2025.02.06

内閣府 重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定に関し、統一的な運用を図るための基準 (2025.01.31)

こんにちは、丸山満彦です。

経済安全保障推進法が策定されてから、いろいろと話題になっているものの一つである、セキュリティクリアランスの件、概ね内容が固まったようですね...

まずは、2024.12.24 にパブリックコメントにかけられていた、基準案が確定しましたね...

法の施行の日(令和7年5月16日)から施行することになるようです...

 

内閣府 - 重要経済安保情報の保護及び活用に関する法律(重要経済安保情報保護活用法)

概要・条文・施行令

 

 

運用基準

20250206-71011

 

20250206-42933

 

目次...


第1章 基本的な考え方
1 策定の趣旨
2 法の運用に当たって留意すべき事項
(1)
拡張解釈の禁止並びに基本的人権及び報道・取材の自由の尊重
(2)
公文書管理法及び情報公開法の適正な運用
3 重要経済安保情報を取り扱う者等の責務

第2章 重要経済安保情報の指定
第1節 指定の要件

1 重要経済基盤保護情報該当性
(1)
重要経済基盤
(2) 重要経済基盤保護情報該当性

2 非公知性
3 秘匿の必要性
第2節 指定に当たって遵守すべき事項
1 遵守すべき事項
2 留意事項
第3節 指定の手続
1 重要経済安保情報管理者の指名
2 対象情報の認知
3 要件該当性の判断及び有効期間の設定
4 重要経済安保情報指定書の作成
5 指定管理簿の作成及び記載又は記録
6 重要経済安保情報の表示又は通知及び指定の周知
7 指定の通知を書面の交付に代えて電磁的記録の電子情報処理組織を使用する方法による提供で行う場合の必要な措置の実施
第4節 その他
1 指定した重要経済安保情報を適切に保護するための規程
2 指定に関する関係行政機関の協力

第3章 重要経済安保情報の指定の有効期間の満了、延長、解除等
第1節 指定の有効期間の満了及び延長

1 指定の有効期間が満了する場合の措置
(1)
指定の理由の点検
(2) 指定の一部延長

2 指定の有効期間が満了した場合の措置
(1)
有効期間の満了の周知等
(2) 重要経済安保情報表示の抹消
(3) 指定有効期間満了表示

3 指定の有効期間を延長した場合の措置
4 指定の有効期間を通じて30年を超えて延長する場合の措置
第2節 指定の解除
1 指定を解除する場合の措置
(1)
指定の理由の点検等
(2) 指定の一部解除

(3)
一定の条件が生じた場合の解除等
2 指定を解除した場合の措置
(1)
解除の周知等
(2) 重要経済安保情報表示の抹消
(3) 指定解除表示

第3節 指定が解除され、又は指定の有効期間が満了した情報を記録する行政文書の保存期間が満了したものの取扱い
1 指定の有効期間が通じて30年を超える重要経済安保情報
2 指定の有効期間を延長することについて内閣の承認が得られなかった重要経済安保情報
3 その他の重要経済安保情報

第4章 適性評価
第1節 適性評価の実施に当たっての基本的な考え方
1 基本的人権の尊重等
2 プライバシーの保護
3 調査事項以外の調査の禁止
4 適性評価の結果の目的外利用の禁止
第2節 適性評価の流れ
1 責任者及び担当者の指名等
(1)
適性評価実施責任者の指名
(2) 適性評価実施担当者の指名
(3) 適性評価調査実施責任者の指名
(4) 適性評価調査実施担当者の指名
(5) 関与の制限

2 評価対象者の選定
(1)
名簿の作成及び提出
(2) 行政機関の長の承認
(3) 留意事項

3 適性評価の実施についての告知及び同意等
(1)
評価対象者に対する告知(法第 12 条第3項の告知)
(2) 評価対象者による同意等
(3) 留意事項

4 内閣総理大臣に対する適性評価調査の請求等
5 適性評価調査の実施
(1)
評価対象者による質問票の記載と提出
(2) 上司等に対する調査等
(3) 関係者に対する質問等
(4) 人事管理情報等による確認
(5) 評価対象者に対する面接等
(6) 公務所又は公私の団体に対する照会
(7) 内閣総理大臣による適性評価調査の結果の通知
(8) 留意事項

6 評価
(1)
評価の基本的な考え方
(2) 評価の視点等
(3) 評価の際に考慮する要素

7 適性評価の結果等の通知
(1)
評価対象者への結果及び理由の通知
(2) 重要経済安保情報管理者等への結果の通知
(3) 内閣総理大臣への結果の通知
(4) 適性評価の進捗状況の問合せ
(5) 留意事項

第3節 適性評価実施後の措置
1 行政機関の職員の場合
(1)
上司等による報告
(2) 報告等に対する措置

2 適合事業者の従業者の場合
(1)
契約の締結
(2) 報告等に対する措置

第4節 適性評価に関する個人情報等の管理
1 行政機関における個人情報等の管理
(1)
個人情報等の管理
(2) 文書等の管理

2 適合事業者等における個人情報等の管理
3 適性評価に関する個人情報の利用及び提供の制限
第5節 苦情の申出とその処理
1 責任者及び担当者の指名等
2 苦情の申出
3 苦情の処理
(1)
調査の実施
(2) 調査の結果及び処理の方針の承認

4 苦情の処理の結果の通知
5 苦情の処理の結果を踏まえた対応の実施
6 苦情の申出をしたことを理由とする不利益取扱いの禁止
第6節 相談窓口の設置
第7節 警察本部長による適性評価

第5章 適合事業者に対する重要経済安保情報の提供等
第1節 適合事業者に重要経済安保情報を提供する場合の流れ

1 事業者の選定
(1)
事業者への提供の必要性の判断
(2) 事業者への事前の情報提供
(3) 他の行政機関から提供を受けた重要経済安保情報を提供する場合

2 適合事業者の認定
(1)
認定申請書の提出
(2) 適合事業者の認定
(3) 認定審査のための基本的な考え方・考慮要素

3 結果の通知
4 契約の締結
5 適性評価の実施
第2節 適合事業者に対して重要経済安保情報を保有させる場合の流れ
1 事業者の選定
(1)
調査又は研究その他の活動の必要性の判断
(2) 事業者への事前の情報提供
(3) 同意の取得
(4) 留意事項

2 適合事業者の認定等
(1)
適合事業者の認定
(2) 重要経済安保情報の指定

3 契約の締結
4 適性評価の実施
5 調査研究等の実施
第3節 適合事業者と認定した後の措置
1 事業者からの報告
2 変更部分に係る再審査
3 結果の通知

第6章 重要経済安保情報保護活用法の実施の適正を確保するための措置
第1節 重要経済安保情報保護活用委員会
第2節 内閣府独立公文書管理監による検証・監察

1 内閣府独立公文書管理監による検証・監察
2 行政機関の長に対する資料の要求
3 是正の求め
4 行政機関の長による指定管理簿の写しの提出等
第3節 重要経済安保情報の指定及びその解除並びに重要経済安保情報行政文書ファイル等の管理の適正に関する通報
1 通報窓口の設置
2 通報の処理
(1)
行政機関に対する通報
(2) 内閣府独立公文書管理監に対する通報
(3) 通報者の保護等

第4節 重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定の状況に関する報告等
1 行政機関の長による報告
2 重要経済安保情報保護活用諮問会議への報告
3 国会への報告及び公表
4 内閣府独立公文書管理監による報告
第5節 関係行政機関の協力
第6節 研修
第7節 その他の遵守すべき事項
第7章 本運用基準の見直し
第8章 施行日

【別添様式】

別添1 適性評価の実施に当たってのお知らせ(告知書)
別添2-1 適性評価の実施についての同意書
別添2-2 公務所又は公私の団体への照会等についての同意書
別添2-3 適性評価の実施についての同意書(第12条第7項)
別添3-1 適性評価の実施についての不同意書
別添3-2 適性評価の実施についての不同意書(第12条第7項)
別添4-1 適性評価の実施についての同意の取下書
別添4-2 適性評価の実施についての同意の取下書(12条第7項)
別添5 質問票(適性評価)
別添6 調査票(適性評価)
別添7 適性評価のための照会書
別添8 適性評価調査実施担当者証
別添9-1 適性評価結果等通知書(本人用)
別添9-2 適性評価結果等通知書(適合事業者用)
別添10 重要経済安保情報の保護に関する誓約書
別添11 苦情処理結果通知書
別添12 認定申請書



 

まず、当面重要となってくるのが...

・重要経済安保情報の指定

・適性評価

・適合事業者の認定

となりますが、重要経済安保情報の指定は国がするので、民間側はその結果を待つことになります。

適正評価(個人のクリアランス)については、個人の話ですが、雇用主等の民間事業者も関係してくるので、重要経済安保情報を取り扱う可能性がありそうな事業者は考えておく必要がありそうですね...

そもそも、重要経済安保情報を取り扱う可能性のある事業者は適合事業者の認定(組織のクリアランス)を受ける必要があります。

 

おさらいになりますが...

・[PDF] 重要経済安保情報の保護及び活用に関する法律の概要


4. 適性評価

● 行政機関の長は、本人の同意を得た上で、内閣総理大臣による調査の結果に基づき漏えいのおそれがないことについての評価(適性評価)を実施(適性評価の有効期間は10年)。

【調査内容】

 ①重要経済基盤毀損活動との関係に関する事項
 ②犯罪及び懲戒の経歴に関する事項
 ③情報の取扱いに係る非違の経歴に関する事項
 ④薬物の濫用及び影響に関する事項
 ⑤精神疾患に関する事項
 ⑥飲酒についての節度に関する事項
 ⑦信用状態その他の経済的な状況に関する事項

● 評価対象者が、適性評価を実施する行政機関以外の行政機関の長が直近に実施した適性評価(10年を経過していないものに限る。)において重要経済安保情報を漏らすおそれがないと認められた者である場合には、改めて調査することなく(直近の適性評価における調査結果に基づき)適性評価を実施可能。

● 重要経済安保情報を取り扱う適合事業者の従業者についても同様の調査・評価を実施。


 

重要経済安保情報の保護及び活用に関する法律

・・第六章 適性評価

第十二条(行政機関の長による適性評価の実施)
第十三条(適性評価の結果等の通知)
第十四条(行政機関の長に対する苦情の申出等)
第十五条(警察本部長による適性評価の実施等)
第十六条(適性評価に関する個人情報の利用及び提供の制限)
第十七条(権限又は事務の委任)

 

で、ここまで思い出したら基準にもどります...

 

関係するのが、評価者の選定


第4章 適性評価

...

第2節 適性評価の流れ

...

2 評価対象者の選定

(1) 名簿の作成及び提出

...

② 適合事業者の従業者に対する適性評価の場合

重要経済安保情報管理者は、適合事業者との契約に基づき、その従業者として重要経済安保情報の取扱いの業務を行わせようとする者について、その者の氏名、生年月日、所属する部署、役職名その他の必要な情報を、当該適合事業者から提出させるものとする。

適合事業者は、当該契約に基づき、従業者の氏名その他の必要な情報を重要経済安保情報管理者に提供するに当たっては、当該従業者の同意を得る。

なお、当該従業者が派遣労働者である場合には、適合事業者は、その旨を、当該派遣労働者を雇用する事業主に対して通知する。

重要経済安保情報管理者は、適合事業者から提出された情報に基づき、重要経済安保情報の取扱いの業務を行うことが見込まれる適合事業者の従業者について、適性評価を実施するため、氏名、生年月日、所属する部署、役職名その他の必要な事項を記載し、又は記録した名簿を作成し、これを適性評価実施責任者に提出するものとする。

その際、当該適合事業者から情報が提出された従業者のうち名簿に記載又は記録をしない者があるときは、重要経済安保情報管理者は、その旨を適合事業者に通知するとともに、当該通知の内容を、当該従業者に通知するよう当該適合事業者に求めるものとする。当該従業者が派遣労働者であるときは、重要経済安保情報管理者は、当該通知の内容を、当該従業者を雇用する事業主に通知するよう当該適合事業者に求めるものとする。

適合事業者は、提出した情報に変更があるときは、当該契約に基づき、速やかにこれを重要経済安保情報管理者に通知するものとする。

重要経済安保情報管理者は、適性評価実施責任者に提出した名簿に記載し、又は記録した事項に変更があるときは、速やかにこれを適性評価実施責任者に通知するものとする。

(2) 行政機関の長の承認

適性評価実施責任者は、重要経済安保情報管理者から提出された名簿に記載され、又は記録された者について、法第12条第1項各号のいずれかに該当することを確認した上で、適性評価を実施することについて行政機関の長の承認を得るものとする。

...

当該通知が適合事業者の従業者に係るものであるときは、重要経済安保情報管理者は、適合事業者に対し、当該通知の内容を通知するとともに、当該通知に係る従業者が派遣労働者であるときは、当該通知の内容を、当該従業者を雇用する事業主に通知するよう当該適合事業者に求めるものとする。


 

従業員の同意が必要となるわけですが、行政機関の職員に実施する際の雛形等もあるので、適合事業者もこれらを参考にして整備する必要がありそうですね...

 

次に具体的にどのように評価されそうか?

ということですが...これは、事業者も気になりますが、当然に本人がもっとも気になるでしょうね...


6 評価

(1) 評価の基本的な考え方

... 重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないかどうかについて、評価対象者の個別具体的な事情を十分に考慮して、総合的に判断...

... 疑念が残る場合には...重要経済安保情報を漏らすおそれがないと認められないと判断するものとする。

(2) 評価の視点等

... 漏えいするおそれは、次の3つの類型に大分されると考えられる。

・ 自発的に重要経済安保情報を漏えいするおそれ

・ 働き掛けを受けた場合に影響を排除できずに重要経済安保情報を漏えいするおそれ

・ 過失により重要経済安保情報を漏えいするおそれ

...

それぞれの類型を意識し、以下の視点から、評価するものとする。

① 情報を適正に管理することができるか

② 規範を遵守して行動することができるか

③ 職務に対し、誠実に取り組むことができるか

④ 情報を自ら漏らすような活動に関わることがないか

⑤ 自己を律して行動することができるか

⑥ 情報を漏らすよう働き掛けを受けた場合に、これに応じるおそれが高い状態にないか

⑦ 職務の遂行に必要な注意力を有しているか

(3) 評価の際に考慮する要素

...調査により判明した事実について、以下の要素を考慮するものとする。

① 法第12条第2項各号に掲げる事項についての評価対象者の行動又は状態(以下「対象行動等」という。)の性質、程度及び重大性

② 対象行動等の背景及び理由

③ 対象行動等の頻度及び時期

④ 対象行動等があったときの評価対象者の年齢

⑤ 対象行動等に対する自発的な関与の程度

⑥ 対象行動等がなくなり、又は再び生ずる可能性


 

どのようなことが質問、調査されるかは、

別添1 適性評価の実施に当たってのお知らせ(告知書)

別添5 質問票(適性評価)

別添6 調査票(適性評価)


を見るとよりわかるように思います...

 

評価結果がもどってきたら...


第3節 適性評価実施後の措置

...

2 適合事業者の従業者の場合

(1) 契約の締結

行政機関の長は、以下に掲げる事項について、契約で定めるものとする。

① 契約に基づき重要経済安保情報を保有し又は提供される適合事業者は、当該契約により重要経済安保情報の取扱いの業務を行う従業者について1(1)の事情があると認めた場合には、速やかにこれを契約先の行政機関における当該重要経済安保情報に係る重要経済安保情報管理者に報告すること。

② 従業者が派遣労働者である場合、適合事業者は、当該従業者について1(1)の事情があると認められたときに当該従業者を雇用する事業主から当該適合事業者に報告が行われるよう必要な措置を講ずること。

③ (2)の通知を受けた場合に、適合事業者は、当該通知に係る従業者が重要経済安保情報の取扱いの業務を行うことのないよう必要な措置を講ずること。

④ (2)の通知を受けた場合であって、当該通知に係る従業者が派遣労働者であるときは、当該通知の内容を当該派遣労働者を雇用する事業主に通知すること。

(2) 報告等に対する措置

重要経済安保情報管理者は、(1)による報告又は誓約書に基づき適合事業者の従業者から1(1)に掲げる事情がある旨の申出等に基づき、重要経済安保情報の取扱いの業務を行ったときにこれを漏らすおそれがないと認められた適合事業者の従業者に、法第 12 条第1項第3号に規定する事情があると認めるときは、その旨を適合事業者に通知するとともに、当該通知に係る従業者が派遣労働者であるときは、当該通知の内容を、当該従業者を雇用する事業主に通知するよう当該適合事業者に求めるものとする。

一方、当該報告又は申出に係る事情が、法第12条第1項第3号に規定する事情に該当しないと認めるときは、重要経済安保情報管理者は、その旨を当該報告又は申出をした者に通知するものとする。


 

で、個人情報の管理...


第4節 適性評価に関する個人情報等の管理

1 行政機関における個人情報等の管理

(1) 個人情報等の管理

適性評価に関する文書等に含まれる個人情報の管理については、個人情報の保護に関する法律(平成15年法律第57号)第66条の規定に基づき、保有個人情報(同法第 60条第1項に規定する保有個人情報をいう。)の安全管理のために必要かつ適切な措置を講じなければならない。

また、個人情報を保護するための情報セキュリティ対策については、サイバーセキュリティ戦略本部等が定める「政府機関等のサイバーセキュリティ対策のための統一基準群」に基づき、適切に行う。

(2) 文書等の管理

...

② 文書等の保存

...

イ 重要経済安保情報管理者

重要経済安保情報管理者が取得した適性評価の結果等に係る文書等の保存期間は、当該文書等を取得した日から1年未満とする。ただし、重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた旨の通知に係る文書等の保存期間については、当該文書等を取得した日の属する年度の翌年度の4月1日から起算して10年間とする。

...

2 適合事業者等における個人情報等の管理

行政機関の長は、適合事業者及び適合事業者の指揮命令の下に労働する派遣労働者を雇用する事業主が、行政機関の長又は適合事業者から通知された、評価対象者が適性評価の実施に同意をしなかった事実、同意を取り下げた事実及び評価対象者についての適性評価の結果に係る文書等について、これが適切に管理されるよう、1(1)及び1(2)② イに準じて必要な措置を講ずることについて、契約で定めるものとする。


 

規程等を作成する場合には、これ以外の部分も必要になりますが、当面気にしないといけない分野...

 

あと気になるのが、そもそも国から適合事業者になる必要があると言われたら、どうするのか?ということになると思うのですが...

 それを受けるということであれば、「別添12 認定申請書」を提出する必要があるということになりますね...

 


第5章 適合事業者に対する重要経済安保情報の提供等

第1節 適合事業者に重要経済安保情報を提供する場合の流れ

1 事業者の選定

(1) 事業者への提供の必要性の判断

重要経済安保情報を保有する行政機関の長は、事業者からの相談なども踏まえながら、重要経済基盤の脆弱性の解消、重要経済基盤の脆弱性及び重要経済基盤に関する革新的な技術に関する調査及び研究の促進、重要経済基盤保護情報を保護するための措置の強化その他の我が国の安全保障の確保に資する活動の促進を図るために、特定の事業者に対して、重要経済安保情報を提供する必要があるか否かを判断するものとする。

(2) 事業者への事前の情報提供

行政機関の長は、重要経済安保情報の提供先である事業者を適切に選定するとともに、当該事業者において十分な検討が可能となるよう、できる限りの情報提供に努めるものとする。情報提供に当たっては、重要経済安保情報の概要やその性質などを提供するにとどめ、重要経済安保情報を提供することがないようにしなければならない。

また、重要経済安保情報の概要やその性質などを提供する場合であっても、その情報を保全するために必要性があると認めるときは、事業者との間で守秘義務契約を締結することができる。

...

2 適合事業者の認定

(1) 認定申請書の提出

行政機関の長は、適合事業者としての認定のために、事業者に対し、必要事項を記載し、又は記録した別添12の「認定申請書」(当該申請書に記載すべき事項を記録した電磁的記録を含む。以下「申請書」という。)の提出を求めるものとする。

① 事業者において、重要経済安保情報の保護の全体の責任を有する者(以下「保護責任者」という。)の指名基準及び指名手続

② 重要経済安保情報を取り扱う場所において、当該重要経済安保情報の保護に関する業務を管理する者(以下「業務管理者」という。)の指名基準及び指名手続並びにその職務内容

③ 従業者に対する重要経済安保情報の保護に関する教育の実施内容及び方法

④ 重要経済安保情報の保護のために必要な施設設備の設置に係る手続

⑤ 重要経済安保情報の取扱いの業務を行う従業者の範囲の決定基準及び決定手続

⑥ 重要経済安保情報を取り扱うことができない者には重要経済安保情報を提供してはならないこと

⑦ 重要経済安保情報を取り扱うことができない者は、重要経済安保情報を提供することを求めてはならないこと

⑧ 重要経済安保情報を取り扱う場所への立入り及び機器の持込みの制限に係る手続及び方法

⑨ 重要経済安保情報を取り扱うために使用する電子計算機の使用の制限に係る手続及び方法

⑩ 重要経済安保情報文書等(施行令第4条に規定する重要経済安保情報文書等をいう。以下同じ。)の作成、運搬、交付、保管、廃棄その他の取扱いの方法の制限に係る手続及び方法

⑪ 重要経済安保情報の伝達の方法の制限に係る手続及び方法

⑫ 重要経済安保情報の取扱いの業務の状況の検査に係る手続及び方法

⑬ 重要経済安保情報文書等の奪取その他重要経済安保情報の漏えいのおそれがある緊急の事態に際し、その漏えいを防止するために他に適当な手段がないと認められる場合における重要経済安保情報文書等の廃棄に係る手続及び方法

⑭ 重要経済安保情報文書等の紛失その他の事故が生じた場合における被害の発生の防止その他の措置に係る手続及び方法

(3) 認定審査のための基本的な考え方・考慮要素

認定のための審査は、以下を踏まえて、総合的に判断するものとする。なお、認定のための審査を尽くしてもなお、事業者が以下に適合していると認めることについて疑念が残る場合には、重要経済安保情報の漏えいを防止し、もって我が国及び国民の安全を確保する法の目的に鑑み、適合事業者とは認定しないと判断するものとする。

① 事業者における株主や役員の状況に照らして、当該事業者の意思決定に関して外国の所有、支配又は影響がないと認められるかどうか。

(2)①又はに関して、保護責任者又は業務管理者として指名される者が、業務を適切に行うための必要な知識を有しており、その職責を全うできる地位にあると認められるかどうか。

(2)③に関して、従業者にとって重要経済安保情報を保護するために必要な知識を的確に習得できる内容となっており、適切な頻度で継続的に実施されることとなっているかどうか。

(2)④又はに関して、現地で実際に確認した上で、重要経済安保情報の保護のために設置されることになる施設設備が、重要経済安保情報を保護するための必要な機能及び構造を有し、立入りの制限や持込みの制限に関して有効な機能及び構造を有しているかどうか。

行政機関の長は、認定審査のために必要な範囲内において、事業者から、申請書の記載事項のほか追加の資料の提出を求めることができる。


 

適合事業者に該当すると認定されると認定されたという通知が来て、認定されなかったら、認められなかった理由が通知されるようですね...

さて、適合事業者に該当すると認められた場合は、契約の締結に入ることになると思いますが、契約すべき内容のうち基準で決めているのは、以下の通りですので、最低限、この項目についての体制等は整備しておく必要がありそうですね...


4 契約の締結

...

契約には、以下に関する事項を含めなければならない。

(1) 2(2)の規程に基づく重要経済安保情報の保護・管理に関すること

(2) 重要経済安保情報文書等であって当該適合事業者において作成したものについて法第3条第2項第1号に掲げる措置又は当該情報について講ずる同項第2号に掲げる措置に関すること

(3) 重要経済安保情報の指定の有効期間が満了した場合に講ずる措置に関すること

(4) 重要経済安保情報の指定の有効期間が延長された場合に講ずる措置に関すること

(5) 重要経済安保情報の指定が解除された場合に講ずる措置に関すること

(6) 第4章第4節2に規定する適性評価の実施に際して取得した個人情報を適切に管理すること

(7) 評価対象者が名簿への掲載や適性評価の実施に同意をしなかった事実、適性評価の結果が通知されていないこと、適性評価の結果その他適性評価の実施に当たって取得する個人情報を、第4章第4節3に規定する重要経済安保情報の保護以外の目的のために利用し又は提供してはならないこと

(8) 評価対象者に事情の変更があると認める場合には、速やかにこれを契約先の行政機関における重要経済安保情報に係る重要経済安保情報管理者に報告すること

(9) 申請書で提出した情報又は申請書に添付した規程若しくは規程案に関して変更が生じた場合には、速やかにこれを契約先の行政機関における重要経済安保情報に係る重要経済安保情報管理者に報告すること

(10) 適合事業者の認定後に行政機関により実施される定期的な検査の受入れに関すること


 

次に、適合事業者に対して重要経済安保情報を保有させる場合の流れになるわけですが...適合事業者であれば自動的に国から重要経済安保情報が提供されるわけではなく、是々非々の必要性判断により、必要と認められた場合だけとなりますね...

で、調査研究等のために、重要経済安保情報が適合事業者に提供され、その情報をうけて調査研究等をした場合、その事業者がその後保有することが見込まれる情報は、あらかじめ重要経済安保情報に指定することができるようですね...


2 適合事業者の認定等

...

(2) 重要経済安保情報の指定

行政機関の長は、調査研究等の実施により事業者がこの後保有することが見込まれる情報に関して、あらかじめ重要経済安保情報に指定するものとする。


 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

 

日本...

・2024.05.11 日本でもセキュリティクリアランス制度が本格的に導入されることになりましたね...

・2024.02.28 内閣 重要経済安保情報の保護及び活用に関する法律案が閣議決定

・2024.02.20 経団連 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する提言 (2024.02.15)

・2024.01.30 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 最終取りまとめ (2024.01.19)

・2023.12.22 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第9回)

・2023.10.12 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第7回)

・2023.08.27 参議院常任委員会調査室・特別調査室:セキュリティ・クリアランス制度導入の方向性と主な論点 ~技術流出の防止等による国力向上を目指した制度構築に向けて~

・2023.06.08 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 中間論点整理

・2023.04.08 自民党 セキュリティ・クリアランスで法整備を経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が提言

・2023.02.27 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.10.19 自民党 わが国が目指すべき 経済安全保障の全体像について~新たな国家安全保障戦略策定に向けて~ (2022.10.04)

 

 

米国...

・2024.02.26 米国 GAO 国防総省インテリジェンス:プログラムの監督を強化しリスクを管理するために必要な行動

・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)

・2023.11.20 NIST 意見募集 IR8496 NIST IR 8496(初公開ドラフト) データ収集改善のためのデータ格付の概念と考察

・2023.11.05 RAND研究所 多様で信頼される労働力 - 国家安全保障担当者の審査における偏見の可能性と不公平の原因となりうる要素の検証

・2023.07.24 Rand研究所 セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する(+米国セキュリティクリアランス関連リンク)

・2022.08.18 米国 国土安全保障省 内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要

・2021.09.21 国務省OIG 国務省のセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要

 

その他...

・2024.08.08 英国 政府のセキュリティ格付

・2024.07.30 オーストラリア会計検査院 (ANAO) 国防省によるマイクリアランス・システムの調達と導入 (2024.07.11)

 

 

 

 

| | Comments (0)

Five Eyes + チェコ、日本、韓国、オランダ エッジ・デバイスの安全に関する報告書...

こんにちは、丸山満彦です。

オーストラリア通信総局 - オーストラリアサイバーセキュリティセンターから、エッジ・デバイスの安全に関する報告書が公表されていますね...

日本と、米国、英国、カナダ、ニュージーランド、韓国、オランダ及びチェコの9か国が共同署名をしていますね...

 

1_20250205223701

 

Australian Signals Directorate - Australian Cyber Security Centre

 

・2024.02.04 Securing edge devices

Securing edge devices エッジ・デバイスの安全
Edge devices explained エッジ・デバイスの説明
Edge devices are critical network components that serve as security boundaries between internal enterprise networks and the internet. Edge devices perform essential functions such as: エッジ・デバイスは、エンタープライズ内部ネットワークとインターネットのセキュリティ境界として機能する重要なネットワーク・コンポーネントである。エッジ・デバイスは次のような重要な機能を果たす。
・managing data traffic ・データ・トラフィックの管理
・enforcing security policies ・セキュリティ・ポリシーの適用
・enabling seamless communication across network boundaries. ・ネットワーク境界を越えたシームレスなコミュニケーションの実現。
Positioned at the network's periphery – often referred to as "the edge" – these devices interface between an internal, private network and a public, untrusted network like the internet. しばしば「エッジ」と呼ばれるネットワークの周辺部に配置されるこれらのデバイスは、内部プライベート・ネットワークとインターネットのようなパブリックで信頼されていないネットワークとの間のインターフェイスである。
The most common edge devices across enterprise networks include enterprise routers, firewalls and VPN concentrators. They can access other assets on the network, providing an appealing ingress point and target to malicious actors. エンタープライズ・ネットワークで最も一般的なエッジ・デバイスには、エンタープライズ・ルーター、ファイアウォール、VPNコンセントレーターなどがある。これらはネットワーク上の他の資産にアクセスすることができ、悪意のある行為者にとって魅力的な侵入ポイントでありターゲットとなる。
Why you should secure your edge devices エッジ・デバイスのセキュリティを確保すべき理由
Failing to secure edge devices is like leaving a door open from the internet to internal networks, which could allow malicious actors to gain unauthorised access. From there, they can access sensitive data and disrupt business operations. エッジ・デバイスのセキュリティを確保しないことは、インターネットから内部ネットワークへのドアを開けっ放しにしているようなものであり、悪意のある行為者が不正にアクセスすることを許してしまう可能性がある。そこから機密データにアクセスされ、業務を妨害される可能性がある。
Malicious actors are increasingly targeting internet-facing edge devices. Any organisations with a connection to the internet deploys at least one edge device, making it crucial to address their security. 悪意のある行為者は、インターネットに接続されたエッジ・デバイスを標的とするようになっている。インターネットに接続している組織は、少なくとも1つはエッジ・デバイスを展開しており、そのセキュリティ対策は極めて重要である。
Although edge devices can boost an organisation’s efficiency, it can be easy to overlook the security vulnerabilities that edge devices present. The more edge devices there are, the greater the potential threat surface, making it more challenging for operational staff and cyber security staff to secure. エッジ・デバイスは組織の効率を向上させるが、エッジ・デバイスが持つセキュリティの脆弱性を見落としがちである。エッジ・デバイスの数が多ければ多いほど、潜在的な脅威の表面は大きくなり、運用スタッフやサイバー・セキュリティ・スタッフがセキュリティを確保するのは難しくなる。
It is important to secure these edge devices to minimise risks and ensure they don’t become a liability that could compromise the entire network. Compromised edge devices can lead to significant detriments to an organisation such as: リスクを最小化し、ネットワーク全体を危険にさらす可能性のある負債にならないようにするためには、これらのエッジ・デバイスを保護することが重要である。エッジデバイスが侵害されると、
・data loss ・データ損失
・loss of intellectual property ・知的財産の損失
・disruption of business operations ・業務の中断
・financial loss ・財務上の損失
・reputational damage ・風評被害
・legal implications. ・法的影響など、組織に重大な不利益をもたらす可能性がある。
Feature publications 特集
Mitigation strategies for edge devices: Executive guidance エッジデバイスの緩和戦略: エグゼクティブガイダンス
This publication provides a high-level summary of ASD’s existing guidance to manage and secure edge devices effectively. 本書は、エッジデバイスを効果的に管理し保護するためのASDの既存ガイダンスのハイレベルな要約を提供する。
Mitigation strategies for edge devices: Practitioner guidance エッジデバイスの緩和戦略:実務者向けガイダンス
This publication provides a high-level summary of ASD’s existing guidance to manage and secure edge devices effectively. 本書は、エッジデバイスを効果的に管理し保護するためのASDの既存ガイダンスのハイレベルな要約を提供する。
Digital forensics and protective monitoring specifications for producers of network devices and appliances ネットワーク機器やアプライアンスの生産者向けのデジタル・フォレンジックと保護監視の仕様
This publication outlines expectations on the minimum requirements for forensic visibility. It aims to help network defenders better secure organisational networks, both before and after a potential compromise. 本書は、フォレンジック可視化のための最低要件についての期待を概説している。潜在的な侵害の前と後の両方において、ネットワーク防御者が組織ネットワークをより安全に保護できるようにすることを目的としている。
Security considerations for edge devices エッジデバイスのセキュリティに関する考慮事項
This publication provides guidance on securing VPNs, routers and firewalls in an organisational context. It is tailored for senior leaders in an IT decision-making role. 本書は、VPN、ルーター、ファイアウォールを組織的に保護するためのガイダンスを提供する。ITの意思決定を行うシニアリーダーを対象としている。

 

・2025.02.04 Mitigation strategies for edge devices: Executive guidance

Mitigation strategies for edge devices: Executive guidance エッジデバイスの緩和戦略 エグゼクティブ・ガイダンス
Malicious actors are increasingly targeting internet-facing edge devices to gain unauthorised access to networks; therefore, it is vital that organisations prioritise securing edge devices in their environments. Edge devices are critical network components that serve as security boundaries between internal enterprise networks and the internet. The most commonly observed edge devices implemented across enterprise networks include enterprise routers, firewalls, and VPN concentrators. These devices perform essential functions such as managing data traffic, enforcing security policies, and enabling seamless communication across network boundaries. Positioned at the network's periphery - often referred to as "the edge" - these devices connect an internal, private network and a public, untrusted network like the internet. 悪意のある行為者は、ネットワークへの不正アクセスを得るために、インターネットに面したエッジ・デバイスを標的にすることが増えている。したがって、組織は、その環境においてエッジ・デバイスの安全確保を優先することが不可欠である。エッジデバイスは、エンタープライズの内部ネットワークとインターネットとのセキュリティ境界となる重要なネットワークコンポーネントである。エンタープライズ・ルーター、ファイアウォール、VPNコンセントレーターなど、企業ネットワークで最も一般的に導入されているエッジ・デバイスがある。これらのデバイスは、データ・トラフィックの管理、セキュリティ・ポリシーの実施、ネットワーク境界を越えたシームレスなコミュニケーションの実現など、必要不可欠な機能を果たす。ネットワークの周辺に位置し、しばしば「エッジ」と呼ばれるこれらのデバイスは、内部プライベート・ネットワークとインターネットのようなパブリックで信頼されていないネットワークを接続している。
Failing to secure edge devices is like leaving a door open from the internet to internal networks, potentially allowing malicious actors to gain access to networks from there, they can access sensitive data and disrupt operations. エッジデバイスのセキュリティ確保を怠ることは、インターネットから内部ネットワークへのドアを開けっ放しにしているようなもので、悪意のある行為者がそこからネットワークにアクセスし、機密データにアクセスしたり、業務を妨害したりする可能性がある。
If organisations have not applied zero trust principles in their environments, malicious actors can use a range of techniques to gain access through network edge devices. This typically occurs through identifying and exploiting newly released vulnerabilities for edge devices, which have a poor track record for product security. Both skilled and unskilled malicious actors conduct reconnaissance against internet-accessible endpoints and services to identify and exploit vulnerable devices. 組織の環境にゼロトラスト原則が適用されていない場合、悪意のある行為者はネットワーク・エッジ・デバイスを通じてアクセスするために様々なテクニックを使うことができる。これは通常、製品セキュリティの実績が乏しいエッジ・デバイス向けに新たにリリースされた脆弱性を特定し、悪用することで発生する。熟練した悪意のある行為者もそうでない行為者も、インターネットにアクセス可能なエンドポイントやサービスに対して偵察を行い、脆弱性のあるデバイスを特定して悪用する。
Some examples of malicious actors exploiting edge devices include: エッジ・デバイスを悪用する悪意のある行為者の例には、以下のようなものがある:
PRC state-sponsored actors compromise and maintain persistent access to U.S. critical infrastructure (ASD) ・中華人民共和国の国家に支援された行為者が米国の重要インフラを侵害し、持続的なアクセスを維持する(ASD)
People's Republic of China-Linked Cyber Actors Hide in Router Firmware (CISA) ・中華人民共和国関連のサイバー行為者がルータのファームウェアに潜む(CISA)
Scope 範囲
This publication offers a high-level summary of existing guidance for securing edge devices from the cybersecurity authorities of the following partnered countries: Australia, Canada, Czech Republic, Japan, Netherlands, New Zealand, South Korea, the United Kingdom, and the United States. It consolidates key practices for effectively managing and securing edge devices. This guidance is intended for executives within large organisations and critical infrastructure sectors responsible for the deployment, security, and maintenance of enterprise networks. 本書は、以下の提携国のサイバーセキュリティ当局によるエッジデバイスの安全確保に関する既存のガイダンスのハイレベルな要約を提供する: オーストラリア、カナダ、チェコ共和国、日本、オランダ、ニュージーランド、韓国、英国、米国である。このガイダンスは、エッジデバイスを効果的に管理し、セキュリティを確保するための重要な実践方法をまとめたものである。このガイダンスは、エンタープライズ・ネットワークの展開、セキュリティ、保守を担当する大規模組織や重要インフラ部門の幹部を対象としている。
Disclaimer: The information in this guide is being provided “as is” for informational purposes only. The authoring agencies do not endorse any commercial entity, product, company, or service, including any entities, products, or services linked within this document. Any reference to specific commercial entities, products, processes, or services by service mark, trademark, manufacturer, or otherwise, does not constitute or imply endorsement, recommendation, or favouring by the authoring agencies. 免責事項:本ガイドの情報は、情報提供のみを目的として「現状のまま」プロバイダとして提供される。認可機関は、本文書内でリンクされている事業体、製品、企業、サービスを含め、いかなる事業体、製品、企業、サービスも保証しない。サービスマーク、商標、製造事業者、その他による特定の事業体、製品、プロセス、またはサービスへの言及は、執筆機関による承認、推奨、または支持を意味するものではない。
Summary of mitigation strategies 緩和戦略の概要
The following table outlines key strategies for securing edge devices, aimed at enhancing network security and reducing vulnerabilities. 次の表は、ネットワークセキュリティを強化し、脆弱性を低減することを目的とした、エッジデバイスの安全性を確保するための主要な戦略の概要である。
Know the edge エッジを知る
Endeavour to understand where the periphery of the network is, and audit which devices sit across that edge. Identify devices that have reached End-of-Life (EOL) and remove/replace them. ネットワークの周辺がどこにあるかを理解し、どのデバイスがそのエッジを横切っているかを監査する。耐用年数(EOL)に達したデバイスを特定し、撤去/交換する。
Procure secure-by-design devices セキュアバイデザインのデバイスを調達する
Prioritise procuring edge devices from manufacturers that follow secure-by-design principles during product development. Explicitly demand product security as part of the procurement process; for more guidance consider Secure by Demand Guide: How Software Customers Can Drive a Secure Technology Ecosystem. Track deliveries and maintain assurance that malicious actors have not tampered with edge devices. 製品開発時にセキュアバイデザインの原則に従う製造事業者からエッジデ バイスを調達することを優先する。調達プロセスの一環として、製品のセキュリティを明示的に要求する。詳細なガイダンスについては、「セキュア・バイ・デマンド・ガイド」を参照: 詳細は、「セキュア・バイ・デマンド・ガイド ソフトウェア顧客がセキュアなテクノロジー・エコシステムを推進する方法」を参照されたい。納入品を追跡し、悪意のある行為者がエッジデバイスを改ざんしていないことを保証する。
Apply hardening guidance, updates and patches ハードニングガイダンス、アップデート、パッチの適用
Review and implement specific vendor hardening guidance. Ensure prompt application of patches and updates to edge devices to protect against known vulnerabilities. 特定のベンダーのハードニングガイダンスをレビューし、実施する。既知の脆弱性から保護するために、エッジデバイスにパッチとアップデートを迅速に適用する。
Implement strong authentication 強固な認証を導入する
Implement robust identity and access management practices to prevent unauthorised access with weak credentials or poor access controls. Implement phishing-resistant multi-factor authentication (MFA) across edge devices to protect against exploitation. 強固なアイデンティティ管理、認証/アクセス制御を導入し、脆弱な認証情報や不十分なアクセス制御による不正アクセスを防止する。フィッシングに強い多要素認証(MFA)をエッジデバイス全体に導入し、悪用から保護する。
Disable unneeded features and ports 不要な機能とポートを無効にする
Regularly audit and disable unused features and ports on edge devices to minimise the attack surface. 定期的に監査し、エッジデバイスの未使用の機能とポートを無効にすることで、攻撃対象領域を最小化する。
Secure management interfaces 管理インタフェースの保護
Limit exposure by ensuring management interfaces are not directly internet accessible. 管理インタフェースがインターネットから直接アクセスできないようにすることで、エクスポージャを制限する。
Centralise monitoring for threat detection 脅威検知のための集中監視
Ensure centralised visibility and log access to detect and investigate security incidents. Event logs should also be backed up and data redundancy practices should be implemented. セキュリティ・インシデントを検知・調査するために、集中的な可視化とログ・アクセスを確保する。イベントログもバックアップし、データの冗長化を実施する。
Frameworks and controls 枠組みおよび管理
The authoring organisations provide the following publications for organisations to use that contain the best practice guidance on securing, hardening, and managing edge devices effectively. All organisations are encouraged to review and follow these policies, procedures, and publications to improve the security of their edge devices. Organisations should prioritise implementing the recommendations developed by their national cybersecurity authorities when developing a plan of action and implementation for securing their edge devices. 認可機関は、エッジデバイスのセキュリティ確保、堅牢化、および効果的な管理に関するベストプラクティスのガイダンスを含む、組織が使用するための以下の出版物を提供している。すべての組織は、エッジデバイスのセキュリティを改善するために、これらのポリシー、手順、および出版物を見直し、それらに従うことが推奨される。組織は、エッジデバイスのセキュリティを確保するための行動計画および実施計画を策定する際には、各国のサイバーセキュリティ当局が策定した勧告を優先的に実施すべきである。
The following publications have been sourced to build the mitigations within this guide: 本ガイドの緩和策を構築するために、以下の出版物を入手した:
Australian Signals Directorate (ASD) Australian Signals Directorate (ASD)
Information Security Manual (ISM) and Essential Eight Maturity Model (E8MM) Information Security Manual (ISM) and Essential Eight Maturity Model (E8MM)
ASD’s ISM provides a comprehensive set of guidelines for protecting IT and OT systems from cyberthreats. It includes standards for system hardening, networking and device procurement. The ISM aligns with the E8MM, which outlines strategies to protect against cybersecurity threats; each strategy has different maturity levels designed to support organisations in achieving progressively higher security standards. ASD の ISM は、IT と OT システムをサイバー脅威から防御するための包括的なガイドラインを提供している。システムハードニング、ネットワーキング、デバイス調達の標準が含まれている。ISMは、サイバーセキュリティの脅威から保護するための戦略を概説するE8MMと整合している。各戦略には、組織が段階的に高いセキュリティ基準を達成するのをサポートするように設計された異なる成熟度がある。
Cybersecurity and Infrastructure Security Agency (CISA) サイバーセキュリティ・インフラセキュリティ庁(CISA)
Cross-Sector Cybersecurity Performance Goals (CPGs) クロスセクター・サイバーセキュリティ・パフォーマンス目標(CPG)
CISA’s CPGs, which align with the NIST CSF, offer a prioritised list of security outcomes, aimed at meaningfully reducing risks to both critical infrastructure operations and the American people. These goals are tailored to address sector-specific risks, providing organisations with concrete, outcome-focused objectives to improve their resilience against cyberthreats. NIST CSFと整合するCISAのCPGは、重要インフラの運用と米国民の両方に対するリスクを有意に低減することを目的とした、セキュリティ成果の優先順位付けされたリストを提供する。これらの目標は、セクター固有のリスクに対処するように調整されており、サイバー脅威に対するレジリエンスを改善するための具体的で成果に焦点を当てた目標を組織に提供している。
Canadian Centre for Cyber Security (CCCS) Canadian Centre for Cyber Security (CCCS)
Cross-Sector Cyber Security Readiness Goals (CRG) Toolkit Cross-Sector Cyber Security Readiness Goals (CRG) Toolkit
CCCS’s CRGs offer a practical framework to protect organisations from common cyberthreats. Designed to align with CISA’s Cybersecurity Performance Goals (CPGs) and National Institute of Standards and Technology’s (NIST) Cyber Security Framework (CSF), these baseline controls emphasise foundational practices like secure configurations, incident response, and access management to guide organisations in managing and reducing cybersecurity risks. CCCSのCRGは、一般的なサイバー脅威から組織を守るための実践的な枠組みを提供する。CISAのサイバーセキュリティ・パフォーマンス・ゴール(CPG)および国立標準技術研究所(NIST)のサイバーセキュリティ・フレームワーク(CSF)と整合するように設計されたこれらの基本管理は、安全な設定、インシデント対応、アクセス管理などの基本的なプラクティスに重点を置いており、組織がサイバーセキュリティ・リスクをマネジメントし、低減するための指針となる。
New Zealand National Cyber Security Centre (NCSC-NZ) ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
New Zealand Information Security Manual (NZISM) and Cyber Security Framework (CSF) ニュージーランド情報セキュリティマニュアル(NZISM)およびサイバーセキュリティフレームワーク(CSF)
The NZISM and NCSC-NZ CSF provide a comprehensive set of controls and standards to secure information systems across New Zealand's government and critical infrastructure sectors. Covering aspects such as system hardening, network management, and incident response, the NZISM and CSF support organisations in implementing robust cybersecurity measures aligned with national security requirements. NZISMおよびNCSC-NZ CSFは、ニュージーランドの政府および重要インフラ部門全体の情報システムを保護するための包括的な制御と標準のセットを提供する。システムの堅牢化、ネットワーク管理、インシデント対応などの側面をカバーするNZISMとCSFは、国家安全保障要件に沿った強固なサイバーセキュリティ対策を実施する組織を支援する。
National Cyber Security Centre (NCSC-UK) National Cyber Security Centre (NCSC-UK)
Cyber Assessment Framework (CAF) Cyber Assessment Framework (CAF)
The NCSC’s CAF provides a systematic and comprehensive approach to assessing the extent to which organisations are affected by cyberrisks based on the organisation’s essential functions and supports organisations in building their cyberresilience against these risks. Focusing on key principles such as governance, asset management, and system resilience, the CAF supports organisations in aligning their practices with the UK’s National Cyber Security Strategy, helping them mitigate risks to essential services. NCSCのCAFは、組織がどの程度サイバーリスクの影響を受けるかを組織の必須機能に基づいて評価する体系的かつ包括的なアプローチを提供し、これらのリスクに対する組織のサイバー強靭性構築を支援する。ガバナンス、資産管理、システムレジリエンスなどの主要原則に重点を置き、CAFは英国の国家サイバーセキュリティ戦略と組織の実務を整合させ、必要不可欠なサービスへのリスク緩和を支援する。
Ministry of Economy, Trade and Industry (METI-JP) 経済産業省(METI-JP)
Cybersecurity Management Guidelines サイバーセキュリティ経営ガイドライン
METI and Information-technology Promotion Agency (IPA) provide the Cybersecurity Management Guidelines for business executives to promote cybersecurity measures under the leadership of management. From the perspective of protecting companies from cyberattacks, the guidelines outline "three principles" that executives need to recognize, as well as "ten important items" that they should instruct the responsible executives (such as the CISO) to implement information security measures. 経済産業省と情報処理推進機構(IPA)は、経営者が主導してサイバーセキュリティ対策を推進するための「サイバーセキュリティ経営ガイドライン」を提供している。同ガイドラインでは、サイバー攻撃から企業を守るという観点から、経営者が認識すべき「3つの原則」と、情報セキュリティ対策を実施するために責任ある経営者(CISOなど)に指示すべき「10の重要項目」を示している。
Procuring edge devices that are secure by design セキュア・バイ・デザインのエッジ・デバイスを調達する
Before procuring any edge device, organisations must evaluate the manufacturer - including its country of origin, and its product - to ensure all security concerns have been considered and addressed. Choosing technologies that have been developed following secure-by-design practices will assist organisations in building a resilient enterprise network that maintains confidentiality, integrity and availability and mitigates costly events. 組織は、エッジ・デバイスを調達する前に、製造事業者(原産国や製品を含む)を評価し、セキュリティ上の懸念事項がすべて考慮され、対処されていることを確認する必要がある。セキュア・バイ・デザインに従って開発された技術を選択することは、機密性、完全性、可用性を維持し、コストのかかる事象を緩和するレジリエンスに優れたエンタープライズ・ネットワークを構築する上で、組織を支援することになる。
The authoring organisations recommend the following publications for guidance when procuring edge devices: 認可組織は、エッジデバイスを調達する際の指針として、以下の出版物を推奨する:
Choosing Secure and Verifiable Technologies: Secure-by-Design Foundations (ASD) ・セキュアで検証可能な技術を選択する: Secure-by-Design Foundations (ASD)
Secure-by-Design Foundations (ASD) ・Secure-by-Design Foundations (ASD)
Cyber supply chain: An approach to assessing risk (CCCS) ・サイバーサプライチェーン: リスクを評価するためのアプローチ(CCCS)
Supply chain security guidance (NCSC-UK) ・サプライチェーンセキュリティガイダンス(NCSC-UK)
Secure-by-Design(CISA) ・セキュアバイデザイン(CISA)
Secure by Demand Guide: How Software Customers Can Drive a Secure Technology Ecosystem (CISA and Federal Bureau of Investigation [FBI]) ・セキュアバイデマンドガイド:ソフトウェア顧客がセキュアなテクノロジー・エコシステムを推進するには(CISAと連邦捜査局[FBI])。
Additionally, selecting labelled or certified products, such as products with the JC-STAR label in Japan, will help organisations to procure products with appropriate security measures in place. さらに、日本のJC-STARラベル付き製品など、ラベル付きまたは認証済みの製品を選択することは、組織が適切なセキュリ ティ対策を講じた製品を調達するのに役立つ。
Furthermore, the authoring agencies encourage all edge device manufacturers to make their products secure by design. Manufacturers can review CISA’s Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers for guidance on how to implement secure features by default in their products and join CISA’s Secure by Design Pledge. This pledge outlines specific goals for manufacturers to meet to make their products more secure, including goals to reduce the presence of vulnerabilities in their products and transparently report on vulnerabilities. さらに、認可事業者は、すべてのエッジ・デバイス・メーカーに対し、自社製品を設計によってセキュアにすることを奨励している。製造事業者は、CISAの「セキュア・バイ・デザイン・アラート:SOHOデバイス製造業者のためのセキュリティ設計改善」を参照し、製品にデフォルトでセキュアな機能を実装する方法に関するガイダンスを得るとともに、CISAの「セキュア・バイ・デザイン誓約」に参加することができる。この誓約には、製造事業者が製品の安全性を高めるために満たすべき具体的な目標が概説されており、これには、製品の脆弱性の存在を減らし、脆弱性について透明性をもって報告するという目標も含まれている。
Network segmentation and segregation ネットワークのセグメンテーションと分離
Network segmentation and segregation are critical to safeguarding an organisation’s environment by limiting potential pathways for unauthorised access and lateral movement within their networks. By isolating sensitive systems, this approach strengthens defences against cyberthreats, minimises the impact of breaches, and ensures resilient operations across interconnected systems. ネットワークのセグメンテーションと分離は、ネットワーク内の不正アクセスや横方向の移動の潜在的な経路を制限することで、組織の環境を保護するために不可欠である。機密性の高いシステムを隔離することで、このアプローチはサイバー脅威に対する防御を強化し、侵害の影響を最小限に抑え、相互接続されたシステム全体でレジリエンスを確保する。
The authoring organisations recommend the following publications for guidance on network segmentation and segregation: 認可機関は、ネットワークのセグメンテーションと分離に関するガイダンスとして、以下の出版物を推奨する:
Implementing Network Segmentation and Segregation (ASD) ・ネットワークのセグメンテーションと分離の実装(ASD)
A zero trust approach to security architecture (CCCS) ・セキュリティアーキテクチャへのゼロトラストアプローチ(CCCS)
Baseline security requirements for network security zones (version 2.0) - ITSP.80.022 (CCCS) ・ネットワークセキュリティゾーンのベースラインセキュリティ要件(バージョン2.0) - ITSP.80 .022 (CCCS)
Preventing Lateral Movement (NCSC-UK) ・横断的な移動の防止(NCSC-UK)
・Cross-Sector CPGs; Securing Network Infrastructure Devices; Zero Trust Maturity Model; Layering Network Security Through Segmentation Infographic (CISA) ・分野横断的な CPG;ネットワークインフラストラクチャデバイスの保護;ゼロトラスト成熟度モデル;セグメンテーションによるネットワークセキュリティの階層化 インフォグラフィック(CISA)
Reducing the risk of network compromises (NSA) ・ネットワーク侵害のリスクの低減(NSA)
Gateway hardening ゲートウェイハードニング
Gateway hardening aims to help organisations design, procure, operate, maintain, or dispose of gateway services. A gateway is a boundary system that separates different security domains and allows an organisation to enforce its security policy for data transfers between the different security domains. Partnered cybersecurity authorities strive to assist organisations in addressing cybersecurity challenges and making informed risk-based decisions to enhance gateway security. ゲートウェイハードニングは、組織がゲートウェイサービスを設計、調達、運用、保守、廃棄するのを支援することを目的とする。ゲートウェイとは、異なるセキュリティドメインを分離する境界システムであり、異なるセキュリティドメイン間のデータ転送に対して、組織がセキュリティポリシーを実施できるようにするものである。提携するサイバーセキュリティ当局は、組織がサイバーセキュリティの課題に対処し、ゲートウェイのセキュリ ティを強化するために十分な情報に基づいたリスクベースの意思決定を行うことを支援するよう努め ている。
The authoring organisations recommend the following publications for guidance on gateway hardening: 認可機関は、ゲートウェイの堅牢化に関するガイダンスとして、以下の出版物を推奨する:
Gateway Security Guidance Package (ASD) ・ゲートウェイセキュリティガイダンスパッケージ(ASD)
Top 10 IT security actions to protect Internet connected networks and information (CCCS) ・インターネットに接続されたネットワークと情報を保護するための IT セキュリティアクショントップ 10(CCCS)
Trusted Internet Connections (TIC) (CISA) ・信頼されたインターネット接続(TIC)(CISA)
Network Infrastructure Security GuidanceHardening Network Devices
(NSA)
・ネットワークインフラストラクチャセキュリティガイダンス; ネットワークデバイスの堅牢化(NSA)
Securing edge devices in smart infrastructure スマートインフラにおけるエッジデバイスの保護
Edge devices play a key role in modern smart infrastructure, where they serve as critical connection points that support data flow and communication across smart technologies. エッジデバイスは、スマート技術間のデータフローとコミュニケーションをサポートする重要な接続ポイントとして、現代のスマートインフラストラクチャで重要な役割を果たす。
The authoring organisations recommend the following publications for guidance toward securing edge devices in smart infrastructure: 認可機関は、スマートインフラにおけるエッジデバイスのセキュリティ確保に向けた指針として、以下の出版物を推奨する:
An Introduction to Securing Smart Places  (ASD) スマートプレイスのセキュリティ序文(ASD)
VPNs (CCCS) ・VPN(CCCS)
Connected Communities (CCCS) コネクテッドコミュニティ(CCCS)
VPNsNetwork Architectures (NCSC-UK) ・VPN ;ネットワークアーキテクチャ(NCSC-UK)
Cybersecurity Best Practices for Smart Cities (CISA) スマートシティのためのサイバーセキュリティベストプラクティス(CISA)
Event logging and threat detection Event logging and threat detection
Once malicious actors have established a foothold within a network, they can use living-off-the-land (LOTL) techniques, which involve leveraging built-in tools and system processes to achieve their objectives. This makes it difficult for network defenders to differentiate malicious activity from legitimate activity. To defend against these techniques, it is crucial to have comprehensive event logging and network telemetry to enable visibility and detect threats. いったん悪意のあるアクターがネットワーク内に足がかりを築くと、その目的を達成するために組み込みのツールやシステムプロセスを活用するLOTL(Living-off-the-Land)テクニックを使うことができる。このため、ネットワーク防御側にとっては、悪意のある活動と正当な活動を区別することが難しくなる。このような手法から防御するためには、包括的なイベント・ロギングとネットワーク・テレメトリーを行い、脅威の可視化と検知を可能にすることが極めて重要である。
Where compromises occur, or are suspected to have occurred, robust logging will help organisations effectively monitor for threats and intrusions. 侵害が発生した場合、または発生した疑いがある場合、堅牢なロギングは、組織が脅威と侵入を効果的に監視するのに役立つ。
The authoring organisations recommend the following publications for guidance on monitoring for threats and intrusions: 認可組織は、脅威と侵入の監視に関するガイダンスとして、以下の出版物を推奨する:
Best Practices for Event Logging and Threat Detection (ASD) ・イベントロギングと脅威検知のベストプラクティス(ASD)
Introduction to logging for security purposes (NCSC-UK) ・セキュリティ目的のロギング序文(NCSC-UK)
Cross-Sector CPGs (CISA) ・クロスセクター CPG(CISA)
Network security logging and monitoring (CCCS) ・ネットワークセキュリティロギングとモニタリング(CCCS)
Legacy edge devices レガシーエッジデバイス
Edge devices will eventually become legacy hardware, or End-of-Life (EOL), when software is no longer supported or updated by the manufacturer. Edge devices that have reached EOL, especially those no longer supported by manufacturers, can be more vulnerable to cyberthreats. It is crucial to upgrade software to supported versions or replace edge devices that have reached EOL to ensure that they remain secure against cyberthreats. エッジデバイスは、製造事業者によってソフトウェアのサポートやアップデートが行われなくなると、いずれレガシーハードウェア、すなわちEOL(End-of-Life)となる。EOLに達したエッジデバイス、特に製造事業者のサポートが終了したエッジデバイスは、サイバー脅威に対してより脆弱性を持つ可能性がある。エッジデバイスがサイバー脅威に対して安全であり続けるためには、ソフトウェアをサポートされるバージョンにアップグレードするか、EOLに達したエッジデバイスを交換することが極めて重要である。
The authoring organisations recommend the following publications for guidance on understanding, assessing and managing the risks associated with legacy edge devices: レガシーエッジデバイスに関連するリスクを理解し、アセスメントし、マネジメントするためのガイダンスとして、認可機関は以下の出版物を推奨する:
Managing the Risk of Legacy IT: Executive Guidance (ASD) ・レガシーITのリスクマネジメント:エグゼクティブガイダンス
(ASD)
Obsolete products (CCCS) ・旧製品 (CCCS)
Obsolete products (NCSC-UK) ・製造中止製品(NCSC-UK)
Understanding Patches and Software Updates (CISA) パッチとソフトウェア・アップデートを理解する (CISA)

 

 

・2025.02.04 Mitigation strategies for edge devices: Practitioner guidance

目次...

Introduction: Living on the edge 序文 エッジに生きる
Overview of edge devices エッジデバイスの概要
Risks and threats リスクと脅威
Case study – Cutting Edge ケーススタディ - エッジを切る
Frameworks and controls 枠組みと制御
Summarised list of mitigation strategies 緩和戦略の要約リスト
Mitigation strategies for edge devices エッジデバイスの緩和戦略
Conclusion 結論
Further guidance さらなる指針
Footnotes 脚注

 

 

 

・2025.02.04 Guidance on digital forensics and protective monitoring specifications for producers of network devices and appliances

 

目次...

Context to this guidance 本ガイダンスの背景
What and who is this guidance for? このガイダンスは何のために、誰のためにあるのか?
Logging Requirements ロギング要件
Forensic data acquisition requirements フォレンジックデータ取得の要件
Further resources その他のリソース

 

 

 

・2025.02.04 Security considerations for edge devices

目次...

Introduction 序文
Commonly used edge devices 一般的に使用されるエッジデバイス
Considerations for edge devices エッジデバイスに関する考慮事項
Threats to edge devices エッジデバイスへの脅威
Examples of edge device compromises エッジデバイスの侵害例
Mitigating threats to edge devices エッジデバイスへの脅威の緩和
Recommendations for edge device manufacturers エッジデバイス製造事業者に対する推奨事項
Additional information 追加情報
Footnotes 脚注

 

 

 


 

NISC側でも公表されていますね...

 

● NISC

・2025.02.04 [PDF] 国際文書「エッジデバイスのための緩和戦略」への共同署名について


報道資料

令和7年2月4日内閣官房 内閣サイバーセキュリティセンター

 国際文書「エッジデバイスのための緩和戦略」への共同署名について 

1.概要

令和7年2月4日、内閣サイバーセキュリティセンター(NISC)は、豪州通信情報局(ASD)豪州サイバーセキュリティセンター(ACSC)が策定した文

書「エッジデバイスのための緩和戦略」(“Mitigation strategies for edge devices”)(以下「本件文書」という。)の共同署名に加わり、本件文書を公表しました。仮訳は追って公表予定です。

本件文書に共同署名し協力機関として組織名を列記した国は、豪州、日本の他、米国、英国、カナダ、ニュージーランド、韓国、オランダ及びチェコの9か国です。

本件文書は、エッジデバイスを標的とした攻撃が増加していることを踏まえ、リスク緩和のための7つの戦略を提供するものです。重要インフラ事業者を始めとした我が国企業等が、本件文書で記載されたエッジデバイスに対するリスク緩和策を参照することは、我が国サイバーセキュリティ強化に大いに資することから、共同署名に加わることとしました。

今後も、引き続き、サイバーセキュリティ分野での国際連携の強化に努めてまいります。 

2.本件文書の概要

(1) 背景・目的

多くの悪意のあるアクターは、インターネットからアクセス可能なネットワーク等に対してスキャン・偵察を行い、パッチが適用されていない脆弱なエッジデバイスを侵害している。本文書は、サイバー脅威に対するセキュリティとレジリエンスの向上を目的にリスク緩和のための 7 つの戦略を提供する。

(2) 7つの戦略の概要

エッジを知る:ネットワークの周辺がどこにあるかを理解し、その周辺に配置されているエッジデバイスを検査するよう努める。サポートが終了したデバイスを特定し、それらを取り外し、交換する。

セキュア・バイ・デザイン機器を調達する:製品開発中にセキュア・バイ・デザインの原則に従っているメーカーからの調達を優先し、調達プロセスの一環として、メーカーに対し製品のセキュリティを明示的に要求する。

セキュリティ強化のガイダンス、更新及びパッチを適用する:特定のベンダーがセキュリティを強化するガイダンスを利用していることを検証して実装する。不正利用から保護するため、エッジデバイスに対するセキュリティパッチと更新の迅速な適用を確保する。

強力な認証を実装する:不正利用から保護するため、エッジデバイス全体において、フィッシングに対する耐性のある多要素認証等の認証を実装する。

不要な機能とポートを無効にする:組織において使用されていない、エッジデバイスで利用可能なオプション機能を検査し、これを無効とすることで、機器の攻撃対象範囲を減少させる。また、開かれたポート数を減らす。

管理インターフェイスを安全にする:管理インターフェイスをインターネットに直接接続しない。

脅威検出のための監視を一元化する:インシデントの検出のため、イベントログの保存と完全性を保護する。ログへのアクセスの一元化を確保する。

3.関連リンク

 原文リンク

 

【本報道発表に関する問い合わせ先】

内閣官房 内閣サイバーセキュリティセンター  国際ユニット国際戦略班
Tel: 03-6277-7071 


 

 

 

 

| | Comments (0)

2025.02.05

経済産業省 「情報セキュリティ監査基準改正案等」に対する意見募集

こんにちは、丸山満彦です。

経済産業省の情報セキュリティ監査基準が20数年ぶりに改訂の話になっていますね...

この制度がつづいているのは、当時としては頑張って団体すなわち特定非営利活動法人日本セキュリティ監査協会 (JASA)
をつくったことです...

(あの時、土居先生が会長を、下村さんが事務局長を引き受けたのは、すごいなぁと思いました...でも、そのおかげで、そして、その後、つぎつぎとバトンがわたっていったのがよかったのかもですね。。。)

 

今回の変更点である部分...


...監査の目的として示されている「保証の付与」について、「セキュリティインシデントが発生しないことを保証する」という文脈における保証(英語の guarantee に相当)として誤解される事例があることが指摘されるようになった。そこで Ver2.0 への改訂にあたり、これまで「保証」及び「助言」と記載していた箇所について、それぞれ「アシュアランス」及び「アドバイザリー」と表記を改めることとした。表記の変更に伴う意味の変更は生じていないが、用語に馴染みのない読者のため、次項に示す「情報セキュリティ監査の目的」においてそれぞれの定義を示している。

...

アシュアランスとは証拠等の客観的な検証を根拠とした事実認定に基づき信頼性についての意見表明をすることをいい、アドバイザリーとは同様の検証を根拠とした基準不適合の事項に対する改善のための助言を行うことをいう。

...


 

これは良かったと思います。

会計監査の世界では、保証という言葉が通じていますが、より法律を含む一般の世界では、保証というとguaranteeとなるので、混乱を招きかねないです...

作成当初はそのようなことに気がまわらなかったので、会計監査の世界の言葉を使ってしまいましたが、これからのことを考えると、アシュアランスという言葉に変えたほうがよいと思います...

 

私は今回の改正に関わっていませんが(ので?)、よいものができていると思いますが、多くの人がコメントをだしてくれることを期待しています。。。

 

e-Gov

「情報セキュリティ監査基準改正案等」に対する意見募集について

 

現在の監査基準等は、こちら...

経済産業省

1_20250205061501

 

情報セキュリティ監査制度

・・情報セキュリティ監査基準(平成15年経済産業省告示第114号)

・・・実施基準ガイドライン

・・・報告基準ガイドライン

・・情報セキュリティ管理基準(平成28年経済産業省告示第37号)

・ ・・個別管理基準(監査項目)策定ガイドライン

 

特定非営利活動法人日本セキュリティ監査協会 (JASA)


 

| | Comments (0)

NISC DDoS攻撃への対策について(注意喚起) (2025.02.04)

こんにちは、丸山満彦です。

NISCが、昨年12月から今年1月にかけて起こったDDoS攻撃を踏まえて注意喚起をだしていますね...

多分この事案に対する初めての注意喚起ですかね...    第一報(^^)

 

社会的に影響度の大きそうな事案に関する注意喚起を出すためのプロセスの改善が必要かもですね...

例えば、

影響度の大きな事案に該当=>24時間以内に事象の概要、現状できる緊急の対応についての注意喚起、2週間以内に将来に備えた対応についての注意喚起

影響度が一定見込まられる事案=>2週間以内に事象の概要、将来に備えた対応についての中機関気

みたいなプロセスだったとしたら、判断基準や、記載内容の標準化、タイムスパンの短縮など...

 

 

NISC

・2025.02.04 [PDF] DDoS攻撃への対策について

20250205-54118

 

 


令和7年2月4日内閣サイバーセキュリティセンター

 DDoS 攻撃への対策について(注意喚起)

 昨年12月から本年1月の年末年始にかけて、航空事業者・金融機関・通信事業者等に対するDDoS攻撃が相次いで発生しております。これらの攻撃はIoTボットネット等が用いられ、UDPフラッド攻撃やHTTPフラッド攻撃など、複数種類の攻撃が行われており、今後、大規模な攻撃が発生する可能性も否定できません。

各事業者におかれましては、これまでも様々なDDoS攻撃対策を講じられていることと思いますが、本紙も参考に、引き続きリスク低減に向けて適切なセキュリティ対策を講じていただくようお願いいたします。

また、各インターネット利用者におかれましては、ルータやIPカメラ等のいわゆるIoTデバイスがマルウェアに感染し、IoTボットネットに組み込まれてサイバー攻撃に加担することがないよう、これらのデバイスの設定やアップデートを適切に行っていただくようお願いいたします。

 

【リスク低減に向けたセキュリティ対策】

DDoS 攻撃への対策は、多くの費用と時間が必要なものもあり、また、全てのDDoS 攻撃を未然に防ぐことができるものではありません。しかし、上記のようなDDoS 攻撃がなされた場合の備えとして、まずは以下の事項を参照の上、各事業所で導入している機器やシステムの設定見直し及び脆弱性の有無の確認、ソフトウェアの更新など、身近な対策を進めてください。

 

1 DDoS 攻撃による被害を抑えるための対策

① 海外等に割り当てられたIP アドレスからの通信の遮断

DDoS 攻撃はボットからの攻撃によって実施されることが多いため、ボットに感染している端末等が多い国やドメインからの通信を拒否することによってもDDoS 攻撃の影響を緩和することが可能であり、特に国内のみからアクセスを受ける情報システムであれば有効である。正規の通信への影響も考慮しつつ実施を検討する。また、同一のIPアドレスからのしきい値を超えた大量のリクエストを遮断する機能の利用についても検討する。

② DDoS攻撃の影響を排除又は低減するための専用の対策装置やサービスの導入

WAFWeb Application Firewall)、IDS/IPSUTMUnified Threat Management)、DDoS 攻撃対策専用アプライアンス製品等を導入し、DDoS 攻撃を防ぐため必要な設定を行う。

③ コンテンツデリバリーネットワーク(CDN)サービスの利用

コンテンツデリバリーネットワーク(CDN)サービスを利用する場合は、元の配信コンテンツを格納しているオリジンサーバへ直接アクセスされることを防ぐため、オリジンサーバのIPアドレスを隠蔽する必要がある。

④ その他各種DDoS攻撃対策の利用

インターネットに接続している通信回線の提供元となる事業者やクラウドサービス提供者が別途提供する、DDoS 攻撃に係る通信の遮断等の対策を利用することも有用である。

⑤ サーバ装置、端末及び通信回線装置及び通信回線の冗長化

代替のものへの切替えについては、サービス不能攻撃の検知及び代替サーバ装置等への切替えが許容される時間内に行えるようにする必要がある。

⑥ サーバ等の設定の見直し

サーバ装置、端末及び通信回線装置について、DDoS攻撃に対抗するための機能(パケットフィルタリング機能、3-way handshake時のタイムアウトの短縮、各種Flood攻撃への防御、アプリケーションゲートウェイ機能)がある場合は、有効にすること。

 

2 DDoS 攻撃による被害を想定した対策

① システムの重要度に基づく選別と分離

コストをかけてでも守る必要のあるサービスと、一定期間のダウンタイムを許容できるサービスを選別し、それぞれの対応方針を策定するとともに、重要性に応じてシステムを分離することが可能か確認し、事業継続に重要なシステムはその他のシステムとネットワークを分離することも検討する。

② 平常時からのトラフィックの監視及び監視記録の保存

平常時のトラフィック状況を知っておくことで、異常なトラフィックを早期に発見できる。また、監視記録の保存については、監視対象の状態は一定ではなく、変動することが一般的であり、監視対象の変動を把握するという目的に照らした上で保存期間を定め、一定期間保存する。

③ 異常通信時のアラートの設定

異常な通信が発生した際に、担当者にアラート通知が送られるようにする。

④ ソーリーページ等の設定

サイトの接続が困難、若しくは不能となったときに、SNS 等の媒体を利用して、サイト利用者に状況を通知する内容の投稿ができるようにするほか、別サーバに準備したソーリーページが表示されるように設定する。

⑤ 通報先・連絡先一覧作成など発生時の対策マニュアルの策定

DDoS 攻撃を受けた旨を連絡するため、警察や平素からやりとりのある関係行政機関等の通報先についてまとめておくとともに、サーバやインターネット回線が使用不能となった場合の代替手段やユーザ向けのサービスが提供不可となった場合のユーザへの周知手段の確保など、対策マニュアルや業務継続計画を策定する。

 

3 DDoS 攻撃への加担(踏み台)を防ぐ対策

① オープン・リゾルバ対策

管理しているDNS サーバで、外部の不特定のIP アドレスからの再帰的な問い合わせを許可しない設定にする。

② セキュリティパッチの適用

ベンダーから提供されるOS やアプリケーションの脆弱性を解消するための追加プログラムを適用する。

③ フィルタリングの設定

自組織ら送信元IP アドレスを詐称したパケットが送信されないようフィルタリング設定を見直す。


 

| | Comments (0)

NISC 英国主導の「サイバーセキュリティ人材に関する国際的な連合」への参画

こんにちは、丸山満彦です。

NISCが、英国主導の「サイバーセキュリティ人材に関する国際的な連合」への参画すると公表していまね...

署名国は、カナダ、ドバイ、ガーナ、シンガポール、日本、英国...

1_20250205050801

 

言葉の定義から始めましょう...というところが、日本との違いですかね...

 

これは、昨年9月に英国で開催された、会議に基づくものですね...

まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.20 英国 サイバー人材市場とサイバー技能の向上と増大する脅威に対処するための同志国による会合 (2024.09.16)

 

さて、NISCの発表資料...

 


報道資料

令和7年1月 31

内閣官房 内閣サイバーセキュリティセンター

英国主導の「サイバーセキュリティ人材に関する国際的な連合」への参画について

1.概要

令和7年1月 31 日、内閣サイバーセキュリティセンター(NISC)は、英国科学・イノベーション・技術省(DSIT)が策定した文書「サイバーセキュリティ人材に関する国際的な連合」(“International Coalition on Cyber Security Workforces”)に署名し、同連合に参画することにしました。仮訳は追って公表予定です。

同連合に参画する協力機関として組織名を列記したのは、英国、日本の他、カナダ、シンガポールなど6の国と機関です(令和7年1月 31 日時点)。

同連合は、これまで各国で取り組まれてきたサイバーセキュリティ人材に関する枠組や基準に関し、相互参照性を高めることを目的としております。我が国においては、サイバーセキュリティ人材の確保・育成のため、サイバーセキュリティ分野で求められる人材像やスキル等を体系的に整理した枠組を検討しておりますが、このような国際的な取組とも連携することで、サイバーセキュリティ人材が我が国含めグローバルに活躍できる環境の整備に資するものとなることから、共同署名に加わることとしました。

今後も、サイバーセキュリティ分野での国際連携の強化に努めてまいります。

2.共同声明の概要

サイバーセキュリティ人材に関する国際的な連合を設置し、同人材のスキル等に関する枠組や基準等について、以下の原則を踏まえ、各国との連携強化を図ることで一致する。

○ ビジョン及びアプローチを一致させること

国際協力のさらなる推進に向けて、ビジョン及びアプローチの一致を目的とした規約(terms of reference)に同意する。

○ 共通の用語を参照すること

サイバーセキュリティ人材のスキル等に関する異なる枠組やアプローチ間の理解を深めるため、用語集に記載された共通の用語を参照し、その採用を推進する。

○ 教訓及びアプローチを共有すること

参画国・機関の間で教訓、アイディア及び進行中の課題について共有し、必要に応じて、足並みを揃え行動する。

○ 継続的な対話に関与すること

技術力のあるグローバルなサイバーセキュリティ人材の育成を促進するため、定期的に会合を開催する。

3.参加規約(terms of reference)の概要

(1)背景・目的

サイバーセキュリティ人材の育成は国際的な課題であり、明確な方針のもと、同人材を育成・維持するためには国際協力が不可欠である。

この点、現在、サイバーセキュリティ人材のスキル等に関する国際的に共通の用語や分類法の確立を支援する国際的な場は存在しない。

国家及び多国間の代表からなる同連合は、世界各国政府、NGO、認証機関と協力のもと、各国のスキル等に関する枠組や基準等のアプローチを共有することで、人材育成における国際化を着実に推進する。

(2)同連合の概要

ア 目的

○ サイバーセキュリティ人材の質の向上

人材育成分野の国際的な共通用語を確立するため、スキル等の枠組や基準に係るアプローチ等について、合意形成を促進する。

○ 知識の共有を促進

人材と研究成果を共有する。

○ 相互承認を通じた国際協力を推進・強化

国際的な枠組間の相互承認に向けて前進し、専門的基準が構築されつつある場合には、その相互承認に向けて努力する。

○ 人材の役割とリソースの共同開発に向けた機会の探求

参画国・機関間で連携を強化する。

○ グローバルな連携の推進

サイバーセキュリティ人材の質を維持・向上させるために、官民に働きかけを行う。

イ 同連合の参加者

政府又は多国間の国際機関に限定される。ただし、関連する民間組織(特に認証機関)及び NGO を、同連合が決定する関連会合に招待することができる。

ウ 会合の頻度

四半期ごとのほか、必要に応じて開催される。

エ 議長・事務局

共同議長方式を採用し、任期は2年。英国が常任事務局を務める。

4.関連リンク・文書

○ International Coalition on Cyber Security Workforces

(英国 科学・イノベーション・技術省(DSIT)ホームページ)

原文リンク

【本資料に関する問い合わせ先】

内閣官房 内閣サイバーセキュリティセンター
制度・監督ユニット 人材政策班
Tel: 03-6205-4125


 

おおもとはこちら... やがて仮訳がされるということですが...

● GOV.U.K.

・2025.01.31 International Coalition on Cyber Security Workforces

・・Joint Statement: International Coalition on Cyber Security Workforces

Policy paper; Joint Statement: International Coalition on Cyber Security Workforces 政策文書;共同声明 サイバーセキュリティ人材に関する国際連合
Joint statement 共同声明
A high-quality and diverse cyber security workforce is essential for our nations’ efforts to ensure we maintain resilience against cyber threats, safeguard national security, and protect economic growth in our digital economies. The development of the cyber security workforce is a global issue, with personnel shortages and capability gaps reported across the world.  高品質で多様なサイバーセキュリティ人材は、サイバー脅威に対するレジリエンスを維持し、国家 安全保障を守り、デジタル経済の経済成長を守るための各国の取り組みに不可欠である。サイバーセキュリティ人材の育成は世界的な課題であり、世界中で人材不足や能力格差が報告されている。
To address this sustainably requires clear and consistent identification of the knowledge and skills needed by the cyber security workforce and the tasks for which this workforce is responsible across the range of cyber security roles. While many nations have developed and adopted standards, frameworks, or other mechanisms to address these challenges, without international cooperation we risk duplicative or contradictory efforts and introducing complexity that risks making it difficult for individuals and employers to navigate and implement.   この問題に持続的に対処するためには、サイバーセキュリティ人材が必要とする知識と技能、およびサイバーセキュリティの役割の範囲にわたってこの人材が担当する業務を明確かつ一貫性をもって特定する必要がある。多くの国がこれらの課題に対処するための標準、枠組み、その他の仕組みを開発し、採用しているが、国際的な協力がなければ、取り組みが重複したり、矛盾したりするリスクや、個人や雇用主がナビゲートし、実施することを困難にする複雑さをもたらすリスクがある。 
In September 2024, we (named signatory partners below) held an inaugural summit of an International Coalition to discuss the critical importance of developing and maintaining a skilled cyber security workforce. Hosted by Wilton Park in the United Kingdom, this summit brought together colleagues and partners representing 13 countries in addition to multilateral organisations and certification bodies to share lessons and perspectives with the goal of identifying opportunities for future coordination and collaboration.   2024年9月、我々(以下の署名パートナー)は、熟練したサイバーセキュリティ人材を育成・維持することの重要性について議論するため、国際連合の第1回サミットを開催した。英国のウィルトン・パークが主催したこのサミットには、多国間組織や認証団体に加え、13カ国を代表する同僚やパートナーが集まり、将来の協調・協力の機会を特定することを目的に、教訓や展望を共有した。
The dialogue highlighted the value that a coalition of countries can bring to supporting common language for the cyber security workforce ecosystem that furthers career discovery, education and training, improved hiring, and career development, while supporting adaptability to enable flexible applications that meets varied national and regional needs.   このダイアログでは、国や地域の多様なニーズを満たす柔軟な適用を可能にする適応性をサポートする一方で、キャリアの発見、教育・訓練、雇用の改善、キャリア開発を促進するサイバーセキュリティ人材のエコシステムに共通言語をサポートするために、各国の連合がもたらす価値が強調された。 
Key recommendations from the report of the dialogue include:  ダイアログの報告書からの主な提言は以下の通りである: 
・Creating a shared glossary of terms for common understanding of the cyber security workforce  ・サイバーセキュリティ人材に関する共通理解のための共有用語集の作成
・Building an understanding of similarities and differences in countries’ approaches to setting standards in cyber security workforces  ・サイバーセキュリティ人材の標準設定に対する各国のアプローチの類似点と相違点に関する理解の構築
・Setting a common baseline for the minimum quality standard for cyber security professionals  ・サイバーセキュリティ専門家の最低品質基準に関する共通の基準値の設定
・Establishing an approach to make national frameworks and standards interoperable  ・各国の枠組みや標準を相互運用可能にするためのアプローチの確立
・Establishing a plan for both private and public sectors to adopt frameworks and standards  ・民間部門と公的部門の両方が枠組みや標準を採用するための計画の確立
・Promoting these efforts to encourage new joiners and tracking progress towards professionalisation.  ・新規加入者を奨励し、専門化に向けた進捗を追跡するために、これらの取り組みを推進する。
Achieving progress in pursuing these recommendations and other yet-to-be-identified efforts will be supported by the formal establishment of the International Coalition on Cyber Security Workforces (ICCSW). This voluntary coalition will foster international dialogues about cyber workforces.   これらの推奨事項やまだ特定されていないその他の取り組みの推進を達成するためには、サイバーセキュリティ人材に関する国際連合(ICCSW)の正式な設立が必要である。この任意連合は、サイバー人材に関する国際的な対話を促進する。 
As signatories of the International Coalition on Cyber Security Workforces (ICCSW), we commit to cooperate in principle on:  サイバーセキュリティ人材に関する国際連合(ICCSW)の加盟国として、我々は原則的に以下のことに協力することを約束する: 
Aligning vision and approaches through the International Coalition on Cyber Security Workforces (ICCSW). We commit to the Terms of Reference, which looks to align our vision and approaches where we can to further international cooperation.   ・サイバーセキュリティ人材に関する国際連合(ICCSW)を通じて、ビジョンとアプローチを一致させる。我々は、国際的な協力を促進するために、可能な限り我々のビジョンとアプローチを一致させることを目的とした「参照条件」にコミットする。 
Referencing common terminology. We commit to reference and encourage the adoption of common terminology as identified in the shared glossary of terms to ensure greater understanding between different cyber security skills frameworks and approaches.   ・共通の用語を参照する。我々は、異なるサイバーセキュリティ技能の枠組みやアプローチ間の理解を深めるために、共有用語集で特定されているような共通の用語を参照し、その採用を奨励することを約束する。 
Share lessons learned and approaches. We commit to engage with other signatories to share learnings, ideas, ongoing challenges, and to coordinate on action where appropriate.  ・教訓とアプローチを共有する。我々は、他の署名当事者と協力し、学習、アイデア、現在進行中の課題を共有し、適切な場合には行動を調整することを約束する。
・Commit to ongoing dialogue. We commit to convene on a regular basis to foster the development of a skilled global cyber workforce.   ・継続的な対話を約束する。我々は、熟練したグローバルなサイバー人材を育成するため、定期的に会合を開くことを約束する。 
Signatories  署名国
Canada  カナダ
Dubai, Government of  ドバイ(政府)
Ghana  ガーナ
Japan  日本
Singapore  シンガポール
United Kingdom 英国

 

 

・・Terms of Reference: International Coalition on Cyber Security Workforces

 

・・Common Understanding of Terminology used in Cyber Security Workforces

Policy paper; Common Understanding of Terminology used in Cyber Security Workforces 政策文書:サイバーセキュリティ業界で使用される用語の共通理解
Shared glossary 共有用語集
Adapted from the glossaries of Australia, Canada, Dubai, Agency of the European Union - ENISA, Ghana, Ireland, Japan, Singapore, UK and USA.  オーストラリア、カナダ、ドバイ、欧州連合機関(ENISA)、ガーナ、アイルラン ド、日本、シンガポール、英国、米国の用語集から引用した。
Note: These parties have agreed to the common understanding of the below terms. These are not definitive definitions of these terms.  注:これらの当事者は、以下の用語の共通理解に同意している。これらは、これらの用語の決定的な定義ではない。
Accreditation   アクレディテーション
The formal recognition or attestation by an assessor or independent body that an individual, organisation, or learning programme has achieved an agreed-upon, recognised standard of qualification, behaviour, or adherence to specific definitions and/or standards. As a verb, “to accreditate” represents the action of the assessor awarding this recognition.  評価者または独立団体により、個人、組織、または学習プログラムが、合意され、 承認された資格、行動、または特定の定義および/または標準の遵守の標準を達成したこと を正式に承認または証明すること。動詞としての「認定する」は、この認定を与える評価者の行為を表す。
Apprenticeship  徒弟制度
A regime of education that combines classroom and off-line study with paid, on-the-job, practical, hands-on training. The aim is to equip the apprentice with a specific set of skills, knowledge, and experience required in each industry.  教室やオフラインでの学習と、有給の現場での実践的な実地訓練を組み合わせた教育制度。その目的は、各業界で必要とされる特定の技能、知識、経験を実習生に身につけさせることである。
A Body of Knowledge   知識体系
A structured collection of expert-sourced information, including terminology, concepts, models, and theories. It forms the core knowledge base for a profession, aiming to guide education, training, and foster a shared professional vision.  専門用語、概念、モデル、理論など、専門家が提供する情報の構造化された集合体。専門職の中核となる知識ベースを形成し、教育や訓練の指針となり、専門職としてのビジョンを共有することを目的としている。
Certification   認証
The awarding of a recognised title by an independent/competent body, based on assessment of an individual’s or organisation’s skills, knowledge, or a system’s adherence to specific and defined requirements.  個人または組織のスキル、知識、またはシステムが特定の定義された要件に準拠しているかどうかのアセスメントに基 づき、独立した/能力を有する団体から認められた称号を授与されること。
Competency  コンピテンシー
The proven ability to apply knowledge, skills, and/or behaviours to successfully perform tasks in a specific domain.   特定の領域で業務を成功裏に遂行するために、知識、技能、および/または行動を適用する証明された能力。 
Cyber Security   サイバーセキュリティ
The ability to protect or defend the use of cyber space from cyber attack.   サイバー攻撃からサイバー空間の利用を保護または防御する能力。 
Cyber Security Workforce  サイバーセキュリティ人材
Individuals whose primary focus is on cyber security as well as those in the workforce who need specific cyber security-related knowledge and skills to perform their work in a way that enables organisations to properly manage cyber security-related risks.  組織がサイバーセキュリティ関連のリスクを適切に管理できるような方法で業務を遂行するために、サイバーセキュリティに主眼を置く個人、および特定のサイバーセキュリティ関連の知識やスキルを必要とする人材。
Job  ジョブ
A single job may be responsible for one or more Work Role or for only a portion of a role.  1 つのジョブが 1 つ以上のワーク・ロールを担当することもあれば、ロールの一部のみを担当することもある。
Knowledge  知識
A retrievable set of concepts within memory which can be learned through education or experience  教育や経験を通じて学習することができる、記憶の中にある検索可能な一連の概念
Profession  職業
A category of jobs that are similar with respect to the work performed and the skills possessed by workers.  実施される仕事と労働者が有するスキルに関して類似している仕事のカテゴリー。
Professional Development   専門能力開発
The ongoing process of building new or enhancing existing skills and capabilities in one’s career, often demonstrated through activities like training, research, or attending seminars and networking.  自己のキャリアにおいて、新たなスキルや能力を構築したり、既存のスキルや能力を向上させたりする継続的な プロセス。多くの場合、研修、研究、セミナーへの参加、ネットワークづくりなどの活動を通じて示される。
Proficiency   熟練度
An assessed measure of an individual’s degree of capability in a particular domain.  特定の領域における個人の能力の程度を評価する尺度。
Skill  スキル
The personal skills that ensure you do your job well, such as being adept at teamwork, time management, or solving problems. Occasionally, some refer to these as “human skills,” “employability skills,” or “soft skills.”  チームワーク、時間管理、問題解決に長けているなど、仕事をうまくこなすための個人的スキル。ヒューマンスキル」、「エンプロイアビリティスキル」、「ソフトスキル」と呼ばれることもある。
Task  タスク
An activity that is directed toward the achievement of organisational objectives.  組織の目標達成に向けた活動。
Workforce Framework  人材フレームワーク
An ontology that is used to define a standard approach and common language for describing work and the capabilities of people who do that work for a defined workforce. Workforce frameworks use task, knowledge, and skill (TKS) statements to establish relevant work roles and competency areas.  定義された労働力について、仕事とその仕事をする人の能力を記述するための標準的なアプローチと共通言語を 定義するために使用されるオントロジー。人材フレームワークは、タスク・知識・スキル(TKS)ステートメントを使用して、関連するワーク・ロールおよびコンピテンシー領域を設定する。
Work Role  ワーク・ロール
A grouping of work for which an individual or team is responsible or accountable.  個人またはチームが責任または説明責任を負う仕事のグループ化。
Workforce Skills  人材スキル
The personal skills that ensure you do your job well, such as being adept at teamwork, time management, or solving problems (see also ‘skill’).  チームワーク、時間管理、問題解決に長けているなど、仕事をうまくこなすための個人的スキル(「スキル」も参照のこと)。
Annex 1: Glossaries and Frameworks   附属書 1: 用語集およびフレームワーク
Australia - Australian Signals Directorate (ASD) Cyber Skills Framework  オーストラリア - オーストラリア信号局(ASD)サイバー・スキルフレームワーク 
Canada - Canadian Cyber Security Skills Framework  カナダ - カナダ・サイバーセキュリティ・スキルフレームワーク 
European Union Agency, ENISA - European Cybersecurity Skills Framework (ECSF)  欧州連合機関、ENISA - 欧州サイバーセキュリティ・スキルフレームワーク(ECSF) 
Singapore - Skills Framework for ICT (SFw for ICT)  シンガポール - ICT のためのスキルフレームワーク(SFw for ICT) 
AND   AND
Operational Technology Cybersecurity Competency Framework (OTCCF)  オペレーショナル・テクノロジー・サイバーセキュリティ・コンピテンシー・フレームワーク(OTCCF) 
Skills Framework for Infocomm Technology  情報通信技術のためのスキルフレームワーク 
UK - UK Cyber Security Council Cyber Career Framework  英国 - 英国サイバーセキュリティ協議会サイバー・キャリア・フレームワーク 
USA - NICE Workforce Framework for Cybersecurity (NICE Framework)  米国 - サイバーセキュリティのための NICE ワークフォース・フレームワーク(NICE フレームワーク) 
Annex 2: Country/Framework Specific Terms  附属書 2: 国/枠組み固有の用語
Canada  カナダ
Work Role - Within the NICE framework, a Work Role is a grouping of work for which an individual or team is responsible or accountable. Work Roles are composed of Tasks that correlate to Knowledge and Skill statements. Work Roles are not synonymous with jobs or position titles, and a single job may consist of one or more Work Roles. They are used in career exploration, education and training, hiring and career development. Assessment for Work Roles typically occurs at the Task level.  ワーク・ロール - NICE の枠組みでは、ワーク・ロールとは、個人またはチームが責任または説明責任を負う業務 のグループである。ワーク・ロールは、知識とスキルの記述に関連するタスクで構成される。ワーク・ロールは仕事や役職名と同義ではなく、1つの仕事が1つ以上のワーク・ロールで構成されている場合もある。ワークロールは、キャリア探索、教育訓練、採用、キャリア開発において使用される。ワーク・ロールのアセスメントは通常、タスク・レベルで行われる。
ENISA  ENISA
Role Profile - A context-specific and detailed description of what an employee does to assure that the job holder has no doubts about their tasks, duties, responsibilities and often those to whom they report. It usually contains precise information about the competences, skills and knowledge required and practical information about health and safety and remuneration.  役割プロファイル - 職務保有者が、その職務、任務、責任、そして多くの場合、その職務を報告する相手について疑念を抱かないことを保証するために、従業員が何をするのかについて、状況に応じた詳細な記述。通常、必要な能力、スキル、知識に関する正確な情報、安全衛生や報酬に関する実践的な情報が含まれている。
Ghana  ガーナ
Accredited Cybersecurity Professional (CP) – as defined in law, under (1) Vulnerability Assessment and Penetration Testing, (2) Digital Forensics Services, (3) Managed Cybersecurity Services, and (4) Cybersecurity Governance, Risk and Compliance  認定サイバーセキュリティプロフェッショナル(CP) - 法律で定義されている、(1) 脆弱性アセスメントとペネトレーションテスト、(2) デジタルフォレンジックサービス、(3) マネージドサイバーセキュリティサービス、(4) サイバーセキュリティガバナンス、リスクおよびコンプライアンス
UK  英国
Licence Body - A body to whom the process of assessing and, if the assessment proves satisfactory, admitting individuals or organisations to membership of the delegating body.   ライセンス団体 - アセスメントを行い、アセスメントが満足のいくものであることが証明された場合、個人または組織を委譲団体のメンバーとして認めるプロセスを行う団体。 
In the sense of the UK Cyber Security Council, a member organisation that is permitted to nominate its members for inclusion on the Council’s Register.   英国サイバーセキュリティ協議会(UK Cyber Security Council)の意味では、同協議会の登録簿に登録するために会員を推薦することを許可された会員組織。  
Licensee - See Licensed Body.    ライセンシー - 「ライセンス団体」を参照のこと。   
Professional Registration - As a verb, the process of becoming registered with a professional body that maintains a register of Professionals in its industry. As a noun, the situation of being so registered.   専門家登録(Professional Registration) - 動詞として、その業界の専門家の登録を維持する専門団体に登録されるプロセス。名詞としては、そのように登録されている状態をいう。
In the sense of the UK Cyber Security Council, the process by which an individual is admitted to the Council’s Register.   英国サイバーセキュリティ協議会では、個人が同協議会の登録簿に登録されるプロセスを指す。  
Royal Charter - As defined by the Privy Council, “an instrument of incorporation, granted by The Queen, which confers independent legal personality on an organisation and defines its objectives, constitution and powers to govern its own affairs.” Incorporation by Charter is widely recognised as a prestigious way of acquiring legal personality and reflects the high status of that body.   勅許状(Royal Charter) - 英国枢密院(Privy Council)の定義によれば、「独立した法人格を組織に付与し、その目的、定款、業務を管理する権限を定義する、女王によって付与される法人設立証書」である。憲章による法人化は、法人格を取得する格調高い方法として広く認められており、その団体の高い地位を反映している。  
USA  USA
Work Role - Within the NICE framework, a Work Role is a grouping of work for which an individual or team is responsible or accountable. Work Roles are composed of Tasks that correlate to Knowledge and Skill statements. Work Roles are not synonymous with jobs or position titles, and a single job may consist of one or more Work Roles. They are used in career exploration, education and training, hiring and career development. Assessment for Work Roles typically occurs at the Task level ワーク・ロール - NICEの枠組みでは、ワーク・ロールとは、個人またはチームが責任または説明責任を負う仕事のグループである。ワーク・ロールは、知識とスキルの記述に関連するタスクで構成される。ワーク・ロールは仕事や役職名と同義ではなく、1つの仕事が1つ以上のワーク・ロールで構成されている場合もある。ワークロールは、キャリア探索、教育訓練、採用、キャリア開発において使用される。ワーク・ロールのアセスメントは、通常タスクレベルで行われる。

 

 

・・2024.09.16-18 [PDF] Wilton Park summit report: securing technology and sustaining a high quality cyber security workforce

 

・・[PDF] Bridging the Gap: harmonising cyber security qualifications and frameworks across nations

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.20 英国 サイバー人材市場とサイバー技能の向上と増大する脅威に対処するための同志国による会合 (2024.09.16)

| | Comments (0)

NISC 2月はセキュリティ月間

こんにちは、丸山満彦です。

2月から情報セキュリティ月間が始まっていますね...3月18日までです...

2010年から始まっています。それまでは、2月2日を情報セキュリティの日としていました...

1月1日は元旦、3月3日は上巳の節句(桃の節句)、5月5日は端午の節句ということで2月2日に...

ちなみに、米国、欧州、英国、オーストラリア、カナダ、シンガポール、インドは10月がサイバーセキュリティ(啓発)月間となっていますね...

 

NISC

1_20250205041301

・2025.01.31 [PDF] 2025年2月1日から「サイバーセキュリティ月間」が始まります

 


政府は、国民一人一人にサイバーセキュリティについての関心を高め、理解を深めていただくために、2月1日から3月 18 日までを「サイバーセキュリティ月間」と位置づけています。今年は、「家庭や職場で話し合い、見直したいセキュリティ対策」をテーマに、産学官民で連携し、普及啓発活動を集中的に展開します。

「サイバーセキュリティ月間」の期間中は、産学官民の様々な主体により、全国各地で約 170 件以上のイベント等が開催されます(詳細は「サイバーセキュリティ月間 2025特設サイト」にて紹介しています)。

NISC では、中小企業向けセミナー(3月 10 日)や、政府関係職員向けのセキュリティ技術競技会(CTF)等のイベントを開催するとともに、インターネットを活用した広報及び普及啓発コンテンツの提供などを行います。

...

 

<主な取組>

① 産官学民による月間関連イベントの開催

「サイバーセキュリティ月間」期間中は、都道府県警察によるイベント、関係団体主催による身近なセキュリティ対策に関するセミナー、中小企業向けワークショップなど、各地で約170 件のイベントが開催されます。特設サイトでは、開催都道府県、イベント種別、対象者
ごとに検索いただけます。

政府は、国民一人一人にサイバーセキュリティについての関心を高め、理解を深めていただくために、2月1日から3月 18 日までを「サイバーセキュリティ月間」と位置づけています。今年は、「家庭や職場で話し合い、見直したいセキュリティ対策」をテーマに、産学官民で連携し、普及啓発活動を集中的に展開します。

「サイバーセキュリティ月間」の期間中は、産学官民の様々な主体により、全国各地で約 170 件以上のイベント等が開催されます(詳細は「サイバーセキュリティ月間 2025特設サイト」にて紹介しています)。

NISC では、中小企業向けセミナー(3月 10 日)や、政府関係職員向けのセキュリティ技術競技会(CTF)等のイベントを開催するとともに、インターネットを活用した広報及び普及啓発コンテンツの提供などを行います。

② 普及啓発用コンテンツの提供

NISC では、普及啓発イベント等で活用可能なポスターやインターネットバナー、普及啓発用のリーフレットを掲載します。月間期間中は自由にダウンロードいただけますので、普及啓発イベントや、ご家庭・職場等での話し合い・点検にご活用ください。その他、関係省庁・団体においても、インターネット犯罪の体験動画や、身近なインターネット機器に関する注意喚起等、様々なコンテンツを提供しています。

...

③ 中小企業向けセミナーの開催

3月 10 日(月)に、中小企業の主にマネジメント層の方々を対象に、支援施策、被害対応、インシデント実例等についてご紹介する、オンラインセミナーを開催します。詳細は追って「サイバーセキュリティ月間 2025 特設サイト」に掲載致しますので、ご確認ください。



普及啓発ページ...

・[HTML]

 

木村さんのあいさつから...

2025年サイバーセキュリティ月間の寄稿コラム

・2025.02.01 内閣官房 内閣サイバーセキュリティセンター(NISC) 総括副センター長 内閣審議官 木村公彦

 

アーカイブ...


2024年~2021年

2020年~2016年

2015年~2011年

 

 

わすれてはいけない...

サイバーセキュリティ月間における林内閣官房長官ビデオメッセージ

 


 

まるちゃんの情報セキュリティ気まぐれ日記

 

・2024.10.06 10月は世界的なサイバーセキュリティ月間(日本は2月だけど)

・2023.02.01 NISC サイバーセキュリティ月間始まりました

 

・2021.10.05 米国・EU 10月はサイバーセキュリティ(意識向上)月間

 

・2011.02.20 IPA情報セキュリティ月間記念シンポジウム2011

・2011.02.03 情報セキュリティ月間はじまっています。。。(内閣官房)

・2010.01.30 今年から2月は「情報セキュリティ月間」

 

・2008.12.11 内閣官房 第19回情報セキュリティ政策会議の開催について

・2007.01.26 みんなで「情報セキュリティ」強化宣言!

・2006.10.28 毎年2月2日は情報セキュリティの日

 

| | Comments (0)

2025.02.04

フランス CNIL;個人データの越境移転影響評価 (TIA) の最終版 (2025.01.31)

こんにちは、丸山満彦です。

CNILが個人データの越境移転影響評価 (TIA) の最終版を公表していますね...

 

CNIL

・2025.01.31 Transfer Impact Assessment (TIA): the CNIL publishes the final version of its guide

Transfer Impact Assessment (TIA): the CNIL publishes the final version of its guide 移転影響評価(TIA):CNILがガイドの最終版を公表
In order to assist organisations transferring personal data outside of the European Economic Area (EEA), the CNIL publishes the final version of its guide on Transfer Impact Assessments. It follows a public consultation. 欧州経済地域(EEA)域外への個人データの移転を行う組織を支援するため、CNILは移転影響評価に関するガイドの最終版を公表した。これは、パブリックコンサルテーションに続くものである。
Guaranteeing the same level of protection as the GDPR for data transfer データ移転に際してGDPRと同水準の保護を保証
Regardless of their status and size, a very large number of controllers and processors are concerned by the issue of data transfers outside the European Economic Area (EEA). The interpenetration of networks has multiplied the situations in which personal data are being processed in whole or in part in third countries that are not subject to EU law, in particular the GDPR, and may thus give rise to data transfers. その地位や規模に関わらず、非常に多くの管理者および処理者が欧州経済地域(EEA)域外へのデータ転送の問題に関心を寄せている。ネットワークの相互浸透により、個人データの全部または一部がEU法、特にGDPRの対象外である第三国で処理される状況が増加しており、それによりデータ転送が生じる可能性がある。
The principle established by the GDPR is that, in the event of a transfer, data must continue to enjoy protection substantially equivalent to that afforded by the GDPR. Chapter V of the GDPR contains specific provisions regarding data transfers.  GDPRが定める原則は、移転が行われる場合、データは引き続きGDPRが定めるものと実質的に同等の保護を享受しなければならないというものである。GDPRの第5章には、データ移転に関する具体的な規定が記載されている。
The “Schrems II” judgment of the Court of Justice of the European Union (CJEU) highlighted the responsibility of data exporters outside the European Economic Area (EEA) and importers in the country of destination. They must ensure that the processing is carried out, and continues to be carried out, in compliance with the level of protection set by EEA law. According to the CJEU, exporters also have the responsibility to suspend the transfer and/or terminate the contract if the importer is not, or is no longer, able to comply with its commitments on the protection of personal data. 欧州連合司法裁判所(CJEU)の「シュレンスII」判決では、欧州経済領域(EEA)外のデータ輸出事業者と、移転先の国の輸入事業者の責任が強調された。EEA法で定められた保護レベルに準拠した処理が実施され、継続されることを保証しなければならない。欧州司法裁判所(CJEU)によると、輸出事業者は、輸入事業者が個人データの保護に関する義務を遵守できない場合、または遵守できなくなった場合には、移転を停止し、および/または契約を解除する責任も負う。
The Transfer Impact Assessment 移転影響評価
Thus, exporters relying on the transfer tools listed in Article 46.2 and 46.3 GDPR for their transfers have an obligation to assess the level of protection in third countries of destination and the need for additional safeguards. したがって、GDPR第46条2項および3項に列挙された移転ツールに依存して移転を行う移転者は、移転先の第三国における保護レベルと追加の安全対策の必要性を評価する義務がある。
Such an assessment is commonly referred to as a ‘Transfer Impact Assessment’ (TIA). このようなアセスメントは一般的に「移転影響評価(TIA)」と呼ばれる。
Following the recommendations of the European Data Protection Board (EDPB) on additional measures complementing transfer instruments, the CNIL has developed a guide to help data exporters carry out their TIAs. 欧州データ保護委員会(EDPB)による移転手段を補完する追加措置に関する勧告に従い、CNILはデータ移転者がTIAを実施する際に役立つガイドを作成した。
In which cases should a TIA be carried out? どのような場合にTIAを実施すべきか?
A TIA must be carried out by the exporter subject to the GDPR, whether controller or processor, with the assistance of the importer, before transferring the data to a country outside the EEA where that transfer is based on a tool in Article 46 of the GDPR (e.g., Standard Contractual Clauses, Binding Corporate Rules). TIAは、GDPRの対象となる輸出事業者が、管理者または処理者のいずれであるかを問わず、輸入事業者の支援を受けながら、EEA域外の国にデータを転送する前に実施しなければならない。その転送は、GDPR第46条のツール(標準契約条項、拘束的企業準則など)に基づくものである。
There are two exceptions to this requirement for the exporter: 移転者に対するこの要件には、次の2つの例外がある。
・If the country of destination is covered by an adequacy decision of the European Commission ・目的地の国が欧州委員会の十分性認定を受けている場合
・If the transfer is made on the basis of one of the derogations listed in Article 49 GDPR. ・GDPR第49条に列挙されたいずれかの例外規定に基づいて転送が行われる場合
What is the purpose of a TIA? TIAの目的は何か?
The objective of a TIA is to assess whether the importer will be able to comply with its obligations under the chosen tool taking into account the legislation and practices of the third country of destination – in particular as regards the potential access to personal data by authorities of the third country – and to document that assessment. TIAの目的は、輸入事業者が選択したツールの下で、第三国の法律や慣行(特に、第三国の当局による個人データへの潜在的なアクセス可能性に関して)を考慮した上で、その義務を遵守できるかどうかを評価し、そのアセスメントを文書化することである。
Where necessary, the TIA should also assess whether supplementary measures would address the identified data protection gaps and ensure the level required by the EU legislation.  必要に応じて、TIAでは、特定されたデータ保護のギャップに対処し、EUの法律で要求されるレベルを確保するための追加措置についても評価すべきである。
What are the objectives and scope of the TIA Guide? TIAガイドの目的と範囲は何か?
This guide is a methodology that identifies the steps prior to carrying out a TIA. It provides guidance on how the analysis can be carried out following the steps set out in the EDPB recommendations and refers to the relevant documentation. It does not constitute an assessment of the law and practices in third countries. このガイドは、TIA実施前のステップを識別するための方法論である。EDPBの勧告に定められたステップに従って分析を実施する方法についての指針を提供し、関連文書を参照している。第三国の法律および慣行の評価を構成するものではない。
The use of this guide is not mandatory, other elements may also be taken into account and other methodologies applied. このガイドの使用は必須ではなく、他の要素も考慮し、他の方法論を適用することも可能である。
As regards the steps prior to carrying out a TIA, this guide is organised around the following questions: TIA実施前の段階については、本ガイドは以下の質問を中心に構成されている。
1. Is there a transfer of personal data? 1. 個人データの移転はあるか?
2. Is it necessary to carry out a TIA? 2. TIAを実施する必要があるか?
3. Who is responsible for the TIA? 3. TIAの責任者は誰か?
4. What is the scope of the TIA, in particular considering onward transfers? 4. TIAの範囲は何か、特に二次移転を考慮して?
5. Is the transfer compliant with the principles of the GDPR? 5. 移転はGDPRの原則に準拠しているか?
As regards the implementation of the TIA, this guide is organised according to the six different steps to be followed in order to carry out a TIA: TIAの実施に関しては、本ガイドはTIAを実施するために踏むべき6つのステップに従って構成されている。
1. Know your transfer 1. 移転の把握
2. Identify the transfer tool used 2. 使用される移転ツールの識別
3. Evaluate the legislation and practices of the country of destination of the data and the effectiveness of the transfer tool 3. データ移転先の国の法律および慣行、および移転ツールの有効性の評価
4. Identify and adopt supplementary measures 4. 補足措置の識別および採用
5. Implement the supplementary measures and the necessary procedural steps 5. 補足措置および必要な手続き上のステップの実施
6. Reassess the level of protection at appropriate intervals and monitor potential developments that could affect it 6. 適切な間隔で保護レベルを再評価し、保護に影響を与える可能性のある潜在的な進展を監視する
Consult the guide ガイドを参照
What are the main changes in the final version of the Guide compared to the version submitted for public consultation? パブリックコンサルテーションに提出されたバージョンと比較して、ガイドの最終版の主な変更点は何か?
From December 2023 to February 2024, the CNIL submitted its guide for public consultation. The consultation received 34 contributions mainly from professionals in the sector (data protection officers, lawyers, consultants, heads of professional networks). They represent players of all sizes (French and international groups, small and medium-sized enterprises, professional networks/business federations, etc.) and from various sectors (banking/finance, insurance, transport, industry, digital/IT, cosmetics/health, local and regional authorities, etc.). 2023年12月から2024年2月にかけて、CNILはパブリックコンサルテーション用のガイドを提出した。主に当該分野の専門家(データ保護責任者、弁護士、コンサルタント、職業ネットワークの代表者)から34件の意見が寄せられた。 意見を寄せたのは、あらゆる規模の事業者(フランスおよび国際グループ、中小企業、職業ネットワーク/事業連合など)およびさまざまな分野(銀行/金融、保険、運輸、工業、デジタル/IT、化粧品/ヘルスケア、地方自治体など)の代表者である。
Those contributions enabled the CNIL to develop, in both form and substance, the final version of the guide and provide a number of clarifications on its content, and to consolidate, or adjust, certain reflections and analyses, in order to take into account, in particular, the latest opinions of the European Data Protection Board (EDPB). これらの貢献により、CNILは、最終版のガイドを形式と内容の両面で発展させ、その内容について多くの明確化を行うことができた。また、特に欧州データ保護委員会(EDPB)の最新の意見を考慮に入れるため、いくつかの考察や分析を強化または調整することができた。
summary of the contributions with the CNIL's answers to the most complex remarks is published with the final version of the Guide. CNILの回答とともに、最も複雑な意見に対する貢献の要約がガイドの最終版とともに公開されている。
Consult the summary of contributions 意見の概要を参照
Documents 文書
Guide TIA - Summary of contributions ガイド TIA - 意見の概要
Practical guide - Transfer impact assessment 実用ガイド - 移転影響評価

 

実用ガイド - 移転影響評価

・[PDF] Practical guide - Transfer impact assessment

20250204-44050

・[DOCX][PDF] 仮訳

 

 

ガイド TIA - 意見の概要

・[PDF] Guide TIA - Summary of contributions

20250204-44203

 

 

 

| | Comments (0)

2025.02.03

サイバーセキュリティ対策の基本的な考え方に関する共通認識が必要?

こんにちは、丸山満彦です。

政府の委員等をしていると、政策に関しても考えないといけないのですが、幅広い知見と、深い洞察が必要となるので、なかなかと苦労しています。

最近少し考えているのですが、世界各国政府が国家サイバーセキュリティ戦略というのが作られています。これは国家安全保障戦略の一部としての位置付けとなるものです。

ただ、より抽象度を上げた基本的な考え方?、原則?のようなものも必要かなと感じています。そこで、次のようなことを思いつきました。(思いついたことを忘れないようにメモしているだけなので、詳細な検討はしていません...)

 

● すべての人にもとめるサイバーセキュリティの責任と期待

ここでいう人は、自然人と法人(政府含む)の両方を含み得ますが、主に法人が中心となります。

なお、経営判断としてのサイバーセキュリティ対策は、すべての人にもとめるサイバーセキュリティの責任と期待を踏まえた、上乗せの議論と考えることになると思います。

 

まずは、2つの責任

責任1:全てのインターネット利用者は最低限のセキュリティ対策をとることが求められる。(どの程度かはその時代によりコンセンサスをとる)

責任2:社会的な影響の大きさに応じた社会的な責任を果たすことが必要。(重要インフラ業務に関わる企業はより高度なセキュリティ対策をする責任がある。)

次に、2つの期待(社会からの期待)

期待1:十分な能力(技術力、資金力、人材、情報等)をもった人は、その能力に応じた社会的な役割を果たすことが期待される。(大手クラウド事業者や政府など)

期待2:互いが能力が補完し合って、より良いインターネット空間を作ることが期待される(業界連携、官民連携、国際連携など)

 

これは、社会的な責任の議論でも出てくる話なので、サイバーセキュリティに閉じた話ではないと思っています。(もう少し調べます。。。)

 

思いつきを忘れないようにしたメモなのですが、皆さんはどう思われますかね...

 

1_20250203170001

 

| | Comments (0)

欧州 EuropolとEurojust サイバー犯罪に関する共通の課題と法整備による解決策 2024 (2025.01.31)

こんにちは、丸山満彦です。

EuropolとEurojustが、サイバー犯罪に関する共通の課題と法整備による解決策に関連する文書を公表していますね...

共通の課題は次の6つ...

 1:データ量
 2:データの損失
 3:データへのアクセス
 4:匿名化サービス
 5:国際協力の障害
 6:官民パートナーシップにおける課題

なるほどです...

日本の警察も同じ課題を抱えていると思うので、ちょっと考えてみると良いかもですね...

国際協力がますます重要となってくるので、同じルールで同じように対応できるのが、重要となりますよね...

 

Europol

プレス...

・2025.01.31 Tackling cybercrime: common challenges and legislative solutions identified by Europol and Eurojust

Tackling cybercrime: common challenges and legislative solutions identified by Europol and Eurojust サイバー犯罪への取り組み:欧州刑事警察機構と欧州司法機構が識別した共通の課題と法整備による解決策
Published today, the latest joint report by Europol and Eurojust, Common Challenges in Cybercrime, explores the persistent and emerging issues that hinder cybercrime investigations. This year’s edition not only identifies key obstacles—particularly in the field of digital evidence—but also examines how new legislative measures could help address them. 本日発表された欧州刑事警察機構(Europol)と欧州司法機構(Eurojust)の最新共同報告書「サイバー犯罪における共通の課題」では、サイバー犯罪捜査を妨げる根強く残る問題と新たに浮上した問題について調査している。今年の版では、特にデジタル証拠の分野における主な障害を識別するだけでなく、新たな法整備がそれらの問題の解決にどのように役立つかを検証している。
The report highlights several pressing challenges faced by law enforcement, including the overwhelming volume of digital data, the risk of data loss, and the persistent barriers to accessing critical information due to legal and technical constraints. The increasing use of anonymisation services has further complicated efforts to track criminal activities online. このレポートでは、法執行機関が直面する喫緊の課題として、膨大な量のデジタルデータ、データ損失のリスク、法的および技術的な制約による重要な情報へのアクセスを妨げる根強い障壁などを取り上げている。匿名化サービスの利用が増加していることで、オンライン上の犯罪行為の追跡はさらに複雑化している。
To help mitigate these challenges, the report explores the impact of new EU legislative tools, such as the e-Evidence Package, the Digital Services Act, and the EU AI Act. These instruments aim to facilitate data access, improve cross-border cooperation, and enhance investigative capabilities. However, their effectiveness will largely depend on how they are implemented and integrated into existing operational strategies. これらの課題を緩和するために、このレポートでは、e-Evidence Package、デジタルサービス法、EU AI法などの新しいEUの立法ツールの影響について調査している。これらの手段は、データへのアクセスを容易にし、国境を越えた協力体制を改善し、捜査能力を強化することを目的としている。しかし、その有効性は、それらがどのように実施され、既存の運用戦略に統合されるかによって大きく左右される。
The report also underscores the value of the strategic cooperation between Europol and Eurojust, highlighting initiatives such as the SIRIUS Project, which has strengthened collaboration in cybercrime investigations. These efforts continue to play a crucial role in helping law enforcement agencies navigate an increasingly complex digital landscape. また、この報告書では、欧州刑事警察機構と欧州司法機構の戦略的協力の価値を強調し、サイバー犯罪捜査における連携を強化したシリウス(SIRIUS)プロジェクトなどの取り組みを挙げている。こうした取り組みは、ますます複雑化するデジタル環境において法執行機関を導く上で、引き続き重要な役割を果たしている。
While challenges remain, the report emphasises the potential of these new legislative measures to strengthen the fight against cybercrime. Equipping law enforcement with the right tools and ensuring their effective use in investigations will be key to staying ahead of evolving cyber threats. 課題は残っているものの、報告書では、サイバー犯罪対策を強化する新たな法整備の可能性が強調されている。法執行機関に適切なツールを装備し、捜査におけるその効果的な利用を確保することが、進化するサイバー脅威に先手を打つための鍵となる。

 

 

・2025.01.31 Common Challenges in Cybercrime - 2024 Review by Eurojust and Europol

Common Challenges in Cybercrime サイバー犯罪における共通の課題
This report is a collaborative effort between Eurojust and Europol that addresses persistent and emerging challenges in cybercrime and investigations involving digital evidence. Key challenges include management of massive volumes of data, legal uncertainties following the invalidation of the Data Retention Directive, and technologies that create barriers to accessing data.  本報告書は、欧州司法機構と欧州刑事警察機構の共同作業により作成されたもので、サイバー犯罪とデジタル証拠の捜査における根強く残る課題と新たに発生する課題を取り上げている。主な課題には、膨大な量のデータの管理、データ保存指令の無効化に伴う法的混乱、データへのアクセスを妨げる技術などが含まれる。
Just like in the previous edition, this 2024 review identifies and categorises challenges from both the law enforcement and judicial perspectives. However, this report includes a second part focusing on legislative tools that could alleviate those challenges and their practical application. 前回の版と同様に、この2024年のレビューでは、法執行と司法の両方の観点から課題を識別し、分類している。しかし、この報告書には、これらの課題を軽減し、その実用的な適用を可能にする立法上のツールに焦点を当てた第2部も含まれている。

 

・[PDF]

20250203-45138

 

目次...

Executive Summary エグゼクティブサマリー
Introduction 序文
Common challenges 共通の課題
Common challenge 1: Data volume 共通の課題1:データ量
Common challenge 2: Loss of data 共通の課題2:データの損失
Common challenge 3: Access to data 共通の課題3:データへのアクセス
Common challenge 4: Anonymisation services 共通の課題4:匿名化サービス
Common challenge 5: Obstacles to international cooperation 共通の課題5:国際協力の障害
Common challenge 6: Challenges in public-private partnerships 共通の課題6:官民パートナーシップにおける課題
Legislative responses to some of the enduring challenges 永続的な課題に対する法的な対応
JUDEX JUDEX
EU Electronic Evidence legislative package EU電子証拠法パッケージ
  Regulation (EU) 2023/1543   規則(EU)2023/1543
  Directive (EU) 2023/1544   指令(EU)2023/1544
Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market for Digital Services and amending Directive 2000/31/EC  欧州議会および2022年10月19日付理事会のデジタルサービス単一市場に関する規則(EU)2022/2065および指令2000/31/ECの改正 
European Union Artificial Intelligence Act  欧州連合人工知能法
Second Additional Protocol to the Budapest Convention on Cybercrime on enhanced co-operation and disclosure of electronic evidence サイバー犯罪に関するブダペスト条約の第2追加議定書(電子証拠の協力と開示の強化
Clarifying Lawful Overseas Use of Data Act– CLOUD Act 海外におけるデータの合法的使用の明確化に関する法律(CLOUD法
Conclusions 結論
Endnotes 脚注

 

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー
The 2024 report on ‘Common Challenges in Cybercrime’ is a collaborative effort between Eurojust and Europol that addresses both persistent and emerging challenges in the realm of cybercrime and investigations involving digital evidence. This year’s report provides updates on significant developments and introduces new legislative tools aimed at enhancing the effectiveness of measures for fighting cybercrime.  2024年の「サイバー犯罪における共通の課題」に関する報告書は、欧州司法機構(Eurojust)と欧州刑事警察機構(Europol)の共同作業であり、サイバー犯罪とデジタル証拠を伴う捜査における根強い課題と新たな課題の両方を取り扱っている。今年の報告書では、重要な進展に関する最新情報が提供され、サイバー犯罪対策の有効性を高めることを目的とした新たな立法ツールが紹介されている。
The report underscores the ongoing collaboration between Eurojust and Europol which goes from strength to strength. Examples are the success of the SIRIUS Project, through serious crime investigations, numerous joint training programmes, and comprehensive reporting. The report highlights several new EU legislative frameworks, such as the e-evidence Package and the Digital Services Act. These frameworks were crafted to address the increasing volume of data, the ongoing issues related to loss of access to data, and challenges presented by anonymisation services in the context of investigation and prosecution of crimes. The aim of the frameworks is to streamline processes and make it easier for competent authorities working in criminal investigations and prosecutions to manage large data sets and foster international cooperation more effectively.  報告書では、欧州司法機構と欧州刑事警察機構の協力関係がますます強固になっていることが強調されている。その例として、重大犯罪捜査、多数の合同訓練プログラム、包括的な報告書作成などを通じて成功を収めたシリウス(SIRIUS)プロジェクトが挙げられる。報告書では、電子証拠パッケージやデジタルサービス法など、EUの新たな立法枠組みがいくつか取り上げられている。これらの枠組みは、増え続けるデータ量、データへのアクセス喪失に関する継続中の問題、犯罪の捜査や起訴の文脈における匿名化サービスがもたらす課題に対処するために策定された。枠組みの目的は、プロセスを合理化し、犯罪の捜査や起訴に携わる管轄当局が大規模なデータセットを管理し、より効果的に国際協力を促進することを容易にすることである。
Key cybercrime challenges are identified in the report. One important challenge is data management, which requires law enforcement agencies to deal with massive volumes of data, triggering a need for advanced analytic techniques and significant resources which are currently beyond the reach of many agencies. The report notes the ongoing impact of legal uncertainties following the invalidation of the Data Retention Directive, which continues to affect the availability of data for investigations. Additionally, technologies that obscure user identities and locations or block the lawful access to data are creating substantial barriers to tracing illicit activities. International cooperation also faces legal and logistical barriers that complicate the fight against cybercrime and often span several jurisdictions. Furthermore, collaboration between public and private partners, crucial for resolving cybercrimes, often run into obstacles such as data-sharing restrictions and the sensitivity of investigations.  報告書では、サイバー犯罪の主な課題が識別されている。重要な課題のひとつはデータ管理であり、これは法執行機関が膨大な量のデータを処理することを必要とし、高度な分析技術と多大なリソースの必要性を引き起こす。しかし、現在では多くの機関にとって、その手の届かないものとなっている。報告書では、データ保持指令が無効化された後の法的不確実性の継続的な影響についても言及されており、これは捜査のためのデータの入手可能性に引き続き影響を与えている。さらに、ユーザーの身元や所在地を隠したり、データへの合法的なアクセスをブロックする技術は、違法行為の追跡に大きな障害となっている。国際協力もまた、サイバー犯罪対策を複雑化させる法的および実務的な障壁に直面しており、しばしば複数の管轄区域にまたがる。さらに、サイバー犯罪の解決に不可欠な官民パートナー間の協力も、データ共有の制限や捜査の機密性などの障害にしばしばぶつかる。
This 2024 report outlines the common strategic directions of Eurojust and Europol in combating cybercrime. Moreover, it gives an overview of the use of new legislative tools and the practical application of these new legislative measures. The effectiveness of these tools will depend on their integration into current strategies and their adoption in the field by practitioners. At the same time, there are ongoing efforts aimed at enhancing the technical and operational capacities of law enforcement authorities in the EU, and ensuring that they are properly equipped to handle the complexities of modern digital investigations. この2024年の報告書では、サイバー犯罪対策における欧州司法機構と欧州刑事警察機構の共通の戦略的方向性を概説している。さらに、新しい立法手段の利用と、これらの新しい立法措置の実用的な適用についての概要も示している。これらの手段の有効性は、現在の戦略への統合と、実務家による現場での採用に依存することになる。同時に、EUの法執行当局の技術的能力と運用能力の強化を目的とした取り組みが継続的に行われており、現代のデジタル捜査の複雑性に対処するための適切な装備が確実に整えられるよう努めている。

 

結論...

Conclusions  結論 
This report makes clear that the realm of cybercrime is not static but an everevolving battleground where new challenges and solutions continually emerge. The report examined the persistent issues but also highlighted the proactive strides made through collaboration and legislative advancements aimed to strengthen the defences against cybercrime.  本報告書は、サイバー犯罪の領域は静的なものではなく、常に新たな課題と解決策が生まれる進化し続ける戦場であることを明らかにしている。本報告書では、根強く残る問題を検証するとともに、サイバー犯罪に対する防御力を強化することを目的とした協力や法整備の進展による積極的な進歩にも焦点を当てた。
The integration of new legislative tools such as the e-Evidence Package and the Digital Services Act, and the ongoing adaptation of the AI Act and the Second Additional Protocol to the Budapest Convention, represent significant progress in equipping law enforcement and judicial authorities with the means to tackle the complexities of cybercrime more effectively. However, the real test lies in the practical application of these tools and the seamless integration into existing frameworks that will make them fully effective.  e-Evidenceパッケージやデジタルサービス法などの新しい法的ツールの統合、およびAI法やブダペスト条約の第二追加議定書の継続的な適応は、法執行機関や司法当局がサイバー犯罪の複雑性により効果的に対処するための手段を整えるという点において、大きな進歩である。しかし、真の試練は、これらのツールの実用的な適用と、それらを完全に有効なものとする既存の枠組みへのシームレスな統合にある。
The report highlights critical areas such as the management of vast volumes of data, the challenges posed by anonymisation services, and the hurdles in international cooperation which underscore the necessity for robust, scalable solutions that can adapt to the dynamic nature of cyber-threats. The strategic move towards enhancing technical and operational capacities within law enforcement signifies a clear recognition of the need to keep pace with technological advancements.  本報告書では、膨大な量のデータの管理、匿名化サービスがもたらす課題、国際協力における障害など、重要な分野に焦点を当てている。サイバー脅威の動的な性質に適応できる強固で拡張性のあるソリューションの必要性を強調している。法執行機関における技術的および運用能力の強化に向けた戦略的動きは、技術の進歩に遅れずについていく必要性を明確に認識していることを意味する。
Moreover, the increasing challenges of the unavailability of data during criminal investigations due to technological developments and lack of data retention, jurisdictional barriers, and the complications inherent in public-private partnerships call for a nuanced approach that balances stringent security measures with the preservation of individual privacy and civil liberties.  さらに、技術の発展やデータ保持の欠如、管轄権の障壁、官民パートナーシップに内在する複雑性により、犯罪捜査中にデータが利用できないという課題が増加しているため、厳格なセキュリティ対策と個人のプライバシーおよび市民的自由の保護をバランスよく両立させる、より繊細なアプローチが必要とされている。
As we look to the future, the need for continuous innovation, training, and international collaboration is indisputable. It is through these concerted efforts that EU law enforcement and judicial authorities can aspire to not only manage the existing challenges but also pre-emptively counteract emerging threats. The path forward involves a collaborative framework between agencies such as Eurojust and Europol, along with their partners across borders, working as one to foster a safer cyber environment.  将来を見据えると、継続的な革新、トレーニング、国際協力の必要性は明白である。こうした協調的な取り組みを通じて、EUの法執行および司法当局は、既存の課題に対処するだけでなく、新たに発生する脅威を未然に防ぐことも可能になる。今後の進むべき道筋には、欧州司法機構や欧州刑事警察機構などの機関が、国境を越えたパートナーと協力し、より安全なサイバー環境の実現に向けて一体となって取り組む枠組みが含まれる。
In conclusion, while significant strides have been made, the road ahead remains steep and fraught with challenges that will demand a dynamic and adaptive approach. The continued success of initiatives such as the SIRIUS Project, publicprivate partnerships such as the No More Ransom Project, and the strategic use of legislative tools will be pivotal in shaping the future landscape of cybercrime prevention and related enforcement. Through persistent efforts and a commitment to innovation and cooperation, EU law enforcement and judicial authorities can aim to not only mitigate the impact of cybercrime but also enhance the security and resilience of our digital world. 結論として、大きな進歩が遂げられたとはいえ、前途は依然として険しく、ダイナミックで適応力のあるアプローチを必要とする課題が山積している。SIRIUSプロジェクトのようなイニシアティブの継続的な成功、No More Ransomプロジェクトのような官民パートナーシップ、そして法整備の戦略的活用は、サイバー犯罪の防止と関連法執行の将来の展望を形作る上で極めて重要である。EUの法執行機関および司法当局は、たゆまぬ努力と革新および協力への献身を通じて、サイバー犯罪の影響を緩和するだけでなく、デジタル世界のセキュリティとレジリエンスを強化することを目指すことができる。

 

| | Comments (0)

米国 欧州 CrackedとNulledという犯罪プラットフォームの破壊 (2025.01.30)

こんにちは、丸山満彦です。

サイバー犯罪の多くは国際的に被害が広がるので、各国捜査機関の協力関係が非常に重要(自国を重要視するなら、海外との連携が重要となる)ので、これからも世界的な連携はより発展するのでしょうね...

ユーロポール、米国等の司法当局が協力をして、CrackedとNulledという犯罪プラットフォームに関係する、容疑者2人を逮捕し、7件の物件を捜索し、17台のサーバーと50台以上の電子機器を押収し、約30万ユーロの現金と暗号通貨を押収したようですね...

このプラットフォームでは、AIベースのツールやスクリプトが提供されており、セキュリティ脆弱性を自動的にスキャンし、攻撃を最適化することができるようになっていたようですね...

 

1_20250203044201

 

Europol

・2025.01.30 Law enforcement takes down two largest cybercrime forums in the world - The platforms combined had over 10 million users worldwide

 

Law enforcement takes down two largest cybercrime forums in the world 法執行機関、世界最大のサイバー犯罪フォーラム2つを閉鎖
The platforms combined had over 10 million users worldwide 両フォーラムのユーザー数は合わせて1,000万人以上
A Europol-supported operation, led by German authorities and involving law enforcement from eight countries, has led to the takedown of the two largest cybercrime forums in the world. 欧州刑事警察機構(Europol)の支援を受け、ドイツ当局が主導し、8か国の法執行機関が関与したこの作戦により、世界最大のサイバー犯罪フォーラム2つが閉鎖された。
The two platforms, Cracked and Nulled, had more than 10 million users in total. Both of these underground economy forums offered a quick entry point into the cybercrime scene. These sites worked as one-stop shops and were used not only for discussions on cybercrime but also as marketplaces for illegal goods and cybercrime-as-a-service, such as stolen data, malware or hacking tools. Investigators estimate that suspects earned EUR 1 million in criminal profits. CrackedとNulledという2つのプラットフォームには、合計で1000万人以上のユーザーがいた。 これらの闇市場フォーラムは、サイバー犯罪の世界への素早い入口となっていた。 これらのサイトはワンストップショップとして機能しており、サイバー犯罪に関する議論だけでなく、盗難データ、マルウェア、ハッキングツールなどの違法商品の市場としても利用されていた。 捜査官は、容疑者が100万ユーロの犯罪収益を得たと推定している。
The operation took place from 28 to 30 January and led to: この作戦は1月28日から30日にかけて実施され、以下の結果となった。
・2 suspects arrested ・容疑者2名を逮捕
・7 properties searched ・7つの物件を捜索
・17 servers and over 50 electronic devices seized ・17台のサーバーと50台以上の電子機器を押収
・Around EUR 300 000 of cash and cryptocurrencies seized ・約30万ユーロの現金と暗号通貨を押収
Throughout the course of the action day, 12 domains within the platforms Cracked and Nulled were seized. Other associated services were also taken down; including a financial processor named Sellix which was used by Cracked, and a hosting service called StarkRDP, which was promoted on both of the platforms and run by the same suspects. この一斉取締りの過程で、CrackedとNulledのプラットフォーム内の12のドメインが押収された。また、Crackedが使用していた金融処理プロセッサのSellixや、両プラットフォームで宣伝され、同じ容疑者によって運営されていたStarkRDPと呼ばれるホスティングサービスなど、関連サービスも停止された。
Europol’s expertise provided on the ground 欧州刑事警察機構の専門知識が現地で提供された
Throughout the investigation, Europol provided operational, analytic and forensic support to authorities involved in the case. On the action day, a specialist and an analyst were deployed on the spot to work hand-in-hand with German investigators.  捜査中、欧州刑事警察機構は、この事件に関与する当局に運用、分析、および法医学的支援を提供した。 行動日には、専門家と分析官が現場に展開され、ドイツの捜査官と協力した。
Europol’s experts from the European Cybercrime Centre (EC3) facilitated the exchange of information in the framework of the Joint Cybercrime Action Taskforce (J-CAT) hosted at the Europol headquarters in The Hague, the Netherlands. One of Europol’s priorities is to act as the broker of law enforcement knowledge, providing a hub through which Member States can connect and benefit from one another’s and Europol’s expertise. 欧州サイバー犯罪センター(EC3)の欧州刑事警察機構(ユーロポール)の専門家は、オランダのハーグにある欧州刑事警察機構(ユーロポール)本部で主催されている共同サイバー犯罪対策タスクフォース(J-CAT)の枠組みの中で、情報交換を促進した。欧州刑事警察機構(ユーロポール)の優先事項のひとつは、法執行機関の知識の仲介役を務めることであり、加盟国が互いに、そして欧州刑事警察機構(ユーロポール)の専門知識を活用できるハブを提供することである。
Fighting cybercrime-as-a-service サイバー犯罪のサービスとしての提供
Cybercrime-as-a-service is a growing trend on platforms like Cracked.io and Nulled.to. Cybercriminals offer tools and infrastructure as a service, enabling even less technically-skilled individuals to carry out attacks. This trend makes cybercrime increasingly accessible to a wider group of people, as these platforms often share security vulnerabilities and even provide tutorials on creating malware and engaging in other criminal activities.  サイバー犯罪のサービスとしての提供は、Cracked.ioやNulled.toのようなプラットフォーム上で増加傾向にある。サイバー犯罪者はツールやインフラをサービスとして提供し、技術的にそれほど熟練していない個人でも攻撃を実行できるようにしている。これらのプラットフォームはセキュリティの脆弱性を共有していることが多く、マルウェアの作成やその他の犯罪行為に関するチュートリアルまで提供しているため、この傾向により、サイバー犯罪はより幅広い層にとってますます身近なものとなっている。
These two forums also offered AI-based tools and scripts to automatically scan for security vulnerabilities and optimise attacks. Advanced phishing techniques are frequently developed and shared on these platforms, sometimes employing AI to create more personalised and convincing messages. As cybercrime becomes more aggressive and confrontational, Europol aims to strengthen the fight against this sort of crime by bringing relevant partners together for cross-border cooperation and joint action. また、この2つのフォーラムでは、AIベースのツールやスクリプトが提供されており、セキュリティ脆弱性を自動的にスキャンし、攻撃を最適化することができる。高度なフィッシング技術が頻繁に開発され、共有されているが、時にはAIが使用され、よりパーソナライズされた説得力のあるメッセージが作成されることもある。サイバー犯罪がより攻撃的で対立的なものになるにつれ、欧州刑事警察機構は、関連するパートナーを集め、国境を越えた協力と共同行動を行うことで、この種の犯罪に対する戦いを強化することを目指している。
Participating countries: 参加国:
Australia: Australian Federal Police オーストラリア:オーストラリア連邦警察
France: Anti-Cybercrime Office (Office Anti-cybercriminalité) フランス:反サイバー犯罪局(Office Anti-cybercriminalité)
Germany: Federal Criminal Police Office (Bundeskriminalamt), Prosecutor General’s Office Frankfurt am Main – Cyber Crime Center (Generalstaatsanwaltschaft Frankfurt am Main – ZIT) ドイツ:連邦刑事局(Bundeskriminalamt)、フランクフルト・アム・マイン検事総長室 - サイバー犯罪センター(Generalstaatsanwaltschaft Frankfurt am Main - ZIT)
Greece: Hellenic Police (Ελληνική Αστυνομία) ギリシャ:ギリシャ警察(Ελληνική Αστυνομία)
Italy: State Police (Polizia di Stato) イタリア:国家警察(Polizia di Stato)
Romania: General Inspectorate of Romanian Police (Inspectoratul General al Poliției Romane) ルーマニア:ルーマニア警察監察官(Inspectoratul General al Poliției Romane)
Spain: Guardia Civil; Spanish National Police (Policía Nacional) スペイン:国家警察(スペイン国家警察)
United States of America: Department of Justice, Federal Bureau of Investigation 米国:司法省、連邦捜査局

 

 

 

 

U.S. Department of Justice

・2025.01.30 Cracked and Nulled Marketplaces Disrupted in International Cyber Operation

Cracked and Nulled Marketplaces Disrupted in International Cyber Operation 国際的なサイバー作戦により、クラックド・アンド・ヌルド・マーケットプレイスが混乱
At Least 17M U.S. Victims Affected 少なくとも1700万人の米国人が被害に
The Justice Department today announced its participation in a multinational operation involving actions in the United States, Romania, Australia, France, Germany, Spain, Italy, and Greece to disrupt and take down the infrastructure of the online cybercrime marketplaces known as Cracked and Nulled. The operation was announced in conjunction with Operation Talent, a multinational law enforcement operation supported by Europol to investigate Cracked and Nulled. 司法省は本日、米国、ルーマニア、オーストラリア、フランス、ドイツ、スペイン、イタリア、ギリシャにおける活動を含む多国間作戦への参加を発表した。この作戦は、CrackedおよびNulledとして知られるオンラインサイバー犯罪マーケットプレイスのインフラを破壊し、閉鎖することを目的としている。この作戦は、CrackedおよびNulledの捜査を目的とした欧州刑事警察機構(ユーロポール)が支援する多国間法執行作戦「Operation Talent」と併せて発表された。
Supervisory Official Antoinette T. Bacon of the Justice Department’s Criminal Division, U.S. Attorney Trini E. Ross for the Western District of New York, U.S. Attorney Jaime Esparza for the Western District of Texas, Assistant Director Brian A. Vorndran of the FBI’s Cyber Division, Special Agent in Charge Matthew Miraglia of the FBI Buffalo Field Office, and Special Agent in Charge Aaron Tapp for the FBI San Antonio Field Office made the announcement. 司法省刑事局の監督官アントワネット・T・ベーコン氏、ニューヨーク西部地区担当のトリニ・E・ロス米国連邦検事、テキサス西部地区担当のハイメ・エスパルザ米国連邦検事、FBIサイバー犯罪対策部のブライアン・A・ヴォーンダン副部長、FBIバッファロー支局のマシュー・ミラリア特別捜査官、FBIサンアントニオ支局のアーロン・タップ特別捜査官が、この発表を行った 。
Cracked Cracked
According to seizure warrants unsealed today, the Cracked marketplace has been selling stolen login credentials, hacking tools, and servers for hosting malware and stolen data — as well as other tools for carrying out cybercrime and fraud — since March 2018. Cracked had over four million users, listed over 28 million posts advertising cybercrime tools and stolen information, generated approximately $4 million in revenue, and impacted at least 17 million victims from the United States. One product advertised on Cracked offered access to “billions of leaked websites” allowing users to search for stolen login credentials. This product was recently allegedly used to sextort and harass a woman in the Western District of New York. Specifically, a cybercriminal entered the victim’s username into the tool and obtained the victim’s credentials for an online account. Using the victim’s credentials, the subject then cyberstalked the victim and sent sexually demeaning and threatening messages to the victim. The seizure of these marketplaces is intended to disrupt this type of cybercrime and the proliferation of these tools in the cybercrime community. 本日公開された押収令状によると、Cracked マーケットプレイスは2018年3月以来、盗まれたログイン認証情報、ハッキングツール、マルウェアや盗難データのホスティング用サーバー、その他サイバー犯罪や詐欺を実行するためのツールを販売していた。Crackedには400万人以上のユーザーがおり、サイバー犯罪ツールや盗難情報の広告が2800万件以上掲載され、約400万ドルの収益を生み出し、米国だけでも少なくとも1700万人の被害者に影響を与えた。Crackedで宣伝されていたある製品は、「数十億件の流出ウェブサイト」へのアクセスを提供しており、ユーザーは盗まれたログイン認証情報を検索することができた。この製品は最近、ニューヨーク西部地区の女性に対する性的嫌がらせと恐喝に使用されたとされている。具体的には、サイバー犯罪者が被害者のユーザー名をツールに入力し、オンラインアカウントの認証情報を入手した。この人物は、被害者の認証情報を使用して、被害者をサイバーストーカーし、性的な中傷や脅迫メッセージを送信した。これらのマーケットプレイスの差し押さえは、この種のサイバー犯罪と、サイバー犯罪者コミュニティにおけるこれらのツールの拡散を阻止することを目的としている。
The FBI, working in coordination with foreign law enforcement partners, identified a series of servers that hosted the Cracked marketplace infrastructure and eight domain names used to operate Cracked. They also identified servers and domain names for Cracked’s payment processor, Sellix, and the server and domain name for a related bulletproof hosting service. All of these servers and domain names have been seized pursuant to domestic and international legal process. Anyone visiting any of these seized domains will now see a seizure banner that notifies them that the domain has been seized by law enforcement authorities. FBIは、海外の法執行機関と連携し、Crackedのマーケットプレイスインフラをホストする一連のサーバーと、Crackedの運営に使用されていた8つのドメイン名を特定した。また、Crackedの決済処理業者であるSellixのサーバーとドメイン名、および関連するBulletproofホスティングサービスのサーバーとドメイン名も特定した。これらのサーバーとドメイン名はすべて、国内および国際的な法的手続きに従って押収された。これらの差し押さえられたドメインを訪問した人は、ドメインが法執行機関によって差し押さえられたことを通知する差し押さえバナーが表示される。
The FBI Buffalo Field Office is investigating the case. FBIバッファロー支局がこの事件を捜査している。
Senior Counsel Thomas Dougherty of the Criminal Division’s Computer Crime and Intellectual Property Section (CCIPS) and Assistant U.S. Attorney Charles Kruly for the Western District of New York are prosecuting the case. 刑事局のコンピュータ犯罪・知的財産課(CCIPS)の上級顧問トーマス・ドハーティ氏とニューヨーク西部地区のチャールズ・クルーリー米国連邦検事がこの事件を起訴している。
Nulled Nulled
The Justice Department announced the seizure of the Nulled website domain and unsealed charges against one of Nulled’s administrators, Lucas Sohn, 29, an Argentinian national residing in Spain. According to the unsealed complaint affidavit, the Nulled marketplace has been selling stolen login credentials, stolen identification documents, hacking tools, as well as other tools for carrying out cybercrime and fraud, since 2016. Nulled had over five million users, listed over 43 million posts advertising cybercrime tools and stolen information, and generated approximately $1 million in yearly revenue. One product advertised on Nulled purported to contain the names and social security numbers of 500,000 American citizens. 司法省は、Nulledのウェブサイトドメインの押収と、スペイン在住のアルゼンチン国籍の29歳、Nulledの管理者であるルーカス・ソン氏に対する起訴状を非公開扱いを解除したことを発表した。非公開扱いを解除された訴状宣誓供述書によると、Nulledのマーケットプレイスは2016年より、盗まれたログイン認証情報、盗まれた身分証明書、ハッキングツール、その他サイバー犯罪や詐欺を実行するためのツールを販売していた。Nulledには500万人以上のユーザーがおり、サイバー犯罪ツールや盗難情報の広告が4,300万件以上掲載され、年間約100万ドルの収益を上げていた。Nulledで宣伝されていたある製品には、50万人の米国市民の氏名と社会保障番号が含まれているとされていた。
The FBI, working in coordination with foreign law enforcement partners, identified the servers that hosted the Nulled marketplace infrastructure, and the domain used to operate Nulled. The servers and domain have been seized pursuant to domestic and international legal process. Anyone visiting the Nulled domain will now see a seizure banner that notifies them that the domain has been seized by law enforcement authorities. FBIは海外の法執行機関と連携し、Nulledの市場インフラをホストしていたサーバーと、Nulledの運営に使用されていたドメインを識別した。サーバーとドメインは、国内および国際的な法的プロセスに従って押収された。Nulledのドメインを訪問した人は、現在、ドメインが法執行機関によって押収されたことを通知する押収バナーが表示される。
According to the complaint, Sohn was an active administrator of Nulled and performed escrow functions on the website. Nulled’s customers would use Sohn’s services to complete transactions involving stolen credentials and other information. For his actions, Sohn has been charged with conspiracy to traffic in passwords and similar information through which computers may be accessed without authorization; conspiracy to solicit another person for the purpose of offering an access device or selling information regarding an access device; and conspiracy to possess, transfer, or use a means of identification of another person with the intent to commit or to aid and abet or in connection with any unlawful activity that is a violation of federal law. 訴状によると、ソーンはNulledの積極的な管理者であり、ウェブサイト上でエスクロー機能を行っていた。Nulledの顧客は、ソーンのサービスを利用して、盗まれた認証情報やその他の情報を含む取引を完了させていた。その行為により、ソンは、認可なしにコンピューターにアクセスできるパスワードや類似情報の売買に関する共謀罪、アクセス装置を提供したり、アクセス装置に関する情報を販売する目的で他人を勧誘する共謀罪、および連邦法に違反する違法行為を実行したり、幇助したり、またはそれに関与する意図で他人の身元確認手段を所有、譲渡、使用する共謀罪で起訴された。
If convicted, Sohn faces a maximum penalty of five years in prison for conspiracy to traffic in passwords, 10 years in prison for access device fraud, and 15 years in prison for identity fraud. 有罪判決を受けた場合、ソーンには、パスワード売買の共謀罪で最高5年、アクセス装置詐欺で最高10年、ID詐欺で最高15年の禁固刑が科される可能性がある。
The FBI Austin Cyber Task Force is investigating the case. The Task Force participants include the Naval Criminal Investigative Service, IRS Criminal Investigation, Defense Criminal Investigative Service, and the Department of the Army Criminal Investigation Division, among other agencies. この事件は、FBIオースティン・サイバー・タスクフォースが捜査している。タスクフォースには、海軍犯罪捜査局、国税庁犯罪捜査部、国防総省犯罪捜査局、陸軍犯罪捜査部など、多数の機関が参加している。
Assistant U.S. Attorneys G. Karthik Srinivasan and Christopher Mangels for the Western District of Texas are prosecuting the case, with Assistant U.S. Attorney Mark Tindall for the Western District of Texas handling the forfeiture component. テキサス州西部地区担当の米国連邦検事補 G. Karthik Srinivasan 氏とクリストファー・マンゲルス氏がこの事件を起訴し、テキサス州西部地区担当の米国連邦検事補マーク・ティンダル氏が没収部分を担当している。
The Justice Department worked in close cooperation with investigators and prosecutors from several jurisdictions on the takedown of both the Cracked and Nulled marketplaces, including the Australian Federal Police, Europol, France’s Anti-Cybercrime Office (Office Anti-cybercriminalité) and Cyber Division of the Paris Prosecution Office, Germany’s Federal Criminal Police Office (Bundeskriminalamt) and Prosecutor General’s Office Frankfurt am Main – Cyber Crime Center (Generalstaatsanwaltschaft Frankfurt am Main – ZIT), the Spanish National Police (Policía Nacional) and Guardia Civil, the Hellenic Police (Ελληνική Αστυνομία), Italy’s Polizia di Stato and the General Inspectorate of Romanian Police (Inspectoratul General al Poliției Romane). The Justice Department’s Office of International Affairs provided significant assistance. 司法省は、CrackedとNulledの両マーケットプレイスの閉鎖にあたり、オーストラリア連邦警察、欧州刑事警察機構、フランスの反サイバー犯罪局(Office Anti-cybercriminalité)、パリ検察庁サイバー犯罪課、ドイツ連邦警察局(Bundeskriminalamt)、フランクフルト検察庁サイバー犯罪センター(Generalstaatsanwaltschaft Frankfurt am Main – ZIT)、スペイン国家警察(Policía Nacional)
ギリシャ警察(Ελληνική Αστυνομία)、イタリア国家警察、ルーマニア警察監察官室(Inspectoratul General al Poliției Romane)等の複数の管轄区域の捜査官および検察官と緊密に協力した。司法省の国際部は多大な支援を提供した。
A complaint is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. 訴状は単なる申し立てにすぎない。被告人は、法廷で合理的な疑いを越えて有罪が証明されるまでは、無罪と推定される。

 

 

 

 

 

| | Comments (0)

些細だが累積するバイアス

こんにちは、丸山満彦です。

DeepSeekが話題になっていますね。少し前から使っています(^^;;

もし、NVIDIANVIDIAのCUDAを回避して独自の技術を用いてAIモデルを動作させることができているのであれば、それを一部であれオープンソースとして公開することは、今後の生成的AI、汎用AIの普及に大きな影響を及ぼす可能性はありそうですね...

中小企業、中小国でも独自にAIモデルを作成し、動作維持することができる可能性が高まっているということですから...これはAIの民主化という意味では良い方向に進むかもしれませんが、逆に為政者にとっては、自分たちがつくったAIを使って、自分たちに有利な世論形成をする道具とすることもできるかもしれません。特に特定の言語に特化した性能が高いAIをつくって...

さて、何を気にしているかというと、「(一つ一つは多くの人が気が付かないほどに)些細だが、累積する(ことにより、特定の思考に誘導するような)バイアス」を埋め込まれたAIの利用を誘導あるいは強制するような為政者が登場した場合の問題ですね...

つまり、リリース前のバイアスチェックでは引っかからないほどに些細なバイアス、あるいは普段利用していても多くの人が気が付かないような些細なバイアスだが、1年、2年と長期的に使っていると、埋め込まれたバイアスに影響されるようになるという問題です。

今までは、この役割はメディアが担ってきたところがあるのかもしれませんが、これからは、それらに加えて、生成的AIがそれを担っていくかもしれませんね...

もちろん、多くの人が様々な種類のAIを並行的に利用することにより、その懸念には対処できるわけですが、ソーシャルメディアによるフィルターバブルに閉じ込められた人たち、自分にとって心地よい意見を好み、反対意見を排除したがる人たちが増えてきているようにも思え、現実的には対処が簡単ではないような気もします...

 

 


 

多くの人が使うであろう、無料版ではの比較になりますが...

生成的AIによる回答例...

 

質問:中国人民革命の意義を説明してください。

 

Copilot

中国人民革命の意義は、中国の歴史において非常に重要な出来事です。この革命は、1911年に清王朝を打倒し、中華民国を建国したことを指します。この革命により、中国は封建制度から近代国家への転換を果たし、国民の権利と自由を求める声が高まりました。

また、中国人民革命は、中国の政治体制や社会構造に大きな影響を与えました。これにより、中国は共産主義体制へと移行し、中国共産党が政権を握ることとなりました。この革命は、中国の現代社会の基盤を築く上で重要な役割を果たしました。

このように、中国人民革命は中国の歴史において重要な転換点となり、現代の中国社会に大きな影響を与えました。

 

DeepSeek

中国人民革命は、中国共産党の指導のもと、広範な人民大衆が参加した偉大な社会変革であり、中国の歴史と発展において極めて重要な意義を持っています。この革命は、中国が半植民地半封建社会から脱却し、社会主義国家を建設するための基礎を築きました。中国人民革命の勝利は、中華民族の独立と人民の解放を実現し、中国の近代化と社会主義建設の道を切り開きました。同時に、この革命は世界の植民地・半植民地人民の解放闘争に大きな影響を与え、世界平和と発展のための重要な貢献を果たしました。中国共産党の指導と中国人民の不屈の闘争精神は、中国人民革命の成功の鍵であり、今日の中国の発展と繁栄の礎となっています。

 

Gemini

中国人民革命の意義

中国人民革命は、中国の近代史における転換点となった重要な出来事です。その意義は多岐にわたりますが、主に以下の点が挙げられます。

1 封建制度の打倒と国民国家の樹立:

   * 清朝の支配を終わらせ、数千年にわたる封建制度を打倒しました。

   * 中華人民共和国を樹立し、中国人民が国家の主人となる国民国家を建設しました。

2 民族解放と国家独立:

   * 長期にわたる外国の侵略と支配から中国を解放し、民族の独立と解放を実現しました。

   * 中国は国際社会において独立した国家としての地位を確立しました。

3 社会改革と人民生活の改善:

   * 土地改革を行い、農民の地位を向上させました。

   * 教育、医療、文化などの分野で改革を行い、人民の生活水準を改善しました。

4 社会主義建設への道を開く:

   * 社会主義制度を確立し、中国の社会主義建設を開始しました。

   * 中国は経済、科学技術、文化などの分野で大きな発展を遂げました。

5 国際的影響力の増大:

   * 中国の国際的地位と影響力を高めました。

   * 第三世界の国々との連帯を強化し、国際社会における発言力を増大させました。

中国人民革命は、中国の歴史における重要な転換点であり、その意義は今日においても深く影響しています。

 

Felo

中国人民革命は、中国の歴史において非常に重要な出来事であり、その意義は多岐にわたります。以下にその主要なポイントを説明します。

歴史的背景と目的

中国人民革命は、主に清王朝の崩壊から始まり、最終的には中華人民共和国の成立に至る一連の社会的、政治的変革を指します。革命の目的は、外国の支配からの解放、封建制度の打破、そして国民の権利と生活水準の向上を目指すものでした。

主要な出来事と過程

  1. 辛亥革命(1911年):
    • 清王朝を打倒し、初の共和制を樹立しました。この革命は、国民の民族意識を高め、近代国家の基盤を築く重要なステップとなりました。
  2. 国共合作と内戦:
    • 1920年代には、中国共産党(CCP)と国民党(KMT)が協力して軍閥を打倒し、国家の統一を目指しました。しかし、1927年に国民党が共産党を弾圧し、内戦が勃発しました。この内戦は、最終的に共産党が勝利し、1949年に中華人民共和国が成立する結果となりました。
  3. 土地改革と社会変革:
    • 共産党は、農民の支持を得るために土地改革を実施し、農民の生活を改善しました。これにより、農村部での支持基盤が強化され、革命の成功に寄与しました。

意義と影響

  • 国家の統一と独立:
    中国人民革命は、長年の外国の干渉や内戦を経て、中国を統一し、独立した国家としての地位を確立しました。これにより、中国は国際社会において重要な役割を果たすようになりました。
  • 社会的変革:
    革命は、封建制度を打破し、社会の構造を大きく変える契機となりました。特に、農民や労働者の権利が強化され、社会的な平等を目指す動きが進展しました。
  • 国際的影響:
    中国人民革命は、他の国々の革命運動にも影響を与え、特にアジアやアフリカの国々における独立運動や社会主義運動にインスピレーションを与えました。

結論

中国人民革命は、単なる政権交代にとどまらず、中国の歴史、社会、国際関係に深い影響を与えた重要な出来事です。これにより、中国は新たな国家としてのアイデンティティを確立し、国民の生活向上を目指す道を歩み始めました。

 

ChatGPT

中国人民革命の意義は、以下のポイントに分けて説明できます。

  1. **政治的独立と権力の移行**:

   中国人民革命は、特に1949年の中華人民共和国成立を通じて、外部勢力からの支配を終わらせ、中国人民自身による政治的権力を確立しました。清朝の衰退や外国の侵略といった歴史的背景を受けて、革命は国民の自主独立を強く求める動きでした。

  1. **社会構造の変革**:

   革命は、中国の封建制度や地主制を打破し、土地改革を通じて農民に土地を分配しました。これにより、農民層の地位向上が図られ、社会的な不平等を是正する一歩となりました。

  1. **経済の改革と発展**:

   中華人民共和国成立後、中国の経済は集中的な計画経済へと移行し、工業化やインフラ整備が進められました。これにより、経済の近代化が促進され、国際社会における中国の地位が向上しました。

  1. **文化と思想の変革**:

   中国人民革命は、マルクス主義・レーニン主義を基盤とした新しい思想体系を国の指導理念としました。これにより、教育制度、文化、社会慣習においても大きな変革がもたらされました。特に文化大革命(1966-1976年)は、思想や文化の面での激しい変化を引き起こしました。

  1. **国際的影響**:

   中国革命は、アジアや他の地域の国々における解放運動や社会主義の発展に影響を与えました。この時期、多くの国で反植民地主義や社会主義運動が盛んになり、中国の革命はその一つのモデルとされました。

  1. **国民意識の醸成**:

   中国人民革命は、民族的アイデンティティや国民意識を高めました。特に国民党と共産党の抗争を通じて、多くの中国人が国家の一体感を持つようになりました。

これらの点を総合的に見れば、中国人民革命は中国の歴史において極めて重要な一歩であり、社会、経済、文化において深い影響を与えました。また、国際的な文脈においても長期的な影響をもたらしたのです。

 

Claude

中国人民革命について説明させていただきます。

1949年の中国人民革命は、20世紀の最も重要な歴史的出来事の一つといえます。この革命の主な意義として、以下のような点が挙げられます:

政治的意義:
中華民国から中華人民共和国への体制転換をもたらし、共産党による一党支配体制が確立されました。これにより、長年続いた国民党統治が終わり、新たな政治体制が誕生しました。

社会的意義:
土地改革により、地主制度が廃止され、農民への土地再分配が行われました。これは、何世紀にもわたる中国の伝統的な階級制度を根本的に変革しました。また、女性の権利拡大や教育の普及なども進められました。

経済的意義:
計画経済体制が導入され、主要産業の国有化が進められました。これにより、近代的な工業化の基礎が築かれることとなりました。

国際的意義:
東アジアの力学が大きく変化し、冷戦構造にも大きな影響を与えました。また、他の発展途上国の革命運動にも影響を与えることとなりました。

この革命は、その後の中国の発展に大きな影響を与え続け、現代の中国を形作る重要な転換点となりました。

人々の生活面では、教育の普及、医療サービスの改善、女性の社会進出など、多くの変革がもたらされました。一方で、大躍進運動や文化大革命など、その後の政策による混乱も経験することとなりました。​​​​​​​​​​​​​​​​

 

 


 

中国人民革命を象徴する画像を作成してください。

 

Microsoft Bing Image Center

_8595a8ea1254453d873a3802cabccecd

 

Copilot

Photo_20250203034401

 

ドリームラボ

1_20250203035001

 

 

| | Comments (0)

英国 AI安全報告書 2025

こんにちは、丸山満彦です

英国政府が、AIアクションサミットの一環として?、AI安全報告書を公表していますね...

298ページ...

 

GOV. U.K.

・2025.01.29 International AI Safety Report 2025

 

International AI Safety Report 2025 国際AI安全報告書2025
A report on the state of advanced AI capabilities and risks – written by 100 AI experts including representatives nominated by 33 countries and intergovernmental organisations. 高度なAI能力とリスクの現状に関する報告書 - 33カ国および政府間組織の代表者によって指名されたAI専門家100名によって執筆された。
Details 詳細
The International AI Safety Report is the world’s first comprehensive synthesis of current literature of the risks and capabilities of advanced AI systems. Chaired by Turing-award winning computer scientist, Yoshua Bengio, it is the culmination of work by 100 AI experts to advance a shared international understanding of the risks of advanced Artificial Intelligence (AI). 国際AI安全報告書は、高度なAIシステムのリスクと能力に関する現在の文献を総合的にまとめた世界初の包括的な報告書である。チューリング賞受賞者のコンピューター科学者であるヨシュア・ベンジオが議長を務め、100人のAI専門家が高度な人工知能(AI)のリスクに関する国際的な共通理解を深めるために取り組んできた成果の集大成である。
The Chair is supported by an international Expert Advisory Panel made up of representatives from 30 countries, the United Nations (UN), European Union (EU), and Organization for Economic Cooperation and Development (OECD). この議長職は、30カ国、国連(UN)、欧州連合(EU)、経済協力開発機構(OECD)の代表者で構成される国際専門家諮問委員会によって支援されている。
The report does not make policy recommendations. Instead it summarises the scientific evidence on the safety of general-purpose AI to help create a shared international understanding of risks from advanced AI and how they can be mitigated. General-purpose AI – or AI that can perform a wide variety of tasks – is a type of AI that has advanced rapidly in recent years and is widely used by technology companies for a range of consumer and business purposes. この報告書は政策提言を行うものではない。その代わり、汎用AIの安全性に関する科学的証拠をまとめ、高度なAIがもたらすリスクと、その緩和策について国際的な共通理解を促すことを目的としている。汎用AI、すなわち幅広いタスクを実行できるAIは、近年急速に進歩したAIの一種であり、テクノロジー企業が消費者向けおよび企業向けの幅広い用途で広く利用している。
The report is concerned with AI risks and AI safety and focuses on identifying these risks and evaluating methods for mitigating them. It summarises the scientific evidence on 3 core questions – What can general-purpose AI do? What are risks associated with general-purpose AI? and What mitigation techniques are there against these risks? and aims to: 本報告書は、AIのリスクと安全性に焦点を当て、これらのリスクの識別と緩和手法の評価に重点を置いている。本報告書は、3つの主要な疑問点に関する科学的証拠を要約している。すなわち、汎用AIは何ができるのか?汎用AIに関連するリスクとは何か?これらのリスクに対する緩和手法にはどのようなものがあるのか?という3つの疑問点である。本報告書の目的は、
・provide scientific information that will support informed policymaking – it does not recommend specific policies ・情報に基づく政策決定を支援する科学的情報を提供することである。特定の政策を推奨するものではない
・facilitate constructive and evidence-based discussion about the uncertainty of general-purpose AI and its outcomes ・汎用AIの不確実性とその結果について、建設的かつ根拠に基づく議論を促進する
・contribute to an internationally shared scientific understanding of advanced AI safety ・高度なAIの安全性に関する国際的に共有された科学的理解に貢献する
The report was written by a diverse group of academics, guided by world-leading experts in AI. There was no industry or government influence over the content. The secretariat organised a thorough review, which included valuable input from global civil society and industry leaders. The Chair and writers considered all feedback and included it where needed. この報告書は、AI分野の世界的な専門家が指導する多様な学術研究者のグループによって作成された。内容については、業界や政府からの影響は一切ない。事務局は徹底的なレビューを行い、世界中の市民社会や業界のリーダーからの貴重な意見も取り入れた。議長と執筆者はすべてのフィードバックを検討し、必要に応じて取り入れた。
The report will be presented at the AI Action Summit in Paris in February 2025. An interim version of this report was published in May 2024 and presented at the AI Seoul Summit. この報告書は、2025年2月にパリで開催されるAIアクションサミットで発表される。この報告書の暫定版は2024年5月に発表され、AIソウルサミットで提示された。
Background 背景
At the Bletchley AI Safety Summit, 30 nations agreed to build a shared scientific and evidence-based understanding of frontier AI risks through the development of an international, independent, and inclusive report on the risks and capabilities of frontier AI. The International AI Safety Report delivers on that mandate, providing a comprehensive synthesis of the existing literature on the risks and capabilities of advanced AI models. ブレッチリーAI安全サミットでは、30カ国が、最先端AIのリスクと能力に関する国際的、独立した、包括的な報告書の作成を通じて、最先端AIのリスクに関する科学的かつ証拠に基づく共通理解を構築することに合意した。国際AI安全報告書は、その指令に従い、高度なAIモデルのリスクと能力に関する既存の文献を総合的にまとめた包括的な報告書である。
As host of the AI Safety Summit, the UK commissioned Yoshua Bengio to deliver this report, with operational support from a secretariat hosted by the UK AI Safety Institute. The UK government has agreed with participating countries that it will continue to provide the secretariat for the report until a suitable long-term international home is agreed, and Professor Yoshua Bengio will continue acting as Chair for 2025. AI安全サミットの主催国である英国は、ヨシュア・ベンジオに本報告書の作成を依頼し、英国AI安全研究所が主催する事務局が運営面でサポートした。英国政府は、適切な長期的な国際的拠点が合意されるまで、参加国とともに本報告書の事務局を継続して提供することに同意しており、ヨシュア・ベンジオ教授は2025年まで議長を務める予定である。
The report was developed in-line with the principles and procedures, agreed by the Chair and Expert Advisory Panel. 本報告書は、議長および専門家諮問委員会が合意した原則および手順に沿って作成された。

 

・[PDF] International AI Safety Report 2025

20250202-163710

 

・[DOCX] [PDF] 仮訳 

 

目次...

Forewords  まえがき 
About this report  本報告書について 
Update on latest AI advances after the writing of this report: Chair’s note  本報告書執筆後のAIの最新動向:議長による注釈 
Key findings of the report  本報告書の主な調査結果 
Executive Summary  エグゼクティブサマリー 
Introduction  序文 
1. Capabilities of general-purpose AI  1. 汎用AIの能力 
1.1. How general-purpose AI is developed  1.1. 汎用AIの開発方法 
1.2. Current capabilities  1.2. 現在の能力 
1.3. Capabilities in coming years  1.3. 今後数年の能力 
2. Risks  2. リスク 
2.1. Risks from malicious use  2.1. 悪用によるリスク 
2.1.1. Harm to individuals through fake content  2.1.1. 偽のコンテンツによる個人への被害 
2.1.2. Manipulation of public opinion  2.1.2. 世論操作 
2.1.3. Cyber offence  2.1.3. サイバー犯罪 
2.1.4. Biological and chemical attacks  2.1.4. 生物・化学兵器 
2.2. Risks from malfunctions  2.2. 誤作動によるリスク 
2.2.1. Reliability issues  2.2.1. 信頼性の問題 
2.2.2. Bias  2.2.2. バイアス 
2.2.3. Loss of control  2.2.3. 制御不能 
2.3. Systemic risks  2.3. システムリスク 
2.3.1. Labour market risks  2.3.1. 労働市場のリスク 
2.3.2. Global AI R&D divide  2.3.2. グローバルなAI研究開発格差 
2.3.3. Market concentration and single points of failure  2.3.3. 市場の集中と単一障害点 
2.3.4. Risks to the environment  2.3.4. 環境へのリスク 
2.3.5. Risks to privacy  2.3.5. プライバシーへのリスク 
2.3.6. Risks of copyright infringement  2.3.6. 著作権侵害のリスク 
2.4. Impact of open-weight general-purpose AI models on AI risks  2.4. オープンウェイト汎用AIモデルがAIリスクに与える影響 
3. Technical approaches to risk management  3. リスクマネジメントへの技術的アプローチ 
3.1. Risk management overview  3.1. リスクマネジメントの概要 
3.2. General challenges for risk management and policymaking  3.2. リスクマネジメントと政策立案における一般的な課題 
3.2.1. Technical challenges for risk management and policymaking  3.2.1. リスクマネジメントと政策立案における技術的課題 
3.2.2. Societal challenges for risk management and policymaking  3.2.2. リスクマネジメントと政策立案における社会的な課題 
3.3. Risk identification and assessment  3.3. リスクの特定とアセスメント 
3.4. Risk mitigation and monitoring  3.4. リスクの緩和とモニタリング 
3.4.1. Training more trustworthy models  3.4.1. より信頼性の高いモデルのトレーニング 
3.4.2. Monitoring and intervention  3.4.2. モニタリングと介入 
3.4.3. Technical methods for privacy  3.4.3. プライバシーに関する技術的手法 
Conclusion  結論 
List of acronyms  略語一覧 
Glossary  用語集 
How to cite this report  この報告書の引用方法 
References  参考文献 

 

 

主な調査結果

Key findings of the report  主な調査結果 
● The capabilities of general-purpose AI, the type of AI that this report focuses on, have increased rapidly in recent years and have improved further in recent months.[1] A few years ago, the best large language models (LLMs) could rarely produce a coherent paragraph of text. Today, general-purpose AI can write computer programs, generate custom photorealistic images, and engage in extended open-ended conversations. Since the publication of the Interim Report (May 2024), new models have shown markedly better performance at tests of scientific reasoning and programming.  ● 本報告書が注目するAIの種類である汎用AIの能力は、近年急速に向上しており、ここ数カ月でさらに改善されている。[1]数年前までは、どんなに優れた大規模言語モデル(LLM)でも、まとまった段落の文章を作成することはほとんどできなかった。今日、生成的AIはコンピュータ・プログラムを作成し、カスタムメイドの写実的画像を生成し、長時間のオープンエンドな会話をすることができる。中間報告書の発表(2024年5月)以来、新しいモデルは科学的推論とプログラミングのテストにおいて著しく優れた性能を示している。 
● Many companies are now investing in the development of general-purpose AI agents, as a potential direction for further advancement. AI agents are general-purpose AI systems which can autonomously act, plan, and delegate to achieve goals with little to no human oversight. Sophisticated AI agents would be able to, for example, use computers to complete longer projects than current systems, unlocking both additional benefits and additional risks.  ● 多くの企業は現在、さらなる進歩の可能性のある方向として、汎用AIエージェントの開発に投資している。AIエージェントは、自律的に行動し、計画を立て、人間の監視をほとんど受けずに目標を達成するために委任することができる汎用AIシステムである。洗練されたAIエージェントは、例えば、現在のシステムよりも長いプロジェクトを完了するためにコンピュータを使用することができるようになり、新たな利点と新たなリスクの両方を解き放つだろう。 
● Further capability advancements in the coming months and years could be anything from slow to extremely rapid.† Progress will depend on whether companies will be able to rapidly deploy even more data and computational power to train new models, and whether ‘scaling’ models in this way will overcome their current limitations. Recent research suggests that rapidly scaling up models may remain physically feasible for at least several years. But major capability advances may also require other factors: for example, new research breakthroughs, which are hard to predict, or the success of a novel scaling approach that companies have recently adopted.  ● 今後数カ月から数年の間に、さらなる能力の進歩は、ゆっくりとしたものから極めて急速なものまで、あらゆる可能性がある† 進歩は、企業が新しいモデルを訓練するために、さらに多くのデータと計算能力を迅速に展開できるかどうか、また、このようにしてモデルを「スケーリング」することで、現在の限界を克服できるかどうかにかかっている。最近の研究によると、モデルを急速にスケールアップすることは、少なくとも数年間は物理的に可能である。しかし、大きな能力の進歩には、他の要因も必要かもしれない。例えば、予測するのが難しい新たな研究のブレークスルーや、企業が最近採用した斬新なスケーリング・アプローチの成功などである。 
● Several harms from general-purpose AI are already well established. These include scams, non-consensual intimate imagery (NCII) and child sexual abuse material (CSAM), model outputs that are biased against certain groups of people or certain opinions, reliability issues, and privacy violations. Researchers have developed mitigation techniques for these problems, but so far no combination of techniques can fully resolve them. Since the publication of the Interim Report, new evidence of discrimination related to general-purpose AI systems has revealed more subtle forms of bias.  ● 汎用AIによるいくつかの弊害は、すでに十分に確立されている。詐欺、非同意的親密画像(NCII)や児童性的虐待資料(CSAM)、特定のグループや特定の意見にバイアスされたモデル出力、信頼性の問題、プライバシー侵害などである。研究者たちはこれらの問題を緩和する技術を開発してきたが、今のところ、どの技術を組み合わせても完全に解決することはできない。中間報告書の発表以降、汎用AIシステムに関連する識別的な新たな証拠が、より微妙な形のバイアスを明らかにしている。 
● As general-purpose AI becomes more capable, evidence of additional risks is gradually emerging. These include risks such as large-scale labour market impacts, AI-enabled hacking or biological attacks, and society losing control over general-purpose AI. Experts interpret the existing evidence on these risks differently: some think that such risks are decades away, while others think that general-purpose AI could lead to societal-scale harm within the next few years. Recent advances in general-purpose AI capabilities – particularly in tests of scientific reasoning and programming – have generated new evidence for potential risks such as AI-enabled hacking and biological attacks, leading one major AI company to increase its assessment of biological risk from its best model from ‘low’ to ‘medium’.  ● 汎用AIの能力が高まるにつれて、新たなリスクを示す証拠が徐々に明らかになってきている。これには、大規模な労働市場への影響、AIを利用したハッキングや生物学的攻撃、社会が汎用AIを制御できなくなるといったリスクが含まれる。専門家の間では、こうしたリスクに関する既存の証拠の解釈が異なっており、そうしたリスクは数十年先のことだと考える人もいれば、汎用AIが今後数年以内に社会規模の被害をもたらす可能性があると考える人もいる。汎用AIの能力、特に科学的推論やプログラミングのテストにおける最近の進歩は、AIを利用したハッキングや生物学的攻撃といった潜在的リスクに関する新たな証拠を生み出し、ある大手AI企業は、最良のモデルによる生物学的リスクの評価を「低」から「中」に引き上げるに至った。 
● Risk management techniques are nascent, but progress is possible. There are various technical methods to assess and reduce risks from general-purpose AI that developers can employ and regulators can require, but they all have limitations. For example, current interpretability techniques for explaining why a general-purpose AI model produced any given output remain severely limited. However, researchers are making some progress in addressing these limitations. In addition, researchers and policymakers are increasingly trying to standardise risk management approaches, and to coordinate internationally.  ● リスクマネジメント技術は発展途上だが、進歩は可能だ。汎用AIがもたらすリスクをアセスメントし、低減するための技術的手法には、開発者が採用し、規制当局が求めることができる様々なものがあるが、いずれも限界がある。例えば、汎用AIモデルがどのような出力を生成したかを説明するための現在の解釈可能性技術は、依然として大きく制限されている。しかし、研究者たちはこれらの限界に対処するために、ある程度の進歩を遂げつつある。さらに、研究者や政策立案者は、リスクマネジメントのアプローチを標準化し、国際的な協調を図ろうとしている。 
● The pace and unpredictability of advancements in general-purpose AI pose an ‘evidence dilemma’ for policymakers.[2] Given sometimes rapid and unexpected advancements, policymakers will often have to weigh potential benefits and risks of imminent AI advancements without having a large body of scientific evidence available. In doing so, they face a dilemma. On the one hand, pre-emptive risk mitigation measures based on limited evidence might turn out to be ineffective or unnecessary. On the other hand, waiting for stronger evidence of impending risk could leave society unprepared or even make mitigation impossible – for instance if sudden leaps in AI capabilities, and their associated risks, occur. Companies and governments are developing early warning systems and risk management frameworks that may reduce this dilemma. Some of these trigger specific mitigation measures when there is new evidence of risks, while others require developers to provide evidence of safety before releasing a new model.  ● 汎用AIの進歩のペースと予測不可能性は、政策立案者に「証拠のジレンマ」をもたらす。[2]時として急速で予期せぬ進歩を遂げるため、政策立案者は、科学的根拠が十分でないまま、目前に迫ったAIの進歩がもたらす潜在的な利益とリスクを秤にかけなければならないことが多い。その際、政策立案者はジレンマに直面する。一方では、限られた証拠に基づく先制的なリスク緩和策は、効果がない、あるいは不要であることが判明するかもしれない。他方で、差し迫ったリスクについてより強力な証拠を待つことは、社会に備えを怠らせたり、緩和を不可能にする可能性さえある。企業やガバナンス政府は、このジレンマを軽減する可能性のある早期警告システムやリスクマネジメントの枠組みを開発している。これらの中には、 、リスクに関する新たな証拠が発見された場合に特定の緩和措置を発動するものもあれば、新モデルをリリースする前に安全性の証拠を提供するよう開発者に求めるものもある。 
● There is broad consensus among researchers that advances regarding the following questions would be helpful: How rapidly will general-purpose AI capabilities advance in the coming years, and how can researchers reliably measure that progress? What are sensible risk thresholds to trigger mitigations? How can policymakers best gain access to information about general-purpose AI that is relevant to public safety? How can researchers, technology companies, and governments reliably assess the risks of general-purpose AI development and deployment? How do general-purpose AI models work internally? How can general-purpose AI be designed to behave reliably?  ● 研究者の間では、以下のような疑問に関する進歩が有用であるという点で幅広いコンセンサスが得られている:今後数年間で、汎用AIの能力はどの程度急速に進歩するのか、また研究者はどのようにしてその進歩を確実に測定できるのか。緩和のきっかけとなるリスクのしきい値はどの程度か?政策立案者は、公共の安全に関連する汎用AIに関する情報に、どのようにアクセスすればよいのか?研究者、テクノロジー企業、政府は、汎用AIの開発・展開のリスクをどのように確実にアセスメントできるのか?汎用AIのモデルは内部でどのように機能するのか?汎用AIが確実に動作するように設計するにはどうすればよいか? 
● AI does not happen to us: choices made by people determine its future. The future of general-purpose AI technology is uncertain, with a wide range of trajectories appearing to be possible even in the near future, including both very positive and very negative outcomes. This uncertainty can evoke fatalism and make AI appear as something that happens to us. But it will be the decisions of societies and governments on how to navigate this uncertainty that determine which path we will take. This report aims to facilitate constructive and evidence-based discussion about these decisions. ● AIは私たちに起こるものではない。人々の選択がその未来を決めるのだ。汎用AI技術の未来は不確実であり、非常にポジティブな結果も非常にネガティブな結果も含め、近い将来でさえ幅広い軌道が可能であるように見える。この不確実性は宿命論を呼び起こし、AIを私たちに起こることのように見せる可能性がある。しかし、この不確実性をどのように乗り切るかについての社会や政府の決断こそが、われわれがどのような道を歩むかを決めるのである。本報告書は、こうした意思決定について、建設的で証拠に基づいた議論を促進することを目的としている。

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー 
The purpose of this report  本報告書の目的 
This report synthesises the state of scientific understanding of general-purpose AI – AI that can perform a wide variety of tasks – with a focus on understanding and managing its risks.  本報告書は、汎用AI(さまざまなタスクを実行できるAI)の科学的理解の現状を、そのリスクの理解とマネジメントに焦点を当てながらまとめたものである。 
This report summarises the scientific evidence on the safety of general-purpose AI. The purpose of this report is to help create a shared international understanding of risks from advanced AI and how they can be mitigated. To achieve this, this report focuses on general-purpose AI – or AI that can perform a wide variety of tasks – since this type of AI has advanced particularly rapidly in recent years and has been deployed widely by technology companies for a range of consumer and business purposes. The report synthesises the state of scientific understanding of general-purpose AI, with a focus on understanding and managing its risks.  本報告書は、汎用AIの安全性に関する科学的根拠をまとめたものである。本報告書の目的は、高度なAIがもたらすリスクとその緩和方法について、国際的な共通理解を得ることにある。そのために本報告書では、汎用AI、つまり多種多様なタスクを実行できるAIに焦点を当てている。なぜなら、この種のAIは近年特に急速に進歩しており、テクノロジー企業によって消費者やビジネスのさまざまな目的で広く展開されているからである。本報告書は、汎用AIの科学的理解の現状を、そのリスクの理解とマネジメントに焦点を当てて総括している。 
Amid rapid advancements, research on general-purpose AI is currently in a time of scientific discovery, and – in many cases – is not yet settled science. The report provides a snapshot of the current scientific understanding of general-purpose AI and its risks. This includes identifying areas of scientific consensus and areas where there are different views or gaps in the current scientific understanding.  急速な進歩の中で、汎用AIの研究は現在、科学的発見の時期にあり、多くの場合、まだ科学として確立していない。本報告書は、汎用AIとそのリスクに関する現在の科学的理解のスナップショットを提供する。これには、科学的コンセンサスのある分野と、現在の科学的理解に異なる見解やギャップがある分野の特定も含まれる。 
People around the world will only be able to fully enjoy the potential benefits of general-purpose AI safely if its risks are appropriately managed. This report focuses on identifying those risks and evaluating technical methods for assessing and mitigating them, including ways that general-purpose AI itself can be used to mitigate risks. It does not aim to comprehensively assess all possible societal impacts of general-purpose AI. Most notably, the current and potential future benefits of general-purpose AI – although they are vast – are beyond this report’s scope. Holistic policymaking requires considering both the potential benefits of general-purpose AI and the risks covered in this report. It also requires taking into account that other types of AI have different risk/benefit profiles compared to current general-purpose AI.  汎用AIのリスクが適切にマネジメントされて初めて、世界中の人々が汎用AIの潜在的な恩恵を安全に十分に享受できるようになる。本報告書は、汎用AIそのものがリスクを緩和するために利用できる方法を含め、そうしたリスクを特定し、それをアセスメントし緩和するための技術的手法を評価することに焦点を当てている。汎用AIの社会的影響の可能性をすべて包括的に評価することを目的としているわけではない。最も注目すべきは、汎用AIの現在および将来の潜在的な利益は、膨大なものではあるが、本報告書の範囲を超えていることである。総合的な政策立案には、汎用AIの潜在的なメリットと、本報告書で取り上げたリスクの両方を考慮する必要がある。また、他の種類のAIは、現在の汎用AIとは異なるリスク/ベネフィット・プロファイルを持つことも考慮する必要がある。 
The three main sections of the report summarise the scientific evidence on three core questions: What can general-purpose AI do? What are risks associated with general-purpose AI? And what mitigation techniques are there against these risks?  報告書の3つの主要セクションは、3つの核となる疑問に関する科学的証拠を要約している:汎用AIは何ができるのか? 汎用AIにはどのようなリスクがあるのか?そして、これらのリスクに対してどのような緩和技術があるのか? 
Section 1 – Capabilities of general-purpose AI: What can general-purpose AI do now and in the future?  第1節 汎用AIの能力:汎用AIは現在、そして将来何ができるのか? 
General purpose AI capabilities have improved rapidly in recent years, and further advancements could be anything from slow to extremely rapid. 
一般的な-目的別AIの能力は近年急速に向上しており、今後の改善はゆっくりとしたものから極めて急速なものまである。 
What AI can do is a key contributor to many of the risks it poses, and according to many metrics, general-purpose AI capabilities have been progressing rapidly. Five years ago, the leading general-purpose AI language models could rarely produce a coherent paragraph of text. Today, some general-purpose AI models can engage in conversations on a wide range of topics, write computer programs, or generate realistic short videos from a description. However, it is technically challenging to reliably estimate and describe the capabilities of general-purpose AI.  AIに何ができるかは、AIがもたらすリスクの多くに重要な寄与をしており、多くの指標によれば、汎用AIの能力は急速に進歩している。5年前、主要な汎用AI言語モデルは、まとまった段落の文章をほとんど作成できなかった。今日、いくつかの汎用AIモデルは、幅広いトピックについて会話したり、コンピューター・プログラムを書いたり、説明からリアルな短い動画を生成したりすることができる。しかし、汎用AIの能力を確実に推定し、説明することは技術的に困難である。 
AI developers have rapidly improved the capabilities of general-purpose AI in recent years, mostly through ‘scaling’.[1] They have continually increased the resources used for training new models (this is often referred to as ‘scaling’) and refined existing approaches to use those resources more efficiently. For example, according to recent estimates, state-of-the-art AI models have seen annual increases of approximately 4x in computational resources ('compute') used for training and 2.5x in training dataset size.  AI開発者は近年、汎用AIの能力を急速に改善してきたが、そのほとんどは「スケーリング」によるものだ。[1]新しいモデルの学習に使用するリソースを継続的に増やし(これはしばしば「スケーリング」と呼ばれる)、それらのリソースをより効率的に使用するために既存のアプローチを改良してきた。例えば、最近の推定によると、最先端のAIモデルは、学習に使用される計算リソース(「コンピュート」)が年間約4倍、学習データセットサイズが2.5倍増加している。 
The pace of future progress in general-purpose AI capabilities has substantial implications for managing emerging risks, but experts disagree on what to expect even in the coming months and years. Experts variously support the possibility of general-purpose AI capabilities advancing slowly, rapidly, or extremely rapidly.  汎用AI能力の将来的な進歩のペースは、新たなリスクのマネジメントに大きな意味を持つが、今後数カ月から数年の間にも何が予想されるかについては、専門家の間でも意見が分かれている。専門家は、汎用AIの能力がゆっくりと、急速に、あるいは極めて急速に進歩する可能性を様々に支持している。 
Experts disagree about the pace of future progress because of different views on the promise of further ‘scaling’ – and companies are exploring an additional, new type of scaling that might further accelerate capabilities. While scaling has often overcome the limitations of previous systems, experts disagree about its potential to resolve the remaining limitations of today’s systems, such as unreliability at acting in the physical world and at executing extended tasks on computers. In recent months, a new type of scaling has shown potential for further improving capabilities: rather than just scaling up the resources used for training models, AI companies are also increasingly interested in ‘inference scaling’ – letting an already trained model use more computation to solve a given problem, for example to improve on its own solution, or to write so-called ‘chains of thought’ that break down the problem into simpler steps.  専門家の間では、さらなる「スケーリング」の有望性に対する見解の相違から、将来の進歩のペースについて意見が分かれており、企業は能力をさらに加速させる可能性のある、追加の新しいタイプのスケーリングを模索している(†)。スケーリングはしばしば以前のシステムの限界を克服してきたが、専門家の間では、物理的な世界で行動する際の信頼性の低さや、コンピュータ上で長時間のタスクを実行する際の信頼性の低さなど、今日のシステムに残っている限界を解決する可能性については意見が分かれている。ここ数カ月、新しいタイプのスケーリングが能力をさらに向上させる可能性を示している。AI企業は、モデルの学習に使用するリソースを単にスケールアップするだけでなく、「推論スケーリング」にもますます関心を寄せている。これは、すでに学習されたモデルに、与えられた問題を解くためにより多くの計算を使用させるもので、例えば、自身の解法を改善したり、問題をより単純なステップに分解するいわゆる「思考の連鎖」を記述したりすることができる。 
Several leading companies that develop general-purpose AI are betting on ‘scaling’ to continue leading to performance improvements. If recent trends continue, by the end of 2026 some general-purpose AI models will be trained using roughly 100x more training compute than 2023's most compute-intensive models, growing to 10,000x more training compute by 2030, combined with algorithms that achieve greater capabilities for a given amount of available computation. In addition to this potential scaling of training resources, recent trends such as inference scaling and using models to generate training data could mean that even more compute will be used overall. However, there are potential bottlenecks to further increasing both data and compute rapidly, such as the availability of data, AI chips, capital, and local energy capacity. Companies developing general-purpose AI are working to navigate these potential bottlenecks.  汎用AIを開発するいくつかの大手企業は、「スケーリング」が性能改善につながり続けることに賭けている。最近のトレンドが続けば、2026年末までに、汎用AIモデルのいくつかは、2023年の最も計算負荷の高いモデルよりもおよそ100倍多い学習用計算量を使用して学習され、2030年までに10,000倍多い学習用計算量を使用するようになり、利用可能な計算量が与えられた場合に、より高い能力を達成するアルゴリズムと組み合わされる。このようなトレーニングリソースのスケーリングの可能性に加え、推論のスケーリングやトレーニングデータを生成するためにモデルを使用するなどの最近のトレンドは、全体としてさらに多くの計算機が使用されることを意味する可能性がある。しかし、データ、AIチップ、資本、地域のエネルギー容量の利用可能性など、データと計算の両方をさらに急速に増加させるには、潜在的なボトルネックがある。汎用AIを開発している企業は、これらの潜在的なボトルネックを回避するために取り組んでいる。 
Since the publication of the Interim Report (May 2024), general-purpose AI has reached expert-level performance in some tests and competitions for scientific reasoning and programming, and companies have been making large efforts to develop autonomous AI agents. Advances in science and programming have been driven by inference scaling techniques such as writing long ‘chains of thought’. New studies suggest that further scaling such approaches, for instance allowing models to analyse problems by writing even longer chains of thought than today’s models, could lead to further advances in domains where reasoning matters more, such as science, software engineering, and planning. In addition to this trend, companies are making large efforts to develop more advanced general-purpose AI agents, which can plan and act autonomously to work towards a given goal. Finally, the market price of using general-purpose AI of a given capability level has dropped sharply, making this technology more broadly accessible and widely used.  中間報告発表(2024年5月)以降、汎用AIは科学的推論やプログラミングに関するいくつかのテストやコンテストでエキスパートレベルの性能に達し、企業は自律型AIエージェントの開発に大きく力を入れている。科学とプログラミングの進歩は、長い「思考の連鎖」を書くなどの推論スケーリング技術によって推進されてきた。新たな研究は、このようなアプローチのスケーリングをさらに進め、例えば、 、現在のモデルよりもさらに長い思考の連鎖を書くことによって問題を分析できるようにすれば、科学、ソフトウェア工学、プランニングなど、推論がより重要な領域でさらなる進歩が期待できることを示唆している。このトレンドに加え、企業は、より高度な汎用AIエージェントの開発に大きな努力を払っている。このエージェントは、与えられた目標に向かって自律的に計画を立て、行動することができる。最終的に、ある能力レベルの汎用AIを使用する市場価格は急激に低下し、この技術がより広く利用できるようになり、広く利用されるようになった。 
This report focuses primarily on technical aspects of AI progress, but how fast general-purpose AI will advance is not a purely technical question. The pace of future advancements will also depend on non-technical factors, potentially including the approaches that governments take to regulating AI. This report does not discuss how different approaches to regulation might affect the speed of development and adoption of general-purpose AI.  本報告書は主にAIの進歩の技術的側面に焦点を当てているが、汎用AIの進歩の速度は純粋に技術的な問題ではない。将来の進歩のペースは、非技術的な要因にも左右され、政府がAIを規制する際のアプローチも含まれる可能性がある。本報告書では、規制に対するアプローチの違いが、汎用AIの開発・普及のスピードにどのような影響を与えるかについては論じていない。 
Section 2 – Risks: What are risks associated with general-purpose AI?  第2節 リスク:汎用AIに伴うリスクとは何か? 
Several harms from general-purpose AI are already well-established. As general-purpose AI becomes more capable, evidence of additional risks is gradually emerging.  汎用AIによるいくつかの弊害はすでに確立されている。汎用AIの能力が高まるにつれて、新たなリスクの証拠が徐々に明らかになってきている。 
This report classifies general-purpose AI risks into three categories: malicious use risks; risks from malfunctions; and systemic risks. Each of these categories contains risks that have already materialised as well as risks that might materialise in the next few years.  本報告書では、汎用AIのリスクを「悪意のある利用リスク」「誤作動によるリスク」「システムリスク」の3カテゴリーに分類している。これらのカテゴリーにはそれぞれ、すでに顕在化しているリスクと、今後数年間に顕在化する可能性のあるリスクが含まれている。 
Risks from malicious use: malicious actors can use general-purpose AI to cause harm to individuals, organisations, or society. Forms of malicious use include:  意のある利用によるリスク:悪意のある行為者は、汎用AIを利用して個人、組織、社会に危害を加える可能性がある。悪意のある利用の形態には以下のようなものがある: 
Harm to individuals through fake content: Malicious actors can currently use general-purpose AI to generate fake content that harms individuals in a targeted way. These malicious uses include non-consensual 'deepfake' pornography and AI-generated CSAM, financial fraud through voice impersonation, blackmail for extortion, sabotage of personal and professional reputations, and psychological abuse. However, while incident reports of harm from AI-generated fake content are common, reliable statistics on the frequency of these incidents are still lacking.  偽コンテンツによる個人への被害:悪意ある行為者は現在、生成的AIを利用して、個人を標的に害する偽コンテンツを生成することができる。このような悪意のある利用には、非合意の「ディープフェイク」ポルノやAIが生成したCSAM、音声なりすましによる金銭詐欺、恐喝のための恐喝、個人的・職業的評判の妨害、心理的虐待などが含まれる。しかし、AIが生成的な偽コンテンツによる被害のインシデント報告はよくあるものの、こうしたインシデントの頻度に関する信頼できる統計はまだ不足している。 
● Manipulation of public opinion: General-purpose AI makes it easier to generate persuasive content at scale. This can help actors who seek to manipulate public opinion, for instance to affect political outcomes. However, evidence on how prevalent and how effective such efforts are remains limited. Technical countermeasures like content watermarking, although useful, can usually be circumvented by moderately sophisticated actors.  ● 世論を操作する:生成的AIによって、説得力のあるコンテンツを大規模に生成することが容易になる。これは、例えば政治的な結果に影響を与えるために世論を操作しようとする行為者を助けることができる。しかし、そのような取り組みがどれほど普及し、どれほど効果的であるかについての証拠はまだ限られている。コンテンツの電子透かしのような技術的な対策は、有用ではあるが、中程度に洗練された行為者であれば通常回避することができる。 
● Cyber offence: General-purpose AI can make it easier or faster for malicious actors of varying skill levels to conduct cyberattacks. Current systems have demonstrated capabilities in low- and medium-complexity cybersecurity tasks, and state-sponsored actors are actively exploring AI to survey target systems. New research has confirmed that the capabilities of general-purpose AI related to cyber offence are significantly advancing, but it remains unclear whether this will affect the balance between attackers and defenders.  ● サイバー攻撃汎用AIは、さまざまなスキルレベルの悪意ある行為者がサイバー攻撃を行うことを容易に、あるいは迅速にすることができる。現在のシステムは、低・中複雑度のサイバーセキュリティ・タスクで能力を発揮しており、国家的支援を受けた行為者は、標的システムを調査するためのAIを積極的に模索している。新たな研究では、サイバー攻撃に関する汎用AIの能力が著しく進歩していることが確認されているが、これが攻撃側と防御側のバランスに影響を与えるかどうかはまだ不明である。 
● Biological and chemical attacks: Recent general-purpose AI systems have displayed some ability to provide instructions and troubleshooting guidance for reproducing known biological and chemical weapons and to facilitate the design of novel toxic compounds. In new experiments that tested for the ability to generate plans for producing biological weapons, a general-purpose AI system sometimes performed better than human experts with access to the internet. In response, one AI company increased its assessment of biological risk from its best model from ‘low’ to ‘medium’. However, real-world attempts to develop such weapons still require substantial additional resources and expertise. A comprehensive assessment of biological and chemical risk is difficult because much of the relevant research is classified.  ● 生物・化学兵器による攻撃最近の汎用AIシステムは、既知の生物・化学兵器を再現するための指示やトラブルシューティングのガイダンスを提供したり、新規毒性化合物の設計を容易にしたりする能力をある程度示している。生物兵器を製造するための計画を生成する能力をテストした新しい実験では、生成的AIシステムが、インターネットにアクセスできる人間の専門家よりも優れた結果を出すこともあった。これを受けて、あるAI企業は、最良のモデルによる生物学的リスクのアセスメントを「低」から「中」に引き上げた。しかし、このような兵器を現実の世界で開発しようとする試みには、まだかなりの追加資源と専門知識が必要である。生物学的・化学的リスクの包括的アセスメントは、関連研究の多くが機密扱いであるため困難である。 
Since the publication of the Interim Report, general-purpose AI has become more capable in domains that are relevant for malicious use. For example, researchers have recently built general-purpose AI systems that were able to find and exploit some cybersecurity vulnerabilities on their own and, with human assistance, discover a previously unknown vulnerability in widely used software. General-purpose AI capabilities related to reasoning and to integrating different types of data, which can aid research on pathogens or in other dual-use fields, have also improved.  中間報告書の発表以来、汎用AIは悪意のある利用に関連する領域でより高い能力を発揮するようになっている。例えば、研究者たちは最近、サイバーセキュリティの脆弱性を自ら発見して悪用することができる汎用AIシステムを構築し、また、人間の支援を得て、広く使われているソフトウェアのこれまで知られていなかった脆弱性を発見した。推論や、病原体やその他の二次利用分野の研究を助けることができる、さまざまな種類のデータの統合に関連する汎用AIの能力も改善されている。 
Risks from malfunctions: general-purpose AI can also cause unintended harm. Even when users have no intention to cause harm, serious risks can arise due to the malfunctioning of general-purpose AI. Such malfunctions include:  誤作動によるリスク:汎用AIは意図しない危害をもたらすこともある。ユーザーに危害を加える意図がない場合でも、汎用AIの誤作動によって深刻なリスクが生じる可能性がある。そのような誤作動には以下のようなものがある: 
● Reliability issues: Current general-purpose AI can be unreliable, which can lead to harm. For example, if users consult a general-purpose AI system for medical or legal advice, the system might generate an answer that contains falsehoods. Users are often not aware of the limitations of an AI product, for example due to limited ‘AI literacy’, misleading advertising, or miscommunication. There are a number of known cases of harm from reliability issues, but still limited evidence on exactly how widespread different forms of this problem are.  ● 信頼性の問題:現在の汎用AIは信頼性が低く、それが弊害につながる可能性がある。例えば、ユーザーが医療や法律に関する助言を求めて汎用AIシステムに相談した場合、システムが虚偽を含む回答を生成する可能性がある。例えば、「AIリテラシー」の低さ、誤解を招くような広告、誤ったコミュニケーションなどが原因で、ユーザーはAI製品の限界を認識していないことが多い。信頼性の問題による危害の事例は数多く知られているが、この問題のさまざまな形態がどの程度広まっているかについては、正確な証拠はまだ限られている。 
● Bias: General-purpose AI systems can amplify social and political biases, causing concrete harm. They frequently display biases with respect to race, gender, culture, age, disability, political opinion, or other aspects of human identity. This can lead to discriminatory outcomes including unequal resource allocation, reinforcement of stereotypes, and systematic neglect of underrepresented groups or viewpoints. Technical approaches for mitigating bias and discrimination in general-purpose AI systems are advancing, but face trade-offs between bias mitigation and competing objectives such as accuracy and privacy, as well as other challenges.  ● バイアス:汎用AIシステムは、社会的・政治的バイアスを増幅し、具体的な害をもたらす可能性がある。AIシステムは、人種、性別、文化、年齢、障害、政治的意見、あるいは人間のアイデンティティの他の側面に関してバイアスを示すことが多い。これは、不平等な資源配分、固定観念の強化、代表的でないグループや視点の組織的無視など、差別的な結果につながる可能性がある。汎用AIシステムにおけるバイアスと差別を緩和する技術的アプローチは進歩しているが、バイアスの緩和と、精度やプライバシーなど競合する目的との間のトレードオフや、その他の課題に直面している。 
● Loss of control: ‘Loss of control’ scenarios are hypothetical future scenarios in which one or more general-purpose AI systems come to operate outside of anyone's control, with no clear path to regaining control. There is broad consensus that current general-purpose AI lacks the capabilities to pose this risk. However, expert opinion on the likelihood of loss of control within the next several years varies greatly: some consider it implausible, some consider it likely to occur, and some see it as a modest-likelihood risk that warrants attention due to its high potential severity. Ongoing empirical and mathematical research is gradually advancing these debates.  ● 制御の喪失:「制御の喪失」シナリオとは、1つまたは複数の全般統制AIシステムが、誰の制御も及ばず、制御を取り戻す明確な道筋もないまま動作するようになる仮想的な未来シナリオである。現在の汎用AIには、このようなリスクを引き起こす能力がないことは広くコンセンサスが得られている。しかし、今後数年以内に制御不能になる可能性に関する専門家の意見は大きく異なる。ある者はあり得ないと考え、ある者は発生する可能性が高いと考え、またある者は潜在的な重大性が高いため注意を要する中程度の可能性のリスクと見ている。現在進行中の実証的・数学的研究が、こうした議論を徐々に進展させている。 
Since the publication of the Interim Report, new research has led to some new insights about risks of bias and loss of control. The evidence of bias in general-purpose AI systems has increased, and recent work has detected additional forms of AI bias. Researchers have observed modest further advancements towards AI capabilities that are likely necessary for commonly discussed loss of control scenarios to occur. These include capabilities for autonomously using computers, programming, gaining unauthorised access to digital systems, and identifying ways to evade human oversight.  中間報告書の発表以来、新たな研究により、バイアスと制御不能のリスクに関する新たな洞察がいくつか得られている。汎用AIシステムにおけるバイアスの証拠が増加し、最近の研究では、新たな形態のAIバイアスが検知された。研究者たちは、一般的に議論されている制御不能のシナリオが発生するために必要と思われるAIの能力について、さらに緩やかな進歩を観察している。これには、コンピュータを自律的に使用する能力、プログラミング能力、デジタルシステムへの不正アクセス能力、人間の監視を逃れる方法の特定能力などが含まれる。 
Systemic risks: beyond the risks directly posed by capabilities of individual models, widespread deployment of general-purpose AI is associated with several broader systemic risks. Examples of systemic risks range from potential labour market impacts to privacy risks and environmental effects:  システミックリスク:個々のモデルの能力が直接もたらすリスクを超えて、汎用AIの広範な展開は、いくつかのより広範なシステミックリスクと関連している。システミックリスクの例は、潜在的な労働市場への影響からプライバシーリスクや環境への影響まで多岐にわたる: 
● Labour market risks: General-purpose AI, especially if it continues to advance rapidly, has the potential to automate a very wide range of tasks, which could have a significant effect on the labour market. This means that many people could lose their current jobs. However, many economists expect that potential job losses could be offset, partly or potentially even completely, by the creation of new jobs and by increased demand in non-automated sectors.  ● 労働市場のリスク:汎用AIは、特にそれが急速に進歩し続ければ、非常に幅広い作業を自動化する可能性を秘めており、労働市場に大きな影響を与える可能性がある。つまり、多くの人々が現在の職を失う可能性がある。しかし、多くのエコノミストは、潜在的な雇用損失は、新たな雇用の創出や非自動化分野での需要増加によって、部分的に、あるいは潜在的に完全に相殺される可能性があると予想している。 
● Global AI R&D divide: General-purpose AI research and development (R&D) is currently concentrated in a few Western countries and China. This ‘AI divide’ has the potential to increase much of the world’s dependence on this small set of countries. Some experts also expect it to contribute to global inequality. The divide has many causes, including a number of causes that are not unique to AI. However, in significant part it stems from differing levels of access to the very expensive compute needed to develop general-purpose AI: most low- and middle-income countries (LMICs) have significantly less access to compute than high-income countries (HICs).  グローバルなAI研究開発格差:汎用AIの研究開発(R&D)は現在、少数の欧米諸国と中国に集中している。この「AI格差」は、世界の多くの国々がこの少数の国々への依存度を高める可能性がある。一部の専門家は、これが世界的な不平等に寄与する可能性もあると予測している。この格差には多くの原因があり、AIに特有ではない原因もいくつかある。しかし、その大きな要因は、汎用AIの開発に必要な非常に高価なコンピューティングへのアクセスレベルの違いから生じている。ほとんどの低・中所得国(LMIC)は、高所得国(HIC)よりもコンピューティングへのアクセスが大幅に少ない。
● Market concentration and single points of failure: A small number of companies currently dominate the market for general-purpose AI. This market concentration could make societies more vulnerable to several systemic risks. For instance, if organisations across critical sectors, such as finance or healthcare, all rely on a small number of general-purpose AI systems, then a bug or vulnerability in such a system could cause simultaneous failures and disruptions on a broad scale.  ● 市場の集中と単一障害点:現在、少数の企業が汎用AIの市場を独占している。このような市場の集中は、社会をいくつかのシステミックリスクに対してより脆弱にする可能性がある。例えば、金融や医療など重要なセクターの組織がすべて少数の汎用AIシステムに依存している場合、そのようなシステムにバグや脆弱性があれば、大規模な障害や混乱を同時に引き起こす可能性がある。 
● Environmental risks: Growing compute use in general-purpose AI development and deployment has rapidly increased the amounts of energy, water, and raw material consumed in building and operating the necessary compute infrastructure. This trend shows no clear indication of slowing, despite progress in techniques that allow compute to be used more efficiently. General-purpose AI also has a number of applications that can either benefit or harm sustainability efforts.  ● 環境リスク:汎用AIの開発・展開におけるコンピュート利用の拡大により、必要なコンピュート・インフラを構築・運用するために消費されるエネルギー、水、原材料の量が急速に増加している。この傾向は、コンピュートのより効率的な利用を可能にする技術の進歩にもかかわらず、減速する明確な兆候は見られない。汎用AIにも、持続可能性への取り組みに有益にも有害にもなりうるアプリケーションが数多くある。 
● Privacy risks: General-purpose AI can cause or contribute to violations of user privacy. For example, sensitive information that was in the training data can leak unintentionally when a user interacts with the system. In addition, when users share sensitive information with the system, this information can also leak. But general-purpose AI can also facilitate deliberate violations of privacy, for example if malicious actors use AI to infer sensitive information about specific individuals from large amounts of data. However, so far, researchers have not found evidence of widespread privacy violations associated with general-purpose AI.  ● プライバシーリスク:汎用AIは、ユーザーのプライバシー侵害を引き起こしたり、助長したりする可能性がある。例えば、学習データに含まれていた機密情報が、ユーザーがシステムと対話する際に意図せず漏れる可能性がある。さらに、ユーザーが機密情報をシステムと共有した場合、その情報も漏れる可能性がある。しかし、汎用AIは意図的なプライバシー侵害を助長する可能性もある。例えば、悪意のある行為者がAIを使って大量のデータから特定の個人に関する機密情報を推測する場合などだ。しかし、これまでのところ、研究者は汎用AIに関連する広範なプライバシー侵害の証拠を発見していない。 
● Copyright infringements: General-purpose AI both learns from and creates works of creative expression, challenging traditional systems of data consent, compensation, and control. Data collection and content generation can implicate a variety of data rights laws, which vary across jurisdictions and may be under active litigation. Given the legal uncertainty around data collection practices, AI companies are sharing less information about the data they use. This opacity makes third-party AI safety research harder.  ● 著作権侵害:汎用AIは創造的表現の作品から学習し、また創造的表現の作品を創作し、データ同意、補償、管理に関する従来の制度に挑戦する。データ収集とコンテンツ生成は、様々なデータ権利法に関わる可能性があり、それらは司法管轄区域によって異なり、訴訟も活発に行われている可能性がある。データ収集慣行をめぐる法的不確実性を考慮すると、AI企業は自社が使用するデータに関する情報をあまり共有しないようになっている。この不透明さが、サードパーティによるAIの安全性研究を難しくしている。 
Since the publication of the Interim Report, additional evidence on the labour market impacts of general-purpose AI has emerged, while new developments have heightened privacy and copyrights concerns. New analyses of labour market data suggest that individuals are adopting general-purpose AI very rapidly relative to previous technologies. The pace of adoption by businesses varies widely by sector. In addition, recent advances in capabilities have led to general-purpose AI being deployed increasingly in sensitive contexts such as healthcare or workplace monitoring, which creates new privacy risks. Finally, as copyright disputes intensify and technical mitigations to copyright infringements remain unreliable, data rights holders have been rapidly restricting access to their data.  中間報告書の発表以降、汎用AIの労働市場への影響に関する新たな証拠が登場する一方で、新たな進展によりプライバシーや著作権に関する懸念が高まっている。労働市場データの新たな分析によれば、個人が汎用AIを採用するスピードは、従来のテクノロジーと比較して非常に速いことが示唆されている。企業による採用のペースは分野によって大きく異なる。加えて、最近の機能の進歩により、ヘルスケアや職場のモニタリングなど、センシティブな場面での汎用AIの展開が増えており、新たなプライバシーリスクが発生している。最後に、著作権紛争が激化し、著作権侵害に対する技術的緩和が依然として信頼できないため、データ権利者はデータへのアクセスを急速に制限している。 
Open-weight models: an important factor in evaluating many risks that a general-purpose AI model might pose is how it is released to the public. So-called ‘open-weight models’ are AI models whose central components, called ‘weights’, are shared publicly for download. Open-weight access facilitates research and innovation, including in AI safety, as well as increasing transparency and making it easier for the research community to detect flaws in models. However, open-weight models can also pose risks, for example by facilitating malicious or misguided use that is difficult or impossible for the developer of the model to monitor or mitigate. Once model weights are available for public download, there is no way to implement a wholesale rollback of all existing copies or ensure that all existing copies receive safety updates. Since the Interim Report, high-level consensus has emerged that risks posed by greater AI openness should be evaluated in terms of ‘marginal’ risk: the extent to which releasing an open-weight model would increase or decrease a given risk, relative to risks posed by existing alternatives such as closed models or other technologies.  オープンウエイトモデル:汎用AIモデルがもたらすであろう多くのリスクを評価する上で重要な要素は、それがどのように一般に公開されているかである。いわゆる「オープンウエイトモデル」とは、「ウエイト」と呼ばれる中心的なコンポーネントがダウンロードできるように公開されているAIモデルのことである。オープンウェイトへのアクセスは、AIの安全性を含む研究とイノベーションを促進し、透明性を高め、研究コミュニティがモデルの欠陥を検出しやすくする。しかし、オープン・ウェイト・モデルは、例えば、モデルの開発者が監視したり緩和したりすることが困難または不可能な悪意ある利用や誤った利用を助長するなどのリスクをもたらす可能性もある。一旦モデルの重みが一般にダウンロードできるようになると、既存の全てのコピーを全面的にロールバックしたり、既存の全てのコピーが安全性の更新を受けることを保証したりする方法はない。中間報告書以降、AIのオープン性を高めることによってもたらされるリスクは、「限界」リスク、すなわち、クローズドモデルや他の技術といった既存の代替案がもたらすリスクと比較して、オープンウエイトモデルを公開することによって所定のリスクがどの程度増減するかという観点から評価されるべきであるというハイレベルなコンセンサスが生まれている。 
Section 3 – Risk management: What techniques are there for managing risks from general-purpose AI?  第3節 リスクマネジメント:汎用AIのリスクマネジメントにはどのような手法があるのか? 
Several technical approaches can help manage risks, but in many cases the best available approaches still have highly significant limitations and no quantitative risk estimation or guarantees that are available in other safety-critical domains.  いくつかの技術的アプローチはリスクマネジメントに役立つが、多くの場合、利用可能な最善のアプローチにはまだ非常に大きな限界があり、他のセーフティ・クリティカルな領域で利用可能な定量的なリスク評価や保証はない。 
Risk management – identifying and assessing risks, and then mitigating and monitoring them – is difficult in the context of general-purpose AI. Although risk management has also been highly challenging in many other domains, there are some features of general-purpose AI that appear to create distinctive difficulties.  リスクの特定とアセスメント、そして緩和とモニタリングといったリスクマネジメントは、汎用AIの文脈では難しい。リスクマネジメントは他の多くの領域でも非常に難しいが、汎用AIには独特の難しさを生み出す特徴がある。 
Several technical features of general-purpose AI make risk management in this domain particularly difficult. They include, among others:  汎用AIのいくつかの技術的特徴が、この分野のリスクマネジメントを特に難しくしている。それらには特に以下のようなものがある: 
● The range of possible uses and use contexts for general-purpose AI systems is unusually broad. For example, the same system may be used to provide medical advice, analyse computer code for vulnerabilities, and generate photos. This increases the difficulty of comprehensively anticipating relevant use cases, identifying risks, or testing how systems will behave in relevant real-world circumstances.  ● 汎用AIシステムの可能な用途と使用コンテクストの範囲は、異常に広い。例えば、同じシステムを医療アドバイスに使ったり、コンピュータコードの脆弱性を分析したり、写真を生成したりすることもできる。このため、関連するユースケースを包括的に予測したり、リスクを特定したり、関連する実世界の状況でシステムがどのように振る舞うかをテストしたりすることが難しくなっている。 
● Developers still understand little about how their general-purpose AI models operate. This lack of understanding makes it more difficult both to predict behavioural issues and to explain and resolve known issues once they are observed. Understanding remains elusive mainly because general-purpose AI models are not programmed in the traditional sense.  ● 開発者たちは、汎用のAIモデルがどのように動作するかについて、まだほとんど理解していない。この理解不足は、行動上の問題を予測することも、既知の問題が観察された後にそれを説明し解決することも難しくしている。主に、汎用AIモデルは伝統的な意味でプログラムされていないため、理解はつかみにくいままだ。 
Instead, they are trained: AI developers set up a training process that involves a large volume of data, and the outcome of that training process is the general-purpose AI model. The inner workings of these models are largely inscrutable, including to the model developers. Model explanation and ‘interpretability’ techniques can improve researchers’ and developers’ understanding of how general-purpose AI models operate, but, despite recent progress, this research remains nascent.  その代わり、AIは訓練される:AI開発者は、大量のデータを含むトレーニングプロセスを設定し、そのトレーニングプロセスの結果が汎用AIモデルである。これらのモデルの内部構造は、モデル開発者を含め、ほとんど不可解である。モデルの説明と「解釈可能性」技術は、汎用AIモデルがどのように動作するかについての研究者や開発者の理解を改善することができるが、最近の進歩にもかかわらず、この研究はまだ始まったばかりである。 
● Increasingly capable AI agents – general-purpose AI systems that can autonomously act, plan, and delegate to achieve goals – will likely present new, significant challenges for risk management. AI agents typically work towards goals autonomously by using general software such as web browsers and programming tools. Currently, most are not yet reliable enough for widespread use, but companies are making large efforts to build more capable and reliable AI agents and have made progress in recent months. AI agents will likely become increasingly useful, but may also exacerbate a number of the risks discussed in this report and introduce additional difficulties for risk management. Examples of such potential new challenges include the possibility that users might not always know what their own AI agents are doing, the potential for AI agents to operate outside of anyone’s control, the potential for attackers to ‘hijack’ agents, and the potential for AI-to-AI interactions to create complex new risks. Approaches for managing risks associated with agents are only beginning to be developed.  ● AIエージェント(目標達成のために自律的に行動し、計画し、委任することができる汎用AIシステム)の能力が向上すれば、リスクマネジメントに新たな重大な課題をもたらす可能性が高い。AIエージェントは通常、ウェブ・ブラウザやプログラミング・ツールなどの一般的なソフトウェアを使用することで、自律的に目標に向かって行動する。現在のところ、そのほとんどはまだ広く使用できるほど信頼できるものではないが、企業はより有能で信頼性の高いAIエージェントを構築するために大きな努力を払っており、ここ数カ月で進歩を遂げている。AIエージェントは今後ますます便利になっていくだろうが、本報告書で取り上げた多くのリスクを悪化させ、リスクマネジメントに新たな困難をもたらす可能性もある。そのような潜在的な新たな課題の例としては、ユーザーが自身のAIエージェントが何をしているのか常に把握しているとは限らない可能性、AIエージェントが誰のコントロールも及ばないところで動作する可能性、攻撃者がエージェントを「ハイジャック」する可能性、AI同士の相互作用が複雑な新たなリスクを生み出す可能性などが挙げられる。エージェントに関連するリスクをマネジメントするアプローチは、まだ開発され始めたばかりである。 
Besides technical factors, several economic, political, and other societal factors make risk management in the field of general-purpose AI particularly difficult.  技術的要因に加え、経済的、政治的、その他の社会的要因も、汎用AIの分野におけるリスクマネジメントをとりわけ難しくしている。 
● The pace of advancement in general-purpose AI creates an 'evidence dilemma' for decision-makers.[2] Rapid capability advancement makes it possible for some risks to emerge in leaps; for example, the risk of academic cheating using general-purpose AI shifted from negligible to widespread within a year. The more quickly a risk emerges, the more difficult it is to manage the risk reactively and the more valuable preparation becomes. However, so long as evidence for a risk remains incomplete, decision-makers also cannot know for sure whether the risk will emerge or perhaps even has already emerged. This creates a trade-off:  ● 汎用AIの進歩の速さは、意思決定者に「証拠のジレンマ」をもたらす。[2]例えば、汎用AIを使った学歴詐称のリスクは、1年以内に無視できるものから広まるものへと変化した。リスクが急速に顕在化すればするほど、そのリスクを反応的にマネジメントすることは難しくなり、準備の価値は高まる。しかし、リスクの証拠が不完全なままである限り、意思決定者はリスクが顕在化するかどうか、あるいはおそらくすでに顕在化しているかどうかさえも確実に知ることはできない。これはトレードオフの関係にある: 
implementing pre-emptive or early mitigation measures might prove unnecessary, but waiting for conclusive evidence could leave society vulnerable to risks that emerge rapidly. Companies and governments are developing early warning systems and risk management frameworks that may reduce this dilemma. Some of these trigger specific mitigation measures when there is new evidence of risks, while others require developers to provide evidence of safety before releasing a new model.  しかし、決定的な証拠を待つことは、急速に顕在化するリスクに対する脆弱性を社会に残すことになりかねない。企業や政府( )は、このジレンマを軽減する可能性のある早期警告システムやリスクマネジメント枠組みを開発している。これらの中には、リスクに関する新たな証拠が発見された場合に特定の緩和措置を発動するものもあれば、新モデルをリリースする前に安全性の証拠を提供するよう開発者に求めるものもある。 
● There is an information gap between what AI companies know about their AI systems and what governments and non-industry researchers know. Companies often share only limited information about their general-purpose AI systems, especially in the period before they are widely released. Companies cite a mixture of commercial concerns and safety concerns as reasons to limit information sharing. However, this information gap also makes it more challenging for other actors to participate effectively in risk management, especially for emerging risks.  ● AI企業が自社のAIシステムについて知っていることと、政府や非産業研究者が知っていることの間には、情報格差がある。企業は汎用AIシステムについて、特に広くリリースされる前の時期には、限られた情報しか共有しないことが多い。企業は、情報共有を制限する理由として、商業的な懸念と安全上の懸念が混在していることを挙げている。しかし、このような情報格差は、他のアクターがリスクマネジメントに効果的に参加すること、特に新たなリスクについて参加することを難しくしている。 
● Both AI companies and governments often face strong competitive pressure, which may lead them to deprioritise risk management. In some circumstances, competitive pressure may incentivise companies to invest less time or other resources into risk management than they otherwise would. Similarly, governments may invest less in policies to support risk management in cases where they perceive trade-offs between international competition and risk reduction.  ● AI企業も政府も、しばしば強い競争圧力に直面し、リスクマネジメントを軽視するようになるかもしれない。状況によっては、競争圧力は、企業がリスクマネジメントに投資する時間やその他のリソースを、そうでない場合よりも少なくする動機付けになるかもしれない。同様に、政府は、国際競争とリスク削減との間にトレードオフがあると認識する場合には、リスクマネジメントを支援する政策への投資を少なくする可能性がある。 
Nonetheless, there are various techniques and frameworks for managing risks from general-purpose AI that companies can employ and regulators can require. These include methods for identifying and assessing risks, as well as methods for mitigating and monitoring them.  とはいえ、汎用AIによるリスクマネジメントには、企業が採用し、規制当局が求めることのできる様々な手法や枠組みがある。これには、リスクを特定・アセスメントする手法や、リスクを緩和・監視する手法が含まれる。 
● Assessing general-purpose AI systems for risks is an integral part of risk management, but existing risk assessments are severely limited. Existing evaluations of general-purpose AI risk mainly rely on ‘spot checks’, i.e. testing the behaviour of a general-purpose AI in a set of specific situations. This can help surface potential hazards before deploying a model. However, existing tests often miss hazards and overestimate or underestimate general-purpose AI capabilities and risks, because test conditions differ from the real world.  ● 汎用AIシステムのリスクアセスメントはリスクマネジメントの不可欠な要素であるが、既存のリスクアセスメントは極めて限定的である。既存の汎用AIのリスク評価は、主に「抜き打ち検査」、つまり特定の状況における汎用AIの挙動テストに頼っている。これは、モデルを展開する前に潜在的な危険を表面化させるのに役立つ。しかし、既存のテストでは、テスト条件が現実世界と異なるため、ハザードを見逃したり、汎用AIの能力やリスクを過大評価したり過小評価したりすることが多い。 
● For risk identification and assessment to be effective, evaluators need substantial expertise, resources, and sufficient access to relevant information. Rigorous risk assessment in the context of general-purpose AI requires combining multiple evaluation approaches. These range from technical analyses of the models and systems themselves to evaluations of possible risks from certain use patterns. Evaluators need substantial expertise to conduct such evaluations correctly. For comprehensive risk assessments, they often also need more time, more direct access to the models and their training data, and more information about the technical methodologies used than the companies developing general-purpose AI typically provide.  ● リスクの特定とアセスメントを効果的に行うためには、評価者は相当な専門知識、リソース、関連情報への十分なアクセスを必要とする。汎用AIの文脈における厳密なリスクアセスメントには、複数の評価アプローチを組み合わせる必要がある。これらは、モデルやシステム自体の技術的分析から、特定の使用パターンから起こりうるリスクの評価まで多岐にわたる。評価者は、このような評価を正しく行うために相当な専門知識を必要とする。包括的なリスクアセスメントを行うためには、汎用AIの開発企業が通常提供するよりも多くの時間、モデルやその学習データへの直接アクセス、使用されている技術的方法論に関する多くの情報も必要となることが多い。 
● There has been progress in training general-purpose AI models to function more safely, but no current method can reliably prevent even overtly unsafe outputs. For example, a technique called ‘adversarial training’ involves deliberately exposing AI models to examples designed to make them fail or misbehave during training, aiming to build resistance to such cases. However, adversaries can still find new ways ('attacks') to circumvent these safeguards with low to moderate effort. In addition, recent evidence suggests that current training methods – which rely heavily on imperfect human feedback – may inadvertently incentivise models to mislead humans on difficult questions by making errors harder to spot. Improving the quantity and quality of this feedback is an avenue for progress, though nascent training techniques using AI to detect misleading behaviour also show promise.  ● 汎用のAIモデルをより安全に機能させるためのトレーニングは進歩しているが、現在の手法では、あからさまに安全でない出力さえも確実に防ぐことはできない。例えば、「敵対的トレーニング」と呼ばれる手法では、トレーニング中にAIモデルをわざと失敗させたり誤動作させたりするようなサンプルにさらすことで、そのようなケースに対する耐性を構築することを目的としている。しかし、敵対者は、これらのセーフガードを回避する新しい方法(「攻撃」)を、低~中程度の労力で見つけることができる。加えて、不完全な人間のフィードバックに大きく依存している現在のトレーニング方法は、エラーを発見しにくくすることで、難しい問題で人間を惑わすようなインセンティブをモデルに不用意に与えている可能性があることを、最近の証拠が示唆している。このようなフィードバックの量と質を改善することは、進歩の道であるが、誤解を招く行動を検知するためにAIを使用する新しいトレーニング技術も有望である。 
● Monitoring – identifying risks and evaluating performance once a model is already in use – and various interventions to prevent harmful actions can improve the safety of a general-purpose AI after it is deployed to users. Current tools can detect AI-generated content, track system performance, and identify potentially harmful inputs/outputs, though moderately skilled users can often circumvent these safeguards. Several layers of defence that combine technical monitoring and intervention capabilities with human oversight improve safety but can introduce costs and delays. In the future, hardware-enabled mechanisms could help customers and regulators to monitor general-purpose AI systems more effectively during deployment and potentially help verify agreements across borders, but reliable mechanisms of this kind do not yet exist.  ● モニタリング(モデルがすでに使用された後のリスクの特定と性能評価)、および有害な行動を防止するための様々な介入は、汎用AIがユーザーに展開された後の安全性を向上させることができる。生成的なツールは、AIが生成したコンテンツを検知し、システムのパフォーマンスを追跡し、潜在的に有害な入出力を特定することができるが、熟練したユーザーであれば、これらのセーフガードを回避できることも多い。技術的な監視・介入機能と人間による監視を組み合わせた何層もの防御は、安全性を向上させるが、コストと遅延をもたらす可能性がある。将来的には、ハードウェアに対応したメカニズムが、顧客や規制当局が展開中の汎用AIシステムをより効果的に監視するのに役立ち、国境を越えた合意を検証するのに役立つ可能性があるが、この種の信頼できるメカニズムはまだ存在しない。 
● Multiple methods exist across the AI lifecycle to safeguard privacy. These include removing sensitive information from training data, model training approaches that control how much information is learned from data (such as ‘differential privacy’ approaches), and techniques for using AI with sensitive data that make it hard to recover the data (such as ‘confidential computing’ and other privacy-enhancing technologies). Many privacy-enhancing methods from other research fields are not yet applicable to general-purpose AI systems due to the computational requirements of AI systems. In recent months, privacy protection methods have expanded to address AI's growing use in sensitive domains including smartphone assistants, AI agents, always-listening voice assistants, and use in healthcare or legal practice.  ● AIのライフサイクルには、プライバシーを保護するための複数の方法が存在する。これには、学習データから機密情報を除去する方法、データから学習する情報量を制御するモデル・トレーニングの方法(「差分プライバシー」アプローチなど)、データの復元を困難にする機密データをAIで使用する技術(「機密コンピューティング」やその他のプライバシー強化技術など)などがある。他の研究分野のプライバシー向上手法の多くは、AIシステムの計算要件のため、汎用AIシステムにはまだ適用できない。ここ数カ月で、プライバシー保護手法は、スマートフォンアシスタント、AIエージェント、常時聞き手の音声アシスタント、医療や法律実務での使用など、AIがセンシティブな領域で使用されるようになっていることに対応するために拡大している。 
Since the publication of the Interim Report, researchers have made some further progress towards being able to explain why a general-purpose AI model has produced a given output. Being able to explain AI decisions could help manage risks from malfunctions ranging from bias and factual inaccuracy to loss of control. In addition, there have been growing efforts to standardise assessment and mitigation approaches around the world.  中間報告書の発表以来、研究者たちは、汎用AIモデルがなぜある出力を出したのかを説明できるようになるために、さらなる進歩を遂げてきた。AIの判断を説明できるようになれば、バイアスや事実誤認から制御不能に至るまで、誤作動によるリスクマネジメントに役立つ可能性がある。さらに、世界中でアセスメントと緩和のアプローチを標準化する取り組みが活発化している。 
Conclusion: A wide range of trajectories for the future of general-purpose AI are possible, and much will depend on how societies and governments act  結論:汎用AIの未来にはさまざまな軌跡が考えられるが、その多くは社会や政府がどのように行動するかにかかっている。 
The future of general-purpose AI is uncertain, with a wide range of trajectories appearing possible even in the near future, including both very positive and very negative outcomes. But nothing about the future of general-purpose AI is inevitable. How general-purpose AI gets developed and by whom, which problems it gets designed to solve, whether societies will be able to reap general-purpose AI’s full economic potential, who benefits from it, the types of risks we expose ourselves to, and how much we invest into research to manage risks – these and many other questions depend on the choices that societies and governments make today and in the future to shape the development of general-purpose AI.  汎用AIの未来は不確実であり、非常にポジティブな結果も非常にネガティブな結果も含め、近い将来にも幅広い軌跡があり得ると思われる。しかし、汎用AIの未来に必然性はない。汎用AIが誰によってどのように開発されるのか、どのような問題を解決するために設計されるのか、社会は汎用AIの経済的可能性をフルに享受できるのか、誰がその恩恵を受けるのか、私たちはどのようなリスクにさらされるのか、リスクを管理するための研究にどの程度投資するのか--こうした疑問や他の多くの疑問は、汎用AIの開発を形成するために社会や政府が今日および将来行う選択にかかっている。 
To help facilitate constructive discussion about these decisions, this report provides an overview of the current state of scientific research and discussion on managing the risks of general-purpose AI.  こうした決定に関する建設的な議論を促進するため、本報告書では、汎用AIのリスクマネジメントに関する科学的研究と議論の現状を概観する。 
The stakes are high. We look forward to continuing this effort.  賭け金は高い。私たちはこの努力を続けることを楽しみにしている。 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

AI Action Summit

・2024.11.29 米国 AI安全研究所 安全保障等に関わる政府タスクフォースの設立、AI安全機構国際ネットワークの設立総会で初代議長に、NIST AI 100-4の発表 (2024.11.20)

2024.05.23 外務省 岸田総理大臣のAIソウル・サミット首脳セッションへの参加(ビデオメッセージ)+ AIソウル・サミット首脳セッション出席国による安全、革新的で包摂的なAIのためのソウル宣言 

 

 

 

| | Comments (0)

2025.02.02

欧州連合 競争力コンパス (2025.01.29)

こんにちは、丸山満彦です。

欧州連合が、競争力コンパスを公表していますね...

興味深いです...

 

European Commission

・2025.01.30 European Commission presents its compass to boost Europe's competitiveness in the next five years

 

大統領の記者会見での発言...

・2025.01.29 Statement by President von der Leyen on the EU Competitiveness Compass

 

記者会見

・2025.01.29 An EU Compass to regain competitiveness and secure sustainable prosperity

 

Fact Sheet

・[PDF] Factsheet - Competitiveness Compass

20250202-33756

 

・[PDF] Communication on the Competitiveness Compass

20250202-43531

 

 ・Strengthening European competitiveness

 

柱が3つあります...

1. Closing the innovation gap  1. イノベーション・ギャップを埋める 
2. A joint roadmap for decarbonisation and competitiveness  2. 脱炭素化と競争力のための共同ロードマップ 
3. Reducing excessive dependencies and increasing security  3. 過度の依存を減らし、安全保障を強化する 

 

欧州の課題は、

  • イノベーションが生まれていないこと...
  • ロシア、中国に過度に依存していたこと...

という感じでしょうか?

イノベーションが生まれるようチャレンジする。その際に、環境課題をうまく差別化に使いたい、ということなのかもしれません。

そうなると、米国のトランプ大統領の政策との関係が微妙になるかもです。

その一方、中国との距離感というのも、依存関係が高まらないように薄めていくということになるのですかね...

経済規模(名目GDP)的には、米国、欧州、中国の順ですが概ね三つ巴の感じです...

英国、日本というのが、どうでるのか、ブラジル、インドも長期的には重要なプレーヤーになってきますよね...

 

さて、イノベーションんが生まれていない原因は、過剰な規制?という話もあるかもですが、おそらくその裏に本質的な課題があるような気もします。日本も同じですが、何か共通の課題があるのかもしれません。

 

1. Closing the innovation gap  1. イノベーション・ギャップを埋める 
The first pillar is about driving productivity through innovation. The Commission will work to create a new dynamism for Europe’s industrial structure. 第一の柱は、イノベーションを通じて生産性を向上させることである。欧州委員会は、欧州の産業構造に新たな活力を生み出すために取り組む。
How:  どのようにするのか: 
• Facilitate the establishment of start-ups and conditions for scaling up  - 新興企業の設立を促進し、規模拡大のための条件を整える。
• Create a deeper and efficient venture capital market  - より深く効率的なベンチャーキャピタル市場を創設する 
• Ease mobility and retention of talent  - 人材の移動と定着を容易にする 
• Invest in state-of-the-art infrastructures  - 最先端のインフラへの投資 
• Boost innovation and research - イノベーションと研究を促進する
Flagship Actions Pillar 1 フラッグシップ・アクション 柱1
• Start-up and Scale-up Strategy - スタートアップとスケールアップ戦略
• 28th regime - 第28回 レジューム 
• European Innovation Act - 欧州イノベーション法
• European Research Area Act - 欧州研究領域法
• AI Factories Initiative, Apply AI, AI in Science, and Data Union Strategies - AIファクトリー構想、応用AI、科学におけるAI、データ連合戦略
• EU Cloud and AI Development Act - EUクラウド・AI開発法
• EU Quantum Strategy and a Quantum Act - EU量子戦略と量子法
• European Biotech Act and Bioeconomy Strategy - 欧州バイオテクノロジー法とバイオエコノミー戦略
• Life Sciences Strategy - ライフサイエンス戦略
• Advanced Materials Act - 先端材料法
• Space Act - 宇宙法
• Review of the Horizontal Merger Control Guidelines - 水平統合規制ガイドラインの見直し
• Digital Networks Act - デジタルネットワーク法
2. A joint roadmap for decarbonisation and competitiveness  2. 脱炭素化と競争力のための共同ロードマップ 
This pillar is about integrating decarbonisation policies with industrial, competition, economic and trade policies. They are a powerful driver of growth when they are well integrated. この柱は、脱炭素化政策を産業、競争、経済、貿易政策と統合することである。これらの政策がうまく統合されれば、成長の強力な原動力となる。
How:  どのように 
• Integrate decarbonisation policies with industrial, economic, and trade policies  - 脱炭素化政策を産業、経済、貿易政策と統合する。
• Facilitate access to affordable energy  - 安価なエネルギーへのアクセスを促進する 
• Strengthen the business case for a clean transition  - クリーン転換のためのビジネスケースを強化する 
• Promote competitiveness of clean tech manufacturers - クリーンテック製造事業者の競争力を促進する。
Flagship Actions Pillar 2 フラッグシップ・アクション 柱2
• Clean Industrial Deal and an Action Plan on Affordable Energy - クリーン産業ディールと手頃なエネルギーに関する行動計画
• Industrial Decarbonisation Accelerator Act - 産業脱炭素化促進法
• Electrification Action Plan and European Grids Package - 電化行動計画と欧州送電網パッケージ
• New State Aid Framework - 新たな国家補助の枠組み
• Steel and metals action plan - 鉄鋼・金属アクションプラン
• Chemicals industry package - 化学産業パッケージ
• Strategic dialogue on the future of the European automotive industry and Industrial Action Plan - 欧州自動車産業の将来に関する戦略的対話と産業行動計画
• Sustainable Transport Investment Plan - 持続可能な輸送投資計画
• European Port Strategy and Industrial Maritime Strategy - 欧州港湾戦略と産業海洋戦略
• High Speed Rail Plan - 高速鉄道計画
• Carbon Border Adjustment Mechanism Review - 炭素国境調整メカニズムの見直し
• Circular Economy Act - 循環経済法
• Vision for Agriculture and Food - 農業・食糧ビジョン
• Oceans Pact - 海洋協定
• Amendment of the Climate Law - 気候法改正
3. Reducing excessive dependencies and increasing security  3. 過度の依存を減らし、安全保障を強化する 
This pillar is about integrating more tightly security and open strategic autonomy considerations in the EU economic policies. The security environment is a precondition for EU firms’ economic success and competitiveness. この柱は、EUの経済政策において、安全保障と開放的な戦略的自律性への配慮をより緊密に統合することを目指すものである。安全保障環境は、EU企業の経済的成功と競争力の前提である。
How:  どのようにするのか: 
• Develop policies, partnerships, and investments to ensure economic security, resilience, and strategic interests  - 経済的安全保障、レジリエンス、戦略的利益を確保するための政策、パートナーシップ、投資を展開する。
• Strengthen defence industrial capabilities and support by pan-European cooperation  - 汎欧州的な協力により、防衛産業の能力と支援を強化する。
• Improve preparedness - 準備態勢の改善
Flagship Actions Pillar 3 フラッグシップ・アクション 柱3
• Conclude and implement ambitious trade agreements, Clean Trade and Investment Partnerships - 野心的な貿易協定、クリーンな貿易・投資パートナーシップの締結と実施
• Trans-Mediterranean Energy and Clean Tech Cooperation initiative - 地中海横断エネルギー・クリーン技術協力イニシアティブ
• Joint purchasing platform for Critical Raw Minerals - 重要原材料の共同購入プラットフォーム
• Revision of directives on Public Procurement - 公共調達に関する指令の改正
• White Paper on the Future of European Defence - 欧州防衛の将来に関する白書
• Preparedness Union Strategy - ユニオン戦略
• Internal Security Strategy - 国内安全保障戦略
• Critical Medicines Act - 重要医薬品法
• European Climate Adaptation Plan - 欧州気候適応計画
• Water Resilience Strategy - 水レジリエンス戦略

 

参考 EU

Eu1_20250202052201

Eu2_20250202052301

Eu3

 

 

 

| | Comments (0)

2025.02.01

経済産業省 産業データの越境データ管理等に関するマニュアル (2025.01.27)

こんにちは、丸山満彦です。

経済産業省が、「産業データの越境データ管理等に関するマニュアル」を公表していますね...


本マニュアルは、企業が国際的なデータ共有・利活用を行う上で直面する主要なリスクを把握し、適切な打ち手を検討するための指針となります。


とのことです...

 

前提として、次のようなことがあるのでしょうかね...

・データが国際的に自由に流通し、政府によるガバメントアクセスがなければ、産業は発展し、人類は幸福になれる...

ただし、人権の問題に関係する可能性があるので、

・個人データの国際的な移転には一定の制約があっても仕方がない...

というかんじでしょうかね...

それに加えて近年では、安全保障上の観点から、

・安全保障に関わるデータの移転には一定の制約があっても仕方がない...

ということもあるのでしょうかね...

 

そういうふうに考えると、

・社会として、経済成長、人権、安全保障のバランスをどのようにとるのか?ということによって、どのような制度が適切かというのが変わってくるのでしょうね...

日本はどのような社会を目指すのか?その価値観をどのように世界に広げていくのか?

そういう問題のような気もしますね...

 

報告書の「背景と目的」には次のように記載されています...

 


IoT や DX の普及、サプライチェーン透明化の要請等を背景に、企業における国際的なデータ共有・利活用の動きが拡大している。また、EU の GAIA-X 等をはじめ、産業横断でのデータプラットフォーム・基盤構築の動きも加速しており、我が国でも企業や業界、国境を越えたデータ連携を実現する取組である 「ウラノス・エコシステム」が推進されている。

⚫ 国際的なデータ共有・利活用の拡大と同時に、各国・地域においてデータに関する法制の整備も進められている。それらの中には、個人情報を含むか否かを問わず、企業が保有する産業データ全般を対象として、データの越境移転の制限(データローカライゼーション)や、政府による広範なアクセス(ガバメントアクセス)を可能とする規則も存在し、こうした動きが加速していく可能性がある。

⚫ こうした規制は、国際的な企業活動における制約要因になることに加えて、中長期的に我が国の産業全体での競争力の強化及び企業横断でのデジタル基盤の確立・普及に影響を及ぼすことも懸念される。

⚫ こうした背景から、各国・地域における産業データのルール形成の動きを踏まえ、これまで議論が積み重ねられてきた個人情報保護法制以外のデータ関連法に焦点を当て、現状の把握と対応の在り方を議論する必要性が高まっている。

⚫ これを受け、企業における安全・安心な形でのデータ共有・利活用を実現し、付加価値の創出を促進することを目指し、企業における産業データの越境・国際流通に係るデータ管理(以下「越境データ管理」という。)の指針となるマニュアル(以下「本マニュアル」という。)を作成する。

⚫ 本マニュアルを通じ、企業が国際的なデータ共有・利活用に取り組む際の主要なリスクを把握するだけでなく、データ共有・利活用を通じた事業価値の創造や競争力強化に向けた適切な国際データガバナンスの考え方・プロセスの理解を深めることを目指す。加えて、個別企業におけるデータ共有・利活用の促進を通じて、中長期的な産業競争力の強化や、企業横断的なデジタル基盤の確立にも寄与することを狙う。


 

ということを考えると、それぞれの国においてデータ流通がどの程度自由に行われるような環境(法制度を含む)になっているのか?というのは、その国がどのような社会を目指そうとしているのか(経済成長、人権の尊重、安全保障のどれに重きを置こうとしているのか?)と程度問題なのだろうと思います。

 

経済産業省

・2025.01.27 企業の国際的なデータ共有・利活用を推進するための「産業データの越境データ管理等に関するマニュアル」を策定しました

 

・[PDF] 産業データの越境データ管理等に関するマニュアル

20250201-63249

 

・[PDF] 参考資料A 打ち手のリスト

20250201-64028

 

・[PDF] 参考資料B 産業データサブワーキンググループ提出資料集(企業事例と関連テーマの動向)

20250201-64111

 

目次...

1 はじめに
1.1
背景と目的
1.2
想定読者と留意点

2 検討の範囲と位置付け
2.1
検討の範囲
 2.1.1
検討の前提
 2.1.2 検討の対象(プロセス、データ、リスク)

2.2
検討の位置付けと関連ガイドライン

3 越境データ管理の 3 つのステップ
3.1
全体像と検討のフレームワーク
3.2
1 のステップ(リスクの可視化)
 3.2.1
トランザクションの整理
 3.2.2 リスクシナリオの整理

3.3
2 のステップ(リスクの評価)
3.4
3 のステップ(打ち手の実施)
3.5
リスクと打ち手の整理

4 主要な関連法規制(EU・中国・米国)

5 想定リスクと打ち手
5.1
データ移転・事業活動の制限(データローカライゼーション)
5.2
データの強制的なアクセス(ガバメントアクセス)
5.3
データの共有・開示の義務化

6 終わりに

産業データサブワーキンググループ 委員等名簿

参考資料
参考資料 A 打ち手のリスト
参考資料 B 産業データサブワーキンググループ提出資料集(企業事例と関連テーマの動向)


 

関連リンク...

● 経済産業省

● デジタル庁

 

| | Comments (0)

世界経済フォーラム (WEF) AIに関連する文書 (White Papeer) (2025.01.21)

こんにちは、丸山満彦です、

世界経済フォーラム (WEF) がAIに関連する文書 (White Papeer) をいくつか公表していますね...

 

Cross industry 業界横断的
Impact on industrial ecosystems 産業エコシステムへの影響
AI in Action: Beyond Experimentation to Transform Industry ・AIの活用:実験を超えて産業を変革する
20250201-40946
Leveraging Generative AI for Job Augmentation and Workforce Productivity ・生成的AIを活用した業務拡張と労働生産性
20250201-40952
Artificial Intelligence’s Energy Paradox: Balancing Challenges and Opportunities ・人工知能のエネルギーパラドックス:課題と機会のバランス
20250201-41000
Artificial Intelligence and Cybersecurity: Balancing Risks and Rewards ・人工知能とサイバーセキュリティ:リスクと報酬のバランス
20250201-41007
Regional specific  地域特有
Impact on regions  地域への影響 
Blueprint to Action: China’s Path to AI-Powered Industry Transformation ・行動への青写真:AIによる産業変革への中国の道
20250201-41014
Industry or function specific 業界または機能特有
Impact on industries, sectors and functions 産業、セクター、機能への影響
Advanced manufacturing and supply chains 先進的な製造事業者およびサプライチェーン
Frontier Technologies in Industrial Operations: The Rise of Artificial Intelligence Agents ・産業運営におけるフロンティア技術:人工知能エージェントの台頭
20250201-41023
Financial services 金融サービス
Artificial Intelligence in Financial Services ・金融サービスにおける人工知能
20250201-41038
Media, entertainment and sport メディア、エンターテインメント、スポーツ
Artificial Intelligence in Media, Entertainment and Sport ・メディア、エンターテインメント、スポーツにおける人工知能
20250201-41045
Healthcare ヘルスケア
The Future of AI-Enabled Health: Leading the Way ・AIを活用したヘルスケアの未来:新たな道を切り開く
20250201-41058
Transport 輸送
Intelligent Transport, Greener Future: AI as a Catalyst to Decarbonize Global Logistics ・インテリジェント輸送、より環境にやさしい未来:グローバルな物流の脱炭素化を促進する触媒としてのAI
20250201-41105
Telecommunications 電気通信
(upcoming) (作成中)
・Consumer goods 消費財
(upcoming) (作成中)

 

 

 


AIとリスクの部分...

・2025.01.21 Download the Artificial Intelligence and Cybersecurity: Balancing Risks and Rewards report

Download the Artificial Intelligence and Cybersecurity: Balancing Risks and Rewards report 「人工知能とサイバーセキュリティ:リスクと利益のバランス」レポートをダウンロード
Amid a business landscape that is increasingly focused on responsible innovation, this report offers a clear executive perspective on managing artificial intelligence (AI)-related cyber risks. It empowers leaders to invest and innovate in AI with confidence and exploit emerging opportunities for growth. A central question is explored throughout the report: How can organizations reap the benefits of AI adoption while mitigating the associated cybersecurity risks? 責任あるイノベーションにますます重点が置かれるビジネス環境において、本レポートは、人工知能(AI)関連のサイバーリスクの管理に関する明確な経営陣の視点を提供している。これにより、リーダーは自信を持ってAIへの投資とイノベーションを行い、成長の新たな機会を活かすことができる。本レポートでは、中心的な問いが探求されている。すなわち、企業は、関連するサイバーセキュリティリスクを緩和しながら、AI導入のメリットをどのように享受できるのか?
This publication was developed in collaboration with the University of Oxford’s Global Cyber Security Capacity Centre to steer global leaders’ strategies and decision-making on cyber risks and opportunities regarding AI adoption. It is part of the AI Governance Alliance’s AI Transformation of Industries initiative that seeks to catalyse responsible industry transformation by exploring the strategic implications, opportunities and challenges of promoting AI-driven innovation across business and operating models. この報告書は、オックスフォード大学グローバル・サイバーセキュリティ・キャパシティ・センターとの共同作業により作成されたもので、AI導入に関するサイバーリスクと機会に対する世界のリーダーたちの戦略と意思決定を導くことを目的としている。これは、AI主導のイノベーションをビジネスとオペレーティングモデル全体に推進することの戦略的影響、機会、課題を調査することで、責任ある産業変革を促進することを目指すAIガバナンス・アライアンスの「AIによる産業変革」イニシアティブの一環である。



 

・2025.01.25 Securing innovation: A leader’s guide to managing cyber risks from AI adoption

Securing innovation: A leader’s guide to managing cyber risks from AI adoption イノベーションの確保:AI導入によるサイバーリスク管理に関するリーダーのためのガイド
・Leaders must embed cybersecurity at every stage of artificial intelligence (AI) adoption to safeguard sensitive data, ensure resilience and enable responsible innovation. ・リーダーは、人工知能(AI)導入のあらゆる段階でサイバーセキュリティを組み込むことで、機密データを保護し、レジリエンスを確保し、責任あるイノベーションを実現しなければならない。
・A risk-reward approach aligns AI adoption with organizational goals by identifying vulnerabilities, mitigating risks and reinforcing stakeholder trust. ・リスクとリターンのアプローチでは、脆弱性を識別し、リスクを緩和し、利害関係者の信頼を強化することで、AI導入を組織目標と整合させる。
・Multistakeholder collaboration among AI experts, regulators, and policymakers is essential to addressing AI-driven vulnerabilities and building confidence in AI technologies. ・AI専門家、規制当局、政策立案者によるマルチステークホルダーの協力は、AIがもたらす脆弱性への対応とAI技術への信頼構築に不可欠である。
In the digital-first world, using artificial intelligence (AI) systems has become a cornerstone of organizational innovation and operational efficiency. However, as leaders drive transformation, cybersecurity must remain paramount. デジタルを第一に考える世界では、人工知能(AI)システムの利用は組織の革新と業務効率の要となっている。しかし、リーダーが変革を推進する中で、サイバーセキュリティは最優先事項であり続けなければならない。
AI systems are not immune to vulnerabilities, including adversarial attacks, data poisoning, and the hacking of sensitive algorithms. Leaders must recognize that integrating AI magnifies their organization’s attack surface, making robust cybersecurity measures non-negotiable. AIシステムは、敵対的攻撃、データ・ポイズニング、機密アルゴリズムのハッキングなどの脆弱性に対して無防備である。リーダーは、AIを統合することで組織の攻撃対象領域が拡大し、強固なサイバーセキュリティ対策が不可欠になることを認識しなければならない。
In 2024, the World Economic Forum’s Centre for Cybersecurity joined with the University of Oxford’s Global Cyber Security Capacity Centre University of Oxford, on the AI & Cyber: Balancing Risks and Rewards initiative to steer global leaders’ strategies and decision-making on cyber risks and opportunities regarding AI adoption. 2024年、世界経済フォーラムのサイバーセキュリティセンターは、オックスフォード大学のグローバルサイバーセキュリティ能力センターと共同で、AIの導入に関するサイバーリスクと機会について、世界のリーダーたちの戦略と意思決定を導くための「AIとサイバー:リスクと報酬のバランス」イニシアティブを開始した。
The research culminated in the white paper Industries in the Intelligent Age - Artificial Intelligence & Cybersecurity: Balancing Risks and Rewards, published in January 2025. This paper is a guide for managing the cyber risks of AI adoption. It empowers leaders to invest in and innovate in AI with security and resilience in mind to exploit emerging growth opportunities. この研究は、2025年1月に発表されたホワイトペーパー『インテリジェント時代の産業 - 人工知能とサイバーセキュリティ:リスクとリワードのバランス』として結実した。このペーパーは、AI導入に伴うサイバーリスクの管理ガイドである。リーダーがセキュリティとレジリエンシーを念頭にAIへの投資とイノベーションを行い、新たな成長機会を活かすことを可能にする。
To unlock AI’s full potential, developing a comprehensive understanding of the related cyber risks and required mitigation measures is essential. AIの潜在能力を最大限に引き出すには、関連するサイバーリスクと必要な緩和策について包括的な理解を深めることが不可欠である。
Have you read? こちらも
4 ways data and AI tip the cybersecurity scales towards the defenders ・データとAIがサイバーセキュリティの天秤を防御側に傾ける4つの方法
Davos 2025: What to expect and who's coming? ・2025年ダボス会議:期待される内容と参加者は?
The critical need for cybersecurity サイバーセキュリティの喫緊の必要性
The Global Cybersecurity Outlook 2025 reveals that 66% of organizations expect AI to significantly impact cybersecurity in the coming year. Yet, only 37% have processes to evaluate the security of AI systems before deployment. グローバル・サイバーセキュリティ・アウトルック2025によると、66%の企業が、AIが来年のサイバーセキュリティに大きな影響を与えると予測している。しかし、AIシステムの展開前にそのセキュリティを評価するプロセスを持っている企業は37%にとどまっている。
This gap highlights a risk that organizations adopt AI systems without fully assessing and addressing the related cybersecurity risks, potentially exposing vulnerabilities in their environments. このギャップは、組織が関連するサイバーセキュリティリスクを十分にアセスメントおよび対処することなくAIシステムを採用し、環境に潜在する脆弱性を露呈するリスクを浮き彫りにしている。
Leaving AI systems susceptible to data breaches, algorithm manipulation or other hostile activity could lead to significant operational and reputational damage. By assessing and mitigating cyber risks, leaders can align AI adoption with organizational goals and resilience needs. AIシステムをデータ漏洩、アルゴリズム操作、その他の敵対的行為に対して脆弱なままにしておくと、業務や評判に重大な損害をもたらす可能性がある。サイバーリスクをアセスメントし緩和することで、リーダーはAIの導入を組織の目標やレジリエンシーのニーズに一致させることができる。
Moreover, the data that fuels AI models is often proprietary or sensitive, and compromise could mean financial loss or penalties and negatively reflect on the organization. From ensuring secure data pipelines to implementing stringent access controls, cybersecurity should be embedded at every stage of the AI lifecycle. さらに、AIモデルの燃料となるデータは、多くの場合、機密情報やセンシティブな情報であるため、侵害された場合、金銭的な損失や罰則につながり、組織に悪影響を及ぼす可能性がある。安全なデータパイプラインの確保から厳格なアクセス管理の実施まで、サイバーセキュリティはAIのライフサイクルのあらゆる段階に組み込まれるべきである。
A clear guide to addressing these risks is essential for informed decision-making and ensuring strategic choices are secure and regulatory compliant. This also reinforces trust among stakeholders, allowing sustainable and responsible AI-driven growth これらのリスクに対処するための明確な指針は、情報に基づいた意思決定を行う上で不可欠であり、戦略的な選択肢が安全で規制に準拠していることを保証する。また、これはステークホルダー間の信頼を強化し、持続可能で責任あるAI主導の成長を可能にする
Leaders must champion a culture where cybersecurity is not considered a barrier to innovation but a foundational pillar for sustainable growth. Senior risk owners also have a critical role in implementing oversight and control of AI-related cyber risks and proactively managing them. リーダーは、サイバーセキュリティをイノベーションの妨げではなく、持続可能な成長の基盤となる柱として捉える文化を推進しなければならない。また、上級リスク管理責任者は、AI関連のサイバーリスクの監視と管理を実施し、それらを積極的に管理する上で重要な役割を担っている。
Strategically aligning AI initiatives with a robust cybersecurity framework also reassures stakeholders, from customers to investors, of the organization’s commitment to safeguarding digital assets. AIイニシアティブを堅牢なサイバーセキュリティの枠組みと戦略的に整合させることで、顧客から投資家まで、組織がデジタル資産の保護に尽力していることを利害関係者に安心感を与えることができる。
By prioritizing these considerations, top executives protect their enterprises and position them as trusted, resilient and forward-thinking players. 経営幹部は、これらの考慮事項を優先することで、自社を防御し、信頼性が高く、レジリエンシーを備え、先見性のある企業として位置づけることができる。
A risk-based approach リスクベースのアプローチ
Taking a risk-based approach is critical for secure AI adoption. Organizations must assess potential vulnerabilities and risks that AI might introduce in light of the opportunities it brings, evaluate the possible negative impacts on the business and identify the necessary controls to mitigate these risks. AIの安全な導入には、リスクベースのアプローチが不可欠である。企業は、AIがもたらす機会を踏まえて、AIがもたらす可能性のある潜在的な脆弱性やリスクをアセスメントし、ビジネスに及ぼす可能性のある悪影響を評価し、それらのリスクを緩和するために必要なコントロールを識別しなければならない。
This approach ensures that AI initiatives align with the organization's overall business goals and remain within the scope of its risk tolerance. このアプローチにより、AIの取り組みが組織の全体的な事業目標に沿うようにし、リスク許容範囲内に収めることができる。
Embedding cybersecurity throughout AI deployment AI展開全体にサイバーセキュリティを組み込む
All organizations should address AI-related cyber risks regardless of where they are in the AI adoption journey. Businesses already using AI should map their implementations and apply bolt-on security solutions. すべての組織は、AI導入の段階に関わらず、AIに関連するサイバーリスクに対処すべきである。すでにAIを使用している企業は、実装内容をマッピングし、ボルトオン型のセキュリティソリューションを適用すべきである。
Other scenarios may require a risk-reward analysis to determine whether AI implementation aligns with operational and business goals. This approach fosters security by design, ensuring AI adoption aligns with innovation and resilience. その他のシナリオでは、AIの実装が業務目標や事業目標と一致しているかどうかを判断するために、リスクとリターンの分析が必要になる場合がある。このアプローチは、セキュリティ・バイ・デザインを促進し、AIの導入がイノベーションとレジリエンスと一致していることを保証する。
Have you read? こちらも
The new AI imperative is about balancing innovation and security ・新しいAIの必須事項は、イノベーションとセキュリティのバランスを取ること
AI and cybersecurity: How to navigate the risks and opportunities ・AIとサイバーセキュリティ:リスクと機会をナビゲートする方法
Taking an enterprise view エンタープライズ視点
AI systems do not exist in isolation. Organizations must consider how business processes and data flows around AI systems can reduce the impact of a cybersecurity failure. AIシステムは孤立して存在しているわけではない。企業は、AIシステム周辺のビジネスプロセスやデータフローが、サイバーセキュリティの障害による影響をどのように軽減できるかを考慮する必要がある。
This involves integrating controls into wider governance structures and enterprise risk management processes. これには、より広範なガバナンス構造やエンタープライズリスクマネジメントプロセスへの統制の統合が含まれる。
Collaborative responsible innovation 協調的な責任あるイノベーション
To harness AI’s benefits, organizations must adopt a multistakeholder approach toward prioritizing risk-reward analysis and cybersecurity. This ensures resilience, safeguards investments and supports responsible innovation. AIのメリットを活用するには、企業はリスクとリターンの分析とサイバーセキュリティの優先順位付けにマルチステークホルダーのアプローチを採用する必要がある。これにより、レジリエンシーが確保され、投資が保護され、責任あるイノベーションがサポートされる。
Collaboration between AI and cybersecurity experts, regulators, and policymakers is crucial to aligning tools, sharing best practices, and establishing accountability. This joint approach can address AI-driven vulnerabilities while fostering trust and confident innovation. AIとサイバーセキュリティの専門家、規制当局、政策立案者との連携は、ツールの調整、ベストプラクティスの共有、説明責任の確立に不可欠である。この共同アプローチは、AIがもたらす脆弱性に対処すると同時に、信頼と確信に基づくイノベーションを促進することができる。
Have you read? こちらも
Why we need cybersecurity of AI: ethics and responsible innovation AIのサイバーセキュリティが必要な理由:倫理と責任あるイノベーション
This work was developed in collaboration with the AI Governance Alliance – launched in June 2023 – to provide guidance on the responsible design, development and deployment of artificial intelligence systems. Read more on its work here. この取り組みは、2023年6月に発足したAIガバナンス・アライアンスとの共同作業として行われたもので、人工知能システムの責任ある設計、開発、展開に関する指針を提供することを目的としている。同アライアンスの取り組みについてはこちらで詳しく読むことができる。
Additional contributors to this article include Louise Axon, Research Fellow, Global Cyber Security Capacity Centre, University of Oxford; Joanna Bouckaert, Community Lead, Centre for Cybersecurity, World Economic Forum; and Jamie Saunders, Oxford Martin Fellow, University of Oxford. この記事の執筆に協力したその他の人物には、オックスフォード大学グローバル・サイバーセキュリティ・キャパシティ・センター研究員ルイーズ・アクソン、世界経済フォーラム・サイバーセキュリティセンター・コミュニティ・リードのジョアンナ・ブーカート、オックスフォード大学オックスフォード・マーティン・フェローのジェイミー・サンダースが含まれる。

 

・[PDF] Artificial Intelligence and Cybersecurity: Balancing Risks and Rewards

20250201-41007

Foreword まえがき
Executive summary エグゼクティブサマリー
Introduction: The scope 序文:スコープ
1 The context of AI adoption – from experimentation to full business integration 1 AI導入の背景 - 実験段階から本格的なビジネスへの統合へ
2 Emerging cybersecurity practice for AI 2 AIのための新たなサイバーセキュリティ対策
2.1 Shift left 2.1 シフトレフト
2.2 Shift left and expand right  2.2 シフトレフトおよびシフトライト
2.3 Shift left, expand right and repeat  2.3 シフトレフト、シフトライト、そして繰り返し
2.4 Taking an enterprise view  2.4 エンタープライズ視点
3 Actions for senior leadership 3 シニアリーダーシップのための行動
4   Steps towards effective management of AI cyber risk 4 AIサイバーリスクの効果的な管理に向けたステップ
4.1  Understanding how the organization’s context influences the AI cyber risk 4.1 組織の状況がAIサイバーリスクに与える影響の理解
4.2  Understanding the rewards 4.2 報酬の理解
4.3  Identifying the potential risks and vulnerabilities 4.3 潜在的なリスクと脆弱性の識別
4.4  Assessing potential negative impacts to the business 4.4 ビジネスへの潜在的な悪影響のアセスメント
4.5  Identifying options for risk mitigation 4.5 リスク緩和の選択肢の識別
4.6  Balancing residual risk against the potential rewards 4.6 潜在的な報酬に対する残存リスクのバランス
4.7  Repeat throughout the AI life cycle 4.7 AIのライフサイクル全体を通じて繰り返し実施
Conclusion 結論
Contributors 貢献者
Endnotes 脚注

 

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー
A secure approach to AI adoption can allow organizations to innovate confidently. AI導入に対する安全なアプローチにより、組織は自信を持ってイノベーションを実現できる。
AI technologies offer significant opportunities, and their application is becoming increasingly prevalent across the economy. As AI system compromise can have serious business impacts, organizations should adjust their approach to AI if they are to securely benefit from its adoption. Several foundational features capture best practices for securing and ensuring the resilience of AI systems: AI技術は大きな可能性を提供しており、その応用は経済全体でますます広がっている。AIシステムの侵害はビジネスに深刻な影響を及ぼす可能性があるため、組織はAI導入から安全に利益を得るためには、AIに対するアプローチを調整する必要がある。AIシステムのセキュリティ確保とレジリエンシー(回復力)の確保に役立つベストプラクティスをいくつかの基本機能が捉えている。
1.   Organizations need to apply a risk-based approach to AI adoption. 1. 組織はAI導入にリスクベースのアプローチを適用する必要がある。
2.   A wide range of stakeholders need to be involved in managing the risks end-to-end within the organization. A cross-disciplinary AI risk function is required, involving teams such as legal, cyber, compliance, technology, risk, human resources (HR), ethics and relevant front-line business units according to specific needs and contexts.  2. 組織内のエンドツーエンドのリスクマネジメントには、幅広い利害関係者の関与が必要である。 特定のニーズや状況に応じて、法務、サイバーセキュリティ、コンプライアンス、テクノロジー、リスク、人事(HR)、倫理、関連する第一線業務部門などのチームを巻き込んだ、学際的なAIリスク機能が必要である。
3.   An inventory of AI applications can help organizations to assess how and where AI is being used within the organization, including whether it is part of the mission-critical supply chain, helping reduce “shadow AI” and risks related to the supply chain. 3. AIアプリケーションのインベントリを作成することで、組織内でAIがどのように、どこで使用されているかを評価し、AIがミッションクリティカルなサプライチェーンの一部であるかどうかを判断し、「シャドーAI」やサプライチェーンに関連するリスクを低減することができる。
4.   Organizations need to ensure adequate discipline in the transition from experimentation to operational use, especially in missioncritical applications. 4. 組織は、特にミッションクリティカルなアプリケーションにおいて、実験段階から実運用への移行に際して適切な規律を確保する必要がある。
5.   Organizations should ensure that there is adequate investment in the essential cybersecurity controls needed to protect AI systems and ensure that they are prepared to respond to and recover from disruptions. 5. 企業は、AIシステムを防御するために必要なサイバーセキュリティ対策に十分な投資を行い、混乱への対応と復旧の準備を整える必要がある。
6.   It is necessary to combine both pre-deployment security (i.e. the “security by design” principle – also called “shift left”) and post-deployment measures to monitor and ensure resilience and recovery of the systems in use (referred to in this report as “expand right”). As the technology evolves, this approach needs to be repeated throughout the life cycle. This overall approach is described in the report as “shift left, expand right and repeat”. 6. 展開前のセキュリティ対策(すなわち「セキュリティ・バイ・デザイン」の原則、または「シフトレフト」とも呼ばれる)と、展開後の使用中のシステムのレジリエンスとリカバリーを監視し、確保するための対策(本報告書では「エクスパンドリフト」と呼ぶ)の両方を組み合わせる必要がある。技術が進化するにつれ、このアプローチはライフサイクル全体を通じて繰り返される必要がある。この全体的なアプローチは、本報告書では「シフトレフト、エクスパンドリフト、リピート」と表現されている。
7.   Technical controls around the AI systems themselves need to be complemented by people- and process-based controls on the interface between the technology and business operations.  7. AIシステム自体の技術的制御は、テクノロジーと業務運営の間のインターフェースにおける人およびプロセスベースの制御によって補完される必要がある。
8.   Care needs to be paid to information governance – specifically, what data will be exposed to the AI and what controls are needed to ensure that organizational data policies are met. 8. 情報ガバナンスに注意を払う必要がある。具体的には、どのようなデータがAIに公開されるのか、また、組織のデータポリシーが確実に遵守されるためにどのような制御が必要なのか、ということである。
It is crucial for top leaders to define key parameters for decision-making on AI adoption and associated cybersecurity concerns. This set of questions can guide them in assessing their strategies: AIの導入と関連するサイバーセキュリティの懸念に関する意思決定の主要パラメータを定義することは、経営陣にとって極めて重要である。この一連の質問は、彼らの戦略を評価する際に役立つ。
1.   Has the appropriate risk tolerance for AI been established and is it understood by all risk owners?  1. AIに対する適切なリスク許容度が確立され、すべてのリスク管理者が理解しているか?
2.   Are risks weighed against rewards when new AI projects are considered?  2. 新しいAIプロジェクトを検討する際に、リスクと利益が比較されているか?
3.   Is there an effective process in place to govern and keep track of the deployment of AI projects?  3. AIプロジェクトの展開を管理し、追跡する効果的なプロセスが確立されているか?
4.   Is there clear understanding of organizationspecific vulnerabilities and cyber risks related to the use or adoption of AI technologies? 4. 組織特有の脆弱性とAI技術の利用または導入に関連するサイバーリスクについて明確に理解しているか?
5.   Is there clarity on which stakeholders need to be involved in assessing and mitigating the cyber risks of AI adoption?  5. AI導入のサイバーリスクのアセスメントと緩和にどのステークホルダーが関与する必要があるか明確になっているか?
6.   Are there assurance processes in place to ensure that AI deployments are consistent with the organization’s broader organizational policies and legal and regulatory obligations? 6. AIの展開が組織のより広範な組織方針および法的・規制上の義務と一致していることを保証する保証プロセスが整備されているか?
By prioritizing cybersecurity and mitigating risks, organizations can safeguard their investments in AI and support responsible innovation. A secure approach to AI adoption not only strengthens resilience but also reinforces the value and reliability of these powerful technologies. サイバーセキュリティを優先し、リスクを緩和することで、組織はAIへの投資を保護し、責任あるイノベーションを支援することができる。AI導入に対する安全なアプローチは、レジリエンスを強化するだけでなく、これらの強力なテクノロジーの価値と信頼性を強化する。

 

| | Comments (0)

2025.01.31

欧州 地方自治体および地域行政によるAIおよびGenAIの採用

こんにちは、丸山満彦です。

巷では中国の生成的AIであるDeepSeekが話題になっているようですが、欧州の話題です...

欧州委員会が、地方自治体および地域行政によるAIおよびGenAIの採用に関する報告書を公表していますね...

欧州の地方自治体でのAIの取り組みの事例も少しあり、自治体のAIに対する取り組みのヒントになるかもですね...(AI法があることにより、できないことがはっきりしていて、変な迷いも生じることなく取り組みがしやすいかもですね...)

European Union

AI and GenAI adoption by local and regional administrations

 

AI and GenAI adoption by local and regional administrations 地方自治体および地域行政によるAIおよびGenAIの採用
Based on the previous recent research and results in this area, notably the EU Public Sector Tech Watch reports and handbooks "European Landscape on the Use of Artificial Intelligence by the Public Sector", "Road to the adoption of AI by the public sector", "A collective effort in exploring the applications of Artificial Intelligence and blockchain in the Public Sector" and a European Parliament briefing on "Artificial Intelligence and Public services", this study on “AI and GenAI adoption by local and regional administrations” (1) analyses the results of the previous studies – which are based on data gathered over the last couple of years – and (2) delves deeper into the opportunities and challenges subnational authorities have with the AI and GenAI adoption and the impact this has on the quality of their interactions with citizens, as well as the efficiency of internal and cross-administration processes. The study also (3) investigates whether and how AI and GenAI could contribute to bridging digital divides across different types of territories and/or groups of citizens. It further (4) examines the role of political leaders in promoting AI, scalability, knowledge sharing and the need for cooperation between the technical and political levels to ensure boost of AI use. In the end, the study offers a number of recommendations for enhancing the adoption and effectiveness of AI and GenAI at subnational level. この分野における最近の調査および結果、特にEU公共部門テクノロジーウォッチの報告書およびハンドブック「公共部門における人工知能の利用に関する欧州の状況」、「公共部門におけるAI導入への道」、「公共部門における人工知能とブロックチェーンの応用に関する共同の取り組み」、および欧州議会による「人工知能と公共サービス」に関するブリーフィングを踏まえ、本研究「地方自治体および地域行政によるAIおよびGenAIの導入」では、 過去数年にわたって収集されたデータに基づくこれまでの研究結果を分析し、(2) 地方自治体がAIおよびGenAIの導入によって得られる機会と課題、そしてそれが市民とのやりとりの質や、内部および行政間のプロセス効率に与える影響について、さらに深く掘り下げている。また、本研究では、(3) 異なるタイプの地域や市民グループ間のデジタル格差の解消にAIおよびGenAIが貢献できるかどうか、またその方法についても調査している。さらに、(4) AIの利用を促進するために、政治的リーダーが果たす役割、スケーラビリティ、知識共有、技術レベルと政治レベル間の協力の必要性についても検証している。最後に、本研究では、地方レベルでのAIおよびGenAIの導入と効果を高めるためのいくつかの提言を行っている。

 

・[PDF] [downloaded]

20250131-63140

・[DOCX][PDF] 仮訳

 

目次...

Executive Summary エグゼクティブサマリー
Background and objective of this study 本研究の背景と目的
Methodology 方法論
Report structure 報告書の構成
Key findings 主な調査結果
Policy recommendations 政策提言
Introduction 序文
Part 1: State of play of AI and GenAI adoption at local and regional level パート1:地方・地域レベルでのAIとGenAIの導入状況
1.1 Overview 1.1 概要
1.1.1 Local and Regional Authority (LRA) and Public Authority (PA) implementations 1.1.1 地方自治体(LRA)と公共機関(PA)の実装
1.1.2 Existing AI infrastructure to support LRAs 1.1.2 LRAをサポートする既存のAIインフラ
1.1.3 Academic research 1.1.3 学術研究
1.1.4 Citizen acceptance and user experience with AI in the public sector 1.1.4 公共部門におけるAIの市民受容とユーザー体験
1.1.5 Summary 1.1.5 まとめ
1.2 State of play of AI adoption across the EU LRAs 1.2 EUのLRAにおけるAI導入の現状
1.2.1 AI adoption, application sectors and main benefits for LRAs 1.2.1 AI導入、応用分野、LRAにとっての主なメリット
1.2.2 Human resources dedicated to AI and relations with the external environment 1.2.2 AIに特化した人材と外部環境との関係
1.2.3 AI monitoring and evaluation mechanisms 1.2.3 AIモニタリングと評価の仕組み
1.2.4 Challenges and drivers of AI adoption 1.2.4 AI導入の課題と推進要因
1.2.5 Conclusions 1.2.5 結論
Part 2: Factors for the successful AI and GenAI adoption in cities and regions 第2部:都市と地域におけるAIとGenAIの導入成功の要因
2.1 Fostering cooperation between the technical and political levels 2.1 技術レベルと政治レベルの間の協力を促進する
2.2 The facilitating role of political decision-makers and appropriate governance 2.2 政治的意思決定者の促進的役割と適切なガバナンス
2.3 Organisational context and AI procurement 2.3 組織的背景とAI調達
2.4 Enhancing citizen acceptance and engagement 2.4 市民の受け入れと関与を強化する
2.5 Data availability and governance 2.5 データの可用性とガバナンス
2.6 Making AI-based solutions scalable and applicable to other contexts 2.6 AIベースのソリューションを拡張可能にし、他の文脈にも適用できるようにする
2.7 Investment and funding 2.7 投資と資金調達
Part 3: Foresight analysis, conclusion and policy recommendations 第3部:フォーサイト分析、結論、政策提言
3.1 Foresight analysis 3.1 先見性分析
3.1.1 The AI trends identified by survey respondents 3.1.1 調査回答者が特定したAIのトレンド
3.1.2 The Horizon Scanning for relevant weak signals detection 3.1.2 ホライゾン・スキャニングによる弱シグナルの検知
3.1.3 Megatrends 3.1.3 メガトレンド
3.1.4 Results of the foresight analysis 3.1.4 先見性分析の結果
3.2.1 Overview of the policy recommendations on the AI implementation 3.2.1 AI導入に関する政策提言の概要
3.2.2  Recommendations 3.2.2 推奨事項
3.3 Conclusions of the study 3.3 研究の結論
Annex I – The online survey 附属書 I - オンライン調査
Annex II – Eight case studies 附属書 II - 8つのケーススタディ
Case II.1. De Virtuele Assistent (‘The Virtual Assistant’) (Belgium) ケースII.1.バーチャルアシスタント(ベルギー
Case II.2. Green public transport on demand (Bulgaria) ケースII.2.オンデマンドのグリーン公共交通(ブルガリア)
Case II.3. Vaasan kadut kuntoon (‘Fix the Streets’) (Finland) ケースII.3.街路を直せ」(フィンランド
Case II.4. Satellites for Wilderness Inspection and Forest Threat Tracking (SWIFTT) (Latvia) ケースII.4.原生地域監視・森林脅威追跡用人工衛星(SWIFTT)(ラトビア)
Case II.5. Vadindekset (‘The wet index’) project (Denmark) ケースII.5.Vadindekset(「湿った指標」)プロジェクト(デンマーク)
Case II.6. Policies for Holistic Urban Mobility and Accessibility (Cyprus) ケースII.6.総合的な都市モビリティとアクセシビリティのための政策(キプロス)
Case II.7   The AI-based LisNav application dedicated to transforming the lives of the visually impaired (Portugal) ケースII.7 視覚障害者の生活を変えるためのAIベースのLisNavアプリケーション(ポルトガル)
Case II.8. Immediate and Long-Term Energy Reduction (RECITAL) (France) ケースII.8.即時かつ長期的なエネルギー削減(前文)(フランス)
Annex III – Bibliography 附属書 III - 書誌情報

 

 

 

| | Comments (0)

2025.01.30

オランダ 重要インフラ・水管理省 AI 影響アセスメント第2.0版 (2024.12.31)

こんにちは、丸山満彦です。

オランダの重要インフラ・水管理省が、AI 影響アセスメント第2.0版を大晦日に公表していました...

質問形式になっていて使いやすいかもです...

 

Governmnet of Netherlands

・2024.12.31 AI Impact Assessment

・[PDF

20250130-53805

・[DOCX][PDF] 仮訳

 

目次...

The AI Impact Assessment helps in ensuring responsible AI by design AI影響アセスメントは、設計による責任あるAIの確保に役立つ
Use the AIIA in all phases of your AI project AIプロジェクトのすべてのフェーズでAIIAを活用する
How to use this document この文書の使い方
Who does what? 誰が何をするのか?
Part A: Assessment パートA:アセスメント
1 System purpose and necessity 1 システムの目的と必要性
1.1  Purpose of the system 1.1 システムの目的
1.2  Intended solution 1.2 想定される解決策
1.3  Role within the organisation 1.3 組織内での役割
1.4  Maintenance and administration 1.4 保守と管理
2 Impact 2 影響
2.1  Fundamental rights 2.1 基本的権利
2.2  Sustainability 2.2 持続可能性
2.3  Other effects 2.3 その他の効果
3 Assessing whether or not to use the AI system 3 AIシステムを使うかどうかのアセスメント
Part B: Implementation and use of AI system パートB:AIシステムの導入と活用
4 Technical robustness 4 技術的堅牢性
4.1  Bias 4.1 バイアス
4.2  Accuracy 4.2 精度
4.3  Reliability 4.3 信頼性
4.4  Technical implementation 4.4 技術的実施
4.5  Reproducibility 4.5 再現性
4.6  Explainability 4.6 説明可能性
5 Data governance 5 データガバナンス
5.1  Data quality and integrity 5.1 データの品質と完全性
5.2  Privacy and confidentiality 5.2 プライバシーと守秘義務
6 Risk management 6 リスクマネジメント
6.1  Risk prevention 6.1 リスク予防
6.2  Alternative procedure 6.2 代替手続き
6.3  Information security risks 6.3 情報セキュリティリスク
7 Accountability 7 説明責任
7.1  Transparency towards users 7.1 ユーザーに対する透明性
7.2  Communication to parties involved 7.2 関係者へのコミュニケーション
7.3  Verifiability 7.3 検証可能性
7.4  Archiving 7.4 アーカイビング
Glossary of Terms 用語集
Appendix 1: Risk level assessment 附属書1:リスクアセスメント
Definition of high-risk AI system (AI Act) リスクの高いAIシステムの定義(AI法)
Exceptions 例外
Appendix 2: High-risk systems 附属書2:リスクの高いシステム
Questions if you wish to use a high-risk AI system リスクの高いAIシステムを使用したい場合の質問
Questions for developers (providers) of high-risk AI systems リスクの高いAIシステムの開発者(プロバイダ)への質問
Appendix 3: Points to consider regarding generative AI 附属書3:生成的AIに関する留意点

 

| | Comments (0)

2025.01.29

自民党 能動的サイバー防御の導入へ 関係会議が法案概要を了承 (2025.01.24)

こんにちは、丸山満彦です。

能動的サイバー防御の導入についての法案がこれから政府から国会に提出され、審議に入るということで、既存法令も含めて改正がありますね...

 

自由民主党

1_20250129184201

・2024.01.24 能動的サイバー防御の導入へ 関係会議が法案概要を了承

新法の制定による官民連携の強化や通信情報の利用、法改正によるアクセス・無害化措置に加え、サイバーセキュリティ対策に関する政府の抜本的な体制強化を図る方針が示されました。

自民党の提言色濃く反映されているようです...

 

各種報道によれば...

  • 法案の名前は、「重要電子計算機に対する不正行為被害防止法案」と警察官職務執行法など15の現行法改正案を束ねた「整備法案」

  • 通信の秘密との関係で重要となる独立機関は「3条委員会」で名称は「サイバー通信情報監理委員会」 

  • 権限と人選が重要となるが、委員長と委員4人の計5人。任期は5年。裁判官ら法律の専門家や情報通信の有識者らから国会の同意を得て、首相が任命。別途、専門事項を調査する専門委員を首相が任命できる
  • 行政職員らが取得した通信情報を複製・加工するなどして外部に提供した場合、4年以下の拘禁刑か、200万円以下の罰金

  • 外国間や外国・国内間の通信情報の監視は、政府は監理委員会の事前承認を得て行う

  • 監視期間は原則、外国間が6か月、外国・国内間は3か月

  • 無害化措置は、原則として監理委員会の事前承認が必要
  • 無害化措置は、 まず警察が担う

  • 海外からの「極めて高度に組織的かつ計画的な行為」が行われた場合は、国家公安委員会の要請や同意などを条件に、首相が自衛隊に「通信防護措置」を命じることができる

  • 政府と民間の連携を強化するため、首相が情報共有の協議会を設置

  • 基幹インフラ事業者に被害報告を義務化。報告を怠れば30万円以下の罰金。

 

 法案は2月上旬?に国会に提出される予定...

 


報道...

● NHK

・2025.01.22 「能動的サイバー防御」導入に向けた法案概要 自民 会議で了承


自民党は安全保障調査会などの合同会議を開き、政府が先にまとめた「能動的サイバー防御」の導入に向けた法案の概要をめぐり意見を交わしました。

概要には、電気や鉄道など重要なインフラの関連事業者と協定を結び、サイバー攻撃のおそれがないか監視するため、通信情報を取得できるようにすることや、警察や自衛隊は新たに設置する独立した機関の事前承認を得た上で、攻撃元のサーバーなどにアクセスし、無害化する措置を講じることなどが盛り込まれています。

会議では「独立した機関の関与による歯止めは必要だが実効性に支障が出ないような運用とすべきだ」といった意見や「サイバー攻撃への対処の必要性が国民に十分伝わっておらず、丁寧に説明すべきだ」といった指摘が出され、法案の概要は了承されました。


 

・2025.01.16 「能動的サイバー防御」導入に向け 法案概要を自民に示す 政府


サイバー攻撃を未然に防ぐ「能動的サイバー防御」の導入に向けて、政府は警察や自衛隊が独立した機関の事前承認を得たうえで攻撃元にアクセスし無害化する措置を講じることなどを盛り込んだ法案の概要を自民党に示しました。

...

それによりますと電気や鉄道など重要なインフラの関連事業者と協定を結び、サイバー攻撃のおそれがないか監視するため、通信情報を取得できるようにするとともに、攻撃を受けた場合の報告を義務づけるとしています。

さらに、重大な被害を防ぐため警察や自衛隊は新たに設置する独立した機関の事前承認を得たうえで、攻撃元のサーバーなどにアクセスし無害化する措置を講じることができるとしています。

また、取得した情報を漏えいした場合には罰則を科すとしています。


 

・2025.01.24 「能動的サイバー防御」導入へ 法案の概要まとまる


重大な被害を防ぐため、警察や自衛隊が、独立した機関の事前承認を得たうえで、攻撃元にアクセスし無害化する措置を講じることを盛り込んでいます。




政府は「能動的サイバー防御」の導入に向け、有識者会議の提言に沿って法案の概要をまとめました。

それによりますと、電気や鉄道、通信、放送、金融など重要なインフラの関連事業者と協定を結び、サイバー攻撃のおそれがないか監視するため、通信情報を取得できるようにするとしています。

そして、こうした事業者には攻撃を受けた場合の報告を義務づけます。

さらに重大な被害を防ぐため、警察や自衛隊は、新たに設置する独立した機関の事前承認を得たうえで、攻撃元のサーバーなどにアクセスし無害化する措置を講じることができると明記しています。

このほか、内閣官房にサイバー安全保障の対応にあたる事務次官級の「内閣サイバー官」のポストを新設し、体制を強化するとしています。


 

● 東京新聞

・2025.01.29 戦争にもなりかねず「火遊びのよう」 石破政権が成立目指す「能動的サイバー防御法案」を識者が警戒


防御能力を欧米並みに引き上げるのが狙いだが、監視による憲法の通信の秘密との整合性のほか、他国のサーバーに入り込み「無害化」する措置はサイバー上の先制攻撃に当たるとの指摘もある。情報運用や安全保障上のリスクをどう捉えるべきか。

◆攻撃側サーバーへの侵入を担うのは警察や自衛隊と想定

...

概要はこうだ。政府は攻撃の兆候を探るため平時からサイバー空間を監視。未然に被害を防ぐため、攻撃側のサーバーに侵入して機能を停止させるなどの無害化措置を警察や自衛隊が行う。

 ただ、サイバー空間の監視は憲法21条の「通信の秘密」を侵害しかねないと検討当初から指摘され、課題となってきた。

◆有識者会議「サイバー攻撃を防ぐ目的なら」ネット監視を容認

 これに対し有識者会議は提言で「通信の秘密であっても、(サイバー攻撃を防ぐという)公共の福祉のために必要かつ合理的な制限を受ける」とネット監視を容認する考えを示し、政府の情報収集をチェックする独立した監督機関の設置を提言した。

 内閣官房サイバー安全保障体制整備準備室の担当者は「国や国民生活が脅かされることを念頭に置いた時、通信の秘密にある程度の制限をお願いするのはやむを得ないだろうということ」と説明する。「やむを得ない範囲」にとどめるためにどうするかは今後の法案の中で工夫するとし「独立機関の審査を受けるべきだという有識者会議の提言に従った法案を考えており、懸念はクリアできる」と話した。

◆政府をチェックする第三者機関、その役割は現時点で不明

報道では国家行政組織法3条に基づく第三者機関として独立性をもたせることなどが浮上している。肝心のこの機関について、担当者は「法律が固まるまで明かせない」とした。

 東北大の井原聡名誉教授(科学技術史)は「『公共の福祉』の定義はあいまいで恣意(しい)的に解釈できる。第三者機関を設けるとしているが、政府から独立した厳格な監査機関が不可欠だ。この組織は非常に重要だが、公表されている資料では、どんな内容になるかは分からない」と懸念する。

 どういうことか。「サイバー空間での攻撃は国境を越えて行われる。無害化措置が攻撃と捉えられて報復される恐れもあるだろう。従って無害化措置に踏み出すかどうか、ゴーサインを出す監督機関の役割は重要になる。透明性を持って判断を下さなければならない」

◆責任の所在などあいまい 法案の拙速な成立には専門家も懸念

 ただ、無害化措置については先の提言で「緊急性を意識し、事象や状況の変化に臨機応変に対処可能な制度とする」と指摘されており、事前に監督機関のチェックが受けられない可能性もある。「実際の実施者である警察官や自衛官に非常に大きな権限を持たせることになる。ところがどういう立場の人が担当するのか、責任や役割はどう定義されるのか。これも明らかになっていない」

 石破政権は少数与党であるものの、国民民主党は法案に前向きで会期内の可決成立も見込まれる。井原氏は「サイバー防御は必要」との立場だが「これだけ問題のある法案には反対だ。提案されれば、審議にそれほど多くの時間が割かれることもなく国民があまり注目しないまま成立してしまうのでは」と懸念する。


 

・2025.01.16 通信情報漏えいに罰則 サイバー防御法案全容


  • 能動的サイバー防御導入法案のポイント
    • 収集した通信情報を漏えいした行政職員らの罰則を明記
    • 電気や鉄道など基幹インフラ業種に被害報告を要求
    • 国家行政組織法3条に基づく独立性の高い第三者機関を設置。運用が適正かどうかを監視
    • 攻撃を無害化する対応は、まず警察が担い、自衛隊は高度で組織的な行為が認められた場合に首相命令で対処。原則として第三者基幹の事前承認を義務付け

 

● 読売新聞

・2025.01.26 能動的サイバー法案の全容判明、情報漏えいなら新たな独立機関「監理委」が懲戒要求


憲法が保障する「通信の秘密」を尊重しつつ、通信情報の取得・分析を適正に行うため、新たに独立機関「サイバー通信情報監理委員会」を創設する。監理委には、警察庁や防衛省などサイバー攻撃への対処に関係する職員が情報漏えいした際に、懲戒処分を要求する権限を付与する。


 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.28 内閣官房 内閣サイバー官(特別職、次官級)・国家サイバー統括室の新設と【内閣府】防災監(次官級)の新設(政府の災害対応の司令塔機能の抜本的強化)(2024.12.27)

 

・2024.12.02 内閣官房 サイバー安全保障分野での対応能力の向上に向けた提言 (2024.11.29)

 

・2024.10.22 参議院常任委員会調査室・特別調査室 「能動的サイバー防御に係る制度構築の方向性と課題」

 

・2024.09.13 自民党 サイバー安全保障分野での対応能力向上に向けた提言 (2024.09.11)

 

・2024.08.29 内閣官房 サイバー安全保障分野での対応能力の向上に向けた有識者会議 これまでの議論の整理 (2024.08.07)

・2024.07.13 防衛白書(2024年)

・2024.03.23 国立国会図書館 調査及び立法考査局 サイバーセキュリティの確保と通信の秘密の保護―この 20年の議論と能動的サイバー防御導入等に向けた課題―

・2023.09.23 サイバー領域への軍事的適応の課題:オランダの事例研究 (2023.07.13)

・2023.07.28 防衛白書(2023年) (+ 能動的サイバー防衛...)

・2023.07.17 英国 NCSC アクティブ・サイバーディフェンス第6次報告書 (2023.07.06) そういえばNCSCは「アクティブ・サイバーディフェンスは防御であって攻撃ではない」と言ってました...

・2023.06.17 経団連 サイバー安全保障に関する意見交換会を開催

・2023.05.24 米国 国防総合大学 「統合抑止力とサイバー空間 - 国益追求のためのサイバー作戦の役割を探る論文選集」(2023.05.15)

・2023.04.03 米国 米サイバー軍がアルバニアでイランからのサイバー攻撃に対する防衛的ハント作戦を実施 (2023.03.23)

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.08.23 米国 サイバー司令部:クロアチアと米国のサイバー防衛隊が悪質な行為者をハントする

・2021.04.07 ハックバックを認めるべき?民間企業による積極的サイバー防衛についての記事 ... Oxford Academic, Journal of Cybersecurity: Private active cyber defense and (international) cyber security—pushing the line?

・2021.02.21 U.K. NSCS 2019年能動的サイバー防御についての実績報告書 (Active Cyber Defence (ACD) - The Third Year)

 

 

| | Comments (0)

ドイツ BSI 生成的AIモデルV2.0 (2025.01.21)

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局が作成している、生成的AIモデルが、整理の仕方の点でよくできているように思います。

継続的に改訂されていくとのことですので、今後も期待できますね...

 

ちなみに、日本も経済産業省の「AI事業者ガイドライン検討会」で検討がされていますね...

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2025.01.21 Generative AI Models: Opportunities and Risks for Industry and Authorities

 

Generative AI Models: Opportunities and Risks for Industry and Authorities 生成的AIモデル: 産業界と規制当局にとってのチャンスとリスク
Generative AI models represent a subset of general-purpose AI models. They are trained on large datasets and learn patterns from the existing data. Subsequently, they can generate new content such as texts, images, music, and videos that also follow these patterns. Due to their high level of generalisation, such models can be applied in a variety of use cases that traditionally require creativity and human understanding. These include applications like translating or classifying texts, processing large datasets, or creating and improving visual representations. 生成的AIモデルは、汎用AIモデルのサブセットである。大規模なデータセットで学習され、既存のデータからパターンを学習する。その後、これらのパターンに従ったテキスト、画像、音楽、動画などの新しいコンテンツを生成することができる。その高い汎化能力により、このようなモデルは、従来は創造性や人間の理解を必要としていた様々なユースケースに適用することができる。これには、テキストの翻訳や分類、大規模なデータセットの処理、視覚的表現の作成や改善などのアプリケーションが含まれる。
However, alongside the opportunities, the use of generative AI models also introduces novel IT security risks and can amplify known cybersecurity threats. In its current version, the publication "Generative AI Models: Opportunities and Risks for Industry and Authorities" provides an overview. In addition to large language models (LLMs), it also considers image and video generators. Furthermore, it outlines possible countermeasures to address these risks. The publication is aimed at companies and public authorities considering the integration of generative AI models into their workflows. It is designed to raise basic security awareness about these models and promote their safe use; it can also serve as a foundation for systematic risk analysis. With the intended exploration of further subfields in generative AI (e.g. audio generators), the publication is continuously updated. しかし、生成的AIモデルの使用は、このようなチャンスと同時に、新たなITセキュリティリスクをもたらし、既知のサイバーセキュリティの脅威を増幅させる可能性もある。現行版では、「生成的AIモデル: 産業界と規制当局にとってのチャンスとリスク」では、その概要を説明している。大規模言語モデルLLM)に加え、画像や映像の生成モデルについても考察している。さらに、これらのリスクに対処するための可能な対策についても概説している。本書は、生成的AIモデルのワークフローへの統合を検討している企業や公的機関を対象としている。また、体系的なリスク分析の基礎としても役立つ。生成的AI(例えば音声ジェネレーター)のさらなるサブフィールドの探求を意図して、本書は継続的に更新される。

 

・[PDF

20250129-64259

・[DOCX][PDF] 仮訳

 

 

4 生成的AIモデルのリスク テキスト イメージ ビデオ
4.1 適切な使用      
R1 モデルの開発者/運営者への依存 X X X
R2 入力データの機密性の欠如 X X X
R3 入力に対する反応が正しくない X X X
R4 出力品質の欠如 X X X
R5 問題のある、バイアスのかかった出力 X X X
R6 生成的コードとコード類似テキストの安全性の欠如 X    
R7 再現性と説明可能性の欠如 X X X
R8 オートメーションバイアス X X X
R9 自己強化効果とモデルの崩壊 X X X
4.2 誤用      
R10 偽造・捏造コンテンツの生成的 X X X
R11 (メディアの)アイデンティティを偽る  X X X
R12 犯罪活動における知識収集と処理 X X  
R13 匿名化されたデータから個人を再特定する X X X
R14 マルウェアの生成と改善 X    
R15 マルウェアの配置 X    
R16 RCE攻撃 X    
4.3 攻撃      
4.3.1 ポイズニング攻撃      
R17 トレーニング・データ・ポイズニング X X X
R18 知識中毒  X X X
R19 モデル・ポイズニング X X X
R20 評価モデル・ポイズニング X X X
R21 前処理コンポーネントを介した毒物混入 X X X
4.3.2 プライバシー攻撃      
R22 学習データの再構築 X X X
R23 反転を埋め込む X X X
R24 モデル窃盗 X X X
R25 コミュニケーションデータおよび保存情報の抽出 X X X
4.3.3 回避攻撃      
R26 プロンプトを直接操作する X X X
R27 自動コンテンツ処理の摂動 X    
R28 間接的プロンプト・インジェクション X    

 

 

5 生成的AIモデルの文脈における対策 運用者 開発者 利用者 テキスト イメージ ビデオ
M1 モデルと運用者の選択 O   U X X X
M2 説明可能性の確保 O D   X X X
M3 AI生成的コンテンツの検知 O D   X X X
M4 トレーニングおよび評価データの管理   D   X X X
M5 トレーニングデータとモデルの完全性の確保   D   X X X
M6 トレーニングデータの品質の確保   D   X X X
M7 機密トレーニングデータの防御   D U X X X
M8 人間のフィードバックからの強化学習   D U X X X
M9 堅牢性を高める O D   X X X
M10 モデル盗難防御   D   X X X
M11 総合テストの実施 O D U X X X
M12 入力の妥当性確認、サニタイズ、フォーマット O D   X X X
M13 アウトプットの妥当性確認とサニタイズ O D   X X X
M14 検索拡張生成 O D   X X X
M15 モデルへのアクセスを制限する O     X X X
M16 利用リスクについての意識向上と情報提供 O D U X X X
M17 LLMベースのアプリケーションの権利を制限する O   U X    
M18 機密データの慎重な取り扱い O   U X X X
M19 ロギングとモニタリング O   U X    
M20 アウトプットの監査と後処理      U X X X

 

 

| | Comments (0)

米国 CISA FBI 注意喚起:Ivantiクラウドサービス・アプリケーションにおける脅威アクター連鎖型脆弱性 (2025.01.22)

こんにちは、丸山満彦です。

CISAとFBIがIvantiクラウドサービス・アプリケーションにおける脅威アクター連鎖型脆弱性について、バージョンアップを薦める警告を出していましたね。。。

中国のアクターが関与している可能性もあり、実害が生じていることから少し警戒モードが上がっている感じですかね...

 

CISA - ITL

・2025.01.22 Threat Actors Chained Vulnerabilities in Ivanti Cloud Service Applications

Alert Code AA25-022A

管理バイパスに関する脆弱性 (CVE-2024-8963)、SQLインジェクションに関する脆弱性 (CVE-2024-9379)、リモートコード実行に関する脆弱性 (CVE-2024-8190, CVE-2024-9380) を組み合わせて、システムに侵入し、認証情報を取得し、ネットワーク内のシステムにWEBシェルを埋め込んでいたようです。

脅威アクターの主な侵入経路は、

のようです...

 

1_20250129040801

 

 

| | Comments (0)

2025.01.28

米国 司法省 北朝鮮IT労働者をリモート雇用させるスキームの関係者を逮捕...(2025.01.23)

こんにちは、丸山満彦です。

北朝鮮が外貨を稼ぐための北朝鮮のIT労働者をリモートで働かせるというスキームに加担したということで、北朝鮮人、メキシコ人、米国人が起訴されていますね...

この件では、2018年から行われていたようです...

日本でも行われているのでしょうね...

 

Department of Justice - Office of Public Affairs

・2025.01.23 Two North Korean Nationals and Three Facilitators Indicted for Multi-Year Fraudulent Remote Information Technology Worker Scheme that Generated Revenue for the Democratic People’s Republic of Korea

 

Two North Korean Nationals and Three Facilitators Indicted for Multi-Year Fraudulent Remote Information Technology Worker Scheme that Generated Revenue for the Democratic People’s Republic of Korea 朝鮮民主主義人民共和国に歳入をもたらした複数年にわたる不正な遠隔情IT労働者スキームについて、2人の北朝鮮国民と3人のファシリテーターが起訴された。
Action is Latest Disruption of U.S.-Based “Laptop Farms” that Deceive U.S. Companies Into Hiring DPRK Nationals 今回の措置は、米国企業を騙して北朝鮮国民を雇用させる米国ベースの「ラップトップ・ファーム」の最新の破壊行為である。
Note: View the indictment here. 注:起訴状はこちら
The Justice Department today announced the indictment of North Korean nationals Jin Sung-Il (진성일) and Pak Jin-Song (박진성), Mexican national Pedro Ernesto Alonso De Los Reyes, and U.S. nationals Erick Ntekereze Prince and Emanuel Ashtor for a fraudulent scheme to obtain remote information technology (IT) work with U.S. companies that generated revenue for the Democratic People’s Republic of Korea (DPRK or North Korea). 司法省は本日、北朝鮮国籍のジン・ソンイル(진성일)とパク・ジンソン(박진성)、メキシコ国籍のペドロ・エルネスト・アロンソ・デ・ロス・レイエス(Pedro Ernesto Alonso De Los Reyes)、米国国籍のエリック・ンテケレ(Erick Ntekere)の起訴を発表した。米国籍のエリック・ンテケレゼ・プリンスとエマニュエル・アシュターは、朝鮮民主主義人民共和国(DPRKまたは北朝鮮)のために収益を生み出す米国企業との遠隔情報技術(IT)業務を得るための詐欺的スキームで逮捕された。
“The Department of Justice remains committed to disrupting North Korea’s cyber-enabled sanctions-evading schemes, which seek to trick U.S. companies into funding the North Korean regime’s priorities, including its weapons programs,” said Supervisory Official Devin DeBacker of the Justice Department's National Security Division. “Our commitment includes the vigorous pursuit of both the North Korean actors and those providing them with material support. It also includes standing side-by-side with U.S. companies to not only disrupt ongoing victimization, but also to help them independently detect and prevent such schemes in the future.” 「司法省は、北朝鮮のサイバー制裁回避スキームを阻止することに引き続き全力を尽くしている。このスキームは、米国企業を騙して、兵器プログラムを含む北朝鮮政権の優先事項に資金を提供させようとするものである。「我々のコミットメントには、北朝鮮の行為者と、彼らに物質的支援を提供する者の両方を精力的に追求することが含まれる。また、現在進行中の被害を阻止するだけでなく、将来的にこのような企てを独自に検知し、防止することを支援するために、米国企業と肩を並べることも含まれる。
“FBI investigation has uncovered a years-long plot to install North Korean IT workers as remote employees to generate revenue for the DPRK regime and evade sanctions,” said Assistant Director Bryan Vorndran of the FBI’s Cyber Division. “The indictments announced today should highlight to all American companies the risk posed by the North Korean government. As always, the FBI is available to assist victims of the DPRK. Please reach out to your local FBI field office should you have any questions or concerns.” 「FBIサイバー課のブライアン・ボルドラン課長補佐は、「FBIの捜査により、北朝鮮のIT労働者をリモート従業員として雇い、北朝鮮政権に収益をもたらし、制裁を逃れようとする数年にわたる陰謀が明らかになった。「本日発表された起訴は、すべてのアメリカ企業に北朝鮮政府がもたらすリスクを浮き彫りにするものだ。これまで通り、FBIは北朝鮮による被害者を支援する。ご質問やご不明な点がありましたら、お近くのFBI支部にご連絡ください。」
According to the indictment, over the course of their scheme, from approximately April 2018 through August 2024, the defendants and their unindicted co-conspirators obtained work from at least sixty-four U.S. companies. Payments from ten of those companies generated at least $866,255 in revenue, most of which the defendants then laundered through a Chinese bank account. As part of this prosecution, the FBI arrested Ntekereze and Ashtor and executed a search of Ashtor’s residence in North Carolina, where he previously operated a “laptop farm” that hosted victim company-provided laptops to deceive companies into thinking they had hired U.S.-located workers. Alonso was arrested in the Netherlands on Jan. 10, pursuant to an arrest warrant from the United States. 起訴状によると、2018年4月から2024年8月までのスキームの過程で、被告とその未起訴の共謀者は、少なくとも64の米国企業から仕事を得ていた。そのうちの10社からの支払いで少なくとも86万6,255ドルの収益が発生し、その大半を被告らは中国の銀行口座を通じて洗浄した。この起訴の一環として、FBIはNtekerezeとAshtorを逮捕し、ノースカロライナ州にあるAshtorの住居を捜索した。Ashtorは以前、企業が米国に所在する労働者を雇ったと誤認させるために、被害者の企業が提供したラップトップをホストする「ラップトップ・ファーム」を運営していた。アロンソは米国からの逮捕状に従い、1月10日にオランダで逮捕された。
The DPRK has dispatched thousands of skilled IT workers to live abroad, primarily in China and Russia, with the aim of deceiving U.S. and other businesses worldwide into hiring them as freelance IT workers to generate revenue for the regime. DPRK IT worker schemes involve the use of pseudonymous email, social media, payment platform and online job site accounts, as well as false websites, proxy computers, and witting and unwitting third parties located in the United States and elsewhere. As described in a May 2022 tri-seal public service advisory released by the FBI, and State and Treasury Departments, such IT workers have been known individually earn up to $300,000 annually, generating hundreds of millions of dollars collectively each year, on behalf of designated entities, such as the North Korean Ministry of Defense and others directly involved in the DPRK’s weapons of mass destruction programs. 朝鮮民主主義人民共和国は、数千人の熟練IT労働者を海外、主に中国とロシアに派遣し、米国やその他の世界中の企業を欺き、フリーランスのIT労働者として雇用させ、政権に収益をもたらすことを目的としている。朝鮮民主主義人民共和国のIT労働者スキームは、偽名の電子メール、ソーシャルメディア、支払いプラットフォーム、オンライン求人サイトのアカウント、偽のウェブサイト、プロキシコンピュータ、米国やその他の場所にいる故意または無意識の第三者を使用する。FBIと国務省、財務省が2022年5月に発表した三者間公示に記載されているように、このようなIT労働者は、北朝鮮国防総省や北朝鮮の大量破壊兵器プログラムに直接関与しているその他の事業体などの指定された事業体のために、個人で年間最高30万ドルを稼ぎ、集団で毎年数億ドルを生み出していることが知られている。
According to the indictment, the defendants used forged and stolen identity documents, including U.S. passports containing the stolen personally identifiable information of a U.S. person, to conceal the true identities of Jin, Pak, and other North Korean co-conspirators, so that these North Korean nationals could circumvent sanctions and other laws to obtain employment with U.S. companies. Ntekereze and Ashtor received laptops from U.S. company employers at their residences, downloading and installing remote access software on them, without authorization, to facilitate IT worker access and to perpetuate the deception of U.S. companies. The defendants further conspired to launder payments for the remote IT work through a variety of accounts designed to promote the scheme and conceal its proceeds. 起訴状によると、被告らは、米国人の個人を特定できる情報を盗んだ米国パスポートを含む偽造・盗難身分証明書を使用し、ジン、パク、その他の北朝鮮の共謀者の真の身元を隠し、これらの北朝鮮国民が制裁やその他の法律を回避して米国企業に就職できるようにした。NtekerezeとAshtorは、ITワーカーのアクセスを容易にし、米国企業を欺くことを永続させるために、米国企業の雇用主からノートパソコンを受け取り、認可を得ずにリモートアクセスソフトウェアをダウンロードしてインストールした。被告らはさらに、この計画を推進し、その収益を隠蔽するために設計された様々な口座を通じて、リモートIT作業に対する支払いを洗浄することを共謀した。
All five defendants are charged with conspiracy to cause damage to a protected computer, conspiracy to commit wire fraud and mail fraud, conspiracy to commit money laundering, and conspiracy to transfer false identification documents. Jin and Pak are charged with conspiracy to violate the International Emergency Economic Powers Act. If convicted, the defendants face a maximum penalty of 20 years in prison. A federal district court judge will determine the sentence of each defendant after considering the U.S. Sentencing Guidelines and other statutory factors. 被告5人全員は、防御用コンピューターに損害を与えた共謀、電信詐欺と郵便詐欺の共謀、マネーロンダリングの共謀、虚偽の身分証明書を譲渡した共謀で起訴されている。ジンとパクは、国際緊急経済権限法違反の共謀で起訴されている。有罪判決を受けた場合、被告らは最高で禁固20年の刑に処される。連邦地裁判事は、米国量刑ガイドラインおよびその他の法定要素を考慮した上で、各被告の量刑を決定する。
Under the Department-wide “DPRK RevGen: Domestic Enabler Initiative,” launched in March 2024 by the National Security Division and the FBI’s Cyber and Counterintelligence Divisions, Department prosecutors and agents are prioritizing the identification and shuttering of U.S.-based “laptop farms” – locations hosting laptops provided by victim U.S. companies to individuals they believed were legitimate U.S.-based freelance IT workers – and the investigation and prosecution of individuals hosting them. Today’s announcement follows successful actions taken by the Department in October 2023, May 2024, August 2024, and December 2024, which targeted similar and related conduct. 朝鮮民主主義人民共和国全土を対象とする「DPRK RevGen: 国家安全保障部とFBIのサイバーおよび防諜ディビジョンが2024年3月に開始した「国内イネイブラー・イニシアチブ」の下、同省の検察官と捜査官は、米国を拠点とする「ラップトップ・ファーム」(被害者である米国企業から、米国を拠点とする合法的なフリーランスIT労働者と思われる個人に提供されたラップトップをホストしている場所)の特定と閉鎖、およびそれらをホストしている個人の捜査と起訴を優先している。本日の発表は、同局が2023年10月、2024年5月、2024年8月、2024年12月に実施した類似・関連行為を対象とした措置の成功に続くものである。
The FBI Miami Field Office is investigating the case. FBIマイアミ支局が本件を捜査している。
Assistant U.S. Attorneys Jonathan Stratton and Sean Cronin for the Southern District of Florida and Trial Attorney Gregory J. Nicosia, Jr. of the National Security Division’s National Security Cyber Section are prosecuting the case. Substantial assistance was also provided by Tracy Varghese and Menno Goedman of the National Security Division’s Counterintelligence and Export Control Section and the Justice Department’s Office of International Affairs. フロリダ州南部地区担当のジョナサン・ストラットン、ショーン・クローニン両米国弁護士補と、国家安全保障部国家安全保障サイバー課のグレゴリー・J・ニコシア・ジュニア裁判長がこの事件を起訴している。また、国家安全保障部防諜・輸出管理課のトレイシー・ヴァルゲーズとメンノ・ゲードマン、司法省国際局からも多大な協力を得た。
The FBI, in conjunction with the State and Treasury Departments, issued a May 2022 advisory to alert the international community, private sector, and public about the North Korea IT worker threat. Updated guidance was issued in October 2023 by the United States and the Republic of Korea (South Korea) and in May 2024 by the FBI, which include indicators to watch for that are consistent with the North Korea IT worker fraud and the use of U.S.-based laptop farms. Today, the FBI issued additional guidance regarding extortion and theft of sensitive company data by North Korean IT workers, along with recommended mitigations. FBIは2022年5月、国務省および財務省とともに、北朝鮮のIT労働者の脅威について国際社会、民間部門、一般市民に注意を喚起するための勧告を発表した。米国と大韓民国(韓国)は2023年10月に、FBIは2024年5月に、北朝鮮のIT労働者詐欺や米国を拠点とするラップトップファームの使用に一致する注意すべき指標を含む更新ガイダンスを発表した。本日FBIは、北朝鮮IT労働者による恐喝や企業の機密データの窃盗に関して、推奨される緩和策とともに追加ガイダンスを発表した。
An indictment is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. 起訴は単なる申し立てに過ぎない。法廷で合理的な疑いを超えて有罪が証明されるまでは、すべての被告は無罪と推定される。

 

起訴状...

20250128-125323

 

| | Comments (0)

総務省 意見募集 「eシールに係る認定制度の関係規程策定のための有識者会議取りまとめ(案)」及び 「eシールに係る認証業務の認定に関する規程(案)」

こんにちは、丸山満彦です。

総務省が、「eシールに係る認定制度の関係規程策定のための有識者会議取りまとめ(案)」及び 「eシールに係る認証業務の認定に関する規程(案)」を公表し、意見募集をしていますね...

eシールは会社印のようなもので、欧州ではeIDASの中で電子シールとして規定されているものですね...日本でもその制度化に向けて動き出しているというところです...

紙で社印をおしていた文書が電子化されるとeシールをついたデータということだと思いますが、紙と異なり電子だとそれが本物だということを証明するのに、少し手間がかかりますね。。。それでも、紙に印刷して社印を押すという作業と比較すれば、ずいぶんと時間とコストの削減にはなると思うんですけどね...

eシールがついたデータは出所又は起源がわかり、そのデータが改変が行われていないことがわかるということですよね...

 

PKIの監査については、ちゃんとしたルールを作った方が良いですよね...一般的に認定のための確認作業についての一定のルールが必要だと思うんですよね...WebTrustのような...

できれば、保証水準に段階があればよいと思います...

 

eシール認証業務の認定基準は総務省告示の予定です...

告示の根拠は、総務省設置法4条第1項第60号の規定

58 符号、音響、影像その他の情報の電磁的方式による発信、伝送又は受信(以下「情報の電磁的流通」という。)のための有線又は無線の施設の設置及び使用の規律並びにこれらの施設の整備の促進に関すること。
59 国際放送その他の本邦と外国との間の情報の電磁的流通の促進に関すること。
60 前二号に掲げるもののほか、情報の電磁的流通の規律及び振興に関すること。

ということのようです...

 

総務省

・2025.01.27 「eシールに係る認定制度の関係規程策定のための有識者会議取りまとめ(案)」及び 「eシールに係る認証業務の認定に関する規程(案)」に対する意見募集

意見募集対象ですが...

 

別紙1「eシールに係る認定制度の関係規程策定のための有識者会議取りまとめ(案)」

20250128-54432

 

別紙2 「eシールに係る認証業務の認定に関する規程(案)」

20250128-54714

 

 

eシールに係る認定制度の関係規程策定のための有識者会議

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.12 総務省 「ICTサイバーセキュリティ政策の中期重点方針」(案)に対する意見募集 (2024.07.01)

・2024.04.23 総務省 「eシールに係る検討会 最終取りまとめ」、「eシールに係る指針(第2版)」及び意見募集の結果の公表 (2024.04.16)

・2023.04.13 総務省 我が国におけるeシールサービスの状況等に関する情報提供依頼

・2020.12.06 ENISA 第19条専門家グループ第16回会合:eIDAS監督機関等の53名の専門家が信託サービスのセキュリティとインシデント報告に関する情報を交換

・2020.11.13 JIPDEC 第98回JIPDECセミナー 「eシールとは? —内外での活用状況からJIPDECの取組みまで」資料公開

・2020.04.21 会社認印電子版?=>総務省 組織が発行するデータの信頼性を確保する制度に関する検討会


 

» Continue reading

| | Comments (0)

2025.01.27

英国 現代的デジタル政府のための青写真 (2025.01.21)

こんにちは、丸山満彦です。

英国政府が、デジタル政府の現状と、現代的デジタル政府のための青写真という2つの文書を議会に提出していますね...

こちらは、現代的デジタル政府のための青写真のほうです...

デジタル政府の現状で認識された課題を克服して、どういうデジタル政府を目指すのか、どうやって目指すのか?という感じですかね...

 

英国政府の文書では、このブログでAI Opportunities Action Plan(AI機会行動計画)を紹介しましたが、この2つの文書もなかなか興味深いです。

 

 

GOV.UK

・2025.01.21 A blueprint for modern digital government

Policy paper A blueprint for modern digital government 政策文書 現代的デジタル政府のための青写真
A long-term vision for digital public services, a 6-point plan for reform, and the role of the new digital centre of government. デジタル公共サービスの長期ビジョン、改革に向けた6つの計画、政府の新しいデジタルセンターの役割。

 

 

目次...

・[HTML] A blueprint for modern digital government

Secretary of State foreword 国務長官まえがき
Executive summary エグゼクティブサマリー
The case for change 変化のケース
The vision for modern digital government 現代デジタル政府のビジョン
A six-point plan for public sector digital reform 公共部門デジタル改革のための6点プラン
Driving this change この変化を推進する
Next steps 次のステップ
Section 1 The case for change セクション1:変化のケース
Context コンテクスト
The State of Digital Government デジタル政府の現状
Section 2 The vision for modern digital government  セクション2:現代デジタル政府のビジョン
What we want to deliver  私たちが実現したいこと
Section 3: Making it happen: a six-point plan for government digital reform セクション3:実現させる:政府デジタル改革のための6項目計画
Progress since 2022  2022年以降の進展
What is different this time?  今回は何が違うのか?
1. Join up public sector services  1. 公共部門のサービスを統合する
2. Harness the power of AI for the public good  2. 公共の利益のためにAIの力を活用する
3. Strengthen and extend our digital and data public infrastructure  3. デジタルとデータの公共インフラを強化・拡張する
4. Elevate leadership, invest in talent  4. リーダーシップを高め、人材に投資する
5. Fund for outcomes, procure for growth and innovation  5. 成果のための資金調達、成長とイノベーションのための調達
6. Commit to transparency, drive accountability  6. 透明性へのコミット、説明責任の推進
Section 4 Driving this change  セクション4:この変化の推進
The digital centre’s scope and remit  デジタル・センターの範囲と任務
Changes in focus  焦点の変更
What this will feel like for the public sector  公共部門にとってどのように感じられるか
What this will feel like for suppliers and the UK tech sector  供給業者と英国のハイテク部門にとってどのように感じられるか
What this will feel like for civil society and local communities  市民社会と地域社会にとってどのように感じられるか
Section 5 Next steps  セクション5:次のステップ
Kickstarters to kick things off  キックスターターによるキックオフ
Addressing the big challenges  大きな課題への取り組み
Annex: The new Government Digital Service  附属書:新しい政府デジタル・サービス
At a glance guide to the remit of the digital centre  デジタル・センターの任務に関する一目瞭然のガイド

 

 

国務長官まえがき...

Secretary of State foreword 国務長官まえがき
The UK public sector has some digital services to be proud of, including those that help millions of people do things like apply for Universal Credit, Register to Vote, check for flood warnings, get an MOT test reminder, and order repeat prescriptions with the NHS app. Behind the scenes, there are supporting products like Pay, Notify and One Login, providing invaluable help for the teams that build the services. 英国の公共部門には、ユニバーサル・クレジットの申請、選挙人登録、洪水警報の確認、MOTテストのリマインダーの取得、NHSアプリを使った処方箋の再注文など、何百万人もの人々を支援するデジタル・サービスがある。舞台裏では、Pay、Notify、One Loginなどのサポート製品があり、サービスを構築するチームに貴重な支援を提供している。
Yet it’s easy to see these successes as entirely unremarkable. Across society, people’s expectations are higher, and they keep rising. So your service is available on a phone? So what? Of course it is. That’s the bare minimum that most people expect, most of the time. Too many of our services still fall short of these basic expectations. しかし、これらの成功をまったく目立たないものと見なすのは簡単だ。社会全体において、人々の期待はより高いものとなり、それは上昇の一途をたどっている。では、あなたのサービスは携帯電話で利用できるのか?それがどうした?もちろんそうだ。それは、ほとんどの人が期待する最低限のものだ。しかし、あまりにも多くのサービスが、こうした基本的な期待を下回っている。
It’s vital that government understands and responds to this. We’re still a long way from building a truly digital state - one where services work across institutional boundaries, and where digital credentials enable a more timesaving, personalised user experience. Lots of public sector services stretch across the remit of many central departments, local authority teams, and NHS trusts. There’s a lot we can do to link those services up, while reducing the bureaucratic burden on the public to remember dozens of different accounts and passwords. 政府がこのことを理解し、対応することが不可欠だ。真にデジタルな国家を築くには、まだ長い道のりがある。すなわち、サービスが機構の垣根を越えて機能し、デジタル証明書がより時間節約的でパーソナライズされたユーザー体験を可能にする国家である。公共部門のサービスの多くは、多くの中央省庁、地方自治体、NHSのトラスト(受託機関)にまたがっている。これらのサービスを連携させ、国民が何十もの異なるアカウントやパスワードを覚える官僚的負担を軽減するために、私たちができることはたくさんある。
It’s also vital that government responds to rapid advances in technology. Artificial intelligence (AI) is a paradigm shift, bringing substantial new opportunities that we must explore, understand and embrace - responsibly.  政府がテクノロジーの急速な進歩に対応することも不可欠だ。人工知能(AI)はパラダイムシフトであり、私たちが責任を持って探求し、理解し、受け入れなければならない実質的な新しい機会をもたらす。
There’s a con to every pro - the more we use technology, the greater the risk from technological threats. So we must protect against them. The more we use technology, the harder we must work to serve people who are less able to use it, or less confident using it.  テクノロジーを使えば使うほど、テクノロジーの脅威によるリスクは高まる。だから我々は脅威から守らなければならない。テクノロジーを使えば使うほど、テクノロジーを使いこなせない人々や、テクノロジーを使う自信がない人々にサービスを提供するために努力しなければならない。
It’s not enough for government to just ‘keep up’ with the scale of change happening all around us. We have to understand it, use it, and shape it. And we must grasp every opportunity to drive greater value for money for the taxpayer. 政府は、私たちの周りで起こっている変化の規模に「ついていく」だけでは十分ではない。私たちはそれを理解し、利用し、形成しなければならない。そして、納税者により大きな価値をもたらすために、あらゆる機会をとらえなければならない。
The newly formed digital centre of government has been set up to lead work that’s more than just a change – it will help catalyse a wholesale reshaping of the public sector, reaching out to local government, the NHS, and the private sector too. 新たに設立されたデジタル・センター・オブ・ガバメントは、単なる変革にとどまらず、地方政府、NHS、そして民間部門にも手を差し伸べ、公共部門の全体的な再構築の触媒となるような仕事を主導するために設立された。
This document sets out how we see the current state of play, our vision for what the future might look like, and a plan for reaching it. I’d like to thank members of the external advisory panel, my ministerial colleagues and digital transformation leaders in departments for helping to create it. この文書では、私たちが現状をどのように見ているのか、将来はどのような姿になるのかというビジョン、そしてそれに到達するための計画を示している。この文書の作成に協力してくれた外部諮問委員会のメンバー、私の同僚閣僚、各省のデジタルトランスフォーメーション・リーダーたちに感謝したい。
It offers a long-term view that will take many years to bring about. This plan is only the starting point.  この計画は、実現に何年もかかるであろう長期的な展望を提供するものである。この計画は出発点に過ぎない。
Rt Hon Peter Kyle MP Rt Hon Peter Kyle MP
Secretary of State for Science, Innovation and Technology 科学・イノベーション・技術担当国務長官

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー
1. The case for change 1. 変革のケース
Despite the work of digital teams across the public sector to deliver better designed, time-saving public services, progress over the last 15 years has been uneven, and it hasn’t been fast or systemic enough.  公共部門全体のデジタルチームが、より良い設計と時間節約の公共サービスを提供するために活動しているにもかかわらず、過去15年間の進歩にはばらつきがあり、十分なスピードと体系的なものではなかった。
Rapid advances in AI make it possible to transform our public services at a faster pace than ever before. But while new technology presents us with ever-expanding possibilities to improve the way that government delivers for the public, it also demands that our people have the right skills and are enabled to work together across organisational boundaries. AIの急速な進歩は、公共サービスをかつてないスピードで変革することを可能にしている。しかし、新しいテクノロジーは、政府が市民のために提供する方法を改善する可能性を拡大し続ける一方で、職員が適切なスキルを持ち、組織の境界を越えて協働できるようにすることも求めている。
The State of Digital Government Review published alongside this paper has identified deep systemic challenges: institutionalised fragmentation; persistent legacy, cyber and resilience risk; siloed data; under-digitisation; inconsistent leadership; a skills shortfall; diffuse buying power; and outdated funding models. 本ペーパーと同時に発表された「デジタル政府の現状レビュー」では、制度化された分断、レガシー、サイバー、レジリエンスリスクの持続、サイロ化されたデータ、デジタル化不足、一貫性のないリーダーシップ、スキル不足、購買力の拡散、時代遅れの資金調達モデルといった、深い制度的課題が指摘されている。
Addressing these means a fundamental shift - for whole organisations, not just digital teams. We must not underestimate the scale of the changes and challenges ahead. We need to adopt a digital-first operating model where we treat digital leadership skills as essential for senior leaders, redesign our services, and how we work, and use shared digital and data infrastructure to meet common needs. It must be underpinned by new funding models which support safe, sustainable services. And digital inclusion must be at the heart of how we do this, ensuring as many people as possible can access public services digitally, and that we support the digitally excluded. これらに対処することは、デジタルチームだけでなく、組織全体の根本的な転換を意味する。これからの変化と挑戦の規模を過小評価してはならない。私たちは、デジタル・リーダーシップ・スキルをシニア・リーダーに不可欠なものとして扱い、私たちのサービスや働き方を再設計し、共通のニーズを満たすために共有デジタル・データ・インフラを利用する、デジタル・ファーストの運営モデルを採用する必要がある。そして、安全で持続可能なサービスを支える新たな資金調達モデルに支えられなければならない。そして、デジタル・インクルージョンは、可能な限り多くの人々がデジタルで公共サービスにアクセスできるようにし、デジタルから排除された人々を支援することで、これを実現する方法の中核をなすものでなければならない。
2. The vision for modern digital government 2. 現代デジタル政府のビジョン
The vision for modern digital government in the UK is to enable the following outcomes:  英国における現代デジタル政府のビジョンは、以下のガバナンスを実現することである: 
Easier lives: delivering transparent, next-generation public services that do the hard work for the public, can be accessed and used by everyone who needs them, and are designed around the user. より快適な生活:透明性の高い次世代公共サービスを提供することで、市民のために大変な仕事をこなし、それを必要とするすべての人がアクセスし、利用することができ、利用者を中心に設計されている。
Faster growth: helping businesses start and scale by delivering services that work as well as they do for citizens. より速い成長:市民のためと同様に機能するサービスを提供することで、事業の立ち上げと拡大を支援する。
Firmer foundations: securing public services so they are trustworthy and resilient.  より強固な基盤:公共サービスの信頼性とレジリエンスを確保する。
Smarter organisations: changing how delivery is done to embed the right ways of working, moving at the same pace that people’s lives do, and working as agile, user-centred, multidisciplinary teams by default. よりスマートな組織:適切な働き方を定着させるために、サービスの提供方法を変え、人々の生活と同じペースで動き、アジャイルで、ユーザー中心の、学際的なチームとして働くことをデフォルトとする。
Higher productivity and efficiency: saving public money, delivering outstanding public services at a price we can afford, and enabling front-line workers to focus on delivery. 生産性と効率性の向上:公的資金を節約し、卓越した公共サービスを手頃な価格で提供し、第一線で働く人々がサービスの提供に専念できるようにする。
3. A six-point plan for public sector digital reform 3. 公共部門デジタル改革のための6つの計画
Transforming government for the digital era will not be straightforward. We’ve identified a set of six priorities to help us get there:  デジタル時代に向けた政府のガバナンス改革は一筋縄ではいかない。我々は、そこに到達するための6つの優先事項を特定した: 
Join up public sector services: enabling next-generation public services, better supporting businesses, redesigning cross-organisation end-to-end service delivery, ensuring services are consistently high standard, and acting as one public sector. 公共部門サービスの統合:次世代公共サービスの実現、ビジネス支援の改善、組織横断的なエンド・ツー・エンドのサービス提供の再設計、一貫して標準の高いサービスの確保、1つの公共部門としての行動。
Harness the power of AI for the public good: establishing an AI adoption unit to build and deploy AI into public services, growing AI capacity and capability across government, and building trust, responsibility and accountability into all we do. 公共利益のためにAIのパワーを活用する:公共サービスにAIを構築・展開するためのAI採用ユニットを設立し、政府全体でAIの能力と能力を向上させ、信頼、責任、説明責任をすべての行動に組み込む。
Strengthen and extend our digital and data public infrastructure: expanding GOV.UK One Login and other common components, enabling access to data through the National Data Library, strengthening cyber and technical resilience and building more responsibly. デジタルとデータの公共インフラを強化・拡張する:GOV.UK One Loginとその他の共通コンポーネントを拡大し、National Data Libraryを通じてデータへのアクセスを可能にし、サイバーと技術的レジリエンスを強化し、より責任ある建物を建設する。
Elevate leadership, invest in talent: elevating digital leadership to the centre of public sector decision-making, investing in the digital and data profession and competing for talent and raising the digital skills baseline for all public servants. リーダーシップを高め、人材に投資する:デジタル・リーダーシップを公共部門の意思決定の中心に据え、デジタルとデータの専門職に投資し、人材を獲得し、すべての公務員のデジタル・スキルのベースラインを引き上げる。
Fund for outcomes, procure for growth and innovation: reforming government’s approach to funding digital and technology and maximising the value and potential of public procurement. 成果のための資金、成長とイノベーションのための調達:デジタルとテクノロジーに資金を提供する政府のアプローチを改革し、公共調達の価値と可能性を最大化する。
Commit to transparency, drive accountability: publishing and acting more on performance data, and doing more of the work of government ‘in the open’ so that people can help shape changes that affect them. 透明性をガバナンスし、アカウンタビリティを推進する:パフォーマンス・データを公表し、それに基づいて行動し、政府の仕事を「オープンに」することで、国民が自分たちに影響を与える変化の形成に貢献できるようにする。
4. Driving this change 4. この変革の推進
This change will be led by the new digital centre of government. The digital centre exists to serve the public, departments and the wider public sector. It will be magnetic: the home of specialist expertise in digital service design, artificial intelligence and other areas. It will be catalytic: enabling teams to work together more easily to deliver the government’s missions and power public sector reform. It will be strategic: ensuring that the use of digital in the public sector drives efficiency and productivity gains, and helping to accelerate economic growth.  この変革は、政府の新しいデジタルセンターが主導する。デジタル・センターは、国民、各省庁、より広範な公共部門に奉仕するために存在する。デジタル・センターは、デジタル・サービス・デザイン、人工知能、その他の分野の専門家の拠点となる。触媒的である:政府のミッションを実現し、公共部門改革を推進するために、チームがより簡単に協力できるようにする。戦略的:公共部門におけるデジタルの活用が効率性と生産性の向上を促進し、経済成長を加速させることを確実にする。
And it will be collegiate: working in partnership with colleagues across and beyond the public sector - including over time with local councils, police forces and arm’s length bodies (ALBs) - who will continue to be home to the vast majority of digital, data and technology specialists. また、公共部門内外の同僚(地方議会、警察、独立行政法人(ALB)を含む)と連携し、デジタル、データ、テクノロジーのスペシャリストの大半を擁し続ける。
The public sector cannot deliver next-generation public services alone: we need to work in partnership with industry and civil society to drive digital change in the public sector but also to support growth in the UK tech sector.  公共部門は、単独で次世代の公共サービスを提供することはできない。我々は、産業界や市民社会と連携して、公共部門のデジタル変革を推進するとともに、英国のハイテク部門の成長を支援する必要がある。
5. Next steps 5. 次のステップ
Today we are: 今日、我々は次のことを行っている:
Launching the new digital centre of government, to be known as the Government Digital Service. 政府の新たなデジタルセンター(デジタルサービス)を立ち上げる。
Announcing five ‘kickstarter’ tests and products, including a GOV.UK App.  GOV.UKアプリを含む5つの「キックスターター」テストと製品を発表する。
Launching new collaborations to accelerate work in priority areas, such as in local government and with the Government Commercial Function. 地方自治体や政府商業機能など、優先分野での作業を加速させるための新たなコラボレーションを開始する。
This document is the start of a conversation: there’s lots more to do. Over the coming months, we’ll co-develop a new Government Digital & AI Roadmap, to set out our collective priorities and how they will help drive the government’s missions and public sector reform. We’ll do this in parallel with the second phase of the Spending Review. We’ll work in the open as we go, seeking input and collaboration from colleagues across central government, the wider public sector, civil society, and tech companies. この文書は対話の始まりである。今後数ヶ月の間に、我々は新しいガバメント・デジタル&AIロードマップを共同開発し、我々の総体的な優先事項と、それらが政府のミッションと公共部門改革の推進にどのように役立つかを示す。これは、歳出見直しの第2段階と並行して行う。我々は、中央政府、より広い公共部門、市民社会、そしてテック企業の同僚からの意見や協力を求めながら、オープンに作業を進めていく。

 

 ・[PDF]

20250127-50510

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.01.27 英国 現代的デジタル政府のための青写真 (2025.01.21)

・2025.01.26 英国 AI機会行動計画 (2025.01.13)

 

| | Comments (0)

英国 デジタル政府の現状 (2025.01.21)

こんにちは、丸山満彦です。

英国政府が、デジタル政府の現状と、現代的デジタル政府のための青写真という2つの文書を議会に提出していますね...

こちらは、デジタル政府の現状のほうです...

現代的デジタル政府のための青写真という将来の目指す方向やそれをどのようにして実現するのか?を考える上でのAS-ISの把握というところでしょうか...

 

英国政府の文書では、このブログでAI Opportunities Action Plan(AI機会行動計画)を紹介しましたが、この2つの文書もなかなか興味深いです。

英国政府は継続的に必要と思われるデータを取得し、データに基づく政策をしていますから、改善の際にも効果的な対策ができるような気がします...

政策の際にもVFMの観点で調査し、そして監査もしますからね...

英国政府のデジタル化の課題についてまとめていますが、これは日本政府に当てはまるかもしれないので、日本政府に向けて書かれたものと思い込んで対応をしてみると80%くらいうまくいくかも(^^)...

 

5つの根本原因...

  1. リーダーシップ
  2. 構造
  3. 測定
  4. 人材
  5. 資金調達
1. Leadership 1. リーダーシップ
There is little reward for prioritising an agenda of service digitisation, reliability, or risk mitigation. Organisational leaders are not paid, promoted, or valued for doing so. Digital does not shape and drive the organisational agenda. サービスのデジタル化、信頼性、リスク緩和のアジェンダを優先しても、ほとんど報われない。組織のリーダーは、デジタル化を推進することに対し、報酬も昇進も評価もされない。デジタルが組織のアジェンダを形成し、推進することがない。
2. Structure 2. 構造
Fragmentation is a feature of the system. Public sector organisations are independent bodies with limited mechanisms to contract services from each other. Most choose to build and maintain their own technology estate, inhibiting standardisation, interoperability and reuse, and constraining the ability to benefit from scale. Architectural design, product management, operations, and development are inconsistent between organisations. The public is presented with fragmented services and expected to make sense of them. 細分化はシステムの特徴である。公共部門は独立団体であり、相互にサービスを契約する仕組みは限られている。ほとんどの組織は、独自の技術資産を構築し維持することを選択し、標準化、相互運用性、再利用を阻害し、規模の恩恵を受ける能力を制約している。アーキテクチャの設計、製品管理、運用、開発は、組織間で一貫性がない。国民は断片的なサービスを見せられ、それを理解することを求められる。
3. Measurement 3. 測定
The public sector does not have consistent metrics of digital performance. Aggregate data about service quality, user experience, cost and risk exposure is not available without dedicated, periodic effort such as the production of this report. 公共部門は、デジタル・パフォーマンスの一貫した測定基準を持っていない。サービス品質、ユーザー・エクスペリエンス、コスト、リスク・エクスポージャーに関する集計データは、本レポートのような専用かつ定期的な取り組みなしには入手できない。
4. Talent 4. 人材
Compensation and career path progression are uncompetitive with the private sector, especially for senior leaders. A lack of integrated cross-government workforce strategy limits recognition of specialist skill needs and prevents realisation of efficiencies longer term. Headcount restrictions intended to constrain spend have shifted cost and talent to third-party contractors, managed services and IT consultants, also degrading institutional knowledge. 報酬とキャリアパスは、特にシニアリーダーにとって、民間企業との競争力がない。政府を横断する統合的な人材戦略の欠如により、専門スキルのニーズの認識が制限され、長期的な効率性の実現が妨げられている。支出抑制を目的とした人員制限により、コストと人材がサードパーティ、マネージドサービス、ITコンサルタントにシフトし、制度的知識も低下している。
5. Funding 5. 資金調達
Spend is biased towards new programmes with insufficient prioritisation of the effective operation and maintenance of existing systems, especially legacy assets. New or urgent legislation often comes without additional funding, forcing re-prioritisation of previously allocated budgets. This presents an acute challenge for digital and data projects as funding has shifted from capital purchase towards subscription-based, increasing the reliance on committed ongoing funding. 既存システム(特にレガシー資産)の効果的な運用と保守の優先順位付けが不十分で、新規プロ グラムに支出が偏っている。新しい法律や緊急の法律が追加資金なしで制定されることも多く、以前割り当てられた予算の再優先化を余儀なくされる。資金調達が資本購入からサブスクリプション・ベースに移行し、継続的な資金調達への依存度が高まっているためである。

 

 調査結果のポイント...

Users expect more.  利用者はより多くを期待している。
Services are under-digitised.  サービスは過小評価されている。
Digital delivery creates policy success. デジタル・デリバリーは政策の成功を生み出す。
Public sector productivity has fallen 公共部門の生産性は低下している。
Public sector technology is fragmented and duplicative.  公共部門のテクノロジーは断片的で重複している。
Data is fragmented and underused.  データは断片化され、十分に活用されていない。
Critical services depend on decades-old legacy technology.  重要なサービスは、数十年前のレガシー・テクノロジーに依存している。
Service reliability is too low. サービスの信頼性が低すぎる。
Cyber risk to the public sector is critically high.  公共部門のサイバーリスクは極めて高い。
The public sector spends less on technology than peers. 公共部門は同業他社に比べてテクノロジーへの支出が少ない。
Funding models do not reflect modern digital practice. 資金調達モデルは、現代のデジタル実務を反映していない。
Cloud adoption is concentrated in central government. クラウドの導入は中央政府に集中している。
The public sector is dependent on external resources for core skills.  公共部門はコアスキルを外部リソースに依存している。
There are not enough digital and data people in the right roles.  適切な職務に就くデジタル・データ人材が不足している。
The public sector struggles to consistently attract and retain top digital and data talent.  公共部門は、デジタルとデータの優秀な人材を常に惹きつけ、維持するのに苦労している。
Digital leadership is not a consistent priority.  デジタル・リーダーシップは一貫した優先事項ではない。
The public sector does not realise the value of its buying power. 公共部門は、その購買力の価値に気づいていない。
Central digital capabilities have had some success but limited cross-sector reform. 中央デジタル機能は一定の成功を収めているが、セクター横断的な改革は限定的である。

 

 

GOV.UK

・2025.01.21 State of digital government review

Research and analysis  調査・分析
State of digital government review デジタル政府の現状レビュー
A review of technology and data in the public sector: successes, challenges and root causes 公共部門におけるテクノロジーとデータのレビュー:成功、課題、根本原因

 

 

・[HTML] State of digital government review

目次...

Executive summary エグゼクティブサマリー
Introduction 序文
Context コンテクスト
Key facts 主要事実
Key assessment areas 主要アセスメント領域
Services サービス
Technology テクノロジー
Data and AI データと附属書
Central and shared capabilities 中央および共有能力
People, leadership and skills 人材、リーダーシップ、スキル
Digital supply chain デジタルサプライチェーン
Investment prioritisation and controls 投資の優先順位付けと管理
Root causes 根本原因
Conclusion 結論
Annex 1 附属書1

 

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー
The UK public sector has enormous digital resources: it spends over £26 billion annually on digital technology, employs a workforce of nearly 100,000 digital and data professionals, and delivers millions of online transactions every day. Millions of people across the country rely on digital services from their local authority, their hospital, their school and all parts of the public sector to help them in their daily lives. 英国の公共部門は莫大なデジタル資源を有しており、デジタル技術に年間260億ポンド以上を費やし、約10万人のデジタルおよびデータの専門家を雇用し、毎日数百万件のオンライン取引を実現している。全国で何百万人もの人々が、日常生活で役立てるために、地方自治体、病院、学校、そして公共部門のあらゆる部分からのデジタルサービスに依存している。
When these resources are deployed effectively, they can deliver outstanding results. これらのリソースが効果的に展開されれば、卓越した結果をもたらすことができる。
The NHS app, delivered in a time of crisis, is the most widely used app in the UK. GOV.UK combines government digital services in a way which is emulated worldwide. This report is full of examples where digital teams across the public sector have used their ingenuity and expertise to improve services and keep them running. NHSのアプリは、危機の時に配信され、英国で最も広く使われているアプリである。GOV.UKは政府のデジタルサービスを統合したもので、世界中で模倣されている。この報告書には、公共部門全体のデジタルチームが、創意工夫と専門知識を駆使してサービスを改善し、運営を維持している事例が数多く紹介されている。
Yet these successes are too often achieved despite the system rather than because of it. They rely on the dedication of experts doing their best with limited resources, navigating processes which were not designed for a digital age, and implementing policies which were not designed to be digital first. As we move into a new era of opportunities created by artificial intelligence (AI) and other technology innovations, we must take a realistic and unflinching view of how much more we have to do to create a modern digital government and reform public services. しかし、こうした成功は、システムのおかげというよりも、むしろシステムにもかかわらず達成されることがあまりにも多い。限られたリソースの中で最善を尽くし、デジタル時代のために設計されていないプロセスをナビゲートし、デジタルファーストのために設計されていない政策を実施する専門家の献身に依存している。人工知能(AI)やその他の技術革新が生み出す新たなチャンスの時代に突入する中、我々は、近代的なデジタル・ガバメントを構築し、公共サービスを改革するために、どれだけ多くのことをしなければならないかについて、現実的かつ冷徹な視点を持たなければならない。
This report presents key findings on the state of digital government, including where we can build on success, where we must improve, and identifies 5 root causes for the challenges we face. 本報告書では、デジタル政府の現状について、成功の上に築ける部分、改善しなければならない部分、直面する課題の5つの根本原因など、主要な調査結果を示す。
Users expect more. In the past decade, satisfaction with public services in the UK has dropped from 79% to 68%.[footnote 1] Satisfaction with 70% of the Top 75 services is below private sector benchmarks. Even where the public sector provides great digital services, users must join them up across disparate offerings. Someone moving home needs to contact 10 separate organisations. Managing a long-term condition or disability requires interaction with more than 40 services across 9 different organisations. The average UK adult citizen spends a week and a half dealing with government bureaucracy every single year. 利用者はより多くを期待している。過去10年間で、英国の公共サービスに対する満足度は79%から68%に低下した[脚注1]。トップ75のサービスのうち70%に対する満足度は、民間セクターのベンチマークを下回っている。公共部門が優れたデジタルサービスを提供している場合でも、利用者はバラバラのサービスを組み合わせて利用しなければならない。引っ越しをする人は、10もの組織に連絡を取る必要がある。長期的な症状や障害を管理するには、9つの異なる組織にまたがる40以上のサービスとのやり取りが必要になる。英国の平均的な成人は、毎年1週間半を政府の官僚主義に費やしている。
Services are under-digitised. 47% of central government and 45% of NHS services still lack a digital pathway, and very few services avoid manual processing altogether. For instance, HMRC handles approximately 100,000 calls each day, the DVLA processes around 45,000 letters daily, and Defra still manages over 500 paper form-based services. サービスは過小評価されている。中央政府の47%、NHSの45%のサービスは、いまだにデジタル・パスウェイを欠いており、手作業による処理を完全に回避しているサービスはほとんどない。例えば、HMRCは毎日約10万件の電話を処理し、DVLAは毎日約45,000通の手紙を処理し、Defraは未だに500以上の紙のフォームベースのサービスを管理している。
Digital delivery creates policy success. When public sector policy is developed without involvement of digital teams or consideration for digital delivery, opportunities are missed. By contrast, when digital, operational, and policy teams work collaboratively, they can deliver rapid impact. The Home Office’s EU Settlement Scheme, for example, showed how a digital-first approach, with collaboration across HMRC and DWP digital and policy teams, could automate residency verification for over 6 million people at record pace. デジタル・デリバリーは政策の成功を生み出す。公共部門の政策が、デジタル・チームの関与やデジタル・デリバリーへの配慮なしに策定されると、機会を逃すことになる。それとは対照的に、デジタルチーム、業務チーム、政策チームが協力し合うことで、迅速な効果をもたらすことができる。例えば、内務省のEU定着スキームでは、HMRCとDWPのデジタルチームと政策チームが協力し、デジタルファーストのアプローチによって、600万人以上の在留資格検証を記録的なスピードで自動化することができた。
Public sector productivity has fallen.[footnote 2] Analysis shows that over £45 billion per year of unrealised savings and productivity benefits, 4-7% of public sector spend, could be achieved through full potential digitisation of public sector services. This makes digitisation the most powerful lever available to drive public sector and service reform. Opportunities are based predominantly on process simplification, AI-driven automation of manual tasks, greater availability, adoption of low-cost digital channels and reduced fraud through compliance automation. 公共部門の生産性は低下している。[脚注2] 分析によれば、公共部門サービスの潜在的なデジタル化を完全に実現することで、公共部門支出の4~7%に相当する年間450億ポンド以上の未実現の節約と生産性向上効果が達成できる可能性がある。このことから、デジタル化は、公共部門とサービス改革を推進するための最も強力なテコとなる。プロセスの簡素化、AIによる手作業の自動化、可用性の向上、低コストのデジタル・チャネルの採用、コンプライアンスの自動化による不正行為の削減などが、その主な要因である。
Public sector technology is fragmented and duplicative. Most organisations implement their own solutions, even for common needs. For example, in 2021, there were 44 different accounts and ways to prove who you are. Where sharing happens, it has great impact: the West Midlands Police Force, for example, has integrated AI to respond to non-urgent 101 (non-emergency) calls and shared their approach with other forces. However, this is the exception rather than the rule. 公共部門のテクノロジーは断片的で重複している。ほとんどの組織は、共通のニーズに対しても独自のソリューションを導入している。例えば、2021年には44の異なるアカウントと、自分が誰であるかを証明する方法があった。例えば、ウェスト・ミッドランズ警察は、緊急ではない101番通報に対応するためにAIを統合し、そのアプローチを他の警察と共有している。しかし、これはルールというよりは例外である。
Data is fragmented and underused. This holds back AI, machine learning, and advanced analytics. Only 27% of survey respondents believe their current data infrastructure enables a comprehensive view of operations or transactions. 70% say their data landscape is not well co-ordinated, interoperable, and does not provide a unified source of truth. Despite these limitations, the ingenuity of public servants has led to some noteworthy results such as DfE using supplier-held data to overcome the friction of sharing between schools and enable real-time attendance visibility. データは断片化され、十分に活用されていない。これが、AI、機械学習、高度な分析の足かせとなっている。調査回答者の27%だけが、現在のデータインフラが業務やトランザクションの包括的なビューを可能にすると考えている。70%は、自社のデータ環境はうまく調整、相互運用されておらず、統一された真実のプロバイダを提供していないと回答している。このような制約があるにもかかわらず、公務員の創意工夫により、DfEはサプライヤーが保有するデータを利用して学校間の共有の摩擦を克服し、リアルタイムの出席状況の可視化を可能にするなど、注目すべき成果を上げている。
Critical services depend on decades-old legacy technology. The scale of legacy varies by organisation and is not consistently measured, but it is estimated to comprise 28% of systems in central government departments in 2024, an increase from 26% in 2023. Levels of legacy technology in police forces and NHS trusts varies widely, ranging from 10% to 60-70%, depending on the organisation. While some central government departments such as MOD, Home Office and MOJ classify and track their legacy assets, most public sector organisations do not have comprehensive registers or quantification of the legacy risk they carry. 重要なサービスは、数十年前のレガシー・テクノロジーに依存している。レガシーの規模は組織によって異なり、一貫して測定されているわけではないが、2024年には中央政府省庁のシステムの28%を占めると推定され、2023年の26%から増加している。警察やNHSのトラストにおけるレガシー・テクノロジーのレベルは、組織によって10%から60〜70%と幅がある。国土海洋省、内務省、法務省など一部の中央政府はレガシー資産を分類・追跡しているが、ほとんどの公共機関は、レガシー・リスクの包括的な登録や定量化を行っていない。
Service reliability is too low. Over 2024, 25% of survey respondents suffered critical outages, 123 in NHS England alone. Many systems do not have adequate plans in place for how to manage incidents and even where they do they are not exercised frequently enough. サービスの信頼性が低すぎる。2024年にかけて、調査回答者の25%が致命的な機能停止に見舞われ、NHSイングランドだけで123件に上った。多くのシステムでは、インシデントに対処するための適切な計画が策定されておらず、策定されていても十分な頻度で実施されていない。
Cyber risk to the public sector is critically high. We have seen a number of high-profile incidents across the public sector that have had real world impacts on citizens’ lives and incurred new costs to repair the damage done. 公共部門のサイバーリスクは極めて高い。私たちは、市民生活に現実的な影響を及ぼし、被害を修復するために新たなコストが発生した、公共部門全体で注目されるインシデントを数多く見てきた。
The public sector spends less on technology than peers. In 2023, the public sector spent around £26 billion on technology, around 30% below benchmark comparisons.[footnote 3] Current budgets and funding practices make it difficult to maintain the existing technology estate, respond to legislative change, and keep up with evolving cyber threats. 28% of red-rated legacy systems lack remediation funding. All organisations profiled in this study cited not having enough appropriate funding to manage legacy technology and technical debt. Most mentioned budgets that prioritise new programmes at the expense of continuous improvement. 公共部門は同業他社に比べてテクノロジーへの支出が少ない。2023年、公共部門がテクノロジーに費やした金額は約260億ポンドで、ベンチマーク比較では約30%下回っている[脚注3]。現在の予算と資金調達のやり方では、既存のテクノロジー資産を維持し、法改正に対応し、進化するサイバー脅威に追いつくことは難しい。赤評価のレガシーシステムの28%は、改善資金が不足している。この調査でプロファイルされたすべての組織が、レガシー・テクノロジーと技術的負債を管理するための十分な適切な資金がないことを挙げている。ほとんどの組織が、継続的改善を犠牲にして新規プログラムを優先する予算を挙げている。
Funding models do not reflect modern digital practice. In the last 15 to 20 years, technology has shifted from a capital-intensive business, based on the acquisition and creation of hardware and software assets, to a revenue intensive business based on continuous improvement and subscription services.[footnote 4] In central government, RDEL (resource or operating funds) accounted for less than half of total digital and data funding in Spending Review 2021 versus 78% for peer-set benchmark.[footnote 5] [footnote 6] Many have highlighted that it is easier to get CDEL (capital funds) than RDEL, and only 1 in 5 survey respondents felt the current funding model enabled effective investment in and running of digital services. Existing governance and controls processes are not seen as well suited to digital programmes as they prioritise predictable returns over longer-term resilience and continuous improvement, and do not allow for the flexible nature of digital delivery. 資金調達モデルは、現代のデジタル実務を反映していない。過去15年から20年の間に、テクノロジーは、ハードウェアとソフトウェア資産の取得と作成に基づく資本集約型ビジネスから、継続的改善とサブスクリプションサービスに基づく収益集約型ビジネスへと移行した。 [脚注4]中央政府では、2021年の支出見直しにおいて、RDEL(資源または運営資金)がデジタルとデータに関する資金総額の半分以下であったのに対し、同業他社のベンチマークでは78%であった[脚注5][脚注6]多くの人が、RDELよりもCDEL(資本資金)を得る方が容易であることを強調しており、調査回答者の5人に1人しか、現在の資金モデルがデジタルサービスへの効果的な投資と運営を可能にしていると感じていない。既存のガバナンスや管理プロセスは、長期的なレジリエンスや継続的改善よりも予測可能なリターンを優先しており、デジタル・デリバリーの柔軟な性質に対応できないため、デジタル・プログラムには適していないと考えられている。
Cloud adoption is concentrated in central government. The cloud-first policy defined in 2013, accelerated by dedicated cloud transformation budgets, means that around 55% of central government organisations reported that over 60% of their estate is now on the cloud, although most of these migrations entail replicating systems in the cloud with minimal reengineering. Despite this progress in central government, other areas of the public sector, such as local authorities, policing and the NHS, are less advanced in cloud adoption, with remaining on-premises estates. クラウドの導入は中央政府に集中している。2013年に定義されたクラウドファーストの方針は、クラウド変革のための専用予算によって加速され、中央政府の約55%が、所有する資産の60%以上がクラウド上にあると報告しているが、これらの移行のほとんどは、最小限のリエンジニアリングでシステムをクラウド上に複製するものである。中央政府におけるこのような進展にもかかわらず、地方自治体、警察、NHSといった公共部門の他の分野では、クラウドの導入はあまり進んでおらず、オンプレミスの施設が残っている。
The public sector is dependent on external resources for core skills. The public sector depends heavily on third parties to augment digital and data teams. Of the £26 billion public sector digital and data spend in 2023, less than 20% (around £5 billion) was on permanent public sector staff while 55% (£14.5 billion) was spent on contractors, managed services providers, and IT consultants. Headcount restrictions have made it easier to hire more costly third-party resources than permanent staff, with the average contractor in the central government costing 3 times as much per year as the average civil servant. In the public sector, contractors account for approximately 18% headcount but around 40% headcount cost. Use of temporary staff also hinders retention of institutional knowledge. 公共部門はコアスキルを外部リソースに依存している。公共部門は、デジタルチームやデータチームを補強するためにサードパーティに大きく依存している。2023年の公共部門のデジタル・データ関連の支出260億ポンドのうち、公共部門の正規職員への支出は20%未満(約50億ポンド)であり、55%(145億ポンド)は請負業者、マネージドサービス・プロバイダー、ITコンサルタントに費やされている。人員制限により、正規職員よりもコストの高いサードパーティ・リソースの雇用が容易になり、中央政府の平均的な請負業者の年間コストは平均的な公務員の3倍となっている。公共部門では、契約社員は人員数の約18%を占めるが、人件費は約40%である。また、臨時職員の利用は、機構知識の保持を妨げる。
There are not enough digital and data people in the right roles. The proportion of the workforce in digital and data roles varies across the public sector and has doubled across central government and agencies from 3% in 2021 to around 6% today. Despite this significant growth, the largest operational departments (MOD, HMRC, Home Office, DWP) average 5% vs. benchmarks of 6% for central governments and 8-12% in regulated private sector industries. Most other operational organisations are in-line with benchmarks, and many agencies, arm’s length bodies (ALBs) and non-departmental public bodies (NDPBs) have a greater share of digital and data staff than benchmarks. In local government, digital and data roles are only 2% of headcount, against benchmarks of 4%, in the NHS, workforce proportion roughly matches a comparable 3% benchmark. The mix of digital and data roles is also skewed. The digital and data workforce has an oversupply of project managers and other non-technical digital and data functions relative to technical roles (such as software developers). High-performing private sector organisations achieve a ratio of 4:1 technical to non-technical roles in their permanent staff. In the Civil Service, the current ratio is closer to 2:1. 適切な職務に就くデジタル・データ人材が不足している。デジタルとデータの職務に就く労働者の割合は、公共部門によって異なり、中央政府およびガバナンス全体で、2021年の3%から現在の約6%へと倍増している。この大幅な成長にもかかわらず、最大の業務部門(国土海洋省、HMRC、内務省、DWP)の平均は5%で、中央政府のベンチマークは6%、規制対象の民間業界では8~12%である。その他のほとんどの業務組織はベンチマークと同水準であり、多くの機関、独立行政法人(ALB)、非省庁公共団体(NDPB)では、デジタル・データ担当者の割合がベンチマークを上回っている。地方政府では、デジタルとデータの役割は、ベンチマークの4%に対し、従業員数のわずか2%であり、NHSでは、従業員数の割合は、同ベンチマークの3%とほぼ一致している。デジタルとデータの役割の構成も偏っている。デジタル・データ部門の労働力は、技術的な役割(ソフトウェア開発者など)に対して、プロジェクト・マネジャーやその他の非技術的なデジタル・データ機能が過剰に供給されている。高業績の民間企業では、正社員の技術職と非技術職の比率は4:1である。公務員では、現在の比率は2:1に近い。
The public sector struggles to consistently attract and retain top digital and data talent. Compensation is below the private sector; for example a typical central government cyber specialist earns 35% less than private sector peers, while civil service CISOs earn on average 40% less than their private sector counterparts.[footnote 7] While the Digital, Data and Technology pay framework attempts to close this gap, it is not universally or consistently adopted, encouraging skilled talent to move within the sector to earn more. 公共部門は、デジタルとデータの優秀な人材を常に惹きつけ、維持するのに苦労している。例えば、典型的な中央政府のサイバー・スペシャリストの給与は民間企業より35%低く、公務員CISOの給与は民間企業より平均40%低い[脚注7]。デジタル・データ・テクノロジーの給与枠組みはこのギャップを埋めようとしているが、普遍的かつ一貫して採用されているわけではないため、熟練した人材がより多くの給与を得るために部門内を移動することを奨励している。
Digital leadership is not a consistent priority. In contrast to the private sector where digital leaders are routinely part of executive committees, public sector digital leaders are not well represented at executive level and often report lower in their organisations, relative to policy, operational delivery, and finance colleagues. Digital capabilities are not seen as essential for policy formulation or operational delivery and are regarded as lower prestige. Most non-digital leaders have insufficient technical expertise and lack the digital orientation and training to implement tech-enabled programmes, in contrast to best practice in the private sector where digital and technical expertise are increasingly seen as essential general management skills. デジタル・リーダーシップは一貫した優先事項ではない。デジタル・リーダーが日常的に経営委員会の一員となっている民間セクターとは対照的に、公共セクターのデジタル・リーダーは、経営幹部レベルではあまり代表者がおらず、組織内でも、政策、業務遂行、財務の同僚に比べ、相対的に低い位置にいることが多い。デジタル能力は、政策立案や業務遂行に不可欠とは見なされておらず、名声も低いと見なされている。ほとんどの非デジタル・リーダーは、技術的な専門知識が不十分で、ハイテクを活用したプログラムを実施するためのデジタル志向やトレーニングを受けていない。
The public sector does not realise the value of its buying power. The public sector does not have a cohesive digital sourcing strategy: organisational silos, the challenges of sharing services, and the lack of collective buying drive fragmented purchasing. Each of the NHS’s 209 secondary care entities negotiates and buys its own infrastructure. Over 320 local councils negotiate their own agreements. Commercial teams often have insufficient category expertise to drive optimal terms, and digital teams commonly lack the capability to properly manage vendors. Only 28% of survey respondents believe their organisation has sufficient internal capabilities to monitor, track and drive supplier performance. Work by the Crown Commercial Service (CCS), the Government Commercial Function (GCF) and Central Digital and Data Office (CDDO) has created common frameworks and constructs which consolidate the buying power of central government, but these are not mandatory or universally adopted. 公共部門は、その購買力の価値に気づいていない。公共部門は、まとまったデジタル・ソーシング戦略を持っていない。組織のサイロ化、サービス共有の課題、共同購買の欠如が、断片的な購買を促進している。NHSの209の二次医療事業体は、それぞれ独自のインフラを交渉し購入している。320を超える地方議会が、それぞれ独自に契約交渉を行っている。カテゴリー別の専門知識が不十分なため、最適な条件を提示できないことが多く、デジタル部門はベンダーを適切に管理する能力を欠いている。調査回答者の28%だけが、サプライヤーのパフォーマンスを監視、追跡、推進するための十分な内部能力が組織にあると考えている。クラウン・コマーシャル・サービス(CCS)、政府商業機能(GCF)、セントラル・デジタル・アンド・データ・オフィス(CDDO)の取り組みにより、中央政府の購買力を統合する共通の枠組みや構成が作成されたが、これらは強制的でも普遍的でもない。
Central digital capabilities have had some success but limited cross-sector reform. Government Digital Service (GDS) created GOV.UK, a single publishing platform replacing more than 1,800 separate websites, and continues to refine One Login to simplify access to central government services. CDDO has driven a critical focus on service usability and efficiency through the Top 75 Services Programme. However, a lack of sustained senior sponsorship, uneven funding and a focus on central government departments rather than the full public sector have limited the ability of central teams to drive deep, cross-sector reforms which address the challenges described in this report. 中央デジタル機能は一定の成功を収めているが、セクター横断的な改革は限定的である。政府デジタル・サービス(GDS)は、1,800以上の個別のウェブサイトに代わる単一のパブリッシング・プラットフォームであるGOV.UKを創設し、中央政府サービスへのアクセスを簡素化するためにワン・ログインの改良を続けている。CDDOは、トップ75サービスプログラムを通じて、サービスの使いやすさと効率性に重要な焦点を当ててきた。しかし、継続的なシニア・スポンサーの不足、不均一な資金調達、公共部門全体ではなく中央政府部門に焦点を当てた取り組みにより、本報告書に記載された課題に取り組む部門横断的な深い改革を推進する中央チームの能力が制限されている。
This review has identified 5 root causes: このレビューでは、5つの根本原因を特定した:
1. Leadership 1. リーダーシップ
There is little reward for prioritising an agenda of service digitisation, reliability, or risk mitigation. Organisational leaders are not paid, promoted, or valued for doing so. Digital does not shape and drive the organisational agenda. サービスのデジタル化、信頼性、リスク緩和のアジェンダを優先しても、ほとんど報われない。組織のリーダーは、デジタル化を推進することに対し、報酬も昇進も評価もされない。デジタルが組織のアジェンダを形成し、推進することがない。
2. Structure 2. 構造
Fragmentation is a feature of the system. Public sector organisations are independent bodies with limited mechanisms to contract services from each other. Most choose to build and maintain their own technology estate, inhibiting standardisation, interoperability and reuse, and constraining the ability to benefit from scale. Architectural design, product management, operations, and development are inconsistent between organisations. The public is presented with fragmented services and expected to make sense of them. 細分化はシステムの特徴である。公共部門は独立団体であり、相互にサービスを契約する仕組みは限られている。ほとんどの組織は、独自の技術資産を構築し維持することを選択し、標準化、相互運用性、再利用を阻害し、規模の恩恵を受ける能力を制約している。アーキテクチャの設計、製品管理、運用、開発は、組織間で一貫性がない。国民は断片的なサービスを見せられ、それを理解することを求められる。
3. Measurement 3. 測定
The public sector does not have consistent metrics of digital performance. Aggregate data about service quality, user experience, cost and risk exposure is not available without dedicated, periodic effort such as the production of this report. 公共部門は、デジタル・パフォーマンスの一貫した測定基準を持っていない。サービス品質、ユーザー・エクスペリエンス、コスト、リスク・エクスポージャーに関する集計データは、本レポートのような専用かつ定期的な取り組みなしには入手できない。
4. Talent 4. 人材
Compensation and career path progression are uncompetitive with the private sector, especially for senior leaders. A lack of integrated cross-government workforce strategy limits recognition of specialist skill needs and prevents realisation of efficiencies longer term. Headcount restrictions intended to constrain spend have shifted cost and talent to third-party contractors, managed services and IT consultants, also degrading institutional knowledge. 報酬とキャリアパスは、特にシニアリーダーにとって、民間企業との競争力がない。政府を横断する統合的な人材戦略の欠如により、専門スキルのニーズの認識が制限され、長期的な効率性の実現が妨げられている。支出抑制を目的とした人員制限により、コストと人材がサードパーティ、マネージドサービス、ITコンサルタントにシフトし、制度的知識も低下している。
5. Funding 5. 資金調達
Spend is biased towards new programmes with insufficient prioritisation of the effective operation and maintenance of existing systems, especially legacy assets. New or urgent legislation often comes without additional funding, forcing re-prioritisation of previously allocated budgets. This presents an acute challenge for digital and data projects as funding has shifted from capital purchase towards subscription-based, increasing the reliance on committed ongoing funding. 既存システム(特にレガシー資産)の効果的な運用と保守の優先順位付けが不十分で、新規プロ グラムに支出が偏っている。新しい法律や緊急の法律が追加資金なしで制定されることも多く、以前割り当てられた予算の再優先化を余儀なくされる。資金調達が資本購入からサブスクリプション・ベースに移行し、継続的な資金調達への依存度が高まっているためである。

 

 

・[PDF] State of digital government review

20250127-53115

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.01.27 英国 現代的デジタル政府のための青写真 (2025.01.21)

・2025.01.26 英国 AI機会行動計画 (2025.01.13)

| | Comments (0)

2025.01.26

英国 AI機会行動計画 (2025.01.13)

こんにちは、丸山満彦です。

英国政府が、AI機会行動計画 (AI Opportunities Action Plan) を公表しています。これは、科学技術革新担当国務長官のピーター・カイル議員 が、技術起業家であり先進研究・発明推進機構(ARIA)会長のマット・クリフォード(Matt Clifford CBE)に依頼して作成し、議会に提出したものです。。。

読めば、英国の目指すところと、危機感がよく現れているように思いました。(もちろん、実際にこの計画を実現できるのか?という実行力がポイントとなるわけですが...)

目指すところは...

  • AIの基盤に投資する:世界クラスのコンピューティングとデータのインフラ、人材へのアクセス、そして規制が必要である(Section 1

  • 経済圏を超えたAIの採用を強力に推進する:公共部門は、AI製品やサービスを迅速に試験的に拡大し、民間部門にも同じことを奨励すべきである。 そうすることで、市民にとってより良い体験と成果をもたらし、生産性を高めることができる(Section 2

  • 英国をAIメーカーに位置づけ、AIテイカーにしない:テクノロジーがより強力になるにつれて、我々はフロンティアAIを構築する人々にとって最良の国家パートナーとなるべきである。 英国は、AI スタックの重要な層で真の国家チャンピオンを持つことを目指し、英国がAI の進歩から経済的に利益を得、将来のAI の価値、安全性、ガバナンスに影響力を持つようにすべきである(Section 3)。

 

優秀な人材がいる会社が発展するように、優秀なAIがある会社は発展しそうです。同様に、優秀な人材がいる国は発展するように、優秀なAIがある国は発展しそうです。

もちろん、優秀なAIを優秀な人材が活用するということなのですが...

このあたり、日本の政治家がどの程度理解できているか?ということが気になります。

話は少しずれますが、日銀が金利をあげると発表しました。物価上昇が目標値になり、賃金も上昇し、景気も良くなっているという判断?なのでしょうかね。為替レートもいつまでも円安というわけにもいかないし...

金利政策や財政政策をもって景気を刺激することは可能と思います。ただ、金利政策も財政政策も刺激をするだけなんでしょうね...実態として付加価値を産む活動が小さければ、効果は薄いと感じます。

そして、経済力、技術力というのは、ご存知のとおり安全保障の大きな要素です。

そういうことを考えると、日本は技術立国として、技術開発により社会に大きな付加価値を生むような活動を継続的にしていかなければ、立ち行かなくなるように思います。(観光立国ではなく...)

なんか、英国が産業革命で工業国になった後、金融にシフトし、そして知的工場ともいえそうなAIによる発展というのを目指しているというのは、なかなか興味深いなと思いました。

英国にも学ぶことが多いように思います...

政治家や政策担当者は、目を通すべき文書だと思います...

 

● GOV.UK

・2025.01.13 Independent report AI Opportunities Action Plan

AI Opportunities Action Plan AI機会行動計画
Recommendations for the government to capture the opportunities of AI to enhance growth and productivity and create tangible benefits for UK citizens. 成長と生産性を高め、英国市民に具体的な利益を創出するために、政府がAIの機会を捉えるための提言。

 

目次...

 

・[HTML] AI Opportunities Action Plan

Foreword by the Secretary of State for Science, Innovation and Technology  科学・イノベーション・技術担当国務長官によるまえがき
The opportunity 機会
1. Lay the foundations to enable AI 1. AIを実現するための基盤を整備する
1.1 Building sufficient, secure and sustainable AI infrastructure 1.1 十分で安全かつ持続可能なAIインフラを構築する
1.2 Unlocking data assets in the public and private sector  1.2 公共部門および民間部門のデータ資産を解き放つ
1.3 Training, retaining, and attracting the next generation of AI scientists and founders 1.3 次世代のAI科学者や創業者を育成し、維持し、惹きつける
1.4 Enabling safe and trusted AI development and adoption through regulation, safety and assurance 1.4 規制、安全性、保証を通じて、安全で信頼できるAIの開発と採用を可能にする
2. Change lives by embracing AI 2. AIを取り入れることで生活を変える
2.1 AI Adoption is core to delivering the government's missions  2.1 AI導入は政府のミッションを実現する中核となる
2.2 Adopt a “Scan → Pilot → Scale” approach in government  2.2 政府において「スキャン→パイロット→スケール」アプローチを採用する
2.3 Enable public and private sectors to reinforce each other 2.3 官民セクターが相互に強化できるようにする
2.4 Address private-sector-user-adoption barriers  2.4 民間セクター・ユーザー導入の障壁に対処する
3. Secure our future with homegrown AI 3. 国産AIで未来を守る
Conclusion まとめ

 

 

・[PDF]

20250126-63843

 

 

 

 

| | Comments (0)

«米国 NIST IR 8374 Rev.1(初期公開ドラフト)ランサムウェアのリスクマネジメント: サイバーセキュリティフレームワーク2.0コミュニティ (2025.01.13)