国家互联网信息办公室联合工业和信息化部、公安部、国家广播电视总局制定了《标识办法》。《标识办法》以内容标识为抓手，细化前期相关部门规章的标识相关要求，进一步发挥内容标识提醒提示和监督溯源的技术作用，着力构建开放、公正、有效的治理机制，营造公平有序发展环境，推动人工智能产业健康有序发展。	近年、生成的AIやディープシンセシスなどの新技術が急速に発展し、合成テキスト、画像、音声、動画などの生成に便利なツールを提供している。経済発展を促進し、オンラインコンテンツを充実させ、人々の生活を便利にする一方で、偽情報の拡散やオンライン生態系の破壊などの問題も引き起こしている。このため、関連法規の早期制定、技術監督の強化、プラットフォームの責任強化を求める声が各方面から広がっている。社会の関心と公益に積極的に応えるため、国家サイバースペース管理局は工業・情報化部、公安部、国家ラジオ・テレビ総局と共同で「弁法」を制定した。「弁法」はコンテンツのマーキングに焦点を当て、初期の関連部門の規定におけるマーキング関連の要求を精緻化し、コンテンツのマーキングの技術的役割をさらに活用して、注意喚起と追跡可能性の向上を図り、開放的で公平かつ効果的なガバナンスメカニズムの確立に努め、公平かつ秩序ある発展環境を構築し、人工知能産業の健全かつ秩序ある発展を促進する。
《标识办法》明确，人工智能生成合成内容标识主要包括显式标识和隐式标识两种形式，显式标识是指在生成合成内容或者交互场景界面中添加的，以文字、声音、图形等方式呈现并可以被用户明显感知到的标识；隐式标识是指采取技术措施在生成合成内容文件数据中添加的，不易被用户明显感知到的标识。	「弁法」では、人工知能生成・合成コンテンツの表示には主に明示的表示と暗示的表示の2つの形式があることを明確にしている。明示的表示とは、生成・合成コンテンツまたはインタラクティブな場面インターフェースに追加された表示を指し、テキスト、音声、グラフィックなどの形式で表示され、ユーザーが明確に認識できる。暗示的表示とは、技術的手段により生成・合成コンテンツのファイルデータに追加された表示を指し、ユーザーが容易に認識できない。
《标识办法》提出，按照《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》相关要求开展人工智能生成合成内容标识活动的，应当符合《标识办法》相关要求。	「弁法」は、「インターネット情報サービス推奨アルゴリズム管理弁法」、「インターネット情報サービス深度合成管理弁法」、および「生成的AIサービス管理暫定措置」の関連規定に従って実施される人工知能生成合成コンテンツのマーキング活動は、「弁法」の関連規定を遵守しなければならないと規定している。
《标识办法》要求，服务提供者提供的生成合成服务属于《互联网信息服务深度合成管理规定》第十七条第一款情形的，应当按照要求对生成合成内容添加显式标识；服务提供者应当按照《互联网信息服务深度合成管理规定》第十六条的规定，在生成合成内容的文件元数据中添加隐式标识；提供网络信息内容传播服务的服务提供者应当采取技术措施，规范生成合成内容传播活动。	弁法は、サービス提供者の生成・合成サービスが「インターネット情報サービスの詳細な統合に関する管理規定」第17条第1項の状況に該当する場合、必要に応じて生成・合成されたコンテンツに明示的表示を追加すること、サービス提供者は「インターネット情報サービスの詳細な統合に関する管理規定」第16条に従い、生成・合成されたコンテンツのファイルメタデータに暗示的表示を追加すること、ネットワーク情報コンテンツ配信サービスを提供するサービス提供者は、生成・合成されたコンテンツの配信を規制する技術的措置を講じることなどを求めている。
《标识办法》强调，任何组织和个人不得恶意删除、篡改、伪造、隐匿本办法规定的生成合成内容标识，不得为他人实施上述恶意行为提供工具或者服务，不得通过不正当标识手段损害他人合法权益。	「識別弁法」では、いかなる組織または個人も、本弁法で規定された生成合成コンテンツの識別情報を悪意を持って削除、改ざん、偽造、隠蔽したり、他者がこのような悪意のある行為を行うためのツールやサービスを提供したり、不適切な識別手段によって他者の合法的な権益を損なってはならないと強調している。
配套《标识办法》，强制性国家标准《网络安全技术人工智能生成合成内容标识方法》（以下简称《标识标准》），已由国家市场监督管理总局、国家标准化管理委员会正式批准发布（2025年第3号），2025年9月1日与《标识办法》同步实施。	この「弁法」を補完するために、国家市場監督管理総局と中国国家標準化管理委員会（2025年第3号）により、強制性国家標準「ネットワークセキュリティ技術－人工知能生成合成コンテンツの表示方法」（以下「標準」という）が正式に公布され、2025年9月1日に「弁法」と同時に実施される。
同时，全国网络安全标准化技术委员会针对生成合成服务提供者和内容传播服务提供者的平台编码，组织起草了配套实践指南《网络安全标准实践指南——人工智能生成合成内容标识服务提供者编码规则》，已于3月14日正式获批发布（网安秘字〔2025〕29号），为相关主体开展文件元数据隐式标识提供了编码指引。此外，全国网络安全标准化技术委员会正在就各文件格式的元数据标识规范、各应用场景的标识方法等组织编制一系列推荐性标准、实践指南，将在《标识办法》发布后逐步推出。	同時に、国家ネットワークセキュリティ標準化技術委員会は、生成合成サービスプロバイダーおよびコンテンツ配信サービスプロバイダーのプラットフォームのエンコーディングをサポートする実用ガイド「ネットワークセキュリティ標準実用ガイド - 人工知能生成合成コンテンツ識別サービスプロバイダーのコーディング規則」を起草し、3月14日に正式に承認・発表された（ネットワークセキュリティシークレットワード[2025]第29号）。これは、関連事業者が文書メタデータの暗示的表示を行うためのコーディングガイドラインを提供するものである。また、国家ネットワークセキュリティ標準化技術委員会は、各種ファイル形式のメタデータ識別仕様および各種アプリケーションシナリオの識別方法に関する一連の推奨標準および実用ガイドラインの編纂を進めており、これらは「識別弁法」の発表後に順次展開される予定である。
相关链接：	関連リンク：
《人工智能生成合成内容标识办法》	「人工知能生成合成コンテンツ識別弁法」
《网络安全技术人工智能生成合成内容标识方法》	「ネットワークセキュリティ技術：人工知能生成合成コンテンツ識別方法」
《网络安全标准实践指南——人工智能生成合成内容标识服务提供者编码规则》	「ネットワークセキュリティ標準実践ガイド：人工知能生成合成コンテンツ識別サービスプロバイダーのコーディング規則」

・2025.03.14 《人工智能生成合成内容标识办法》答记者问

《人工智能生成合成内容标识办法》答记者问	「人工知能生成合成コンテンツ識別弁法」に関する質問への回答
近日，国家互联网信息办公室、工业和信息化部、公安部、国家广播电视总局联合发布《人工智能生成合成内容标识办法》（以下简称《标识办法》），自2025年9月1日起施行。日前，国家互联网信息办公室有关负责人就《标识办法》有关问题回答了记者提问。	先日、国家サイバースペース管理局、工業・情報化部、公安部、国家ラジオ・テレビ総局が共同で「人工知能生成合成内容識別弁法」（以下、「識別弁法」という）を公布し、2025年9月1日より施行される。先日、国家サイバースペース管理局の担当者が「識別弁法」に関する問題について、記者の質問に答えた。
一、问：请介绍一下《标识办法》的出台背景？	1.質問：「識別弁法」を導入した背景について紹介してください。
答：近年来，人工智能技术快速发展，为生成合成文字、图片、音频、视频等信息提供了便利工具，海量信息得以快速生成合成并在网络平台传播，在促进经济社会发展的同时，也产生了生成合成技术滥用、虚假信息传播扩散加剧等问题，引发社会各界的关注关切。经深入开展调研、广泛征求意见、多轮技术论证试点，国家互联网信息办公室联合工业和信息化部、公安部、国家广播电视总局制定了《标识办法》，进一步规范人工智能生成合成内容标识活动。	回答：近年、人工知能技術の急速な発展により、テキスト、画像、音声、動画などの合成情報を生成する便利なツールが提供されている。オンラインプラットフォーム上で、大量の情報を迅速に生成・合成し、発信することが可能となっている。経済・社会の発展を促進する一方で、生成・合成技術の悪用や、虚偽情報の拡散などの問題も生じ、社会各層から懸念の声が上がっている。国家サイバースペース管理局は、工業・情報化部、公安部、国家ラジオ・テレビ総局と共同で、綿密な調査、広範な意見の募集、複数回にわたる技術的実証実験を経て、人工知能による合成コンテンツのマーク付けをさらに規範化するための「マーク付け弁法」を策定した。
《标识办法》聚焦人工智能“生成合成内容标识”关键点，通过标识提醒用户辨别虚假信息，明确相关服务主体的标识责任义务，规范内容制作、传播各环节标识行为，以合理成本提高安全性，促进人工智能在文本对话、内容制作、辅助设计等各应用场景加快落地，同时减轻人工智能生成合成技术滥用危害，防范利用人工智能技术制作传播虚假信息等风险行为，推动人工智能健康有序发展。	この弁法は、「人工知能が生成した合成コンテンツの表示」という要点に焦点を当て、ユーザーに表示を通じて偽情報を識別するよう促し、関連サービスプロバイダーの表示責任と義務を明確にし、コンテンツの制作と配信のあらゆる側面における表示行為を標準化し、合理的なコストでセキュリティを向上させ、テキスト対話、コンテンツ制作、支援設計など、さまざまな応用場面における人工知能の迅速な実装を促進しながら、人工知能が生成した合成技術の誤用による被害を軽減し、人工知能技術を使用して偽情報を制作・配信するなどのリスクの高い行為を防止し、人工知能の健全かつ秩序ある発展を促進することを目的としている。
二、问：请问制定《标识办法》的总体思路是什么？	2. 質問: 「識別弁法」の策定の背景にある全体的な考え方はどのようなものか？
答：一是细化已有规定。《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》中提出了标识有关要求，《标识办法》作为规范性文件，进一步细化标识的具体实施规范。二是解决关键问题。《标识办法》重点解决“哪些是生成的”“谁生成的”“从哪里生成的”等问题，推动由生成到传播各环节的全流程安全管理，力争打造可信赖的人工智能技术。三是统筹发展和安全。考虑人工智能技术发展需要，针对在文本内容中添加隐式标识，在多媒体文件中添加数字水印，仍是技术难点或可能增加企业成本，不作强制要求。为降低平台企业标识成本，提升落地实施的可操作、可执行性，创新提出文本符号标识、音频节奏标识、文件元数据标识等低成本实施的可行方法。四是管理要求与技术标准一体化考虑。为推动《标识办法》落地实施，强制性国家标准《网络安全技术人工智能生成合成内容标识方法》同步发布，更好地指导相关主体规范开展标识活动。	回答: 第一に、既存の規定をさらに明確化する。「インターネット情報サービス推奨アルゴリズム管理弁法」、「インターネット情報サービス深層合成管理弁法」、「生成的人工知能サービス管理弁法（暫定）」では、関連するマーク付け要件が規定されている。「マーク付け弁法」は規範文書として、マーク付けの具体的な実施基準をさらに明確化する。第二に、重要な問題に対処する。弁法は、「何が生成されるか」、「誰が生成するか」、「どこから生成されるか」といった問題の解決に重点を置き、生成から普及までの全過程の安全な管理を推進し、信頼性の高い人工知能技術の構築を目指している。第三に、開発とセキュリティの調整である。人工知能技術の開発ニーズを考慮すると、テキストコンテンツへの暗示的表示やマルチメディアファイルへの電子透かしの追加は依然として技術的な難題であり、あるいはビジネスコストの増加につながる可能性があり、義務化はされていない。プラットフォーム企業の識別コストを削減し、実施の操作性と強制力を高めるため、テキストシンボル識別、音声リズム識別、ファイルメタデータ識別などの低コストで実施可能な方法が新たに提案されている。第四に、管理要件と技術標準が同時に考慮されている。「識別弁法」の実施を推進するため、関連主体が標準化された方法で識別活動を実施できるよう、同時に強制力のある国家標準「ネットワークセキュリティ技術－人工知能生成合成コンテンツ識別方法」が発表された。
三、问：《标识办法》适用范围是什么？	3. 質問：「識別弁法」の適用範囲は？
答：《标识办法》规定，符合《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》规定情形的网络信息服务提供者开展人工智能生成合成内容标识活动，适用本办法。	回答：本弁法は、「インターネット情報サービスにおけるアルゴリズム推薦に関する管理弁法」、「インターネット情報サービスにおけるディープ合成に関する管理弁法」、および「生成的AIサービス管理に関する暫定弁法」に規定された状況下で、ネットワーク情報サービス事業者が実施する人工生成合成コンテンツの識別行為に適用される。
同时，《互联网信息服务深度合成管理规定》第二条明确“法律、行政法规另有规定的，依照其规定”，《生成式人工智能服务管理暂行办法》第二条第二款明确“国家对利用生成式人工智能服务从事新闻出版、影视制作、文艺创作等活动另有规定的，从其规定”。《标识办法》同样遵照上述适用条款，开展特定活动对内容标识另有规定的，从其规定。	同時に、「インターネット情報サービスの詳細な統合に関する行政規定」の第二条では、「法律や行政法規に別段の規定がある場合は、その規定を適用する」と明確に規定されており、「生成的AIサービス管理に関する暫定措置」の第二条第二項では、「ニュースの出版、映画やテレビ番組の制作、文学や芸術の創作、その他の活動における生成的AIサービスの利用について、国家がその他の規定を定めている場合は、その規定を適用する」と明確に規定されている。また、本弁法は、上記の関連規定にも準拠している。特定の活動が行われ、コンテンツのマーキングに関するその他の規定がある場合は、その規定を適用する。
四、问：请说明一下《标识办法》与强制性国家标准《网络安全技术人工智能生成合成内容标识方法》的关系？	4. 質問：識別弁法と強制性国家標準「ネットワークセキュリティ技術-人工知能生成合成コンテンツの表示方法」の関係について説明してほしい。
答：《标识办法》主要从立法层面提出管理要求，明确生成合成内容制作传播各主体的责任义务，为促进人工智能技术创新发展，对具体实施操作不做要求。《网络安全技术人工智能生成合成内容标识方法》以强制性国家标准形式制定实施，主要提出强制执行部分的标识具体实施方式和操作方法，两者同步推出，于2025年9月1日同步实施，以更好地指导相关主体规范开展标识活动。	回答：弁法は主に立法レベルの管理要求を規定し、生成合成コンテンツの制作と伝播に関わる各主体の責任と義務を明確にしている。人工知能の技術革新と発展を促進するため、弁法は具体的な実施と運用に関する要求を規定していない。「ネットワークセキュリティ技術-人工知能生成合成コンテンツのラベル付け方法」は、強制的な国家標準の形式で制定・実施され、主にラベル付けの強制部分の具体的な実施方法と運用方法を提案している。2つは2025年9月1日に同時に発効し、同時に実施され、関連主体が標準化された方法でラベル付け活動を行うことをより適切に導く。
五、问：强制性国家标准《网络安全技术人工智能生成合成内容标识方法》的主要内容？	5. 質問: 強制的な国家標準「ネットワークセキュリティ技術-人工知能生成合成コンテンツのラベル付け方法」の主な内容は何か？
答：标准支撑《标识办法》，对人工智能生成合成内容服务提供者与网络信息传播服务提供者提出了内容标识方法的具体要求。一是明确人工智能生成合成内容服务提供者对文本、图片、音频、视频、虚拟场景等内容，添加文字、角标、语音、节奏等显式标识的方法，在内容生成合成环节提出了显著提示公众、防范混淆误认的方案。二是明确服务提供者在文件中添加元数据隐式标识的方法，为内容传播服务提供者有效识别生成合成内容提供便捷方案，也为内容传播服务提供者履行向公众提醒提示主体责任提供了依据。三是在元数据隐式标识设置了预留字段，可用于记录标识完整性、内容一致性等安全防护信息，为促进标识技术创新发展和保护标识安全性预留了空间。	回答：標準は「弁法」を支持し、人工知能生成合成コンテンツサービス提供者およびオンライン情報発信サービス提供者のコンテンツ識別方法について具体的な要求を提出している。まず、人工知能生成合成コンテンツサービス提供者が、テキスト、画像、音声、動画、仮想シーンなどのコンテンツに、テキスト、コーナー表記、音声、リズムなどの明示的表示を追加する方法を明確にし、コンテンツ生成・合成プロセスにおける解決策を提示し、公衆に明確に通知し、混乱や誤解を防ぐ。第二に、サービスプロバイダーが暗示的表示として文書にメタデータを追加する方法を明確にし、コンテンツ配信サービスプロバイダーが生成および合成されたコンテンツを効果的に識別するための便利なソリューションを提供し、また、コンテンツ配信サービスプロバイダーが公衆に注意喚起するという主な責任を果たすための基盤を提供する。第三に、メタデータの暗示的表示に予約フィールドが設定され、表示の完全性やコンテンツの一貫性などのセキュリティ保護情報を記録するために使用することができ、表示技術の革新的な発展と表示セキュリティの保護のための余地を残している。
六、问：《标识办法》明确了服务提供者哪些具体要求？	6. 質問：「表示弁法」では、サービスプロバイダーの具体的な要件が明確にされているか？
答：《标识办法》明确服务提供者应当对文本、音频、图片、视频、虚拟场景等生成合成内容添加显式标识，在提供生成合成内容下载、复制、导出等功能时，应当确保文件中含有满足要求的显式标识；应当在生成合成内容的文件元数据中添加隐式标识，隐式标识包含生成合成内容属性信息、服务提供者名称或者编码、内容编号等制作要素信息；应当在用户服务协议中明确说明生成合成内容标识的方法、样式等规范内容，并提示用户仔细阅读并理解相关的标识管理要求。	回答：弁法では、サービスプロバイダーはテキスト、音声、画像、動画、仮想シーン、その他の生成された合成コンテンツに明示的表示を追加しなければならないと規定している。生成された合成コンテンツのダウンロード、コピー、エクスポートなどの機能を提供する場合は、ファイルに要件を満たす明示的表示を含めることを保証しなければならない。また、生成された合成コンテンツのファイルのメタデータに暗示的表示を追加しなければならない。暗示的表示には、生成された合成コンテンツの属性、サービスプロバイダーの名称またはコード、生成された合成コンテンツの属性情報、サービスプロバイダーの名称またはコード、コンテンツ番号などの生成要素情報、合成コンテンツ識別子の生成方法と形式、その他の規定は、ユーザーサービス契約に明確に記載し、ユーザーに当該識別管理要求を注意深く読み理解するよう促すものとする。
七、问：《标识办法》明确互联网应用程序分发平台应当采取哪些措施规范人工智能生成合成服务？	7. 質問：「識別弁法」に規定されているAI生成合成サービスを規制するために、インターネットアプリケーション配信プラットフォームはどのような措置を取るべきか？
答：《标识办法》第七条明确，互联网应用程序分发平台在应用程序上架或者上线审核时，应当要求互联网应用程序服务提供者说明是否提供人工智能生成合成服务，并核验其生成合成内容标识相关材料。	回答：弁法第7条では、アプリ配信プラットフォームにアプリが掲載されたり、オンライン化の審査が行われたりする際に、アプリ配信プラットフォームはアプリサービス提供者にAI生成合成サービスを提供しているかどうかを明記させ、生成された合成コンテンツの識別に関する関連資料を検証することを明確に規定している。
八、问：如何合规获得没有添加显式标识的生成合成内容？	8. 質問：明示的表示のない合成コンテンツを適法に取得するにはどうすればよいか？
答：前期，国家互联网信息办公室出台的《互联网信息服务深度合成管理规定》第十七条针对“可能导致公众混淆或者误认的”深度合成服务情形提出显著标识要求。在此基础上，《标识办法》第四条进一步明确了针对文本、音频、图片、视频、虚拟拟真等具体场景的显式标识要求，确保生成合成内容在面向公众时具有满足要求的显式标识。	回答：初期段階では、国家サイバースペース管理局が公布した「インターネット情報サービスディープシンセシスに関する管理規定」第17条では、「一般大衆に混同や誤認を招く可能性がある」ディープシンセシスサービスについて、重大な表示要件を規定していた。これに基づき、「弁法」第4条では、テキスト、音声、画像、動画、仮想現実などの特定のシナリオにおける明示的表示要件をさらに明確化し、生成された合成コンテンツが一般大衆に公開される際に、必要な明示的表示が確実に付されるようにしている。
此外，充分考虑生成合成内容在实际场景中的落地应用，积极回应社会关切和产业需要，《标识办法》第九条提出，在用户主动要求提供未添加显式标识内容时，网站平台在不违反相关法律法规要求前提下，可通过在用户协议中明确责任义务并依法留存相关日志信息后，面向用户予以提供。同时，用户在后续使用过程中，需遵守《标识办法》第十条等相关要求，主动声明生成合成情况并添加显式标识后，方可面向公众发布和传播。	また、弁法は実際の状況における生成された合成コンテンツの実用化を十分に考慮し、社会の関心や業界のニーズに積極的に応えている。弁法第9条では、ユーザーが明示的表示のないコンテンツを積極的に要求した場合、ウェブサイトプラットフォームはユーザーにコンテンツを提供できるが、関連法規の要求に違反しないこと、ユーザー契約で明確な責任と義務を規定すること、関連ログ情報を法に基づき保存することを前提とする。同時に、その後の利用に際しては、ユーザーは「情報識別弁法」第10条およびその他の関連規定を遵守し、コンテンツの生成と構成を積極的に申告し、公開・伝播の前に明示的表示を追加しなければならない。
九、问：《标识办法》对规范开展标识行为明确了哪些具体要求？	9. 質問: 弁法は、標準化されたマーキングの実施について、どのような具体的な要求を規定しているのか？
答：《标识办法》第十条明确任何组织和个人不得恶意删除、篡改、伪造、隐匿本办法规定的生成合成内容标识，不得为他人实施上述恶意行为提供工具或者服务，不得通过不正当标识手段损害他人合法权益。	回答: 弁法の第10条では、いかなる組織または個人も、本弁法で規定された生成された統合コンテンツ識別子を悪意を持って削除、改ざん、偽造、または隠蔽してはならないこと、また、他者がそのような悪意のある行為を行うためのツールやサービスを提供してはならないこと、不適切なマーキングによって他者の正当な権利や利益を損なってはならないことが明確に規定されている。
十、问：关于《标识办法》和配套强制性国家标准的正式施行时间的考虑？	10. 質問: 「マーキング弁法」および関連の強制国家規格の正式実施時期はいつか？
答：坚持循序渐进的治理原则，考虑到企业需要时间充分理解相关规定和标准规范，针对性地开展能力建设和功能研发，基于标识技术实施的复杂程度、试点试行的实践经验，设定《标识办法》和配套强制性国家标准6个月左右的施行过渡期。	回答: 段階的な管理という原則に則り、企業が関連の法規や標準、規範を十分に理解し、的を絞った能力の構築や機能の研究開発を行うために時間を要することを考慮し、また、マーキング技術の実施の複雑性やパイロット試験の実践経験を踏まえ、「マーキング弁法」および関連の強制国家規格の実施には約6か月の移行期間が設けられた。

・2025.03.14 专家解读｜从技术规则到技术标准：人工智能治理的标识管理

专家解读｜从技术规则到技术标准：人工智能治理的标识管理	専門家解説：技術規則から技術標準へ：人工知能のガバナンスにおける識別管理
国家互联网信息办公室等部门联合发布《人工智能生成合成内容标识办法》（以下简称《标识办法》）及配套强制性国家标准《网络安全技术人工智能生成合成内容标识方法》（以下简称《标识标准》），旨在防范人工智能生成合成内容引发的信息安全风险，提升人工智能安全水平，规范人工智能行业应用和健康发展。从技术规则到技术标准的有机组合，是一种兼具灵活性和约束力的制度创新，符合全球人工智能治理通用做法，提出人工智能标识管理的中国方案，为全球人工智能治理规则形成和兼容协调提供更多基础共识。	国家サイバースペース管理局およびその他の部門は共同で、「人工知能生成合成コンテンツ識別弁法」（以下、「識別弁法」という）およびそれを補完する強制国家標準「ネットワークセキュリティ技術－人工知能生成合成コンテンツ識別方法」（以下、「識別標準」という）を公表した。その目的は、人工知能生成合成コンテンツによる情報セキュリティリスクを防止し、人工知能のセキュリティレベルを向上させ、人工知能産業の健全な発展と応用を規制することにある。技術規則と技術標準の有機的な結合は、柔軟性と拘束力を兼ね備えた制度上の革新である。これはAIガバナンスにおける世界共通の慣行に沿ったものであり、AI識別管理における中国のソリューションを提案し、グローバルなAIガバナンス規則の形成と互換性および調整のためのより根本的なコンセンサスを提供する。
一、《标识办法》和《标识标准》的制定背景	1.「弁法」と「標準」の策定背景
当前以ChatGPT、Sora、DeepSeek等为代表的生成式人工智能迅猛发展，借助人工智能生成合成文本、图像、音频、视频、虚拟场景等，逐渐演变为重要的信息生产模式。然而，伴随技术门槛降低，虚假信息、深度伪造、恶意输出等安全问题突出，加剧传统信息安全风险的动态性、渗透性和全局性。联合国2024年《治理人工智能，助力造福人类》报告将“损害信息完整性”列为排名第一的风险。	現在、チャットGPT、Sora、DeepSeekなどに代表される生成的AIが急速に発展している。AIの力を借りて、テキスト、画像、音声、動画、仮想シーンなどを生成・合成し、徐々に重要な情報生産モードへと進化している。しかし、技術的敷居が下がるにつれ、偽情報、深層偽造、悪意ある出力などのセキュリティ問題が顕著になり、従来の動的、浸透的、グローバルな情報セキュリティリスクの性質を悪化させている。国連の2024年報告書「人類の利益のための人工知能の管理」では、「情報の完全性を損なうこと」が最大のリスクとして挙げられている。
生成合成内容标识已成为国际惯例。无论是已施行的欧盟《人工智能法》、正式出台的澳大利亚《安全和负责任的人工智能咨询：澳大利亚政府的临时回应》，还是正在制定中的美国《编辑和深度伪造内容来源保护完整性法案》《数字内容溯源标识法案》、英国《人工智能（监管）法案》等提案，均对水印、标识义务有要求。在我国，2023年1月施行的《互联网信息服务深度合成管理规定》提出针对文本、图像、音频、视频、虚拟场景等信息内容的标识要求，2023年8月施行的《生成式人工智能服务管理暂行办法》承袭这一规定。尽管各国对数字水印、数字指纹、加密元数据等标识技术的具体要求存在不同，对平台标识义务的强度设定也存在差异，但在从事后内容审核转向生成端风险内嵌控制、提高人工智能治理技术能力的理念是一致的。	合成コンテンツマーカーを生成することは国際的な慣行となっている。すでに実施されているEUの人工知能法、公式に発表されたオーストラリアの「安全で責任ある人工知能に関する協議：オーストラリア政府の中間回答」、策定中の米国の「コンパイルおよびディープフェイクコンテンツの整合性保護法」、「デジタルコンテンツのトレーサビリティマーキング法」、英国の「人工知能（規制）法」のいずれも、透かしやマーキングの義務付けを求めている。中国では、2023年1月に施行された「インターネット情報サービス深度合成に関する管理規定」において、文字、画像、音声、動画、仮想シーンなどの情報コンテンツの識別要件が定められ、この規定は2023年8月に施行された「生成的AIサービス管理弁法」にも引き継がれた。電子透かし、デジタル指紋、暗号化されたメタデータなどのマーキング技術の具体的な要求や、プラットフォームのマーキング義務の強度については国ごとに差異があるものの、コンテンツの事後審査から生成段階でのリスク内包型管理への転換、AIガバナンスの技術能力の向上という概念は一致している。
二、《标识办法》和《标识标准》的核心内容与治理逻辑	2. マーキング弁法とマーキング標準の中核的内容とガバナンスの論理
作为网络信息内容治理制度体系的有机组成部分，《标识办法》和《标识标准》是我国人工智能法治建设进程中的重要一步，既与《中华人民共和国网络安全法》一脉相承，又与《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》等有效衔接，构建的人工智能标识管理要求具有体系性、技术性、协同性、融贯性、全流程、精细化等特点，在明确治理标准和落地机制、促成治理实效方面，具备可操作性、落实基础和前景。	オンライン情報コンテンツガバナンスシステムの不可欠な一部として、「弁法」と「標準」は、中国のAI法体系の発展における重要な一歩である。これらは中華人民共和国サイバーセキュリティ法と一致しており、インターネット情報サービスにおけるアルゴリズム推薦に関する管理規定、インターネット情報サービスにおけるディープシンセシスに関する管理規定、生成的AIサービス管理に関する暫定措置と効果的に噛み合っている。確立されたAIのマーキング管理要件は、体系的、技術的、協調的、首尾一貫しており、全プロセス、精緻化などである。ガバナンスの標準と実施メカニズムを明確にし、ガバナンスの有効性を実現する上で、実行可能性、実施の基礎、見通しがある。
1.体系性、技术性：技治与法治互嵌运行，探索显隐双标识机制	1. システム的かつ技術的：技術的ガバナンスと法的ガバナンスが連携し、明示的および暗示的なマーカーの二重マーカーメカニズムを模索する
技治与法治彼此的内嵌、牵连、塑造在人工智能标识管理中尤为明显。《标识办法》援引的《互联网信息服务深度合成管理规定》涵盖人工智能输出的基本数据类型，并明确各类信息内容的可标识性。其中，显式标识能够对主体权利、义务进行明确提示；而元数据的隐式标识、基于技术中立性选择的内容隐式标识和加密，在不影响输出数据质量、用户感观的同时，其内容的完备性、唯一性要求，形式的强制性、规范性等共同构成结构化数据的一部分。《标识标准》中显式标识与隐式标识的有机结合、综合运用，使得通过技术检测机制识别人工智能生成合成内容成为可能，并在一定程度上具有确立主体行为性质的初步证据效力。	技術的ガバナンスと法的ガバナンスの相互埋め込み、相互絡み合い、相互形成は、AIマーカーの管理において特に顕著である。「インターネット情報サービス深度統合弁法」で引用されている「インターネット情報サービス深度統合弁法」では、人工知能が出力する基本データタイプをカバーし、各種情報コンテンツの可視化を明確にしている。そのうち、明示的表示は、主体の権利義務を明確に示すことができる。暗示的表示は、技術的中立性を考慮して選択されたメタデータの暗示的表示とコンテンツの暗号化であり、出力データの品質やユーザーの知覚に影響を与えることなく、コンテンツの完全性と独自性、および形式の強制性と規範性の要件を満たすことで、構造化データの一部を形成する。「標準」における明示的表示と暗示的表示の有機的な結合と総合的な利用により、技術的な検出メカニズムを通じて人工知能による生成・合成コンテンツを識別することが可能となり、ある程度、主体の行為の性質に関する一応の証拠を確立する効果がある。
2.协同性、融贯性：多部门监管统筹协调，多制度衔接资源整合	2. 整合性と一貫性：多部門による監督と調整、多システム統合とリソース共有
在人工智能标识监管执法中，厘清相关主管部门管理职责，明确标识违规行为法律责任，强化标识管理与算法备案、安全评估等制度的衔接和程序协调至关重要。《标识办法》规定，服务提供者在履行算法备案、安全评估等手续时，应当按照本办法提供生成合成内容标识相关材料，并加强标识信息共享。《标识办法》明确，违反本办法规定的，由网信、电信、公安、广播电视等有关主管部门依据职责，按照有关法律、行政法规、部门规章的规定予以处理。	人工知能による表示の監督と執行において、関連する主管部門の管理責任を明確にし、表示違反に対する法的責任を明確にし、アルゴリズムの届出やセキュリティ評価などの表示管理システムと手続きのインターフェースと調整を強化することが重要である。人工知能のラベル付けに関する弁法では、サービス提供者がアルゴリズムの届出やセキュリティ評価などの手続きを行う際には、本弁法に従って総合的なコンテンツのラベル付けを行うための関連資料を提供し、ラベル付け情報の共有を強化すべきであると規定している。人工知能のラベル付けに関する弁法では、本弁法に違反した場合は、中国サイバー空間管理局、工業情報化部、公安部、国家ラジオ・テレビ総局などの関連主管部門が職責に基づき、関連法律、行政法規、部門規則の規定に従って処理すべきであると明確に規定している。
3.全流程、精细化：产业生态链治理，科学设定上下游主体义务	3. プロセス全体、精緻化：産業エコチェーンのガバナンス、上流および下流の主体の義務を科学的に設定
《标识办法》和《标识标准》从网络信息服务提供者这一整体视角切入，进一步明晰适用标识义务的主体。通过深入审视各主体在人工智能生态体系中的角色、定位、行为模式以及影响程度，精准区分为生成合成内容服务提供者、内容传播服务提供者这两大类主体。同时，针对其他关键参与方，如互联网应用程序分发平台主体的责任范畴等，也进行明确规定，基本实现对生成合成内容上下游主体的全覆盖。将行为主体作为抓手进行识别和义务分配，法律的追责机制和后果承担方得以落实。此外，《标识办法》体现出在数据内容创作与打击滥用间寻求平衡的考量，也表明在立法思路上对当前蓬勃发展的人工智能产业整体上的鼓励倾向，可理解为早期确立的平台避风港原则在新时代背景下的创新性发展。	「弁法」と「標準」は、オンライン情報サービス提供者を全体として捉える視点から問題にアプローチし、さらにマーキング義務の対象となる事業体を明確化している。人工知能エコシステムにおける各事業体の役割、位置付け、行動パターン、影響度を徹底的に調査し、生成された合成コンテンツサービスを提供する事業体と、コンテンツ配信サービスを提供する事業体の2つの主要な事業体カテゴリーを明確に区別している。同時に、インターネットアプリケーションを配信する事業体など、その他の主要な参加者の責任も明確に定義し、合成コンテンツを生成する上流および下流の事業体を基本的に網羅している。行為者を識別し義務を割り当てることで、法的責任メカニズムと結果に対する責任を負う当事者を実行に移すことができる。また、「弁法」は、データ内容の創作と悪用への対処のバランスを取るという考慮を反映しており、現在活況を呈している人工知能産業を奨励するという立法思想の全体的な傾向も示している。これは、新時代の文脈におけるプラットフォームヘイブン原則の早期確立という革新的な発展と理解することができる。
三、《标识办法》和《标识标准》的制度意义	3. 弁法と標準の制度上の意義
从制度构建角度审视，《标识办法》和《标识标准》的制度化进程，本质是将人工智能标识产业实践经验升维为有约束力的治理范式。依托“立法确认-标准转化-产业传导”机制，我国构建起从技术共识迈向法律秩序的进阶之路。这一过程契合我国人工智能立法秉持的总体思路，即灵活运用既有规则，鼓励行业产业先行开展试点探索，同时针对痛点、难点问题精准发力，靶向施策，其产生的影响也将辐射至全球人工智能治理的理念层面以及标准实践领域。	制度的な観点から見ると、弁法と標準の制度化プロセスは、人工知能のラベリング業界における実務経験を、実質的に拘束力のあるガバナンス・パラダイムへと格上げするものである。「立法による確認、標準による転換、業界による伝達」というメカニズムに依拠することで、中国は技術的なコンセンサスから法的秩序への先進的な道筋を構築した。このプロセスは、中国の人工知能関連法の制定における一般的な考え方と一致しており、既存の規則を柔軟に活用し、業界にまず試験的な模索を奨励し、同時に、痛みの伴う問題や困難な問題に的を絞った対策を講じるというものである。その影響は、世界的な人工知能のガバナンスの概念レベルや標準的な実践分野にも波及するだろう。
从规范协同角度审视，人工智能标识治理体系呈现“规则+技术”双轮驱动特征，覆盖从内容生产到传播的全链条治理。《标识办法》侧重构建“责任链闭环”，通过主体资质审查、过程性义务设定等形成行为约束。《标识标准》聚焦“技术锚点”建设，针对关键技术要件确立具备可验证性的实施基准。我国《中华人民共和国标准化法》规定，对保障人身健康和生命财产安全、国家安全、生态环境安全以及满足经济社会管理基本需要的技术要求，应当制定强制性国家标准。将生成合成内容标识的最低要求上升为国家强制性标准，不仅是对《标识办法》的具体落地，更是表明在社会应用全过程中，人工智能标识及活动已与人身健康和生命财产安全、国家安全等紧密相连。	規制の連携という観点から見ると、人工知能識別ガバナンスシステムは、「規則＋技術」の二輪駆動を特徴とし、コンテンツの制作から配信までのガバナンスの全チェーンをカバーしている。弁法は、主体の適格性審査と手続き上の義務設定を通じて行動上の制約を形成する「責任の閉ループ」の構築に重点を置いている。標準は「技術的アンカー」の構築に重点を置き、主要な技術的要素の検証可能な実施基準を確立している。中華人民共和国標準化法は、個人の健康と安全、財産の安全、国家安全、生態環境の安全を保護し、経済および社会管理の基本的なニーズを満たす技術的要件については、強制的な国家標準を策定しなければならないと規定している。合成コンテンツ識別の最低要件を国家強制標準に引き上げることは、「弁法」の具体的な実施であるだけでなく、社会応用の全過程において、人工知能識別および活動が個人の健康と安全、国家安全保障などと密接に関連していることを示している。
从技术治理效能角度审视，人工智能标识制度并非颠覆人工智能既有的生产环境，而是致力于在现有生产基础之上，提升人类对相关内容的辨识度以及机械处理的准确性。《标识办法》和《标识标准》不仅及时响应了将人工智能的“海量、逼真”输出纳入监管视野的紧迫需求，标准化且有所区分的显式、隐式技术要求也为权利记载、算法备案、数据溯源、执法协助、安全评估等工作，提供具有普适性的、可量化度量与评价的操作方法及实用工具，同时通过建立“生成即标识”的技术规范推动产业内生合规，实现安全和发展之间的动态平衡。这一制度体系也切实回应在人机互动、人机融合的新一轮技术跨越式发展中，人类对真实与虚拟进行辨别，从而形成行为、决策依据的基本需求。	技術的ガバナンスの有効性の観点から、人工知能識別システムは確立された人工知能生産環境を覆すものではなく、既存の生産を基盤として、関連コンテンツに対する人間の認識と機械処理の精度の向上に努めている。「大量かつリアルな」人工知能のアウトプットを規制の焦点に置くという緊急の必要性に迅速に対応するだけでなく、標準化された明示的および暗示的な技術的要件を通じて、普遍的かつ定量的な運用評価と、権利記録、アルゴリズム登録、データ追跡、法執行支援、セキュリティ評価、その他のタスクのための実用的なツールを提供する。同時に、「生成を弁法とする」という技術仕様を確立し、業界の内部コンプライアンスを促進し、セキュリティと発展の間の動的なバランスを実現する。このシステムは、人間と機械の相互作用や人間と機械の統合が飛躍的に発展する中で、人間が現実と仮想を区別し、行動や意思決定の基礎を形成するという基本的ニーズにも効果的に対応している。
四、《标识办法》和《标识标准》的未来展望	4. 弁法と標準の将来展望
可以预见，我国人工智能安全执法将延续重点事项监管、促进产业有序发展的方向。伴随标识管理与算法备案、安全评估等机制逐步实现有机衔接，生成合成内容标识合规有望成为相关部门开展人工智能监督检查、专项行动的重点关注领域。在此进程中，一系列深层次问题亟待审慎思考与妥善解决——如何平衡发展与安全、创新与责任、公益与私益等多元目标的内在张力，怎样达成不同执法部门、不同层级、不同地域执法的一致性、协调性，又该通过何种路径提升执法的专业化、精细化、智慧化水平，从而培育出安全、开放、公平、符合国情的人工智能产业生态环境。这些都是标识管理中需要深入探究的重要课题。	中国の人工知能セキュリティ執行は、引き続き重点事項の監督に焦点を当て、業界の秩序ある発展を促進していくことが予想される。ロゴ管理、アルゴリズム登録、セキュリティ評価などのメカニズムが徐々に有機的に統合されるにつれ、総合的な内容のロゴへの準拠が、人工知能の監督・検査や特別作戦を実施する関連部門にとって、重点分野となることが予想される。このプロセスでは、一連の根深い問題について慎重に検討し、適切な解決策を見出す必要がある。例えば、開発とセキュリティ、イノベーションと責任、公共の福祉と私的利益など、複数の目標間の本質的な緊張関係をどのようにバランスを取るか、異なるレベルや地域における異なる法執行部門間の整合性と協調性をどのように実現するか、AI産業にとって安全でオープンかつ公平で国に適した生態環境を育成するために、法執行の専門性、洗練性、知性を向上させるためにどのような道筋をたどるべきか、などである。これらはすべて、ラベル管理において深く掘り下げて検討する必要がある重要なトピックである。
此外，“人的因素”应融入人工智能标识管理的全过程，着重提升公众对于信息内容真实性、来源可追溯性的批判性评估能力，无疑是重中之重。积极培育公众人工智能素养，确保人工智能技术成果普惠共享，这也是应有之义。	さらに、「人間要素」をAIアイデンティティ管理の全プロセスに統合し、情報コンテンツの真実性とソースの追跡可能性に関する一般市民のアセスメント能力の向上に重点を置くべきである。これは間違いなく最も重要なことである。また、一般市民のAIリテラシーを積極的に育成し、AIの技術的成果がすべての人々の利益のために共有されるようにすることも適切である。
（作者：金波，公安部第三研究所副所长）	（著者：金波、公安部第三研究所副所長）

・2025.03.14 专家解读｜构建人工智能安全治理新格局，开创生成合成内容规范发展新路径

专家解读｜构建人工智能安全治理新格局，开创生成合成内容规范发展新路径	専門家解説：AIの安全ガバナンスの新たなパターンを構築し、合成コンテンツの開発と規制の新たな道筋を切り開く
互联网、大数据与人工智能等信息技术的飞速发展，在过去半个世纪以来，已推动人类社会走向“人类-信息-物理”三元空间的智能融合，深度渗透至经济社会各领域。党的十八大以来，以习近平同志为核心的党中央高度重视我国新一代人工智能发展，提出了“人工智能是引领这一轮科技革命和产业变革的战略性技术，具有溢出带动性很强的‘头雁’效应”“加快发展新一代人工智能是事关我国能否抓住新一轮科技革命和产业变革机遇的战略问题”等一系列重要论述，深刻阐明了人工智能在国家发展战略中的核心地位和关键作用。近年来，ChatGPT、DeepSeek等生成式人工智能技术的颠覆性突破，正推动人类社会进入新阶段。回望人工智能发展历程，从未有过任何阶段，技术发展的触角从产业革新进一步延伸至人类价值重构，真正成为关系国家数字主权竞争的战略制高点，成为牵动国家兴衰与文明存续的核心变量。	インターネット、ビッグデータ、AIなどの情報技術の急速な発展は、過去半世紀にわたって人類社会を「人間-情報-物理」の3つの空間におけるインテリジェントな統合へと導き、経済と社会のあらゆる側面に深く浸透している。中国共産党第18回全国代表大会以来、習近平同志を核心とする党中央は、中国における新世代人工知能の発展を非常に重視し、「人工知能は、この1回の技術革命と産業転換をリードする戦略技術であり、波及と牽引の『雁行先導』効果が強い。」「新世代人工知能の発展を加速することは、中国が新1回の技術革命と産業転換のチャンスをつかむことができるか否かにかかわる戦略的問題である。」など一連の重要な議論を打ち出している。これらの議論は、人工知能が国家発展戦略における中心的位置と重要な役割を深く明らかにした。近年、ChatGPTやDeepSeekといった生成的AI技術における破壊的なブレークスルーが、人類社会を新たな段階へと導いている。AIの発展を振り返ると、技術発展の及ぶ範囲が産業革新から人類の価値観の再構築へとさらに拡大した段階はこれまで一度もなかった。AIはまさに、国家のデジタル主権をめぐる競争における戦略的優位点となり、国家の盛衰や文明の存続を左右する中核的な変数となっている。
然而，人工智能生成合成内容日益逼真，也催生虚假消息传播、身份信息冒充、恶意内容生成等新型安全风险，并削弱着公众对网络传播内容的信任根基。面对人工智能安全治理这一世界性难题，国家网信办适时出台《人工智能生成合成内容标识办法》（以下简称《标识办法》），在全球率先提出保障人工智能安全可信的“中国方案”，具有里程碑式的重要意义。《标识办法》作为互联网信息服务领域贯彻落实《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》的重要举措，配套强制性国家标准《网络安全技术人工智能生成合成内容标识方法》（以下简称《标识标准》）同时发布，为人工智能发展奠定了重要基础，成为保障人工智能时代网络生态安全有序的关键手段。《标识办法》和《标识标准》的出台，共同聚焦人工智能生成合成内容服务安全风险，健全了人工智能生成合成内容标识规范，为人类驾驭智能文明提供了至关重要的制度性公共产品，为推动人工智能发展贡献了中国力量。	しかし、人工知能によって生成されるますます現実味を帯びた合成コンテンツは、誤情報の拡散、身元情報の偽装、悪意のあるコンテンツ生成などの新たなセキュリティリスクを生み出し、オンラインコンテンツに対する人々の信頼を損なっている。人工知能のセキュリティガバナンスというグローバルな課題に直面し、中国国家サイバー空間管理局（CAC）は、人工知能のセキュリティと信頼性を確保するための「中国式ソリューション」を率先して提案し、画期的な意義を持つ「人工知能生成合成コンテンツ識別弁法」（以下、「識別弁法」）をタイムリーに発表した。弁法は、インターネット情報サービス分野における「ディープ・シンセティック・インターネット情報サービス管理規定」および「生成的AIサービス管理暫定規定」を実施するための重要な措置である。同時に発表された強制的な国家標準「网络安全技术人工智能生成合成内容标识方法」（以下、「標準」）を伴い、人工知能の発展に重要な基礎を築いた。人工知能時代のネットワーク生態系の安全かつ秩序ある発展を確保するための重要な手段となっている。「弁法」と「標準」の公布により、AI生成合成コンテンツサービスにおけるリスクが注目され、AI生成合成コンテンツの識別基準が改善され、人類がインテリジェント文明をうまく利用するための重要な制度上の公共財が提供され、AIの発展を推進する上で中国の強みが発揮された。
一、引领全球人工智能安全发展方向，树立生成合成式内容治理典范	1. AIの安全性に関する世界的な開発方向性を主導し、生成合成コンテンツのガバナンスの模範となる
当前，信息网络空间成为连接人类社会与物理世界的桥梁，在全球科技创新加速演进的过程中，人工智能已成为决定大国竞争力和未来影响力的核心领域之一。在此背景下，人工智能的规则制定权逐渐成为大国博弈的新焦点，其重要性不仅体现在技术层面，更延伸至国家安全、产业发展和国际秩序塑造等多个维度。	現在、情報ネットワーク空間は、人間社会と物理的世界を結ぶ架け橋となっている。世界的な科学技術イノベーションが加速する過程において、人工知能は大国の競争力と将来的な影響力を決定するコア領域の一つとなっている。こうした背景から、人工知能に関する規則を策定する権利は、次第に大国間の新たな争点となりつつある。その重要性は技術レベルに留まらず、国家安全保障、産業発展、国際秩序の形成など、さまざまな次元にまで及んでいる。
在此背景下，欧盟、美国、加拿大等国家出台了人工智能相关政策法规，条款涉及内容标识，但尚未发布专项法规明确标识形式和技术指标。我国恰逢其时地出台了《标识办法》和《标识标准》，全方位、多层次地规范人工智能内容标识要求和方法，这一举措不仅体现了我国在人工智能治理领域的前瞻性和责任感，也为全球范围内的人工智能安全治理树立了新的标杆，为维护全球数字生态安全与可持续健康发展贡献了中国智慧。	この状況下で、欧州連合（EU）、米国、カナダなどの国は、人工知能関連の政策や規制を導入し、内容識別に関する内容を取り扱っているが、形式や技術指標を明確に識別する具体的な規制は発行されていない。中国は、人工知能の内容識別の要求や方法を総合的かつ多角的に規範化する「弁法」と「標準」を適時に打ち出した。これは、人工知能のガバナンス分野における中国の進歩的かつ責任ある姿勢を反映しているだけでなく、グローバルな人工知能のセキュリティガバナンスの新たなベンチマークを設定し、グローバルなデジタル生態系のセキュリティ維持と持続可能かつ健全な発展に中国の知恵を貢献するものである。
我国正处于从网络大国向网络强国迈进的关键阶段，《标识办法》和《标识标准》的制定与实施，对于构建我国自主可控的人工智能治理体系具有历史性的意义。一方面，标志着我国在人工智能领域实现了从被动防御到主动规制的战略转变，为保障国家信息安全和社会稳定提供了坚实的制度支撑；另一方面，通过完善的治理体系，可最大限度地发挥人工智能的社会价值，维护网络空间清朗环境，最终实现科技服务于人的根本目标。	中国は現在、インターネット大国から強国へと発展する重要な段階にある。「弁法」と「標準」の策定と実施は、中国における自律的かつ制御可能な人工知能のガバナンスシステムの構築にとって歴史的な意義を持つ。一方では、人工知能の分野における受動的な防御から能動的な規制への戦略的転換を意味し、国家の情報セキュリティと社会の安定を確保するための強固な制度的基盤を提供する。他方では、健全なガバナンスシステムを通じて人工知能の社会的価値を最大限に引き出し、サイバー空間における明確で明るい環境を維持し、科学技術が人々に奉仕するという根本的な目標を最終的に達成することができる。
二、构建人工智能科学技术规范发展生态，推动智能科技产业持续创新	2. 人工知能科学技術の規範的な発展のための生態環境を構築し、インテリジェント技術産業の持続的なイノベーションを促進する
《标识办法》和《标识标准》的发布，标志着我国在生成式人工智能领域迈出了构建安全可信生态的关键一步，对构建规范健全的技术生态和健康可持续的智能科技产业产生了深远影响，其关键作用主要体现在以下三个方面。	「弁法」と「標準」の発表は、中国における生成的AI分野における安全で信頼性の高い生態環境の構築における重要な一歩であり、規範的で健全な技術生態系と、健全で持続可能なインテリジェント技術産業の構築に多大な影響をもたらした。その主な役割は主に以下の3つの側面に反映されている。
首先，为人工智能技术领域规范化发展奠定了坚实基础。《标识办法》和《标识标准》不仅为行业提供了明确的技术指导原则，极大地提升了技术的透明度和可追溯性，为生成式人工智能技术应用划定了红线，也为有效溯源和遏制虚假信息传播提供了技术抓手，维护了网络生态安全。依靠技术手段实现有效治理不仅关乎社会秩序的稳定，更成为了保障经济持续健康发展的关键所在。	第一に、人工知能技術分野の規範的な発展のための堅固な基盤を築いた。「弁法」と「標準」は、業界に明確な技術的指針を提供し、技術の透明性と追跡可能性を大幅に向上させただけでなく、生成的AI技術の応用におけるレッドラインを設定し、技術的な出発点を提供することで、偽情報の発信源を効果的に追跡し、その拡散を抑制し、オンライン生態系の安全を確保している。技術的手段に頼って効果的なガバナンスを実現することは、社会秩序の安定だけでなく、経済の持続的かつ健全な発展を確保する上でも重要である。
其次，为构建更完善的生成式人工智能产业链指明了正确方向。《标识办法》和《标识标准》通过细化生成合成内容管理规则，推动了人工智能产业标准化进程，构建了一个更加公平、透明且高效的市场环境，不仅增强了市场主体参与产业的积极性，助力传统产业转型升级，还促进了产业链上下游的协同创新，为产业规模化发展提供了内生动力，从而助力国产生成式人工智能生态的健康发展。	第二に、より完全な生成的AI産業チェーンの構築に向けた道筋を示している。生成合成コンテンツの管理規則を明確化することで、「弁法」と「標準」はAI産業の標準化を促進し、より公正で透明性が高く効率的な市場環境を作り出す。これにより、市場主体の産業への参加意欲が高まるだけでなく、伝統産業の転換とアップグレードも促進される。また、産業チェーンの上流と下流の協調的なイノベーションを促進し、産業の大規模な発展のための内発的動力を提供することで、国家の生成的AIエコシステムの健全な発展を促進する。
第三，为“人工智能+”赋能新质生产力发展提供了创新土壤。《标识办法》和《标识标准》有助于全社会建立对生成式人工智能的信任，进一步促进“人工智能+”与各行业的深度融合，催生一系列新业态和新模式，创造新的经济增长点，也有助于我国在全球范围内抢占人工智能发展的制高点，推动形成以技术创新为核心驱动力的新质生产力，从而在新一轮科技革命和产业变革中占据主动地位。	第三に、「AI+」の革新的な環境を提供し、新たな生産力の成長を促進する。「弁法」と「標準」は、社会全体が生成的AIに対する信頼を確立し、「AI+」と各産業の深い統合をさらに促進し、一連の新たなビジネス形態とモデルを生み出し、新たな経済成長の原動力を創出するのに役立つ。これにより、中国は世界規模でのAI開発における主導権を握ることができる。技術革新を中核的な原動力として新たな生産力の形成を促進し、新たな科学技術革命と産業転換を主導する。
三、以内容标识工作为基石助力人类文明稳步跃迁，谱写人工智能治理新纪元	3. コンテンツのラベリングを礎石として、人類文明の着実な飛躍とAIガバナンスの新時代の到来を促す
《标识办法》和《标识标准》的落地离不开全社会的凝心聚力和协同配合。地方主管部门、高校、科研机构、企业可共同参与，充分利用新媒体、新渠道面向全社会进行大力宣贯，形成标识工作先行的多点协同内容治理网络，推动标识工作行稳致远。此外，有必要建立全国性的内容标识公共服务平台，以可视可交互的实际操练形式，配合口头宣贯，促进公众和产业深入理解标识工作。以《标识办法》制度设计为纲领、《标识标准》技术实施规范为指导，浙江大学配合中国电子技术标准化研究院研发的服务平台——人工智能生成合成内容标识服务平台，日前已对外发布使用。通过大力宣贯内容标识政策标准与大力推广公共服务平台相结合的方式，建立全社会共同认知，确保内容标识政策标准的顺利推行、有效落实、持续夯实。	ラベリング弁法および標準の実施には、社会全体の努力と協力が必要である。地方自治体、大学、研究機関、企業は、新メディアやチャネルを最大限に活用し、ラベリング弁法を社会全体に積極的に周知し、ラベリング作業を優先する多角的協調型コンテンツガバナンスネットワークを形成し、ラベリング弁法の着実かつ長期的な実施を促進することができる。さらに、コンテンツ識別のための国家公共サービスプラットフォームを構築する必要がある。これにより、視覚的かつインタラクティブな実践トレーニングを通じて、国民および業界におけるコンテンツ識別の理解を深めることができる。「コンテンツ識別弁法」の制度設計を指針とし、「標準」の技術的実施仕様をガイドとして、浙江大学が中国電子標準化研究所と共同開発した人工知能による総合コンテンツ識別サービスプラットフォームが、一般公開されている。コンテンツ識別標準を積極的に宣伝し、公共サービスプラットフォームを積極的に推進することで、コンテンツ識別標準の円滑な実施、効果的な実施、継続的な強化を確保するための社会全体の共通認識が確立されている。
在“人类-信息-物理”三元空间融合、万物互联的智能时代，各类软硬件基础设施已经与经济社会发展的各领域全过程密不可分。作为新一代技术燃料，生成式人工智能驱动基础设施进行更深层次的智能化变革转换，促使信息技术从普通工具属性向“思维伙伴”型高智能化工具属性进化，为当下时代带来颠覆性的发展机遇，在未来势必成为我们必备的技能，与我们相伴相生。这要求我们在使用人工智能时切实正确理解并管理人工智能。人工智能安全框架体系以可控管理的人工智能应用为目标，是我们在智能时代必须完成的历史命题。它不是限制发展的枷锁，而是文明进步的助推器。只有在智能时代保持主导地位，才能实现三元空间中万物和谐共生、人类文明稳步跃迁的美好愿景。	「人・情報・物理」の3つの空間が統合され、あらゆるものが相互接続されるインテリジェントな時代において、あらゆる種類のソフトウェアおよびハードウェアインフラは、すでに経済および社会発展のあらゆる領域およびプロセスと切り離せないものとなっている。新世代の技術的推進力として、生成的AIはインフラストラクチャのより深いインテリジェントな変革を推進し、情報技術を一般的なツールの属性から、高度にインテリジェントな「思考パートナー」型のツールへと進化させる。これは、現在の時代に破壊的な開発機会をもたらし、将来にわたって私たちとともに成長していくために必要なスキルとなるだろう。そのためには、人工知能を使用する際には、人工知能を真に正しく理解し、管理することが求められる。人工知能セキュリティフレームワークシステムは、制御可能で管理された人工知能アプリケーションを実現することを目的としており、インテリジェントな時代に私たちが達成しなければならない歴史的な命題である。それは発展を制限する足かせではなく、文明の進歩を後押しするものだ。知能化時代において主導的地位を維持することによってのみ、三元空間における万物の調和共存と人類文明の着実な飛躍という美しいビジョンを実現できる。
面对有限预知的未来，立足于人类与人工智能共生的发展蓝图，标识工作将成为理解与管理人工智能的开路先锋，为构筑人工智能安全框架体系提供宝贵的实践指南。	予測可能性が限られている未来に直面し、人類と人工知能の共生という発展の青写真を基に、ラベリング作業は人工知能の理解と管理における先駆者となり、人工知能のセキュリティフレームワークの構築に貴重な実践的指針を提供する。
（作者：陈纯，中国工程院院士、浙江大学教授）	（著者：陳春、中国工程院院士、浙江大学教授）

・2025.03.15 专家解读｜技管结合引导构建人工智能安全治理新路径

专家解读｜技管结合引导构建人工智能安全治理新路径	専門家の解説｜技術と管理の融合がAIセキュリティガバナンスの新路線を導く
随着生成式人工智能技术在内容生产领域的广泛应用，既带来了效率革命，也引发了虚假信息传播等安全隐患。为应对这一挑战，国家互联网信息办公室联合多部门近期正式发布《人工智能生成合成内容标识办法》（以下简称《标识办法》）及配套强制性国家标准《网络安全技术人工智能生成合成内容标识方法》（以下简称《标识标准》），开创了技术标准与管理制度配合实施的新型治理模式，标志着我国人工智能安全治理迈入“技管双强”的新阶段。	コンテンツ制作の分野で生成的AI技術が広く応用されるようになり、効率革命をもたらしたが、同時にデマの拡散などのセキュリティリスクも引き起こしている。この課題に対処するため、国家サイバースペース管理局は複数の部門と連携し、このほど「人工知能生成合成コンテンツ識別弁法」（以下、「識別弁法」）と、それを補完する強制国家標準「ネットワークセキュリティ技術－人工知能生成合成コンテンツ識別方法」（以下、「識別標準」）を正式に発表した。これにより、技術標準と管理制度を併用する新たなガバナンスモデルが構築され、中国の人工知能セキュリティガバナンスが「技術力と管理能力がともに高い」という新たな段階に入ったことを示す。
此次《标识办法》《标识标准》的协同发布，破解了以往治理中管理规范与技术标准衔接不畅的问题，形成了“制度牵引技术落地，技术固化制度要求”的治理闭环。作为我国人工智能领域首部“办法+强标”组合拳，其创新性体现在三个维度：管理维度明确生成、传播、分发全链条主体责任；监管维度建立审核、监测、追责的闭环机制；技术维度规范显隐标识体系并预留创新空间。这种三位一体的治理架构，既通过管理机制明确责任边界，又依托监管举措筑牢安全防线，更以技术标准固化治理要求，为人工智能安全治理提供了清晰的实施路径。	今回の「弁法」と「標準」の同時発表は、これまでの管理規範と技術標準の収束性の低さを解決し、「システム牽引技術着陸、技術固めるシステム要求」という管理の閉ループを形成した。これは、中国の人工知能分野における「弁法＋強力な標準」の初の組み合わせであり、その革新性は3つの次元に反映されている。すなわち、管理次元では、生産、普及、流通の全チェーンにおける主な責任が明確に生み出され、監督次元では、審査、監視、説明責任のクローズドループメカニズムが確立され、技術次元では、可視および不可視の識別システムが標準化され、イノベーションの余地が確保されている。この3つの要素を組み合わせたガバナンス構造は、管理メカニズムを通じて責任の境界を明確にするだけでなく、規制措置に依存してセキュリティ防衛ラインを強化し、さらに技術標準によってガバナンス要件を強化し、人工知能の安全なガバナンスのための明確な実施パスを提供している。
一、强标支撑：夯实标识管理，激发协同创新	1. 強力な標準サポート：識別管理の強化と協同イノベーションの促進
《标识办法》《标识标准》的同步发布，标志着我国人工智能安全治理从“分散管理”向“系统协同”的跨越，为人工智能安全治理带来全新思路。二者通过管理要求与技术标准的深度融合，为内容标识的规范化实施提供了双重保障。	「弁法」と「標準」の同時発表は、中国におけるAI安全の管理において「分散管理」から「体系的な協同」への飛躍を意味し、AI安全の管理に新たなアプローチをもたらす。管理要件と技術標準の深い統合は、コンテンツ識別の標準化された実施に二重の保証を提供する。
（一）双管齐下：管理与技术紧密契合	（1）2つのアプローチ：管理と技術の緊密な連携
在人工智能驱动内容生态变革的过程中，《标识办法》与配套《标识标准》紧密结合，为内容标识管理勾勒出清晰路径。《标识办法》从宏观管理角度，明确了生成合成服务提供者、内容传播服务提供者等多元主体在内容标识中的主要责任，构建起内容标识管理的基本框架。例如，其规定生成合成服务提供者需精准识别所生成内容的属性并添加标识，内容传播服务提供者要确保标识在传播过程中的完整性，为后续技术实施指引方向。	人工知能がコンテンツの生態系に変化をもたらす過程において、「弁法」とそれを支える「標準」は密接に統合され、コンテンツのマーキング管理の明確な道筋を示している。マクロ的な管理の観点から、「弁法」はコンテンツのマーキングにおいて、生成・合成サービスプロバイダー、コンテンツ配信サービスプロバイダーなど、複数の主体の主な責任を明確に定義し、コンテンツのマーキング管理の基本的な枠組みを確立している。例えば、コンテンツ生成・合成サービスを提供する事業者は生成したコンテンツの属性を正確に識別し、ラベルを付与しなければならないこと、また、コンテンツ発信サービスを提供する事業者は発信過程においてラベルの完全性を確保しなければならないことなどが規定されており、その後の技術的実装の方向性を示している。
《标识标准》从技术层面，针对文本内容，详细规定了文字形式的显式标识应包含“人工智能”或“AI”以及“生成”“合成”等要素，且在字型、颜色及位置上严格规定，确保用户能迅速识别；对于音频、视频等多媒体内容，分别设计了独特的显式标识方式，如音频的语音或节奏标识、视频画面特定位置的文字提示等，在不干扰用户体验的前提下实现有效标识。在隐式标识方面，构建文件元数据隐式标识的结构，涵盖生成合成标签、服务提供者信息等要素，并对其编码规则和存储方式进行规范，从技术底层保障内容的可追溯性与安全性，实现管理要求与技术手段的无缝对接。	「標準」では、テキストコンテンツに関する詳細な技術仕様が規定されている。明示的なテキストベースの表示には、「人工知能」や「AI」、「生成」や「構成」などの要素を含めるべきであると規定されており、また、ユーザーが素早く識別できるよう、これらの要素はフォント、色、位置に関して厳密に指定されるべきであると規定されている。音声や動画などのマルチメディアコンテンツについては、ユーザー体験を妨げることなく効果的なマーキングを実現するため、音声には音声やリズムによるマーキング、動画フレームの特定の位置にはテキストによるプロンプト表示など、独自の明示的マーキング方法が設計されている。暗示的表示に関しては、生成された合成タグやサービスプロバイダー情報などの要素をカバーする文書メタデータの暗示的表示構造が構築され、そのコーディング規則と保存方法が標準化されている。これにより、コンテンツの基礎技術からの追跡可能性と安全性が確保され、管理要件と技術的手段のシームレスな統合が実現される。
（二）管理协同：全方位深度融合	（2）管理協力：全方位の徹底的な統合
管理协同在内容标识管理中处于重要位置，是保障治理体系有效运行的关键，《标识标准》《标识办法》从多方面实现了紧密协同。一是责任主体的统一。二者明确生成合成服务提供者、内容传播服务提供者、应用分发平台等主体的标识义务，避免责任模糊导致的监管漏洞。二是全流程的覆盖。《标识办法》提出从内容生成、传播到分发的全流程管理，而《标识标准》通过元数据隐式标识技术，确保内容在流转过程中始终可追溯。三是与现有制度衔接。《标识标准》要求服务提供者在算法备案和安全评估时提交标识相关材料，与《生成式人工智能服务管理暂行办法》等法规形成制度闭环。	管理協力はコンテンツ識別管理において重要な役割を果たし、ガバナンスシステムの有効な運用を確保する鍵となる。標準と弁法は多くの面で緊密な協力関係にある。まず、責任主体の統一がある。両者は、総合サービスプロバイダー、コンテンツ配信サービスプロバイダー、アプリケーション配信プラットフォームなどの主体の義務を明確にし、責任の曖昧さによる規制の抜け穴を回避する。次に、全プロセスをカバーしている点である。「識別弁法」は、コンテンツの生成から配信までの全プロセス管理を提案しており、「識別標準」は、暗示的表示技術により、流通プロセスにおけるコンテンツの追跡可能性を常に確保している。第三に、既存のシステムと連携している。「識別標準」は、サービスプロバイダーがアルゴリズムの申請とセキュリティ評価を行う際に、識別関連資料を提出することを義務づけており、「生成的AIサービス管理に関する暫定弁法」などの規制とシステムループを形成している。
（三）推动创新：激发行业内生动力	（3）イノベーションの促進：業界内の内発的動力の刺激
《标识标准》推动行业自律与技术创新，为行业持续发展注入强大动力。《标识标准》不仅通过强制性方式规范行业行为，还通过“柔性治理”理念激发企业主动性。例如，《标识标准》允许服务提供者根据业务场景选择显式标识的具体形式，并鼓励探索新型隐式标识技术。这种“底线约束+创新激励”的模式，既保障了治理刚性，又为技术升级预留空间，推动行业从被动合规转向主动创新。	標準は、業界の自主規制と技術革新を促進し、業界の持続可能な発展に強力な原動力を与える。標準は、業界の行動を強制的に規制するだけでなく、「柔軟なガバナンス」の概念を通じて企業のイニシアティブを刺激する。例えば、標準は、サービスプロバイダーがビジネスシナリオに応じて明示的表示の特定の形式を選択することを許可し、新しい暗示的表示技術の探求を奨励する。この「ボトムライン制約＋イノベーションインセンティブ」のモデルは、ガバナンスの硬直性を確保するだけでなく、技術アップグレードのための余地を確保し、業界が受動的なコンプライアンスから積極的なイノベーションへと移行することを促進する。
二、强标决心：强化法治威慑，严守安全防线	2. 標準を強制する強い決意：法による規範の抑止効果を強化し、安全ラインを厳格に維持
《强制性国家标准管理办法》明确指出，强制性标准是“保障国家安全、人身健康和生命财产安全”的技术法规。《标识标准》作为我国人工智能安全领域首部强制性国家标准，以法律效力强化治理刚性，体现了国家对人工智能安全隐患零容忍的态度。	強制国家標準弁法では、強制標準とは「国家安全、個人の健康と安全、財産の安全を確保する」技術的規制であると明確に規定されている。人工知能セキュリティ分野における中国初の強制国家標準である「標識標準」は、法的な効力によりガバナンスの硬直性を強化し、人工知能のセキュリティリスクに対する国のゼロ容認の姿勢を反映している。
（一）效力升级：强化法治保障力度	(1) 効果の向上：法による規範の保護を強化
法律效力的提升是《标识标准》的重要特征，与此前的推荐性标准不同，《标识标准》的强制性属性意味着相关服务提供者必须遵守标识要求。同时，通过强制规定标识技术的最低要求，如元数据字段格式，统一行业技术门槛，防止劣币驱逐良币，维护市场的公平公正。	強化された法的効果は、標準の重要な特徴である。以前の推奨標準とは異なり、標準の義務的性質は、関連サービスプロバイダーがマーキング要件を遵守しなければならないことを意味する。同時に、メタデータフィールドの形式など、マーキング技術の最低要件を義務付けることで、業界の技術的基準を統一し、悪貨が良貨を駆逐することを防ぎ、公正かつ公平な市場を維持する。
（二）监管闭环：全链条严密管控	(2) 規制のクローズドループ：チェーン全体の厳格な管理
《标识标准》构建的全方位监管体系是保障人工智能安全的重要防线，通过多环节协同实现全链条闭环管理。一是在事前审核环节，互联网应用程序分发平台需在上架审核时核验标识相关材料，从源头阻断未标识内容的传播，将风险遏制在萌芽状态。二是在事中监测环节，依靠隐式标识的元数据标签，监管部门可实时追踪内容传播路径，快速定位违规主体，及时发现并处理问题，确保监管的及时有效性。三是事后追责环节，对恶意篡改标识或伪造内容的行为绝不姑息，可依据有关法规进行处罚。	標準」によって確立された包括的な監督管理システムは、人工知能の安全を確保するための重要な防衛ラインであり、複数のリンクの連携により、チェーン全体のクローズドループ管理が実現される。まず、事前審査の段階では、インターネットアプリケーション配信プラットフォームが棚卸しの審査中に識別関連資料を検証し、無標識コンテンツの拡散をソースからブロックし、リスクを未然に防ぐ必要がある。第二に、監視プロセスにおいて、暗示的表示のメタデータタグに頼り、監督管理当局はコンテンツの伝播経路をリアルタイムで追跡し、問題のある主体を迅速に特定し、問題を迅速に識別して処理することで、監督の適時性と有効性を確保することができる。第三に、事後責任プロセスにおいて、表示の悪意ある改ざんやコンテンツの偽造は許されず、関連規定に従って罰則を科すことができる。
（三）依法实施：发挥强制效力	(3) 法律に基づく実施：強制力の行使
《中华人民共和国标准化法》规定不符合强制性标准的产品、服务，不得生产、销售、进口或者提供。同时，规定了生产、销售、进口产品或者提供服务不符合强制性标准的，依法承担民事责任。这种“法律+标准”的组合拳，体现了内容标识治理的强制效力。	中華人民共和国標準化法では、強制標準に適合しない製品やサービスは生産、販売、輸入、提供してはならないと規定している。また、強制標準に適合しない製品を生産、販売、輸入したり、サービスを提供したりした者は、法律に基づき民事責任を負わなければならないとも規定している。この「法律＋標準」の組み合わせは、コンテンツ識別管理の強制力を反映している。
三、技术规范：构建标识体系，推动安全升级	3. 技術仕様：安全向上を促す識別システムの構築
《标识标准》从显式标识的用户感知和隐式标识的技术追溯两个维度，构建了多层次、立体化的内容标识技术体系，既保障了用户知情权，又为监管溯源提供了支撑。	標準は、明示的表示に対するユーザーの認知と、暗示的表示の技術的追跡可能性という2つの次元から、多層的かつ3次元的なコンテンツ表示技術システムを構築している。これにより、ユーザーの知る権利が保護されるだけでなく、規制の追跡可能性も確保される。
（一）显式标识：优化用户体验平衡	(1) 明示的表示：ユーザー体験の最適化とバランス
作为内容标识体系的前端防线，显式标识通过直观可见的信息呈现，既保障用户知情权，又维护了内容可信度。	コンテンツ表示システムの最前線として、明示的表示は、直感的かつ視覚的な情報の提示を通じて、ユーザーの知る権利を保護し、コンテンツの信頼性を維持する。
一是要素统一性要求，显式标识必须包含“人工智能”“生成”“合成”等核心要素，确保用户一眼识别内容属性，减少信息误解与混淆。二是形态多样性要求，针对不同内容模态，《标识标准》设计了文本角标、音频节奏标识、交互界面水印等。例如，视频内容可在画面角落添加“AI生成”提示，音频内容可通过特定节奏提示用户，满足不同场景下的标识需求。三是干扰最小化考虑，标识位置和形式兼顾了提示效果与用户体验，例如允许在背景添加半透明水印，而非强制覆盖主要内容区域，在保障用户获取信息的同时，不影响其正常使用内容。	第一に、要素の統一性の要件とは、明示的表示には「人工知能」、「生成」、「合成」などの主要な要素を含める必要があることを意味し、これによりユーザーは一目でコンテンツの属性を識別でき、誤解や混乱を減らすことができる。第二に、形態的多様性の要件とは、「標準」がテキストコーナーマーク、オーディオリズムマーク、インタラクティブインターフェース透かしなどを異なるコンテンツ形態向けに設計することを意味する。例えば、ビデオコンテンツは「AI生成」というプロンプトを画面の隅に追加でき、オーディオコンテンツは特定のリズムでユーザーにプロンプトを表示し、異なるシナリオでのマーキングニーズに対応できる。第三に、干渉を最小限に抑えるための考慮事項：表示の位置や形式は、表示効果とユーザー体験の両方を考慮して決定される。例えば、コンテンツの主要エリアを無理に覆い隠すのではなく、半透明の透かしを背景に追加することは許容される。これにより、ユーザーはコンテンツを通常通り利用しながら情報を取得できる。
（二）隐式标识：强化数据安全标准	(2) 暗示的表示：データセキュリティ標準の強化
隐式标识的规范重点在于强化元数据管理与安全防护，为内容追溯与安全保障奠定基础。一是在元数据字段规范上，隐式标识需包含生成合成标签要素、生成合成服务提供者要素、内容制作编号要素等五个核心要素，确保跨平台数据互通，实现信息的高效传递与共享。二是在安全防护预留方面，《标识标准》在元数据中预留两个字段，分别用于生成合成服务提供者和内容传播服务提供者自主开展安全防护，保护其内容和标识的完整性，抵御潜在的安全威胁。三是在技术兼容性上，鼓励添加数字水印作为补充标识，兼容现有技术生态。	暗示的表示の仕様は、メタデータ管理とセキュリティ保護の強化に重点を置いており、コンテンツの追跡可能性とセキュリティ保証の基盤を築く。まず、メタデータフィールドの仕様に関して、暗示的表示には、合成ラベル生成要素、合成サービスプロバイダー生成要素、コンテンツ制作番号生成要素という5つのコア要素が含まれており、クロスプラットフォームのデータ相互運用性を確保し、効率的な情報伝達と共有を実現する。第二に、セキュリティ保護の観点では、標準はメタデータに2つのフィールドを確保し、合成サービスプロバイダーとコンテンツ配信サービスプロバイダーが独自にセキュリティ保護を行い、コンテンツと識別の完全性を保護し、潜在的なセキュリティ上の脅威から防御できるようにしている。第三に、技術的な互換性の観点では、既存の技術エコシステムとの互換性を確保するために、電子透かしを補足的な識別情報として追加することが推奨されている。
（三）技术引领：推动创新应用升级	(3) 技術的リーダーシップ：革新的なアプリケーションのアップグレードを促進
《标识标准》在技术领域不仅起到规范作用，更通过积极引导推动标识技术从合规迈向创新，提升行业技术水平。它不仅规范了技术底线，还通过附录中的示例（如在交互场景界面适当位置嵌入显示标识），引导企业探索更友好的标识形式。这种“标准引领+实践示范”的模式，激发企业创新思维，将标识技术从被动合规工具转变为提升用户信任的核心竞争力，助力行业技术升级与发展。　　综上所述，《标识办法》《标识标准》的发布，标志着我国在人工智能安全治理领域迈出了重要的一步。通过“技管结合”的人工智能安全治理的新范式，实现了管理要求与技术标准的有机结合，从明确各主体责任、强化监管力度到规范标识要求，全方位构建起严密的内容标识治理体系，有效应对生成式人工智能带来的安全挑战，保障网络空间内容生态的稳定发展。	標準は技術分野における規制的な役割を果たすだけでなく、識別技術を積極的に指導し、推進することで、コンプライアンスからイノベーションへと移行させ、業界の技術レベルを向上させる。技術的な最低ラインを規制するだけでなく、付録の例（例えば、インタラクティブなシーンインターフェースの適切な位置に表示識別を埋め込むなど）を通じて、企業がよりユーザーフレンドリーな識別形式を模索するよう導く。この「標準による指導＋実例による実証」というモデルは、企業の革新的な思考を刺激し、識別技術を受動的なコンプライアンスツールからユーザーの信頼を高めるコアコンピタンスへと転換させ、業界技術のアップグレードと発展を促進する。　　まとめると、「弁法」と「標準」の公布は、中国がAI安全ガバナンスの分野において重要な一歩を踏み出したことを意味する。「技術と管理の融合」によるAI安全ガバナンスの新たなパラダイムは、管理要求と技術標準の有機的な統合を実現した。各主体の責任の明確化、監督の強化、ラベル付け要件の標準化など、あらゆる側面において厳格な内容のラベル付けガバナンスシステムが確立され、生成的AIがもたらすセキュリティ上の課題に効果的に対応し、サイバー空間におけるコンテンツ生態系の安定した発展を確保する。
（作者：范科峰，中国电子技术标准化研究院副院长）	（著者：中国電子標準化研究院副院長範克峰）

・2025.03.15 专家解读｜深化生成合成内容标识治理，完善人工智能技术安全体系

专家解读｜深化生成合成内容标识治理，完善人工智能技术安全体系	専門家解説：生成型合成コンテンツのラベル付けの管理を強化し、人工知能技術の安全性を向上させる
人工智能技术掀起的浪潮方兴未艾，新技术给人类带来了前所未有的生产力和体验的提升。我国重点关注人工智能领域，迄今已备案生成式人工智能产品300余款，生成合成服务3000余个，有力推动了人工智能行业的快速发展。与此同时，人工智能技术带来的虚假信息、技术滥用风险逐渐显露，给网络生态安全带来了新的风险挑战，各国陆续推出或完善法案加以应对。《人工智能生成合成内容标识办法》（以下简称《标识办法》）及其配套国家强制性标准《网络安全技术人工智能生成合成内容标识方法》（以下简称《标识标准》），是对我国人工智能算法治理体系的进一步完善。《标识办法》是对《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》的继承和延伸，从人工智能技术特性出发，在生成合成标识这一人工智能安全治理关键上提出了针对性的管理思路，将成为我国建立健全人工智能新技术安全体系的重要推动力。《标识标准》作为《标识办法》的补充，明确了生成合成内容标识应当遵循的技术方法，为产业落地提供了参考依据。	人工知能技術が引き起こした波は始まったばかりであり、新技術は人類に前例のない生産性と体験の向上をもたらした。中国は人工知能分野に重点的に取り組み、これまでに生成的AI製品300件以上、生成的合成サービス3000件以上を申請しており、人工知能産業の急速な発展を効果的に促進している。同時に、人工知能技術がもたらす偽情報のリスクや技術悪用のリスクが徐々に顕在化し、オンライン生態の安全に新たなリスクと課題をもたらしている。各国は相次いで関連法規を制定または改善し、それらに対処している。「人工知能生成合成コンテンツ識別弁法」（以下、「識別弁法」という）と、それを補完する国家強制標準「ネットワークセキュリティ技術－人工知能生成合成コンテンツ識別方法」（以下、「識別標準」という）は、中国の人工知能アルゴリズムのガバナンスシステムのさらなる改善である。この「マーク付け弁法」は、「インターネット情報サービスにおけるアルゴリズム推奨に関する管理規定」、「インターネット情報サービスにおけるディープ・シンセシスに関する管理規定」、および「生成的AIサービス管理に関する暫定措置」の継続と拡張である。人工知能の技術的特性から出発し、生成およびシンセシス・マーク付けの観点から、人工知能の安全なガバナンスの鍵となる部分について、的を絞った管理の考え方を打ち出している。これは、中国が新しい人工知能技術の安全なシステムを確立し改善するための重要な推進力となる。「マーク付け弁法」の補足として、「マーク付け標準」は、生成およびシンセシス・コンテンツのマーク付けが遵守すべき技術的方法を明確にし、業界が実施するための参照基準を提供している。
一、衔接技术安全法规，扩展治理覆盖范畴	1. 技術的安全規制のリンクと管理範囲の拡大
《互联网信息服务算法推荐管理规定》等规章对生成合成类算法的标识做出了明确要求。《互联网信息服务算法推荐管理规定》中要求“发现未作显著标识的算法生成合成信息的，应当作出显著标识后，方可继续传输”。《互联网信息服务深度合成管理规定》在此基础上，进一步对标识的种类进行细分，要求“可能导致公众混淆或者误认的，应当在生成或者编辑的信息内容的合理位置、区域进行显著标识”，同时要求“深度合成服务提供者对使用其服务生成或者编辑的信息内容，应当采取技术措施添加不影响用户使用的标识”。《生成式人工智能服务管理暂行办法》中要求“提供者应当按照《互联网信息服务深度合成管理规定》对图片、视频等生成内容进行标识”。	インターネット情報サービス推奨アルゴリズム管理規定』などの規定では、生成合成アルゴリズムの識別を明確に要求している。インターネット情報サービス推奨アルゴリズム管理規定』では、「明確なマークのないアルゴリズムによる生成合成情報が発見された場合、送信を継続する前に明確なマークを付けるべきである」と規定している。インターネット情報サービスの詳細な統合に関する管理規定は、この基準に基づいて識別方法をさらに細分化し、「一般の人々を混乱させたり誤認させたりする可能性のある情報は、生成または編集された情報コンテンツの適切な位置または領域に目立つように表示しなければならない」と規定している。また、「詳細な統合サービスを提供する事業者は、そのサービスを利用して生成または編集された情報コンテンツに、ユーザー体験に影響を与えない識別情報を追加する技術的措置を講じなければならない」とも規定している。生成的AIサービス管理弁法は、「事業者は、インターネット情報サービスの詳細な統合に関する管理規定に従って、画像や動画などの生成コンテンツにマークを付ける」ことを義務付けている。
《标识办法》重点关注人工智能生成合成内容传播环节的安全治理，有效衔接已有的备案评估、风险防范等管理措施，逐步完善面向人工智能全生命流程管理的新技术安全体系：一是明确了文本、图像、音频、视频等多模态的标识要求，将安全治理深入到内容模态层面；二是创新性地将传播平台纳入监管范畴，实现从生成到传播的全链条治理；三是明确了隐式标识的技术实现方式，通过元数据标识为安全追溯提供了可靠保障。	「表示弁法」は、AI生成合成コンテンツの伝播に関するセキュリティガバナンスに焦点を当て、記録のファイリングやアセスメント、リスク防止などの既存の管理措置と効果的に結びつけ、AIのライフサイクル全体を管理する新しい技術的セキュリティシステムを徐々に改善している。まず、テキスト、画像、音声、動画などの複数のモダリティに対する表示要件を明確にし、セキュリティガバナンスをコンテンツのモダリティレベルにまで拡大している。次に、革新的にコミュニケーションプラットフォームを監督の範囲に含め、生成から伝播までの完全なチェーンガバナンスを実現している。そして、暗示的表示の技術的実装を明確にしている。メタデータ識別による安全性の追跡可能性に信頼性の高い保証を提供する。
二、适应生成合成特性，提炼务实科学方法	2. 生成と合成の特性に適応し、実用的かつ科学的な方法を洗練
人工智能生成合成技术发展已覆盖各个模态，生成合成内容渗透至互联网领域信息传播的各个环节，如何在当前互联网络环境下精准高效地对生成合成内容进行标识成为关键核心问题。要解决这一问题，一方面需要管理措施及方法落实得当，有效督促人工智能生成合成服务提供者及传播平台落实企业责任；另一方面，人工智能生成合成内容标识方法要符合技术发展规律，体现技术管理手段的科学性、可用性及高效性。	人工知能による生成と合成技術の発展は、さまざまな形態をカバーしており、生成および合成されたコンテンツは、インターネット上の情報発信のあらゆる側面に浸透している。現在のインターネット環境において、生成および合成されたコンテンツを正確かつ効率的にラベル付けする方法が、重要な課題となっている。この問題を解決するには、一方では、人工知能生成合成サービスプロバイダーやコミュニケーションプラットフォームが企業責任を果たすよう、適切な管理措置や方法を導入する必要がある。他方では、人工知能生成合成コンテンツのラベル付け方法は、技術発展の法則に準拠し、技術管理方法の科学的、実用的、効率的な性質を反映しなければならない。
为促进《标识办法》的实施落地，《标识标准》中对照《标识办法》内容，对标识的方式方法进行了技术性阐述，对重点环节及关键要素进行了精细提炼，以科学性、技术性视角对管理要求进行更为落地的细化：一是《标识标准》中明确了每个模态生成合成内容显式标识的位置、样式、区域和大小的要求，同时结合各模态的特点，如针对视频模态，要求“在视频起始画面和视频播放周边的适当位置”，针对音频模态，要求“应采用语音标识或音频节奏标识”，在企业责任落实的同时减少对于用户浏览相关内容的干扰；二是明确了元数据隐式标识的字段要素，在尽量不影响元数据处理和传输的前提下，嵌入必要字段，记录生成合成内容的关键信息和关键环节，为互联网生成合成内容的可追溯性提供保障；三是提供了丰富的标识示例，给出了多个模态规范性标识方法，便于人工智能生成合成服务提供者及传播平台技术人员进行标识的技术实践落地，充分体现了《标识标准》的科学性。在《标识标准》的指引下，积极探索切实可行的标识实施路径，逐步构建支撑生成合成内容有序传播与安全治理的技术能力，不断丰富人工智能技术管理体系。	ラベル付け措置の実施を促進するため、「標準」はラベル付け方法とアプローチについて技術的な説明を行い、主要なリンクと要素を精査し、科学的かつ科学的かつ技術的な観点から、管理要件はより現実的な方法で明確化されている。まず、「標準」では、統合コンテンツの明示的表示を生成するための各モーダルの位置、スタイル、面積、サイズの要件が明確に規定されている。同時に、各モーダルの特性も考慮されている。例えば、動画モーダルでは、「動画の開始画面の適切な位置および動画再生の周囲」に表示することが求められ、音声モーダルでは、「音声マークまたは音声リズムマークを使用する」ことが求められる。第一に、企業の責任を果たしながら、関連コンテンツを閲覧するユーザーへの干渉を低減すること、第二に、メタデータの暗示的表示のためのフィールド要素を明確にし、メタデータの処理と伝送にできるだけ影響を与えないように、合成コンテンツの生成に必要な主要情報と主要リンクを記録するための必要なフィールドを埋め込み、インターネットで生成された合成コンテンツの追跡可能性を保証すること、第三に、豊富なマーキング例を提供し、複数のモダリティに対して規範的なマーキング方法を提示することで、人工知能による合成サービスを提供するプロバイダーや通信プラットフォームの技術担当者がマーキングを技術的に実装しやすくし、標準の科学的性質を十分に反映することである。標準」の指導の下、我々は積極的に実用的な標識の実施方法を模索し、生成された合成コンテンツの秩序ある普及と安全なガバナンスを支える技術能力を徐々に構築し、人工知能技術の管理システムを絶えず充実させていく。
三、体现柔性管理思路，筑牢安全应用基础	3. 柔軟な管理アプローチを反映し、安全な応用のための強固な基盤を築く
《标识办法》的制定和出台，是我国推进人工智能领域安全治理、促进产业规范健康发展、引导技术向善的重要举措。《标识办法》充分彰显了监管理念的与时俱进，从传统的严格监管转向更加灵活的引导与规范，既尊重了技术创新的内在规律，又体现对潜在风险的有效防范。通过清晰、透明的内容标识，用户能够清楚识别人工智能生成的内容，一方面提高了信息透明度，增强了用户的知情权和选择权，另一方面也有助于培养公众对人工智能技术的理性认知，防止因误解或过度依赖人工智能而产生的负面影响。对于人工智能生成合成服务提供者及传播平台，内容标识制度既是责任，更是机遇，在鼓励企业追求技术能力提升的同时，推动企业提升对产品社会影响的关注度，主动承担起人工智能负责任发展的重任，这不仅有利于赢得用户信任，也能推动整个行业向更加规范、健康的方向发展。从长远来看，标识管理为构建人工智能治理体系提供了重要抓手，指引了未来人工智能安全治理的思路，也为后续更精细化、智能化的管理奠定了基础，有助于在保护创新活力与维护公共利益之间找到平衡点。	「標識弁法」の制定と公布は、中国が人工知能分野における安全なガバナンスを推進し、産業規範の健全な発展を促進し、技術を善導するための重要な措置である。「識別弁法」は、時代に即した規制の概念を十分に示しており、従来の厳格な監督からより柔軟な指導・規制へと転換するもので、技術革新の固有の法則を尊重するだけでなく、潜在的なリスクの有効な予防にもつながる。明確かつ透明性の高いコンテンツのラベル付けにより、ユーザーは人工知能によって生成されたコンテンツを明確に識別でき、これにより、情報の透明性が向上し、ユーザーの知る権利と選択の権利が強化される。また、人工知能技術に対する国民の理性的な理解を促し、人工知能に対する誤解や過信による悪影響を防ぐことにもつながる。 AIが生成した総合サービスやコミュニケーションプラットフォームを提供する側にとって、コンテンツ識別システムは責任であると同時にチャンスでもある。企業の技術能力の向上を促す一方で、自社製品が社会に与える影響への注意を促し、責任あるAI開発という重要な任務を積極的に担うよう促す。これにより、ユーザーの信頼を獲得できるだけでなく、業界全体の健全な発展を促すことができる。長期的には、ラベリング管理はAIガバナンスシステムの構築における重要な出発点となり、AIの安全ガバナンスに関する今後の思考を導き、将来的により洗練されたインテリジェントな管理の基礎を築く。イノベーションの活力を保護し、公益を守るというバランスを見出すのに役立つ。
《标识办法》为国际人工智能治理贡献了中国方案，展现了我国在全球人工智能发展中的责任与担当。《标识办法》既是对当前人工智能快速发展趋势的积极回应，也是对未来人工智能应用场景的安全保障。它通过构建信任、明确责任、保护权益等多重机制，体现了我国“以人为本、智能向善”的积极理念，为打造可审核、可监督、可追溯、可信赖的人工智能技术铺设了一条安全、可信、可持续的道路，助力技术创新与社会价值和谐共生，促进人工智能技术和数字经济的蓬勃发展。	ラベリング弁法は、国際的なAIガバナンスに対する中国のソリューションを提供し、グローバルなAIの発展における中国の責任とコミットメントを示す。ラベリング弁法は、現在のAIの急速な発展傾向に対する積極的な対応であると同時に、将来のAIの応用シナリオの安全性を確保するものである。信頼、明確な責任、権利と利益の保護など、複数のメカニズムを構築することで、「人間中心、インテリジェント、博愛」という中国の積極的な理念を体現している。監査可能、監視可能、追跡可能で信頼性の高い人工知能技術の創造に向け、安全で信頼性が高く持続可能な道筋を切り開き、技術革新と社会価値の調和のとれた共存を促進し、人工知能技術とデジタル経済の力強い発展を推進する。
（作者：张震，国家计算机网络应急技术处理协调中心正高级工程师）	（著者：国家コンピュータネットワーク緊急対応技術チーム/調整センター上級エンジニア、張振）

・2025.03.15 一图读懂｜强制性国家标准《网络安全技术人工智能生成合成内容标识方法》

一图读懂｜强制性国家标准《网络安全技术人工智能生成合成内容标识方法》

1枚の図で理解する|国家強制標準「ネットワークセキュリティ技術：人工知能生成合成コンテンツのマーキング方法」

標準

・2025.03.14 网络安全技术人工智能生成合成内容标识方法

网络安全技术人工智能生成合成内容标识方法	ネットワークセキュリティ技術 - 人工知能生成の合成コンテンツ識別方法
国家标准《网络安全技术人工智能生成合成内容标识方法》由252（中央网络安全和信息化委员会办公室）归口，委托TC260（全国网络安全标准化技术委员会）执行。	国家標準「ネットワークセキュリティ技術 - 人工知能生成の合成コンテンツ識別方法」は、252（中央サイバーセキュリティ委員会事務局）が管理し、TC260（ネットワークセキュリティに関する国家技術委員会260）に実施を委託している。
主要起草单位中国电子技术标准化研究院、浙江大学、国家计算机网络应急技术处理协调中心、中国科学院软件研究所、中央网信办（国家网信办）数据与技术保障中心、中国科学院计算技术研究所、行吟信息科技（上海）有限公司、北京快手科技有限公司、阿里云计算有限公司、北京智谱华章科技有限公司、厦门美图网科技有限公司、科大讯飞股份有限公司、上海稀宇科技有限公司、上海喜马拉雅科技有限公司、上海宽娱数码科技有限公司、广州市动悦信息技术有限公司、北京智者天下科技有限公司、杭州中科睿鉴科技有限公司、国投智能（厦门）信息股份有限公司。	主な起草機関：中国電子標準化研究所、浙江大学、中国国家コンピュータネットワーク緊急対応技術チーム/調整センター、中国科学院ソフトウェア研究所、中国国家サイバー空間管理局データ・技術サポートセンター、中国科学院計算技術研究所、興銀信息技術（上海）有限公司、北京快手科技有限公司、阿里巴巴雲計算有限公司、北京智脈樺創科技有限公司、アモイ美図網絡科技有限公司、科大訊飛股份有限公司、上海西域科技有限公司、上海喜馬拉雅科技有限公司、上海冠宇デジタル科技有限公司、広州東曄信息科技有限公司、北京智哲天下科技有限公司、杭州ZK研究技術有限公司、中国国新国際集団情報（アモイ）有限公司
GB 45438-2025 网络安全技术人工智能生成合成内容标识方法	GB 45438-2025 ネットワークセキュリティ技術：人工知能生成の合成コンテンツ識別方法

標準は近日中に公表されるようです。

。。

ガイド

・2025.03.14 关于发布《网络安全标准实践指南——人工智能生成合成内容标识服务提供者编码规则》的通知

关于发布《网络安全标准实践指南——人工智能生成合成内容标识服务提供者编码规则》的通知	「サイバーセキュリティ標準実施ガイド - 人工知能生成合成コンテンツ識別サービスプロバイダーのコーディング規則」のリリースに関する通知
网安秘字〔2025〕29号	サイバーセキュリティ秘密の言葉[2025]第29号
各有关单位：	関連部門：
根据《人工智能生成合成内容标识办法》和强制性国家标准《网络安全技术人工智能生成合成内容标识方法》的要求，为指导人工智能生成合成内容服务提供者和网络信息内容传播服务提供者开展人工智能生成合成内容的文件元数据隐式标识工作，秘书处组织编制了《网络安全标准实践指南——人工智能生成合成内容标识服务提供者编码规则》。	「人工知能生成合成コンテンツ識別弁法」および強制性国家標準「ネットワークセキュリティ技術－人工知能生成合成コンテンツ識別方法」に基づき、人工知能生成合成コンテンツサービス提供者およびオンライン情報コンテンツ発信サービス提供者が、人工知能生成合成コンテンツの文書メタデータの暗示的表示を行う際の指針として、事務局は「ネットワークセキュリティ標準実施ガイド－人工知能生成合成コンテンツ識別サービス提供者向けコーディング規則」をまとめた。
本《实践指南》给出了人工智能生成合成内容服务提供者和网络信息内容传播服务提供者的编码结构和赋码规则，可为人工智能生成合成内容服务提供者和网络信息内容传播服务提供者开展人工智能生成合成内容的文件元数据隐式标识活动提供参考。	本実践ガイドは、AI生成の合成コンテンツおよびオンライン情報コンテンツ配信サービス事業者向けのコーディング構造およびコーディング規則を規定しており、AI生成の合成コンテンツのファイルメタデータの暗示的表示に関する活動において、AI生成の合成コンテンツおよびオンライン情報コンテンツ配信サービス事業者が参考にすることができる。
附件：	添付資料：
《网络安全标准实践指南——人工智能生成合成内容标识服务提供者编码规则》.pdf	「サイバーセキュリティ標準実践ガイド - AI生成の合成コンテンツ識別サービス事業者のためのコーディング規則」.pdf

・[DOCX][PDF] 仮訳

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

ドラフト...

・2024.09.23 中国「人工知能生成の合成コンテンツ識別に関する措置(意見募集稿)」と国家標準「人工知能が生成したコンテンツのラベル付け方法」に対する意見募集

・2023.09.11 中国生成的AIについての専門家の解釈 (2023.08.29)

・2023.07.14 中国国家サイバースペース管理局他生成的AIサービス管理暫定弁法施行は2023.08.15

・2023.04.12 中国意見募集生成的人工知能サービス管理弁法

・2023.01.18 中国サイバー法制白書 2022 (2023.01.12)

・2022.12.23 中国インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国インターネット情報サービス深層合成管理規定（深層合成で作ったものにはマークを...）(2022.11.25)

・2022.01.30 中国国家サイバースペース管理局意見募集インターネット情報サービスの深層合成の管理に関する規定（意見募集稿）

2025.03.16 06:22 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

米国ロシアとイスラエルの二重国籍者、LockBitランサムウェアの共謀に関与したとして米国に引き渡される (2025.03.13)

こんにちは、丸山満彦です。

米国の司法省が、ロシアとイスラエルの二重国籍者が、LockBitランサムウェア共謀容疑により米国に引き渡されたと発表していますね。。。

⚫︎ U.S. Department of Justice - Attorney's office - District of New Jersey

・2025.03.13 Dual Russian And Israeli National Extradited To The United States For His Role In The LockBit Ransomware Conspiracy

Dual Russian And Israeli National Extradited To The United States For His Role In The LockBit Ransomware Conspiracy	ロシアとイスラエルの二重国籍者、LockBitランサムウェアの共謀に関与したとして米国に送還
NEWARK, N.J. – A dual Russian and Israeli national was extradited to the United States on charges that he was a developer of the LockBit ransomware group, United States Attorney John Giordano announced.	ニュージャージー州ニューアーク - ロシアとイスラエルの二重国籍者が、LockBitランサムウェア・グループの開発者であったという容疑で米国に送還されたと、ジョン・ジョルダーノ米国検事が発表した。
In August, Rostislav Panev, 51, was arrested in Israel pursuant to a U.S. provisional arrest request. Today, Panev was extradited to the United States and had an initial appearance before U.S. Magistrate Judge André M. Espinosa where Panev was detained pending trial.	8月、ロスティスラフ・パネフ（51）は、米国の仮逮捕要請に従ってイスラエルで逮捕された。本日、パネブは米国に送還され、アンドレ・M・エスピノーサ連邦判事の面前で初公判が開かれ、パネブは裁判が開かれるまで拘留された。
“Rostislav Panev’s extradition to the District of New Jersey makes it clear: if you are a member of the LockBit ransomware conspiracy, the United States will find you and bring you to justice,” said United States Attorney John Giordano. “Even as the means and methods of cybercriminals become more sophisticated, my Office and our FBI, Criminal Division, and international law enforcement partners are more committed than ever to prosecuting these criminals.”	ジョン・ジョルダーノ米国弁護士は次のように述べた。「ロスティスラフ・パネフのニュージャージー州への身柄引き渡しは、次のことを明確にしている：もしあなたがロックビット・ランサムウェアの陰謀のメンバーであれば、米国はあなたを見つけ出し、裁判にかける。サイバー犯罪者の手段や手法がより洗練されたとしても、私のオフィスとFBI、ディビジョン、そして国際的な法執行機関のパートナーは、これらの犯罪者を起訴することにこれまで以上に力を注いでいる。」
"No one is safe from ransomware attacks, from individuals to institutions. Along with our international partners, the FBI continues to leave no stone unturned when it comes to following LockBit's trail of destruction. We will continue to work tirelessly to prevent actors, such as Panev, from hacking their way to financial gain," said Acting Special Agent in Charge of the FBI Newark Division Terence G. Reilly.	FBIニューアーク支部のテレンス・G・ライリー特別捜査官代理は次の様に述べた。「個人から機構に至るまで、ランサムウェア攻撃から安全な人はいない。私たちの国際的なパートナーとともに、FBIはロックビットの破壊の痕跡を追うことに関して、手をこまねいているわけではない。我々は、パネブのような行為者が金銭的利益を得るためにハッキングするのを阻止するため、不断の努力を続ける」。
According to the superseding complaint, documents filed in this and related cases, and statements made in court, Panev acted as a developer of the LockBit ransomware group from its inception in or around 2019 through at least February 2024. During that time, Panev and his LockBit coconspirators grew LockBit into what was, at times, the most active and destructive ransomware group in the world. The LockBit group attacked more than 2,500 victims in at least 120 countries around the world, including 1,800 in the United States. Their victims ranged from individuals and small businesses to multinational corporations, including hospitals, schools, nonprofit organizations, critical infrastructure, and government and law-enforcement agencies. LockBit’s members extracted at least $500 million in ransom payments from their victims and caused billions of dollars in other losses, including lost revenue and costs from incident response and recovery.	上申書、この事件と関連する事件で提出された文書、および法廷での供述によると、パネブは2019年ごろから少なくとも2024年2月まで、ランサムウェア「LockBit」グループの開発者として活動していた。その間、パネブとLockBitの共謀者たちはLockBitを、時に世界で最も活発で破壊的なランサムウェア・グループへと成長させた。LockBitグループは、米国の1,800人を含む少なくとも世界120カ国で2,500人以上の被害者を攻撃した。その被害者は、病院、学校、非営利組織、重要インフラ、政府・法執行機関など、個人や中小企業から多国籍企業まで多岐にわたった。ロックビットのメンバーは、被害者から少なくとも5億ドルの身代金支払いを抽出し、収益の損失やインシデント対応と復旧にかかるコストなど、その他に数十億ドルの損失をもたらした。
LockBit’s members were comprised of “developers,” like Panev, who designed the LockBit malware code and maintained the infrastructure on which LockBit operated. LockBit’s other members, called “affiliates,” carried out LockBit attacks and extorted ransom payments from LockBit victims. LockBit’s developers and affiliates would then split the ransom payments which were extorted from victims.	LockBitのメンバーは、パネブのような「開発者」で構成されており、LockBitのマルウェア・コードを設計し、LockBitが稼働するインフラを維持していた。LockBitの他のメンバーは「アフィリエイト」と呼ばれ、LockBitの攻撃を実行し、LockBitの被害者から身代金の支払いを強要した。そしてロックビットの開発者と関連会社は、被害者から強要された身代金の支払いを山分けしていた。
As alleged in the superseding complaint, at the time of Panev’s arrest in Israel in August, law enforcement discovered on Panev’s computer administrator credentials for an online repository that was hosted on the dark web and stored source code for multiple versions of the LockBit builder, which allowed LockBit’s affiliates to generate custom builds of the LockBit ransomware malware for particular victims. On that repository, law enforcement also discovered source code for LockBit’s StealBit tool, which helped LockBit affiliates exfiltrate data stolen through LockBit attacks. Law enforcement also discovered access credentials for the LockBit control panel, an online dashboard maintained by LockBit developers for LockBit’s affiliates and hosted by those developers on the dark web.	上申書で主張されているように、8月にイスラエルでパネフが逮捕された時点で、法執行機関はパネフのコンピューターから、ダークウェブ上でホストされ、LockBitビルダーの複数のバージョンのソースコードを保存しているオンラインリポジトリの管理者認証情報を発見した。法執行機関は、そのリポジトリで、LockBitの関連会社がLockBitの攻撃で盗んだデータを流出させるのに役立つ、LockBitのStealBitツールのソースコードも発見した。法執行機関はまた、LockBitの開発者がLockBitの関連会社のために管理し、それらの開発者がダークウェブ上でホストしているオンラインダッシュボードであるLockBitコントロールパネルのアクセス管理情報も発見した。
The superseding complaint also alleges that Panev exchanged direct messages through a cybercriminal forum with LockBit’s primary administrator, who, in an indictment unsealed in the District of New Jersey in May, the United States alleged to be Dimitry Yuryevich Khoroshev (Дмитрий Юрьевич Хорошев), also known as LockBitSupp, LockBit, and putinkrab. In those messages, Panev and the LockBit primary administrator discussed work that needed to be done on the LockBit builder and control panel.	パネブは、5月にニュージャージー州で公開された起訴状で米国がLockBitSupp、LockBit、putinkrabとしても知られるDimitry Yuryevich Khoroshev（Дмитрий Юрьевич Хорошев）と主張したLockBitの主要管理者と、サイバー犯罪フォーラムを通じて直接メッセージを交換したとも主張している。これらのメッセージの中で、パネブとロックビットの主要管理者は、ロックビット・ビルダーとコントロール・パネルで行う必要がある作業について話し合った。
Court documents further indicate that, between June 2022 and February 2024, the primary LockBit administrator made a series of transfers of cryptocurrency, laundered through one or more illicit cryptocurrency mixing services, of approximately $10,000 per month to a cryptocurrency wallet owned by Panev. Those transfers amounted to over $230,000 during that period.	さらに法廷文書によると、2022年6月から2024年2月にかけて、LockBitの主要管理者は、1つまたは複数の不正な暗号通貨混合サービスを通じて洗浄された暗号通貨を、パネブが所有する暗号通貨ウォレットに毎月約1万ドルずつ送金していた。これらの送金は、その期間中に23万ドル以上に達した。
In interviews with Israeli authorities following his arrest in August, Panev admitted to having performed coding, development, and consulting work for the LockBit group and to having received regular payments in cryptocurrency for that work, consistent with the transfers identified by U.S. authorities. Among the work that Panev admitted to having completed for the LockBit group was the development of code to disable antivirus software; to deploy malware to multiple computers connected to a victim network; and to print the LockBit ransom note to all printers connected to a victim network. Panev also admitted to having written and maintained LockBit malware code and to having provided technical guidance to the LockBit group.	8月に逮捕された後のイスラエル当局との面談で、パネブはロックビット・グループのためにコーディング、開発、コンサルティング業務を行っていたこと、その業務に対して暗号通貨で定期的に支払いを受けていたことを認めており、米国当局が特定した送金と一致している。パネブがロックビット・グループのために完了させたと認めた仕事の中には、アンチウイルス・ソフトウェアを無効にするコードの開発、被害者ネットワークに接続された複数のコンピューターへのマルウェア展開、被害者ネットワークに接続されたすべてのプリンターへのロックビット身代金請求書の印刷などがあった。パネブはまた、LockBitマルウェアのコードを書き、保守していたこと、LockBitグループに技術指導を行なっていたことも認めた。
The LockBit Investigation	ロックビットの捜査
The superseding complaint against, and apprehension of, Panev follows a disruption of LockBit ransomware in February 2024 by the U.K. National Crime Agency (NCA)’s Cyber Division, which worked in cooperation with the Justice Department, FBI, and other international law enforcement partners. As previously announced by the Department, authorities disrupted LockBit by seizing numerous public-facing websites used by LockBit to connect to the organization’s infrastructure and by seizing control of servers used by LockBit administrators, thereby disrupting the ability of LockBit actors to attack and encrypt networks and extort victims by threatening to publish stolen data. That disruption succeeded in greatly diminishing LockBit’s reputation and its ability to attack further victims, as alleged by documents filed in this case.	パネフに対する上申書と逮捕は、司法省、FBI、その他の国際的な法執行パートナーと協力した英国国家犯罪局（NCA）のサイバー部門による2024年2月のロックビット（LockBit）ランサムウェアの混乱に続くものである。同省が以前に発表したように、認可者は、LockBitが組織のインフラに接続するために使用していた多数の一般向けウェブサイトを押収し、LockBitの管理者が使用していたサーバーを掌握することで、LockBitの行為者がネットワークを攻撃して暗号化し、盗んだデータを公開すると脅して被害者を恐喝する能力を混乱させた。この混乱は、本訴訟で提出された文書が主張しているように、ロックビットの評判とさらなる被害者を攻撃する能力を大幅に低下させることに成功した。
The superseding complaint against Panev also follows charges brought in the District of New Jersey against other LockBit members, including its alleged primary creator, developer, and administrator, Dmitry Yuryevich Khoroshev. An indictment against Khoroshev unsealed in May alleges that Khoroshev began developing LockBit as early as September 2019, continued acting as the group’s administrator through 2024, a role in which Khoroshev recruited new affiliate members, spoke for the group publicly under the alias “LockBitSupp,” and developed and maintained the infrastructure used by affiliates to deploy LockBit attacks. Khoroshev is currently the subject of a reward of up to $10 million through the U.S. Department of State’s Transnational Organized Crime (TOC) Rewards Program, with information accepted through the FBI tip website at www.tips.fbi.gov/.	パネフに対する上申書はまた、ニュージャージー州地区で、主要な作成者、開発者、管理者とされるドミトリー・ユリエヴィチ・ホロシェフを含む、ロックビットの他のメンバーに対して起こされた告発に続くものだ。5月に公開されたホロシェフに対する起訴状は、ホロシェフが2019年9月の時点でLockBitの開発を始め、2024年までグループの管理者として活動を続け、ホロシェフが新しいアフィリエイトメンバーを募集し、「LockBitSupp」という偽名でグループのために公に発言し、アフィリエイトがLockBit攻撃を展開するために使用するインフラを開発・維持したと主張している。ホロシェフは現在、米国務省の国際組織犯罪（TOC）報奨プログラムを通じて最高1000万ドルの報奨金の対象となっており、FBIの情報提供ウェブサイト（www.tips.fbi.gov/）で情報を受け付けている。
A total of seven LockBit members have now been charged in the District of New Jersey. Beyond Panev and Khoroshev, other previously charged LockBit defendants include:	ニュージャージー州では現在、合計7人のロックビット・メンバーが起訴されている。パネフとホロシェフ以外にも、これまでに起訴されたロックビットの被告は以下の通りである：
・In July, two LockBit affiliate members, Mikhail Vasiliev, also known as Ghostrider, Free, Digitalocean90, Digitalocean99, Digitalwaters99, and Newwave110, and Ruslan Astamirov, also known as BETTERPAY, offtitan, and Eastfarmer, pleaded guilty in the District of New Jersey for their participation in the LockBit ransomware group and admitted deploying multiple LockBit attacks against U.S. and foreign victims. Vasiliev and Astamirov are presently in custody awaiting sentencing.	・7月には、ロックビットのアフィリエイト・メンバー2人、Ghostrider、Free、Digitalocean90、Digitalocean99、Digitalwaters99、Newwave110としても知られるミハイル・ワシーリエフ、BETTERPAY、offtitan、Eastfarmerとしても知られるルスラン・アスタミロフが、ロックビット・ランサムウェア・グループへの参加についてニュージャージー地区で有罪を認め、米国および外国の被害者に対して複数のロックビット攻撃を展開したことを認めた。ワシーリエフとアスタミロフは現在拘留中で、判決を待っている。
・In February 2024, in parallel with the disruption operation described above, an indictment was unsealed in the District of New Jersey charging Russian nationals Artur Sungatov and Ivan Kondratyev, also known as Bassterlord, with deploying LockBit against numerous victims throughout the United States, including businesses nationwide in the manufacturing and other industries, as well as victims around the world in the semiconductor and other industries. Sungatov and Kondratyev remain at large.	・2024年2月、上記の破壊工作と並行して、Bassterlordとしても知られるロシア人のArtur SungatovとIvan Kondratyevを、製造業やその他の業界の米国中の企業、および半導体やその他の業界の世界中の被害者を含む、米国中の多数の被害者に対してLockBitを展開したとして起訴する起訴状がニュージャージー州で封切られた。スンガトフとコンドラチエフは現在も逃走中である。
・In May 2023, two indictments were unsealed in Washington, D.C., and the District of New Jersey charging Mikhail Matveev, also known as Wazawaka, m1x, Boriselcin, and Uhodiransomwar, with using different ransomware variants, including LockBit, to attack numerous victims throughout the United States, including the Washington, D.C., Metropolitan Police Department. Matveev remains at large and is currently the subject of a reward of up to $10 million through the U.S. Department of State’s TOC Rewards Program, with information accepted through the FBI tip website at www.tips.fbi.gov/.	・2023年5月、ワシントンD.C.とニュージャージー地区で、Wazawaka、m1x、Boriselcin、Uhodiransomwarとしても知られるミハイル・マトヴェエフを、LockBitを含むさまざまなランサムウェアの亜種を使用して、ワシントンD.C.メトロポリタン警察を含む米国中の多数の被害者を攻撃した罪で起訴する2件の起訴状が公開された。マトヴェーエフ容疑者は現在も逃走中で、米国務省のTOC報奨プログラムを通じて最高1,000万ドルの報奨金の対象となっており、FBIの情報提供ウェブサイト（www.tips.fbi.gov/）で情報を受け付けている。
The U.S. Department of State’s Transnational Organized Crime (TOC) Rewards Program is offering rewards of:	米国務省の国際組織犯罪（TOC）報奨プログラムは、以下の報奨金を提供している：
・Up to $10 million for information leading to the arrest and/or conviction in any country of Khoroshev;	・ホロシェフの逮捕および／または有罪判決につながる情報に対しては最高1,000万ドル、
・Up to $10 million for information leading to the arrest and/or conviction of Matveev;	・マトヴェエフの逮捕および／または有罪判決につながる情報に対しては最高1,000万ドル、
・Up to $10 million for information leading to the identification and location of any individuals who hold a key leadership position in LockBit; and	・ロックビットの重要な指導的立場にある個人の特定および所在につながる情報に対しては最高1,000万ドル、
・Up to $5 million for information leading to the arrest and/or conviction in any country of any individual participating or attempting to participate in LockBit.	・ロックビットに参加する、または参加しようとしている個人の逮捕および／または有罪判決につながる情報に対しては最高500万ドル。
Information is accepted through the FBI tip website at tips.fbi.gov.	情報はFBIのタレコミサイトtips.fbi.govで受け付けている。
Khoroshev, Matveev, Sungatov, and Kondratyev have also been designated for sanctions by the Department of the Treasury’s Office of Foreign Assets Control for their roles in launching cyberattacks.	ホロシェフ、マトヴェエフ、スンガトフ、コンドラチエフはまた、サイバー攻撃を開始する役割を果たしたとして、財務省外国資産管理局から制裁対象に指定されている。
Victim Assistance	被害者支援
LockBit victims are encouraged to contact the FBI and submit information at www.ic3.gov. As announced by the Department in February, law enforcement, through its disruption efforts, has developed decryption capabilities that may enable hundreds of victims around the world to restore systems encrypted using the LockBit ransomware variant. Submitting information at the IC3 site will enable law enforcement to determine whether affected systems can be successfully decrypted.	ロックビットの被害者は、FBI に連絡し、www.ic3.gov に情報を提出することが推奨される。同省が2月に発表したように、法執行機関は、その破壊活動を通じて、世界中の何百人もの被害者がLockBitランサムウェアの亜種を使って暗号化されたシステムを復元できる可能性のある復号化機能を開発した。IC3のサイトで情報を提出することで、法執行機関は感染したシステムの復号化に成功するかどうかを判断できるようになる。
LockBit victims are also encouraged to visit www.justice.gov/usao-nj/lockbit for case updates and information regarding their rights under U.S. law, including the right to submit victim impact statements and request restitution, in the criminal litigation against Panev, Astamirov, and Vasiliev.	LockBitの被害者はまた、www.justice.gov/usao-nj/lockbit、事件の最新情報や、Panev、Astamirov、Vasilievに対する刑事訴訟において、被害者意見書を提出し、返還を要求する権利など、米国法に基づく権利に関する情報を入手することが推奨される。
The FBI Newark Field Office, under the supervision of Acting Special Agent in Charge Terence G. Reilly, is investigating the LockBit ransomware variant. Israel’s Office of the State Attorney, Department of International Affairs, and Israel National Police; France’s Gendarmerie Nationale Cyberspace Command, Paris Prosecution Office — Cyber Division, and judicial authorities at the Tribunal Judiciare of Paris; Europol; Eurojust; the United Kingdom’s National Crime Agency; Germany’s Landeskriminalamt Schleswig-Holstein, Bundeskriminalamt, and the Central Cybercrime Department North Rhine-Westphalia; Switzerland’s Federal Office of Justice, Public Prosecutor’s Office of the Canton of Zurich, and Zurich Cantonal Police; Spain’s Policia Nacional and Guardia Civil; authorities in Japan; Australian Federal Police; Sweden’s Polismyndighetens; Canada’s Royal Canadian Mounted Police; Politie Dienst Regionale Recherche Oost-Brabant of the Netherlands; and Finland’s National Bureau of Investigation have provided significant assistance and coordination in these matters and in the LockBit investigation generally.	FBIニューアーク支局は、テレンス・G・ライリー特別捜査官代理の指揮の下、ロックビット型ランサムウェアの亜種を捜査している。イスラエルの国家検事局、国際問題局、イスラエル国家警察、フランスの国家サイバー空間憲兵隊司令部、パリ検察庁サイバー課、パリ司法裁判所の司法当局、欧州刑事警察機構、欧州司法機構、米国の国家犯罪局、ドイツのLandeskriminalamt Schleswig-Holstein、Bundeskriminalamt、Central Cybercrime Department North Rhine-Westphalia；スイスの連邦司法省、チューリッヒ州検察庁、チューリッヒ州警察、スペインのPolicia NacionalおよびGuardia Civil、日本の当局、オーストラリア連邦警察、スウェーデンのPolismyndighetens、カナダのRoyal Canadian Mounted Police、オランダのPolitie Dienst Regionale Recherche Oost-Brabant、フィンランドの連邦捜査局は、これらの問題およびロックビットの捜査全般において重要な支援と協調を提供した。
Assistant U.S. Attorneys Andrew M. Trombly, David E. Malagold, and Vinay Limbachia for the District of New Jersey and Trial Attorneys Debra Ireland and Jorge Gonzalez of the Criminal Division’s Computer Crime and Intellectual Property Section (CCIPS) are prosecuting the charges against Panev and the other previously charged LockBit defendants in the District of New Jersey.	ニュージャージー州地区担当のアンドリュー・M・トロンブリー、デビッド・E・マラゴールド、ビナイ・リンバキア各米国弁護士補と、ディビジョン刑事部コンピュータ犯罪・知的財産課（CCIPS）のデブラ・アイルランド、ホルヘ・ゴンザレス両裁判官は、ニュージャージー州地区でパネフ被告と先に起訴された他のロックビット被告に対する起訴を担当している。
The Justice Department’s former Cybercrime Liaison Prosecutor to Eurojust, Office of International Affairs, and National Security Division also provided significant assistance.	司法省の欧州司法機構（Eurojust）、国際問題局（Office of International Affairs）、国家安全保障局（National Security Division）の元サイバー犯罪リエゾンプロスペクターも重要な支援を提供した。
Additional details on protecting networks against LockBit ransomware are available at StopRansomware.gov. These include Cybersecurity and Infrastructure Security Agency Advisories AA23-325A, AA23-165A, and AA23-075A.	LockBitランサムウェアからネットワークを保護するための詳細は、StopRansomware.govで入手できる。これには、サイバーセキュリティ・インフラセキュリティ庁の勧告AA23-325A、AA23-165A、AA23-075Aが含まれる。
The charges and allegations contained in the superseding complaint and above-named Indictments are merely accusations, and the defendants are presumed innocent unless and until proven guilty.	上申書および上記の起訴状に含まれる告発および主張は単なる告発であり、被告は有罪が証明されない限り、また有罪が証明されるまでは無罪と推定される。

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

Lockbit...

・2024.12.30 米国司法省 LockBitランサムウェアグループの開発者としてロシアおよびイスラエルの二重国籍者を起訴 (2024.12.20)

・2024.10.02 米国英国オーストラリア Evil Corpのメンバーを制裁

・2024.10.02 Europol Lockbit関係者を新たに逮捕し、経済制裁も加える

・2024.09.01 米国 CISA FBI MS-ISAC HHS RansomHubランサムウェアに対する警告 (2024.08.29)

・2024.08.17 英国国家犯罪庁、米国シークレットサービス、連邦捜査局が協力し、ランサムウェア等のサイバー犯罪グループのトップ容疑者を逮捕、身柄を引き渡す (2024.08.13)

・2024.05.08 英国米国オーストラリア LockBitの管理者に対する新たな一連の措置を発表

・2024.02.21 米国英国 LockBitのネットワークに侵入し破壊

・2023.09.13 英国 NCSC ランサムウェア、恐喝、サイバー犯罪のエコシステムについての白書

・2023.07.26 Europol インターネット組織犯罪評価（IOCTA）2023 (2023.07.19)

・2023.06.16 Five Eyes ドイツフランス LookBitに対する包括的なアドバイザリーを公表

・2023.05.20 米国司法省 LockBit、Babuk、Hiveに関わったロシア人を起訴

・2023.03.29 米国司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

2025.03.16 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

カナダ Global Cross-Boarder Privacy Rule（CBPR）Forum 認証の実施に関する協議

こんにちは、丸山満彦です。

カナダがCBPR認証に関する協議文書を公表しています。

⚫︎ Canada.ca - Innovation, Science and Economic Development Canada

・2025.03.11 Consultation on the implementation of the Global Cross-Border Privacy Rules (CBPR) Forum certifications in Canada

協議文書...

・2025.03.11 Consultation document: Consultation on the implementation of the Global Cross-Border Privacy Rules (CBPR) Forum certifications in Canada

CBPRとは、Cross-Boarder Privacy Rulesの略です。

Global CBPR Forum には、オーストラリア、カナダ、日本、韓国、メキシコ、フィリピン、シンガポール、台湾、米国の9カ国が参加しています。そして、バミューダ、ドバイ国際金融センター、モーリシャス、英国がアソシエイトとなっています...

Global CBPR Forumは、Global CBPR System認証と、Global PRP System認証の２つを行なっています。

PRPは、Privacy Reogition for Processorsの略で、プロセッサー向けの認証システムです。

日本企業では、

が、CBPR認証を取得しています。認証機関はプライバシーマークの認定・認証機関であるJIPDECが行なっています。

認証機関については、

公的機関型：韓国（KISA）
民間機関型：日本（JIPDEC）、米国（４つの審査機関）
ハイブリッド型：シンガポール（IMDAの下に７つの審査機関）

というパターンがあるようですね。。。

ということで、

グローバル・フォーラム認証の実施モデルの策定方法に関する意見を求めていますね。。。

グローバル・フォーラム認証の1つまたは両方を採用することの利点、
カナダの経済・規制状況に最も適した認証機関（または複数の機関）の種類、
個人、企業、カナダ経済にとって認証をより有用なものにするための追加措置

さて、どうなるのでしょうかね...

⚫︎ 経済産業省

・グローバル越境プライバシールール（CBPR）

・[PDF] APEC CBPR（越境プライバシールール）システムの概要

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

CBPR関係...

・2024.05.16 個人情報保護委員会経済産業省グローバルCBPRシステムの稼働に向けた文書等の公表 (2024.04.30)

・2024.01.25 米国 FTC プライバシーおよびデータ・セキュリティの法執行に関する協力強化のための多国間協定に署名 (2024.01.17)

・2023.11.19 APEC デジタルアジェンダ関係

・2023.07.17 英国 CBPRフォーラムのアソシエイトになる (2023.07.06)

・2023.06.22 個人情報保護委員会「第３回Ｇ７データ保護・プライバシー機関ラウンドテーブル会合」共同コミュニケ、生成AIに関する生命、行動計画

・2022.04.23 米国フィリピンシンガポール台湾グローバル越境プライバシールール（CBPR）フォーラム設立関連...

・2022.04.22 個人情報保護委員会経済産業省グローバル越境プライバシールール（CBPR）フォーラム設立に向けた宣言

・2016.07.14 経済産業省越境データフローに係る制度等の調査研究の報告書

2025.03.16 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 監査 / 認証 | Permalink | Comments (0)
Tweet

2025.03.15

米国司法省中国の捜査当局、情報機関はフリーランスのハッカーや情報セキュリティ会社を活用し、世界中のコンピュータ・ネットワークを侵害している (2025.03.05)

こんにちは、丸山満彦です。

米国の司法省が、中国の捜査当局、情報機関はフリーランスのハッカーや情報セキュリティ会社を活用し、世界中のコンピュータ・ネットワークを侵害していると発表しています...

この捜査にはPwCも協力しているとありますね...

2件目の指名手配の件については、日本語によるポスターもありますね...

U.S. Departmento fo Justice - Office of Public Affairs

・2025.03.05 Justice Department Charges 12 Chinese Contract Hackers and Law Enforcement Officers in Global Computer Intrusion Campaigns

Justice Department Charges 12 Chinese Contract Hackers and Law Enforcement Officers in Global Computer Intrusion Campaigns	中国の法執行機関および情報機関は、中国の無謀かつ無差別なハッカー傭兵エコシステムを活用し、世界中で言論の自由や反対意見を弾圧し、世界中の多数の組織からデータを盗んだ。
Chinese Law Enforcement and Intelligence Services Leveraged China’s Reckless and Indiscriminate Hacker-for-Hire Ecosystem, Including the ‘APT 27’ Group, to Suppress Free Speech and Dissent Globally and to Steal Data from Numerous Organizations Worldwide,	中国の法執行機関および情報機関は、中国の無謀かつ無差別なハッカー傭兵エコシステムを活用し、世界中で言論の自由や反対意見を弾圧し、世界中の多数の組織からデータを盗み出していた。その中には「APT 27」グループも含まれる。
Note: View the indictments in U.S. v. Wu Haibo et al., U.S. v. Yin Kecheng, U.S. v. Zhou Shuai et al. here.	注：米国対ウー・ハイボほか、米国対イン・ケチョン、米国対ゾウ・シュアイほかの起訴状は、こちらでご覧いただけます。
The Justice Department, FBI, Naval Criminal Investigative Service, and Departments of State and the Treasury announced today their coordinated efforts to disrupt and deter the malicious cyber activities of 12 Chinese nationals, including two officers of the People’s Republic of China’s (PRC) Ministry of Public Security (MPS), employees of an ostensibly private PRC company, Anxun Information Technology Co. Ltd. (安洵信息技术有限公司) also known as “i-Soon,” and members of Advanced Persistent Threat 27 (APT27).	司法省、FBI、海軍犯罪捜査局、および国務省と財務省は本日、中華人民共和国（PRC）公安部の2人の幹部、表向きは民間企業であるPRCのAnxun Information Technology Co. Ltd.（安洵信息技术有限公司）の従業員、（安洵信息技术有限公司）は、「i-Soon」とも呼ばれ、Advanced Persistent Threat 27（APT27）のメンバーでもある。
These malicious cyber actors, acting as freelancers or as employees of i-Soon, conducted computer intrusions at the direction of the PRC’s MPS and Ministry of State Security (MSS) and on their own initiative. The MPS and MSS paid handsomely for stolen data. Victims include U.S.-based critics and dissidents of the PRC, a large religious organization in the United States, the foreign ministries of multiple governments in Asia, and U.S. federal and state government agencies, including the U.S. Department of the Treasury (Treasury) in late 2024.	これらの悪意あるサイバーアクターは、フリーランサーとして、またはi-Soonの従業員として、中国公安省および国家安全省（MSS）の指示と独自の判断に基づいてコンピューター侵入を行った。公安省および国家安全省は、盗まれたデータに対して多額の報酬を支払った。被害者には、米国を拠点とする中国批判者や反体制派、米国の大手宗教団体、アジアの複数の政府の外務省、および米国財務省（財務省）を含む米国連邦政府および州政府機関が含まれる。
“The Department of Justice will relentlessly pursue those who threaten our cybersecurity by stealing from our government and our people,” said Sue J. Bai, head of the Justice Department’s National Security Division. “Today, we are exposing the Chinese government agents directing and fostering indiscriminate and reckless attacks against computers and networks worldwide, as well as the enabling companies and individual hackers that they have unleashed. We will continue to fight to dismantle this ecosystem of cyber mercenaries and protect our national security.”	司法省の国家安全保障部門の責任者であるスー・J・バイ氏は次のように述べた。「司法省は、政府や国民から情報を盗み、サイバーセキュリティを脅かす者たちを容赦なく追及していく。本日、私たちは、世界中のコンピューターやネットワークに対する無差別で無謀な攻撃を指示し、助長している中国政府の工作員、および彼らが放ったハッカー企業や個人を摘発した。我々は、このサイバー傭兵の生態系を解体し、国家の安全保障を防御するために戦い続けるつもりだ。」
“The FBI is committed to protecting Americans from foreign cyber-attacks,” said Assistant Director Bryan Vorndran of the FBI’s Cyber Division. “Today’s announcements reveal that the Chinese Ministry of Public Security has been paying hackers-for-hire to inflict digital harm on Americans who criticize the Chinese Communist Party (CCP). To those victims who bravely came forward with evidence of intrusions, we thank you for standing tall and defending our democracy. And to those who choose to aid the CCP in its unlawful cyber activities, these charges should demonstrate that we will use all available tools to identify you, indict you, and expose your malicious activity for all the world to see.”	FBIのサイバー部門のブライアン・ヴォーンダン副部長は、次のように述べた。「FBIは、外国からのサイバー攻撃からアメリカ国民を防御することに全力を尽くしている。本日の発表により、中国公安部が、中国共産党（CCP）を批判するアメリカ国民にデジタル上の被害を与えるために、雇われたハッカーたちに報酬を支払っていたことが明らかになった。侵入の証拠を勇気をもって提出してくれた被害者の方々には、一歩踏み込んだ防衛により、民主主義を守ってくれたことに感謝する。そして、中国共産党の違法なサイバー活動に加担することを選んだ人々に対しては、これらの告発は、我々が利用可能なあらゆる手段を駆使して、あなた方を識別し、起訴し、そしてあなたの悪意ある活動を全世界に晒すことを示すものである。」
According to court documents, the MPS and MSS employed an extensive network of private companies and contractors in China to hack and steal information in a manner that obscured the PRC government’s involvement. In some cases, the MPS and MSS paid private hackers in China to exploit specific victims. In many other cases, the hackers targeted victims speculatively. Operating from their safe haven and motivated by profit, this network of private companies and contractors in China cast a wide net to identify vulnerable computers, exploit those computers, and then identify information that it could sell directly or indirectly to the PRC government. The result of this largely indiscriminate approach was more worldwide computer intrusion victims, more systems worldwide left vulnerable to future exploitation by third parties, and more stolen information, often of no interest to the PRC government and, therefore, sold to other third-parties. Additional information regarding the indictments and the PRC’s hacker-for-hire ecosystem is available in Public Service Announcements published by the FBI today.	裁判資料によると、MPSとMSSは、中国国内の民間企業や請負業者の広範なネットワークを活用し、中国政府の関与を隠蔽する方法でハッキングや情報窃取を行っていた。場合によっては、MPSとMSSは中国の民間ハッカーに報酬を支払い、特定の被害者を攻撃させた。多くの場合、ハッカーは投機的に被害者を標的にした。安全な場所から利益を動機として活動する、この中国の民間企業と請負業者のネットワークは、脆弱なコンピューターを特定し、それらのコンピューターを攻撃し、中国政府に直接または間接的に販売できる情報を識別するために、幅広い網を張った。この無差別的なアプローチの結果、世界中でコンピュータへの侵入被害が増え、世界中で多くのシステムがサードパーティによる将来的な悪用に対して脆弱な状態となり、また、多くの情報が盗まれたが、その多くは中国政府にとって興味のないものであり、そのため、他のサードパーティに売却された。起訴状および中国のハッカーを雇うエコシステムに関する追加情報は、本日FBIが発表した公共サービス広報で入手できる。
U.S. v. Wu Haibo et al., Southern District of New York	米国対ウー・ハイボほか、ニューヨーク南部地区
Today, a federal court in Manhattan unsealed an indictment charging eight i-Soon employees and two MPS officers for their involvement, from at least in or around 2016 through in or around 2023, in the numerous and widespread hacking of email accounts, cell phones, servers, and websites. The Department also announced today the court-authorized seizure of the primary internet domain used by i-Soon to advertise its business.	本日、マンハッタンの連邦裁判所は、少なくとも2016年から2023年にかけて、電子メールアカウント、携帯電話、サーバー、ウェブサイトに対する多数かつ広範囲にわたるハッキングに関与したとして、i-Soonの従業員8名とMPSの警察官2名を起訴する起訴状を非公開から公開した。また、司法省は本日、i-Soonが事業を宣伝するために使用していた主要なインターネットドメインの裁判所認可による押収を発表した。
“State-sponsored hacking is an acute threat to our community and national security,” said Acting U.S. Attorney Matthew Podolsky for the Southern District of New York. “For years, these 10 defendants — two of whom we allege are PRC officials — used sophisticated hacking techniques to target religious organizations, journalists, and government agencies, all to gather sensitive information for the use of the PRC. These charges will help stop these state-sponsored hackers and protect our national security. The career prosecutors of this office and our law enforcement partners will continue to uncover alleged state-sponsored hacking schemes, disrupt them, and bring those responsible to justice.”	「国家が支援するハッキングは、我々のコミュニティと国家安全保障に対する深刻な脅威である」と、ニューヨーク南部地区のマシュー・ポドルスキー代理連邦検事は述べた。「この10人の被告（うち2人は中国共産党の役人であると我々は主張している）は、長年にわたり、洗練されたハッキング技術を用いて、宗教団体、ジャーナリスト、政府機関を標的にし、すべては中国共産党が利用するための機密情報を収集することを目的としていた。これらの容疑は、国家が支援するハッカーを阻止し、我々の国家安全保障を防御するのに役立つだろう。この事務所のキャリア検察官と法執行機関のパートナーは、国家支援によるハッキングの容疑を解明し、それを阻止し、責任者を法の下で裁きにかける活動を継続していく。
The defendants remain at large and wanted by the FBI. Concurrent with today’s announcement, the U.S. Department of State’s Rewards for Justice (RFJ) program, administered by the Diplomatic Security Service, announced a reward of up to $10 million for information leading to the identification or location of any person who, while acting at the direction or under the control of a foreign government, engages in certain malicious cyber activities against U.S. critical infrastructure in violation of the Computer Fraud and Abuse Act. The reward is offered for the following individuals who are alleged to have worked in various capacities to direct or carry out i-Soon’s malicious cyber activity:	被告らは依然として逃亡中で、FBIが指名手配している。本日の発表と同時に、米国国務省の司法のための報奨（Rewards for Justice: RFJ）プログラム（外交安全部が運営）は、外国政府の指示または管理下で活動し、コンピュータ詐欺・乱用防止法に違反して米国の重要インフラに対して特定の悪意あるサイバー活動に従事した人物の身元または居場所を特定する情報に対して、最高1000万ドルの報奨金を支払うことを発表した。i-Soonの悪質なサイバー活動を指揮または実行するために、さまざまな立場で働いたとされる以下の人物に対して、報奨金が提供される。
Wu Haibo (吴海波), Chief Executive Officer	ウー・ハイボ（Wu Haibo）、最高経営責任者（CEO
Chen Cheng (陈诚), Chief Operating Officer	チェン・チェン（Chen Cheng）、最高執行責任者（COO
Wang Zhe (王哲), Sales Director	ワン・ゼ（Wang Zhe）、営業部長
Liang Guodong (梁国栋), Technical Staff	リャン・グオドン（Liang Guodong）、技術スタッフ
Ma Li (马丽), Technical Staff	マー・リー（Ma Li）、技術スタッフ
Wang Yan (王堰), Technical Staff	ワン・イェン（Wang Yan）、技術スタッフ
Xu Liang (徐梁), Technical Staff	徐梁（Xu Liang）、技術スタッフ
Zhou Weiwei (周伟伟), Technical Staff	周伟伟（Zhou Weiwei）、技術スタッフ
Wang Liyu (王立宇), MPS Officer	王立宇（Wang Liyu）、MPS 職員
Sheng Jing (盛晶), MPS Officer	盛晶（Sheng Jing）、MPS 職員
i-Soon and its employees, to include the defendants, generated tens of millions of dollars in revenue as a key player in the PRC’s hacker-for-hire ecosystem. In some instances, i-Soon conducted computer intrusions at the request of the MSS or MPS, including cyber-enabled transnational repression at the direction of the MPS officer defendants. In other instances, i-Soon conducted computer intrusions on its own initiative and then sold, or attempted to sell, the stolen data to at least 43 different bureaus of the MSS or MPS in at least 31 separate provinces and municipalities in China. i-Soon charged the MSS and MPS between approximately $10,000 and $75,000 for each email inbox it successfully exploited. i-Soon also trained MPS employees how to hack independently of i-Soon and offered a variety of hacking methods for sale to its customers.	i-Soon およびその従業員（被告を含む）は、中国におけるハッカーを雇うエコシステムにおける主要なプレイヤーとして、数千万ドルの収益を上げていた。i-Soonは、MSSまたはMPSの要請により、コンピュータへの侵入を行った。その中には、MPSの被告の指示によるサイバーを利用した国境を越えた弾圧も含まれている。また、i-Soonは独自の判断でコンピュータへの侵入を行い、その後、盗んだデータを少なくとも43の異なるMSSまたはMPSの部署に、少なくとも中国の31の異なる省や市で販売し、または販売しようとした。i-Soonは、成功裏にハッキングした各メール受信箱につき、国家安全局および公安部に約1万ドルから7万5千ドルを請求した。i-Soonはまた、公安部の職員にi-Soonとは独立してハッキングする方法を訓練し、顧客にさまざまなハッキング方法を販売していた。
The defendants’ U.S.-located targets included a large religious organization that previously sent missionaries to China and was openly critical of the PRC government and an organization focused on promoting human rights and religious freedom in China. In addition, the defendants targeted multiple news organizations in the United States, including those that have opposed the CCP or delivered uncensored news to audiences in Asia, including China and the New York State Assembly, one of whose representatives had communicated with members of a religious organization banned in China.	米国を標的としたものには、以前に宣教師を中国に派遣し、中国共産党政府を公然と批判していた大規模な宗教団体や、中国における人権と宗教の自由の促進に重点的に取り組む組織が含まれていた。さらに、被告らは、中国共産党に反対したり、中国を含むアジアの聴衆に検閲されていないニュースを配信したりしている米国の複数の報道機関、および中国で禁止されている宗教団体のメンバーとコミュニケーションを取っていた代表者もいたニューヨーク州議会も標的にしていた。
The defendants’ foreign-located targets included a religious leader and his office, and a Hong Kong newspaper that i-Soon considered as being opposed to the PRC government. The defendants also targeted the foreign ministries of Taiwan, India, South Korea, and Indonesia.	被告が標的とした外国の対象には、宗教指導者とその事務所、そしてi-Soonが中国政府に反対しているとみなした香港の新聞社が含まれていた。被告はまた、台湾、インド、韓国、インドネシアの外務省も標的とした。
Assistant U.S. Attorneys Ryan B. Finkel, Steven J. Kochevar, and Kevin Mead for the Southern District of New York and Trial Attorney Gregory J. Nicosia Jr. of the National Security Division’s National Security Cyber Section are prosecuting the case.	ニューヨーク南部地区のライアン・B・フィンケル、スティーブン・J・コチェヴァー、ケヴィン・ミードの各副検事補と、国家安全保障局の国家安全保障サイバー部門のグレゴリー・J・ニコシア・ジュニア検察官が、この事件を起訴している。
U.S. v. Yin Kecheng and U.S. v. Zhou Shuai et al., District of Columbia	米国対尹可成および米国対周帅ほか、コロンビア特別区
Today, a federal court unsealed two indictments charging APT27 actors Yin Kecheng (尹可成) and Zhou Shuai (周帅) also known as “Coldface” for their involvement in the multi-year, for-profit computer intrusion campaigns dating back, in the case of Yin, to 2013. The Department also announced today court-authorized seizures of internet domains and computer server accounts used by Yin and Zhou to facilitate their hacking activity.	本日、連邦裁判所は、APT27のメンバーであるYin Kecheng（尹可成）とZhou Shuai（周帅）の2名を起訴する2件の起訴状を非公開扱いを解除した。2名は「Coldface」という別名でも知られており、Yinの場合は2013年まで遡る複数年にわたる営利目的のコンピューター侵入キャンペーンへの関与が指摘されている。また、司法省は本日、YinとZhouがハッキング活動に使用していたインターネットドメインとコンピューターサーバーアカウントが裁判所の認可を得て押収されたことを発表した。
The defendants remain at large. View the FBI’s Wanted posters for Shuai and Kecheng here.	被告人は依然として逃亡中である。シュアイとケチェンのFBI指名手配ポスターは、こちらでご覧いただけます。
Concurrent with today’s announcement, the Department of States State’s Bureau of International Narcotics and Law Enforcement Affairs is announcing two reward offers under the Transnational Organized Crime Rewards Program (TOCRP) of up to $2 million each for information leading to the arrests and convictions, in any country, of malicious cyber actors Yin Kecheng and Zhou Shuai, both Chinese nationals residing in China.	本日の発表と同時に、国務省国際麻薬・法執行局は、国際組織犯罪懸賞金プログラム（TOCRP）に基づき、中国在住の中国人である悪意あるサイバー犯罪者、イン・クーチェンとゾウ・シュアイの逮捕と有罪判決につながる情報に対して、最高200万ドルの2件の懸賞金オファーを発表した。
“These indictments and actions show this office’s long-standing commitment to vigorously investigate and hold accountable Chinese hackers and data brokers who endanger U.S. national security and other victims across the globe,” said Interim U.S. Attorney Edward R. Martin Jr. for the District of Columbia. “The defendants in these cases have been hacking for the Chinese government for years, and these indictments lay out the strong evidence showing their criminal wrongdoing. We again demand that the Chinese government to put a stop to these brazen cyber criminals who are targeting victims across the globe and then monetizing the data they have stolen by selling it across China.”	「これらの起訴および訴追は、米国の国家安全保障や世界中の他の被害者を危険にさらす中国のハッカーやデータブローカーを精力的に調査し、責任を問うという当室の長年にわたる取り組みを示すものです」と、コロンビア特別区のエドワード・R・マーティン・ジュニア米国連邦検事代行は述べた。「これらの事件の被告らは長年にわたり中国政府のためにハッキングを続けており、今回の起訴は、彼らの犯罪行為を示す強力な証拠を提示するものです。私たちは中国政府に対し、世界中の被害者を標的にし、盗んだデータを中国国内で販売して利益を得ているこれらの大胆なサイバー犯罪者たちを阻止するよう、改めて要求する」と述べた。
The APT27 group to which Yin and Zhou belong is also known to private sector security researchers as “Threat Group 3390,” “Bronze Union,” “Emissary Panda,” “Lucky Mouse,” “Iron Tiger,” “UTA0178,” “UNC 5221,” and “Silk Typhoon.” As alleged in court documents, between August 2013 and December 2024, Yin, Zhou, and their co-conspirators exploited vulnerabilities in victim networks, conducted reconnaissance once inside those networks, and installed malware, such as PlugX malware, that provided persistent access. The defendants and their co-conspirators then identified and stole data from the compromised networks by exfiltrating it to servers under their control. Next, they brokered stolen data for sale and provided it to various customers, only some of whom had connections to the PRC government and military. For example, Zhou sold data stolen by Yin through i-Soon, whose primary customers, as noted above, were PRC government agencies, including the MSS and the MPS.	YinとZhouが所属するAPT27グループは、民間セキュリティ研究者たちからは「Threat Group 3390」、「Bronze Union」、「Emissary Panda」、「Lucky Mouse」、「Iron Tiger」、「UTA0178」、「UNC 5221」、および「Silk Typhoon」としても知られている。裁判資料で申し立てられているように、2013年8月から2024年12月の間、Yin、Zhou、および共謀者らは、被害者のネットワークの脆弱性を悪用し、ネットワーク内部に侵入した後、偵察活動を行い、持続的なアクセスを可能にするPlugXマルウェアなどのマルウェアをインストールした。その後、被告および共犯者らは、侵害されたネットワークからデータを識別し、自分たちが管理するサーバーにデータを転送することで盗み出した。次に、彼らは盗んだデータを仲介して販売し、さまざまな顧客に提供したが、その中には中国共産党政府および軍とつながりがある顧客もいた。例えば、周は、前述のとおり主な顧客が中国国家安全部および中国公安部を含む中国共産党政府機関であるi-Soonを通じて、尹が盗んだデータを販売した。
The defendants’ motivations were financial and, because they were profit-driven, they targeted broadly, rendering victim systems vulnerable well beyond their pilfering of data and other information that they could sell. Between them, Yin and Zhou sought to profit from the hacking of numerous U.S.-based technology companies, think tanks, law firms, defense contractors, local governments, health care systems, and universities, leaving behind them a wake of millions of dollars in damages.	被告の動機は金銭的なものであり、利益追求を目的としていたため、標的を広範囲に定め、データを盗み、販売可能なその他の情報を入手する以上の被害を被る可能性があるほど、被害者のシステムに脆弱性をもたらした。陰と周は、米国を拠点とする多数のテクノロジー企業、シンクタンク、法律事務所、防衛請負業者、地方自治体、医療システム、大学に対するハッキングから利益を得ようとし、その結果、数百万ドルに上る損害を残した。
The documents related to the seizure warrants, also unsealed today, further allege that Yin and Zhou continued to engage in hacking activity, including Yin’s involvement in the recently announced hack of Treasury between approximately September and December 2024. Virtual private servers used to conduct the Treasury intrusion belonged to, and were controlled by, an account that Yin and his co-conspirators established. Yin and his co-conspirators used that same account and other linked accounts they controlled to lease servers used for additional malicious cyber activity. The seizure warrant unsealed today allowed the FBI to seize the virtual private servers and other infrastructure used by the defendants to perpetrate these crimes.	また、本日公開された押収令状に関する書類では、インとゾウがハッキング活動を継続していたことがさらに指摘されており、その中には、2024年9月から12月頃に発生した財務省へのハッキング事件にインが関与していたことも含まれている。財務省への侵入に使用された仮想プライベートサーバーは、インと共犯者たちが開設したアカウントが所有し、管理していた。インと共犯者らは、同じアカウントと、彼らが管理するその他の関連アカウントを使用して、さらなる悪質なサイバー犯罪に使用されるサーバーをリースしていた。本日公開された差押令状により、FBIは被告らがこれらの犯罪を犯すために使用した仮想プライベートサーバーやその他のインフラを差し押さえることが可能となった。
On Jan. 17, Treasury’s Office of Foreign Assets Control (OFAC) announced sanctions against Yin for his role in hacking that agency between September and December 2024. Concurrent with today’s indictments, OFAC also announced sanctions on Zhou and Shanghai Heiying Information Technology Company Ltd., a company operated by Zhou for purposes of his hacking activity.	1月17日、財務省外国資産管理局（OFAC）は、2024年9月から12月にかけて同省に対するハッキングに関与したとして、インに対する制裁措置を発表した。本日の起訴と同時に、OFACは周と、周がハッキング活動のために運営する企業である上海黒影信息技術有限公司（Shanghai Heiying Information Technology Company Ltd.）に対する制裁措置も発表した。
Private sector partners are also taking voluntary actions to raise awareness and strengthen defenses against the PRC’s malicious cyber activity. Today, Microsoft published research that highlights its unique, updated insights into Silk Typhoon tactics, techniques, and procedures specifically its targeting of the IT supply chain.	民間部門のパートナー企業も、中国の悪意あるサイバー活動に対する認識を高め、防御を強化するための自主的な行動を取っている。本日、マイクロソフトは、シルクタイフーンの戦術、技術、手順、特にITサプライチェーンを標的にしたものに関する独自の最新見解を強調する研究結果を公表した。
Assistant U.S. Attorneys Jack F. Korba and Tejpal S. Chawla for the District of Columbia and Trial Attorney Tanner Kroeger of the National Security Division’s National Security Cyber Section are prosecuting the case.	この訴訟は、コロンビア特別区のジャック F. コルバ（Jack F. Korba）およびテジャル S. チャウラ（Tejpal S. Chawla）両副検事、および国家安全保障局の国家安全保障サイバーセクションのタナー・クロエガー（Tanner Kroeger）検事が担当している。
***	***
The above disruptive actions targeting PRC malicious cyber activities were the result of investigations conducted by FBI New York and Washington Field Offices, FBI Cyber Division, the Naval Criminal Investigative Service. The U.S. Attorney’s Offices for the Southern District of New York and District of Columbia and the National Security Division’s National Security Cyber Section are prosecuting the case.	中国による悪意のあるサイバー活動を標的とした上記の破壊的行為は、FBIニューヨークおよびワシントン支局、FBIサイバー犯罪対策部、海軍犯罪捜査局による捜査の結果、明らかになった。ニューヨーク南部地区およびコロンビア特別区の米国連邦検事局、および国家安全保障局の国家安全保障サイバーセクションがこの事件を起訴している。
The Department acknowledges the value of public-private partnerships in combating advanced cyber threats and recognizes Microsoft, Volexity, PwC, and Mandiant for their valuable assistance in these investigations.	司法省は、高度なサイバー脅威に対抗するための官民連携の価値を認め、これらの捜査における貴重な支援に対してマイクロソフト、Volexity、PwC、Mandiantを評価している。
The details in the above-described indictments and warrants are merely allegations. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law.	上記起訴状および令状に記載された内容は、単なる申し立てである。すべての被告人は、法廷で合理的な疑いを超えて有罪と証明されるまでは無罪と推定される。

1件目：米国対ウー・ハイボほか、ニューヨーク南部地区

起訴状...

・[PDF]

2件目；指名手配書

・AQUATIC PANDA CYBER THREAT ACTORS

IC3

・2025.03.05 Beijing Leveraging Freelance Hackers and Information Security Companies to Compromise Computer Networks Worldwide

Alert Number: I-030525-PSA

Beijing Leveraging Freelance Hackers and Information Security Companies to Compromise Computer Networks Worldwide	北京フリーランスのハッカーと情報セキュリティ企業を活用し、世界中のコンピュータネットワークを侵害
FBI is releasing this Public Service Announcement to highlight that the Chinese government is using formal and informal connections with freelance hackers and information security (InfoSec) companies to compromise computer networks worldwide.	FBIは、中国政府がフリーランスのハッカーや情報セキュリティ（InfoSec）企業との公式・非公式なつながりを利用して、世界中のコンピュータネットワークを侵害していることを強調するために、この公共サービスアナウンスメントを発表する。
China's InfoSec ecosystem flourishes because China's government agencies, including its primary intelligence service the Ministry of State Security (MSS) and its domestic police agency the Ministry of Public Security (MPS), weaponize InfoSec companies by tasking companies that advertise legitimate cybersecurity services to also use their expertise to gain unauthorized access to victim networks to collect for China's intelligence services. This ecosystem of InfoSec companies and freelance hackers enables and encourages indiscriminate global cyber activity, while providing the Chinese government with a layer of plausible deniability.	中国の主要情報機関である国家安全部（MSS）や国内警察機関である公安部（MPS）などの政府機関が、正規のサイバーセキュリティサービスを宣伝する企業に、中国の諜報機関のために被害者のネットワークに不正アクセスして情報を収集するよう専門知識を活用するよう命じているため、中国のインフォメーションセキュリティ（InfoSec）業界は繁栄している。この情報セキュリティ企業とフリーランスのハッカーたちによるエコシステムは、無差別なグローバルなサイバー活動を可能にし、奨励する一方で、中国政府に一見もっともらしい否認の余地を与えている。
Today, the Southern District of New York unsealed an indictment against eight employees of China-based InfoSec company Anxun Information Technology Co., Ltd., aka i-Soon, and two MPS officers who, at times, directed i-Soon activities in service of the Chinese government. i-Soon has been a key player in China's InfoSec ecosystem over the last decade, working with at least 43 separate MSS or MPS bureaus in 31 provinces and municipalities across China. The indicted i-Soon hackers sold stolen data to the MSS and MPS from a myriad of victims, to include US-based critics of the Chinese government and Chinese dissidents, a US news organization, a large US-based religious organization, multiple governments in Asia, and US federal and state government agencies. i-Soon sold information to China's intelligence and security services to suppress free speech and democratic processes worldwide, and target groups deemed a threat to the Chinese government. i-Soon also sold platforms to MSS and MPS customers for their own hacking efforts. i-Soon's activities are publicly tracked as Aquatic Panda, Red Alpha, Red Hotel, Charcoal Typhoon, Red Scylla, Hassium, Chromium, and TAG-22.	今日、ニューヨーク南部地区は、中国を拠点とする情報セキュリティ企業、安迅情報技術有限公司（Anxun Information Technology Co., Ltd.）の従業員8名と、中国政府のためにi-Soonの活動を指揮した公安省の警察官2名に対する起訴状を封印を解いた。アイサムは過去10年以上にわたり、中国のインフォセック・エコシステムにおける主要な役割を果たしており、中国全土の31の省や直轄市にある少なくとも43の別々の国家安全局（MSS）または公安部（MPS）と協力してきた。起訴されたi-Soonのハッカーたちは、無数の被害者から盗んだデータをMSSおよびMPSに販売しており、その中には、中国政府の批判者や中国反体制派、米国の報道機関、米国の大手宗教団体、アジアの複数の政府、米国連邦政府および州政府機関など、米国を拠点とする人々も含まれていた。i-Soonは、中国の情報機関および治安部隊に情報を売り、世界中の言論の自由や民主的プロセスを弾圧し、中国政府にとって脅威とみなされる標的グループを攻撃した。また、i-Soonは、MSSおよびMPSの顧客が独自にハッキングを行うためのプラットフォームも販売していた。i-Soonの活動は、Aquatic Panda、Red Alpha、Red Hotel、Charcoal Typhoon、Red Scylla、Hassium、Chromium、TAG-22として公に追跡されている。
Also today, the District Court for the District of Columbia unsealed two indictments of freelance Chinese hackers Yin KeCheng and Zhou Shuai, who maintained ties to i-Soon and the Chinese government. Since 2011, Yin and Zhou have operated in China's InfoSec ecosystem and enriched themselves by selling stolen US information to the Chinese government. Zhou served for a period of time in i-Soon's Strategic Consulting Division. Yin, known in Chinese hacking circles for his prolific targeting of US entities, explained to an associate in 2013 that he wanted to "mess with the American military" and "break into a big target," hoping the proceeds from selling the stolen US data would be enough to purchase a car. On at least one occasion, Yin compromised sensitive data which he turned over to Zhou, who partnered with an i-Soon employee to sell the stolen data. Yin and Zhou's activities are publicly tracked as APT27, Threat Group 3390, Bronze Union, Emissary Panda, Lucky Mouse, Iron Tiger, UTA0178, UNC 5221, and Silk Typhoon.	また本日、コロンビア特別区連邦地方裁判所は、i-Soonおよび中国政府とつながりを持つフリーランスの中国人ハッカー、イン・ケチェン（Yin KeCheng）とゾウ・シュアイ（Zhou Shuai）の起訴状2件を非公開扱いを解除した。2011年以来、インとゾウは中国のインフォセック（情報セキュリティ）エコシステムで活動し、盗んだ米国の情報を中国政府に販売することで私腹を肥やしてきた。周はi-Soonの戦略コンサルティング部門で一定期間勤務していた。米国の事業体を標的にした数々の攻撃で知られる中国のハッカー集団のメンバーであるインは、2013年に「米軍を混乱させたい」と「大きな標的を攻撃したい」と仲間たちに語り、盗んだ米国のデータを売却して得た収益で車を一台購入できることを期待していた。少なくとも1度、Yinは機密データを漏洩し、それをZhouに引き渡した。Zhouはi-Soonの従業員と協力して盗んだデータを販売した。YinとZhouの活動は、APT27、脅威グループ3390、ブロンズユニオン、エミサリーパンダ、ラッキーマウス、アイアンタイガー、UTA0178、UNC 5221、シルクタイフーンとして公に追跡されている。

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

APT27

・2023.02.17 欧州 ENISAとCERT-EUが共同で「脅威アクターによる持続的な活動」を公表

・2020.04.06 COVID-19をテーマにしたサイバー攻撃

2025.03.15 07:26 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 安全保障 | Permalink | Comments (0)
Tweet

2025.03.14

米国 NIST 第5の耐量子暗号化のアルゴリズムとしてHQCを選択 (2025.03.11)

こんにちは、丸山満彦です。

NISTが、FIPS203として標準規格化された格子暗号をベースにした耐量子暗号アルゴリズムであるML-KEM（Module-Lattice-Based Key-Encapsulation Mechanism）のバックアップとして、誤り訂正符号にもとづいたHQC（Hamming Quasi-Cyclic）を選択したと発表していますね...

⚫︎ NIST - ITL

・2025.03.11 NIST Selects HQC as Fifth Algorithm for Post-Quantum Encryption

NIST Selects HQC as Fifth Algorithm for Post-Quantum Encryption	NIST、第5の耐量子暗号化のアルゴリズムとしてHQCを選択
・NIST has chosen a new algorithm for post-quantum encryption called HQC, which will serve as a backup for ML-KEM, the main algorithm for general encryption.	・NISTは、一般暗号化の主要アルゴリズムであるML-KEMのバックアップとして、耐量子暗号化の新たなアルゴリズムとしてHQCを選択した。
・HQC is based on different math than ML-KEM, which could be important if a weakness were discovered in ML-KEM.	・HQCはML-KEMとは異なる数学をベースとしているため、ML-KEMに脆弱性が発見された場合、重要な役割を果たす可能性がある。
・NIST plans to issue a draft standard incorporating the HQC algorithm in about a year, with a finalized standard expected in 2027.	・NISTは、約1年後にHQCアルゴリズムを組み込んだ標準規格のドラフトを発行する予定であり、2027年には標準規格が最終決定される見込みである。
Last year, NIST standardized a set of encryption algorithms that can keep data secure from a cyberattack by a future quantum computer. Now, NIST has selected a backup algorithm that can provide a second line of defense for the task of general encryption, which safeguards internet traffic and stored data alike .	昨年、NISTは、将来の量子コンピュータによるサイバー攻撃からデータを保護できる暗号化アルゴリズムのセットを標準化した。そして今回、NISTは、インターネットトラフィックと保存データの両方を保護する一般的な暗号化のタスクに第二の防御ラインを提供できるバックアップアルゴリズムを選択した。
Encryption protects sensitive electronic information, including internet traffic and medical and financial records, as well as corporate and national security secrets. But a sufficiently powerful quantum computer, if one is ever built, would be able to break that defense. NIST has been working for more than eight years on encryption algorithms that even a quantum computer cannot break.	暗号化は、インターネットトラフィックや医療・財務記録、企業や国家の安全保障上の機密情報など、機密性の高い電子情報を防御する。しかし、もし十分な性能の量子コンピュータが開発された場合、その防御を破ることができる。NISTは8年以上にわたり、量子コンピュータでも破ることができない暗号化アルゴリズムの開発に取り組んできた。
Last year, NIST published an encryption standard based on a quantum-resistant algorithm called ML-KEM. The new algorithm, called HQC, will serve as a backup defense in case quantum computers are someday able to crack ML-KEM. Both these algorithms are designed to protect stored information as well as data that travels across public networks.	昨年、NISTは量子耐性アルゴリズムであるML-KEMに基づく暗号化標準を発表した。 HQCと呼ばれる新しいアルゴリズムは、万が一量子コンピュータがML-KEMを解読できるようになった場合のバックアップ防御策となる。これらのアルゴリズムはいずれも、保存された情報だけでなく、公共ネットワーク上を移動するデータも防御できるように設計されている。
What is post-quantum cryptography? Read an explainer.	耐量子暗号化とは？説明を読む。
HQC is not intended to take the place of ML-KEM, which will remain the recommended choice for general encryption, said Dustin Moody, a mathematician who heads NIST’s Post-Quantum Cryptography project.	HQCは、一般的な暗号化の推奨選択肢であり続けるML-KEMに取って代わることを意図したものではないと、NISTの耐量子暗号化プロジェクトを率いる数学者のダスティン・ムーディ氏は述べた。
“Organizations should continue to migrate their encryption systems to the standards we finalized in 2024,” he said. “We are announcing the selection of HQC because we want to have a backup standard that is based on a different math approach than ML-KEM. As we advance our understanding of future quantum computers and adapt to emerging cryptanalysis techniques, it’s essential to have a fallback in case ML-KEM proves to be vulnerable.”	「組織は、2024年に我々が最終決定した標準に暗号化システムを移行し続けるべきである」と彼は述べた。「我々がHQCの選択を発表するのは、ML-KEMとは異なる数学的アプローチに基づくバックアップ標準を確保したいからだ。将来の量子コンピュータに対する理解が進み、新たな暗号解読技術が現れる中で、ML-KEMに脆弱性が認められた場合に備えて、代替策を用意しておくことが不可欠である」
Encryption Based on Two Math Problems	2つの数学問題に基づく暗号化
Encryption systems rely on complex math problems that conventional computers find difficult or impossible to solve. A sufficiently capable quantum computer, though, would be able to sift through a vast number of potential solutions to these problems very quickly, thereby defeating current encryption.	暗号化システムは、従来のコンピュータでは解くのが困難または不可能な複雑な数学問題に依存している。しかし、十分な能力を持つ量子コンピュータであれば、これらの問題の膨大な数の潜在的な解決策を非常に迅速に洗い出すことができ、それによって現在の暗号化を破ることができる。
While the ML-KEM algorithm is built around a mathematical idea called structured lattices, the HQC algorithm is built around another concept called error-correcting codes, which have been used in information security for decades. Moody said that HQC is a lengthier algorithm than ML-KEM and therefore demands more computing resources. However its clean and secure operation convinced reviewers that it would make a worthy backup choice .	ML-KEMアルゴリズムは「構造格子」と呼ばれる数学的アイデアに基づいて構築されているが、HQCアルゴリズムは「エラー訂正コード」と呼ばれる別の概念に基づいて構築されている。エラー訂正コードは、情報セキュリティ分野で数十年にわたって使用されてきた。ムーディ氏は、HQCはML-KEMよりもアルゴリズムが長く、そのためより多くのコンピューティングリソースを必要とすると述べた。しかし、そのクリーンで安全な動作により、HQCは有力な選択肢であると審査員を納得させた。
“Organizations should continue to migrate their encryption systems to the standards NIST finalized in 2024. We are announcing the selection of HQC because we want to have a backup standard that is based on a different math approach than ML-KEM.” —Dustin Moody, NIST mathematician and project head	「組織は、2024年にNISTが最終決定した標準規格に暗号化システムを移行し続けるべきである。我々は、ML-KEMとは異なる数学的アプローチに基づくバックアップ標準規格を確保したいと考え、HQCの採用を発表する。」—NISTの数学者でありプロジェクト責任者のダスティン・ムーディ氏
Present and Future Standards	現在および将来の標準規格
HQC is the latest algorithm chosen by NIST’s Post-Quantum Cryptography project, which has overseen efforts since 2016 to head off potential threats from quantum computers. HQC will take its place alongside the four algorithms NIST selected previously. Three of those algorithms have been incorporated into finished standards, including ML-KEM, which forms the core of the standard called FIPS 203.	HQCは、量子コンピュータによる潜在的な脅威を回避するための取り組みを2016年から監督してきたNISTの耐量子暗号化プロジェクトが選定した最新のアルゴリズムである。HQCは、NISTが以前に選定した4つのアルゴリズムと並んで採用されることになる。そのうちの3つのアルゴリズムは、完成した標準規格に組み込まれており、その中にはFIPS 203と呼ばれる標準規格の中核をなすML-KEMも含まれる。
The other two finished standards, FIPS 204 and FIPS 205, contain digital signature algorithms, a kind of “electronic fingerprint” that authenticates the identity of a sender, such as when remotely signing documents. The three finished standards are ready for use, and organizations have already started integrating them into their information systems to future-proof them.	他の2つの完成した標準規格であるFIPS 204とFIPS 205には、デジタル署名アルゴリズムが含まれている。これは、遠隔地から文書に署名する際に送信者の身元を認証する「電子指紋」のようなものである。これら3つの完成した標準規格はすでに利用可能となっており、企業はすでに自社の情報システムにそれらを統合し、将来に備え始めている。
A draft of the fourth standard, built around the FALCON algorithm, also concerns digital signatures and will be released shortly as FIPS 206.	FALCONアルゴリズムを基盤とする第4の標準のドラフトもデジタル署名に関するもので、FIPS 206としてまもなく発表される予定である。
HQC is the only algorithm to be standardized from NIST's fourth round of candidates, which initially included four algorithms meriting further study. NIST has released a report summarizing each of these four candidate algorithms and detailing why HQC was selected .	HQCは、当初はさらなる研究に値する4つのアルゴリズムが含まれていたNISTの第4候補から標準化された唯一のアルゴリズムである。NISTは、これら4つの候補アルゴリズムのそれぞれを要約し、なぜHQCが選ばれたかを詳細に説明する報告書を公表している。
NIST plans to release a draft standard built around HQC for public comment in about a year. Following a 90-day comment period, NIST will address the comments and finalize the standard for release in 2027.	NISTは、HQCを基盤とした標準規格の草案を約1年後に公開し、一般からの意見を募る予定である。90日間の意見募集期間を経て、NISTは寄せられた意見に対応し、2027年に標準規格を最終決定する。
Draft Guidance for KEM Algorithms	KEMアルゴリズムのドラフトガイダンス
One thing HQC has in common with ML-KEM is that they are both what experts call “key encapsulation mechanisms,” or KEMs. A KEM is used over a public network as a sort of first handshake between two parties that want to exchange confidential information.	HQCとML-KEMの共通点は、両者とも専門家が「キーカプセル化メカニズム（KEM）」と呼ぶものであるということだ。 KEMは、機密情報を交換したい2つの当事者間の最初の握手のようなものとして、公開ネットワーク上で使用される。
NIST has recently published draft guidance for implementing KEM algorithms. This guidance, Recommendations for Key Encapsulation Mechanisms (NIST Special Publication 800-227), describes the basic definitions, properties and applications of KEMs. It also provides recommendations for implementing and using KEMs in a secure manner. NIST hosted a virtual Workshop on Guidance for KEMs in February, and the draft was open for public comment until March 7, 2025.	NISTは最近、KEMアルゴリズムの実装に関するドラフトガイダンスを公表した。このガイダンス「キーカプセル化メカニズムの推奨（NIST特別刊行物800-227）」では、KEMの基本的な定義、特性、用途について説明している。また、KEMを安全に実装および使用するための推奨事項も提供している。NISTは2月にKEMのガイダンスに関する仮想ワークショップを開催し、ドラフトは2025年3月7日まで一般からの意見を受け付けていた。

ちなみにすでに標準化されているものは、

2024.08.13	FIPS	203	Module-Lattice-Based Key-Encapsulation Mechanism Standard	モジュール-格子ベースの鍵カプセル化メカニズム標準	鍵交換
2024.08.13	FIPS	204	Module-Lattice-Based Digital Signature Standard	モジュール-格子ベースのデジタル署名標準	デジタル署名
2024.08.13	FIPS	205	Stateless Hash-Based Digital Signature Standard	ステートレスハッシュベースのデジタル署名標準	デジタル署名

これから

2025？	FIPS	206?	Fast Fourier Lattice-based Compact Signatures over NTRU	NTRUベース高速フーリエ格子ベースコンパクト署名	デジタル署名
2027？	FIPS	207?	HQC（Hamming Quasi-Cyclic）	ハミング準巡回的	鍵交換

というかんじですかね...

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

NISTの耐量子暗号

・2025.03.14 米国 NIST 第5の耐量子暗号化のアルゴリズムとしてHQCを選択 (2025.03.11)

・2025.03.14 米国 NIST IR 8545 NISTの耐量子暗号標準化プロセスの第4ラウンドに関する現状報告書

・2025.03.11 米国 NIST CSWP 39（初期公開ドラフト）暗号化の機敏性を実現するための考慮事項：戦略と実践

・2025.01.10 米国 NIST SP 800-227（初期公開ドラフト）キーカプセル化メカニズムに関する推奨事項

・2024.11.16 米国 NIST IR 8547（初期公開ドラフト）耐量子暗号標準への移行について

・2024.11.03 米国 NIST IR 8528 耐量子暗号標準化プロセスにおける追加デジタル署名スキームの第一ラウンドに関する状況報告書

・2024.08.14 米国 NIST 耐量子暗号化標準の最初の3つ (FIPS 203, 204, 205) を確定

・2023.12.22 NIST SP 1800-38（初期ドラフト）耐量子暗号への移行：量子安全暗号の実装と採用を検討するための準備

・2023.08.22 米国 CISA NSA NIST 量子対応：耐量子暗号への移行

・2022.10.02 NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告（参考文献の追加）

・2022.07.07 NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告

ENISA

・2022.10.21 ENISA ポスト量子暗号 - 統合研究

日本...

・2024.10.25 政府認証基盤 (GPKI) 政府認証基盤相互運用性仕様書（移行期間編）と移行完了編） (2024.10.11)

・2024.09.16 金融庁「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」（第１回）議事要旨（会議は2024.07.18）

・2023.09.29 日本銀行金融研究所量子コンピュータが暗号に及ぼす影響にどう対処するか：海外における取組み

2025.03.14 06:40 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 暗号 / 電子署名 / ブロックチェーン, in 量子技術, in 安全保障 | Permalink | Comments (0)
Tweet

米国 NIST IR 8545 NISTの耐量子暗号標準化プロセスの第4ラウンドに関する現状報告書

こんにちは、丸山満彦です。

NISTが IR 8545 NISTの耐量子暗号標準化プロセスの第4ラウンドに関する現状報告書を公表していますね...

NISTは鍵確立ポートフォリオを拡充するためにHQCをベースとした標準を開発することにしたようですね...

⚫︎ NIST - ITL

・2025.03.11 NIST IR 8545 Status Report on the Fourth Round of the NIST Post-Quantum Cryptography Standardization Process

NIST IR 8545 Status Report on the Fourth Round of the NIST Post-Quantum Cryptography Standardization Process	NIST IR 8545 NISTの耐量子暗号標準化プロセスの第4ラウンドに関する現状報告書
Abstract	要約
NIST is selecting public-key cryptographic algorithms through a public, competition-like process to specify additional digital signature, public-key encryption, and key-establishment algorithms to supplement FIPS 186-5, SP 800-56Ar3, and SP 800-56Br2. These algorithms are intended to protect sensitive information well into the foreseeable future, including after the advent of quantum computers. In the fourth round of the Post-Quantum Cryptography Standardization Process, NIST selected four candidate algorithms for key establishment to be studied: BIKE, Classic McEliece, HQC, and SIKE. This report describes the evaluation and selection process of these fourth-round candidates based on public feedback and internal review. The report summarizes each of the candidate algorithms and identifies those selected for standardization. The only key-establishment algorithm that will be standardized is HQC, and NIST will develop a standard based on HQC to augment its key-establishment portfolio.	NISTは、FIPS 186-5、SP 800-56Ar3、およびSP 800-56Br2を補完するデジタル署名、公開鍵暗号、および鍵確立アルゴリズムを追加指定するために、公開の競争のようなプロセスを通じて公開鍵暗号アルゴリズムを選定している。これらのアルゴリズムは、量子コンピュータの出現後も含め、今後予測される将来にわたって機密情報を防御することを目的としている。NISTは、耐量子暗号標準化プロセスの第4ラウンドにおいて、研究対象となる鍵確立のための4つの候補アルゴリズム、BIKE、Classic McEliece、HQC、SIKEを選定した。本報告書では、公開フィードバックと内部レビューに基づく、この第4ラウンドの候補アルゴリズムの評価と選定プロセスについて説明している。また、各候補アルゴリズムを要約し、標準化に選定されたものを識別している。標準化される鍵確立アルゴリズムはHQCのみであり、NISTは鍵確立ポートフォリオを拡充するためにHQCをベースとした標準を開発する。

・[PDF] NIST.IR.8545

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

NISTの耐量子暗号

・2025.03.14 米国 NIST 第5の耐量子暗号化のアルゴリズムとしてHQCを選択 (2025.03.11)

・2025.03.14 米国 NIST IR 8545 NISTの耐量子暗号標準化プロセスの第4ラウンドに関する現状報告書

・2025.03.11 米国 NIST CSWP 39（初期公開ドラフト）暗号化の機敏性を実現するための考慮事項：戦略と実践

・2025.01.10 米国 NIST SP 800-227（初期公開ドラフト）キーカプセル化メカニズムに関する推奨事項

・2024.11.16 米国 NIST IR 8547（初期公開ドラフト）耐量子暗号標準への移行について

・2024.11.03 米国 NIST IR 8528 耐量子暗号標準化プロセスにおける追加デジタル署名スキームの第一ラウンドに関する状況報告書

・2024.08.14 米国 NIST 耐量子暗号化標準の最初の3つ (FIPS 203, 204, 205) を確定

・2023.12.22 NIST SP 1800-38（初期ドラフト）耐量子暗号への移行：量子安全暗号の実装と採用を検討するための準備

・2023.08.22 米国 CISA NSA NIST 量子対応：耐量子暗号への移行

・2022.10.02 NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告（参考文献の追加）

・2022.07.07 NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告

ENISA

・2022.10.21 ENISA ポスト量子暗号 - 統合研究

日本...

・2024.10.25 政府認証基盤 (GPKI) 政府認証基盤相互運用性仕様書（移行期間編）と移行完了編） (2024.10.11)

・2024.09.16 金融庁「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」（第１回）議事要旨（会議は2024.07.18）

・2023.09.29 日本銀行金融研究所量子コンピュータが暗号に及ぼす影響にどう対処するか：海外における取組み

2025.03.14 06:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 暗号 / 電子署名 / ブロックチェーン, in 量子技術, in 安全保障 | Permalink | Comments (0)
Tweet

シンガポールオープンソースソフトウェアとサードパーティ依存のSBOMとリアルタイム脆弱性監視に関するアドバイザリー (2025.02.20)

こんにちは、丸山満彦です。

シンガポールのサイバーセキュリティ庁が、OWASPと協力してソフトウェア開発者に対し、脆弱性管理に対する持続可能で自動化されたアプローチを実装する方法についてのガイダンスを公表していましたね...

SBOMの必要性は理解はされているが、実装はなかなか難しいというのは、どこでも同じかもです。でも、必要ですよね...

⚫︎ Cyber Security Authority: CSA

・2025.02.20 Advisory on Software Bill of Materials and Real-time Vulnerability Monitoring for Open-Source Software and Third-Party Dependencies

・[PDF]

Advisory on Software Bill of Materials and Real-time Vulnerability Monitoring for Open-Source Software and Third Party Dependencies	オープンソースソフトウェアとサードパーティ依存関係のソフトウェア部品表とリアルタイム脆弱性モニタリングに関する助言
Introduction	序文
1. The integration of Open-Source Software (OSS) in software development introduces significant cybersecurity challenges, particularly regarding vulnerabilities in third-party dependencies. Notable incidents, such as Log4j and Heartbleed, underscore these risks. On Log4j, many organisations struggled to assess system compromises due to a lack of visibility into their software components and dependencies, with delayed responses to discovered vulnerabilities. On Heartbleed, it affected the widely used OpenSSL cryptography library, leading to the theft of 4.5 million medical records from a major overseas hospital chain.	1. ソフトウェア開発におけるオープンソースソフトウェア（OSS）の統合は、特にサードパーティ依存の脆弱性に関して、重大なサイバーセキュリティ上の課題をもたらす。Log4jやHeartbleedのような注目すべきインシデントが、こうしたリスクを浮き彫りにしている。Log4jでは、ソフトウェア・コンポーネントや依存関係の可視化が不十分であったため、多くの組織がシステム侵害のアセスメントに苦慮し、脆弱性の発見に対する対応が遅れた。Heartbleedについては、広く使われているOpenSSL暗号ライブラリに影響を及ぼし、海外の大手病院チェーンから450万件の医療記録が盗まれることになった。
2. These dependency threats are exacerbated by extent of third-party dependencies and critical vulnerabilities found in software development projects. According to studies, there are on average 68.8[1] dependencies per project and 5.1[2] critical vulnerabilities in an application. If developers are unaware of the full composition of their applications, the risks of cybersecurity breaches are significant. In the light of such trends, there is an impetus for developers to easily identify and address OSS dependencies to mitigate cybersecurity risks.	2. このような依存関係の脅威は、サードパーティーの依存性の広さと、ソフトウェア開発プロジェクトで発見された重大な脆弱性によって悪化している。調査によると、1つのプロジェクトあたり平均68.8[1]の依存性と5.1[2]の重大な脆弱性がアプリケーションに存在する。開発者が自分のアプリケーションの完全な構成を知らない場合、サイバーセキュリティ侵害のリスクは大きい。このような傾向を踏まえ、サイバーセキュリティリスクを緩和するために、開発者は OSS の依存関係を容易に識別し、対処することが求められている。
Intended audience of advisory	助言の対象読者
3. The advisory is intended for all software developers, especially those who incorporate OSS and third-party dependencies into their projects. While many developers are aware of cybersecurity risks, they may not have the resources and guidance to enforce cybersecurity during software development and implementation. To aid developers, the advisory offers guidance on a sustainable and automated approach to vulnerability management through Software Bill of Materials (SBOM) and real-time vulnerability monitoring.	3. この勧告は、すべてのソフトウェア開発者、特に OSS やサードパーティとの依存関係をプロジェクトに組み込んでいる開発者を対象としている。多くの開発者はサイバーセキュリティリスクを認識しているが、ソフトウェアの開発・実装時にサイバーセキュリティを実施するためのリソースやガイダンスを持っていない可能性がある。開発者を支援するために、この勧告では、ソフトウェア部品表（SBOM）とリアルタイムの脆弱性監視を通じた脆弱性管理の持続可能で自動化されたアプローチに関するガイダンスを提供している。
Value proposition of SBOM and real-time monitoring of vulnerabilities	SBOMと脆弱性のリアルタイム・モニタリングの価値提案
4. The traditional way of manually managing OSS dependencies is inefficient and prone to errors. Furthermore, developers must sift through complex codebases to identify and fix vulnerable software components.	4. OSSの依存関係を手作業で管理する従来の方法は、非効率的でエラーが発生しやすい。さらに、開発者は脆弱性のあるソフトウェア・コンポーネントを特定し、修正するために、複雑なコードベースをふるいにかけなくてはならない。
5. Generating Software Bill of Materials (SBOM) ensures developers are not using known vulnerable dependencies and provide them full visibility into software components. SBOM provides a structured and formal record of components used to build software. It equips organisations with a clear view of their software environment, ensuring that vulnerabilities can be managed more effectively. Through the integration of SBOM tools into software development workflows, developers can automatically track each component from the start, reducing manual effort and human error. It enables them to significantly reduce technical debt by identifying outdated or vulnerable components much earlier, in turn decreasing future remediation workloads.	5. ソフトウェア部品表（SBOM）を生成することで、開発者が既知の脆弱な依存関係を使用していないことを保証し、ソフトウェア部品に対する完全な可視性を提供する。SBOMは、ソフトウェア構築に使用されるコンポーネントの構造化された正式な記録を提供する。これにより、組織はソフトウェア環境を明確に把握できるようになり、脆弱性をより効果的に管理できるようになる。SBOMツールをソフトウェア開発ワークフローに統合することで、開発者は各コンポーネントを最初から自動的に追跡できるようになり、手作業や人的ミスを減らすことができる。これにより、開発者は、古くなったコンポーネントや脆弱性のあるコンポーネントをより早い段階で特定し、技術的負債を大幅に削減することができる。
6. SBOM also improves response times by allowing developers to quickly identify and fix vulnerable components and collaborate across the organisation for holistic vulnerability management. This streamlined process not only minimises complexity but also fosters collaboration among developers and cybersecurity professionals, allowing cybersecurity risks to be addressed proactively without stifling innovation. If SBOM is integrated into CI/CD pipelines, it allows real-time monitoring of new vulnerabilities through automation of SBOM generation, signing and alerts. The SBOM can also be used to foster collaboration across teams, including SecOps, Incident Response (IR) and development teams for holistic vulnerability management and improved response times.	6. SBOMはまた、開発者が脆弱性コンポーネントを迅速に特定して修正し、組織全体で協力して全体的な脆弱性管理を行えるようにすることで、対応時間を改善する。この合理化されたプロセスは、複雑さを最小限に抑えるだけでなく、開発者とサイバーセキュリティ専門家のコラボレーションを促進し、イノベーションを阻害することなく、サイバーセキュリティリスクにプロアクティブに対処することを可能にする。SBOMをCI/CDパイプラインに統合すれば、SBOMの生成、署名、アラートの自動化を通じて、新しい脆弱性をリアルタイムで監視できる。SBOMはまた、SecOps、インシデントレスポンス（IR）、開発チームを含むチーム間のコラボレーションを促進し、全体的な脆弱性管理とレスポンスタイムの改善に利用できる。
Three step approach to managing vulnerabilities through SBOMs	SBOMによる脆弱性管理の3ステップアプローチ

Figure 1. Three step approach to managing vulnerabilities through SBOMs	図1. SBOMによる脆弱性管理の3ステップアプローチ
7. The three-step approach is as follows[3] :	7. 3段階のアプローチは以下のとおりである[3]：
• Select tool: The chosen tool should accurately identify and list components as well as direct[4] and indirect[5] dependencies of the software. The tool should also integrate seamlessly with continuous integration/continuous deployment (CI/CD)[6] pipelines such as GitHub Actions, GitLab CI/CD or equivalent software.	- ツールを選択する：選択したツールは、ソフトウェアの直接[4]および間接的[5]な依存関係だけでなく、コンポーネントを正確に識別してリスト化する必要がある。また、ツールは、GitHub Actions、GitLab CI/CD、または同等のソフトウェアなどの継続的インテグレーション／継続的展開（CI/CD）[6]パイプラインとシームレスに統合する必要がある。
• Generate and sign the SBOM: The tool should be used to generate an SBOM that complies with industry standards such as CycloneDX or SPDX[7] . Signing the SBOM after its generation ensures authenticity and provides assurance that it originates from a trusted source. Developers should leverage on available tools[8] to publish signed records into transparency logs, enhancing trust and verifiability through immutable records of signing events.	- SBOM の生成と署名：ツールは、CycloneDX や SPDX[7]などの業界標準に準拠した SBOM を生成するために使用されるべきである。生成後に SBOM に署名することで、認証が保証され、信頼できるソースから生成されたことが保証される。開発者は利用可能なツール[8]を活用して、署名されたレコードを透明性ログに公開し、署名イベントの不変の記録を通じて信頼性と検証可能性を高めるべきである。
• Proactive vulnerability management: The generated SBOM should be published to a secure repository and automatically ingested by tools like OWASP Dependency-Track[9] for continuous vulnerability monitoring and Nday vulnerability identification.	- プロアクティブな脆弱性管理：生成された SBOM を安全なリポジトリに公開し、OWASP Dependency-Track[9]のようなツールに自動的に取り込ませて、脆弱性の継続的なモニタリングと Nday 脆弱性の特定を行う。
8. As the software development environment varies for each system, developers should also take note of the following practical considerations:	8. ソフトウェア開発環境はシステムごとに異なるため、開発者は以下の実用的な考慮事項にも留意すべきである：
• The SBOM is only as comprehensive as the manifest files generated. If the codebase includes obscure or less common programming languages, some dependencies may not be detected;	- SBOM は、生成的なマニフェストファイルと同程度に包括的である。コードベースに不明瞭なプログラミング言語や一般的でないプログラミング言語が含まれている場合、一部の依存関係が検知されない可能性がある。
• For SaaS and closed-source software, developers should request the SBOMs from their third-party providers as these SBOMs provide the most comprehensive coverage of the software components and dependencies. If developers are unable to obtain SBOMs from their third-party providers, the selected SBOM generation tool need to be able to perform supplementary checks in the respective environments. In particular, SaaS software could use runtime SBOMs[10] , capturing dynamically loaded or run-time injected components during execution. For closed-source software, binary-based SBOM tools[11] could be used to create an inventory of the software components used. Such tools inspect the compiled binary code, which is the final product of the software. Once developers discover vulnerabilities through the SBOMs, they need to inform their third-party providers to remediate them;	- SaaS およびクローズドソースソフトウェアの場合、開発者はサードパーティプロバイダに SBOM を要求すべきである。これらの SBOM はソフトウェアコンポーネントと依存関係を最も包括的にカバーしているからである。開発者がサードパーティプロバイダからSBOMを入手できない場合、選択したSBOM生成ツールは、それぞれの環境で補足的なチェックを実行できる必要がある。特にSaaSソフトウェアでは、実行時に動的にロードされるコンポーネントや実行時に注入されるコンポーネントをキャプチャする、ランタイムSBOM[10]を使用することができる。クローズドソースソフトウェアの場合、バイナリベースのSBOMツール[11]を使用して、使用されているソフトウェアコンポーネントのインベントリを作成することができる。このようなツールは、ソフトウェアの最終成果物であるコンパイル済みバイナリコードを検査する。開発者は、SBOMを通じて脆弱性を発見したら、その脆弱性を修正するようにサードパーティ・プロバイダに通知する必要がある。
• Developers need to verify identified vulnerabilities for exploitability as the vulnerabilities may not be relevant in their software development environments. Without appropriate verification, there could be a high volume of vulnerabilities surfaced through the SBOM and developers risk being overwhelmed with false positives and time spent on subsequent remediation. Developers should start the verification process by using industry filters such as CISA’s Known Exploited Vulnerabilities (KEV)[12] that only alerts on CVEs that are actively exploited. Once the vulnerabilities are filtered, vulnerabilities can be assessed for the likelihood of being exploited through the Exploit Prediction Scoring System (EPSS)[13] . After identifying vulnerabilities that are likely to be exploited, they can be prioritised for remediation using Common Vulnerability Scoring Systems (CVSS), which rates the severity of vulnerabilities.	- 開発者は、特定された脆弱性の悪用可能性を検証する必要がある。脆弱性は、開発者のソフトウェア開発環境では関連性がない可能性があるからである。適切な検証を行わなければ、SBOMを通じて大量の脆弱性が表面化する可能性があり、開発者は誤検知に圧倒され、その後の修正に時間を費やすリスクがある。開発者は、CISAのKnown Exploited Vulnerabilities（KEV）[12]のような、活発に悪用されているCVEのみに警告を発する業界フィルタを使用して検証プロセスを開始すべきである。脆弱性のフィルタリングが完了したら、エクスプロイト予測スコアリングシステム（Exploit Prediction Scoring System：EPSS）[13]を用いて脆弱性が悪用される可能性を評価することができる。悪用される可能性の高い脆弱性を特定した後は、脆弱性の深刻度を評価する共通脆弱性スコアリングシステム（CVSS）を用いて、脆弱性を改善するための優先順位をつけることができる。
Automating capabilities in code repositories platforms to manage OSS vulnerabilities	OSSの脆弱性を管理するために、コードリポジトリプラットフォームの機能を自動化する
9. Both commercial and Open-Source Software projects commonly rely on opensource dependencies, typically hosted on code repository platforms such as GitHub and GitLab. As central hubs for OSS development, GitHub and GitLab are used by developers who collaborate on projects of varying scope and complexity. Given the widespread use of such code repository platforms, managing vulnerabilities are even more critical for maintaining a secure software ecosystem. Such environments provide automated workflow functionalities on managing vulnerabilities, with automation enabling a seamless integration of security practices into the development process.	9. 商業プロジェクトもオープンソースソフトウェアプロジェクトも、一般的にオープンソースの依存関係に依存しており、GitHub や GitLab のようなコードリポジトリプラットフォームにホストされている。OSS開発の中心的なハブとして、GitHubとGitLabは、様々な範囲と複雑さのプロジェクトで共同作業する開発者によって使用されている。このようなコード・リポジトリ・プラットフォームが広く使用されていることを考えると、脆弱性の管理は、安全なソフトウェア・エコシステムを維持するためにさらに重要になっている。このような環境は、脆弱性の管理に関する自動化されたワークフロー機能を提供し、自動化によって、開発プロセスにセキュリティ対策をシームレスに統合することを可能にする。
10. Developers should use tools such as GitHub Actions and GitLab CI/CD that allow for the automated creation and vulnerability checking of SBOMs. While SBOM signing is not a native feature, external tools[14] can be integrated into the workflow. Refer to Annex A for the full script that automates these actions for GitHub Actions and a similar workflow can be implemented for GitLab CI/CD (Annex B).	10. 開発者は、GitHub Actions や GitLab CI/CD のような、SBOM の自動作成と脆弱性チェックを可能にするツールを使用すべきである。SBOM署名はネイティブな機能ではないが、外部ツール[14]をワークフローに統合することができる。GitHub Actionsのこれらのアクションを自動化するスクリプトの完全版については附属書Aを参照のこと。GitLab CI/CDについても同様のワークフローを実装することができる（附属書B）。
11. Developers should either remove vulnerable components if the functionalities provided through these components are not crucial or update these components to non-vulnerable versions. Developers should thoroughly test their applications to verify the application works as intended and update the SBOM documentation to record which components were removed and updated. This approach enhances the cybersecurity of the software and protects users from known exploits.	11. 開発者は、脆弱性のあるコンポーネントを通じて提供される機能が重要でない場合は、脆弱性のあるコンポーネントを削除するか、脆弱性のないバージョンに更新する。開発者は、アプリケーションが意図したとおりに動作することを検証するためにアプリケーションを徹底的にテストし、どのコンポーネントが削除され更新されたかを記録するために SBOM ドキュメントを更新するべきである。このアプローチは、ソフトウェアのサイバーセキュリティを強化し、既知の悪用からユーザを保護する。
12. Developers should publish SBOM, its signature and certificate alongside the digital files. This allows downstream users in the software development ecosystem to easily access and verify the SBOM, ensuring that they are working with a secure and authentic version of the software. Users can also leverage the SBOM to continuously monitor for new vulnerabilities.	12. 開発者は、SBOM、その署名、および証明書をデジタルファイルと一緒に公開する。これにより、ソフトウェア開発エコシステムの下流のユーザーは、SBOM に簡単にアクセスして検証することができ、安全で認証されたバージョンのソフトウェアを使用していることを確認できる。ユーザーはまた、SBOM を活用して、新しい脆弱性を継続的に監視することもできる。
Real-time monitoring of vulnerabilities through OWASP Dependency Track	OWASP Dependency Track による脆弱性のリアルタイム監視
13. OWASP Dependency Track (DT) provides real-time vulnerability monitoring capabilities through SBOM ingestion and continual checking against current threat intelligence. OWASP Dependency Track (DT) goes beyond basic scanning by incorporating the Exploit Prediction Scoring System (EPSS), allowing developers to prioritise vulnerabilities based on their likelihood of exploitation. Refer to Annex C for more details on the deployment of OWASP DT.	13. OWASP Dependency Track（DT）は、SBOM の取り込みと、最新の脅威インテリジェンスとの継続的なチェックを通じて、リアルタイムの脆弱性監視機能を提供する。OWASP Dependency Track（DT）は、Exploit Prediction Scoring System（EPSS）を組み込むことで、基本的なスキャンを超え、開発者が悪用の可能性に基づいて脆弱性に優先順位をつけることを可能にする。OWASP DT の展開の詳細については、附属書 C を参照されたい。
14. Developers should integrate the OWASP DT tool into CI/CD pipelines for realtime monitoring, consistent automation of SBOM generation and signing, and alerts for new vulnerabilities. Developers should securely store signed SBOM into centralised repositories to support collaboration across teams, including SecOps, Incident Response (IR) and development teams. In addition, developers need to establish governance policies for SBOM storage, access control and lifecycle management in collaboration with their Chief Information Security Officers (CISOs).	14. 開発者は、リアルタイムの監視、SBOM 生成と署名の一貫した自動化、および新たな脆弱性に対する警告のために、OWASP DT ツールを CI/CD パイプラインに統合すること。開発者は、SecOps、インシデントレスポンス（IR）、開発チームを含むチーム間のコラボレーションをサポートするために、署名された SBOM を一元化されたリポジトリに安全に保管すべきである。さらに、開発者は、最高情報セキュリティ責任者（CISO）と協力して、SBOMの保管、アクセス管理、ライフサイクル管理に関するガバナンスポリシーを確立する必要がある。
Conclusion	結論
15. SBOMs and real-time monitoring of vulnerabilities provide developers a sustainable and automated approach to address risks posed by Open-Source Software (OSS) and third-party software components, in turn enhancing the cybersecurity posture of the software supply chain. Such an approach allows developers and system owners to have visibility on software components and dependencies and improve response times to address vulnerabilities.	15. SBOMと脆弱性のリアルタイムモニタリングは、オープンソースソフトウェア（OSS）とサードパーティ製ソフトウェアコンポーネントがもたらすリスクに対処するための持続可能で自動化されたアプローチを開発者に提供し、ひいてはソフトウェアサプライチェーンのサイバーセキュリティ態勢を強化する。このようなアプローチにより、開発者とシステムオーナーは、ソフトウェアコンポーネントと依存関係を可視化し、脆弱性に対処するためのレスポンスタイムを改善することができる。
Acknowledgement	謝辞
16. This advisory was jointly developed by the Cyber Security Agency of Singapore and OWASP Foundation.	16. この勧告は、シンガポールのサイバーセキュリティ庁と OWASP 財団が共同で作成した。
Disclaimer	免責事項
17. The information and advice contained in this document is provided "as is" without any warranties or guarantees. Reference herein to any specific commercial products, process, or service by trade name, trademark, manufacturer, or otherwise, does not constitute or imply its endorsement, recommendation, or favouring by the Cyber Security Agency of Singapore, OWASP Foundation or GitHub. This document shall not be used for advertising or product endorsement purposes.	17. 本文書に含まれる情報および助言は、いかなる保証もなく「現状のまま」プロバイダとして提供される。商号、商標、製造事業者、その他による特定の商用製品、プロセス、サービスへの言及は、Cyber Security Agency of Singapore、OWASP Foundation、GitHub による推奨、推薦、支持を意味するものではない。本文書は、広告や製品の推奨を目的として使用してはならない。
List of References	参考文献一覧
S/N Document Source Year of Publication	S/N 文書出典発行年
1 The Minimum Elements for a Software Bill of Materials (SBOM) NTIA 2021	1 The Minimum Elements for a Software Bill of Materials (SBOM) NTIA 2021
2 Addressing Cybersecurity Challenges in OpenSource Software OpenSSF 2022	2 Addressing Cybersecurity Challenges in OpenSource Software OpenSSF 2022
3 Guidance on Introduction of Software Bill of Materials (SBOM) for Software Management METI 2023	3 Guidance on Introduction of Software Bill of Materials (SBOM) for Software Management METI 2023
4 Recommendations for Software Bill of Materials (SBOM) Management NSA 2024	4 Recommendations for Software Bill of Materials (SBOM) Management NSA 2024
5 Documentation on OWASP Dependency-Track OWASP 2024, v4.11	5 Documentation on OWASP Dependency-Track OWASP 2024, v4.
6 CycloneDX Authoritative Guide to SBOM OWASP 2024, 2nd edition	6 CycloneDX Authoritative Guide to SBOM OWASP 2024, 2nd edition
Annex A – Sample workflow. yaml script for GitHub Actions	附属書 A - サンプルワークフロー。GitHub Actions 用 yaml スクリプト
Annex B – Sample workflow. yaml script for GitLab CI/CD	附属書 B - サンプルワークフロー。GitLab CI/CD 用 yaml スクリプト
Annex C – Deploying and using Dependency-Track	附属書 C - Dependency-Track の展開と使用。

[1] PDF
[2] [web]
[3] The approach is adapted from existing best practices found in sources 1,3 to 6 of bibliography.	[3] このアプローチは、参考文献のソース1,3から6にある既存のベストプラクティスから採用されている。
[4] Direct refers to software components that are explicitly required by the code.	[4] 直接とは、コードによって明示的に必要とされるソフトウェアコンポーネントを指す。
[5] Indirect refers to software components required by the direct dependencies.	[5] 間接的とは、直接的な依存関係によって必要とされるソフトウェア・コンポーネントを指す。
[6] GitHub Actions and GitLab CI/CD are CI/CD tools to automate workflows like building, testing, and deploying code.	[6] GitHub ActionsとGitLab CI/CDは、コードのビルド、テスト、展開のようなワークフローを自動化するためのCI/CDツールである。
[7] These are industry standards for SBOM creation, distribution, and consumption, enabling interoperability and integration into existing workflows.	[7] これらはSBOMの作成、配布、消費のための業界標準であり、相互運用性と既存のワークフローへの統合を可能にしている。
[8] An example of such a tool is Sigstore, which provides signing, verification, and provenance checks to secure Open-Source Software distribution.	[8] このようなツールの例として、オープンソースソフトウェアの安全な配布のために、署名、検証、出所チェックを提供するSigstoreがある。
[9] OWASP Dependency-Track tracks and identify software vulnerabilities through SBOM analysis.	[9] OWASP Dependency-Trackは、SBOM分析を通じてソフトウェアの脆弱性を追跡し、特定する。
[10] Runtime SBOMs requires the system to be analysed when running. Some detailed information may be available only after the system has been run for a period of time until the complete functionality has been exercised. Example of runtime SBOM tools are Anchor Syft and Slim.AI.	[10] ランタイムSBOMは、実行時にシステムを分析することを要求する。一部の詳細情報は、完全な機能が発揮されるまで、システムが一定期間実行された後にのみ利用可能となる場合がある。実行時SBOMツールの例としては、Anchor SyftとSlim.AIがある。
[11] Example of binary-based SBOM tools are Black Duck Binary Analysis and Tern.	[11] バイナリベースの SBOM ツールの例としては、Black Duck Binary Analysis と Tern がある。
[12] CISA’s Known Exploited Vulnerabilities (KEV) is a catalogue of actively exploited vulnerabilities to help prioritise security remediation.	[12] CISAの既知の脆弱性（KEV：Known Exploited Vulnerabilities）は、積極的に悪用されている脆弱性のカタログであり、セキュリティ改善の優先順位付けに役立つ。
[13] Exploit Prediction Scoring System (EPSS) is a predictive model that scores the probability of a software vulnerability being exploited, aiding in prioritising security responses.	[13] Exploit Prediction Scoring System（EPSS）は、ソフトウェアの脆弱性が悪用される確率をスコア化する予測モデルであり、セキュリティ対応の優先順位付けに役立つ。
[14] An example is Cosign, which is a tool to sign, verify and attest software artifacts securely.	[14] Cosign は、ソフトウェア成果物に安全に署名、検証、証明するツールである。

2025.03.14 05:14 in 情報セキュリティ / サイバーセキュリティ, in 脆弱性, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

2025.03.13

英国共有ワークスペース - ユーザーガイダンス第５版 (2025.03.10)

こんにちは、丸山満彦です。

英国の主に物理的なセキュリティに関わる国家防御安全局（National Protective Security Authority: NPSA）と主にサイバーセキュリティに関わる国家サイバーセキュリティセンター (National Cyber Security Centre: NCSC) が共同で共有ワークスペース - ユーザーガイダンス (Shared Workspaces - Users Guidance) を更新していますね...

丁寧な説明になっています...

⚫︎ National Protecrive Security Authority: NPSA

・2025.03.10 Shared Workspaces - Users Guidance

目次...

Introduction	序文
Types of Shared Workspaces	共有ワークスペースの種類
Who are you at risk from?	誰からリスクを受けるのか？
User Archetypes	ユーザーの典型
Proportionate Security Measures	比例するセキュリティ対策
Security Culture	セキュリティ文化
Privacy in the Workspace	ワークスペースにおけるプライバシー
Access Management	アクセス管理
Physical Security Systems	物理的セキュリティシステム
Cyber Security	サイバーセキュリティ
References	参考文献

ウェブの方が読みやすいですが、一応PDFも...

・[PDF]

2025.03.13 06:20 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

FIRST　戦略計画2025-2028と戦略を作るためのフレームワークを公表... (2025.03.03)

こんにちは、丸山満彦です。

サイバーセキュリティに関わっている方であれば、FIRSTという団体の名前を聞いたことがあると思います。2023年の第36回のAnnual Conferenceは福岡で開催されましたね。。。

Red, Amber, GreenのTrafic Light Protocol: TLP (Ver２.0日本語版) を定めている団体というと親近感がわくかもです...

FIRSTは、Forum of Incident Response and Security Teams [wikipdeia] の略で、サイバーインシデント対応のためにお互いが協力し合えるような信頼できるメンバーによる団体という感じでしょうかね...

1990年に米国で始まった団体ですが、今では111カ国、165のリエゾン、762のチームが参加する団体です...1995年に法人化した時の本社はカリフォルニア州でしたが、2014年にノースカロライナ州に移転しています。

日本では山口英先生のおかげてJPCERT/CCが早期に加盟しています。それを足がかりに日本の主要な企業の多くもFIRSTに参加し、インシデントレスポンスの対応に協力していますね...そして、FIRSTには、Suguru Yamaguchi Fellowship Programがあります。FIRSTに入りたいけど十分な経験がないという国のメンバーを支えるための４年間のプログラムです。すでに終了したのは、15CERT、現在のフェローシップは、南アフリカ、セルビア、ペナン、フィリピン、モザンビーク、トリニダード・トバゴ、モーリタニア、ナミビア等16のCERTです。

JPCERT/CCの理事もしていた山口先生がFIRSTの設立時からの関与があったので、山口先生がFIRSTの理事もしていましたが、その後もJPCERT/CCから小宮山さん、そして現在では内田さんがFIRSTの理事として就任しています。

今回FIRSTの戦略が公開されたわけですが、その前にFIRSTのVisionとMissionsのおさらいからです...

1995年に初版ができて、2020年に改訂されたものです。

・2020.07 FIRST Vision and Mission Statement

Vision	ビジョン
FIRST aspires to bring together incident response and security teams from every country across the world to ensure a safe internet for all.	FIRSTは、すべての人にとって安全なインターネットを確保するために、世界各国のインシデント対応チームとセキュリティ・チームを結集することを目指している。
Effective response is a global task, mirroring the global nature of the internet. Based on a peer to peer network governance model, Computer Security Incident Response Teams (CSIRTs), Product Security Incident Response Teams (PSIRTs) and independent security researchers work together to limit the damage of security incidents. This requires a high level of trust; the fuel our members run on. FIRST fosters trust building among members through a variety of activities. Incidents are not confined to one cultural or political corner of the internet, nor do they respect borders or boundaries. FIRST thus promotes inclusiveness, inviting membership from all geographic and cultural regions.	効果的な対応は、インターネットのグローバルな性質を反映したグローバルなタスクである。ピア・ツー・ピアのネットワーク・ガバナンス・モデルに基づき、コンピュータ・セキュリティ・インシデント対応チーム（CSIRT）、製品セキュリティ・インシデント対応チーム（PSIRT）、独立系セキュリティ研究者が協力して、セキュリティ・インシデントの被害を抑える。そのためには、FIRSTのメンバーが燃料としている高いレベルの信頼が必要である。FIRSTは、さまざまな活動を通じて、メンバー間の信頼構築を促進する。インシデントは、インターネットの文化的、政治的な一角に限定されるものではなく、国境や境界を尊重するものでもない。そのためFIRSTは、あらゆる地理的・文化的地域から会員を募り、包括性を推進している。
Missions	任務（ミッション）
Global Coordination - You can always find the team and information you need.	グローバル・コーディネーション - 必要なチームや情報をいつでも見つけることができる。
FIRST provides platforms, means and tools for incident responders to always find the right partner and to collaborate efficiently. This implies that FIRST’s reach is global. We aspire to have members from every country and culture.	FIRSTは、インシデント対応者が常に適切なパートナーを見つけ、効率的に協力できるプラットフォーム、手段、ツールを提供する。このことは、FIRSTの活動範囲がグローバルであることを意味する。FIRSTは、あらゆる国や文化圏からメンバーが集まることを目指している。
Global Language - Incident responders around the world speak the same language and understand each other’s intents and methods.	グローバル言語 - 世界中のインシデント対応者は同じ言語を話し、お互いの意図と方法を理解する。
During an incident it is important that people have a common understanding and enough maturity to react in a fast and efficient manner. FIRST supports teams through training opportunities to grow and mature. FIRST also supports initiatives to develop common means of data transfer to enable machine to machine communication.	インシデント発生時には、人々が共通の理解を持ち、迅速かつ効率的に対応できるだけの成熟度を備えていることが重要である。FIRSTは、成長し成熟するためのトレーニングの機会を通じてチームをサポートする。FIRSTはまた、マシン・ツー・マシンのコミュニケーションを可能にする共通のデータ転送手段を開発する取り組みも支援している。
Policy and Governance - Make sure others understand what we do, and enable us rather than limit us.	方針とガバナンス - FIRSTの活動を理解し、制限するのではなく、可能にする。
FIRST members do not work in isolation, but are part of a larger system. FIRST engages with relevant stakeholders, in technical and non-technical communities, to ensure teams can work in an environment that is conducive to their goals.	FIRSTのメンバーは孤立して活動するのではなく、より大きなシステムの一部である。FIRSTは、技術的および非技術的なコミュニティの関係者と連携し、チームが目標に適した環境で活動できるようにする。

さて、このVisionとMissionsを具体的な行動に移すためのFIRSTの戦略計画2025-2028ですが、こちらとなっています...

⚫︎ Forum of Incident Response and Security Teams: FIRST

・2025.03.03 FIRST Strategic Plan 2025-2028

この戦略は5つの戦略目標(objectives)、10の戦略領域(area)、それぞれの戦略目標に紐づく3から７の戦略的目標(goals)、期待される成果(outcome)、リスクが設定されています。

人数も増えたので、組織だった活動ができるようにということでしょうね...

まずは、2025-2028の３年間にかかる、５つの戦略目標(objectives)

1. Global Recognition and Trust: This objective aims to solidify FIRST's position as the leading advocate for the incident response and security community worldwide by enhancing global visibility and building partnerships with key industry stakeholders and organizations and, most importantly, delivering value beyond its constituencies. This aligns with FIRST's vision to be globally recognized and trusted.	1. 世界的な認知と信頼：この目標は、世界的な認知度を高め、業界の主要なステークホルダーや組織とのパートナーシップを構築し、最も重要なこととして、その構成員を超えた価値を提供することにより、世界のインシデントレスポンスとセキュリティコミュニティの主要な支持者としてのFIRSTの地位を確固たるものにすることを目指す。これは、世界的に認知され、信頼されるというFIRSTのビジョンに沿ったものである。
2. Member Value Creation: This objective focuses on providing exceptional value to FIRST members, empowering them to excel in their incident response and cybersecurity endeavors by expanding and enhancing member services and benefits as well as strengthening member engagement and support. This aligns with FIRST's mission to support and empower the incident response community.	2. 会員価値の創造：この目標は、FIRST会員に卓越した価値を提供することに重点を置き、会員サービスと特典を拡大・強化するとともに、会員の参加とサポートを強化することによって、会員がインシデント対応とサイバーセキュリティの取り組みにおいて優れた力を発揮できるようにする。これは、インシデント対応コミュニティを支援し、力を与えるという FIRST の使命に沿うものである。
3. Development and Education: This objective aims to establish FIRST as the premier platform for industry newcomers and experienced professionals seeking to enhance their skills and knowledge in incident response and cybersecurity. This can be achieved by, for example, creating comprehensive training programs for new members, developing advanced modules and certification programs, and promoting continuous learning and professional development.	3. 開発と教育：この目的は、FIRST を、インシデントレスポンスとサイバーセキュリティのスキルと知識を高めようとする業界の新人や経験豊富な専門家のための最高のプラットフォームとして確立することである。これは、例えば、新メンバーのための包括的なトレーニング・プログラムの作成、高度なモジュールや認定プログラムの開発、継続的な学習と専門能力開発の促進によって達成することができる。
4. Trusted Venue for Standards and Information Sharing: This objective aims to position FIRST as the most trusted venue where its members define standards and best practices, as well as share insights and timely information on cybersecurity threats and trends. FIRST plans to achieve this by, for example, seeking enhanced information sharing from its members in its MISP instance, or increased member participation in discussions around standards development.	4. 標準と情報共有のための信頼される場：この目標は、FIRST を、会員が標準とベストプラクティスを定義し、サイバーセキュリティの脅威と動向に関する洞察とタイムリーな情報を共有する、最も信頼される場として位置付けることを目指す。FIRST は、例えば、MISP のインスタンスにおいて会員からの情報共有の強化を求めたり、標準策定に関する議論への会員の参加を増やしたりすることで、これを達成する計画である。
5. Effective Governance and Financial Resilience: This objective focuses on the long term strategy towards strengthening FIRST's governance structure, ensuring financial sustainability, and fostering organizational resilience to navigate evolving challenges effectively. This involves reviewing and updating governance policies, enhancing board and member engagement, diversifying funding sources, and maintaining rigorous financial management practices.	5. 効果的なガバナンスと財務レジリエンス：この目標は、FIRSTのガバナンス構造を強化し、財務の持続可能性を確保し、変化する課題に効果的に対処するための組織のレジリエンスを育成するための長期戦略に焦点を当てる。これには、ガバナンス方針の見直しと更新、理事会と会員の関与の強化、資金源の多様化、厳格な財務管理の維持が含まれる。

そして、10の戦略領域 (area)

1 - Chairship of the Board of Directors.	1 - 理事会の議長職
2 - Finance.	2 - 財務
3 - Membership.	3 - 会員（メンバーシップ）
4 - Events.	4 - イベント
5 - Education & Training.	5 - 教育・研修
6 - Community Engagement.	6 - 地域社会との関わり
7 - Governance.	7 - ガバナンス
8 - Policy.	8 - 政策
9 - Community Capacity Building (CCB).	9 - コミュニティ能力開発(CCB)
10 - Communications and Brand Management.	10 - コミュニケーションとブランド管理

それぞれの戦略目標、期待される成果、リスクについてはウェブページを...

・[PDF]

FIRSTはこの政策の中でも言われているように、中立的な（neutral）オピニオンリーダーという地位を獲得しようとしています。しかし、地政学的な課題の中で、米国に本社を置くFIRSTというグローバル団体は影響を受けますよね...

日本においても、いわゆるサイバー対処能力強化法案が国会に提出され議論が始まります。そこで、基幹インフラ事業者と政府間での協議会（第45条）が設置され、脅威情報、脆弱性情報、インシデント情報が分析・共有される予定になっていますね...

もちろん、米国、英国等でも同様のことは長年やってきているので、新しい話ではないのですが、いろいろと工夫が必要となってくるところだろうと思います。

で、もう一つのテーマである、この戦略をつくるためのフレームワーク。。。

・2025.03.03 FIRST Strategy Framework

立案、更新...

FIRSTにおける戦略的計画
	期間	更新頻度
戦略的計画	3年	3年
3カ年運営・財務計画	3年	1年
予算・運営計画	1年	1年
達成・進捗報告書	1年	1年

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2024.11.12 FIRST デジタル初動対応者：発展途上国におけるコンピュータセキュリティ・インシデント対応チーム（CSIRT）の役割に関する実務者ノート (2024.06)

・2024.08.10 FIRST Conference 2024 @福岡 YouTube

・2022.09.16 FIRST The Traffic Light Protocol (TLP) Version 2.0 の日本語版を公表

・2022.03.29 FIRST ロシアとベラルーシを拠点とする会員組織を一時的に停止 (2022.03.25)

2025.03.13 05:41 in 情報セキュリティ / サイバーセキュリティ, in 脆弱性, in 危機管理 / 事業継続, in 安全保障 | Permalink | Comments (0)
Tweet

欧州委員会 AI法における汎用AIモデル - Q&A (2025.03.10)

こんにちは、丸山満彦です。

欧州委員会が、AI法における汎用AIモデルについてのQ&Aを公表していますね...

参考になると思います。。。

⚫︎ 欧州委員会

・2025.03.10 General-Purpose AI Models in the AI Act – Questions & Answers

とりあえず、Qを仮訳すると次のような感じ...

General-Purpose AI Models in the AI Act – Questions & Answers	AI法における汎用AIモデル - Q&A
With this Q&A, the AI Office seeks to facilitate the interpretation of certain provisions of the AI Act. This Q&A does not constitute an official position of the Commission, and it is without prejudice to any decision or position of the Commission. Only the Court of Justice of the European Union is competent to authoritatively interpret the AI Act.	このQ&Aは、AI事務局はAI法の特定の条項の解釈を容易にすることを目指すものである。本Q&Aは欧州委員会の公式見解を示すものではなく、欧州委員会のいかなる決定や見解をも損なうものではない。AI法を権威を持って解釈する権限を有するのは欧州連合司法裁判所のみである。
General FAQ	一般的なFAQ
Why do we need rules for general-purpose AI models?	なぜ汎用AIモデルのルールが必要なのか？
What are general-purpose AI models?	汎用AIモデルとは何か？
What are general-purpose AI models with systemic risk?	システミック・リスクを伴う汎用AIモデルとは何か？
What is a provider of a general-purpose AI model?	汎用AIモデルのプロバイダとは何か？
What are the obligations for providers of general-purpose AI models?	汎用AIモデルのプロバイダの義務は何か？
If someone open-sources a model, do they have to comply with the obligations for providers of general-purpose AI models?	誰かがモデルをオープンソース化した場合、その人は汎用AIモデルのプロバイダの義務を遵守しなければならないのか？
Do the obligations for providers of general-purpose AI models apply in the development phase?	汎用AIモデルのプロバイダの義務は、開発段階でも適用されるのか？
If someone fine-tunes or otherwise modifies a model, do they have to comply with the obligations for providers of general-purpose AI models?	モデルの微調整やその他の変更を行う場合、汎用AIモデルのプロバイダの義務を遵守しなければならないのか？
What is the General-Purpose AI Code of Practice?	汎用AI実施規範とは何か？
What is not part of the Code of Practice?	実践規範に含まれないものは何か？
Do AI systems play a role in the Code of Practice?	実践規範においてAIシステムは役割を果たすのか？
How does the Code of Practice take into account the needs of start-ups?	実践規範は新興企業のニーズをどのように考慮しているのか？
When will the Code of Practice be finalised?	実施規範の最終決定はいつになるのか？
What are the legal effects of the Code of Practice?	実施規範の法的効果は？
How will the Code of Practice be reviewed and updated?	実施規範はどのように見直され、更新されるのか？
Which enforcement powers does the AI Office have?	AI事務局はどのような執行権限を持つのか？

・[PDF]

2025.03.13 00:00 in AI/Deep Learning | Permalink | Comments (0)
Tweet

2025.03.12

個人情報保護委員会いわゆる3年ごと見直しに係る検討関係（第315 - 316回委員会）(2025.03.05)

こんにちは、丸山満彦です。

いろいろあって、このところ一週間おくれてますが...個人情報保護法のいわゆる3年ごとの見直しの件について、ちょっとアップデートです...

第315回では、[PDF]「個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方」ということで、

1. 特定の個人に対する働きかけが可能となる個人関連情報に関する規律の在り方

2. 本人が関知しないうちに容易に取得することが可能であり、一意性・不変性が高いため、本人の行動を長期にわたり追跡することに利用できる身体的特徴に係るデータ（顔特徴データ等）に関する規律の在り方

3. 悪質な名簿屋への個人データの提供を防止するためのオプトアウト届出事業者に対する規律の在り方

が議論されたようです...

第316回では、「個人情報保護法の制度的課題に対する考え方（案）」について議論が進められれたようですね...

資料１−３「「個人情報保護法　いわゆる３年ごと見直しに係る検討」の今後の検討の進め方」に対して寄せられた意見の概要はとても興味深いですね...意見を提出した方の名前が...

資料１－１	個人情報保護法の制度的課題に対する考え方（案）について
資料１－２	個人情報保護法の制度的課題の再整理

資料１－３

「「個人情報保護法　いわゆる３年ごと見直しに係る検討」の今後の検討の進め方」に対して寄せられた意見の概要

⚫︎ 個人情報保護委員会

・委員会開催状況


2025.03.05	第316回個人情報保護委員会
資料１－１	個人情報保護法の制度的課題に対する考え方（案）について
資料１－２	個人情報保護法の制度的課題の再整理
資料１－３	「「個人情報保護法　いわゆる３年ごと見直しに係る検討」の今後の検討の進め方」に対して寄せられた意見の概要
	議事概要
	議事録
2025.02.09	第315回個人情報保護委員会
資料１	個人情報保護法の制度的課題に対する考え方（案）について（個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方）
	議事概要
	議事録
2025.02.05	第314回個人情報保護委員会
資料１	個人情報保護法の制度的課題に対する考え方（案）について
	議事概要
	議事録
2025.01.22	第312回個人情報保護委員会
資料１－１	「個人情報保護法　いわゆる３年ごと見直しに係る検討」の今後の検討の進め方について（案）
資料１－２	個人情報保護法の制度的課題の再整理
	議事概要
	議事録
2024.12.25	第311回個人情報保護委員会
資料１	個人情報保護法のいわゆる３年ごと見直しに関する検討会報告書
	議事概要
	議事録
2024.12.18	第７回個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	現行制度と検討の方向性について（課徴金制度③）
資料２	検討会報告書（案）
参考資料１	これまでの主な論点及び関連御意見
参考資料２	第２回～第６回検討会における主な御意見
参考資料３	関係参考資料
参考資料4	「個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点」に関するヒアリングの概要について
議事録	第７回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.12.17	第310回個人情報保護委員会
資料１－１	「個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点」に関するヒアリングの概要について
資料１－２	事務局ヒアリングにおける主な御意見
参考資料１－１
参考資料１－２	事務局ヒアリングの各参加者提出資料
	議事概要
	議事録
2024.11.28	第６回個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	現行制度と検討の方向性について（課徴金制度②）
資料２	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度③）
資料３	これまでの主な論点及び関連御意見 (PDF : 2006KB)
参考資料１	第２回～第５回検討会における主な御意見
議事録	第６回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.11.12	第５回個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	国内他法令における課徴金額の算定方法等について
資料２	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度②）
資料３	認定個人情報保護団体制度について
資料４	第４回までの主な論点及び関連意見
資料５	個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点・今後の検討の進め方
参考資料１	第２回～第４回検討会における主な御意見
参考資料２	関係参考資料
議事録	第５回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.10.16	第304回個人情報保護委員会
資料１－１	個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点（案）
資料１－２	今後の検討の進め方
	議事概要
	議事録
2024.10.11	第４回個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	全国消費生活相談員協会プレゼン資料
資料２	中川構成員プレゼン資料
資料３	第３回事務局資料に対する御質問と考え方
参考資料１	第２回及び第３回検討会における主な御意見
参考資料２	関係参考資料
前回資料１ー１	総合的な案内所（個人情報保護法相談ダイヤル）における受付状況
前回資料１ー２	名簿販売事業者に対する個人情報の保護に関する法律に基づく行政上の対応について
前回資料２	個人情報保護法の違反行為に係る事例等
前回資料３	現行制度と検討の方向性について（課徴金制度）
前回資料４	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度）
議事録	第４回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.09.26	第３回個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１－１	総合的な案内所（個人情報保護法相談ダイヤル）における受付状況
資料１－２	名簿販売事業者に対する個人情報の保護に関する法律に基づく行政上の対応について
資料２	個人情報保護法の違反行為に係る事例等
資料３	現行制度と検討の方向性について（課徴金制度）
資料４	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度）
参考資料１	第２回検討会における主な御意見
参考資料２	個人情報の保護に関する基本方針
参考資料３	個人情報の保護に関する法律に基づく行政上の対応について（令和６年９月11日公表資料）
参考資料４	関係参考資料
議事録	第３回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.09.05	第２回個人情報保護法のいわゆる３年ごと見直しに関する検討会
資料１	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料２	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果（概要）
資料３	今後の検討の進め方
資料４	監視・監督活動及び漏えい等報告に関する説明資料
参考資料１	第1回検討会における主な意見
参考資料２	第1回検討会における主な質問及び回答
参考資料３	関係参考資料
議事録
2024.09.04	第299回個人情報保護委員会
資料1-1	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料1-2	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果（概要）
議事概要
議事録
2024.07.31	第１回個人情報保護法のいわゆる３年ごと見直しに関する検討会
資料1	開催要綱（案）
資料2	主婦連合会御提出資料
資料3	新経済連盟御提出資料
資料4	全国消費者団体連絡会御提出資料
資料5	全全国消費生活相談員協会御提出資料
資料6	日本IT 団体連盟御提出資料
資料7	日本経済団体連合会御提出資料
参考資料1	「個人情報保護法いわゆる３年ごと見直しに係る検討の中間整理」概要
参考資料2	「個人情報保護法いわゆる３年ごと見直しに係る検討の中間整理」本文
議事録
2024.07.24	第296回個人情報保護委員会
資料1	個人情報保護法のいわゆる３年ごと見直しに関する検討会の設置について
議事概要
議事録
2024.06.26	第292回個人情報保護委員会
資料１	個人情報保護法いわゆる３年ごと見直しに係る検討の中間整理（案）
【委員長預かりで会議後に修正した資料】資料１	個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理
資料２−１	日EU相互認証の枠組みの拡大に向けた対応について
資料２−２	個人情報保護委員会藤原靜雄委員長と欧州委員会ベラ・ヨウロバー副委員長（価値・透明性担当）の会談に関する共同プレス・ステートメント（英語）
資料２−３	個人情報保護委員会藤原靜雄委員長と欧州委員会ベラ・ヨウロバー副委員長（価値・透明性担当）の会談に関する共同プレス・ステートメント（日本語仮訳）
資料３	一般送配電事業者及び関係小売電気事業者等における顧客情報の不適切な取扱事案に対する個人情報の保護に関する法律に基づく行政上の対応について
議事概要
議事録
2024.06.13	第290回個人情報保護委員会
資料１－１	第二次いわゆる３年ごと見直しへのコメント（ひかり総合法律事務所　板倉弁護士）
資料１－２	デジタル社会の個人情報保護法（新潟大学　鈴木教授）
議事概要
議事録
2024.06.12	第289回個人情報保護委員会
資料１－１	個人情報保護委員会「いわゆる３年ごと見直し」ヒアリング（国立情報学研究所　佐藤教授）
資料１－２	個人情報保護法３年ごと見直し令和６年に対する意見（産業技術総合研究所　高木主任研究員）
議事概要
議事録
2024.06.03	第287回個人情報保護委員会
資料１－１	個人情報保護法見直しに関するコメント（京都大学　曽我部教授）
資料１－２	いわゆる3年ごと見直しに関する意見（慶應義塾大学　山本教授）
資料１－３	３年ごと見直しヒアリング２０２４（英知法律事務所　森弁護士）
資料１－４－1	個人情報保護法のいわゆる３年ごと見直しに関する意見（東京大学　宍戸教授）
資料１－４－2	宍戸常寿氏御提出資料（令和元年５月21日提出）
議事概要
議事録
2024.05.29	第286回個人情報保護委員会
資料１	個人情報保護法いわゆる３年ごと見直し規定に基づく検討（実効性のある監視・監督の在り方③）
議事概要
議事録
2024.05.15	第284回個人情報保護委員会
資料２	個人情報保護法いわゆる３年ごと見直し規定に基づく検討（データ利活用に向けた取組に対する支援等の在り方）
資料３	個人情報保護法いわゆる３年ごと見直し規定に基づく検討（実効性のある監視・監督の在り方②）
議事概要
議事録
2024.05.10	第283回情報保護委員会
資料１－１	個人情報保護法における課徴金制度導入にかかる諸論点（名古屋大学林教授）
資料１－２	個人情報保護法における法執行の強化について（神戸大学中川教授）
議事概要
議事録
2024.04.24	第281回個人情報保護委員会
資料１	個人情報保護法の３年ごと見直しに対する意見
資料２	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方③）
議事概要
議事録
2024.04.10	第280回個人情報保護委員会
資料１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方② ）
議事概要
議事録
2024.04.03	第279回個人情報保護委員会
資料１―１	AIと個人情報保護：欧州の状況を中心に（一橋大学生貝教授）
資料１―２	AI利用と個人情報の関係の考察（NTT社会情報研究所高橋チーフセキュリティサイエンティスト）
資料１−３	医療情報の利活用の促進と個人情報保護（東京大学森田名誉教授）
資料１―４	医療・医学系研究における個人情報の保護と利活用（早稲田大学　横野准教授）
議事概要
議事録
2024.03.22	第277回個人情報保護委員会
資料１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（実効性のある監視・監督の在り方①）
議事概要
議事録
2024.03.06	第275回個人情報保護委員会
資料１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方①）
議事概要
議事録
2024.02.21	第273回個人情報保護委員会
資料４	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討項目
【委員長預かりで会議後に修正した資料】資料４	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討項目
議事概要
議事録
2024.02.14	第272回個人情報保護委員会
資料２－１	地方公共団体における個人情報保護法運用状況のヒアリング（京都府総務部政策法務課）
資料２－２	岡山市における個人情報保護法の運用状況（岡山市総務局行政事務管理課）
資料２－３	個人情報保護法運用状況について（都城市総務部総務課）
資料２－４	個人情報保護法運用状況について（上里町総務課）
議事概要
議事録
2024.02.07	第271回個人情報保護委員会
資料１	インターネット広告における個人に関する情報の取扱いについての取組状況（日本インタラクティブ広告協会）
議事概要
議事録
2024.01.31	第270回個人情報保護委員会
資料２	個人情報保護法の3 年ごと見直しに対する意見（日本経済団体連合会）
議事概要
議事録
2024.01.23	第268回個人情報保護委員会
資料１―１	(特定)適格消費者団体の活動について（消費者支援機構関西）
資料１―２	個人情報保護委員会ヒアリング資料（日本商工会議所）
議事概要
議事録
2023.12.21	第266回個人情報保護委員会
資料１―１	個人情報保護法の３年ごと見直しに関する意見（電子情報技術産業協会）
資料１―２	ヒアリング資料（全国商工会連合会）
議事概要
議事録
2023.12.20	第265回個人情報保護委員会
資料１―１	ACCJ Comments for the Personal Information Protection Commission Public Hearing（在米国商工会議所）
資料１―２	公開ヒアリングに向けたACCJ意見（在米国商工会議所）
議事概要
議事録
2023.12.15	第264回個人情報保護委員会
資料１―１	個人情報保護法の見直しについて（新経済連盟）
資料１―２	個人情報保護法見直しに関する意見（日本IT団体連盟）
議事概要
議事録
2023.12.06	第263回個人情報保護委員会
資料２	個人情報保護法に関する欧州企業の代表的な課題（欧州ビジネス協会）
議事概要
議事録
2023.11.29	第262回個人情報保護委員会
資料１	ヒアリング資料（一般社団法人日本情報経済社会推進協会）
議事概要
議事録
2023.11.15	第261回個人情報保護委員会
資料２－１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討
資料２－２	個人情報保護に係る主要課題に関する海外・国内動向調査　概要資料
議事概要
議事録

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.02.10 個人情報保護委員会いわゆる3年ごと見直しに係る検討関係（第314回委員会）

・2025.01.23 個人情報保護委員会いわゆる3年ごと見直しに係る検討関係（第311-312回委員会）

・2024.12.20 個人情報保護委員会いわゆる3年ごと見直しに係る検討関係（第310回委員会、第6-7回検討会）

・2024.11.26 個人情報保護委員会いわゆる3年ごと見直しに係る検討関係（第304回委員会、第3-5回検討会）

・2024.09.06 個人情報保護委員会いわゆる3年ごと見直しに係る検討関係（第299回委員会、第2回検討会）

・2024.08.04 個人情報保護委員会第１回個人情報保護法のいわゆる３年ごと見直しに関する検討会

・2024.06.28 個人情報保護委員会意見募集いわゆる3年ごと見直しに係る検討の中間整理

・2024.06.04 個人情報保護委員会個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中... （２）

・2024.04.25 個人情報保護委員会個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中...

・2024.01.06 個人情報保護委員会個人情報保護法の3年ごとの見直しに関する意見をヒアリング中...

2025.03.12 13:30 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in 内部統制 / リスクマネジメント, in ロボット, in AI/Deep Learning | Permalink | Comments (0)
Tweet

欧州 EDPB 忘れられる権利に関する協調行動 (2025.03.05)

こんにちは、丸山満彦です。

EDPBが忘れられる権利（right to erasure or the “right to be forgotten” (Art.17 GDPR)）についての具体的な活動をEU27カ国32のデータ保護当局と一緒にやっていくと公表しています...

協調的に行動をしていくというのが、EDPB 2024-2027の戦略の一つですが、その一環ですね...

過去に行ってきたのは次の３つです...

・the use of cloud-based services by the public sector	・公共部門によるクラウドベースのサービス利用
・the designation and position of Data Protection Officers	・データ保護責任者の指定と地位
・the implementation of the right of access by controllers	・データ管理者によるアクセス権の実施

⚫︎ European Data Protection Board: EDPB

・2025.03.05 CEF 2025: Launch of coordinated enforcement on the right to erasure

CEF 2025: Launch of coordinated enforcement on the right to erasure	CEF 2025：消去権に関する協調的執行の開始
Brussels, 05 March - The European Data Protection Board (EDPB) has launched its Coordinated Enforcement Framework (CEF) action for 2025. Following a year-long coordinated action on the right of access in 2024, the CEF's focus this year will shift to the implementation of another data protection right, namely the right to erasure or the “right to be forgotten” (Art.17 GDPR).	ブリュッセル、3月5日 - 欧州データ保護委員会（EDPB）は、2025年の調整執行枠組み（CEF）行動を開始した。2024年のアクセス権に関する1年間の調整行動に続き、今年のCEFの焦点は別のデータ保護権、すなわち消去権または「忘れられる権利」（GDPR第17条）の実施に移る。
The Board selected this topic during its October 2024 plenary as it is one of the most frequently exercised GDPR rights and one about which DPAs frequently receive complaints from individuals.	2024年10月の理事会本会議でこのテーマが選ばれたのは、GDPRで最も頻繁に行使されている権利のひとつであり、DPAが個人から苦情を受けることが多い権利だからである。
Next steps	次のステップ
During 2025, 32 Data Protection Authorities (DPAs) across Europe will take part in this initiative.	2025年中に、欧州全域の32のデータ保護当局（DPA）がこのイニシアチブに参加する。
Participating DPAs will soon contact a number of controllers from different sectors across Europe, either by opening new formal investigations or doing fact-finding exercises. In the latter case, they might also decide to undertake additional follow-up actions if needed.	参加するDPAは間もなく、新たな正式調査を開始するか、事実調査を行うかして、欧州全域のさまざまな分野の管理者に接触する。後者の場合、必要に応じて追加的なフォローアップを行うことも決定される。
DPAs will check how controllers handle and respond to the requests for erasure that they receive and, in particular, how they apply the conditions and exceptions for the exercise of this right.	DPAは、管理者が受領した抹消要求をどのように処理し、対応しているか、特に、この権利を行使するための条件と例外をどのように適用しているかをチェックする。
DPAs will also stay in close contact to share and discuss their findings throughout this year. The results of these national actions will be aggregated and analysed together to generate deeper insight into the topic, allowing for targeted follow-ups on both national and EU levels.	DPAはまた、今年1年を通じて、調査結果を共有し、議論するために緊密に連絡を取り合う。これらの国別措置の結果は、このテーマについてより深い洞察を得るために集約・分析され、国とEUの両レベルで的を絞ったフォローアップが可能となる。
Background	背景
The CEF is a key action of the EDPB under its 2024-2027 strategy, aimed at streamlining enforcement and cooperation among DPA.	CEFは、EDPBの2024～2027年戦略における重要な活動であり、DPA間の執行と協力の合理化を目指している。
In the past three years, three previous CEF actions on different topics were carried out:	過去3年間で、異なるテーマに関するCEFのこれまでの3つの活動が実施された。
・the use of cloud-based services by the public sector,	・公共部門によるクラウドベースのサービス利用、
・the designation and position of Data Protection Officers, and	・データ保護責任者の指定と地位、
・the implementation of the right of access by controllers.	・データ管理者によるアクセス権の実施
For further information:	詳細はこちら：
AT DPA: Coordinated Enforcement Framework 2025 (CEF 2025) - EDSA	AT DPA：協調執行枠組み2025（CEF2025） - EDSA
DA DPA: EDPB igangsætter koordineret indsats om retten til sletning	DA DPA: EDPBが消去権に関する協調行動を開始
DE DPA (Baden-Wuerttemberg): Europaweite Aktion zum Recht auf Löschung	DE DPA (バーデン＝ヴュルテンベルク州): 削除権に関する欧州規模のキャンペーン
DE DPA (Berlin): PRESSEMITTEILUNG der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 5. März 2025	DE DPA（ベルリン）： DE DPA（ベルリン）: 2025年4月5日、連邦および各州の統一データ保護委員会会議のプレスリリース
DE DPA (Brandenburg): Brandenburgische Datenschutzaufsicht beteiligt sich an europaweiter Prüfung zum Recht auf Löschung mit Schwerpunkt Wohnungsunternehmen	DE DPA（ブランデンブルク州）：ブランデンブルク州のデータ保護当局、住宅会社に焦点を当てた欧州全域の消去権監査に参加
ES DPA: La AEPD participa en una acción europea para analizar la aplicación del derecho de supresión	ES DPA: AEPDは、欧州における削除権の適用に関する分析活動に参加している。
EL DPA: Έναρξη συντονισμένης δράσης του ΕΣΠΔ 2025 σχετικά με το δικαίωμα διαγραφής	EL DPA：2025年EAPCにおける対話の権利に関する協調行動の開始
FI DPA: Tietosuojavaltuutetun toimisto selvittää henkilötietojen poisto-oikeuden toteutumista osana EU:n laajuista toimenpidettä	FI DPA：データ保護監督局、EU全域にわたる活動の一環として、個人データの消去権の実施状況を調査する。
HR DPA: Započela nova koordinirana akcija EDPB-a: pravo na brisanje	HR DPA：EDPBが新たな協調行動を開始：削除権
IE DPA: Launch of coordinated enforcement action on the right to erasure	IE DPA：消去権に関する協調的執行措置の開始
IT DPA: GDPR, il Garante italiano partecipa al CEF 2025 sul diritto alla cancellazione	IT DPA：GDPR、イタリアデータ保護当局がCEF 2025の消去権に関するセッションに参加
LI DPA: Europäische Initiative zum Recht auf Löschung	LI DPA: 忘れられる権利に関する欧州のイニシアティブ
MT DPA: Launch of Coordinated Enforcement Action on the Right to Erasure	MT DPA：削除権に関する調整された執行措置の開始
SI DPA: Informacijski pooblaščenec bo v letu 2025 nadzoroval upoštevanje pravice do izbrisa	SI DPA：情報コミッショナーは2025年の消去権の遵守を監視する
上記のリストにはないですがスウェーデンも...
SE DPA; Samordnad europeisk undersökning om rätten till radering	SE DPA; 消去権に関する欧州共同調査

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2024.04.20 欧州 EDPB Strategy 2024-2027 (2024.04.18)

・2023.04.19 EDPB データ主体の権利（アクセス権）に関するガイドライン（最終版）を採択

・2023.01.20 EDPB 公共部門によるクラウドサービス利用のためのプライバシーに関する勧告を決定、クッキーバナータスクフォースの報告書を採択

2025.03.12 05:50 in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2025.03.11

フィッシング対策協議会技術・制度検討 WG 報告会（2025.02.25）

こんにちは、丸山満彦です。

2025.02.25 に開催されたフィッシング対策協議会技術・制度検討 WG 報告会の資料が公開されています。

フィッシングによってID、パスワード等を搾取されたり、マルウェアを仕込まれたりと、被害の入り口となるわけですが、対応している団体は自分たちが悪いわけではないのに、いろいろと対応をし、お客様含め社会全体の被害が広がらないように努力されていますね...

国民生活全体に関わる話なので、事業者が実施している対策の一部でもよいので、国民の税金による対策というのも議員、政府の皆様は考えても良いのかも知れませんね...もちろん、NISC、総務省、警察庁、金融庁、消費者庁等が、情報提供や被害防止のための活動をしているのは承知していますが...

⚫︎ フィッシング対策協議会

・2025.02.25 技術・制度検討WG 報告会

2025年版フィッシングレポートの概要とポイント	加藤孝浩氏	TOPPANエッジ株式会社フィッシング対策協議会運営委員長
フィッシング対策ガイドライン2025の概要と改訂ポイント	木村泰司氏	一般社団法人日本ネットワークインフォメーションセンター技術・制度検討WG主査
フィッシングに対する意識調査の紹介	鈴木伸吾氏	NTTコムオンライン・マーケティング・ソリューション株式会社
DMARCの普及状況	加藤孝浩氏	TOPPANエッジ株式会社フィッシング対策協議会運営委員長
パスキーについて	松本悦宜氏	Capy株式会社
進化したワンタイムパスワード	藤井治彦氏	バンクガード株式会社

2025年版フィッシングレポートの概要とポイントから...

フィッシングに対する意識調査の紹介から...

» Continue reading

2025.03.11 09:38 in 情報セキュリティ / サイバーセキュリティ, in フィッシング, in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

米国 NIST SP800-226 差分プライバシー保証の評価に関するガイドライン (2025.03.06)

こんにちは、丸山満彦です。

NISTが、プライバシー強化技術 (privacy enhancing technologies：PETs) の一つである差分プライプライバシー (Differential Privacy) についてのガイドラインである、「SP800-226 差分プライバシー保証（guarantees）の評価に関するガイドライン」を公表していますね...
データセットにデータが掲載された際に事業体が被るプライバシーの損失を定量化する数学的枠組みとういうことです...

保証と訳している言語はguaranteesです。assuranceではなく...

⚫︎ NIST - ITL

・2025.03.06 NIST SP 800-226 Guidelines for Evaluating Differential Privacy Guarantees

NIST SP 800-226 Guidelines for Evaluating Differential Privacy Guarantees	NIST SP 800-226 差分プライバシー保証の評価に関するガイドライン
Abstract	概要
This publication describes differential privacy — a mathematical framework that quantifies privacy loss to entities when their data appears in a dataset. The primary goal of this publication is to help practitioners of all backgrounds better understand how to think about differentially private software solutions. Multiple factors for consideration are identified in a differential privacy pyramid along with several privacy hazards, which are common pitfalls that arise as the mathematical framework of differential privacy is realized in practice.	本書は、データセットにデータが掲載された際に事業体が被るプライバシーの損失を定量化する数学的枠組みである「差分プライバシー」について説明している。本書の主な目的は、あらゆる背景を持つ実務家が、差分プライバシーのソフトウェアソリューションについてどのように考えるべきかをより深く理解できるよう支援することである。差分プライバシーのピラミッドでは、考慮すべき複数の要因が識別されており、また、差分プライバシーの数学的枠組みが実際に適用される際に生じる一般的な落とし穴であるプライバシーの危険性についても言及している。

・[PDF] NIST.SP.800-226

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1.序文
1.1. De-Identification and Re-Identification	1.1.識別解除と再識別
1.2. Unique Elements of Differential Privacy	1.2.差分プライバシーのユニークな要素
1.3. Differential Privacy and the U.S. Federal Regulatory Landscape	1.3.差分プライバシーと米国連邦規制の状況
2. The Differential Privacy Guarantee	2.差分プライバシー保証
2.1. The Promise of Differential Privacy	2.1.差分プライバシーの約束
2.1.1. The Math of Differential Privacy	2.1.1.差分プライバシーの数学
2.1.2. Properties of Differential Privacy	2.1.2.差分プライバシーの性質
2.2. The Privacy Parameter ε	2.2.プライバシー・パラメータε
2.3. Variants of Differential Privacy	2.3.差分プライバシーのバリエーション
2.4. The Unit of Privacy	2.4.プライバシーの単位
2.4.1. Bounded and Unbounded Differential Privacy	2.4.1.有界と無界の差分プライバシー
2.4.2. Defining One Person’s Data	2.4.2.個人データを定義する
2.5. Comparing Differential Privacy Guarantees	2.5.差分プライバシー保証の比較
2.6. Mixing Differential Privacy With Other Data Releases	2.6.差分プライバシーを他のデータ・リリースと混ぜる
2.7. Auditing and Empirical Measures of Privacy	2.7.監査とプライバシーの経験的尺度
3. Differentially Private Algorithms	3.微分プライベートアルゴリズム
3.1. Basic Mechanisms and Common Elements	3.1.基本メカニズムと共通要素
3.2. Utility and Accuracy	3.2.実用性と精度
3.3. Bias	3.3.バイアス
3.3.1. Systemic Bias	3.3.1.システミック・バイアス
3.3.2. Human Bias	3.3.2.人間のバイアス
3.3.3. Statistical Bias	3.3.3.統計バイアス
3.4. Analytics Queries	3.4.分析クエリー
3.4.1. Counting Queries	3.4.1.クエリーを数える
3.4.2. Summation Queries	3.4.2.合計クエリー
3.4.3. Average Queries	3.4.3.平均クエリー
3.4.4. Min/Max Queries	3.4.4.最小/最大クエリー
3.5. Machine Learning	3.5.機械学習
3.6. Synthetic Data	3.6.合成データ
3.7. Unstructured Data	3.7.非構造化データ
4. Deploying Differential Privacy	4.差分プライバシーを展開する
4.1. Query Models	4.1.クエリーモデル
4.2. Trust Models	4.2.信頼モデル
4.2.1. Central Model	4.2.1.セントラルモデル
4.2.2. Local Model	4.2.2.ローカルモデル
4.2.3. Future Directions: Shuffle and Secure Computation Models	4.2.3.今後の方向性シャッフルとセキュアな計算モデル
4.3. Mechanism Implementation Challenges	4.3.メカニズム導入の課題
4.4. Data Security and Access Control	4.4.データセキュリティとアクセス管理
4.5. Data Collection Exposure	4.5.データ収集エクスポージャー
4.6. Conclusion	4.6.結論
References	参考文献
Appendix A. Glossary	附属書A.用語集
Appendix B. Technical Details	附属書B.技術的詳細
Appendix B.1. Definition of (ε,δ )-Differential Privacy	附属書B.1.定義(ε,δ )-差分プライバシーの
Appendix B.2. Definitions of Sensitivity and Basic Mechanisms	附属書B.2.感度と基本的メカニズムの定義
Appendix B.3. Details: Counting Queries	附属書B.3.詳細カウントクエリー
Appendix B.4. Details: Summation Queries	附属書B.4.詳細合計クエリー
Appendix B.5. Details: Average Queries	附属書B.5.詳細平均クエリー
Appendix B.6. Details: Differentially Private Stochastic Gradient Descent	附属書B.6.詳細微分私的確率的勾配降下法
Appendix B.7. Evaluating Software Libraries for Differential Privacy	附属書B.7.差分プライバシーのためのソフトウェア・ライブラリの評価

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
Data analytics is an essential tool to help organizations make sense of the enormous volume of data being generated by information technologies. Many organizations — in government, industry, academia, or civil society — use data analytics to improve research, develop more effective services, combat fraud, and inform decision‐making to achieve mission or business objectives. However, privacy risks can arise when the data being analyzed relates to or affects individuals, which may limit or prevent organizations from realizing the full potential of data analysis. Privacy‐Enhancing Technologies (PETs) can help mitigate privacy risks while enabling more uses of data.	データ分析は、情報技術の使用によって生成される膨大な量のデータを理解する上で、組織にとって不可欠なツールである。政府、産業界、学術界、市民社会など、多くの組織が、研究の改善、より効果的なサービスの開発、不正行為の防止、意思決定の支援など、ミッションや事業目標の達成のためにデータ分析を使用している。しかし、分析対象のデータが個人に関係している場合や個人に影響を与える場合には、プライバシーに関するリスクが生じる可能性があり、それが原因で組織がデータ分析の潜在能力を十分に活用できない場合がある。プライバシー強化技術（PET）は、プライバシー・リスクを軽減しながら、データの利用を拡大することができる。
This publication describes differential privacy — a PET that quantifies privacy risk to individuals when their data appears in a dataset. Differential privacy was first defined in 2006 as a theoretical framework and is still making the transition from theory to practice. This publication is intended to help those who need to manage the risks of data analytics and data sharing — including business owners, product managers, privacy personnel, security personnel, software engineers, data scientists, and academics — understand, evaluate, and compare differential privacy guarantees. In particular, this publication highlights privacy hazards that practitioners should consider carefully.	本書では、データセットに個人のデータが含まれる場合の個人のプライバシー・リスクを定量化するプライバシー強化技術である差分プライバシーについて説明する。差分プライバシーは2006年に理論的な枠組みとして初めて定義され、現在も理論から実践への移行が進められている。本書は、データ分析やデータ共有に伴うリスクマネジメントを必要とする人々（事業主、製品管理者、プライバシー担当者、セキュリティ担当者、ソフトウェアエンジニア、データサイエンティスト、学術関係者など）が、差分プライバシーの保証を理解、評価、比較するのに役立つことを目的としている。特に、本書では実務家が慎重に考慮すべきプライバシー上の危険性について強調している。
This publication is organized into four sections. Sec. 2 defines differential privacy, Sec. 3 describes techniques for achieving differential privacy and its properties, and Sec. 4 covers important related concerns for deployments of differential privacy. A supplemental, interactive software archive is also included to increase understanding of differential privacy and techniques for achieving it.	本書は4つのセクションで構成されている。第2章では差分プライバシーを定義し、第3章では差分プライバシーを実現するための技術と特性について説明し、第4章では差分プライバシーの展開に関する重要な関連事項を取り上げる。補足として、差分プライバシーとそれを実現するための技術についての理解を深めるためのインタラクティブなソフトウェアアーカイブも含まれている。
The Differential Privacy Guarantee (Sec. 2)	差分プライバシー保証（セクション2）
Differential privacy promises that a reduction in privacy caused by a data analysis or published dataset will be bounded for all individuals about whom data are found in the dataset. In other words, any privacy reduction to an individual that results from a differentially private analysis could have happened even if the individual had not contributed their data. This section introduces differential privacy, describes its properties, explains how to reason about and compare differential privacy guarantees, describes how the differential privacy guarantee can impact real‐world outcomes, and highlights potential hazards in defining and evaluating these guarantees.	差分プライバシーは、データ分析または公開されたデータセットによってプライバシーが侵害されることが、データセット内のデータが見つかったすべての個人に対して制限されることを保証する。言い換えれば、差分プライバシー分析によって個人のプライバシーが侵害されることは、その個人がデータを提出していなくても起こり得るということである。このセクションでは、差分プライバシーについて紹介し、その特性を説明し、差分プライバシーの保証についてどのように推論し比較するかを説明し、差分プライバシーの保証が現実の結果にどのような影響を与えるかを説明し、これらの保証を定義し評価する上での潜在的な危険性を指摘する。
Differentially Private Algorithms (Sec. 3)	微分的プライベートアルゴリズム (セクション3)
Differential privacy is generally achieved by adding random noise to analysis results. More noise yields better privacy but degrades the utility of the result. This privacy‐utility tradeoff can make it difficult to achieve both high utility and strong privacy protection. Statistical disclosure control techniques, where records or features are redacted based on their perceived identifiability, can sometimes also create or magnify systemic, human, or statistical bias in results—as is generally true for statistical disclosure control—so care must be taken to understand and mitigate these impacts.	差分プライバシーは一般的に、分析結果にランダムノイズを追加することで実現される。ノイズを多くするとプライバシーはより保護されるが、結果の有用性は低下する。このプライバシーと有用性のトレードオフにより、高い有用性と強固なプライバシー保護の両立が困難になる場合がある。統計的開示制御技術では、識別可能性が認識されたレコードや特徴が削除されるが、その結果、システム的、人的、または統計的なバイアスが生じたり、拡大したりする場合がある。これは一般的に統計的開示制御に当てはまることであるため、これらの影響を理解し緩和するために注意が必要である。
This section describes algorithms for a wide range of data processing scenarios. Differentially private algorithms exist for analytics queries (e.g., counting, histograms, summation, and averages), regression tasks, machine learning tasks, synthetic data generation, and the analysis of unstructured data. Implementing differentially private algorithms requires significant expertise primarily due to a variety of factors which includes the use of random sampling. The randomized aspects of the algorithms can be difficult to get right and easy to get wrong, and—like implementing cryptography—it is best to use existing rigorously validated libraries when possible.	このセクションでは、幅広いデータ処理シナリオに対応するアルゴリズムについて説明する。差分プライバシーアルゴリズムは、分析クエリ（カウント、ヒストグラム、総和、平均など）、回帰タスク、機械学習タスク、合成データ生成、非構造化データの分析などに対応している。差分プライバシーアルゴリズムを実装するには、主にランダムサンプリングの使用を含むさまざまな要因により、高度な専門知識が必要となる。アルゴリズムのランダムな側面を正しく実装することは難しく、誤りやすい。暗号化の実装と同様に、可能な限り厳密に妥当性確認された既存のライブラリを使用するのが最善である。
Deploying Differential Privacy (Sec. 4)	差分プライバシーの展開（セクション4）
Differential privacy protects privacy of data subjects in the context of intentional differentially private data releases, but does not protect data as it is collected, stored, and analyzed in raw form. This section describes practical concerns about deploying differentially private analysis techniques, including the trust model, which describes potential malicious parties and steps they might take; implementation challenges that can cause unexpected privacy failures; and additional security concerns and data collection exposure. For example, sensitive data must be stored securely with strong access control policies and mechanisms— following industry best practices—or not stored at all. A data breach that results in the unauthorized release of sensitive raw data records will nullify any differential privacy guarantee that has been established for the leaked records; however the differential privacy guarantee will still hold for all records that were not leaked.	差分プライバシーは、意図的な差分プライバシーデータ公開の文脈においてデータ対象者のプライバシーを保護するが、収集、保存、分析の生データとしてのデータは保護しない。このセクションでは、潜在的な悪意のある当事者とその行動を説明する信頼モデル、予期せぬプライバシー侵害を引き起こす可能性のある実装上の課題、追加のセキュリティ上の懸念事項とデータ収集のエクスポージャーなど、差分プライバシー分析技術の展開に関する実用的な懸念事項について説明する。例えば、機密データは、業界のベストプラクティスに従って、強力なアクセス管理ポリシーとメカニズムにより安全に保管するか、あるいは一切保管しない必要がある。機密の生データレコードが不正に公開された結果、データ侵害が発生した場合、漏洩したレコードに対して確立された差分プライバシーの保証は無効となる。しかし、漏洩していないすべてのレコードに対しては、差分プライバシーの保証は依然として有効である。
Toward Standardization, Certification, and Evaluation	標準化、認証、評価に向けて
This publication is intended to be a first step toward building standards for differential privacy guarantees to ensure that deployments of differential privacy provide robust realworld privacy protections. In particular, a standard for differential privacy guarantees should prescribe a methodology for setting parameters that addresses all of the privacy hazards described in this publication, and that also balances the strength of privacy guarantees against the anticipated benefits of publishing the data. Such a standard would allow for the construction of tools to evaluate differential privacy guarantees and the systems that provide them as well as the certification of systems that conform with the standard. The certification of differential privacy guarantees is particularly important given the challenge of communicating these guarantees to non‐experts. A thorough certification process would provide non‐experts with an important signal that a particular system will provide robust guarantees without requiring them to understand the details of those guarantees.	本書は、差分プライバシーの実装が現実世界において強固なプライバシー保護を提供することを保証するための、差分プライバシー保証の標準構築に向けた第一歩となることを目的としている。特に、差分プライバシー保証の標準は、本書で説明されているプライバシー上の危険性をすべて考慮したパラメータ設定の方法論を規定し、プライバシー保証の強度とデータ公開による予想される利益とのバランスを取るものでなければならない。このような標準があれば、差分プライバシー保証を評価するツールや、それを提供するシステムの構築が可能になるだけでなく、標準に準拠するシステムの認証も可能になる。差分プライバシーの保証の認証は、専門家ではない人々に対してこれらの保証を伝えるという課題を考慮すると、特に重要である。徹底した認証プロセスは、専門家ではない人々に対して、特定のシステムが強固な保証を提供することを保証する重要なシグナルとなる。
Differential Privacy and Policy	差分プライバシーとポリシー
Since differential privacy is the only rigorous mathematical definition of privacy at this time, it is likely to play an important role in the release of official statistics. This document is not intended to provide guidance to U.S. federal (and other government) agencies on navigating differential privacy’s interactions with law, regulation, and policy. U.S. federal agencies, especially statistical agencies, have important responsibilities to release accurate information with potentially differing definitions of accuracy.	差分プライバシーは現時点で唯一の厳密な数学的プライバシーの定義であるため、公式統計の公開において重要な役割を果たす可能性が高い。本書は、差分プライバシーと法律、規制、政策との関連性について、米国連邦政府（およびその他の政府）機関に指針を与えることを目的としたものではない。米国連邦政府機関、特に統計機関は、正確性の定義が異なる可能性がある中で、正確な情報を公開するという重要な責任を負っている。

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.12.13 NIST SP 800-226（初期公開ドラフト）差分プライバシー保証 (Guarantees) を評価するためのガイドライン

PETs

・2024.12.26 米国 NIST IR 8467 (第２次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワークコミュニティプロファイル (2024.12.16)

・2024.11.23 英国 ICO&科学・革新・技術省プライバシー強化技術 (PETs) の費用対効果認識ツール (2024.11.07)

・2024.06.28 個人情報保護委員会意見募集いわゆる3年ごと見直しに係る検討の中間整理

・2024.04.11 インドデータセキュリティ協議会セキュリティとプライバシーリスクの低減：生成的AIのエンタープライズ利用ガイド (2024.03.21)

・2024.04.10 欧州議会欧州委員会が提出した「国境を越えたケースにおけるGDPRの執行強化を確保するための規則」案についての意見を公表していますね...

・2023.10.31 米国人工知能の安全、安心、信頼できる開発と利用に関する大統領令

・2023.10.16 カナダプライバシーコミッショナー意見募集バイオメトリクス指針案 (2023.10.11)

・2023.06.28 英国 ICO 金融、医療、研究、中央・地方政府で大規模な個人データセットを使用しているデータ保護担当者などを対象とした新しいPETsガイダンスを作成 (2023.06.19)

・2023.04.08 米国プライバシーを保護した上でデータ共有と分析を推進する国家戦略・デジタル資産研究開発のための国家目標 (2023.03.29)

・2023.04.05 米国政府による監視技術の使用に関する指導原則　権威主義的な政権に対抗するための民主主義を肯定する検閲防止技術を推進するための米国政府官民の呼びかけ (2023.03.30)

・2023.04.04

・2023.03.31 ENISA 「クラウド・サイバーセキュリティ市場分析 2023」と「サイバーセキュリティ市場分析手法の更新」

・2023.03.24 OECD 先進のプライバシー強化技術 - 現在の規制・政策アプローチ (2023.03.08)

・2023.01.26 英国王立学会プライバシー向上技術 (PETs) (2023.01.23)

・2022.11.01 第44回世界プライバシー会議　顔認識に関する決議

・2022.09.11 英国 ICO プライバシー強化技術に関するガイダンス案を発表

・2022.01.29 ENISA データ保護エンジニアリング

・2021.07.19 U.K. プライバシー強化技術：採用ガイド β版 by デジタル・文化・メディア・スポーツ省データ倫理・イノベーションセンター

・2021.02.11 NIST NISTIR 8301 Blockchain Networks: Token Design and Management Overview（ブロックチェーンネットワーク：トークンのデザインと管理の概要）

・2020.10.16 World Economic Forumからサイバーセキュリティの報告書（Cyber Information Sharing: Building Collective Security）が出ていましたね。。。

少し古いですが...

・2010.07.27 London Economics "Study on the economic benefits of privacy-enhancing technologies (PETs) "

2025.03.11 06:47 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証 | Permalink | Comments (0)
Tweet

米国 NIST CSWP 39（初期公開ドラフト）暗号化の機敏性を実現するための考慮事項：戦略と実践

こんにちは、丸山満彦です。

NISTが、暗号化の機敏性（アジリティ）を実現するための考慮事項：戦略と実践を公表していますね...

Fig3. 組織の暗号リスクを管理するための暗号アジリティ戦略計画

⚫︎ NIST - ITL

・2025.03.05 NIST CSWP 39 (Initial Public Draft) Considerations for Achieving Cryptographic Agility: Strategies and Practices

NIST CSWP 39 (Initial Public Draft) Considerations for Achieving Cryptographic Agility: Strategies and Practices	NIST CSWP 39（初期公開ドラフト）暗号化の機敏性を実現するための考慮事項：戦略と実践
Announcement	発表
Advances in computing capabilities, cryptographic research, and cryptanalytic techniques periodically create the need to replace algorithms that no longer provide adequate security for their use cases. For example, the threats posed by future cryptographically-relevant quantum computers (CRQCs) to public-key cryptography are addressed by NIST post-quantum cryptography (PQC) standards. Migrating to PQC in protocols, applications, software, hardware, and infrastructures presents an opportunity to explore capabilities that could allow this cryptographic algorithm migration and future migrations to be easier to achieve by adopting a cryptographic (crypto) agility approach.	コンピューティング能力、暗号研究、暗号解読技術の進歩により、使用事例に対して十分なセキュリティを提供できなくなったアルゴリズムを定期的に置き換える必要性が生じる。例えば、公開鍵暗号に対する将来的な暗号関連量子コンピュータ（CRQC）の脅威は、NISTの耐量子暗号（PQC）標準によって対処される。プロトコル、アプリケーション、ソフトウェア、ハードウェア、インフラストラクチャをPQCに移行することは、暗号（クリプト）アジリティのアプローチを採用することで、この暗号アルゴリズムの移行や将来の移行をより容易に実現できる可能性を探る機会となる。
Crypto agility describes the capabilities needed to replace and adapt cryptographic algorithms for protocols, applications, software, hardware, and infrastructures without interrupting the flow of a running system to achieve resiliency. This draft NIST Cybersecurity White Paper (CSWP) provides an in-depth survey of current approaches and considerations to achieving crypto agility. It discusses challenges, trade-offs, and some approaches to providing operational mechanisms for achieving crypto agility while maintaining interoperability. It also highlights some critical working areas that require additional discussion.	クリプトアジリティとは、レジリエンシーを実現するために稼働中のシステムのフローを中断することなく、プロトコル、アプリケーション、ソフトウェア、ハードウェア、インフラストラクチャの暗号アルゴリズムを置き換え、適応させるために必要な能力を指す。このNISTサイバーセキュリティ白書（CSWP）ドラフトでは、暗号アジリティの達成に向けた現在のアプローチと考慮事項について詳細な調査を行っている。相互運用性を維持しながら暗号アジリティを達成するための運用メカニズムの提供に関する課題、トレードオフ、およびいくつかのアプローチについて論じている。また、さらなる議論が必要ないくつかの重要な作業領域についても強調している。
NIST also invites discussions among stakeholders to develop sector- and environment-specific strategies for pursuing crypto agility at a future NIST virtual workshop.	NISTは、今後のNIST仮想ワークショップにおいて、暗号アジリティを追求するためのセクターおよび環境に特化した戦略を策定するために、利害関係者間の議論を促している。
Abstract	概要
Crypto agility refers to the capabilities needed to replace and adapt cryptographic algorithms in protocols, applications, software, hardware, and infrastructures. This white paper provides an in-depth survey of current approaches to achieving crypto agility. It discusses challenges and tradeoffs and identifies some approaches for providing operational mechanisms to achieve crypto agility while maintaining interoperability. It also highlights some critical working areas that require additional discussion.	暗号アジリティとは、プロトコル、アプリケーション、ソフトウェア、ハードウェア、インフラにおける暗号アルゴリズムの置き換えや適応に必要な能力を指す。本ホワイトペーパーでは、暗号アジリティを実現するための現在のアプローチについて詳細な調査を行っている。課題やトレードオフについて論じ、相互運用性を維持しながら暗号アジリティを実現するための運用メカニズムを提供するアプローチをいくつか識別している。また、さらなる議論が必要な重要な作業分野についても強調している。

・[PDF] NIST.CSWP.39.ipd

目次...

1. Introduction	1. 序文
2. Historic Transitions and Challenges	2. 歴史的な移行と課題
2.1. Long Period for a Transition	2.1. 移行に長い期間を要する
2.2. Backward Compatibility and Interoperability Challenges	2.2. 下位互換性と相互運用性の課題
2.3. Constant Needs of Transition	2.3. 常に求められる移行
2.4. Resource and Performance Challenges	2.4. リソースとパフォーマンスの課題
3. Crypto Agility for Security Protocols	3. セキュリティプロトコルにおける暗号の機敏性
3.1. Algorithm Identification	3.1. アルゴリズムの識別
3.1.1. Mandatory-to-Implement Algorithms	3.1.1. 実装が必須のアルゴリズム
3.1.2. Dependent Specifications	3.1.2. 依存する仕様
3.2. Algorithm Transitions	3.2. アルゴリズムの移行
3.2.1. Preserving Interoperability	3.2.1. 相互運用性の維持
3.2.2. Providing Notices of Expected Changes	3.2.2. 予定されている変更に関する通知の提供
3.2.3. Integrity for Algorithm Negotiation	3.2.3. アルゴリズムのネゴシエーションの整合性
3.2.4. Hybrid Cryptographic Algorithms	3.2.4. ハイブリッド暗号アルゴリズム
3.3. Cryptographic Key Establishment	3.3. 暗号鍵の確立
3.4. Balancing Security Strength and Protocol Complexity	3.4. セキュリティ強度とプロトコルの複雑さのバランス
3.4.1. Balancing the Security Strength of Algorithms in a Cipher Suite	3.4.1. 暗号スイートにおけるアルゴリズムのセキュリティ強度のバランス
3.4.2. Balancing Protocol Complexity	3.4.2. プロトコルの複雑さのバランス
4. Crypto Agility for Applications	4. アプリケーションの暗号アジリティ
4.1. Using an API in a Crypto Library Application,	4.1. 暗号ライブラリアプリケーションでのAPIの使用、
4.2. Using APls in the Operating System Kernel	4.2. オペレーティングシステムカーネルでのAPIの使用
4.3. Hardware	4.3. ハードウェア
5. Discussions	5. 考察
5.1. Resource Considerations	5.1. リソースに関する考察
5.2. Agility Awareness Design	5.2. アジリティを意識した設計
5.3. Complexity and Security	5.3. 複雑さとセキュリティ
5.4. Crypto Agility in the Cloud	5.4. クラウドにおける暗号の俊敏性
5.5. Maturity Assessment for Crypto Agility	5.5. 暗号の俊敏性に関する成熟度アセスメント
5.6. Crypto Agility Strategic Plan for Managing Organizations' Crypto Risks	5.6. 組織の暗号リスクマネジメントのための暗号の俊敏性戦略計画
5.6.1. Crypto Standards, Regulations, and Mandates	5.6.1. 暗号標準、規制、および義務
5.6.2. Crypto Security Policy Enforcement	5.6.2. 暗号セキュリティポリシーの施行
6. Conclusion	6. 結論
Appendix A. List of Symbols, Abbreviations, and Acronyms	附属書A. シンボル、略語、および頭字語の一覧

2025.03.11 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

米国 NIST IR 8546（初期公開ドラフト）サイバーセキュリティフレームワーク2.0 半導体製造プロファイル (2025.02.27)

こんにちは、丸山満彦です。

NISTがサイバーセキュリティフレームワーク2.0にそった半導体製造プロファイルのドラフトを公表していますね...

PDFで136ページあります...

より一般の製造業のプロファイル（IR8183）をベースに開発をしているようです...

Fig.1 半導体製造エコシステム...

⚫︎ NIST - ITL

・2025.02.27 NIST IR 8546 (Initial Public Draft) Cybersecurity Framework Version 2.0 Semiconductor Manufacturing Profile

NIST IR 8546 (Initial Public Draft) Cybersecurity Framework Version 2.0 Semiconductor Manufacturing Profile	NIST IR 8546（初期公開ドラフト）サイバーセキュリティフレームワーク・バージョン 2.0 半導体製造プロファイル
Announcement	発表
This draft CSF 2.0 Profile provides a voluntary, risk-based approach for managing cybersecurity activities and reducing cybersecurity risk to semiconductor manufacturing. The semiconductor manufacturing environment is a complex ecosystem of device makers, equipment OEMs, suppliers and solution providers. This Profile focuses on desired cybersecurity outcomes and can be used as a guideline to improve the current cybersecurity posture of the semiconductor manufacturing ecosystem.	この CSF 2.0 プロファイル草案は、サイバーセキュリティ活動をマネジメントし、半導体製造のサイバーセキュリティリスクを低減するための自主的なリスクベースのアプローチを提供する。半導体製造環境は、デバイスメーカー、装置 OEM、サプライヤ、ソリューションプロバイダからなる複雑なエコシステムである。このプロファイルは、望ましいサイバーセキュリティの成果に焦点を当て、半導体製造エコシステムの現在のサイバーセキュリティ態勢を改善するためのガイドラインとして利用できる。
The NCCoE is planning a virtual workshop on Thursday, March 13, 2025, to provide an overview of the draft NIST Internal Report (IR) 8546, Cybersecurity Framework 2.0 Semiconductor Manufacturing Community Profile, gather feedback on the Profile, identify additional resources to support the adoption of the profile, and share next steps.	NCCoEは2025年3月13日（木）にバーチャルワークショップを計画しており、NIST内部報告書（IR）8546「サイバーセキュリティフレームワーク2.0半導体製造コミュニティプロファイル」（ドラフト）の概要を説明し、プロファイルに関するフィードバックを集め、プロファイルの採用を支援するための追加リソースを特定し、次のステップを共有する。
Abstract	概要
This document defines a Cybersecurity Framework (CSF) 2.0 Community Profile with a voluntary, risk-based approach to managing cybersecurity activities and reducing cyber risks for semiconductor development and manufacturing. Collaboratively developed in support of the National Cybersecurity Implementation Plan Version 2, the Semiconductor Manufacturing Profile can be used as a roadmap for reducing cybersecurity risks for semiconductor manufacturers in alignment with sector goals and industry best practices. It is built on top of the Manufacturing Profile documented in NIST IR 8183, Revision 1. The Profile is meant to enhance but not replace current cybersecurity standards and industry guidelines that the manufacturer is embracing.	本文書は、サイバーセキュリティ活動をマネジメントし、半導体開発・製造のサイバーリスクを低減するための自主的なリスクベースのアプローチを備えたサイバーセキュリティフレームワーク（CSF）2.0コミュニティプロファイルを定義する。National Cybersecurity Implementation Plan Version 2 を支援するために共同開発された半導体製造プロファイルは、半導体製造事業者のサイバーセキュリティリスクを削減するためのロードマップとして、この分野の目標や業界のベストプラクティスに沿って使用することができる。このプロファイルは、NIST IR 8183, Revision 1 に文書化された製造プロファイルの上に構築されている。このプロファイルは、製造事業者が採用している現行のサイバーセキュリティ標準や業界ガイドラインを強化するものであるが、取って代わるものではない。

・[PDF] NIST.IR.8546.ipd

Fig.2 半導体製造エコシステムの機能領域

Fig.3 半導体サイバーセキュリティの要素

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序文
1.1. Purpose	1.1. 目的
1.2. Semiconductor Fabrication Ecosystem Functional Domains	1.2. 半導体製造エコシステム機能領域
1.2.1. Development of Secure Equipment and Tooling	1.2.1. セキュアな装置および工具の開発
1.2.2. Fab Environment	1.2.2. 製造環境
1.2.3. Enterprise IT Infrastructure in Semiconductor Manufacturing	1.2.3. 半導体製造におけるエンタープライズITインフラ
1.3. Security of Semiconductor Manufacturing	1.3. 半導体製造のセキュリティ
1.4. Relationship to CS Core and Manufacturing Profile	1.4. CSコアおよび製造プロファイルとの関係
1.5. Document Organization	1.5. 文書構成
2. Overview of Semiconductor Manufacturing and Operational Systems	2. 半導体製造および運用システムの概要
2.1. Importance of NIST CSF 2.0 in Semiconductor Manufacturing	2.1. 半導体製造におけるNIST CSF 2.0の重要性
3. Overview of CSF 2.0	3. CSF 2.0の概要
3.1. The CSF Core	3.1. CSF コア
3.2. Community Profiles	3.2. コミュニティ・プロファイル
3.3. Applying the NIST CS to Semiconductor Manufacturing	3.3. NIST CSの半導体製造への適用
4. Applying Business and Mission Objectives to Profile Creation	4. プロファイル作成への事業およびミッション目標の適用
4.1. Semiconductor Manufacturing Business and Mission Objectives	4.1. 半導体製造の事業およびミッション目標
4.1.1. Objective 1: Maintain Environmental Safety	4.1.1. 目的 1：環境の安全性を維持する
4.1.2. Objective 2: Maintain Human Safety	4.1.2. 目的 2：人間の安全を維持する
4.1.3. Objective 3: Maintain Production Goals	4.1.3. 目的 3：生産目標を維持する
4.1.4. Objective 4: Maintain the Quality of Semiconductors	4.1.4. 目的 4：半導体の品質を維持する
4.1.5. Objective 5: Protect Sensitive Information	4.1.5. 目的 5：機密情報を保護する
4.2. Aligning Subcategories to Meet Business and Mission Objectives	4.2. ビジネスおよびミッションの目的を達成するためのサブカテゴリーの調整
4.2.1. Govern	4.2.1. ガバナンス
4.2.2. Identify	4.2.2. 識別
4.2.3. Protect	4.2.3. 防御
4.2.4. Detect	4.2.4. 検知
4.2.5. Respond	4.2.5. 対応
4.2.6. Recover	4.2.6. 回復
5. Semiconductor Manufacturing Community Profile Subcategory Guidance	5. 半導体製造コミュニティのプロファイルサブカテゴリーのガイダンス
5.1. Govern	5.1. ガバナンス
5.2. Identify	5.2. 識別
5.3. Protect	5.3. 防御
5.4. Detect	5.4. 検知
5.5. Respond	5.5. 対応
5.6. Recover	5.6. 回復
References	参考文献
Appendix A. Selected Bibliography	附属書 A. 主要参考資料
Appendix B. List of Symbols, Abbreviations, and Acronyms	附属書 B. 記号、略語、および頭字語の一覧
Appendix C. Glossary	附属書 C. 用語集
Appendix D. Figure Descriptions	附属書 D. 図の説明

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

NIST IR 8183

・2020.10.13 NIST NISTIR 8183 Rev. 1 Cybersecurity Framework Version 1.1 Manufacturing Profile

・2020.03.05 NISTIR 8183 Rev. 1(Draft) Cybersecurity Framework Version 1.1 Manufacturing Profile

半導体関係...

・2022.02.24 半導体製造業界：SEMI E187 - ファブ装置のサイバーセキュリティに関する仕様・ SEMI E188 - マルウェアフリー機器統合のための仕様

・2021.06.11 U.S. White House サプライチェーンの途絶に対処するための取り組み...

2025.03.11 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in パブコメ, in IoT | Permalink | Comments (0)
Tweet

2025.03.10

公認会計士協会「保証」と類似した用語 (2025.03.07)

こんにちは、丸山満彦です。

情報セキュリティ監査基準において、Assuranceの訳語を「保証」から「アシュアランス」というカタカナに変更する案が出ていますが、公認会計士協会からは、　サステナビリティ保証に関する理解向上に資する情報を集約して提供することを目的として発行されている「Sustainability Assurance Insights」のVol.10で「保証」と類似した用語」を公表していますので参考まで...

公認会計士の世界と、ISOの世界で比較しながらの紹介というところが興味深いです...

類似した用語として、

verification（検証）

Certification（認証）

Accreditation（認定）

の説明をしています。

参考として、保証という訳語に対する英語の言葉として、

Warranty（製品保証）

Guaranty（債務保証）

という言葉も紹介されていますね...

⚫︎ 公認会計士協会

・2025.03.07 【Sustainability Assurance Insights Vol.10】「保証」と類似した用語

・[PDF] Vol.10 「保証」と類似した用語

過去の分も含めて興味深いですよ...不定期発行(^^)

2025.03.07	Vol.10 「保証」と類似した用語
2025.02.18	Vol.９開示におけるインターオペラビリティ
2025.02.18	Vol.８サステナビリティ保証業務を実施する者の倫理と独立性
2025.02.10	Vol.７サステナビリティ情報の作成・保証に関して覚えておきたい登場人物
2024.12.26	Vol.６限定的保証と合理的保証（※）限定的保証と合理的保証については、サステナビリティ保証シンポジウム2025の「基調講演」及び「パネルディスカッション」もご参照ください。
2024.01.26	Vol.５今さら聞けない！？サステナビリティ保証とは？
2023.08.10	Vol.４包括的な保証基準策定の段階で取り組む優先度の高い課題
2023.04.28	Vol.３国際サステナビリティ保証基準の開発
2023.12.13	Vol.２国際的な保証業務基準
2023.4.28	Vol.１保証業務とは？

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2025.02.05 経済産業省「情報セキュリティ監査基準改正案等」に対する意見募集

2025.03.10 15:57 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in ESG/CSR | Permalink | Comments (0)
Tweet

NPO デジタル・フォレンジック研究会のコラム by 丸山満彦ものを分解すればわかるのか？「還元論的発想とシステム論的発想」

こんにちは、丸山満彦です。

デジタル・フォレンジック研究会にコラムを載せました。

● IDF - Column

・2025.03.10 コラム第864号：「ものを分解すればわかるのか？「還元論的発想とシステム論的発想」」

物事を理解しようとする時のアプローチの話といえますかね...

物事を浅く、早く理解するためには、還元論的アプローチというのは、効果的ですが、物事の本質を理解しようすると還元論的アプローチだけでは限界があるということですかね...

地球環境問題を解決しようとすると還元論的アプローチだけでは限界があるという話ですね。。。

Systemというのは、日本語では系と訳されることがあります。生態系 (Ecosystem) 、太陽系 (Solar System) 、神経系 (Nervous System) 、免疫系 (immune system) などの言葉がありますね...

IT Systemは系とは訳されませんが、同じ意味ですね...

身の回りのSystemを見つけてみてください。

私が書いた「NPO デジタル・フォレンジック研究会」の「コラム」の一覧

＃	No	Date	Title
32	864	2025.03.10	ものを分解すればわかるのか？「還元論的発想とシステム論的発想」
31	841	2024.09.26	親分でまとまる集団とルールでまとまる集団とIDFに対するちょっとした提案
30	806	2024.01.25	気候風土と社会
29	780	2023.07.31	国家安全保障戦略　―　何をだれから守るのか？　国益 (National Interests) とは何か？
28	754	2023.01.31	「木を見て森を見ず」にならず、「神は細部に宿る」を忘れない
27	731	2022.08.22	サイバー空間の安全に向けて： All for one, One for all
26	702	2022.01.31	サイバーセキュリティは空気のように社会全体に拡がる
25	678	2021.08.16	ティラノサウルスとスズメ
24	650	2021.02.01	データを科学的に分析する
23	627	2020.08.17	若者のサイバー犯罪を無くしたい。。。
22	600	2020.02.03	デジタルフォレンジックスと多様性
21	578	2019.08.26	未来を考えようと思うとき、人は過去を振り返る
20	551	2019.02.11	とらわれずに物事をみつめる
19	521	2018.07.09	ＡＩは科学捜査を騙せるか？
18	493	2017.12.18	セキュリティ・デバイド？
17	474	2017.08.07	『デジタル・フォレンジック』という言葉を今更考える
16	451	2017.02.20	相手を知ることが重要
15	425	2016.08.15	本質を理解する
14	383	2015.10.12	名ばかりCSIRTで良いのか？
13	357	2015.04.13	ＩｏＴ時代は明るいか暗いか
12	335	2014.11.03	頭を下げるのは社長です
11	308	2014.04.30	標的型攻撃には内部不正対応が重要？
10	286	2013.11.14	セキュリティガバナンスはできる範囲だけやればよいのか？
09	261	2013.05.23	セキュリティの基本はずっとかわっていない
08	240	2012.12.25	さらに組織化が進むサイバー攻撃集団
07	207	2012.05.10	外部から侵入されている想定で情報セキュリティを考える
06	173	2011.09.08	想定外に対応するのが危機管理ではないか
05	139	2011.01.13	データ分析を使った不正発見手法
04	131	2010.11.11	発見的統制の重要性
03	084	2009.12.10	クラウドコンピューティングがもたらす光と影
02	058	2009.06.11	不正をさせない
01	021	2008.09.25	ニーズとシーズ、目的と手段

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.03.10 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦ものを分解すればわかるのか？「還元論的発想とシステム論的発想」

・2024.09.30 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「親分でまとまる集団とルールでまとまる集団とIDFに対するちょっとした提案」

・2024.01.30 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「気候風土と社会」

・2023.08.01 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「「国家安全保障戦略　―　何をだれから守るのか？　国益 (National Interests) とは何か？」

・2023.01.31 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「「木を見て森を見ず」にならず、「神は細部に宿る」を忘れない」

・2022.08.22 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「サイバー空間の安全に向けて： All for one, One for all」

・2022.01.31 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「サイバーセキュリティは空気のように社会全体に拡がる」

・2021.08.17 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「ティラノサウルスとスズメ」

・2021.02.03 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「データを科学的に分析する」

・2020.08.19 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦

・2020.06.11 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦

2025.03.10 13:04 in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

米国 NIST IR 8286 Rev. 1（初期公開草案）サイバーセキュリティとエンタープライズリスクマネジメント（ERM）の統合他 (2025.02.26)

こんにちは、丸山満彦です。

NISTのIR 8286といえば、サイバーセキュリティとERMを統合させる文書として有名ですが...

以下のように確定版と改訂ドラフトが公表されています...

CSF2.0への改訂に合わせて行われたものですね...

Draft	IR	8286 Rev.1	Integrating Cybersecurity and Enterprise Risk Management (ERM)	サイバーセキュリティとエンタープライズ・リスクマネジメント（ERM）の統合
Draft	IR	8286A Rev.1	Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management	エンタープライズ・リスクマネジメントのためのサイバーセキュリティリスクの識別と評価
Final	IR	8286B	Prioritizing Cybersecurity Risk for Enterprise Risk Management	エンタープライズ・リスクマネジメントのためのサイバーセキュリティリスクの優先順位付け
Draft	IR	8286C Rev.1	Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight	エンタープライズ・リスクマネジメントとガバナンスの監督のためのサイバーセキュリティリスクの段階的評価
Final	IR	8286D	Using Business Impact Analysis to Inform Risk Prioritization and Response	ビジネスインパクト分析によるリスクの優先順位付けと対応策の策定

関係...

経済産業省のサイバーセキュリティ経営ガイドライン Ver.3.0もこれを意識して策定されていますね...

⚫︎ NIST - ITL

まずは、本編のドラフト...

・2025.02.26 NIST IR 8286 Rev. 1 (Initial Public Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)

NIST IR 8286 Rev. 1 (Initial Publi% Draft)　Integrating Cybersecurity and Enterprise Risk Management (ERM)	NIST IR 8286 Rev. 1（初期公開草案）サイバーセキュリティとエンタープライズ・リスクマネジメント（ERM）の統合
Announcement	発表
The NIST Interagency Report (IR) 8286 series of publications helps practitioners better understand the close relationship between cybersecurity and enterprise risk management (ERM). All five publications in the series have been updated to align more closely with the Cybersecurity Framework (CSF) 2.0 and other updated NIST guidance. The updated series puts greater emphasis on cybersecurity governance to highlight the importance of ensuring cybersecurity capabilities support the broader mission through ERM.	NISTの内部報告書（IR）8286シリーズは、サイバーセキュリティとエンタープライズ・リスクマネジメント（ERM）の密接な関係について、実務担当者がより深く理解するのに役立つ。このシリーズの全5刊は、サイバーセキュリティ枠組み（CSF）2.0およびその他の更新されたNISTガイダンスにさらに密接に整合するように更新された。更新されたシリーズでは、サイバーセキュリティ能力がERMを通じてより広範なミッションを確実にサポートすることの重要性を強調するために、サイバーセキュリティガバナンスがより重視されている。
The five updated IR 8286 series publications are:	更新されたIR 8286シリーズの5つの刊行物は以下の通りである。
NIST IR 8286r1 (Revision 1) initial public draft (ipd), Integrating Cybersecurity and Enterprise Risk Management (ERM) — This document is intended to help individual organizations within an enterprise improve their cybersecurity risk information, which they provide as inputs to their enterprise’s ERM processes through communications and risk information sharing.	NIST IR 8286r1（改訂1）初期公開草案（IPD）、サイバーセキュリティとエンタープライズ・リスクマネジメント（ERM）の統合 — この文書は、エンタープライズ内の個々の組織が、コミュニケーションやリスク情報の共有を通じて、エンタープライズのERMプロセスへの入力情報として提供するサイバーセキュリティリスク情報の改善に役立つことを目的としている。
View the publication and submit comments by April 14, 2025.	この文書は2025年4月14日まで閲覧可能であり、意見を提出することができる。
NIST IR 8286Ar1 ipd, Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management — This document details the context, scenario identification, and analysis of the likelihood and impacts of cybersecurity risk.	NIST IR 8286Ar1 ipd、エンタープライズ・リスクマネジメントのためのサイバーセキュリティリスクの識別と評価 — この文書では、サイバーセキュリティリスクの可能性と影響の文脈、シナリオの識別、分析について詳細に説明している。
View the publication and submit comments by April 14, 2025.	この文書は2025年4月14日まで閲覧可能であり、意見を提出することができる。
NIST IR 8286B-upd1 (Update 1), Prioritizing Cybersecurity Risk for Enterprise Risk Management — This document describes ways to apply risk analysis to help prioritize cybersecurity risk, evaluate and select appropriate risk responses, and communicate risk activities as part of an enterprise cybersecurity risk management strategy.	NIST IR 8286B-upd1 (Update 1)、エンタープライズ・リスクマネジメントのためのサイバーセキュリティリスクの優先順位付け — この文書では、エンタープライズサイバーセキュリティリスクマネジメント戦略の一環として、サイバーセキュリティリスクの優先順位付け、適切なリスク対応の評価と選択、リスク活動のコミュニケーションに役立つリスク分析の適用方法を説明している。
NIST IR 8286Cr1 ipd, Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight — This document describes processes for aggregating information from CSRM activities throughout the enterprise.	NIST IR 8286Cr1 ipd、エンタープライズ・リスクマネジメントおよびガバナンスの監督のためのサイバーセキュリティリスクの段階的評価 — この文書では、企業全体にわたるCSRM活動からの情報を集約するプロセスについて説明している。
View the publication and submit comments by April 14, 2025.	この文書を表示し、2025年4月14日までにコメントを提出する。
NIST IR 8286D-upd1, Using Business Impact Analysis to Inform Risk Prioritization and Response — This document describes considerations for documenting and analyzing business impacts that result in a full or partial loss of the confidentiality, integrity, or availability of a mission-essential resource.	NIST IR 8286D-upd1、リスクの優先順位付けと対応策の決定におけるビジネスインパクト分析の利用 — この文書では、ミッションに不可欠なリソースの機密性、完全性、可用性の全部または一部の喪失につながるビジネスへの影響を文書化および分析する際の考慮事項について説明している。
Abstract	概要
The increasing frequency, creativity, and severity of cybersecurity attacks means that all enterprises should ensure that cybersecurity risk is receiving appropriate attention within their enterprise risk management (ERM) programs. This document is intended to help individual organizations within an enterprise improve their cybersecurity risk information, which they provide as inputs to their enterprise’s ERM processes through communications and risk information sharing. By doing so, enterprises and their component organizations can better identify, assess, and manage their cybersecurity risks in the context of their broader mission and business objectives. This document focuses on the use of risk registers to set out cybersecurity risk and explains the value of rolling up measures of risk that are usually addressed at lower system and organizational levels to the broader enterprise level.	サイバーセキュリティ攻撃の頻度、巧妙さ、深刻さが増していることを踏まえ、すべての企業は、サイバーセキュリティリスクが自社のエンタープライズ・リスクマネジメント（ERM）プログラム内で適切な注意を払われていることを確認すべきである。本書は、コミュニケーションやリスク情報の共有を通じて、エンタープライズ・リスクマネジメント（ERM）プロセスにインプットとして提供されるサイバーセキュリティリスク情報の改善を、企業内の各組織が図ることを目的としている。これにより、企業とその構成組織は、より広範なミッションやビジネス目標の観点から、サイバーセキュリティリスクをより適切に識別、アセスメント、管理することが可能となる。本書では、サイバーセキュリティリスクを特定するためのリスクレジスターの利用に焦点を当て、通常はシステムや組織のより低いレベルで対処されるリスクの測定値を、より広範なエンタープライズレベルに集約することの価値について説明している。

・[PDF] NIST.IR.8286r1.ipd

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序文
1.1. Purpose and Scope	1.1. 目的と範囲
1.2. Document Structure	1.2. 文書構成
2. Gaps in Managing Cybersecurity Risk as an ERM Input	2. ERM インプットとしてのサイバーセキュリティリスク管理におけるギャップ
2.1. Overview of ERM	2.1. ERM の概要
2.1.1. Common Use of ERM	2.1.1. ERM の一般的な利用
2.1.2. ERM Framework Steps	2.1.2. ERM の枠組みのステップ
2.2. The Gap Between CSRM Output and ERM Input	2.2. CSRM アウトプットと ERM インプットのギャップ
3. Cybersecurity Risk Considerations Throughout the ERM Process	3. ERM プロセス全体におけるサイバーセキュリティリスクの考慮事項
3.1. Identify the Context	3.1. 状況の識別
3.1.1. Notional Risk Management Roles	3.1.1. 概念上のリスクマネジメントの役割
3.1.2. Risk Management Strategy	3.1.2. リスクマネジメント戦略
3.2. Identify the Risks	3.2. リスクの識別
3.2.1. Inventory and Valuation of Assets	3.2.1. 資産の目録作成と評価
3.2.2. Determination of Potential Threats	3.2.2. 潜在的な脅威の特定
3.2.3. Determination of Exploitable and Susceptible Conditions	3.2.3. 悪用可能な状況および脆弱な状況の特定
3.2.4. Evaluation of Potential Consequences	3.2.4. 潜在的な結果の評価
3.3. Analyze the Risks	3.3. リスクの分析
3.3.1. Risk Analysis Types	3.3.1. リスク分析の種類
3.3.2. Techniques for Estimating Likelihood and Impact of Consequences	3.3.2. 結果の発生可能性と影響度を推定する手法
3.4. Prioritize Risks	3.4. リスクの優先順位付け
3.5. Plan and Execute Risk Response Strategies	3.5. リスク対応戦略の計画と実行
3.5.1. Applying Security Controls to Reduce Risk Exposure	3.5.1. リスクエクスポージャーを低減するためのセキュリティ管理策の適用
3.5.2. Responding to Residual Risk	3.5.2. 残留リスクへの対応
3.5.3. When a Risk Event Passes Without Triggering the Event	3.5.3. リスク事象が発生したが、事象がトリガーされることなく経過したずに過場合
3.6. Monitor, Evaluate, and Adjust	3.6. 監視、評価、および調整
3.6.1. Continuous Risk Monitoring	3.6.1. 継続的なリスク監視
3.6.2. Key Risk Indicators and Key Performance Indicators	3.6.2. 主なリスク指標および主な業績評価指標
3.6.3. Continuous Improvement	3.6.3. 継続的な改善
3.7. Considerations of Positive Risks as an Input to ERM	3.7. ERMへのインプットとしてのポジティブリスクの考慮
3.8. Creating and Maintaining an Enterprise-Level Cybersecurity Risk Register	3.8. エンタープライズレベルのサイバーセキュリティリスクレジスターの作成と維持
3.9. Cybersecurity Risk Data Conditioned for Enterprise Risk Roll-Up	3.9. エンタープライズ・リスクの集約に適したサイバーセキュリティリスクデータ
4. Cybersecurity Risk Management as Part of a Portfolio View	4. ポートフォリオの視点の一部としてのサイバーセキュリティ・リスクマネジメント
4.1. Applying the Enterprise Risk Register and Developing the Enterprise Risk Profile	4.1. エンタープライズ・リスクレジスターの適用とエンタープライズ・リスクプロファイルの策定
4.2. Translating the Risk Profile to Inform Leadership Decisions	4.2. リスクプロファイルを経営陣の意思決定に反映させる
4.3. Information and Decision Flows in Support of ERM	4.3. ERMをサポートする情報と意思決定の流れ
4.4. Conclusion	4.4. 結論
References	参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms	附属書 A. 記号、略語、および頭字語の一覧
Appendix B. Glossary	附属書 B. 用語集
Appendix C. Federal Government Sources for Identifying Risks	附属書 C. リスクを識別するための連邦政府の情報源
Appendix D. Notional Enterprise Risk Register	附属書 D. 想定エンタープライズ・リスクレジスター
Appendix E. Change Log	附属書 E. 変更履歴
List of Tables	表の一覧
Table 1. Descriptions of notional cybersecurity risk register template elements	表1. 想定サイバーセキュリティリスクレジスターテンプレートの要素の説明
Table 2. Response types for negative cybersecurity risks	表2. ネガティブなサイバーセキュリティリスクに対する対応の種類
Table 3. Examples of proactive risk management activities	表3. 積極的なリスクマネジメント活動の例
Table 4. Response types for positive cybersecurity risks	表4. ポジティブなサイバーセキュリティリスクへの対応の種類
Table 5. Excerpt from a notional enterprise risk register	表5. 想定エンタープライズ・リスクレジストリからの抜粋
Table 6. Descriptions of the notional enterprise risk register elements	表6. 想定エンタープライズ・リスクレジストリ要素の説明
Table 7. Illustrative example of a risk profile (derived from [3])	表7. リスクプロファイルの例示 [3]
Table 8. Notional enterprise risk portfolio view for a private corporation	表8. 非公開企業の想定エンタープライズ・リスクポートフォリオビュー
Table 9. Notional enterprise risk register	表9. 想定エンタープライズ・リスクレジストリ
List of Figures	図の一覧
Fig. 1. Enterprise hierarchy for cybersecurity risk management	図1. サイバーセキュリティ・リスクマネジメントのためのエンタープライズ階層
Fig. 2. Notional risk management life cycle	図2. 想定リスクマネジメントライフサイクル
Fig. 3. Risk register information flow among system, organization, and enterprise levels	図3. システム、組織、エンタープライズレベル間のリスクレジスター情報フロー
Fig. 4. Notional cybersecurity risk register template	図4. 想定サイバーセキュリティ・リスクレジスター・テンプレート
Fig. 5. Likelihood and impact matrix derived [15]	図5. 発生可能性と影響度マトリックス[15]
Fig. 6. Example of a quantitative risk matrix	図6. 定量的リスクマトリックスの例
Fig. 7. Excerpt from a notional cybersecurity risk register	図7. 想定サイバーセキュリティ・リスクレジスターからの抜粋
Fig. 8. Integration of CRRs into enterprise risk profile	図8. エンタープライズ・リスクプロファイルへのCRRの統合
Fig. 9. Notional information and decision flows diagram from the CSF	図9. CSF からの想定情報および意思決定フロー図
Fig. 10. Notional information and decision flows diagram with numbered steps	図10. 番号付きステップによる想定情報および意思決定フロー図

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
For federal agencies, the Office of Management and Budget (OMB) Circular A-11 defines risk as “the effect of uncertainty on objectives” [1]. The effect of uncertainty on enterprise mission and business objectives may then be considered an “enterprise risk” that must be similarly managed. An enterprise is an organization that exists at the top level of a hierarchy with unique risk management responsibilities. Managing risks at that level is known as enterprise risk management (ERM) and calls for understanding the core risks that an enterprise faces, determining how best to address those risks, and ensuring that the necessary actions are taken. In the Federal Government, ERM is considered “an effective agency-wide approach to addressing the full spectrum of the organization’s significant risks by understanding the combined impact of risks as an interrelated portfolio rather than addressing risks only within silos” [1].	連邦政府機関にとって、行政管理予算局（OMB）の通達A-11ではリスクを「目的に対する不確実性の影響」と定義している[1]。企業ミッションや事業目的に対する不確実性の影響は、「エンタープライズ・リスク」とみなされ、同様に管理される必要がある。エンタープライズとは、独自のリスクマネジメント責任を担う階層構造の最上位に位置する組織である。そのレベルでのリスクマネジメントはエンタープライズ・リスクマネジメント（ERM）と呼ばれ、企業が直面する主要なリスクを理解し、それらのリスクに最適に対処する方法を決定し、必要な措置が確実に講じられるようにすることが求められる。連邦政府では、ERMは「組織の重要なリスクの全領域に対処するための効果的な機関全体のアプローチであり、リスクをサイロの中でのみ対処するのではなく、相互に関連するポートフォリオとしてリスクの複合的な影響を理解する」ものとされている[1]。
Cybersecurity risk is an important type of risk for any enterprise. Other risks include but are not limited to financial, legal, legislative, operational, privacy, reputational, safety, strategic, and supply chain risks [2]. As part of an ERM program, senior leaders (e.g., corporate officers, government senior executive staff) often have fiduciary and reporting responsibilities that other organizational stakeholders do not, so they have a unique responsibility to holistically manage the combined set of risks, including cybersecurity risk. The individual organizations that comprise every enterprise are experiencing an increase in the frequency, creativity, and severity of cybersecurity attacks. All organizations and enterprises, regardless of size or type, should ensure that cybersecurity risks receive appropriate attention as they carry out their ERM functions. Since enterprises are at various degrees of maturity regarding the implementation of risk management, this document offers NIST’s cybersecurity risk management (CSRM) expertise to help organizations improve the cybersecurity risk information they provide as inputs to their enterprise’s ERM programs.	サイバーセキュリティリスクは、あらゆるエンタープライズにとって重要なリスクのひとつである。その他のリスクには、財務、法律、規制、業務、プライバシー、評判、安全、戦略、サプライチェーンリスクなどがあるが、これらに限定されるものではない。ERMプログラムの一環として、シニアリーダー（企業役員、政府高官など）は、他の組織のステークホルダーにはない受託者責任や報告義務を負うことが多いため、サイバーセキュリティリスクを含む複合的なリスクを総合的に管理する独自の責任を負っている。あらゆる企業を構成する個々の組織は、サイバーセキュリティ攻撃の頻度、巧妙さ、深刻さが増していることを経験している。規模や業種に関わらず、すべての組織や企業は、ERM機能を実行する際に、サイバーセキュリティリスクが適切に考慮されるようにすべきである。企業はリスクマネジメントの導入に関してさまざまな成熟度にあるため、本書では、NISTのサイバーセキュリティ・リスクマネジメント（CSRM）の専門知識を提供し、組織がエンタープライズERMプログラムへのインプットとして提供するサイバーセキュリティリスク情報の改善に役立ててもらう。
Many resources document ERM frameworks and processes, such as well-known frameworks from the Committee of Sponsoring Organizations (COSO), Office of Management and Budget (OMB) circulars, and the International Organization for Standardization (ISO). They generally include similar approaches: identify context, identify risks, analyze risks, estimate risk importance, determine and execute risk response, and identify and respond to changes over time. A critical risk document used to track and communicate risk information for all of these steps throughout the enterprise is called a risk register [1].^[1] The risk register provides a formal communication vehicle for sharing and coordinating cybersecurity risk activities as an input to ERM decision-makers. For example, cybersecurity risk registers are key aspects of managing and communicating about those particular risks.^[2]	ERMの枠組みやプロセスを文書化したリソースは数多くあり、その中には、委員会組織委員会（COSO）の有名な枠組み、行政管理予算局（OMB）の通達、国際標準化機構（ISO）などがある。これらは一般的に、状況の識別、リスクの識別、リスクの分析、リスクの重要度の推定、リスク対応の決定と実行、そして時間の経過に伴う変化の識別と対応といった、同様のアプローチを含んでいる。これらのステップすべてについて、エンタープライズ全体でリスク情報を追跡し、コミュニケーションを行うために使用される重要なリスク文書は、リスクレジスターと呼ばれる。^[1] リスクレジスターは、ERMの意思決定者へのインプットとして、サイバーセキュリティリスク活動を共有し、調整するための正式なコミュニケーション手段を提供する。例えば、サイバーセキュリティリスクレジスターは、それらの特定のリスクを管理し、コミュニケーションを行う上での重要な要素である。^[2]
At higher levels in the enterprise structure, those cybersecurity and other risk registers are aggregated, normalized, and prioritized into risk profiles. A risk profile is defined by OMB Circular A-123 as “a prioritized inventory of the most significant risks identified and assessed through the risk assessment process versus a complete inventory of risks” [3]. While it is critical that enterprises address potential negative impacts on mission and business objectives, it is equally critical (and required for federal agencies) that enterprises plan for success. OMB states in Circular A-123 that “the [Enterprise Risk] profile must identify sources of uncertainty, both positive (opportunities) and negative (threats).” Enterprise-level decision-makers use the risk profile to choose which enterprise risks to address, allocate resources, and delegate responsibilities to appropriate risk owners. ERM programs should define terminology, formats, criteria, and other guidance for risk inputs from lower levels of the enterprise.	エンタープライズ構造の上位レベルでは、それらのサイバーセキュリティおよびその他のリスクレジスターは集約され、標準化され、リスクプロファイルとして優先順位付けされる。リスクプロファイルは、OMB通達A-123により、「リスクアセスメントプロセスを通じて識別およびアセスメントされた最も重大なリスクの優先順位付きインベントリであり、リスクの完全なインベントリではない」と定義されている[3]。企業がミッションや事業目標に対する潜在的な悪影響に対処することは極めて重要であるが、企業が成功を計画することも同様に重要である（連邦政府機関には必須である）。OMBは通達A-123において、「（エンタープライズ・リスク）プロファイルは、ポジティブな（機会）側面とネガティブな（脅威）側面の両方における不確実性の原因を識別しなければならない」と述べている。エンタープライズレベルの意思決定者は、リスクプロファイルを使用して、どのエンタープライズ・リスクに対処するかを決定し、リソースを割り当て、適切なリスクオーナーに責任を委任する。 ERMプログラムは、エンタープライズのより下位レベルからのリスクインプットに関する用語、フォーマット、規準、その他のガイダンスを定義すべきである。
Cybersecurity risk inputs to ERM programs should be documented and tracked in written cybersecurity risk registers[3] that comply with the ERM program guidance. However, many enterprises do not communicate their cybersecurity risk guidance or risk responses in consistent, repeatable ways. Methods such as quantifying cybersecurity risk in dollars and aggregating cybersecurity risks are often ad hoc and are sometimes not performed with the same rigor as methods for quantifying other types of risk within the enterprise.	ERMプログラムへのサイバーセキュリティリスクのインプットは、ERMプログラムのガイダンスに準拠した書面によるサイバーセキュリティリスクレジスター[3]に記録し、追跡すべきである。しかし、多くの企業はサイバーセキュリティリスクのガイダンスやリスク対応について、一貫性のある再現可能な方法でコミュニケーションを行っていない。サイバーセキュリティリスクを金額で定量化したり、サイバーセキュリティリスクを集約したりする方法は、多くの場合、その場限りの対応であり、企業内の他のタイプのリスクを定量化する方法ほど厳密に実施されていないこともある。
In addition to widely using cybersecurity risk registers, improving the risk measurement and analysis methods used in CSRM will boost the quality of the risk information provided to ERM. In turn, this practice promotes better management of cybersecurity at the enterprise level and correlates directly with the enterprise’s objectives.	サイバーセキュリティリスクレジストリを広く使用することに加え、CSRMで使用されるリスク測定および分析方法を改善することで、ERMに提供されるリスク情報の質が向上する。その結果、この手法はエンタープライズレベルでのサイバーセキュリティのより良い管理を促進し、企業の目標と直接相関する。
CSRM and ERM are concurrent cycles with many points of commonality and integration. NIST framework documents, specifically the Cybersecurity Framework (CSF) 2.0 and Special Publication (SP) 800-221A, provide methods for performing CSRM and integrating the results. The concepts detailed in this IR 8286 series are directly incorporated into both the CSF 2.0 (CSRM) and SP 800-221A (integrating with ERM) frameworks. Improving the measurement and communications methods used (e.g., using cybersecurity risk registers) can improve the quality of risk information, promote enterprise-wide CSRM, and support enterprise-level decision making in language that is already understood by senior executives. Improved communications will also help executives and corporate officers understand the challenges that cybersecurity professionals face when providing the information that they are accustomed to receiving for other types of risk.	CSRMおよびERMを改善することは、多くの共通点と統合点を持つ同時進行のサイクルである。NIST枠組み文書、特にサイバーセキュリティ枠組み（CSF）2.0および特別刊行物（SP）800-221Aは、CSRMの実行と結果の統合のための方法を提供している。IR 8286シリーズで詳細に説明されている概念は、CSF 2.0（CSRM）およびSP 800-221A（ERMとの統合）の両方の枠組みに直接組み込まれている。使用する測定およびコミュニケーションの方法（例えば、サイバーセキュリティリスクレジストリの使用）を改善することで、リスク情報の質が向上し、全社的なCSRMが促進され、経営幹部がすでに理解している言語で企業レベルの意思決定をサポートすることができる。また、コミュニケーションの改善は、経営陣や企業役員が、サイバーセキュリティの専門家が他の種類のリスクについて受け取ることになれている情報と同じものを入手する際に直面する課題を理解する上でも役立つ。
[1] OMB Circular A-11 defines a risk register as “a repository of risk information including the data understood about risks over time” [1].	[1] OMB通達A-11では、リスクレジストリを「リスクに関する経時的な理解データを含むリスク情報の保管場所」と定義している。[1]
[2] Organizations creating a risk management program for the first time should not wait until the risk register is completed before addressing obvious issues. However, over time, it should become the ordinary means of communicating risk information.	[2] 初めてリスクマネジメントプログラムを作成する組織は、明らかな問題に対処する前にリスクレジストリが完成するのを待つべきではない。しかし、時が経つにつれ、リスク情報を伝達する通常の手段となるべきである。
^[3] Formats include risk register data displayed on dashboards, GRC tools, and file formats for communicating risk register data, such as the spreadsheet (CSV) and JSON formats.	^[3] フォーマットには、ダッシュボードに表示されるリスクレジストリデータ、GRCツール、リスクレジストリデータを伝達するためのファイルフォーマット（スプレッドシート（CSV）やJSONフォーマットなど）がある。

リスクマネジメントの全体像...

システム、組織、エンタープライズの各レベルにおけるリスクレジストリの情報フロー

・2025.02.25 NIST IR 8286A Rev. 1 (Initial Public Draft Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management

NIST IR 8286A Rev. 1 (Initial Public Draft) Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management	NIST IR 8286A Rev. 1（初期公開草案）エンタープライズ・リスクマネジメントのためのサイバーセキュリティリスクの識別と評価
Abstract	概要
This document supplements NIST Interagency Report 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM), by providing additional detail regarding risk guidance, identification, and analysis. This report offers examples and information to illustrate risk tolerance, risk appetite, and methods for determining risks in that context. To support the development of an Enterprise Risk Register, this report describes documentation of various scenarios based on the potential impact of threats and vulnerabilities on enterprise assets. Documenting the likelihood and impact of various threat events through cybersecurity risk registers integrated into an enterprise risk profile helps to later prioritize and communicate enterprise cybersecurity risk response and monitoring. This document has been updated to reflect changes in other NIST documentation (IR 8286 series, SP 800-221/221A, and Cybersecurity Framework 2.0).	本書は、NIST内部報告書8286「サイバーセキュリティとエンタープライズ・リスクマネジメント（ERM）の統合」を補足するものであり、リスクに関する指針、識別、分析に関する詳細情報を提供する。本報告書では、リスク許容度、リスク選好度、およびその文脈におけるリスクの決定方法を示すための例や情報を提供する。エンタープライズ・リスクレジストリの開発を支援するために、本報告書では、企業資産に対する脅威や脆弱性の潜在的な影響に基づくさまざまなシナリオの文書化について説明する。サイバーセキュリティリスクレジストリをエンタープライズ・リスクプロファイルに統合することで、さまざまな脅威事象の可能性と影響を文書化し、その後のエンタープライズサイバーセキュリティリスク対応とモニタリングの優先順位付けとコミュニケーションに役立てることができる。この文書は、他のNIST文書（IR 8286シリーズ、SP 800-221/221A、およびサイバーセキュリティフレームワーク2.0）の変更を反映して更新されている。

・[PDF] NIST.IR.8286Ar1.ipd

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序文
1.1. Supporting CSRM as an Integrated Component of ERM	1.1. ERMの統合要素としてのCSRMのサポート
1.2. Purpose and Scope	1.2. 目的と範囲
1.3. Document Structure	1.3. 文書構成
2. Cybersecurity Risk Considerations Throughout the ERM Process	2. ERMプロセス全体におけるサイバーセキュリティリスクの考慮事項
2.1. Risk Scope, Context, and Criteria	2.1. リスクの範囲、コンテクスト、規準
2.1.1. Risk Appetite and Risk Tolerance	2.1.1. リスク選好度とリスク許容度
2.1.2. Enterprise Strategy for Cybersecurity Risk Coordination	2.1.2. サイバーセキュリティリスク調整のためのエンタープライズ戦略
2.1.3. Detailed Risk Integration Strategy	2.1.3. 詳細なリスク統合戦略
2.1.4. Enterprise Strategy for Cybersecurity Risk Reporting	2.1.4. サイバーセキュリティリスク報告のためのエンタープライズ戦略
2.2. Risk Identification	2.2. リスクの識別
2.2.1. Inventory and Valuation of Assets	2.2.1. 資産の目録作成と評価
2.2.1.1. Business Impact Analysis	2.2.1.1. 事業への影響分析
2.2.1.2. Determination of High-Value Assets	2.2.1.2. 高価値資産の決定
2.2.1.3. Automation Support for Inventory Accuracy	2.2.1.3. 目録の正確性を確保するための自動化サポート
2.2.2. Determination of Potential Threats	2.2.2. 潜在的な脅威の特定
2.2.2.1. Threat Enumeration	2.2.2.1. 脅威の列挙
2.2.2.2. Reducing Unwanted Bias in Threat Considerations	2.2.2.2. 脅威の考慮における不要なバイアスの低減
2.2.2.3. Threat Enumeration Through SWOT Analysis	2.2.2.3. SWOT分析による脅威の列挙
2.2.2.4. Use of Gap Analysis to Identify Threats	2.2.2.4. ギャップ分析による脅威の識別
2.2.2.5. Technical Threat Enumeration	2.2.2.5. 技術的な脅威の列挙
2.2.3. Vulnerability Identification	2.2.3. 脆弱性の識別
2.2.3.1. Determination of Vulnerabilities and Predisposing Conditions	2.2.3.1. 脆弱性および素因状態の特定
2.2.3.2. System Complexity as a Vulnerability	2.2.3.2. 脆弱性としてのシステムの複雑性
2.2.3.3. Vulnerability Identification Automation	2.2.3.3. 脆弱性の自動識別
2.2.4. Determining Potential Impact	2.2.4. 潜在的な影響の特定
2.2.5. Recording Identified Risks	2.2.5. 識別されたリスクの記録
2.2.6. Risk Categorization	2.2.6. リスクの分類
2.3. Detailed Risk Analysis	2.3. 詳細なリスク分析
2.3.1. Selecting Risk Analysis Methodologies	2.3.1. リスク分析方法の選択
2.3.2. Techniques for Estimating Likelihood and Impact	2.3.2. 発生可能性と影響度の推定手法
2.3.2.1. Improving Estimation Based on Knowledge of Prior Events	2.3.2.1. 過去の事象に関する知識に基づく推定の改善
2.3.2.2. Three-Point Estimation	2.3.2.2. 三点推定
2.3.2.3. Event Tree Analysis	2.3.2.3. イベントツリー分析
2.3.2.4. Monte Carlo Simulation	2.3.2.4. モンテカルロ・シミュレーション
2.3.2.5. Bayesian Analysis	2.3.2.5. ベイズ分析
2.4. Determination and Documentation of Risk Exposure	2.4. リスクエクスポージャーの決定と文書化
3. Conclusion	3. 結論
References	参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms Appendix B. Notional Example of a Risk Detail Record (RDR)	附属書 A. 記号、略語、および頭字語の一覧附属書 B. リスク詳細レコード（RDR）の想定例
Appendix C. Change Log	附属書 C. 変更履歴
List of Tables	表一覧
Table 1. Notional examples of risk appetite and risk tolerance	表1. リスク選好度とリスク許容度の想定例
Table 2. Inputs and outputs for ERM governance and integrated CSRM	表2. ERM ガバナンスと統合 CSRM の入力と出力
Table 3. Example threat modeling analysis	表3. 脅威モデリング分析の例
Table 4. Example bias issues to avoid in risk management	表4. リスクマネジメントで回避すべきバイアス問題の例
Table 5. Example SWOT analysis	表5. SWOT分析の例
Table 6. Cybersecurity Framework current state profiles help consider threats	表6. サイバーセキュリティ枠組みの現状プロファイルは脅威の検討に役立つ
Table 7. Example sources of threat information	表7. 脅威情報の情報源の例
Table 8. Example negative and positive impact scenarios	表8. ネガティブおよびポジティブな影響シナリオの例
Table 9. Example risk tolerance results assessment	表9. リスク許容度の結果アセスメントの例
Table 10. Notional risk detail record	表10. 想定リスク詳細レコード
List of Figures	図の一覧
Fig. 1. IR 8286 series publications describe detailed CSRM/ERM integration	図1. IR 8286シリーズの出版物は、詳細なCSRM/ERM統合について説明している
Fig. 2. IR 8286A activities as part of CSRM/ERM integration	図2. IR 8286Aの活動は、CSRM/ERM統合の一部である
Fig. 3. Integration of various risk management activities into the enterprise risk register and risk profile	図3. エンタープライズ・リスクレジスタおよびリスクプロファイルへの各種リスクマネジメント活動の統合
Fig. 4. Notional cybersecurity risk register template	図4. 想定されるサイバーセキュリティリスクレジスタのテンプレート
Fig. 5. Illustration of enterprise risk and coordination	図5. エンタープライズ・リスクと調整の説明
Fig. 6. Continuous interaction between ERM and CSRM using the risk register	図6：リスクレジストリを使用したERMとCSRMの継続的な相互作用
Fig. 7. CSRR highlighting risk description column	図7：リスク説明欄を強調したCSRR
Fig. 8. Inputs to risk scenario identification	図8：リスクシナリオの特定への入力
Fig. 9. Threats as an input to risk scenario identification (Part B)	図9：リスクシナリオの特定への入力としての脅威（パートB）
Fig. 10. Vulnerability inputs to risk scenario identification (Part C)	図10：リスクシナリオの特定への入力としての脆弱性（パートC）
Fig. 11. Adverse impact inclusion in risk scenario identification (Part D)	図11：リスクシナリオの特定への悪影響の包含（パートD）
Fig. 12. Example risk register with sample risk descriptions	図12：リスク記述のサンプルを含むリスクレジストリの例
Fig. 13. CSRR highlighting risk category and current assessment columns	図13：リスクカテゴリーと現在のアセスメント欄を強調したCSRR
Fig. 14. Example three-point estimate graph (triangle distribution)	図14：3点推定グラフの例（三角分布
Fig. 15. Example three-point estimate graph (normal distribution)	図15：3点推定グラフの例（正規分布
Fig. 16. Example event tree analysis	図16：イベントツリー分析の例
Fig. 17. Illustration of a histogram from a Monte Carlo estimation simulation	図17：モンテカルロ推定シミュレーションによるヒストグラムの例
Fig. 18. Example quantitative analysis results	図18. 定量的分析結果の例
Fig. 19. Example qualitative analysis results	図19. 定性的分析結果の例
Fig. 20. Use of a cybersecurity risk register improves risk communications	図20. サイバーセキュリティリスクレジストリの利用によるリスクコミュニケーションの改善

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
All organizations face a broad array of risks, including cybersecurity risk. For federal agencies, the Office of Management and Budget (OMB) Circular A-11 defines risk as “the effect of uncertainty on objectives.” An organization’s mission and business objectives can be impacted by such effects and must be managed at various levels within the organization.	あらゆる組織は、サイバーセキュリティリスクを含むさまざまなリスクに直面している。連邦政府機関の場合、行政管理予算局（OMB）の通達A-11では、リスクを「目的に対する不確実性の影響」と定義している。組織のミッションや事業目標は、このような影響を受ける可能性があり、組織内のさまざまなレベルで管理する必要がある。
This report highlights aspects of cybersecurity risk management (CSRM) inherent to enterprises, organizations, and systems. The terms organization and enterprise are often used interchangeably; however, without an understanding of organizational structure, effective risk management is impossible. For the purposes of this document, an organization is defined as an entity of any size, complexity, or position within a larger organizational structure. The enterprise exists at the top level of the hierarchy where senior leaders have unique risk governance responsibilities. Each enterprise, such as a corporation or government agency, is comprised of organizations supported by systems. This report describes CSRM activities at each level.	本レポートでは、企業、組織、システムに内在するサイバーセキュリティ・リスクマネジメント（CSRM）の側面を強調する。組織とエンタープライズという用語は、しばしば互換的に使用されるが、組織構造を理解しなければ、効果的なリスクマネジメントは不可能である。本書では、組織を、より大きな組織構造内のあらゆる規模、複雑性、または位置付けの事業体と定義する。エンタープライズは、シニアリーダーが独自のリスクガバナンス責任を負う階層の最上位に存在する。企業や政府機関などの各エンタープライズは、システムによってサポートされる組織によって構成される。本報告書では、各レベルにおけるCSRMの活動を説明する。
Note that there may be iterative levels within the enterprise and that positions may be relative. For example, a given enterprise (e.g., a bureau or corporate division) may represent an organization to the overarching agency or corporation.	エンタープライズ内に反復的なレベルが存在する場合や、役職が相対的な場合があることに留意されたい。例えば、特定のエンタープライズ（局や企業ディビジョンなど）が、包括的な機関や企業に対する組織の代表者となる場合がある。
Enterprise risk management (ERM) calls for understanding the core (i.e., significant) risks that an organization faces, and this document provides supplemental guidance for aligning cyber security risks within an organization’s overall ERM program. Lessons learned from historical cybersecurity incidents demonstrate the importance of collaboration among CSRM and ERM. This document helps enterprises to apply, improve, and monitor the quality of that cooperation and communication.	エンタープライズ・リスクマネジメント（ERM）では、組織が直面する主要な（すなわち、重要な）リスクを理解することが求められる。本書では、組織の全体的なERMプログラム内でサイバーセキュリティリスクを調整するための補足的なガイダンスを提供する。過去のサイバーセキュリティインシデントから得られた教訓は、CSRMとERM間の連携の重要性を示している。本書は、企業が連携とコミュニケーションの質を適用、改善、監視するのに役立つ。
This NIST Interagency Report (IR) is part of a series of publications supporting IR 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM) [1]. Each publication in the series, illustrated in Fig. 1, provides additional detail and guidance to supplement topics in that document:	このNIST機関間報告書（IR）は、IR 8286『サイバーセキュリティとエンタープライズ・リスクマネジメント（ERM）の統合』[1]をサポートする一連の出版物の一部である。図1に示されているように、このシリーズの各出版物は、その文書のトピックを補足する追加の詳細とガイダンスを提供している。
• IR 8286A (this report) provides additional detail regarding risk context, scenario identification, and analysis of likelihood and impact. It also includes methods to convey risk information, such as through cybersecurity risk registers (CSRRs) and risk detail records (RDRs). Similar processes, and the general use of risk registers, are helpful to identify and manage other types of risk, including those for Cyber Supply Chain and Privacy.	• IR 8286A（本書）では、リスクの背景、シナリオの識別、可能性と影響の分析に関する詳細が提供されている。また、サイバーセキュリティリスクレジストリ（CSRR）やリスク詳細レコード（RDR）などを通じたリスク情報の伝達方法も記載されている。同様のプロセスやリスクレジストリの一般的な使用は、サイバーサプライチェーンやプライバシーに関するリスクなど、他のタイプのリスクの識別や管理にも役立つ。
• IR 8286B [2] describes ways to apply risk analysis to prioritize cybersecurity risk, evaluate and select appropriate risk response, and communicate risk activities as part of an enterprise CSRM strategy.	• IR 8286B [2] では、企業 CSRM 戦略の一環として、リスク分析を適用してサイバーセキュリティリスクの優先順位付けを行い、適切なリスク対応を評価・選択し、リスク活動のコミュニケーションを行う方法を説明している。
• IR 8286C [3] describes processes for aggregating information from CSRM activities throughout the enterprise. As that information is integrated and harmonized, organizational and enterprise leaders monitor achievement of risk objectives, consider any changes to risk strategy, and use the combined information to maintain awareness of risk factors and positive risks (or opportunities).	• IR 8286C [3] では、企業全体における CSRM 活動からの情報を集約するプロセスを説明している。その情報が統合され、調整されると、組織およびエンタープライズのリーダーはリスク目標の達成状況を監視し、リスク戦略の変更を検討し、統合された情報を使用してリスク要因とポジティブリスク（または機会）に対する認識を維持する。
• IR 8286D [4] describes specific considerations for the documentation and analysis of business impacts that result in a full or partial loss of the confidentiality, integrity, or availability of a mission-essential resource.	• IR 8286D [4] は、ミッションに不可欠なリソースの機密性、完全性、または可用性の全部または一部の損失につながる事業への影響の文書化と分析に関する具体的な考慮事項を説明している。

Fig. 1. IR 8286 series publications describe detailed CSRM/ERM integration	図1 IR 8286シリーズの刊行物は、CSRM/ERM統合の詳細を説明している
A key CSRM success factor is setting leadership expectations, such as through risk appetite and risk tolerance. Section 2.1 of this report provides examples of setting and communicating those expectations and provides input into Sec. 2.2, which describes methods for identifying CSRM scenarios. Each of the potential risk scenarios are analyzed, as described in Sec. 2.3, to consider specific likelihood and impact on the organization. Throughout these processes, risk data is developed and recorded in cybersecurity risk registers (and risk detail records) in support of ongoing risk communication. This information becomes the input to risk prioritization and response, which is described in IR 8286B.	CSRMの成功要因の鍵となるのは、リスク許容度やリスク許容度などを通じたリーダーシップの期待値の設定である。本報告書のセクション2.1では、これらの期待値の設定とコミュニケーションの例を示し、セクション2.2のCSRMシナリオの識別方法に関するインプットを提供する。各潜在的なリスクシナリオは、セクション2.3で説明されているように分析され、組織への具体的な可能性と影響を考慮する。これらのプロセス全体を通じて、リスクデータは、継続的なリスクコミュニケーションを支援するために、サイバーセキュリティリスクレジストリ（およびリスク詳細記録）に開発され、記録される。この情報は、リスクの優先順位付けと対応への入力となり、これはIR 8286Bで説明されている。

・2025.02.25 NIST IR 8286B Prioritizing Cybersecurity Risk for Enterprise Risk Management

NIST IR 8286B Prioritizing Cybersecurity Risk for Enterprise Risk Management	NIST IR 8286B エンタープライズ・リスクマネジメントのためのサイバーセキュリティリスクの優先順位付け
Abstract	概要
This document is the second in a series that supplements NIST Interagency Report (IR) 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM). This series provides additional detail regarding the enterprise application of cybersecurity risk information; the previous document, NIST IR 8286A, provided detail regarding stakeholder risk guidance and risk identification and analysis. This second publication describes the need for determining the priorities of each of those risks in light of their potential impact on enterprise objectives, as well as options for properly treating that risk. This report describes how risk priorities and risk response information are added to the cybersecurity risk register (CSRR) in support of an overall enterprise risk register. Information about the selection of and projected cost of risk response will be used to maintain a composite view of cybersecurity risks throughout the enterprise, as detailed in NIST IR 8286C. These composite views may be used to confirm and, if necessary, adjust risk strategy to ensure mission success.	本書は、NIST 内部報告書（IR）8286「サイバーセキュリティとエンタープライズ・リスクマネジメント（ERM）の統合」を補足するシリーズの第2巻である。このシリーズでは、サイバーセキュリティリスク情報のエンタープライズ・アプリケーションに関する詳細情報を提供する。前巻のNIST IR 8286Aでは、利害関係者のリスクガイダンスとリスクの識別および分析に関する詳細情報を提供した。この第2の文書では、エンタープライズの目標に対する潜在的な影響を考慮して、それらのリスクの優先順位を決定する必要性、およびリスクを適切に処理するための選択肢について説明している。この報告書では、エンタープライズ全体のリスクレジストリをサポートするために、リスクの優先順位とリスク対応情報がサイバーセキュリティリスクレジストリ（CSRR）に追加される方法について説明している。リスク対応の選択と予測コストに関する情報は、NIST IR 8286Cで詳細に説明されているように、エンタープライズ全体のサイバーセキュリティリスクの複合的な見解を維持するために使用される。これらの複合的な見解は、ミッションの成功を確実にするためにリスク戦略を確認し、必要に応じて調整するために使用される可能性がある。

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序文
1.1. Purpose and Scope	1.1. 目的と範囲
1.2. Supporting the Risk Management Cycle	1.2. リスクマネジメント・サイクルの支援
1.3. Supporting the Enterprise Cybersecurity Risk Life Cycle	1.3. エンタープライズのサイバーセキュリティリスクライフサイクルの支援
1.4. Document Structure	1.4. 文書構造
2. Cybersecurity Risk Considerations	2. サイバーセキュリティリスクに関する考察
2.1. Assessment, Response, and Monitoring Across Enterprise Levels	2.1. エンタープライズ・レベルでのアセスメント、対応、モニタリング
2.2. Prioritizing Cybersecurity Risks	2.2. サイバーセキュリティリスクの優先順位付け
2.2.1. Factors Influencing Prioritization	2.2.1. 順位付けに影響を与える要因
2.2.2. Cybersecurity Risk Optimization	2.2.2. サイバーセキュリティリスクの最適化
2.2.3. Cybersecurity Risk Priorities at Each Enterprise Level	2.2.3. 各エンタープライズレベルにおけるサイバーセキュリティリスクの優先順位
2.2.4. Considerations of Positive Risks as an Input to ERM	2.2.4. ERMのインプットとしてのポジティブ・リスクの検討
2.2.5. Visualizing Risk Priority	2.2.5. リスクの優先順位を可視化する
2.3. Selection of Risk Response Types	2.3. リスク対応タイプの選択
2.3.1. Risk Acceptance	2.3.1. リスクの受容
2.3.2. Risk Avoidance	2.3.2. リスク回避
2.3.3. Risk Transfer	2.3.3. リスク移転
2.3.4. Risk Mitigation	2.3.4. リスク緩和
2.3.5. Relationship of Risk Response to Risk Strategy	2.3.5. リスク対応とリスク戦略の関係
2.3.6. Implicit Acceptance	2.3.6. 暗黙の受容
2.3.7. Responding to Positive Risk Scenarios	2.3.7. 積極的なリスクシナリオへの対応
2.4. Finalizing the Cybersecurity Risk Register	2.4. サイバーセキュリティリスク登録簿の最終化
2.4.1. Risk Response Cost	2.4.1. リスク対応コスト
2.4.2. Risk Response Description	2.4.2. リスク対応
2.4.3. Risk Owner	2.4.3. リスクオーナー
2.4.4. Status	2.4.4. ステータス
2.5. Conditioning Cybersecurity Risk Register for Enterprise Risk Rollup	2.5. エンタープライズリスクロールアップのためのサイバーセキュリティリスク登録の調整
3. Conclusion	3. 結論
References	参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms	附属書A. 記号、略語、頭字語のリスト
Appendix B. Change Log	附属書B. 変更履歴

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
All organizations face a broad array of risks, including cybersecurity risks. For U.S. Federal Government agencies, the Office of Management and Budget (OMB) Circular A-11 defines risk as “the effect of uncertainty on objectives” [1]. An organization’s business objectives can be impacted by such effects, so this uncertainty must be managed at various hierarchical levels.	すべての組織は、サイバーセキュリティリスクを含む広範なリスクに直面している。米国連邦政府機関の場合、行政管理予算局（OMB）の通達 Circular A-11 では、リスクを定義している「性の影響」と目的に対する不確実[1]。組織の事業目標はこのような影響によって影響を受ける可能性があるため、この不確実性はさまざまな階層レベルで管理されなければならない
This report highlights Cybersecurity Risk Management (CSRM) aspects that are inherent to enterprises, organizations, and systems. The terms organization and enterprise are often used interchangeably; for the purposes of this document, both an organization and an enterprise are defined as an entity of any size, complexity, or positioning within a larger organizational structure. The term enterprise level refers to the top level of the hierarchy where senior leaders have unique risk governance responsibilities. Each enterprise, such as a corporation or government agency, is comprised of organizations supported by systems.[1] The term organizational level refers to the various middle levels of the hierarchy between the system level (lowest level) and the enterprise level (highest level).	本報告書では、エンタープライズ、組織、システムに固有のサイバーセキュリティリスクマネジメント（CSRM）の側面に焦点を当てる。用語は組織とエンタープライズという、しばしば互換的に使用される。本書では、両方を組織とエンタープライズの、より大きな組織構造の中でのあらゆる規模、複雑さ、位置づけの事業体として定義する。用語はエンタープライズレベルという、シニアリーダーが独自のリスクガバナンス責任を有する階層の最上位レベルを指す。企業や政府機関などの各エンタープライズは、構成されている�システムに支えられた組織で[1]�組織レベルという用語は、間の階層の様々な中間レベルを指す。システムレベル（最下位レベル）とエンタープライズレベル（最上位レベル）の階層の様々な中間レベルを指す。
Enterprise risk management (ERM) calls for understanding the key risks that an organization faces. This document provides supplemental guidance for aligning cybersecurity risks with an organization’s overall ERM program. To minimize the extent to which cybersecurity risks impede enterprise missions and objectives, there must be effective collaboration among CSRM and ERM managers. This document helps enterprises apply, improve, and monitor the quality of that cooperation and communication.	エンタープライズリスクマネジメント（ERM）では、組織が直面する主要なリスクを理解することが求められる。本文書は、サイバーセキュリティリスクを組織の ERM プログラム全体と整合させるための補足ガイダンスを提供する。サイバーセキュリティリスクがエンタープライズのミッションや目標を阻害する程度を最小化するためには、CSRM と ERM のマネジャーが効果的に連携する必要がある。本書は、エンタープライズがその協力とコミュニケーションの質を適用、改善、監視することを支援するものである。
This NIST Interagency Report (IR) is part two of a five-part series supporting NIST IR 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM) [2].	このNIST Interagency Report（IR）は、NIST IR 8286「を支援する5部構成のシリーズの第2部である。サイバーセキュリティとエンタープライズリスクマネジメント（ERM）の統合」[2]

Fig. 1. NIST IR 8286 series publications describe detailed CSRM/ERM integration	図1. NIST IR 8286シリーズ刊行物には、CSRM/ERM統合の詳細が記載されている。
Fig. 1 illustrates that additional detail and guidance are provided in each report:	図1は、各レポートに追加の詳細とガイダンスがプロバイダとして提供されていることを示している：
• NIST IR 8286A [3] provides detail regarding cybersecurity risk context, scenarios, and analysis of likelihood and impact. It includes methods to convey risk information, such as cybersecurity risk registers (CSRRs) and risk detail records (RDRs).	• NIST IR 8286A [3]は、サイバーセキュリティリスクの背景、シナリオ、可能性と影響の分析に関する詳細を提供する。また、サイバーセキュリティリスクレジスタ（CSRR）やリスク詳細記録（RDR）など、リスク情報を伝達する方法も含まれている。
• NIST IR 8286B (this report) describes ways to apply risk analysis to help prioritize cybersecurity risk, evaluate and select appropriate risk response, and communicate risk activities as part of an enterprise CSRM strategy.	• NIST IR 8286B（本報告書）では、エンタープライズ CSRM 戦略の一環として、サイバーセキュリティリスクの優先順位付け、適切なリスク対応の評価と選択、リスク活動のコミュニケーションに役立つリスク分析の適用方法を説明している。
• The next document in this series, NIST IR 8286C [4], describes processes for aggregating information from CSRM activities throughout the enterprise. As that information is integrated and harmonized, organizational and enterprise leaders monitor the achievement of risk objectives, consider any changes to risk strategy, and use the	• 本シリーズの次の文書であるNIST IR 8286C [4]では、エンタープライズ全体のCSRM活動からの情報を集約するためのプロセスについて記述している。これらの情報が統合され調和されるにつれて、組織及びエンタープライズのリーダーは、リスク目標の達成状況を監視し、リスク戦略の変更を検討し、CSRM活動から得られた情報を活用する。
combined information to maintain awareness of risk factors and positive risks (or opportunities).	リスク要因とポジティブなリスク（または機会）に対する認識を維持するために、情報を組み合わせる。
• NIST IR 8286D [5] describes the identification and management of risk as it propagates from system to organization and from organization to enterprise, which in turn better informs ERM deliberations. It expands typical business impact analysis (BIA) discussions to inform risk prioritization and response by quantifying the organizational impact and enterprise consequences of compromised IT assets.	• NIST IR 8286D [5]では、システムから組織へ、組織からエンタープライズへと伝播するリスクの識別とマネジメントについて説明しており、ERMの検討によりよい情報を提供する。これは、典型的なビジネスインパクト分析（BIA）の議論を拡張し、危殆化したIT資産が組織に与える影響とエンタープライズに与える影響を定量化することによって、リスクの優先順位付けと対応に情報を提供するものである。
All participants in the enterprise who play a role in CSRM and/or ERM should use consistent methods to prioritize and respond to risk, including methods for communicating results. This report provides guidance for applying a consistent risk strategy at all enterprise levels (Section 2.1). Based on the risk identification and risk analysis described in NIST IR 8286A and the BIA conducted in NIST IR 8286D, NIST IR 8286B provides recommendations for determining, responding to, and reporting the relative priorities of risks, as documented in the CSRR, in light of the enterprise’s risk strategy (Section 2.2), selecting risk response actions (Section 2.3), finalizing the CSRR (Section 2.4), and conditioning results in preparation for risk report aggregation (Section 2.5). These enriched CSRRs can be aggregated, normalized, analyzed, and optimized as detailed in NIST IR 8286C.	CSRM及び／又はERMの役割を果たすエンタープライズのすべての参加者は、結果のコミュニケーション方法を含め、リスクの優先順位付けと対応に一貫した方法を用いるべきである。本報告書は、すべてのエンタープライズレベルで一貫したリスク戦略を適用するためのガイダンスを提供する（セクション2.1）。NIST IR 8286Aに記載されたリスク識別及びリスク分析、並びにNIST IR 8286Dで実施されたBIAに基づき、NIST IR 8286Bは、CSRRに文書化されたリスクの相対的な優先順位を、決定、対応及び報告するための推奨事項推奨事項ための推奨ための推奨）を提供している。エンタープライズのリスク戦略に照らして（セクション2.2）、選択するためのリスク対応アクションを（セクション2.3）、CSRRを最終化する事項（セクション2.4）、リスク報告書の集計に備えて結果を調整する事項（セクション2.5これらの強化された CSRR は、NIST IR 8286C に詳述されているように、集計、正規化、分析、及び最適化することができる。
[1] A system is defined as “a discrete set of information resources organized expressly for the collection, processing, maintenance, use, sharing, dissemination, or disposition of information.”	[1]システムとは、「定義される情報の収集、処理、保守、利用、共有、普及、処分のために明示的に組織された。情報資源の個別集合

・2025.02.25 NIST IR 8286C Rev. 1 (Initial Public Draft) Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight

NIST IR 8286C Rev. 1 (Initial Public Draft) Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight	NIST IR 8286C Rev. 1（初期公開ドラフト）エンタープライズ・リスクマネジメントおよびガバナンスの監督のためのサイバーセキュリティリスクの段階的評価
Abstract	概要
This document is the third in a series that supplements NIST Interagency Report (IR) 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM). This series provides additional details regarding enterprise application of cybersecurity risk information; the previous documents, IRs 8286A and 8286B, provide details regarding stakeholder risk direction and methods for assessing and managing cybersecurity risk in light of enterprise objectives. This report, IR 8286C, describes how information recorded in cybersecurity risk registers (CSRRs) may be integrated as part of a holistic approach to ensuring that risks to information and technology are properly considered for the enterprise risk portfolio. This cohesive understanding supports an enterprise risk register and enterprise risk profile that, in turn, support the achievement of enterprise objectives.	本書は、NIST 内部報告書（IR）8286「サイバーセキュリティとエンタープライズ・リスクマネジメント（ERM）の統合」を補足するシリーズの第3巻である。このシリーズでは、サイバーセキュリティリスク情報のエンタープライズ・アプリケーションに関する追加情報を提供する。これに先立つIR 8286Aおよび8286Bでは、エンタープライズの目標に照らしたサイバーセキュリティリスクのアセスメントおよびマネジメントの方法と、利害関係者のリスク方針に関する詳細が提供されている。本報告書IR 8286Cでは、情報およびテクノロジーに対するリスクが企業リスクポートフォリオにおいて適切に考慮されることを保証するための包括的なアプローチの一環として、サイバーセキュリティリスクレジストリ（CSRR）に記録された情報を統合する方法について説明している。この統合的な理解は、企業リスクレジストリおよび企業リスクプロファイルを支え、ひいては企業目標の達成を支援する。

・[PDF] NIST.IR.8286Cr1.ipd

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序文
1.1. Purpose and Scope	1.1. 目的と範囲
1.2. Document Structure	1.2. 文書構成
2. Aggregation, Normalization, and Analysis of Cybersecurity Risk Registers (CSRRs)	2. サイバーセキュリティリスクレジストリ（CSRR）の集約、標準化、分析
2.1. Aggregation of Cybersecurity Risk Information	2.1. サイバーセキュリティリスク情報の集約
2.2. Normalization of Cybersecurity Risk Registers	2.2. サイバーセキュリティリスクレジストリの標準化
2.3. Analysis of Cybersecurity Risk Registers	2.3. サイバーセキュリティリスクレジストリの分析
2.4. Integrating CSRR Details	2.4. CSRR 詳細の統合
3. Determining Top-Down Priority: Integration of Cybersecurity Risk into the ERR/ERP	3. トップダウンによる優先順位の決定：ERR/ERP へのサイバーセキュリティリスクの統合
3.1. Enterprise Value of Incorporating Enterprise CSRRs into the ERP	3.1. エンタープライズ CSRR を ERP に統合するエンタープライズバリュー
3.2. Considerations in Priority: Operational Objectives and Enterprise Impact of Cybersecurity	3.2. 優先順位を決定する際の考慮事項：サイバーセキュリティの運用目標とエンタープライズへの影響
3.3. Considerations in Priority: Dependencies Among Enterprise Functions and Technology Systems	3.3. 優先順位付けにおける考慮事項：企業機能とテクノロジーシステム間の依存関係
4. Risk Governance as the Basis for Cybersecurity Risk Management	4. サイバーセキュリティリスク管理の基礎としてのリスクガバナンス
4.1. Frameworks in Support of Risk Governance and Risk Management	4.1. リスクガバナンスとリスクマネジメントを支援する枠組み
4.2. Adjustments to Risk Direction	4.2. リスクの方向性の調整
4.2.1. Adjustments to Cybersecurity Program Budget Allocation	4.2.1. サイバーセキュリティプログラムの予算配分の調整
4.2.2. Adjustments to Risk Appetite and Risk Tolerance	4.2.2. リスク許容度とリスク耐性の調整
4.2.3. Reviewing Whether Constraints Are Overly Stringent	4.2.3. 制約が厳しすぎるかどうかの見直し
4.2.4. Adjustments to Priority	4.2.4. 優先順位の調整
5. Cybersecurity Risk Monitoring, Evaluation, and Adjustment	5. サイバーセキュリティリスクの監視、評価、調整
5.1. Key CSRM Mechanisms	5.1. CSRMの主なメカニズム
5.2. Monitoring Risks	5.2. リスクの監視
5.3. Evaluating Risks	5.3. リスクの評価
5.4. Adjusting Risk Responses	5.4. リスク対応の調整
5.5. Monitor, Evaluate, and Adjust Examples	5.5. 監視、評価、調整の例
References	参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms Appendix B. Change Log	附属書 A. シンボル、略語、および頭字語の一覧附属書 B. 変更履歴
List of Tables	表の一覧
Table 1. Examples of cybersecurity risk analysis	表1. サイバーセキュリティリスク分析の例
Table 2. Examples of risk oversight functional roles and responsibilities	表2. リスク管理機能の役割と責任の例
Table 3. CSF steps as aligned with CSRM/ERM integration	表3. CSRM/ERM 統合に整合する CSF のステップ
Table 4. Examples of proactive risk management evaluation activities	表4. プロアクティブなリスクマネジメント評価活動の例
Table 5. Notional examples of MEA activities	表5. MEA 活動の概念例
List of Figures	図の一覧
Fig. 1. IR 8286 [6] series publications describe CSRM/ERM integration	図1. IR 8286 [6] シリーズの出版物は、CSRM/ERM統合について説明している
Fig. 2. IR 8286C activities as part of CSRM/ERM integration	図2. CSRM/ERM統合の一部としてのIR 8286Cの活動
Fig. 3. Moving CSRRs through the aggregation, normalization, and analysis phases	図3. 集約、標準化、分析の各段階におけるCSRRの移動
Fig. 4. OMB A-11 strategic planning concepts	図4. OMB A-11戦略計画の概念
Fig. 5. Bottom-up integration of risk registers to create E-CSRR, ERR, and ERP Fig. 6. Notional risk breakdown structure depicting enterprise risk impacts	図5：E-CSRR、ERR、ERPを作成するためのボトムアップ型リスクレジスター統合図6：エンタープライズ・リスクの影響を示す概念上のリスクブレークダウン構造
Fig. 7. Notional ERP example	図7：概念上のERPの例
Fig. 8. CSF steps in support of CSRM integration	図8：CSRM統合を支援するCSFのステップ
Fig. 9. Illustration of enterprise CSRM and coordination	図9：エンタープライズCSRMと調整の説明図
Fig. 10. Monitor-Evaluate-Adjust cycle	図10：モニタリング、評価、調整サイクル

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
This NIST Interagency Report (IR) explores methods for integrating disparate cybersecurity risk management (CSRM) information from throughout the enterprise to create a composite enterprise risk profile to inform company executives’ and agency officials’ enterprise risk management (ERM) deliberations, decisions, and actions. It describes the inclusion of cybersecurity risks as part of financial, valuation, mission, and reputation exposure. Figure 1 expands the enterprise risk cycle from previous reports to remind the reader that the input and sentiments of external stakeholders are a critical element of risk decisions.	このNIST機関間報告書（IR）では、企業全体にわたるサイバーセキュリティ・リスクマネジメント（CSRM）のさまざまな情報を統合し、複合的なエンタープライズ・リスクプロファイルを作成して、企業幹部および政府機関職員のエンタープライズ・リスクマネジメント（ERM）の審議、決定、行動に役立てるための方法を検討する。また、財務、評価、ミッション、および評判のエクスポージャーの一部としてサイバーセキュリティリスクを含めることについても説明する。図1は、以前の報告書からエンタープライズ・リスクサイクルを拡大し、外部利害関係者の意見や感情がリスク判断の重要な要素であることを読者に思い出させる。

Fig. 1. IR 8286 [6] series publications describe CSRM/ERM integration	図1 IR 8286 [6] シリーズの出版物は、CSRM/ERMの統合について説明している
The importance of information and technology risks to the enterprise risk posture makes it critical to ensure broad visibility about risk-related activities to protect enterprise reputation, finances, and objectives. A comprehensive enterprise risk register (ERR) and enterprise risk profile (ERP) support communication and disclosure requirements. The integration of CSRM activities supports understanding of exposures related to corporate reporting (e.g., income statements, balance sheets, and cash flow) and similar requirements (e.g., reporting for appropriation and oversight authorities) for public-sector entities.	企業リスクの状況に対する情報および技術リスクの重要性から、企業評価、財務、目標を防御するために、リスク関連の活動について幅広い可視性を確保することが極めて重要となる。包括的なエンタープライズ・リスクレジスター（ERR）とエンタープライズ・リスクプロファイル（ERP）は、コミュニケーションと情報開示の要件をサポートする。 CSRM活動の統合は、企業報告（損益計算書、貸借対照表、キャッシュフローなど）に関連するエクスポージャーの理解をサポートし、公共部門の事業体に対する同様の要件（認可当局や監督当局への報告など）にも対応する。
This document explores the methods for integrating disparate CSRM information from throughout the enterprise to create a composite understanding of the various cyber risks that may have an impact on the enterprise’s objectives. The report continues the discussion where IR 8286B [7] concluded by focusing on the integration of data points to create a comprehensive view of opportunities and threats to the enterprise’s information and technology. Notably, because cybersecurity risk is only one of dozens of risk types in the enterprise risk universe, that risk understanding will itself be integrated with similar aggregate observations of other collective risk points.	本書では、企業の目的に影響を及ぼす可能性のあるさまざまなサイバーリスクを総合的に理解するために、企業全体から収集したさまざまなCSRM情報を統合する方法について検討する。本書では、IR 8286B [7] の議論を継続し、企業の情報およびテクノロジーに対する機会と脅威の包括的なビューを作成するために、データポイントの統合に焦点を当てる。特に、サイバーセキュリティリスクは、企業リスクの全体像における数多くのリスクの1つにすぎないため、そのリスクの理解自体が、他の集合的なリスクポイントの類似した集約的な観察結果と統合されることになる。
This document discusses how risk governance elements such as enterprise risk strategy, appetite, tolerance, and capacity direct risk performance. By monitoring the results of CSRM activities at each hierarchical level, senior leaders can adjust various governance components (e.g., policy, procedures, workforce skills) to achieve risk objectives. This report describes how the CSRM Monitor, Evaluate, and Adjust (MEA) process supports ERM and a repeatable and consistent use of terms, including how the context of various terms can vary depending on the enterprise’s perspective. That understanding helps to ensure effective CSRM communication and coordination.	本書では、エンタープライズ・リスク戦略、リスク選好度、リスク許容度、リスク対応力などのリスクガバナンスの要素がリスクパフォーマンスにどのように影響するかを論じている。各階層レベルにおける CSRM 活動の結果をモニタリングすることで、シニアリーダーはリスク目標を達成するために、さまざまなガバナンス要素（ポリシー、手順、従業員のスキルなど）を調整することができる。本レポートでは、ERM をサポートする CSRM のモニタリング、評価、調整（MEA）プロセスについて説明し、企業の視点によってさまざまな用語のコンテクストがどのように異なる可能性があるかを含め、用語の反復可能かつ一貫した使用方法についても説明する。こうした理解は、効果的な CSRM コミュニケーションと調整を確実に行うのに役立つ。
While ERM is a well-established field, there is an opportunity to expand and improve the body of knowledge regarding coordination among cybersecurity risk managers and those managing risk at the most senior levels. This series is intended to introduce this integration while recognizing the need for additional research and collaboration. Further points of discussion include IR 8286D’s focus on business impact analysis (BIA), which is a foundation of understanding exposure and opportunity [8]. NIST also continues to perform extensive research and publication development regarding metrics, a topic that will certainly support ERM/CSRM performance measurement, monitoring, and communication.	ERMは確立された分野であるが、サイバーセキュリティリスク管理者と最高経営責任者レベルのリスク管理者の間の調整に関する知識体系を拡大し改善する余地がある。このシリーズは、さらなる研究と協力の必要性を認識しながら、この統合を紹介することを目的としている。さらに議論すべき点として、エクスポージャーと機会を理解するための基礎であるビジネスインパクト分析（BIA）にIR 8286Dが重点を置いていることが挙げられる[8]。また、NISTは、ERM/CSRMのパフォーマンス測定、モニタリング、コミュニケーションを確実にサポートするトピックであるメトリクスに関する広範な研究と出版物の開発も継続している。
This document continues the discussion regarding the inclusion of CSRM priorities and results in support of an improved understanding about organization and enterprise impacts of cybersecurity risks on financial, reputation, and mission considerations.	本書では、財務、評判、ミッション上の懸念に対するサイバーセキュリティリスクの組織およびエンタープライズへの影響に関する理解の改善を目的として、CSRMの優先事項と結果の組み込みに関する議論を継続している。

・2025.02.25 NIST IR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response

NIST IR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response	NIST IR 8286D ビジネスインパクト分析によるリスクの優先順位付けと対応の決定
Abstract	概要
While business impact analysis (BIA) has historically been used to determine availability requirements for business continuity, the process can be extended to provide a broad understanding of the potential impacts of any type of loss on the enterprise mission. The management of enterprise risk requires a comprehensive understanding of mission-essential functions (i.e., what must go right) and the potential risk scenarios that jeopardize those functions (i.e., what might go wrong). The process described in this publication helps leaders determine which assets enable the achievement of mission objectives and evaluate the factors that render assets as critical and sensitive. Based on those factors, enterprise leaders provide risk directives (i.e., risk appetite and tolerance) as input to the BIA. System owners then apply the BIA to developing asset categorization, impact values, and requirements for the protection of critical or sensitive assets. The output of the BIA is the foundation for the Enterprise Risk Management (ERM)/Cybersecurity Risk Management (CSRM) integration process, as described in the NIST Interagency Report (IR) 8286 series, and enables consistent prioritization, response, and communication regarding information security risk.	ビジネスインパクト分析（BIA）は、従来、事業継続のための可用性要件を決定するために使用されてきたが、このプロセスを拡張することで、あらゆる種類の損失が企業ミッションに及ぼす潜在的な影響について、より広範な理解を得ることができる。エンタープライズ・リスクの管理には、ミッションに不可欠な機能（すなわち、何が正しく行われなければならないか）と、それらの機能を脅かす潜在的なリスクシナリオ（すなわち、何が間違って行われる可能性があるか）についての包括的な理解が必要である。本書で説明されているプロセスは、リーダーがミッション目標の達成を可能にする資産を特定し、資産を重要かつ機密性の高いものとする要因を評価するのに役立つ。エンタープライズリーダーは、それらの要因に基づいて、BIAへのインプットとしてリスク指令（リスク許容度やリスク許容範囲など）を提供する。システム所有者は、BIA を資産分類、影響値、および重要または機密資産の防御要件の策定に適用する。BIA の結果は、NIST 内部報告書（IR）8286 シリーズで説明されているように、エンタープライズ・リスクマネジメント（ERM）／サイバーセキュリティ・リスクマネジメント（CSRM）統合プロセスの基礎となり、情報セキュリティリスクに関する一貫した優先順位付け、対応、およびコミュニケーションを可能にする。

・[PDF] NIST.IR.8286D-upd1

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序文
1.1. Benefits of Extending the BIA for Risk Types	1.1. リスクタイプのBIAを拡張するメリット
1.2. Foundational Practices for Business Impact Analysis	1.2. ビジネスインパクト分析のための基本的なプラクティス
1.3. Document Structure	1.3. 文書構造
2. Cataloging and Categorizing Assets Based on Enterprise Value	2. エンタープライズ価値に基づく資産のカタログ化と分類
2.1. Identification of Enterprise Business Asset Types	2.1. エンタープライズ・ビジネス資産タイプの特定
2.2. The Business Impact Analysis Process	2.2. ビジネスインパクト分析プロセス
2.3. Determining Asset Value to Support CSRM Activities	2.3. CSRM活動を支える資産価値の決定
2.4. Determining Loss Scenarios and Their Consequences	2.4. 損失シナリオとその結果の決定
2.5. Business Impact Analysis in Terms of Criticality and Sensitivity	2.5. 重要度と感度の観点からのビジネスインパクト分析
2.6. Using a BIA to Record Interdependencies	2.6. BIAを使った相互依存関係の記録
2.7. Consistent Business Impact Analysis Through an Enterprise Approach	2.7. エンタープライズ・アプローチによる一貫したビジネスインパクト分析
2.8. Using a BIA to Support an Enterprise Registry of System Assets	2.8. BIAを使用したシステム資産のエンタープライズレジストリの支援
3. Conclusion	3. 結論
References	参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms	附属書A. 記号、略語、頭字語のリスト
Appendix B. Change Log	附属書B. 変更履歴

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
Risk is measured in terms of impact on enterprise mission, so it is vital to understand the various information and technology (IT) assets whose functions enable that mission. Each asset has a value to the enterprise. For government enterprises, many of those IT assets are key components for supporting critical services provided to citizens. For corporations, IT assets directly influence enterprise capital and valuation, and IT risks can have a direct impact on the balance sheet or budget. For each type of enterprise, it is both vital and challenging to determine the conditions that will truly impact a mission. Government agencies must provide critical services while adhering to priority directives from senior leaders. In the commercial world, mission priority is often driven by long-term goals and factors that might impact the next quarter’s earnings call. Therefore, it is highly important to continually analyze and understand the enterprise resources that enable enterprise objectives and that can be jeopardized by cybersecurity risks.	リスクは、エンタープライズのミッションへの影響という観点から測定されるため、そのミッションを可能にする機能を持つ様々な情報・技術（IT）資産を理解することが不可欠である。各資産はエンタープライズにとって価値がある。ガバナンス・エンタープライズにとって、IT資産の多くは、市民に提供される重要なサービスを支える重要なコンポーネントである。企業にとっては、IT資産がエンタープライズの資本や評価に直接影響し、ITリスクは貸借対照表や予算に直接的な影響を与える可能性がある。それぞれのタイプのエンタープライズにとって、ミッションに真に影響を与える条件を見極めることは、極めて重要であると同時に困難でもある。ガバナンスの政府機関は、上級指導者からの優先的な指示を守りつつ、重要なサービスを提供しなければならない。商業の世界では、ミッションの優先順位は、長期的な目標や、次の影響するかもしれない要因によって左右されることが多い四半期の。したがって、企業の目標を実現し、サイバーセキュリティリスクによって危険にさらされる可能性のあるエンタープライズリソースを。継続的に分析し、理解することが非常に重要である。
The NIST Interagency Report (IR) 8286 series has coalesced around the risk register as a construct for storing and a process for communicating risk data [NISTIR8286]. Another critical artifact of risk management that serves as both a construct and a means of communication with the risk register is the Business Impact Analysis (BIA) Register. The BIA examines the potential impacts associated with the loss or degradation of an enterprise’s technology-related assets based on a qualitative or quantitative assessment of the criticality and sensitivity of those assets and stores the results in the BIA Register. An asset criticality or resource dependency assessment identifies and prioritizes the information assets that support the enterprise’s critical missions. Similarly, assessments of asset sensitivity identify and prioritize information assets that store, process, or transmit information that must not be modified or disclosed to unauthorized parties. In the cybersecurity realm, the use of the BIA has historically been limited to calculations of quality-based and time-based objectives for incident handling (including continuity of operations and disaster recovery).	NISTの省庁間報告書（IR）8286シリーズは、リスクデータを保存し、コミュニケーションするためのプロセスとして、リスク登録簿を中心にまとめられた[NISTIR8286]。リスクレジスターの構成要素とコミュニケーション手段の両方の役割を果たすリスクマネジメントのもう一つの重要な成果物は、ビジネスインパクト分析（BIA）レジスターである。BIAは損失又は関連する潜在的な影響を検討、エンタープライズの技術関連資産の、それらの資産の重要性及び感受性の定性的又は定量的な評価に基づいてし、その結果をBIA登録簿に保存する。資産の重要性または資源依存性のアセスメントは、支える情報資産を特定し、優先順位をつける劣化にエンタープライズの重要なミッションを。同様に、資産の機密性のアセスメントでは、無権限者に変更または開示されてはならない情報を保存、処理、または送信する情報資産を特定し、優先順位を付ける。サイバーセキュリティの領域では、BIAの使用は歴史的に、インシデントハンドリング（事業継続と災害復旧を含む）のための品質ベースと時間ベースの目標の計算に限られてきた。
Because the BIA serves as a nexus for understanding risk (which is the measurement of uncertainty on the mission), it provides a basis for risk appetite and tolerance values as part of the enterprise risk strategy.^[1]That guidance supports performance and risk metrics based on the relative value of enterprise assets to communicate and monitor Cybersecurity Risk Management^[2](CSRM) activities, including measures determined to be key performance indicators (KPIs) and key risk indicators (KRIs). The BIA supports asset classification that drives requirements, risk communications, and monitoring.	BIAはリスク（ミッション上の不確実性の測定である）を理解するための結節点として機能するため、エンタープライズリスク戦略の一部としてリスク選好度と許容値の基礎を提供する。^[1]このガイダンスは、サイバーセキュリティリスクマネジメントコミュニケーションし監視するために、エンタープライズ資産の相対的価値に基づくパフォーマンスとリスクの指標を支援するもので^[2] ）活動をあり、これには主要業績評価指標（KPI）や主要リスク指標（KRI）として決定された指標も含まれる。BIA は、要件、リスクコミュニケーション、モニタリングを推進する資産分類を支援する。
Expanding use of the BIA to include confidentiality and integrity considerations supports comprehensive risk analysis. The basis of asset valuation on enterprise impact helps to better align risk decisions to enterprise risk strategy. CSRM/ERM integration helps to complete the risk cycle by informing future iterations of impact analysis based on previous information gained through cybersecurity risk register (CSRR) aggregation, as detailed in NIST IR 8286C. As organizational and enterprise leaders gain an understanding of aggregate risk exposure and composite impact, that information helps adjust risk expectations (including business impact guidance to ensure an ongoing balance among asset value, resource optimization, and risk considerations).	BIAの利用を拡大し、機密性と完全性の検討を含めることで、包括的なリスク分析を支援する。エンタープライズに与える影響を資産評価の基礎とすることで、エンタープライズリスク戦略に対するリスク決定の整合性を高めることができる。CSRM/ERM の統合は、NIST IR 8286C に詳述されているように、サイバーセキュリティリスクレジスタ（CSRR）の集計を通じて得られた過去の情報に基づき、影響度分析の将来の反復に情報を提供することによって、リスクサイクルを完成させるのに役立つ。組織やエンタープライズのリーダーは、リスクエクスポージャーと複合的な影響の総和を理解するようになるため、その情報はリスクに対する期待値（資産価値、リソースの最適化、リスクへの配慮の間の継続的なバランスを確保するためのビジネス影響ガイダンスを含む）を調整するのに役立つ。
The BIA process enables system owners to record the benefits provided by an asset by considering the contribution to the enterprise, particularly in terms of mission, finance, and reputational aspects. Once informed about how each asset supports enterprise value, system owners can then work with risk managers to determine the implications of uncertainty on those assets.	BIAプロセスにより、システム所有者は、特にミッション、財務、評判の側面から、エンタープライズへの貢献を考慮することで、資産からプロバイダが提供される利益を記録することができる。各資産がどのようにエンタープライズの価値を支えているかを知ることができれば、システムオーナーはリスクマネジメントと協力して、それらの資産に不確実性がもたらす影響を判断することができる。
It is more critical than ever to have centralized and reliable asset information recorded in the BIA Register since enterprises rely on various types of information and communications technology (ICT) resources, which are increasingly targeted by adversaries. The BIA process provides information that can be consistently recorded in a centralized registry of important asset management information, such as system ownership, contact information for key stakeholders, and characteristics of the physical devices (or services). Since asset management is an important element of cybersecurity risk management, this information is quite valuable for protecting the asset, detecting cyber events, responding quickly to potential issues, and recovering services when necessary.	エンタープライズがさまざまな種類の情報通信技術（ICT）リソースに依存しており、敵対勢力に狙われることが多くなっているため、BIA登録簿に記録される一元化された信頼できる資産情報がこれまで以上に重要になっている。BIAプロセスは、システムの所有権、主要な利害関係者の連絡先情報、物理的装置（またはサービス）の特性など、重要な資産管理情報を集中登録簿に一貫して記録できる情報を提供する。資産管理はサイバーセキュリティ・リスクマネジメントの重要な要素であるため、この情報は資産を保護し、サイバーイベントを検知し、潜在的な問題に迅速に対応し、必要な場合にはサービスを回復するために非常に価値がある。
Public- and private-sector enterprises must maintain a continual understanding of potential business impacts, the risk conditions that might lead to those impacts, and the steps being taken to address those impacts (as recorded in various risk registers and, ultimately, in the Enterprise Risk Profile). In many cases, when a company or agency is asked about risks, they are actually being asked to describe potential impacts. Companies must describe the risk factors that could have a material adverse effect on the enterprise’s financial position, its ability to operate, or its corporate cash flow. Agencies must report to legislative and regulatory stakeholders about adverse impacts that could impair agency missions and funding. Use of the BIA methodology to categorize the criticality and sensitivity of enterprise assets enables effective risk management and the subsequent integration of reporting and monitoring at the enterprise level to ensure that risk and resource utilization are optimized in light of the value of those assets.	公共部門及び民間部門のエンタープライズは、潜在的な事業への影響、それらの影響につながる可能性のあるリスク状況、及びそれらの影響に対処するための措置（様々なリスク登録簿に記録され、最終的にはエンタープライズ・リスク・プロファイルに記録される）を継続的に理解し続けなければならない。多くの場合、企業や機関がリスクについて問われるとき、実際には潜在的な影響について問われる。企業は、エンタープライズの財政状態、経営能力、または企業のキャッシュフローに重大な悪影響を及ぼす可能性のあるリスク要因を記述しなければならない。省庁は、省庁の使命や資金調達を損なう可能性のある悪影響について、立法・規制上の利害関係者に報告しなければならない。エンタープライズ資産の重要性と機密性を分類するためにBIA手法を使用することにより、効果的なリスクマネジメントと、それに続くエンタープライズレベルでの報告とモニタリングの統合が可能となり、それらの資産の価値に照らしてリスクと資源利用が最適化されることが保証される。
[1] Office of Management and Budget (OMB) Circular A-123 defines risk appetite as “the broad-based amount of risk an organization is willing to accept in pursuit of its mission/vision. It is established by the organization’s most senior level leadership and serves as the guidepost to set strategy and select objectives.” The same document defines risk tolerance as “the acceptable level of variance in performance relative to the achievement of objectives.”	[1]行政管理予算局（OMB）サーキュラーA-123は、リスク定義している選好度を組織が許容する広範なリスク量」とそのミッション／ビジョンを。リスク選好度は追求するために、組織の最上位レベルのリーダーシップによって設定され、戦略を設定し、目標を選択するための道標の」と定義している。役割を果たす同文書では、定義しているリスク許容度を「許容レベル目標達成に対する。業績のばらつきの
[2] Cybersecurity Risk Management, or CSRM, is the process of managing uncertainty on or within information and technology.	[2]サイバーセキュリティ・リスクマネジメント（CSRM）とは、情報や技術に関する不確実性を管理するプロセスである。

参考...

● Committee of Sponsoring Organizations; COSO

・Enterprise Risk Management; ERM

・[PDF] Exsecutive Summary

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

IR 8286

・2024.03.10 米国 NIST IR 8286C エンタープライズリスクマネジメントと政府監視のためのサイバーセキュリティリスクのステージング

・2022.11.22 NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネス影響分析の使用

・2022.09.16 NISTIR 8286C エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

・2022.06.14 NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネスインパクト分析を使用する方法 (2022.06.09)

・2022.02.13 NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2022.01.28 NISTIR 8286C （ドラフト）エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定

・2021.09.03 NISTIR 8286B（ドラフト）エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2021.07.08 NISTIR 8286A （ドラフト）エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定（第2ドラフト）

・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)

・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)

・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)

SP800-221関係...

・2023.11.20 NIST SP 800-221 情報通信技術リスクのエンタープライズへの影響：エンタープライズリスクポートフォリオにおけるICTリスクプログラムのガバナンスとマネジメント, NIST SP 800-221A 情報通信技術（ICT）リスクの成果： ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合

・2022.07.25 NIST SP 800-221 (ドラフト) 情報通信技術リスクのエンタープライズへの影響：エンタープライズ・リスクポートフォリオの中でのICTリスクプログラムの統治と管理 SP 800-221A (ドラフト) 情報通信技術 (ICT) リスクの成果：ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合

経営ガイドライン Veer3.0

・2023.11.09 IPA サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 (2023.10.31)

・2023.03.26 経済産業省サイバーセキュリティ経営ガイドラインVer 3.0

・2022.12.10 経団連「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見

2025.03.10 06:43 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in パブコメ | Permalink | Comments (0)
Tweet

2025.03.09

欧州 ENISA NIS360 2024 (2025.03.05) 重要インフラのセキュリティの状況...

こんにちは、丸山満彦です。

ENISAが、NIS2の対象となる９つの重要インフラ分野（セクター）、22の下位分野（サブセクター）についてのサイバーセキュリティの成熟度と重大度の評価をまとめていますね...業界分野ごとの比較や、日本との比較をする上でも参考になるかもですね...

エネルギー：電気、ガス、地域冷暖房、水素、石油
輸送：航空、海運、鉄道、道路
金融：銀行、金融市場インフラ（FMI）
水：飲料水・廃水
デジタル・インフラ：中核的インターネット*、通信、クラウドサービス、データセンターサービス、トラストサービス
健康**
ICTサービスマネジメント
公共機関
宇宙

*:インターネットエクスチェンジポイント（IXP）プロバイダ、ドメインネームシステム（DNS）サービス・プロバイダ（オペレータを除く）ルートネームサーバ、トップレベルドメイン（TLD）名レジストリの、コンテンツデリバリー・ネットワーク（CDN）プロバイダ。

**:医療提供者（病院）、検査機関、医薬品開発、製薬事業者、医療機器製造事業者

⚫︎ ENISA

・2025.03.05 ENISA NIS360 2024

・[DOCX][PDF] 仮訳

目次...

EXECUTIVE SUMMARY	エグゼクティブサマリー
1. INTRODUCTION	1. 序文
1.1 GOAL AND TARGET AUDIENCE	1.1 目標と対象読者
1.2 SCOPE AND METHODOLOGY	1.2 スコープと方法論
1.3 DISCLAIMER	1.3 免責事項
2. SECTOR MATURITY & CRITICALITY OVERVIEW	2.分野の成熟度と重大度の概要
2.1 MATURITY OVERVIEW	2.1 成熟度の概要
2.2 CRITICALITY OVERVIEW	2.2 重大度の概要
2.3 RECOMMENDATIONS	2.3 推奨事項
3. NEXT STEPS	3.次のステップ
ANNEX A THE NIS360 METHODOLOGY	附属書A NIS360の方法論
ANNEX B CRITICALITY BREAKDOWN BY SECTOR	附属書B 分野別重要度内訳
ANNEX C MATURITY BREAKDOWN BY SECTOR	附属書C 分野別成熟度内訳
ANNEX D SECTOR BY SECTOR ANALYSIS	附属書D 分野別分析
D.1 ENERGY SECTOR	D.1 エネルギー分野
D.2 TRANSPORT SECTOR	D.2 輸送分野
D.3 FINANCE SECTOR	D.3 金融分野
D.4 HEALTH SECTOR	D.4 健康分野
D.5 DRINKING & WASTE WATER SECTORS	D.5 飲料水・廃水分野
D.6 DIGITAL INFRASTRUCTURE SECTOR	D.6 デジタル・インフラ分野
D.7 ICT SERVICE MANAGEMENT SECTOR	D.7 ICTサービスマネジメント分野
D.8 PUBLIC ADMINISTRATION SECTOR	D.8 公共分野
D.9 SPACE SECTOR	D.9 宇宙分野
ANNEX E SURVEY PARTICIPATION	附属書E アンケートへの参加状況
ANNEX F RISK ZONE	附属書F リスクゾーン

エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
The NIS360 is a new ENISA product that assesses the maturity and criticality of sectors of high criticality under the NIS2 Directive, providing both a comparative overview and a more in-depth analysis of each sector. The NIS360 is designed to assist Member States and national authorities in identifying gaps and prioritising resources. Our analysis is based on data from national authorities with a horizontal or sectorial mandate, data from companies within the in-scope sectors, and insights from EU-level sources such as Eurostat. Key findings include:	NIS360はENISAの新しい報告で、NIS2指令に基づく重大度の高い分野の成熟度と重大度を評価し、各分野の比較概要とより詳細な分析の両方を提供する。NIS360は、加盟国や各国当局がギャップを特定し、リソースの優先順位を決定する際に役立つよう設計されている。我々の分析は、水平的または分野別の権限を持つ各国当局からのデータ、対象分野内の企業からのデータ、ユーロスタットなどのEUレベルの情報源からの洞察に基づいている。主な調査結果は以下の通りである：
• Three sectors stand out above the rest in terms of overall maturity and criticality: electricity, telecoms, and banking. Over time, these sectors have benefited from significant regulatory oversight, global investments, political focus, and robust public-private partnerships. Their resilience is crucial for societal and economic stability.	• 全体的な成熟度と重大度という点で、電力、通信、銀行の3分野が際立っている。これらの分野は、規制当局による監視、グローバルな投資、政治的焦点、強固な官民パートナーシップの恩恵を受けてきた。これらの分野のレジリエンスは、社会と経済の安定にとって極めて重要である。
• Digital infrastructures, including core internet services, trust services, data centres, and cloud services, are among the higher-ranking sectors in terms of maturity and criticality, however they still have challenges to navigate due to their inherent heterogeneity, cross-border nature and the inclusion of previously unregulated entities within their scope.	• 中核的インターネット・サービス、トラスト・サービス、データ含むセンター・サービス、クラウド・サービスを含むデジタル・インフラは、成熟度と重大度の点で上位にランクされる分野のひとつであるが、固有の異質性、国境を越えた性質、これまで規制対象外であった事業体がその範囲に含まれることなどから、依然として課題を抱えている。
• Four sectors and two subsectors are in the ‘risk zone’: ICT service management, space, public administrations, maritime, health and gas. These sectors need extra attention to ensure their maturity gaps are addressed in a way that enables them to effectively deal with the added challenges posed by their respective criticality levels.	• ICTサービスマネジメント、宇宙、行政、海運、保健、ガスの4つの分野と2つの下位分野が「リスクゾーン」にある。これらの分野は、成熟度のギャップに確実に対処し、それぞれの重大度がもたらす付加的な課題に効果的に対処できるようにするため、特に注意を払う必要がある。
• The ICT service management sector, faces key challenges due to its cross-border nature and diverse entities. Strengthening its resilience is vital and requires close cooperation between authorities, reduced burdens for entities subject to both NIS2 and DORA, and harmonised cross-border supervision.	• ICTサービスマネジメント分野は、その国境を越えた性質と多様な事業体により、重要な課題に直面している。レジリエンスの強化は不可欠であり、認可当局間の緊密な協力、NIS2とDORAの両方が適用される事業体の負担軽減、必要である国境を越えた監督の調和が必要である。
• The space sector faces challenges due to stakeholders’ limited cybersecurity knowledge and its heavy reliance on commercial off-the-shelf components. Enhancing its resilience requires better cybersecurity awareness, clear guidelines for pre-integration testing of components, and stronger collaboration with other sectors e.g., telecoms due to the growing convergence of 5G and satellite communications.	• 宇宙分野は、関係者のサイバーセキュリティに関する知識が乏しく、市販の部品に大きく依存しているため、課題に直面している。レジリエンスを高めるには、サイバーセキュリティに対する意識の向上、コンポーネントの統合前テストに関する明確なガイドライン、5Gと衛星コミュニケーションの融合が進む通信事業者など他分野との連携強化が必要である。
• The public administrations sector is still in the early days of developing its cybersecurity maturity, lacking the support and experience seen in more mature sectors. Being a prime target for hacktivism and state-nexus operations, it should aim to strengthen its cybersecurity capabilities leveraging the EU Cyber Solidarity Act and explore shared service models among sector entities on common areas e.g., digital wallets.	• 公共分野は、サイバーセキュリティの成熟度を高めるにはまだ日が浅く、より成熟した分野で見られるような支援や経験が不足している。ハクティビズムや国家ぐるみの作戦の格好の標的であることから、EUサイバー連帯法を活用してサイバーセキュリティ能力を強化し、デジタルウォレットなどの共通分野について事業体間の共有サービスモデルを模索することを目指すべきである。
• The maritime sector continues to face challenges with OT and could benefit from tailored cybersecurity risk management guidance that focuses on minimising sector-specific risks, as well as an EU-level cybersecurity exercises to enhance coordination and preparedness in both sectorial and multi-modal crisis management.	• 海運分野は、引き続きOTに関する課題に直面しており、分野固有のリスクを最小化することに重点を置いた個別のサイバーセキュリティ・リスクマネジメント・ガイダンスのほか、分野別および複数モダルの危機管理における調整と備えを強化するためのEUレベルのサイバーセキュリティ演習から恩恵を受けることができる。
• The health sector, with an expanded scope, that further decreases its homogeneity, continues to face challenges such as the reliance on complex supply chains, legacy systems, and poorly secured medical devices. Strengthening the sector's resilience across the board, requires the development of practical procurement guidelines to help organisations acquire secure services and products, tailored guidance to help overcome common issues e.g., gaps in basic cyber hygiene, and staff awareness campaigns.	• 健康分野は、その範囲が拡大し、同質性がさらに低下しているため、複雑なサプライチェーン、レガシーシステム、セキュリティが不十分な医療機器への依存などの課題に引き続き直面している。この分野のレジリエンスを全面的に強化するには、するための実用的な調達ガイドラインの策定必要である。組織が安全なサービスや製品を入手できるように、基本的なサイバー衛生のギャップなど一般的な問題の克服を支援するための個別のガイダンス、職員の意識向上キャンペーンなどが必要である。
• The gas sector, needs to continue working towards developing its incident readiness and response capabilities, through the development and testing of incident response plans at national and EU levels but also through enhanced collaboration with the electricity and manufacturing sectors.	• ガス分野は、国やEUレベルでのインシデント対応計画の策定とテストを通じて、また電力分野や製造事業者との協力関係の強化を通じて、インシデントへの準備態勢と対応能力を発展させる努力を続ける必要がある。
Overall, all sectors covered by the NIS360 face challenges in building their maturity and meeting NIS2 requirements. To better support them, stronger collaboration within and across sectors is recommended, along with sector-specific guidance on implementing cyber risk management measures. Upskilling and reskilling national authorities could be key to a more harmonised NIS2 implementation, while crossborder cybersecurity exercises could enhance crisis response and help mitigate the cascading effects of cyber incidents.	全体として、NIS360の対象となるすべての分野は、成熟度を高め、NIS2の要件を満たす上で課題に直面している。これらの分野をよりよく支援するためには、サイバーリスクマネジメント対策の実施に関する分野別のガイダンスとともに、分野内および分野間の協力の強化が推奨される。また、国境を越えたサイバーセキュリティ演習は、危機対応を強化し、サイバーインシデントの連鎖的影響を緩和するのに役立つだろう。

成熟度と重大度のマトリックス...

重大度

成熟度...

リスクゾーン...

2025.03.09 06:25 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 危機管理 / 事業継続, in 安全保障 | Permalink | Comments (0)
Tweet

2025.03.08

自民党治安・テロ・サイバー犯罪対策調査会組織的な詐欺から国民の財産を守るための対策に関する緊急提言

こんにちは、丸山満彦です。

自民党の「治安・テロ・サイバー犯罪対策調査会」（会長：高市早苗議員 [wikipedia]）が「情報通信戦略調査会」（会長：野田聖子議員[wikipedia]）「金融調査会」（会長：片山さつき議員 [wikipedia]）との連携の下、「組織的な詐欺から国民の財産を守るための対策に関する緊急提言」を石破茂総理大臣に2025.03.03に申し入れましたね...

女性議員3名並びましたね...

⚫︎ 自由民主党

・2025.03.07 組織的な詐欺から国民の財産を守る石破総理に緊急提言を申し入れ治安・テロ・サイバー犯罪対策調査会

金融関係の提言

背景：最近の被害事例においてインターネットバンキングを利用した犯行が確認されていること

・政府から金融機関に対し、インターネットバンキングの申し込みがあった際の審査強化や注意喚起等を求める

目的：犯行グループによる被害金の出金を防ぐため、

・預金取扱金融機関間で取引情報を共有しつつ、不正取引を検知し速やかに口座凍結を行うことが可能となる枠組みの創設

背景：他人名義の口座等が犯行に利用されている

・金融機関と捜査機関が管理する「架空名義口座」を利用した捜査の有効性を強調。その上で関係法令の改正に向けた検討を早急に行うべき

通信関係の提言

背景：データ通信専用SIMについて、音声通話SIMと同様に通話等をすることができるにも関わらず、音声通話SIMと異なり、契約時の本人確認が法令で義務付けられていないことから悪用が行われている。

・データ通信専用SIMの契約時の本人確認の義務付けの検討

背景：犯罪に悪用される通信アプリ等について被疑者の通信内容や登録者情報等を迅速に把握することは、犯行グループの壊滅に必須

・犯罪に悪用される通信アプリ等の通信内容等を迅速に把握する効果的な手法を、諸外国の取り組みを参考にしつつ、技術的アプローチや新たな法制度の導入の可能性を含め検討すべき

2025.03.08 05:56 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2025.03.07

経済産業省我が国から有望なサイバーセキュリティ製品・サービスが次々に創出されるための包括的な政策パッケージ「サイバーセキュリティ産業振興戦略」

こんにちは、丸山満彦です。

経済産業省が、我が国から有望なサイバーセキュリティ製品・サービスが次々に創出されるための包括的な政策パッケージである「サイバーセキュリティ産業振興戦略」を公表していますね...

「遅い！！！」「遅すぎる！！！」という声があがるであろうことは十分に承知していますが、でも、始めよう...ということです。

サイバーセキュリティ分野のみならず、新興産業分野全般的に日本では新しい産業が起こりにくい状況であると思います。そして、起業家精神（Entrepreneurship）が十分に認知されていないという話もあります。

今回は、サイバーの分野ではありますが、経済産業省や総務省等の他の施策とも連携して、サイバーセキュリティ産業振興を図ろうという意気込みです。

10年で３倍超の３兆円という、私からしたら控えめ、でも政策の責任者である経済産業省としては野心的なKPIをセットしたので、是非成功できればと思います。10年後忘れないでね...

2．サイバーセキュリティ産業振興戦略の概要

本戦略では、我が国サイバーセキュリティ産業を振興する意義や我が国サイバーセキュリティ産業の現状を紹介した上で、上述した悪循環を打破するための包括的な政策対応を提示しています。

本戦略で掲げている主な政策対応は以下のとおりです。

（1）スタートアップ等が実績を作りやすくなる／有望な製品・サービスが認知されるための取組

「スタートアップ技術提案評価方式」等の枠組みを活用し、政府機関等が有望なスタートアップ等の製品・サービスを試行的に活用

有望な製品・サービス・企業の情報を集約・リスト化し、政府機関等へ情報展開する／業界団体とも連携して審査・表彰を実施

（2）有望な技術力・競争力を有する製品・サービスが創出され、発掘されやすくなるための取組

セキュリティ関連の技術・社会課題解決に貢献する技術・事業を発掘するための「コンテスト形式」による懸賞金事業等を実施

約300億円の研究開発プロジェクトを推進し社会実装を後押し

我が国商流の中心であるSI事業者と国産製品・サービスベンダーとのマッチングの場を創出

（3）供給力拡大を支える高度人材が充足し、国際市場展開が当たり前になるための取組

高度専門人材の育成プログラムを拡充／セキュリティ人材のキャリア魅力を向上・発信

海外展開を支援／標準化戦略を促進／関係国との企業・人材交流を促進

また、本戦略では、こうした政策対応の結果として期待される今後のロードマップ（来年度における取組の具体化を経た、3年以内、5年以内、10年以内の絵姿）も示しており、10年以内には安全保障の確保やデジタル赤字の解消への貢献を実現するとともに、「国内企業の売上高を足下（約0.9兆円）から3倍超（約3兆円超）とする」というKPIも掲げています。

● 経済産業省

・2025.03.05 我が国から有望なサイバーセキュリティ製品・サービスが次々に創出されるための包括的な政策パッケージ「サイバーセキュリティ産業振興戦略」を取りまとめました

・[PDF] 【別紙1】サイバーセキュリティ産業振興戦略（概要）

・[PDF] 【別紙2】サイバーセキュリティ産業振興戦略（本体）

・[PDF] 【別紙3】サイバーセキュリティ産業のプレイヤーからのコメント

2025.03.07 09:01 in 情報セキュリティ / サイバーセキュリティ | Permalink | Comments (0)
Tweet

経済産業省クレジットカード・セキュリティガイドライン 6.0版 (2025.03.05)

こんにちは、丸山満彦です。

経済産業省のクレジットカード・セキュリティガイドラインが1年ぶりに改訂されていますね...

技術の普及に応じて適時に更新しているのは、素晴らしいと思います。

今はすっかりと当たり前に普及しているPCI-DSSをつくるときに、クレジットカードブランド会社（VISA、Master、Amex、JCB）の人たちと、当時普及を進めようとしていたISMSを連携されて普及を図ろうと一緒に取り組んでいたことを思いまします。

経産省のクレジットカード・セキュリティガイドラインも改訂を重ねて6.0版になっています...

● 経済産業省

・2025.03.05 「クレジットカード・セキュリティガイドライン」が改訂されました

2．主な改訂内容

（1）EC加盟店の取り組み

1 クレジットカード情報保護対策

EC加盟店は、これまで実施してきたセキュリティ対策に加え、システムやWebサイトの脆弱性対策を実施する。

2 不正利用対策

EC加盟店は、不正利用対策としてEMV‐3Dセキュア（カード決済時に本人認証を行うサービス）の導入と適切な不正ログイン対策（Webサイトへのログイン時の本人認証等の対策）を実施する。また不正利用の発生状況に応じて適切な不正利用対策を追加導入する。

（2）カード会社・PSPの取り組み

カード会社・PSPは、EC加盟店に対して、上記の脆弱性対策等のクレジットカード情報保護対策、EMV‐3Dセキュアの導入、適切な不正ログイン対策等の不正利用対策の導入及び運用に関して必要な助言や情報提供を行う。

● クレジット取引セキュリティ対策協議会

・[PDF] クレジットカード・セキュリティガイドライン［6.0版］（改訂ポイント）

・[PDF] クレジットカード・セキュリティガイドライン［6.0版］

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.03.16 経済産業省クレジットカード・セキュリティガイドライン 5.0版 (2024.03.15)

・2023.03.16 経済産業省クレジットカード・セキュリティガイドライン【4.0版】

・2022.04.01 PCI Data Security Standard v4.0

遡りますが...

・2011.03.26 経済産業省国内外の電子決済のセキュリティに関する報告書

・2010.10.30 PCI Security Standards Council Releases PCI DSS 2.0 and PA-DSS 2.0

・2009.10.13 JIPDEC クレジット加盟店向け“情報セキュリティのためのガイド”（PCI DSS／ISMS準拠のためのガイド）を公開

・2009.03.31 [PDF] クレジット産業向け”PCI DSS”／ISMSユーザーズガイド

・2009.03.28 「国際情報セキュリティ調査2008」報告 CIO Magazine + PwC

2025.03.07 06:26 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

米国 NIST IR 8475 Web3パラダイムのセキュリティの観点 (2025.02.25)

こんにちは、丸山満彦です。

NISTがWeb3のセキュリティに関する内部報告書公表していますね...

よく整理され、まとまっていると思います。

クラウドの時もそうでしたが、用語がNISTのような権威がある主体により定義され、統一的に使われ始めると普及が進みやすくなりますね...

Web3の技術に対する過剰？な期待も生成的AIの登場で後退してしまいましたが、できるところ、できないところ、対処しなければならないこと、等が見えやすくなり、社会に必要とされる部分で使われていくとよいですね...

● NIST - ITL

・2025.02.25 NIST IR 8475 A Security Perspective on the Web3 Paradigm

NIST IR 8475 A Security Perspective on the Web3 Paradigm	NIST IR 8475 Web3パラダイムのセキュリティの観点
Abstract	概要
Web3 is a proposed vision for the future of the internet that is restructured to be more user-centric with an emphasis on decentralized data. Users would own and manage their personal data, and systems would be decentralized and distributed. Digital tokens would be used to represent assets, and web-native currencies (e.g., cryptocurrencies) would be used for payments. This document provides a high-level technical overview of Web3 and discusses proposed technologies to implement it. The integration of these developing technologies may present novel security challenges, so this paper presents security considerations that should be addressed when considering Web3 technology and adoption.	Web3は、分散型データに重点を置き、よりユーザー中心に再構築されたインターネットの将来像として提案されているビジョンである。ユーザーは個人データを所有し管理し、システムは非中央集権化され、分散される。デジタルトークンが資産の代表者として使用され、ウェブネイティブ通貨（暗号通貨など）が支払いに使用される。本書では、Web3のハイレベルな技術概要を提供し、それを実装するための提案された技術について論じる。これらの開発中の技術の統合は、新たなセキュリティ上の課題をもたらす可能性があるため、本書では、Web3技術と導入を検討する際に考慮すべきセキュリティ上の考慮事項を提示する。