ENISA 認証をサポートする規格

こんにちは、丸山満彦です。

ENISAから認証をサポートする規格に関する報告書が公開されていますね。。。

■ ENISA

・2020.11.24 Standards Supporting Certification

・[PDF] 

この報告書では、EUのサイバーセキュリティ認証制度の候補として発展させる可能性のあるフレームワーク、制度、基準を持つ

1. IoT
2. クラウドインフラとサービス
3. 金融セクター脅威ベースインテリジェンス
4. 電子カルテ
5. 適格トラストサービス

の5つの分野についての基準を分析し、ギャップを特定し、これらのギャップにど標準化団体がどのように対処できるか、また、利用可能な標準をどのように適応させて、将来のEUサイバーセキュリティ認証制度の基礎を形成する可能性があるかについての提言を行っているということです。。。

 

---

■ 参考 (一部ですが・・・）

[IoT]

● Eurosmmart

・Eurosmart IoT Certification Scheme

・・TR-E-IOT-SCS-PART-1

E-IoT-SCS Certification Scheme Process & Policy - This document defines the policies and processes that govern the IoT device certification scheme.

・・TR-E-IOT-SCS-PART-2

E-IoT-SCS Generic Protection Profile - This document is a generic representation of common security requirements on IoT devices. It is based on a security risk analysis approach of an IoT Device operating in a typical infrastructure without considering a specific type of data or a context for risk calculation. The main output of this document is a list of security goals and requirements qualifying the need to counter security threats identified on a typical IoT device

・・TR-E-IOT-SCS-PART-3

E-IoT-SCS Evaluation Methodology - Document defining the evaluation activities to be performed by an evaluator and links between them in order to conduct properly an evaluation. It lists evaluation evidences required to perform actions as defined in the security assurance requirements. It defines way to report evaluation results in Evaluation technical report and observation report. It also provides rules to define verdict and criteria of failure.

・・TR-E-IOT-SCS-PART-4

CABs Agreement - Guidelines listing the rules for setting up agreement between CABs and Certification Scheme stakeholders (e.g. other CABs – CAB reviewer, CAB evaluator, NABs, etc.)

・・TR-E-IOT-SCS-PART-5

CABs Accreditation Policy - Guidelines describing policy for CABs accreditation

 

[金融セクター脅威ベースインテリジェンス]

● Europian Central Bank

・TIBER-EU

・・2018.08 [PDF] Framework - Services Procurement Guidelines

・・2018.12 [PDF] White Team Guidance - The roles and responsibilities of the White Team in a Threat Intelligence-basedEthical Red Teaming test

・・2020.07 [PDF] Guidance for Target Threat Intelligence Report

・・2020.07 [PDF] Guidance for the Red Team - Test Plan

・・2020.08 [PDF] Guidance for the Red Team - Test Report

・・2020.08 [PDF] Guidance for the TIBER-EU Test Summary Report

Template

・・2020.07 [PDF] Scope Specification Template

・・2020.07 [PDF] TIBER-EU Attestation Template

» Continue reading

米国 国土安全保障省 国土安全保証諮問委員会の最終報告書（バイオメトリックス、経済安全保障、緊急技術とか・・・）

こんにちは、丸山満彦です。

国土安全保障諮問委員会の2020.11に公表された最終報告書を中心にいくつかまとめておきます・・・

● U.S. Department of Homeland Security - Homeland Security Advisory Council

・経済安全保障
・2020.11.16 [PDF] Final Report of the Economic Security Subcommittee

・ICTリスク低減
・2020.11.16 [PDF]  Final Report of the ICT Risk Reduction Subcommittee

・バイオメトリクス
・2020.11.13 [PDF]  Final Report of the Biometrics Subcommittee

過去分

・信仰に基づくコミュニティを狙った暴力の防止
・2019.12.17 [PDF]  Final Report of the Preventing Targeted Violence Against Faith-Based Communities Subcommittee

・州、地方、部族、領地のサイバーセキュリティ
・2020.04.21 [PDF]  State, Local, Tribal, Territorial Cybersecurity Final Report

---

---

米国政府のセキュリティ対応について、経済産業省が過去（2018.03）に整理していますね。。。

● 経済産業省

・2018.03 [PDF] 調査報告書 平成 29 年度サイバーセキュリティ経済基盤構築事業 （米国から見た諸外国のサイバー空間における能力等の実態に関する調査）

---

 

» Continue reading

フェイク画像はここまで来たのか・・・ (The New York Times)＋IDF辻井先生のコラム

こんにちは、丸山満彦です。

これ、もはや本物とわからないし、スライドバーで色々な顔を作れる。。。ここまで来たら、真贋判定機も同時にリリースしてもらわないと。。。

● The New York Times

・2020.11.21 Artificial Intelligence Fake People Faces 

Designed to Deceive: Do These People Look Real to You? by Kashmir Hill and Jeremy White

 

これから通信ソフトでは、好きな顔、声、言語等の組み合わせで複数のアバターの登録ができるようになるかもですね。。。ネット上では本当の自分というものをどう定義したら良いやら・・・

特に自分がやっていないことを証明するのが難しくなりますね。。。

 

■ 参考

● デジタル・フォレンジック研究会

・2020.11.23 第６４１号コラム：「暗号学者の視た理念と現実（天国からの恩師のご下問に応えて）―『楕円曲線暗号から情報セキュリティ総合科学まで』」 by 辻井重男 [wikipedia]

STR（Short Tandem Repeat）という、センシティブな個人情報は含まないDNA情報を公開鍵暗号の中の秘密鍵に秘密に内蔵させるという方式

というのは、自分がやったことの証明には使えそうですね。。。

このコラム面白いです。

「シャノン・染谷の標本化定理」の話と「五月みどり」が・・・

あと、板倉征男先生の話も出てきますね。。。まもなくなくなってから10年ですね。。。

ネットの信頼性についてはちょっと考えないとですね。。。

Europol, UNICRI, Trendmicro 犯罪者もAIを活用！（ディープフェイクだけではない）

こんにちは、丸山満彦です。

Europolと国連の犯罪研究所であるUnited Nations Interregional Crime and Justice Research Institute (UNICRI) [wikipedia]がTrendmicroの協力を得て、Malicious Uses and Abuses of Artificial Intelligence (AIの悪意ある利用とAIの悪用)という報告書を出していますね。。。

● Europol

・2020.11.19 NEW REPORT FINDS THAT CRIMINALS LEVERAGE AI FOR MALICIOUS USE – AND IT’S NOT JUST DEEP FAKES

Europol, UNICRI and Trend Micro uncover current and future threats of AI and how to combat them

・・[PDF] Malicious Uses and Abuses of Artificial Intelligence

 

リコメンデーションとして、

• 犯罪と戦うツールとしてのAI技術を利用する
• 防御技術の開発を促進するための研究を継続する
• 安全なAI設計フレームワークを促進し、開発する
• サイバーセキュリティ目的でのAIの使用に関して政治的な美辞麗句を辞める
• 官民パートナーシップを活用し、学際的な専門家グループを設立する

という感じでしょうか・・・

内容を見出しレベルで書き出すと・・・

仮章番	原文	仮訳
[1]	Introduction	序章
[2]	The Present State of Malicious Uses and Abuses of AI	AIの悪意ある利用とAIの悪用の現状
[2-1]	AI Malware	AIマルウェア
[2-2]	AI Malware at Large	大規模なAIマルウェア
[2-3]	Abusing AI Cloud Services	AIクラウドサービスの悪用
[2-4]	Abusing Smart Assistants	スマートアシスタントの悪用
[2-5]	AI-Supported Password Guessing	AIに支援されたパスワード推測
[2-6]	AI-Supported CAPTCHA Breaking	AIに支援されたCAPTCHA突破
[2-7]	AI-Aided Encryption	AI援用暗号化
[2-8]	Trends Found on Underground Forums	地下フォーラムで見つけたトレンド
[2-8-1]	Human Impersonation on Social Networking Platforms	ソーシャル・ネットワーキング・プラットフォーム上での人間のなりすまし
[2-8-2]	Online Game Cheats	オンラインゲームのチート
[2-8-3]	AI-Supported Hacking	AIに支援されたハッキング
[2-8-4]	AI-Supported Cryptocurrency Trading	AIに支援された暗号通貨取引
[2-8-5]	Social Engineering	ソーシャルエンジニアリング
[3]	Future Scenarios of Malicious Uses and Abuses of AI	AIの悪用と悪用の将来シナリオ
[3-1]	Social Engineering at Scale	スケールアップしたソーシャルエンジニアリング
[3-2]	Content Generation	コンテンツ生成
[3-3]	Content Parsing	コンテンツ解析
[3-4]	Improved Social Profile Aging for Forums and Botnets	フォーラムやボットネットのためのソーシャル・プロフィール・エイジングの改善
[3-5]	Robocalling v2.0	ロボコーリング v2.0
[3-6]	Criminal Business Intelligence	犯罪者ビジネスインテリジェンス
[3-7]	Abusing Image Recognition Systems	画像認識システムの悪用
[3-7-1]	Autonomous Cars	自律走行車
[3-7-2]	Drones, Connected Skies, and the Internet of Flying Things	ドローン、コネクテッドスカイ、空を飛ぶIoT
[3-8]	Escaping an Image Recognition System	画像認識システムの回避
[3-9]	Remote Machine Learning Sets Pollution	汚染させられた遠隔機械学習
[3-9-1]	Security Algorithms	セキュリティアルゴリズム
[3-9-2]	AI-Enabled Stock Market Manipulation	AIを活用した株式市場の操作
[3-10]	Business Process Compromise and Injection of Safelisted Telemetry	ビジネスプロセスの汚染と安全なテレメ遠隔測定の注入
[3-11]	Insider Attacks: Banking and Trading Floor AI	インサイダー攻撃：銀行と取引所のAI
[3-12]	Local Library Poisoning by Resident Malware	常駐マルウェアによる地域の図書館中毒
[3-13]	AI-Supported Ransomware	AIに支援されたランサムウェア
[3-14]	Escaping AI Detection Systems	AI検出システムの回避
[3-14-1]	Fraud and Voice Recognition in Banks	銀行における不正行為と音声認識
[4]	Recommendations	勧告
[5]	Case Study: A Deep Dive Into Deepfakes	ケーススタディ：ディープフェイクスへのディープダイブ
[5-1]	Deepfakes	ディープフェイクス
[5-2]	The Technology Behind Deepfakes	ディープフェイクスを支える技術
[5-2-1]	Deepfake Creation: Apps and Tools	ディープフェイク作成：アプリとツール
[5-3]	The Current State of the Abuse of Deepfakes	ディープフェイクスの悪用の現状
[5-4]	Potential Reasons for the Low Rate of Adoption of Deepfakes	ディープフェイクスの採用率が低い潜在的な理由
[5-5]	Some Possible Future Threats of Deepfakes	ディープフェイクの将来的な脅威のいくつかの可能性
[5-6]	Countering Deepfakes	ディープフェイクに対抗する
[5-6-1]	Deepfake Detection	ディープフェイクの検出
[5-6-2]	Deepfake Policies	ディープフェイクポリシー
[5-6-3]	Recommendations and Considerations for Further Research	さらなる研究への提言と考察
[6]	Conclusion	結論
[7]	Appendix	付録
[7-1]	YARA Rules for AI-Powered Malware Detection	AIを活用したマルウェア検出のためのYARAルール
[8]	References	参考文献

 

 

» Continue reading

INTERPOL, Europol, バーゼルガバナンス研究所 「第4回犯罪金融と暗号通貨に関する世界会議」の7つの推奨事項

こんにちは、丸山満彦です。

INTERPOL, Europol, バーゼルガバナンス研究所 [wikipedia]が共催で2020.11.18-19に「第4回犯罪金融と暗号通貨に関する世界会議」を開催し、暗号通貨犯罪の動向と調査、闇市場における犯罪の流れと操作の探求、ランサムウェア等の事例研究、仮想資産を巻き込んだマネーロンダリング、暗号通貨を利用した薬物収益の移転などが議論され、7つの推奨事項が公表されていますね。

● INTERPOL

・2020.11.20 Shaping an international response against criminal finances and misuse of cryptocurrencies

International conference focuses on cross-sector solutions against criminal finances and cryptocurrency-facilitated crime

● Europol

・2020.11.20 OVER 2 000 PARTICIPANTS FROM 132 COUNTRIES LOGGED ON FOR THE 4TH GLOBAL CONFERENCE ON CRIMINAL FINANCES AND CRYPTOCURRENCIES

・[PDF] Recommendations - 4th Global Conference on Criminal Finances and Cryptocurrencies

● Basel Institute on Governance 

・2020.11.20 Global Conference on Criminal Finances and Cryptocurrencies closes with 7 key recommendations for fighting crypto-enabled crime

 

7つの推奨事項はEuropolのウェブページにありますが、次の通りとなりますね。

A. Adopt  tools to extend capabilities on how to investigate Virtual Assets	A. 仮想資産の調査方法について機能を拡張するためのツールの採用
B. Apply rules to regulate Virtual Asset Service Providers to prevent money laundering	B. マネーロンダリング防止のための仮想資産サービス事業者の規制ルールの適用
C. Apply the strategy to “Follow the Money”	C. Follow the Money への戦略の適用
D. Strengthen international cooperation	D. 国際協力の強化
E. Adopt a multidisciplinary approach	E. 学際的なアプローチの採用
F. Promote new technologies applied to the financial investigation on Virtual Assets	F. 仮想資産の財務調査に適用される新技術の推進
G. Adapt investigation strategies	G. 調査戦略の適応

 

 

» Continue reading

MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

こんにちは、丸山満彦です。

MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

1. 民間宇宙船のサイバー攻撃を中心とした見方とその対策について
2. 宇宙情報共有のためのフレームワーク
3. 宇宙交通を把握するブロックチェーン（BESTA）：宇宙交通の自動管理を支える異常行動の発見
   
4. 小型衛星のためのサイバーベストプラクティス
   
5. 複雑で動的な軌道外宇宙運用の図式化
   
   

● MITRE

・2020.11 A Cyber Attack-Centric View of Commercial Space Vehicles and the Steps Needed to Mitigate

Companies should implement a robust monitoring strategy to detect and mitigate cyber attacks. Companies should share information with the Space ISAC to ensure the safety of space for all.

・[PDF]

・2020.11 A Space Information Sharing Framework

Information sharing between space operators is needed to ensure joint safety-of-operations. It must balance between sharing for necessary preservation of the space operating environment and protecting sensitive mission information.

・[PDF]

・2020.11 Blockchain Enabled Space Traffic Awareness (BESTA): Discovery of Anomalous Behavior Supporting Automated Space Traffic Management

MITRE explores using blockchain to improve provenance of STM information to support automated discovery (and safeguarding evidence) of anomalies, supporting increased STM automation. An international multi-tier information sharing model is proposed.

・[PDF]

・2020.11 Cyber Best Practices for Small Satellites

To address principles described in the U.S. government’s Space Policy Directive Five, a set of "resilient space best practices" guidelines should be established. In this paper, we tailor the principles used in these other applications to the space domain.

・[PDF]

・2020.11 Charting Complex, Dynamic and Extra-Orbital Space Operations

How can we preserve and secure space for the benefit of all? Using the operational decisions that will confront space operators, we identify essential services and information exchanges for a complex environment.

・[PDF]

 

---

米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

こんにちは、丸山満彦です。

U.S. GAOが国防省のJoint Cyber Warfighting Architecture (JCWA) について相互運用性目標を定義することを推奨していますね。。。

● U.S. GAO

・2020.11.19 DEFENSE ACQUISITIONS: Joint Cyber Warfighting Architecture Would Benefit from Defined Goals and Governance

• [PDF] Highlights Page
  
  
• [PDF] Full Report

Joint Cyber Warfighting Architecture (JCWA) は、次の5つの要素からなっています。

1. Persistent Cyber Training Environment; PCTE - Training, assessment and mission rehearsal
2. Joint Cyber Command and Control - Decision-making
3. Joint Common Access Platform - Mission enablement
4. Sensors - Situational awareness
5. Cyber Tools - Operations

 

 

推奨事項は次の2つ

1. Recommendation: The Secretary of Defense should direct the Commander, U.S. Cyber Command, to define and document Joint Cyber Warfighting Architecture goals for interoperability requirements to help synchronize acquisition efforts. 
   
   
2. Recommendation: The Secretary of Defense should direct the Commander, U.S. Cyber Command, to further develop the Joint Cyber Warfighting Architecture governance structure by defining and documenting the roles and responsibilities of the Joint Cyber Warfighting Architecture Integration Office and Joint Cyber Warfighting Architecture Capabilities Management Office. 

 

■ 参考

2020年3月4日にサイバー軍司令官のナカソネ氏の上院での証言でJCWAに触れられていますね。。。

● U.S. Congress

・2020.03.04 STATEMENT OF GENERAL PAUL M. NAKASONE COMMANDER UNITED STATES CYBERSPACE COMMAND BEFORE THE HOUSE COMMITTEE ON ARMED SERVICES SUBCOMMITTEE ON INTELLIGENCE AND EMERGING THREATS AND CAPABILITIES

» Continue reading

欧州データ保護委員会-第42回本会議、第41回本会議（標準契約条項）

こんにちは、丸山満彦です。

プライバシーシールド無効の判決を受けて色々と検討をしていたEDPBの動き。。。2つのSCC（標準契約条項）案が開示されたりしていますので、参考まで・・・

● European Data Protection Board: EDPB

・2020.11.20 European Data Protection Board - 42nd Plenary session: Presentation of two new sets of SCCs & EDPB adopts statement on ePrivacy Regulation

・2020.11.11 European Data Protection Board - 41st Plenary session: EDPB adopts recommendations on supplementary measures following Schrems II

EU域内の管理者と処理者の間の標準契約条項案

・2020.11.12 Data protection - standard contractual clauses between controllers & processors located in the EU (implementing act)

・・ [PDF] Draft implementing decision - Ares(2020)6654429

・・ [PDF] Annex - Ares(2020)6654429

 

個人データをEU以外に転送するための標準契約条項案

・2020.11.12 Data protection - standard contractual clauses for transferring personal data to non-EU countries (implementing act)

・・[PDF] Draft implementing decision - Ares(2020)6654686

・・[PDF] Annex - Ares(2020)6654686

 

 

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.08.13 プライバシーシールド無効の判決を受けて、米国商務長官と欧州司法長官が共同プレス声明していますね

・2020.07.26 欧州データ保護委員会がプライバシーシール無効判決についてのFAQを公開していますね

・2020.07.16 EU-USのプライバシーシールドを無効にしま〜す by EU裁判所

米国 2020年IoTサイバーセキュリティ改善法が上院を通過

こんにちは、丸山満彦です。

米国では、2020.11.17にIoTサイバーセキュリティ改善法 (IoT Cybersecurity Improvement Act of 2020)が上院を通過していますね。。。元々は2019.03.11に提出されています。。。

● Congress

概要については、

・Summary: H.R.1668 — 116th Congress (2019-2020)

この法案は、米国標準技術研究所（NIST）に政府機関が所有または管理する情報システムに接続されたIoTデバイスの適切な使用と管理に関する連邦政府の標準とガイドラインを作成するよう指示していますね。その他、制定から180日以内に、情報システムに関連するセキュリティの脆弱性の開示プロセスに関連する基準とガイドラインを確立するように要求していますね。。。

法案文

・https://www.congress.gov/bill/116th-congress/house-bill/1668/text

・Wordにしてみました。。。[word]

スポンサー

・Robin Kelly

 

 

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている？

 

» Continue reading

自民党デジタル社会推進本部がデジタル庁についての第一次提言を平井卓也デジタル改革担当相に手交

こんにちは、丸山満彦です。

日本ではデジタル庁に向けて自民党のデジタル社会推進本部（本部長：下村博文政調会長）が、｢デジタル庁｣についての提言を平井卓也デジタル改革担当相に提出（手交）したことが話題になっていますね。。。

ここは、メール送信でも、クラウド上での共有でもなく、マスクをして手交。。。全てをデジタル化する必要はないですからね。。。儀式という感じですかね。。。

● You Tube - 平井たくや

・2020.11.18 (You Tube) 自民党デジタル社会推進本部提言手交_20201118 (5:49)

●　Business Insider

・2020.11.18 ｢マイナンバー普及には3倍以上のスピードが必要｣自民党がデジタル庁創設へ提言提出、全41項目……主なポイントとは？ by 小林 優多郎 ［編集部］

主なポイント

● 政府＋自治体関係

• 内閣直属で、強い権限を有した常設組織とし、予算一括計上と執行権限、十分な機構・定員を付与
• デジタル庁主導で、各府省や地方公共団体で整備・運用・検討されている情報システムについて、検討案や見直しを設定
• 個人・法人に対し、各府省など地方公共団体共通の行政サービス電子調達ポータルを提供
• マイナンバーの担う役割の整理。マイナンバーカードの利便性の向上。標準的なAPIを提供し、民間事業者が提供するサービスとの連携を実現
• 個人情報保護法、行政機関個人情報保護法、独立行政法人個人情報保護法の1本化
• 内閣サイバーセキュリティセンター（NISC）、独立行政法人情報処理推進機構（IPA）、地方公共団体情報システム機構（J-LIS）などの関係機関の役割を明確化、必要であれば組織の見直し
• 準備室の段階から多様な経験を有する民間などの専門家を雇用。年齢や官民にとらわれない人材配置を行なう。
• デジタル庁においては官民問わず適材適所の人材配置を行う。
• 国家公務員全体の採用、育成、働き方の見直し。

● マイナンバー関係

• 使いにくい点を是正。（複数のパスワード設定、5年おきの公的個人認証の更新、10年おきのマイナンバーカードの更新、ビニールケースでマイナンバーを隠す運用等）
• “マイナンバーカードと健康保険証との一体化”に伴う健康保険証発行義務の緩和および将来的な廃止
• 預貯金口座へのマイナンバー付番
• スマートフォンへのマイナンバーカード機能の搭載

予算と人事の一元化ですかね。。。お得意の。。。一元化は集中リスクが出ますから、トップがよっぽどおつむがよくないと大変なことになりますね。。。

まぁ、期待しておきましょうか。。。

---

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.07.07 自民党サイバーセキュリティ対策推進議員連盟の提言

・2012.02.27 自民党 情報セキュリティに関する提言

・2011.12.31 自民党が構想するサイバーセキュリティ対策

MITRE : INTELLIGENCE AFTER NEXT: THE FUTURE OF THE IC WORKPLACE （自宅でインテリジェンス？）

こんにちは、丸山満彦です。

MITREが「INTELLIGENCE AFTER NEXT: THE FUTURE OF THE IC WORKPLACE」という報告書を出しています。COVID-19の環境の中でインテリジェンスも機密防御区画 (sensitive compartmented information facilities; SCIFs)の外部でできる業務は外でする等の配慮が必要となっている、また優秀な人材を惹きつけるような施策も必要であるという話ですかね。。。

インテリジェンスも多くの場合は、情報ソースも公開情報ですから、収集という面をうまく切り出せれば在宅も可能ですよね。。。

● MITRE

・2020.11 TELLIGENCE AFTER NEXT: THE FUTURE OF THE IC WORKPLACE

・・[PDF]

 

---

NIST SP 800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework)

こんにちは、丸山満彦です。

NIST SP 800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework) が確定しましたね。

SP 800-181本文はフレームワークで、詳細な内容は補足のエクセルです。エクセルの方はこれから更新されていくようですね。

主要な変更案は。。。

• サイバーセキュリティ業務を行う多様な人材をより包括的にするための名称の変更、 
• 重要な用語の定義と正規化
• 俊敏性、柔軟性、相互運用性、モジュール性を促進する原則
• コンピテンシーの導入

のようですね。。。

● NIST - ITL

・2020.11.16 (PUBLICATIONS)  SP 800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework)

・[PDF]  SP 800-181 Rev. 1

補足資料:

・NICE Framework homepage (web)

・・Employers

・・Education and Training Providers

・・Learners

・NICE Framework Supplemental Material

・・Reference Spreadsheet (XLSX)

・Blog

・2020.11.16 "Back to the Basics: Announcing the New NICE Framework" (web)

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.11.17 NIST SP 800-181 Rev. 1 (Draft) Workforce Framework for Cybersecurity (NICE Framework)

 

» Continue reading

NIST パブコメ SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem 遠隔患者監視エコシステムのセキュリティ確保

こんにちは、丸山満彦です。

NIST が遠隔患者監視エコシステムのセキュリティ確保に関するガイドラインとして、SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem を公開し、意見を募集していますね・・・

日本でも遠隔医療等の導入の検討も進んでいますが、参考になると思います。全てを遠隔でするわけにはいかないですが、病院までの交通の便や通院による感染リスクを考えた場合、選択肢として必要なんでしょうね。。。

● NIST - ITL

・2020.11.16 SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem

・Draft SP 1800-30 volumes and Project homepage

• [PDF] SP 1800-30A-C
• [PDF] SP 1800-30A: Executive Summary 
• [PDF] SP 1800-30B: Approach, Architecture, and Security Characteristics 
• [PDF] SP 1800-30C: How-To Guides 

 

---

目次

1 Summary
1.1 Challenge
1.2 Solution
1.3 Benefits

2 How to Use This Guide
2.1 Typographic Conventions

3 Approach
3.1 Audience
3.2 Scope
3.3 Assumptions
3.4 Risk Assessment
 3.4.1 Threats
 3.4.2 Vulnerabilities
 3.4.3 Problematic Data Actions for Privacy
 3.4.4 Risk
 3.4.5 Mitigating Risk
3.5 Security Control Map
3.6 Technologies

4 Architecture
4.1 Layering the Architecture
4.2 High-Level Architecture Communications Pathwaysp
4.2.1 Cellular Data Pathways
4.2.2 Broadband Pathways
4.3 Data and Process Flows
4.4 Security Capabilities
 4.4.1 Telehealth Platform Provider
 4.4.2 Risk Assessment Controls
 4.4.3 Identity Management, Authentication, and Access Control
 4.4.4 Data Security
 4.4.5 Anomalies and Events and Security Continuous Monitoring
4.5 Final Architecture

5 Security and Privacy Characteristic Analysis
5.1 Assumptions and Limitations
5.2 Pervasive Controls
5.3 Telehealth Platform Providers
5.4 Risk Assessment (ID.RA and ID.RA-P)
5.5 Identity Management, Authentication, and Access Control (PR.AC and PR.AC-P) Protective Technology (PR.PT-P)
5.6 Data Security (PR.DS and PR.DS-P)
5.7 Anomalies and Events, Security Continuous Monitoring (DE.AE, DE.CM) and Data Processing Management (CT.DM-P)

6 Functional Evaluation
6.1 RPM Functional Test Plan
 6.1.1 RPM Functional Evaluation
 6.1.2 Test Case: RPM-1
 6.1.3 Test Case: RPM-2
 6.1.4 Test Case: RPM-3
 6.1.5 Test Case: RPM-4
 6.1.6 Test Case: RPM-5
 6.1.7 Test Case: RPM-6
 6.1.8 Test Case: RPM-7
 6.1.9 Test Case: RPM-8
 6.1.10 Test Case: RPM-9

7 Future Build Considerations

Appendix A List of Acronyms

Appendix B References

Appendix C Threats and Risks
C-1 Discussion on the Risk Management Framework
C-2 Information and Information System Categorization
C-3 Risk Context
C-4 Threats
C-5 Threat Sources
C-5.1 Business Processes
C-6 Vulnerabilities
C-7 Threat Modeling
 C-7.1 Modeling Threats to the Patient Home
 C-7.2 Linking Threats to Adverse Actions

Appendix D Problematic Data Actions and Risks
D-1 Privacy Risk Assessment Methodology (PRAM)
D-2 Problematic Data Actions and Mitigations
 D-2.1 Privacy Risk 1: Unauthorized individuals may access data on devices 
 D-2.2 Privacy Risk 2: Biometric device types can indicate patient health problems that individuals would prefer not to disclose beyond their healthcare provider
 D-2.3 Privacy Risk 3: Incorrect data capture of readings by devices may impact quality of patient care 
 D-2.4 Privacy Risk 4: Aggregated data may expose patient information
 D-2.5 Privacy Risk 5: Exposure of patient information through multiple providers of system components
D-3 Mitigations Applicable Across Various Data Actions

Appendix E Future Consideration: Applying Micro169 Segmentation Solutions for RPM Solutions

» Continue reading

ロシアと北朝鮮のハッカーがCOVID 19のワク​​チン研究者からデータを盗もうとしている by Microsoft

こんにちは、丸山満彦です。

ロシアと北朝鮮と思われる攻撃者がCOVID 19のワクチン研究者等のデータを盗もうとしている行動をマイクロソフトが検出しているようですね。

具体的には、カナダ、フランス、インド、韓国、米国の大手製薬会社やワクチン研究者が含むCOVID 19関連の研究組織等に対して、Strontium（ロシア）、 Zinc、Cerium（北朝鮮）の攻撃者が侵入を試みていたのを、マイクロソフトが発見し阻止したということのようで、マイクロソフトが関与していない組織であっても、COVID 19関連の研究関連組織のメンバーは気をつけるようにということだと思います。

Strontium (Fancy Bear [wikipedia]) は、ログイン認証情報を盗むためにpassword spray と brute force login attempt を使ってきたとしています。Zinc (Lazarus_Group[wikipedia], HIDDEN COBRA [CISA]) は資格情報を盗むために採用担当者を装って仕事内容を捏造したメッセージを送信する等、スピアフィッシングを使ったとしていますね。Ceriumは世界保健機関（WHO）の代表者を装ったスピアフィッシングのメールを送ったようです。

どの国の誰が問題ということよりも、このような攻撃について直接の関係者は当然として、サイバーセキュリティに関わる関係者は、対応すべきだということだろうと思います。

● Microsoft blog

・2020.11.13 Cyberattacks targeting health care must stop by Tom Burt 

 

 

 

ENISAが鉄道事業向けのセキュリティガイドを公表していますね。

こんにちは、丸山満彦です。

ENISAが鉄道事業向けのセキュリティガイドを公表していますね。ENISAとERAが共同で鉄道事業のセキュリティについてのウェビナーも開催していましたね。後日ERAのYouTube chanelで公開されるようです。。。

セキュリティガイドでは、欧州の各加盟国におけるネット・情報システム指令 (Network and Information System Directive)の施行に関連して、鉄道部門におけるサイバーセキュリティ対策の実施レベルを調査し、重要な鉄道サービスの概要を紹介した上で最後に、鉄道運行管理システムのサイバーセキュリティに関するいくつかの重要な考慮事項と推奨事項を紹介していますね。。。

● ENISA

・2020.11.13 (PRESS) European Rail: Report unveils challenges and stresses the need for investment in cybersecurity

Basic protection measures are no longer enough. More cybersecurity expertise is needed to build up secure digital capacities for Europe’s rail sector to charge forward.

・2020.11.13 Railway Cybersecurity

This ENISA study regards the level of implementation of cybersecurity measures in the railway sector, within the context of the enforcement of the NIS Directive in each European Member State. It presents a thorough list of essential railway services accompanied by a high level overview of the railway systems they support. Finally, the European Railway Traffic Management System is presented together with some key cybersecurity considerations and recommendations.

・・[PDF] RAILWAY CYBERSECURITY - Security measures in the Railway Transport Sector

原文	仮訳
1. INTRODUCTION	1. 序文
1.1 POLICY AND REGULATORY CONTEXT	1.1 方針と規制の文脈
1.2 STUDY SCOPE	1.2 研究範囲
1.3 STUDY OBJECTIVES	1.3 研究目的
1.4 TARGET AUDIENCE	1.4 想定読者
1.5 METHODOLOGICAL APPROACH	1.5 方法論的アプローチ
1.6 STRUCTURE OF THE REPORT	1.6 報告書の構成
2. THE RAILWAY SECTOR	2. 鉄道セクター
2.1 RAILWAY STAKEHOLDERS	2.1 鉄道所有者
2.1.1 NIS Directive implementation – Authorities	2.1.1 ネット・情報システム指令の実施-当局
2.2 ESSENTIAL RAILWAY SERVICES	2.2 重要な鉄道サービス
2.2.1 NIS Directive Implementation – Essential Services	2.2.1 ネット・情報システム指令の実施 - 必須サービス
2.3 RAILWAY SYSTEMS	2.3 鉄道システム
3. CYBERSECURITY MEASURES	3. サイバーセキュリティ対策
3.1 CYBERSECURITY CHALLENGES	3.1 サイバーセキュリティの課題
3.2 MINIMUM SECURITY MEASURES	3.2 最低限のセキュリティ対策
3.2.1 Governance and ecosystem	3.2.1 ガバナンスとエコシステム
3.2.2 Protection	3.2.2 保護
3.2.3 Defence	3.2.3 防衛
3.2.4 Resilience	3.2.4 レジリエンス
4. CYBERSECURITY IN ERTMS	4. 欧州鉄道運行システムにおけるサイバーセキュリティ
4.1 ERTMS DEFINITION AND ARCHITECTURE	4.1 欧州鉄道運行システムの定義と構造
4.2 CYBERSECURITY ON ERTMS	4.2 欧州鉄道運行システムのサイバーセキュリティ
5. CONCLUSIONS	5. 結論
5.1 SECURITY MEASURES	5.1 セキュリティ対策
5.2 CONSIDERATIONS	5.2 考察
5.3 NEXT STEPS	5.3 次のステップ

 

---

● ERA (Europa Union Agency for Railways) 

・2020.11.13 Free webinar: Cybersecurity in Railways

・・YouTube Channel

・関連文書

・・[PDF] ERA activities on cybersecurity 

・・[PDF] ENISA activities for rail 

 

» Continue reading

防衛省 防衛研究所 「中国安全保障レポート2021 ― 新時代における中国の軍事戦略 ―」は中国のサイバー戦略についての章がありますね

こんにちは、丸山満彦です。

防衛省 防衛研究所は2009年から「中国安全保証レポート」を毎年出していますが、今年は「新時代における中国の軍事戦略 」ということで、「情報化戦争」、「サイバー戦略」、「宇宙の軍事利用」「軍民融合発展戦略」の4つですね。。。

● 防衛省 - 防衛研究所

・2020.11.13『中国安全保障レポート2021』を掲載しました。

第 1 章　情報化戦争の準備を進める中国
1　中国軍事戦略の変遷
（1）毛沢東時代（1927 ～ 1976）―最終戦争の呪縛と積極防御
（2）鄧小平時代（1976 ～ 1989）―最終戦争からの脱却と局地戦争への移行
（3）江沢民時代（1989 ～ 2004）―ハイテク条件下での局地戦争
（4）胡錦濤時代（2004 ～ 2012）―情報化条件下での局地戦争

2　習近平時代（2012 ～）―情報化戦争、智能化戦争への転換
（1）情報化戦争
（2）智能化戦争

コラム 情報化戦争・智能化戦争と親和性が高い超限戦

第 2 章　中国のサイバー戦略
1　サイバー戦力の向上を図る中国
（1）「情報化」建設を進める人民解放軍
（2）戦略支援部隊の任務と組織

2　人民解放軍のサイバー戦に係る認識
（1）情報化戦争におけるサイバー作戦
（2）人民解放軍のサイバー戦の諸相
（3）中国のサイバー戦力の課題と今後の方向性

3　サイバーセキュリティをめぐる中国の対外行動とその反応
（1）サイバー・ガバナンスをめぐる中国の取り組み
（2）サイバー空間をめぐる米中関係

第 3 章　中国における宇宙の軍事利用
1　宇宙政策と国防政策の関係
（1）宇宙活動の長期目標と軍の位置付け
（2）国防政策と部隊運用における宇宙の位置付け

2　宇宙活動の現状とその軍事的意味合い
（1）宇宙システムの運用
（2）宇宙利用妨害能力の整備
（3）宇宙分野における軍民融合

3　宇宙領域をめぐる国際関係
（1）米国との関係
（2）そのほかの国際関係

第 4 章　中国の軍民融合発展戦略
1　中国における軍民関係の史的展開
（1）改革開放期までの軍民関係
（2）改革開放期の軍民関係

2　習近平政権における軍民融合発展戦略
（1）習近平政権の軍民融合の背景
（2）軍民融合の政策制度システム
（3）軍民融合の組織管理システム
（4）軍民融合の業務運用システム
（5）軍民融合が直面する課題

3　軍民融合発展戦略に対する国際社会の反応
（1）軍民融合による技術移転の懸念
（2）欧米における投資規制策の強化

 

---

年度	副題	章	テーマ
2021	新時代における中国の軍事戦略	1	情報化戦争の準備を進める中国
		2	中国のサイバー戦略
		3	中国における宇宙の軍事利用
		4	中国の軍民融合発展戦略
2020	ユーラシアに向かう中国	1	中国のユーラシア外交
		2	中央アジア・ロシアから見た中国の影響力拡大
		3	ユーラシアにおけるエネルギー・アーキテクチャ
2019	アジアの秩序をめぐる戦略とその波紋	1	既存秩序と摩擦を起こす中国の対外戦略
		2	中国による地域秩序形成とASEANの対応 ――「台頭」から「中心」へ
		3	「一帯一路」と南アジア――不透明さを増す中印関係
		4	太平洋島嶼国 ――「一帯一路」の南端
2018	岐路に立つ米中関係	1	中国の対米政策
		2	米国の対中政策
		3	地域における米中関係の争点
2017	変容を続ける中台関係	1	中国の台湾政策の変遷
		2	台湾から見た中台関係
		3	米国にとっての台湾問題
		4	中台関係の変容と「現状維持」
2016	拡大する人民解放軍の活動範囲とその戦略	1	遠海での作戦能力強化を図る中国海軍
		2	空軍の戦略的概念の転換と能力の増大
		3	ミサイル戦力の拡充
		4	統合的な作戦能力の強化
2014	多様化する人民解放軍・人民武装警察部隊の役割	1	中央国家安全委員会創設とその背景
		2	人民武装警察部隊の歴史と将来像
		3	人民解放軍による災害救援活動
		4	軍事外交としての国連平和維持活動
		5	ソマリア沖・アデン湾における海賊対処活動
2013		1	中国の対外危機管理体制
		2	中国の危機管理概念
		3	危機の中の対外対応
2012		1	「党軍」としての性格を堅持する人民解放軍
		2	深化する軍と政府の政策調整
		3	軍と政府が連携を深める安全保証政策
		4	政策調整の制度化を求める人民解放軍
2011		1	海洋に向かう中国
		2	南シナ海で摩擦を起こす中国
		3	外洋に進出する中国海軍
		4	対外園で発言力を増す人民解放軍
創刊号		1	中国の対外姿勢
		2	拡大する活動範囲
		3	役割を増す軍事外交
		4	進む装備の近代化

 

» Continue reading

サイバー攻撃と米国憲法

こんにちは、丸山満彦です。

サイバー攻撃（この論文では、コンピュータ・コードを⽤いて、コンピュータ・システムやネットワーク、あるいはそれらの情報を混乱させたり、劣化させたり、破壊したり、操作したりする⾏為、と定義していますが）の行使について大統領と議会の役割分担はどう考えるべきかという話とかもありますね。。。米国の場合は、戦争は議会の承認が必要なようですが、サイバー攻撃は多くの場合は武力の行使となることはないと考えられるようですね。興味深いですが、周辺知識が足りてないので、少しずつお勉強です(^^)

● Lawfare 

・2020.11.12 Cyberattacks and the Constitution

・論文 [PDF] [web]

JIPDEC 第98回JIPDECセミナー 「eシールとは？ —内外での活用状況からJIPDECの取組みまで」資料公開

こんにちは、丸山満彦です。

2020.05.14にJIPDECが「適格eシール」制度を始めていますね（プレス）。EUでは、「eIDAS規則」の中のトラストサービスの一部として、電子署名、タイムスタンプとともに、eシールが規定されていますね（第35条-第40条）。

そんななk、2020.10.16にJIPDECが第98回JIPDECセミナー 「eシールとは？ —内外での活用状況からJIPDECの取組みまで」を開催したわけですが、その時の講演資料が公開されていますね。。。

● JIPDEC 

・2020.10.16 第98回JIPDECセミナー 「eシールとは？ —内外での活用状況からJIPDECの取組みまで

EUにおけるeシールとeIDAS規則を巡る動向 株式会社コスモス・コーポレイション 取締役 ITセキュリティ部　責任者 （JIPDEC　客員研究員）濱口　総志 氏 　　日本でも制度化が検討されているeシールですが、欧州ではeIDAS規則の施行によって既に法的効力の伴うトラストサービスが利用されています。本講演では、eIDAS規則におけるeシールの定義及び法的効力、その特徴とユースケースの紹介から、現在検討されているeIDAS規則改定の方向性まで説明いたします。 ・2020.11.11 講演レポート「EUにおけるeシールとeIDAS規則を巡る動向」 [PDF] 印刷用 [PDF] 講演資料

EU eシール用適格証明書の発行と利用事例 GMOグローバルサイン株式会社 プロダクトマネジメント部 部長 漆嶌　賢二 氏 　　GMOグローバルサインではEUの認定を受け、EU eIDAS規則で規定された適格eシール署名用の法人向けデジタル証明書を2018年12月より提供しており、日本国内初のEU eシール用適格証明書をJIPDEC様に提供させていただきました。 　本講演では、簡単に適格eシールについて振り返ると共に、弊社が提供するeシール用適格証明書のプロファイル等の内容、他社との比較、発行プロセス、利用事例について紹介します。 ・2020.11.11 講演レポート「EU eシール用適格証明書の発行と利用事例」 [PDF] 印刷用 [PDF] 講演資料

「日本版eシール」に関する政府検討状況と自社サービスの検討 株式会社帝国データバンク 業務推進部 ネットサービス課 課長補佐 小田嶋 昭浩 氏 　総務省において平成30年に「プラットフォームサービスに関する研究会」のもと「トラストサービス検討ワーキンググループ」が設置、令和2年2月の同研究会最終報告書の結論に基づき、「組織が発行するデータの信頼性を確保する制度に関する検討会」が開催され、「日本版eシール」の在り方が議論されています。当該内容、および帝国データバンクで想定した場合の内容も併せてご説明いたします。 ・2020.11.11 講演レポート「日本版eシール」に関する検討状況とサービス検討 [PDF] 印刷用 [PDF] 講演資料

JIPDECにおけるeシール導入の取組みについて JIPDEC インターネットトラストセンター　主査　高倉 万記子 ・2020.11.11 講演レポート「JIPDECにおけるeシール導入の取組みについて」 [PDF] 印刷用 [PDF] 講演資料

金融庁 「監査基準の改訂に関する意見書」「中間監査基準の改訂に関する意見書 」を公表

こんにちは、丸山満彦です。

金融庁が、「監査基準の改訂に関する意見書」、「中間監査基準の改訂に関する意見書 」を公表しましたね。。。

過去のまるちゃんブログの記事も参考にしてくださいませ。。。

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.11.06 日本の監査基準改訂内容がほぼ決まったようですね。。。企業会計審議会総会・第７回会計部会　議事次第

 

● 金融庁

・2020.11.11 「監査基準の改訂に関する意見書」及び「中間監査基準の改訂に関する意見書 」の公表について

・[PDF]（別紙１）「監査基準の改訂に関する意見書」

・[PDF]（別紙２）「中間監査基準の改訂に関する意見書」

・[PDF]（別紙３）コメントの概要及びコメントに対する考え方

・[PDF]（別紙４）監査基準（抄）新旧対照表

・[PDF]（別紙５）中間監査基準（抄）新旧対照表

● 日本公認会計士協会

・2020.11.11 会長声明「「監査基準の改訂に関する意見書」の公表を受けて」

・[PDF]「監査基準の改訂に関する意見書」の公表を受けて

・[PDF] 添付資料（改訂監査基準の概要）

 

 

中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

こんにちは、丸山満彦です。

中国の国家情報セキュリティ標準化技術委員会 (TC260) が「オンライン車予約サービスのデータセキュリティに関するガイド案」について意見募集をしていますね。。。

走行データや走行中の画像を撮っているのでプライバシーの問題は出てきますよね。。。

 

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

・2020.11.10 关于征求《信息安全技术 网络预约汽车服务数据安全指南》国家标准（征求意见稿）意见的通知

・・[PDF] 关于征求《信息安全技术 网络预约汽车服务数据安全指南》国家标准（征求意见稿）意见的通知.pdf

・・[PDF] 信息安全技术 网络预约汽车服务数据安全指南-标准文本.pdf <= パブコメ対象

 

目次項目は

↓

 

» Continue reading

米国の消費者団体、プライバシー保護団体等の10団体が共同でバイデン政権に10の提言書を提出していますね。。。

こんにちは、丸山満彦です。

日本の総理選挙よりも行方が気になった、米国大統領選、議員選も終わり、民主党のバイデン候補が大統領に決まった感じですね。。。さて、そんなバイデン政権に対して、米国の消費者団体、プライバシー保護団等の10団体が共同で10の提言書を提出していますね。。。

10団体は次の通りです。

1. the Campaign for a Commercial-Free Childhood
2. the Center for Digital Democracy
3. Color of Change
4. Consumer Action
5. Consumer Federation of America
6. the Electronic Privacy Information Center
7. the Parent Coalition for Student Privacy
8. U.S. PIRG
9. the Privacy Rights Clearinghouse
10. Public Citizen

プレスリリースもほぼ同じ文面で出しているのですが、Consumer Federation of America (CFA)のページから、、、

● Consumer Federation of America

・2020.11.09 The Biden Administration and the Next Congress Should Protect Digital Privacy – Here’s How

10の提言書は、

・[PDF] Privacy And Digital Rights For All - A blueprint for the next Administration

となります。で、10の提言の表題は、

	原文	仮訳
1	Recognize Privacy and Surveillance as Racial Justice Issues, and Enact Meaningful Changes to Protect Black and Brown Communities	プライバシーと監視を人種的正義の問題として認識し、黒人とブラウン・コミュニティを保護するための有意義な変化を実現する。
2	Establish Algorithmic Governance and Accountability to Advance Fair and Just Data Practices	公正かつ公正なデータの実践を促進するためのアルゴリズムガバナンスと説明責任の確立
3	Promote Privacy Protections and Encourage Enactment of a Baseline Comprehensive Federal Privacy Law	プライバシー保護の推進と基本的な包括的な連邦プライバシー法の制定の促進
4	Establish a Data Protection Agency	データ保護機関の設置
5	Ensure Robust Enforcement from the FTC and FCC	連邦取引委員会と連邦通信委員会の強力な執行を保証する
6	Bring Consumer, Privacy, and Civil Rights Experts into Key Government Positions	消費者、プライバシー、公民権の専門家を政府の重要な役職に就かせる
7	Limit Government Surveillance and Access to Personal Data	政府の監視と個人データへのアクセスを制限する
8	Protect Children and Teens from Corporate Surveillance and Exploitative Marketing Practices	企業の監視や搾取的なマーケティング手法から子供や10代の若者を守る
9	Ensure Antitrust Authorities Take Privacy, Digital Rights, and Civil Rights into Account in Merger Review Process	独占禁止当局が合併審査プロセスにおいて、プライバシー、デジタル著作権、市民権を考慮に入れていることを確認する
10	Protect Americans’ Health Data	アメリカ人の健康データを守る

となりますね。。。

 

 

» Continue reading

Cloud Security Allianceが「クラウドサービスにおける鍵管理」を公開していますね。。。

こんにちは、丸山満彦です。

Cloud Security Allianceが「クラウドサービスにおける鍵管理」を公開していますね。。。

 

● Cloud Security Alliance

・2020.11.09 Key Management in Cloud Services: Understanding Encryption’s Desired Outcomes and Limitations

・2020.11.09 Key Management when using Cloud Services

・・[PDF] Downloadにはある意味登録的な作業が必要です。。。

 

• クラウドネイティブ鍵管理システム
• 外部鍵オリジネーション
• 外部鍵管理システムを利用したクラウドサービス
• マルチクラウド鍵管理システム（MCKMS）

の説明がありますね。。。

» Continue reading

ENISAがIoTサプライチェーンの保護に関するガイドラインを公開していますね

こんにちは、丸山満彦です。

ENISAがIoTサプライチェーンの保護に関するガイドラインを公開していますね。。。

● ENISA

・2020.11.09 (press) IoT Security: ENISA Publishes Guidelines on Securing the IoT Supply Chain

Report addresses the entire lifespan of Internet of Thing (IoT) product development by offering security measures for each step.

 

・Guidelines for Securing the Internet of Things

・[PDF] Guidelines for Securing the Internet of Things

 

第 1 章-序章：報告書の⼊⾨情報を提供し、範囲、⽬的、その後の⽅法論を紹介する。

第 2 章 - IoT サプライチェーンの概要：IoT サプライチェーンの異なるフェーズと正式な定義を⽰す。また、異なるフェーズにおけるサイバーセキュリティの考慮事項についても論じる。

第 3 章 脅威の分類法：IoT サプライチェーンに影響を与えるセキュリティ上の脅威を特定し、潜在的な攻撃シナリオのいくつかの例を詳細に説明する。

第 4 章 IoT サプライチェーンのセキュリティに関するグッドプラクティス：IoT サプライチェーンのセキュリティを確保するためのグッドプラクティスとセキュリティ対策をリスト化して解説する。

第 5 章-ガイドラインと結論：前章でグッドプラクティスの形式で報告書の主な結論を⽰した後、IoT サプライチェーンにおけるセキュリティを包括的に理解できるように、⼀連の⽂書化されたガイドラインを提⽰する。

 

» Continue reading

中国 TC260 パブコメ AI倫理に関するガイドライン案

こんにちは、丸山満彦です。

中国の国家情報セキュリティ標準化技術委員会 (TC260) が「AI倫理に関するガイドライン案」について意見募集をしていますね。。。

人工知能 (AI) の定義は、

デジタルコンピュータまたはデジタルコンピュータ制御の機械を用いて、人間の知能を模倣、拡張、拡大し、環境を知覚し、知識を獲得し、その知識を利用して最適な結果を得るための理論、技術、システム、製品、サービス。

という感じでしょうか？中国語がわかる方に教えてもらいたいところです。。。

 

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

・2020.11.09 关于对《网络安全标准实践指南—人工智能伦理道德规范指引（征求意见稿）》公开征求意见的通知

・・[PDF] 网络安全标准实践指南—人工智能伦理道德规范指引（征求意见稿）.pdf

 

スコープ、つまり適用される対象は、「AI の研究開発、設計・製造、展開・応用、その他関連する活動を行っている関係機関または個人」ということで、およそAIに関連する業務をする場合に適用されるということのようですね。

「3. AIの倫理的、道徳的セキュリティリスク」では、「AIに関連する活動については、リスク分析を行う必要がある」として、以下のようなリスクが考えられるとしています。

a.	制御不能リスク	AIの行動や影響が、研究開発者、設計者、アプリケーション展開者によって、あらかじめ決められたこと、理解されたこと、制御可能なことを超えてしまうリスクであり、社会的価値に負の結果をもたらす。
b.	社会的リスク	AIの誤用や悪用などの非合理的な利用が社会的価値観に影響を与え、体系的な社会問題を引き起こすリスク。
c.	侵害リスク	AIが人の基本的権利、個人、プライバシー、財産などを侵害したり、悪影響を及ぼすリスク。
d.	差別的リスク	AIが特定のグループの人間に対して主観的または客観的なバイアスをかけ、権利侵害や否定的な結果をもたらすリスク。
e.	責任リスク	AIに関わるすべての当事者の責任の境界が不明確で不合理であり、すべての当事者の不正行為につながり、社会的信頼や社会的価値に悪影響を及ぼすリスク。

その後、AI一般的な倫理指針、研究開発倫理指針、設計製造倫理指針、アプリケーション展開倫理指針、利用倫理指針が示されていますね。。。

 

目次

目 录	目次
摘 要	摘要
1 范围	1 スコープ
2、术语与定义	2.用語と定義
2.1 人工智能	2.1 AI
2.2 研究开发者	2.2 研究開発者
2.3 设计制造者	2.3 設計製造者
2.4 部署应用者	2.4 アプリケーション展開者
2.5 用户	2.5 利用者
3 人工智能伦理道德安全风险	3 AIの倫理的・道徳的セキュリティリスク
4 人工智能伦理道德规范指引	4 AIの倫理指針
4.1 基本要求	4.1 基本的な要件
4.2 研究开发指引	4.2 研究開発ガイドライン
4.3 设计制造指引	4.3 設計・製造ガイドライン
4.4 部署应用指引	4.4 アプリケーション展開ガイドライン
4.5 用户使用指引	4.5 利用ガイドライン
参考文献	参考文献

 

・[word] 仮訳

 

中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

こんにちは、丸山満彦です。

中国の国家情報セキュリティ標準化技術委員会 (TC260) が「ネットワークセキュリティ状況認識技術の標準化に関する白書」を公開していますね。。。

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

・2020.11.09 《网络安全态势感知技术标准化白皮书（2020版）》发布　ネットワークセキュリティ状況認識技術の標準化に関する白書

・[PDF] 网络安全态势感知技术标准化白皮书.pdf

 

 

» Continue reading