中国 パブコメ 商業銀行法改正 商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け

こんにちは、丸山満彦です。

中国で商業銀行法の改正案がパブコメに出されていて、個人情報の適正な取得、目的外利用の禁止、安全の確保等の条文の追加が行われていますね。。。その他、大幅な変更な感じです。

国外に出された個人情報の保護も国内と同じようにできるようにしろと書いていますね。。。

● 中国人民银行

・2020.10.16 中国人民银行关于《中华人民共和国商业银行法（修改建议稿）》公开征求意见的通知
　　　　　　　「商業銀行に関する中華人民共和国の法律（改訂草案）」に対する意見募集に関する中華人民銀行の通知

・附件1：[PDF] 中华人民共和国商业银行法（修改建议稿） [TXT]
・別紙1：中華人民共和国商業銀行法（改訂草案）

---

第七十六条（个人信息保护与数据安全） 商业银行收集、保存和使用个人信息，应当符合法律、行政法规的规定，遵循合法、正当、必要原则，取得本人同意，并明示收集、保存、使用信息的目的、方式和范围。

商业银行不得收集与业务无关的个人信息或者采取不正当方式收集个人信息，不得篡改、倒卖、违法使用个人信息。

商业银行应当保障个人信息安全，防止个人信息泄露和滥用。商业银行将个人信息处理外包给第三方的，应当确保第三方遵守个人信息保护规定，并采取有效措施保障个人信息安全。

商业银行为处理跨境业务向境外传输境内个人信息和重要数据的，应当遵守法律、行政法规的规定，并采取有效措施，确保个人信息和重要数据的受保护水平不因出境而降低。

---

第76条（個人情報の保護とデータの安全性） 商業銀行は、法令の規定に基づき、適法性、正当性、必要性の原則に則り、本人の同意を得て、個人情報の収集、保管、利用の目的、方法、範囲を明示し、個人情報を収集、保管、利用しなければならない。

商業銀行は、業務に関係のない個人情報を収集したり、不正な手段で個人情報を収集したりしてはならず、法令に違反して個人情報を改ざんしたり、販売したり、利用したりしてはならない。

商業銀行は、個人情報の安全を確保し、個人情報の漏洩や悪用を防止します。 商業銀行は、個人情報の処理を第三者に委託する場合には、個人情報保護に関する規程を遵守させるとともに、個人情報の安全管理のために有効な措置を講じなければならない。

クロスボーダー業務を取り扱う目的で国内の個人情報及び重要データを海外に発信する商業銀行は、法令の規定を遵守するとともに、国外に出たことにより個人情報及び重要データの保護水準が低下することのないよう、実効性のある措置を講じなければならない。

---

 

 

■ 参考

● 全国人民代表大会
・中华人民共和国商业银行法

・[TXT] 2020.10.20 現在の法律

 

東証システム障害について - 「再発防止策検討協議会」の設置について

こんにちは、丸山満彦です。

2020.10.01に東京証券取引所のシステムが停止し、売買が行えない状況となり、翌日には復活し、2020.10.05に独立社外取締役による「システム障害に係る調査委員会」が設置され、2020.10.16に金融庁に報告が行われましたね。。。

2020.10.19に経緯、原因及び再発防止措置等について公表が行われ、「再発防止策検討協議会」を設置することが公表されましたね。。。メンバーは発表されていません。。。再発防止策検討協議会の議論を経て2021年3月末には市場再開のためのルール等を作るようです。。。

一方、システムベンダーの富士通からも障害の原因と対策について公表されていますね。。。

マニュアルの不備（製品仕様と異なるマニュアルへの記載）が原因の１つとなっていますね。。。

 

● 東京証券取引所

・2020.10.19 10月1日に株式売買システムで発生した障害について

今回発生した事象に関し、経緯、原因及び再発防止措置等について公表を行いました。
また、今般、当社では、再発防止に向けたシステム障害対応やルール整備の在り方についての検討を行うため、「再発防止策検討協議会」を設置することとしました。

・ [PDF] 10月1日に株式売買システムで発生した障害について (downloaded) 
・ [PDF] （補足資料）NAS設定値について (downloaded)
・ [PDF]  システム障害に係る「再発防止策検討協議会」の設置について  (downloaded)

---

(1) NAS 2 号機への自動切替えが正常に動作しなかった理由

当社は、NAS 故障時でも 30 秒以内に切替えて、業務を継続できることをシステム要件として定めています。現行 arrowhead⁴ 構築時に、富士通の製品マニュアルを参照して NAS の設定値の妥当性を当社と富士通で共同検討しましたが、そこには切替えに関する設定値に拠らず自動切替えが動作すると記載されていたことから、同設定値におけるこれまでの arrowhead の稼働実績に鑑み、富士通の設定値を当社が確認のうえ、決定しました。

しかし実際には、arrowhead に設定した値ではメモリ障害時には自動的に切り替わらない製品仕様であることが、本障害後の調査で判明しました。マニュアルの不備により正しい仕様が把握できませんでした^{5 6}。

富士通では、通常、初期設定値でマニュアルどおりに動作することをテストしてから製品として出荷します。今回、arrowhead
に設定した値は初期設定値ではなかったため、出荷時、机上で仕様を確認したものの、テストは行われていませんでした。当社においても NAS の切替えテストは実施していましたが、切替え後の業務継続に確認の重きを置き、設定値とマニュアルの整合性については富士通内の製品出荷プロセスで検証されている前提であったことから、テスト時はネットワーク故障を疑似的に発生させることで、切替えが正常に行われ業務継続できることを確認していました。

なお、NAS の手動での切替え完了まで時間を要したのは、自動的に切り替えられる機構であることを前提として、障害対応手順を整備していたことに拠ります。

⁴ 現行システム＝2019 年 11 月稼働
⁵ 2015 年 9 月に稼働した 2 代目の arrowhead 開発時からマニュアルの不備が発生していました。
⁶ NAS 設定値の経緯については、別紙「（補足資料）NAS 設定値について」をご参照ください。

---

(2) 当日中の取引再開ができなかった理由

① システム面

売買停止のためにネットワークを遮断しましたが、arrowhead 内部では約定等の処理が動き続けました。その結果、再開に向けた手順や確認項目が多くなりました。不測の事態に備え、複数種類の売買停止手段は用意していましたが、NAS が使えない場合においても確実に売買を停止する手段を具備していなかったことが問題と認識しています。

② 運用面

arrowhead を再立ち上げして売買を再開するという手順については取引参加者との合意もなく、テストも実施していない中で、不安定な対応は市場開設者として採用すべきではないと判断しました。システム障害発生時の売買停止後の再開に係る取扱いルールが整備されていなかったことが問題と認識しています。

---

3. 再発防止のために講じる措置

再発防止策	内容
① システム対応と総点検 （2.(1)への対応）	・ NAS 切替え設定値の修正（10 月 5 日完了） ・ NAS 設定値の総点検（10 月末まで） ・ 確実に切り替える手段の確認・整備（11 月末まで） ・ 切替えテスト・訓練（NAS については 21 年 1 月まで：その後も継続）
② 確実に売買停止をするための手段の拡充 （2.(2)①への対応）	・ 売買停止できないケースの確認（10 月末まで） ・ （該当ケースがある場合）指示方法や運用手順の整備（11 月末まで） ・ NAS を経由しない売買停止機能の開発（11 月末まで）
③ 市場停止及び再開に係るルールの整備等 （2.(2)②への対応）	取引参加者・投資家・システムベンダー等から構成される「再発防止策検討協議会」を設置し、議論のうえルール等を整備（21 年 3 月末目途） ・ 当日中に売買を再開するために必要となるルール ・ 売買の再開に向けた手順の整備 ・ 売買停止・再開の基準の明確化 ・ 情報発信の在り方、等

---

 

● 富士通

・2020.10.19 東京証券取引所様の株式売買システム「arrowhead」で発生した障害の原因と対策について

[PDF] ページ印刷

---

（2）共有ディスク装置の自動切替が行われなかった原因

• 当該共有ディスク装置のマニュアルには、メモリ故障等に起因する特定事象が発生した場合は、必ず自動切替が行われる旨の記載がありました。
• 実際の製品では、設定によっては、メモリ故障等に起因する特定事象が発生した場合、自動切替が行われない仕様となっておりました。今回は特定事象発生時に自動切替が行われない設定になっておりました。
• マニュアルの記載と実際の仕様の齟齬が生じた原因は、当該共有ディスク装置のオペレーティングシステムのバージョンアップにより製品仕様が変更された際に、マニュアルの記載が変更されていなかったことによるものです。
• マニュアルの記載が変更されていなかったこと、およびその状況を製品出荷時等の試験で検出できなかったことは当社の試験・確認が不十分であったことによるものです。

---

 ・2020.10.19 [PDF]［重要］ストレージシステム「ETERNUS NR1000 series」におけるコントローラ自動切替の仕様に関する重要なお知らせ

---

 

■ 参考

● Piyolog

・2020.10.02  2020年10月に発生した東京証券取引所のシステム障害についてまとめてみた

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.07 東証システム障害について　 - 「システム障害に係る調査委員会」の設置について

日本銀行 金融機関における在宅勤務の拡がりとシステム・セキュリティ面の課題 ― アンケート調査結果から ―

こんにちは、丸山満彦です。

日本銀行が、「金融機関における在宅勤務の拡がりとシステム・セキュリティ面の課題 ― アンケート調査結果から ―」を2020.10.13に公開していまして、（対策をやっていない割合とか）興味深いです。調査対象は日銀なので、いわゆる銀行、証券です。保険、クレジットは入りません。。。

● 日本銀行

・2020.10.13 金融機関における在宅勤務の拡がりとシステム・セキュリティ面の課題 ― アンケート調査結果から ―

金融機関においても在宅勤務の導入が大きく進展したことが確認された。また、システム面では、在宅勤務用の会社貸与端末の追加調達やシステムの能力増強など、様々な対策が実施されていたほか、今後も在宅勤務関連のシステム能力増強を図る先が少なからずみられた。一方、セキュリティ面では、会社貸与端末のセキュリティ対策は概ね適切に実施されていたが、在宅勤務での利用が認められた私用端末のセキュリティ対策に改善の余地がみられたほか、Web会議サービスの利用に当たって、運用ルールの策定など体制整備が必要な点がみられた。

・[PDF]

I.はしめに

II.在宅勤務に関するアンケートの結果

1.在宅勤務の実施状況
(1)在宅勤務制度
(2)在宅勤務・自宅待機の実施状況
(3)業務継続計画・コンティンジェンシープランの整備・実施状況

2.在宅勤務にかかるシステムの整備・利用状況
(1)社内システムへ接続する仕組み
(2)在宅勤務用端末・回線
(3)Web 会議
(4)方針発表後に実施したシステム対応および今後の方針

3.在宅勤務にかかるセキュリティ対策
(1)社内システムへの接続に用いるセキュリティ対策
(2)委託先による社内システムへの接続
(3)端末等のセキュリティ対策
(4)Web 会議サービス利用時のセキュリティ対策

4.在宅勤務の今後の活用方針と活用に向けた課題

III.おわりに

別紙

---

いくつかアンケート調査結果を。。。

• 在宅勤務に使用する端末と社内システムの接続方式(複数回答可)

 

 

• 全職員数に対する在宅勤務用端末台数の割合
  

 

• 端末台数に対する同時接続数の割合

 

 

• 在宅勤務のために行ったシステム対応(複数回答可)
  

 

• 社内システム接続の際のセキュリティ対策(複数回答可)
  

(多要素認証を利用していないところも多いんや、、、とか。。。)

 

• 私用端末の利用状況
  

(意外と私用端末の利用を認めていますね)

これら以外にも興味深いところはありますね。。。

ヨーロッパの次世代クラウドに向けて

こんにちは、丸山満彦です。

EUからヨーロッパの次世代クラウドを作るぞ、という宣言が出され、25か国が署名していますね。。。

ヨーロッパはデジタル主権（digital sovereignty）を意識していますね。。。これは重要な視点ですね。。。例えば、日本でもCOVID-19感染者との接触警告アプリの国への導入はGoogleとAppleの都合により決まりましたよね。。。結果が良いか悪いかではなく、そのようなプロセスで良いのかという問題ですよね。。。

● Europian Commission

・2020.10.15 Towards a next generation cloud for Europe

The European Commission and the German Presidency of the Council of the European Union welcome the political will expressed by 25 Member States on the next generation cloud for Europe. This secure and competitive cloud offering is essential to provide the trustworthy data processing infrastructure and services that public administrations, businesses and citizens require in Europe.

・[PDF] Declaration: Building the next generation cloud for businesses and the public sector in the EU

 

クラウドコンピューティングに関する内容

・Shaping Europe’s digital future

・・Cloud computing

・・2020.12.09 Towards a more secure and trusted cloud in Europe

関連するトピックスとして、

GAIA-X[wikipedia]がありますね。。。

● GAIA-X: A Federated Data Infrastructure for Europe

 

World Economic Forum ビジネス環境を巡る地域リスクレポート2020 （サイバー攻撃も上位に入っています。。。）

こんにちは、丸山満彦です。

World Economic Forumが10月7日に「ビジネス環境を巡る地域リスクレポート2020」を公表しています。128カ国1万2,000人余りのビジネスリーダーを対象とした調査を基にまとめたものです。

なかなか興味深いです。

COVID-19の環境ですから、この調査レポートは経営者に質問をしているので、経営者目線の結果ということになると思うんです。多くの地域で、やはり「感染症のひろがり」「失業」を気にしているのですが、北米だけは「サイバー攻撃」が一番なんですよね。。。選挙があるからですかね。。。

あと、日本の経営者は、北米以外の他の地域の経営者よりも「サイバー攻撃」をリスクと感じているようです。。。なるほど。。。

● World Economic Forum

・2020.10.07 「ビジネス環境を巡る地域リスクレポート2020」：失業がビジネスリーダーの最大の関心事。気候関連リスクも上位に

・インタラクティブマップ

 

インタラクティブマップは、国別、テーマ別に情報がみれます。。。

 

---

World Economic Forumからサイバーセキュリティの報告書（Cyber Information Sharing: Building Collective Security）が出ていましたね。。。

こんにちは、丸山満彦です。

世界経済フォーラム（World Economic Forum）からサイバーセキュリティの報告書（Cyber Information Sharing: Building Collective Security）が10月6日に出ていましたね。。。

サイバーセキュリティに関する情報共有についての報告書ですね。一個人、一企業で対応するのではなく、情報共有を進め協力して対応していくことが重要ですよね。より連携を進めるためには、機械学習やプライバシー強化技術等を活用が重要となってくるという話ですね。。。

最後に、組織のリーダ、サイバーセキュリティ業界のリーダ、政策と産業界のリーダ、研究開発関係者向けに推奨事項を挙げていますね。。。

昔、なくなった山口先生がおっしゃっていましたが、自助、共助、公助ですね。。。私も同感です。特に個人的には共助が進むように何かしら力添えができればと思っています。。。

 

● World Economic Forum
・2020.10.06 Cyber Information Sharing: Building Collective Security

Cybersecurity is one of the most systemically important issues facing the world today. Cyber information sharing is critical to helping better collective security in the digital ecosystem in which society increasingly relies. Cyber information sharing, however, faces multiple barriers. New technology, among other interventions, promises to overcome these barriers. Action is required to make sure that information sharing can continue to be an enabler of the strategic driver of the global cybersecurity community; the need to move from individual resilience to collective resilience.

・[PDF] Cyber Information Sharing: Building Collective Security - INSIGHT REPORT - OCTOBER 2020

目次

1 Executive Summary

2 Cyber information sharing: what is it and why does it matter?
 2.1 Cyber information sharing as a platform for collective resilience
 2.2 Cyber information sharing as a platform for collective action

3 Why does this matter now?

4 Seven barriers that need to be overcome

5 Information sharing 2.0: how next‑generation technology can help
 5.1 AI and ML
 5.2 Privacy Enhancing Technologies
 5.3 Encrypted computation
 5.4 Differential privacy

6 CDA case study: using PET to drive collective action in the cybercrime ecosystem
6.1 The pilot: secure and confidential querying
6.2 Results

CONCORDIA: an ecosystem for collaboration

Recommendations

Contributors

Endnotes

---

» Continue reading

数千万ユーロをマネーロンダリングしたと言われるQQAAZZネットワークに属していると思われる逮捕者が20名になりました

こんにちは、丸山満彦です。

米国司法省、ユーロポールが数千万ユーロをマネーロンダリングしたと言われるQQAAZZネットワークに属していると思われる逮捕者が20名になったと発表していますね。。。2019年10月に5名、2020年3月に1名、そして今回14名を逮捕し、総計20名になったということですね。。。

QQAAZZは、ロシア語圏のオンライン・サイバー犯罪者フォーラムで、「銀行口座へお金を落とすための国際的サービス」としてサービスを宣伝し、サイバー犯罪者が集まり、様々なサイバー犯罪活動に従事するために必要な専門的なスキルやサービスを提供したり、求めたりしています。世界で最も有害なマルウェアファミリー（例：Dridex、Trickbot、GozNymなど）の背後にある犯罪組織が、QQAAZZのサービスの恩恵を受けていると言われているようですね。。。

● U.S. Department of Justice
・2020.10.15 OFFICIALS ANNOUNCE INTERNATIONAL OPERATION TARGETING TRANSNATIONAL CRIMINAL ORGANIZATION QQAAZZ THAT PROVIDED MONEY LAUNDERING SERVICES TO HIGH-LEVEL CYBERCRIMINALS - U.S. Victims of Various Cybercriminal Malware Schemes throughout the United States Had Stolen Multi-Million Dollar Funds Laundered by QQAAZZ

・[Youtube]

・[PDF] 起訴状1 US v. Nazarovi, et. al. 
・[PDF] 起訴状2 US v. Trofimovics, et. al.

● FBI
・2020.10.15 FBI Pittsburgh Remarks on QQAAZZ Indictment

Michael Christman, special agent in charge of the FBI in Pittsburgh, said he is proud to stand with law enforcement partners from around the globe to announce major indictment.

 

● Europol
・2020.10.15 20 ARRESTS IN QQAAZZ MULTI-MILLION MONEY LAUNDERING CASE

・Infographics

 

---

ロシアのメディアでも取り上げられていますね。。。

● RIANovosti
・2020.10.15 В США арестовали россиянина по обвинению в кибермошенничестве

 

● Fontanka.ru
・2020.10.15 Минюст США опубликовал данные о преступной сети. Один из обвиняемых — петербургский рэпер

Более 20 человек проходят обвиняемыми по делу сети QQAAZZ. В основном это граждане Латвии, а россиянин — всего один.

● IZ.ru
・2020.10.15 Арестованный в США россиянин не признал вину в кибермошенничестве

Гражданин России Максим Бойко, арестованный в США по обвинению в кибермошенничестве и отмывании незаконно полученных денежных средств, не признает свою вину. Об этом сообщил в четверг, 15 октября, адвокат подозреваемого Аркадий Бух.

逮捕されたロシアの容疑者は容疑を否認していると弁護士を通じて表明しているという報道ですね。

---

 

■ 報道等

● Pittsburgh Post-Gazette

・2020.10.16 14 more charged in QQAAZZ international cybercrime conspiracy

 

● Dark Reading
・2020.10.16 US Indicts Members of Transnational Money-Laundering Organization by Jai Vijayan

Members of the QQAAZZ group helped cybercriminals conceal origins of stolen funds, DoJ alleges.

● ZDNet
・2020.10.15 US charges QQAAZZ group for laundering money for malware gangs

Among the QQAAZZ group's clients were famous malware groups like Dridex, Trickbot, and GozNym.

● Cyber Scoop
・2020.10.15 US, European authorities carry out sweeping crackdown on prolific QQAAZZ cybercriminal group by Sean Lyngaas

● CIO (Germany)
・20 Festnahmen bei Schlag gegen Geldwäschering - Europol zerstört Netzwerk QQAAZZ

● Il Mattino (Italy)
・2019.10.15 Cyber-riciclaggio, 19 arresti in tutta Europa: soldi sottratti dai conti online, tra le vittime l'ospedale pediatrico Santobono di Napoli

 

 

米国防省の新たなデータ戦略（データは弾薬）（データは燃料）

こんにちは、丸山満彦です。

先週、米国防省が新たなデータ戦略を発表しています。国民の命を預かっている組織であり、目の前の部下の命と直結している組織だからでしょうか、浮いた話はなく業務をきっちり意識しており、基本的でありながら、新しいトレンドもきっちり取り入れていて、よく練られていると思います。

● DoD

・2020.10.08 (release) DOD Issues New Data Strategy

・[PDF] DoD Data Strategy - Unleashing Data to Advance the National Defense Strategy 

 

Exective Summaryを簡単に日本語にしてみました。。。

 

---

要約: 国防総省データ戦略

防衛戦略を推進するためのデータの活用

 

総括: データ戦略は、国防総省をデータ中心の組織に転換するために必要な包括的なビジョン、重点領域、指導原則、基本的な能力、目標を設定することで、国防総省の防衛戦略とデジタル近代化の実現を支援する。成功が保証されているわけではない。データを兵器システムとして扱い、データを管理し、安全を確保し、運用効果を上げるために使用することは、国防総省の全リーダーの責任である。

 

ビジョン: 国防総省は、運用上の優位性と効率性の向上のためにデータをスピードを持って、かつ大規模に利用するデータ中心の組織となる。

 

重点領域: この戦略では、作戦コミュニティの利用者、特に戦闘員と密接に連携する必要性を強調している。当面の重点領域には次のようなものがある。

• すべての領域での共同作戦 - 戦場での優位性を高めるためにデータを利用する
• シニアリーダの意思決定支援 - データを使用して国防総省の管理を改善する
• 事業アナリティクス - データを使用して、あらゆる階層で情報に基づいた意思決定をする

 

8つの指導原則 （国防総省のすべてのデータへの取り組みの基礎となる）:

1.) データは戦略的資産– 国防総省のデータは関心を払うべきものであり、即時かつ永続的な軍事的優位性をもたらす方法で活用されなければならない。

2.) 統合的なデータの取り扱い – 国防総省は、データのライフサイクル全体を通して説明責任を果たすために、データ取扱者、データ保管者、および機能的なデータ管理者を任命しなければならない。

3.) データ倫理 – 国防総省は、データの収集、使用、保存方法に関して、倫理をすべての思考と行動の最優先事項にしなければならない。

4.) データ収集 – 国防総省は、データ作成時にデータの電子的収集を可能にし、そのデータの正当性を常に維持しなければならない。

5.) 組織を通じたデータアクセスと利用可能性– 国防総省のデータは、適切なメカニズムを通じて、権限を与えられた個人及び機器等を含む全てのエンティティが利用できるようにしなければならない。

6.) 人工知能トレーニング用のデータ – 人工知能トレーニング用のデータセットとアルゴリズムモデルは、今後ますます国防総省の最も価値のあるデジタル資産となるであろう。

7.) データの目的適合– 国防総省は、データ収集、共有、使用、迅速なデータ統合、意図しないバイアスの発生源の最小化など、倫理的な懸念事項を慎重に考慮しなければならない。

8.) コンプライアンスの設計 – 国防総省は、情報管理ライフサイクルを完全に自動化し、データを適切に保護し、エンドツーエンドの記録管理を維持する機会を提供する IT ソリューションを導入しなければならない。

 

4 つの基本的な能力 （目標達成に必要となる）:

1.) アーキテクチャ – クラウドやその他の技術によって実現された国防総省のアーキテクチャは、敵が適応するよりも迅速にデータを路線変更することを可能にしなければならない。

2.) 標準 – 国防総省は、データ資産の管理と利用のための一般的に認知されたアプローチだけでなく、データの表現と共有のための実績のある成功した方法を含む一連の標準化を採用している。

3.) ガバナンス – 国防総省のデータガバナンスは、データの作成から廃棄に至るまで、すべてのレベルでデータを効果的に管理 するために必要な原則、ポリシー、プロセス、フレームワーク、ツール、測定基準、監督を提供する。

4.) 人材と文化 – 国防総省の実施者（各階層の軍人、民間人、請負業者）は、データを使って仕事をし、データに基づいた意思決定を行い、証拠に基づいたポリシーを作成し、効果的なプロセスを実施するために、更に権限を与えられるようになるだろう。

 

7 つの目標 (別名, VAULTIS) データ中心のDoDになるために達成しなければならない:

1.) 可視化Visible – 利用者は必要なデータを見つけることができる。

2.) アクセス Accessible – 利用者はデータを検索できる。

3.) 理解 Understandable – 利用者は、内容、文脈、適用可能性を認識することができる。

4.) つなげる Linked – 利用者は、生得的な関係性を通じてデータ要素を利用できる。

5.) 信頼 Trustworthy – 利用者は、意思決定のためにデータのあらゆる側面で安心を持つことができる。

6.) 相互利用 Interoperable – 利用者は、データの共通の表現／理解を持つことができる。

7.) 安全 Secure – 利用者は、データが不正使用や不正操作から保護されていることを知ることができる。

 

今後に向けた取り組み: の戦略を実施するために、各コンポーネントは、国防総省 チーフデータオフィサー および 国防総省 データカウンシル の監督の下、測定可能なデータ戦略実施計画を策定する。データガバナンスコミュニティとユーザコミュニティは、すべてのデータ利害関係者のために、課題を特定し、解決策を開発し、ベスト プラクティスを共有するために、引き続きパートナーとなる。

---

 

目次

1. Introduction
1.1. Problem Statement
1.2. Scope

2. Vision and Guiding Principles
 2.1. Vision Statement
 2.2. Guiding Principles
  2.2.1. Data is a Strategic Asset
  2.2.2. Collective Data Stewardship
  2.2.3. Data Ethics
  2.2.4. Data Collection
  2.2.5. Enterprise-Wide Data Access and Availability
  2.2.6. Data for Artificial Intelligence Training
  2.2.7. Data Fit for Purpose
  2.2.8. Design for Compliance

3. Essential Capabilities
 3.1. Architecture
 3.2. Standards
 3.3. Governance
 3.4. Talent and Culture

4. Goals and Enabling Objectives
 4.1. Goal: Make Data Visible
 4.2. Goal: Make Data Accessible
 4.3. Goal: Make Data Understandable
 4.4. Goal: Make Data Linked
 4.5. Goal: Make Data Trustworthy
 4.6. Goal: Make Data Interoperable
 4.7. Goal: Make Data Secure

5. Operationalizing the Strategy
 5.1. Strengthened Governance
 5.2. Focus Areas
 5.3. Implementation Plans

6. Conclusion

---

Goals and Enabling Objectives

#	GOALS	#	ENABLING OBJECTIVES
1	Visible	1	Data is advertised and available for authorized users when and where needed.
		2	DoD implements metadata standards including location and access methods for shared data.
		3	All DoD data sources are catalogued.
		4	DoD implements common services to publish, search, and discover data.
		5	Warfighting and business governance bodies make decisions based on live visualizations of near real-time data.
2	Accessible	1	Data is accessible through documented standard Application Programming Interfaces (APIs).
		2	Common platforms and services create, retrieve, share, utilize, and manage data.
		3	Data access and sharing is controlled through reusable APIs.
3	Understandable	1	Data is presented in a way that preserves semantic meaning and is expressed in a standardized manner throughout DoD.
		2	DoD utilizes a common data syntax for the same data types and includes semantic metadata with data assets.
		3	Data elements are aligned into a comprehensive data dictionary with a controlled, yet flexible, vocabulary and taxonomy.
		4	Data is baselined and inventoried in comprehensive data catalogs with relevant information on purpose, ownership, points of contact, security, standards, interfaces, limitations, and restrictions on use.
		5	DoD has processes to create, align, implement, and manage business vocabularies, including enterprise standards.
4	Linked	1	DoD implements globally unique identifiers so data can be easily discovered, linked, retrieved, and referenced.
		2	DoD utilizes common metadata standards that allow data to be joined and integrated.
5	Trustworthy	1	DoD budget requests and the supporting budget process integrate data-focused evidence and Learning Agendas (see P.L. 115-435).
		2	DoD data has protection, lineage, and pedigree metadata bound throughout its lifecycle.
		3	DoD executes data quality management techniques to assess and enhance data quality.
		4	DoD implements master data management for business, intelligence, and warfighting data.
		5	DoD properly tags and maintains all appropriate data and records in accordance with established processes and policies.
6	Interoperable	1	DoD documents and implements data exchange specifications for all systems, including those of coalition partners.
		2	Exchange specifications contain required metadata and convey standardized semantic meaning with the data set.
		3	Public data assets are machine-readable and available for consumption.
		4	DoD rapidly mediates differing data standards and formats without mission-critical loss of fidelity, precision, or accuracy.
		5	DoD develops and promulgates a data-tagging strategy and subsequent implementation plan to enable data interoperability.
7	Secure	1	Granular privilege management (identity, attributes, permissions, etc.) is implemented to govern the access to, use of, and disposition of data.
		2	Data stewards regularly assess classification criteria and test compliance to prevent security issues resulting from data aggregation.
		3	DoD implements approved standards for security markings, handling restrictions, and records management.
		4	Classification and control markings are defined and implemented; content and record retention rules are developed and implemented.
		5	DoD implements data loss prevention technology to prevent unintended release and disclosure of data.
		6	Only authorized users are able to access and share data.
		7	Access and handling restriction metadata are bound to data in an immutable manner.
		8	Access, use, and disposition of data are fully audited.

 

 

ファイブアイズ＋インド＋日本による「エンドツーエンドの暗号化と公安」

こんにちは、丸山満彦です。

日本でも報道されていましたが、ファイブアイズ＋インド＋日本が共同で、例えばメッセンジャーソフトによる End to Endの暗号化された通信はPublic Safety上の課題があるので、テクノロジー企業はちゃんとバックドアを作れという声明を出していますね。。。結論を読むとデバイスの暗号化も含めておよそ全ての暗号化に関連する感じですかね。。。

● U.K. Government
・2020.10.11 (guidance) International statement: End-to-end encryption and public safety
・・[html]
・・[PDF]

● U.S. Department of Justice
・2020.10.11 (news) International Statement: End-To-End Encryption and Public Safety

● Canada Government
・2020.10.11 (publication) International Statement: End-To-End Encryption And Public Safety

 

---

CONCLUSION

We are committed to working with industry to develop reasonable proposals that will allow technology companies and governments to protect the public and their privacy, defend cyber security and human rights and support technological innovation. While this statement focuses on the challenges posed by end-to-end encryption, that commitment applies across the range of encrypted services available, including device encryption, custom encrypted applications and encryption across integrated platforms. We reiterate that data protection, respect for privacy and the importance of encryption as technology changes and global Internet standards are developed remain at the forefront of each state’s legal framework. However, we challenge the assertion that public safety cannot be protected without compromising privacy or cyber security. We strongly believe that approaches protecting each of these important values are possible and strive to work with industry to collaborate on mutually agreeable solutions.

---

日本語に訳すと

---

結論

我々は、テクノロジー企業と政府が、国民と国民のプライバシーを保護し、サイバーセキュリティと人権を守り、技術革新を支援することを可能にする合理的な提案を行うために、産業界と協力することにコミットしています。 この声明では、エンドツーエンドの暗号化がもたらす課題に焦点を当てていますが、このコミットメントは、デバイス暗号化、カスタム暗号化アプリケーション、統合プラットフォーム全体の暗号化など、利用可能な暗号化サービスの範囲にも適用されます。 我々は、データ保護、プライバシーの尊重、技術の変化やグローバルなインターネット標準の開発に伴う暗号化の重要性が、各州の法的枠組みの最前線にあることを再確認します。 しかし、我々は、プライバシーやサイバーセキュリティを犠牲にすることなく公共の安全を保護することはできないという主張に異議を唱えます。 我々は、これらの重要な価値観の各々を保護するアプローチが可能であると強く信じており、産業界と協力して、双方が合意可能な解決策が見つかるように努力しています。

---

という感じでしょうかね。。。

ちなみに署名は、

---

SIGNATORIES

Rt Hon Priti Patel MP, United Kingdom Secretary of State for the Home Department

William P. Barr, Attorney General of the United States

The Hon Peter Dutton MP, Australian Minister for Home Affairs

Hon Andrew Little MP, Minister of Justice, Minister Responsible for the GCSB, Minister Responsible for the NZSIS

The Honourable Bill Blair, Minister of Public Safety and Emergency Preparedness

India

Japan

11 October 2020

---

インドと日本は、誰の名前だ？？？という感じになっております。。。

日本政府のウェブページでは見つけられていないし。。。

---

 

中国側の反応？

● 中国国際放送
・2020.10.13 中国 データ保護世界的ルール策定の共同推進を呼びかける

中国は最近｢グローバルデータセキュリティイニシアチブ」を唱え、IT企業がその製品やサービスなどにバックドアを設置しないよう呼びかけています。また、関係側に対しては、｢グローバルデータセキュリティルール」を支持し、データセキュリティの世界的ルールの策定を共同推進し、ともにインターネットのセキュリティを守ることを呼びかけています。

 

■ 報道等

● Gigazin
・2020.10.12 日本を含めた7カ国の情報機関が「暗号化通信にアクセス可能なバックドア」をIT企業に要請

アメリカ・イギリス・カナダ・オーストラリア・ニュージーランド5か国の情報機関による協定「UKUSA協定(ファイブアイズ)」が、日本とインドの政府代表とともに声明を発表し、法執行機関がエンドツーエンド暗号化された通信にアクセスできるようにIT企業へ要請しました。

● ZDNet Japan
・2020.10.12 日本など7カ国、暗号化された通信へのバックドアをIT企業に要請

● IT Media
・2020.10.12 日本を含む7カ国、エンドツーエンド暗号化コンテンツへの公的接続を可能にするよう要請する国際声明 by 佐藤由紀子

● 日経ASIA
・2020.10.11 Five Eyes and Japan call for Facebook backdoor to monitor crime

Security alliance worries encrypted messaging apps can be used by bad actors

● RNZ
・2020.10.13 New Zealand joins call for access to social media encrypted data

New Zealand and its Five Eyes security partners have made another plea for social media companies like Facebook to allow governments to access their encrypted data.

● Coin Telegraph
・2020.10.11 Data encryption a threat to fighting child sexual abuse, says DOJ

The department, along with other international agencies, alleged end-to-end encryption can create “severe risks to public safety.”

● Finance Magnates
・2020.10.11 Can the US Keep Data Encryption without Furthering Child Exploitation? DoJ by Rachel McIntosh

The DoJ calls on tech companies to build solutions that protect children without encroaching on personal freedoms. 

 

日本公認会計士協会 監査基準委員会研究資料第１号「「監査上の主要な検討事項」の早期適用事例分析レポート」

こんにちは、丸山満彦です。

今回は、サイバーセキュリティではなく純粋な会計監査の話です。

上場企業に対する2021年3月決算に係る財務諸表の監査から監査報告書に「監査上の主要な検討事項」の記載が義務化されます。ただし、いつものごとく早期適用も認められますので、2020年3月期の監査報告書で「監査上の主要な検討事項」を既に記載している場合も出てきています。

「監査上の主要な検討事項」とは監査人が監査をする過程で監査上のリスクを感じ、慎重に監査を行った事項と言っても良いかもしれません。欧州系、つまり国際監査基準ではKey Audit Mattersと言われ、略してKAMと表記されることが多いです。米国は独自の路線？でPCAOBの基準では、Critical Audit Mattersと言われ、略してCAMと表記されます。個人的にはCAMが正確な表現だろうと思います。まぁ、好みの問題かもしれませんが。。。

監査上の主要な検討事項は、会計監査の透明化の一環と言われています。多様な企業に対する監査であるにもかかわらず、従来の監査報告書は標準文言に従ったもので、内容の違いといえば、会社名と日付くらいなもので、見事に同じ内容でした。しかし、監査人が監査の過程で監査リスクを感じ慎重に監査を行った項目を開示することにより、投資家等についても有益な情報を提供できるという考えがあるのは当然ですが、監査人のリスクの低減にも役立つのではないかと個人的には思っています。

日本では2021年3月期の監査報告書で義務化されますが、グローバルでみると出遅れ感満載の感じです。英国は2013年12月期の監査から始まっていますので、7−8年遅れです。ただ、この点については米国も遅く2020年12月期の監査からです。

今回、日本公認会計士協会から早期適用事例分析の報告書が公開されていますので、参考にされると良いですね。。。

● 日本公認会計士協会
・ 2020.10.12 監査基準委員会研究資料第１号「「監査上の主要な検討事項」の早期適用事例分析レポート」の公表について

• [PDF] 前書文
• [PDF] 「監査上の主要な検討事項」の早期適用事例分析レポート
• [PDF] 「監査上の主要な検討事項」の早期適用事例分析レポート 別紙１・２
• [PDF] 「監査上の主要な検討事項」の早期適用事例分析レポート 別紙３～６
• [PDF] 「監査上の主要な検討事項」の早期適用事例分析レポート 概要

 

■ 参考

● 金融庁
・2017.06.26 「監査報告書の透明化」について

---

ノルウェー政府は8月のノルウェー議会の電子メールシステムへのサイバー攻撃はロシアによるものだとする声明を出していますね。。。

こんにちは、丸山満彦です。

スカンジナビア半島[wikipedia]のGeopolitics[wikipedia]／地政学[wikipedia]には詳しくはないので詳しくはわからないのですが、、、
ノルウェー[wikipedia]政府が8月のノルウェー議会の電子メールシステムへのサイバー攻撃はロシアによるものだとする声明を出していますね。。。

8月24日にノルウェイ議会は、電子メールシステムがハッキングされたことを明らかにしたわけですが、民主主義に対して深刻な事態ということで安全保障機関と情報機関が緊密に協力して国家レベルでこの対応に当たってきたようですね。その結果、政府が把握している情報に基づくとロシアがこれらの活動に関連しているという結論になり、外務大臣による発表があったようですね。。。

ロシアの議員は否定しているという報道もありますね。。。

日本でも「2011年衆議院サーバーハッキング事件」[piyolog 2011.11.20 最終更新]があり、議員や秘書用端末のIDとパスワード（ハッシュ値）が盗まれましたね。。。

● Norway Government (En)

・2020.10.13 (release) The data breach at the Storting 

---

On 24 August, the Storting (Norwegian parliament) disclosed that its email systems had been hacked. ‘This is a very serious incident, affecting our most important democratic institution. The security and intelligence services are cooperating closely to deal with this matter at the national level. Based on the information the Government has, it is our view that Russia is responsible for these activities,’ said Minister of Foreign Affairs Ine Eriksen Søreide.

The incident management is coordinated through the Norwegian Joint Cyber Coordination Centre.

This incident demonstrates the importance of good security measures. The increasing use of digital solutions means that the threats against us have also shifted to the digital arena. The Government will continue its efforts to strengthen national cyber security and expand international cooperation in this field.

Businesses, organisations, and private individuals must all participate in preventive security efforts if we are to prevent breaches of digital security. All types of organisations are advised to follow the recommendations of the Norwegian National Security Authority (NSM) regarding passwords and the basic guidelines for ICT security.

---

 

 

■ 参考（報道等）

● BBC
・2020.10.14 Norway blames Russia for cyber-attack on parliament

Norway has blamed Russia for a cyber-attack on the email system in the Norwegian parliament in August.

● REUTERS
・2020.10.14 Russia denies it launched cyber attack on Norway parliament

OSLO (Reuters) - Norway’s accusations that Russia launched a cyber attack against the Norwegian parliament in August was a “deliberate provocation, harmful for bilateral relations”, the Russian embassy in Oslo said on Tuesday.

Oslo did not present Moscow with any evidence of its accusations, which were “unacceptable”, it added in a statement emailed to Reuters.

Reporting by Nerijus Adomaitis, editing by Gwladys Fouche

 

● Bloomberg Media
・2020.10.14 Norway Blames Russia for Hacking Lawmakers in Cyber Attack by Niclas Rolander

Russian politicians dismissed the allegations.

”As always, the accusations were brought without bothering to provide evidence or any offer to Russia to discuss this incident at the expert level,” Senator Konstantin Kosachyov, the head of the Federation Council’s Foreign Affairs Committee, told state-run Tass news service Tuesday. 

 

● Japan Today
・2020.10.14 Norway says Russia behind cyberattack against its parliament

Russia was behind a cyberattack launched against the Norwegian parliament in August, the Norwegian foreign minister said on Tuesday, an accusation Russia denies.

もちろん、ロシア語でもニュースにはなっていますね。。。

● SecurityLab.ru

・2020.10.14 Норвегия обвинила Россию в кибератаке на парламент страны

・2020.09.01 Компьютерная система Норвежского парламента взломана хакерами

 

米国GAOは連邦航空局がアビオニクスのリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。

こんにちは、丸山満彦です。

米国GAOは連邦航空局（Federal Aviation Administration: FAA）[wikipedia]がアビオニクス（Avionics [wikipedia]）のリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。

● U.S. GAO

・2020.10.08 AVIATION CYBERSECURITY: FAA Should Fully Implement Key Practices to Strengthen Its Oversight of Avionics Risks

・[PDF] Highlights 

・[PDF] Full Report

各航空機メーカはサイバーセキュリティ管理を実施しており、これまでのところ民間航空機のITシステムに対するサイバー攻撃が成功したという報告はないが、FAAが適切に監視をしなければ、サイバー脅威の進化、飛行機と他のシステム間の接続性の向上等により、将来の飛行の安全性が危険にさらされる可能性があるという評価のようです。

脆弱性は、

(1) 商用ソフトウェアにセキュリティパッチを適用しない
(2) 安全でないサプライチェーン
(3) 悪意のあるソフトウェアのアップロード
(4) 旧式機の古いシステム
(5) フライトデータのなりすまし

が原因で発生する可能性があると例示しています。

発見事項としては、

FAAは、

(1) 航空電子機器のサイバーセキュリティリスクの優先度を決定するための監視プログラムを評価していない
(2) 航空電子機器のサイバーセキュリティ訓練プログラムを開発していない
(3) 独立したサイバーセキュリティテストのためのガイダンスを発行していない
(4) 監視プロセスの一部として定期的なテストを含めていない

としていますね。。。

そして推奨事項が6項目ありますね。

いずれもFAA長官が航空安全担当副長官に指示しろとなっていますので、その部分は省略して記載すると

1. アビオニクスシステムのサイバーセキュリティのリスクアセスメントを実施し、他の安全上の懸念事項と比較してアビオニクスのサイバーセキュリティリスクの相対的な優先度を特定し、それらのリスクに対処するための計画を策定する。
   
   
2. アビオニクスのサイバーセキュリティリスクの評価に基づき、アビオニクスのサイバーセキュリティに特化した機関検査官の人員配置と訓練のニーズを特定し、特定されたニーズに対応するための適切な訓練を開発し、実施する。
   
   
3. アビオニクスのサイバーセキュリティリスクの評価に基づき、独立した試験を含む新しい航空機設計のアビオニクス・サイバーセキュリティ試験のためのガイダンスを開発し、実施する。
   
   
4. アビオニクスのサイバーセキュリティリスクの評価に基づき、独立した試験を安全に実施するための手順を開発することを含め、配備された航空機のアビオニクスのサイバーセキュリティ管理策の有効性を監視するための方針と手順を見直し、改訂することを検討する。
   
   
5. 内部の利害関係者間で調整を行う際に、アビオニクスのサイバーセキュリティ問題が適切に追跡され、解決されることを保証するメカニズムを開発する。
   
   
6. アビオニクスのサイバーセキュリティリスクの評価に基づき、アビオニクスのサイバーセキュリティにどの程度の監督資源を割くべきかを検討する。
   
   

これを受けてFAAがどのような対策を考えるのか興味がありますね。。。航空機メーカへの規制はすなわちサプライチェーン全体への規制になりますからね。。。

 

 

 

 

NIST NISTIR 8183 Rev. 1 Cybersecurity Framework Version 1.1 Manufacturing Profile

こんにちは、丸山満彦です。

NISTが3月に意見募集をしていた、NISTIR 8183 Rev. 1 Cybersecurity Framework Version 1.1 Manufacturing Profileが確定していましたね。。。

この文書は製造環境におけるCSFの実装を支援するため詳細に記述したものという感じですね。

この製造プロファイルは、

• 製造システムの現在のサイバーセキュリティ体制を改善する機会を特定する方法
• 許容可能なリスクレベルで制御環境を運用する能力の評価
• 製造システムのセキュリティを継続的に保証するためのサイバーセキュリティ計画を準備するための標準化されたアプローチ

を提供するものです。。。by Exective Summary

適用可能なサイバーセキュリティのリスク軽減策を検討し、特定し、管理するためにビジネス／ミッション目標との関係を意識する必要があるとしていますね。産業個別のビジネス／ミッション目標は網羅的には記載できないので、製造業セクターに共通のビジネス／ミッション目標を5つ設定していますね。

1. Maintain Environmental Safety　（環境安全の維持）
2. Maintain Human Safety　（人的安全の維持）
3. Maintain Production Goals　（生産目標の維持）
4. Maintain Quality of Product　（製品品質の維持）
5. Maintain Sensitive Information　（機密情報の維持）

 

● NIST - ITL

・2020.10.07 (publication) NISTIR 8183 Rev. 1 Cybersecurity Framework Version 1.1 Manufacturing Profile

Abstract

This document provides the Cybersecurity Framework (CSF) Version 1.1 implementation details developed for the manufacturing environment. The “Manufacturing Profile” of the CSF can be used as a roadmap for reducing cybersecurity risk for manufacturers that is aligned with manufacturing sector goals and industry best practices. This Manufacturing Profile provides a voluntary, risk-based approach for managing cybersecurity activities and reducing cyber risk to manufacturing systems. The Manufacturing Profile is meant to enhance but not replace current cybersecurity standards and industry guidelines that the manufacturer is embracing.

・[PDF]  NISTIR 8183 Rev. 1

Supplemental Material:

・ NIST Cybersecurity Framework (other)

Related NIST Publications:

・2018.04.16 White Paper Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1

・2019.05.20 NISTIR 8183 Cybersecurity Framework Manufacturing Profile

 

---

» Continue reading

米空軍は「連邦U-2ラボがU-2 Dragon LadyをKubernetesで飛行させた」と公開していますね。。。

こんにちは、丸山満彦です。

米空軍は連邦U-2ラボがU-2 Dragon Lady[wikipedia]をKubernetes[wikipedia]で飛行させたと公開していますね。。。

Kubernetesは、元々はGoogleによって設計されたもので、アプリケーションの展開、スケーリング、管理を自動化するためのオープンソースのコンテナオーケストレーションシステムで、マイクロサービスベースのアプリケーションを完全に自動化してデプロイすることを可能とすることができるということで、注目されていますよね。。。

機体に搭載している飛行認証を受けている4台のコンピューターを統合し、Kubenrnetesを活用して、高度な機械学習アルゴリズムをフライトシステムやミッションシステムに影響を与えることなく実行できたとしていますね。

「U-2のレガシーコンピュータシステムと最新のKubernetesソフトウェアの組み合わせに成功したことは、既存の空軍の兵器システムにおけるソフトウェアコンテナ化の開発にとって重要なマイルストーンとなった。」と、空軍最高ソフトウェア責任者のNicolas Chaillan氏は述べていますね。

Kubernetesは現在開発中のBー21 Raider [wikipedia]でも活用されるようですね。(参考：空軍のWill Roper調達、技術、ロジスティクス担当次官補のLinkedIn)

● U.S. Air Force - NEWS

・2020.10.07 U-2 Federal Lab achieves flight with Kubernetes

---

■ 参考（報道等）

● Aviation Today
・2020.10.09 In a First for the DoD, Kubernetes Installed on U-2 Dragon Lady by Kelsey Reichmann

● The Register
・2020.10.08 K8s on a plane! US Air Force slaps Googly container tech on yet another war machine to 'run advanced ML algorithms'

And if that's not Skynet enough for ya, Britten-Norman is working to make the BN-2 Islander fly autonomously

・2020.06.03 Talk about a control plane... US Air Force says upcoming B-21 stealth bomber will use Kubernetes

Google staff who protested drone AI effort could be quite interested in this

● The Aviationist
・2020.10.08 The U.S. Air Force Has Tested Kubernetes On A U-2 Dragon Lady Spyplane

This was the first time the open-source container-orchestration system has flown on an operational major weapon system in the Department of Defense.

● Military Embedded Sysstem
・2020.10.09 Kubernetes open-source system leveraged on U-2 Dragon Lady by EMMA HELFRICH

BEALE AIR FORCE BASE, Calif. The U-2 Federal Laboratory has leveraged Kubernetes during a local training sortie on a U-2 Dragon Lady assigned to the 9th Reconnaissance Wing at Beale Air Force Base. This represents the first time Kubernetes has flown on an operational major weapon system in the Department of Defense (DoD).

● GCN
・2020.10.07 Famed spy plane gets AI upgrade via Kubernetes by  SUSAN MILLER

The Air Force has equipped a legacy U-2 surveillance aircraft with machine learning thanks to Kubernetes, an open-source container-orchestration system that automates the application deployment, scaling and management.

 

欧州議会は「人工知能、ロボットおよび関連技術の倫理的側面の枠組み」を採択しましたね。。。

こんにちは、丸山満彦です。

欧州議会は「人工知能、ロボットおよび関連技術の倫理的側面の枠組み」を2010.10.08に採択しましたね。。。

● Europian Committee - Committee on Legal Affairs

・2020/2012(INL)  Framework of ethical aspects of artificial intelligence, robotics and related technologies

・202010.01 (press) Making Artificial Intelligence ethical, safe and innovative

・2020.10.08 REPORT with recommendations to the Commission on a framework of ethical aspects of artificial intelligence, robotics and related technologies (2020/2012(INL))

・[PDF] REPORT with recommendations to the Commission on a framework of ethical aspects of artificial intelligence, robotics and related technologies (2020/2012(INL))

 

目次

原文	仮訳
ANNEX TO THE MOTION FOR A RESOLUTION: DETAILED RECOMMENDATIONS AS TO THE CONTENT OF THE PROPOSAL REQUESTED	決議のための動議の付属文書：要求された提案の内容に関する詳細な勧告
A. PRINCIPLES AND AIMS OF THE PROPOSAL REQUESTED	A. 要求された提案の原則と目的
B. TEXT OF THE LEGISLATIVE PROPOSAL REQUESTED	B. 要求された立法案の文書
EXPLANATORY STATEMENT	説明文
OPINION OF THE COMMITTEE ON FOREIGN AFFAIRS	外交委員会の見解
OPINION OF THE COMMITTEE ON THE INTERNAL MARKET AND CONSUMER PROTECTION	内部市場・消費者保護委員会の見解
OPINION OF THE COMMITTEE ON TRANSPORT AND TOURISM	交通観光委員会の見解
OPINION OF THE COMMITTEE ON CIVIL LIBERTIES, JUSTICE AND HOME AFFAIRS	市民生活・司法・家事委員会の見解
OPINION OF THE COMMITTEE ON EMPLOYMENT AND SOCIAL AFFAIRS	雇用社会委員会の見解
OPINION OF THE COMMITTEE ON THE ENVIRONMENT, PUBLIC HEALTH AND FOOD SAFETY	環境・公衆衛生・食品安全委員会の見解
OPINION OF THE COMMITTEE ON CULTURE AND EDUCATION	文化教育委員会の見解
INFORMATION ON ADOPTION IN COMMITTEE RESPONSIBLE	委員会責任での採択に関する情報
FINAL VOTE BY ROLL CALL IN COMMITTEE RESPONSIBLE	委員会責任者による最終投票

要求された提案の内容に関する詳細な勧告の項目

 

原文	仮訳
Introduction	前書き
Human-centric and human-made artificial intelligence	人間中心の人工知能
Risk assessment	リスクアセスメント
Safety features, transparency and accountability	安全機能、透明性、説明責任
Non-bias and non-discrimination	非偏見と非差別
Social responsibility and gender balance	社会的責任とジェンダーバランス
Environment and sustainability	環境と持続可能性
Privacy and biometric recognition	プライバシーと生体認証
Good governance	良い統治
Consumers and the internal market	消費者と国内市場
Security and defence	セキュリティと防御
Transport	輸送
Employment, workers’ rights, digital skills and the workplace	雇用、労働者の権利、デジタルスキル、職場
Education and culture	教育と文化
National supervisory authorities	国家監督当局
Coordination at Union level	連合レベルでの調整
European certification of ethical compliance	倫理的コンプライアンスのヨーロッパ認証
International cooperation	国際協力
Final aspects	最終的な側面

 

---

■ 参考

● まるちゃんの情報赤キュリティ気まぐれ日記

• 2020.10.09 欧州議会は人工知能の民事責任に関する報告書を発表していますね
• 2020.09.16 AIと統合された職場における労働者の福祉を促進するためのフレームワーク
• 2020.09.12 2024年までに戦闘機でAIパイロットをテストすることを含め、米国はAIの軍事利用で世界をリードする by エスパー国防長官
• 2020.08.28 人工知能と感情知性に関する倫理（2020.07.30）
• 2020.08.24 AIがDARPAドッグファイトシミュレーションでトップレベルのF-16パイロットを倒す?
• 2020.08.21 NISTはAIに自己説明を求める？（説明可能な人工知能の4原則）
• 2020.08.10 DeepfakeについてのNATO, CSET, Partnership on AI, GAOの報告書（少し前ですが・・・） 
• 2020.07.31 英国のデータコミッショナーがAIとデータ保護に関するガイダンスを公表していますね。 
• 2020.07.20 欧州委員会が「自己評価用の信頼できる人工知能の評価リスト（ALTAI）」を公開していますね 
• 2020.07.05 米国 国防省の内部監査部門が「AIのプロジェクトのガバナンスとセキュリティをしっかりせい」とおっしゃっているようです。。。 
• 2020.06.26 国土交通省 自動運行装置（レベル３）に係る国際基準が初めて成立しました 
• 2020.06.15 「米海兵隊はAIを理論から実践に移す」というブログ
• 2020.06.15 カーネギーメロン大学 ソフトウェア研究所 AIエンジニアリングのリスク管理の視点 
• 2020.06.12 ENISA 人工知能サイバーセキュリティに関するワーキンググループが始動 2020.06.12
• 2020.06.09 米空軍は、2021年7月にAIが操縦する戦闘機と人間が操縦する戦闘機でドッグファイトをすることを考えているようですね。。。 
• 2020.06.07 米国国防省 人工知能が戦争をかえると予測 
• 2020.05.22 「倫理的な人工知能にとって、セキュリティは非常に重要」と言う意見 
• 2020.05.21 UK-ICO Explaining decisions made with AI / AIによる決定の説明 
• 2020.05.18 人工知能はJoint All Domain Command-and-Control (JADC2) には不可欠。。。 
• 2020.05.04 米国国防省と人工知能（戦略と倫理）
• 2020.04.17 EU 消費者保護の新側面 デジタルサービスとAI 
• 2020.04.04 日本IBM労組はAIを利用した人事評価・賃金決定について団体交渉に応じないのは不当な団交拒否に当たるとして、東京都労働委員会に救済を申し立てた。 
• 2020.03.31 AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生　　 AI 原則は機能するか？―非拘束的原則から普遍的原則への道筋 by 新保史生先生
• 2020.03.28 EU Ethics Guidelines for Trustworthy AI
• 2020.03.10 US Navy robot submarine would be able to kill without human 
• 2020.03.08 AIで手塚治虫作品をつくる？ 
• 2020.03.02 AIが権利能力の主体となるのであれば、それは法人ですね。。。 
• 2020.02.27 「AI倫理に関する現状」芳田千尋氏 
• 2020.02.27 IPA AI白書2020
• 2020.02.20 EUのデジタル戦略！
• 2020.02.18 AIによる差別の現状
• 2020.02.13 無人兵器・・・人工知能はついているかも・・・
• 2020.01.17 Deepfake

 

 

UK National Cyber Security Centreがスモールビジネス向けサイバーセキュリティガイド改訂版を公開していますね。。。（Cyber Essentials認定も意識して）

こんにちは、丸山満彦です。

UK National Cyber Security Centre (NCSC) がスモールビジネス向けサイバーセキュリティガイド改訂版を公開していますね。。。

初版は2017年に発行されていますね。スモールビジネスに対するサイバーセキュリティ対策の推進というのはどこの国でも重要ではあるものの苦労しているように感じます。。。COVID-19の問題もあって、スモールビジネスと言えども在宅勤務等の必要性も出てきており、そのための対策のためにも参考になるとしていますね。

また、”対応と復旧のガイダンス（The response and recovery guidance ）”も新たに加えて、ランサムウェア対応も適切にできるようにということなのでしょうね。。。

英国では、Cyber Essentials [wikipedia]という制度（2014.06.05運用開始）を作って、2014年10月以降は機密情報や個人情報を取り扱う、または特定の技術製品やサービスの提供を伴う中央政府の契約に入札する場合はCyber ​​Essentials認定（Procurement Policy Note 09/14: Cyber Essentials scheme certification）が必要となっていますので、この認定をとるためにもこのようなガイダンスを参考にするのが有益なのでしょうね。。。

● UK National Cyber Security Centre (NCSC)

・2020.10.08 (news) Revamped cyber guide will help small businesses work securely online

The NCSC Small Business Guide has been revamped for 2020 as well as the response and recovery guidance.

・(guidance) Small Business Guide: Cyber Security

How to improve your cyber security; affordable, practical advice for businesses.

・[PDF] Cyber Security Small Business Guide

内容は次の通りです。。。

1. データバックアップをとる
2. マルウェア対策をする
3. スマートフォンの安全を保つ
4. データ保護のためにパスワードを使う
5. フィッシング攻撃を回避する

という感じですかね。。。

---

• Small Business Guide: Cyber Security
• Step 1 - Backing up your data
• Step 2 - Protecting your organisation from malware
• Step 3 - Keeping your smartphones (and tablets) safe
• Step 4 - Using passwords to protect your data
• Step 5 - Avoiding phishing attacks
• Actions to take
• Video Collection
• Resources
  
  
  • [PDF] Cyber Security Small Business Guide
    How to improve your cyber security; affordable, practical advice for businesses
    
    
  • [PDF] Cyber Security Small Business Guide Actions
    Actions that can be carried out after utilising the NCSC's Small Business Guide.
    
    
  • [PDF] NCSC Small Business Guide infographic
    An infographic for the revamped Small Business Guide 2020.

---

 

カナダ プライバシー法、個人データ保護と電子文書法に関する議会への報告書

こんにちは、丸山満彦です。

カナダのプライバシーコミッショナーが、プライバシー法（Praivacy Act）、個人データ保護と電子文書法（Personal Information Protection and Electronic Documents Act）に関する議会への報告書を公開していますね。。。参考になりますね。。。

● Office of the Privacy Commissioner of Canada

・2020.10.08 (release) Commissioner’s annual report: Pandemic raises privacy concerns highlighting urgency of law reform - Public health crisis has pushed daily activities online, underscoring critical need for change

COVID-19の中でわかったことが2つあると、、、

1. プライバシーと公衆衛生、景気回復などの公共政策目標の追求は矛盾していない。それらは同時に達成することができ、そして達成しなければならない。
   
   
2. パンデミックによって引き起こされたデジタル化の加速により、プライバシー法を改革する必要性がさらに高まった

報告書は、

・2020.10.08 2019-20 Annual Report to Parliament on the Personal Information Protection and Electronic Documents Act and the Privacy Act

報告書の締め（結論の最後の行）は

個人の利益と権利が尊重されない限り、社会・経済の回復は持続可能ではない。

個人的には同意ですね。。。

報告書の目次です。。。

---

Table of Contents

• Commissioner’s message
• Privacy by the numbers
• Privacy in a pandemic
• The Privacy Act: A year in review
• The Personal Information Protection and Electronic Documents Act: A year in review
• Advice to Parliament
• International and domestic cooperation
• Privacy cases in the courts
• Appendix 1: Definitions
• Appendix 2: Statistical tables
• Appendix 3: Investigation process
• Appendix 4: Substantially similar legislation
• Appendix 5: Report of the Privacy Commissioner, Ad Hoc

---

その他、、、

・2020.10.08 Commissioner's statement

・2020.10.08 Graphic: Privacy protection: Canada and its trading partners

---

• 

欧州議会は人工知能の民事責任に関する報告書を発表していますね

こんにちは、丸山満彦です。

欧州議会は人工知能の民事責任に関する報告書を発表していますね。。。

● Europian Committee - Committee on Legal Affairs

・2020.10.05 [PDF] REPORT with recommendations to the Commission on a civil liability regime for artificial intelligence (2020/2014(INL))

目次

• MOTION FOR A EUROPEAN PARLIAMENT RESOLUTION
• ANNEX TO THE MOTION FOR A RESOLUTION: DETAILED RECOMMENDATIONS FOR DRAWING UP A EUROPEAN PARLIAMENT AND COUNCIL REGULATION ON LIABILITY FOR THE OPERATION OF ARTIFICIAL INTELLIGENCE-SYSTEMS
• EXPLANATORY STATEMENT
• OPINION OF THE COMMITTEE ON THE INTERNAL MARKET AND CONSUMER PROTECTION
• OPINION OF THE COMMITTEE ON TRANSPORT AND TOURISM
• INFORMATION ON ADOPTION IN COMMITTEE RESPONSIBLE
• FINAL VOTE BY ROLL CALL IN COMMITTEE RESPONSIBLE

AIの特徴を「自動化された意思決定」として色々と考えているようです。意思決定に繋がるコードやデータを明確に決めることができなくなる可能性が高く、故に責任を人に帰着させることが難しくなるだろうという前提の下で検討しているように思います。そして、AIを法的人格もなく、人間の良心もなく、人類に奉仕する存在という整理をしていますね。。。

AIシステムを高リスクAIシステムと低リスクAIシステムに分けて議論をしていますね。高リスクAIシステムでは厳格責任制度を採用し、その操作者（Operator）は責任を免れないという考え方のようです。また、保険に強制加入すべきという意見のようですね。。。

---

Different liability rules for different risks

14. Recognises that the type of AI-system the operator is exercising control over is a determining factor regarding liability; notes that an AI-system that entails an inherent high risk and acts autonomously potentially endangers the general public to a much higher degree; considers that, based on the legal challenges that AI-systems pose to the existing civil liability regimes, it seems reasonable to set up a common strict liability regime for those high-risk autonomous AI-systems; underlines that such a risk-based approach, that might encompass several levels of risk, should be based on clear criteria and an appropriate definition of high risk and provide for legal certainty;

.....

Insurances and AI-systems

23. ...
    
    
24. Is of the opinion that, based on the significant potential to cause harm or damage and by taking Directive 2009/103/EC of the European Parliament and of the Council of 16 September 2009 relating to insurance against civil liability in respect of the use of motor vehicles, and the enforcement of the obligation to insure against such liability¹³ into account, all operators of high-risk AI-systems listed in the Annex to the proposed Regulation should hold liability insurance; considers that such a mandatory insurance regime for high-risk AI-systems should cover the amounts and the extent of compensation laid down by the proposed Regulation; is mindful of the fact that such technology is currently still very rare, since it presupposes a high degree of autonomous decision making and that, as a result, the current discussions are mostly future-oriented; believes nevertheless that uncertainty regarding risks should not make insurance premiums prohibitively high and thereby an obstacle to research and innovation;

---

 

■ 参考

・2020.09.28 [PDF] Civil liability regime for artificial intelligence European added value assessment

・2020.07 [PDF] STUDY Requested by the JURI committee: Artificial Intelligence and Civil Liability

米国のISACとISAO （根拠指令、取りまとめ団体、ISAO標準文書など）

こんにちは、丸山満彦です。

米国では、特定の業界で脅威情報等の共有を行う組織として、ISAC（Information Sharing and Analysis Center）やISAO（Information Sharing and Analysis Organization）がありますよね。

---

ISACは、1997年のクリントン政権の大統領令63（Presidential Decision Directive 63: PDD63）に基づき重要インフラ業界毎に組成された組織です。

ISACは、重要インフラ・資源（Critical Infrastructure Key Resource（CI / KR））の所有者および運営者によって設立された信頼できる団体であり、セクター内、他のセクター、及び政府と共有される包括的なセクター分析を提供していますね。IISACが提供するサービスは、リスクの軽減、インシデント対応、アラート、情報共有等が含まれます。ISACの目標は、利用者に正確で実用的で関連性のある情報を提供することで、24/7のセキュリティオペレーションセンターの利用、ブリーフィング、ホワイトペーパー、脅威情報の収集、ウェビナー、CIKR所有者/運用者による匿名の報告書の提供などがあるようです。

● Federal Register

・1998.08.05 Presidential Decision Directive 63 on Critical Infrastructure Protection: Sector Coordinators
・[PDF] [Text]

 ● Federation of American Scientists (FAS)

・Presidential Decision Directives [PDD] Clinton Administration 1993-2000

・1998.05.22 PDD/NSC 63  Critical Infrastructure Protection
・・Fact Sheet
・・White Paper
・・DOD CIP Plan
・・National Plan for Information Systems Protection (Jan 2000)
・・Report to Congress on Status of Federal Critical Infrastructure Protection Actions (Jan 2001)]

ISACは2003年に設立されたNational Council of ISACs（NCI）で全体のコーディネーションが行われています。NCIにリストされているISACは24ありますね。

● National Council of ISACs (NCI)

＃	MEMBER ISACS	ISACメンバー
1	AMERICAN CHEMISTRY COUNCIL	化学工業会
2	AUTOMOTIVE ISAC	AUTOMOTIVE ISAC
3	AVIATION ISAC	航空ISAC
4	COMMUNICATIONS ISAC	通信ISAC
6	DOWNSTREAM NATURAL GAS ISAC	天然ガス配送・分配ISAC
6	ELECTIONS INFRASTRUCTURE ISAC	選挙基盤 ISAC
7	ELECTRICITY ISAC	電力ISAC
8	EMERGENCY MANAGEMENT AND RESPONSE ISAC	緊急管理・対応 ISAC
9	FINANCIAL SERVICES ISAC	金融サービスISAC
10	HEALTH ISAC	ヘルスケアISAC
11	HEALTHCARE READY	ヘルスケア対応
12	INFORMATION TECHNOLOGY ISAC	IT-ISAC
13	MARITIME ISAC	海上保安ISAC
14	MARITIME TRANSPORTATION SYSTEM ISAC	海上交通システムISAC
15	MEDIA & ENTERTAINMENT ISAC	メディア＆エンターテイメント ISAC
16	MULTI-STATE ISAC	マルチステートISAC
17	NATIONAL DEFENSE ISAC	国家防衛ISAC
18	OIL & NATURAL GAS ISAC	石油＆天然ガスISAC
19	REAL ESTATE ISAC	不動産ISAC
20	RESEARCH AND EDUCATION NETWORKS ISAC	研究教育ネットワークISAC
21	RETAIL AND HOSPITALITY ISAC	リテール＆ホスピタリティISAC
22	SURFACE TRANSPORTATION, PUBLIC TRANSPORTATION AND OVER-THE-ROAD BUS ISACS	地上交通・公共交通・高速バスISAC
23	SPACE ISAC	宇宙アイザック
24	WATER ISAC	水アイザック

 

---

ISAOは、2015年2月13日に当時のオバマ大統領による民間部門のサイバーセキュリティ情報共有を促進する大統領令（Executive Order (EO) 13691 promoting private sector cybersecurity information sharing）により国土安全保障省（DHS）にISAOの開発を奨励するよう指示され、普及してきています。

ISAO関連のサイトは次のようなものがありますね。。。

● Whitehouse (Arcive)
・2020.02.13 Exective Order (EO) 13691 Promoting Private Sector Cybersecurity Information Sharing

● DHS - CISA
・ISAO

● Office of the Director of National Intelligence
・Information Sharing Environment

● Cyber Resilience Institute

ISAOの標準化等を行っている主要となる団体は、ISAO SOです。

● ISAO Standards Organization

参加している団体は、ISAC等も含まれていて

・地域ISAOが17、産業・セクターが46、特定テーマが７、その他が9となっていますね。。。

標準文書（リリースされているもの、コメント募集中のもの、今後開発予定のもの）の全体増は、ここでわかります。一部日本語にされているものもありますよ。。。

・FUTURE PRODUCTS

斜字は予定です。。。

ISAO 100 SERIES: ISAO CREATION AND OPERATION

• ISAO 100-1: Introduction to ISAOs　Ver1.01[PDF]
• ISAO 100-2: Guidelines for Establishing an ISAO  Ver1.01[PDF]
• ISAO 100-3: Guidelines for Operating an ISAO　
• ISAO SP 1000: Forming a Tax-Exempt Entity   Ver1.0[PDF]

ISAO 200 SERIES: ISAO CAPABILITIES AND SERVICES

• ISAO 200-1: Foundational Services and Capabilities  Ver1.0[PDF]  日本語[PDF]
• ISAO 200-2: ISAO Capabilities
• ISAO 200-3: ISAO Services
• ISAO SP 2000: Crisis Action Playbook （開発中）

ISAO 300 SERIES: INFORMATION SHARING

• ISAO 300-1: Introduction to Information Sharing　Ver1.0[PDF]  日本語[PDF](IPA)
• ISAO 300-2: Automating Cyber Threat Intelligence Sharing  Ver0.1[PDF] 

ISAO 400 SERIES: PRIVACY AND SECURITY

• ISAO 400-1: Emerging State and Local Cybersecurity Laws and Regulations Impacting Information Sharing  Ver1.0[PDF]
• ISAO 400-2: Privacy Guidelines
• ISAO 400-3: Security Guidelines
• ISAO SP 4000: Protecting Consumer Privacy in Cybersecurity Information Sharing  Ver1.0[PDF]

ISAO 500 SERIES: GLOBAL INFORMATION SHARING

• ISAO 500-1: US Transnational Cybersecurity Information Sharing （開発中）
• ISAO 500-2: International Issues

ISAO 600 SERIES: GOVERNMENT RELATIONS

• ISAO 600-1: A Framework for State-Level ISAOs  Ver1.0[PDF]
• ISAO 600-2: US Government Relations, Programs & Services  Ver1.01[PDF]
• ISAO SP 6001: State-Level Enabling and Partnering with Private Sector ISAOs （開発中）Ver1.0[PDF]

ISAO 700 SERIES: ISAO ANALYSIS

• ISAO 700-1: Introduction to Analysis　Ver1.0[PDF] 日本語Ver1.0[PDF]
• ISAO 700-2: Analytical Methods

ISAO 800 SERIES: LEGAL CONSIDERATIONS

• ISAO 800-1: Introduction to Legal Issues for ISAOs
• ISAO SP 8000: Frequently Asked Questions for ISAO General Counsels  Ver1.0[PDF]

 

---

 

東証システム障害について - 「システム障害に係る調査委員会」の設置について

こんにちは、丸山満彦です。

2020.10.01に東京証券取引所のシステムが停止し、売買が行えない状況となったのですが、適切な対応が取られて市場の混乱は最低限に抑えられたのではないかというのが大方の見方のようで、私もそう思っています。

そして、取締役の不正でもないので、調査委員会は独立委員会ではなく、社外取締役による委員で執行とは距離を起きつつ、ある意味関係者での調査ということになるようですね。。。タイミング的にも原因と対策の発表をした同日と言うことで、これも関係者から見れば教科書的によくできた対応ということのようです。。。

システムが止まったということで、「サイバー攻撃か？」という期待？も業界ではあったのかもしれませんが、私の直感は「ハード障害＋切替がうまくいかない」でしたが、やはりそうだったようです。なぜそう思ったかですが、単純に事例としてはそういう事例が過去から多いので、確率論的にそうだろうという感じですかね。。。

● 東京証券取引所 - CEO記者会見

・2020.10.01 本日の障害について

・・[PDF] 要旨
・・[PDF] 資料


- JPXからのお知らせ

・2020.10.05 arrowhead の障害に関する原因と対策について

・・[PDF] arrowheadの障害に関する原因と対策について
・・[PDF] （参考）共有ディスク装置の内部構造

・2020.10.05 システム障害に係る調査委員会の設置について

---

今般当社は、障害発生の原因等について調査を行うとともに、調査結果を踏まえた再発防止等の各種対策の実効性を高めるため、当社の独立社外取締役から構成される「システム障害に係る調査委員会」を本日付で設置いたしましたので、下記のとおりお知らせいたします。

　　　　　　　　　　　　　　　　　　　記

１．委員
　委員長　久保利　英明　（指名委員会委員、リスクポリシー委員会委員長）
　委員　　遠藤　信博　　（指名委員会委員）
　　　　　幸田　真音　　（監査委員会委員、リスクポリシー委員会委員）
　　　　　米田　壯　　　（監査委員会委員長、リスクポリシー委員会委員）
　※いずれも当社の独立社外取締役
　※必要に応じて専門の補助者を置くことができることとします

２．調査対象
　・障害発生の原因
　・障害発生時の対応
　・再発防止策
　・当社グループ全体のシステムの信頼性向上に向けた対応の方針
　・責任の所在

---

 

● Youtube

・2020.10.01【LIVE】東証 #システム障害 【LIVE】システム障害 「終日取引停止」東証社長会見

Europolが2020年版のインターネット組織犯罪脅威評価を公表していますね

こんにちは、丸山満彦です。

Europolが2020年版のインターネット組織犯罪脅威評価（INTERNET ORGANISED CRIME THREAT ASSESSMENT (IOCTA) 2020）を公表していますね。この報告書は、サイバー犯罪分野における新たな課題と法執行に関する内容が含まれています。。。ダークウェブの悪用に関する情報が含まれているのはEuropolらしいのかもしれません。。。

 

● Europol

・2020.10.05 (report) INTERNET ORGANISED CRIME THREAT ASSESSMENT (IOCTA) 2020

・[PDF]

---

 目次は、

Foreword
Abbreviations
Executive summary
Key findings
Introduction

1 Cross-cutting crime facilitators and challenges to criminal investigations

1.1 Introduction
1.2 COVID-19 demonstrates criminal opportunism
1.3 Data compromise
1.4 Cryptocurrencies facilitate payment for all forms of cybercrime
1.5 Challenges with reporting plague ability to create accurate overview of crime
1.6 Law enforcement access to data continues to challenge investigations

2 Cyber-dependent crime

2.1 Introduction
2.2 Ransomware
2.3 Malware
2.4 DDoS

3 Child sexual exploitation online

3.1 Introduction
3.2 The amount of online child sexual abuse material continues to increase
3.3 Criminals increasingly encrypt their communications complicating investigations
3.4 Darkweb offender communities are continuously evolving
3.5 Livestreaming is becoming mainstream
3.6 Commercia-lisation of online CSE is an emerging threat
3.7 Online child sexual abuse to remain significant threat

4 Payment fraud

4.1 Introduction
4.2 Increase in SIM swapping and SMishing
4.3 Business Email Compromise remains a threat and growing area of concern
4.4 Online investment fraud draws in victims all over Europe
4.5 Card-not-present fraud continues to increase as criminals diversify
4.6 Terminal attacks increase as popularity of black-box attacks soars

5 The criminal abuse of the Darkweb

5.1 Introduction
5.2 Marketplace developments
5.3 Administrators and users adapt as they aim to enhance security and resilience
5.4 Infrastructure preferences remain stable, but criminals do use alternatives
5.5 Privacy enhancing wallets emerge as top threat, as privacy enhancing coins gain popularity
5.6 Surface web platforms offer an additional dimension to Darkweb trading
5.7 Steady supply of diverse Darkweb market items

---

 

» Continue reading

厚生労働省 医療情報システムの安全管理に関するガイドライン第5.1版（案）に関する御意見の募集について

こんにちは、丸山満彦です。

厚生労働省が「医療情報システムの安全管理に関するガイドライン第5.1版（案）」に関する意見募集をしていますね。。。

● e-Gov

・2020.10.02 医療情報システムの安全管理に関するガイドライン第5.1版（案）に関する御意見の募集について

• [PDF] 医療情報システムの安全管理に関するガイドライン第5.1版（案）に関する御意見の募集について
• [PDF] 医療情報システムの安全管理に関するガイドライン第5.1版（案） 

関連資料

• [PDF] 医療情報システムの安全管理に関するガイドライン第5.1版（案）について
• [PDF] 医療情報システムの安全管理に関するガイドライン第5.1版（案）（第５版からの変更履歴付）

 

変更点の概要は、次の通りのようです。

---

改定の背景

サイバー攻撃の手法の多様化・巧妙化、地域医療連携や医療介護連携等の推進、「IoT（モノのインターネット）」と称される新技術やサービス等の普及、各種ガイドライン等の変更等、医療情報システムを取り巻く環境の変化に対応するため、「医療情報システムの安全管理に関するガイドライン」（以降、安全管理ガイドライン）の中で関連章を改定するとともに、第5版の公表以降に追加された標準規格等への対応等を行う。

改定概要

【4章】
• クラウドサービスを利用する場合の責任分界の考え方等について、追記する。

【5章】
• 新たに加わった厚生労働省標準規格の内容を更新する。

【6章】
• 「6.5 技術的安全対策」において、二要素認証の導入促進に関する対応、パスワード要件の明確化、サイバー攻撃に対する考え方、Bluetoothなどの近距離無線を利用した機器に関するセキュリティなどについて追記、更新を行う。

• 「6.10. 災害、サイバー攻撃等の非常時の対応」において、非常時に備えたセキュリティ体制の整備、医療情報システムに障害が発生した場合の医療機関等における報告等に関する責務について、追記、更新を行う。

• 「6.11 外部と個人情報を含む医療情報を交換する場合の安全管理」において、内部ネットワークの監視等、無害化対応についての考え方等について、追記更新を行う。また暗号鍵に関する対応について、「④ 暗号化を行うための適切な鍵管理」を新設し、その考え方を示す。また医療機関等がクラウドサービスを用いた場合についての対応についても、追記を行う。

【8章】
• 「8.1.2 外部保存を受託する事業者の選定基準及び情報の取扱いに関する基準」において、外部事業者の運営組織形態の違いによって定められていた要求事項等を、全ての運営組織形態で一本化した。また選定時において確認すべき事項について明示するほか、委託先となる外部事業者における国内法の適用等の確認を行う旨についても、明確化した。

上記の改定に加え、分かりやすさの観点から全般的に表現の修正を行い、本ガイドラインが参照している資料について、最新の版に合わせ名称等を更新する。

---

3月の「素案」から半年を経ての「案」となりますね。

■ 参考（素案）
● 厚生労働省 健康・医療・介護情報利活用検討会　医療等情報利活用ワーキンググループ
・2020.03.26 第一回 議事録  資料  開催案内

■ 参考（第5版）
● 厚生労働省 医療情報ネットワーク基盤検討会

・医療情報システムの安全管理に関するガイドライン　第5版（平成29年5月）

 

---

 

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.08.23 総務省　経済産業省　「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（案）に対する意見募集の結果及び当該ガイドラインの公表

・2020.03.27 厚労省 医療情報システムの安全管理に関するガイドライン 改定素案（第 5.1 版）

・2020.03.10 厚労省の「医療情報システムの安全管理に関するガイドライン」の改訂作業が始まりましたね。。。

・2020.03.06 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（案）に対する意見の募集

・2009.12.26 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン　第4.1版（案）」

・2009.11.22 パブコメ 厚生労働省 「診療録等の保存を行う場所について」の一部改正

・2009.07.17 総務省 確定 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」

・2009.05.23 総務省 パブコメ 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン（案）」

・2009.04.09 厚生労働省 確定 医療情報システムの安全管理に関するガイドライン　第４版

・2008.03.08 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン第３版（案）」 ＆ 経済産業省 パブコメ 「医療情報を受託管理する情報処理事業者向けガイドライン案」

・2007.04.14 厚生労働省 確定 「医療情報システムの安全管理に関するガイドライン　第２版」

・2005.04.09 医療情報システムの安全管理に関するガイドライン

・2005.03.05 医療情報システム　パブコメ

サイバースペース・ソラリウム委員会

こんにちは、丸山満彦です。

そういえば、以前米国の友人から紹介されていた「サイバースペース・ソラリウム委員会」の報告書、まだ読めていない、、、と言うことでブログに書いて自分にプレッシャー。。。(^^)

サイバースペース・ソラリウム委員会(Cyberspace Solarium Commission)は米国国防権限法（National Defense Authorization Act: NDAA[wikipedia]）に基づき2019年に設立された委員会です。。。

2020.03.11にリコメンデーションを含む報告書を出してます。

● Cyberspace Solarium Commissio - Report

・2020.03.11 [PDF] Official Report

・2020.03.11 [PDF] Exective Summary

・2020.07.20 [PDF] Legislative Proposals

-----

勧告事項の項目は6つのPillarに分けられていますね。。。

Foundation: Government Reform
　Pillar1: Reform the U.S. Government’s Structure and Organization for Cyberspace

Layer 1: Shape Behavior 
　Pillar2: Strengthen Norms and Non-military Tools

Layer 2: Deny Benefits 
　Pillar3: Promote National Resilience
　Pillar4: Reshape the Cyber Ecosystem toward Greater Security
　Pillar5: Operationalize Cybersecurity Collaboration with the Private Sector

Layer 3: Impose Costs 
　Pillar6: Preserve and Employ the Military Instrument of Power

-----

その他にもパンデミック等に関わる報告書が公開されていますね。。。

・2020.09.04 [PDF] Cybersecurity Lessons from the Pandemic #3
・2020.06.02 [PDF] Cybersecurity Lessons from the Pandemic #1

Official Reportの目次

---

EXECUTIVE SUMMARY

THE CHALLENGE

• The Threat
• Where Are We Now?
• Where Are We Headed?
• An Inflection Point

HISTORICAL LEGACY AND METHODOLOGY

• Historical Legacy
• Methodology

STRATEGIC APPROACH: LAYERED CYBER DETERRENCE

• The Strategic Logic Of Deterrence
• Defend Forward And Layered Cyber Deterrence
• The Implementation Of Layered Cyber Deterrence

PILLARS AND KEY RECOMMENDATIONS

• Reform the U.S. Government’s Structure and Organization for Cyberspace
• Strengthen Norms and Non-military Tools
• Promote National Resilience
• Reshape the Cyber Ecosystem toward Greater Security
• Operationalize Cybersecurity Collaboration with the Private Sector
• Preserve and Employ the Military Instrument of Power

APPENDICES

• A: Roll-Up of Recommendations
• B: Legislative Proposals
• C: Glossary
• D: Abbreviations
• E: Government Structure for Cybersecurity
• F: Situating Layered Cyber Deterrence
• G: Engagements
• H: Commissioners
• I: Staff List
• J: Solarium Event

Support

NOTES

---

■ 参考　報道等

● The Heritage foundation

・2020.08.20 Cybersecurity: Five “Keepers” in the Cyberspace Solarium Commission Report

SUMMARY

Cybersecurity, one of the most important issues facing the nation today, requires not only a whole-of-government response but a whole-of-society response. Piecemeal reforms and stand-alone policies will not adequately address the cyber threats the nation faces. The threat of a major cyberattack carries a large degree of risk for the economy, critical infrastructure, and national defense. Achieving deterrence in cyberspace should be approached holistically, with an emphasis on strengthening both offensive and defensive capabilities and an understanding that cyber interactions with adversaries are both constant and unavoidable.

 

● CSO online
・2020.07.28 Many Cyberspace Solarium Commission recommendations expected to become federal law by Cynthia Brumfield

Dozens of cybersecurity measures designed to protect US businesses and infrastructure are part of the National Defense Authorization Act. Budget, political concerns might eliminate some.

● GovConWire
・2020.07.15 Cyberspace Solarium Commission Releases FY 2021 Legislative Proposals for Infrastructure Security by Sarah Sybert

The Cyberspace Solarium Commission have released CSC’s fiscal year 2021 legislative proposals to defend critical infrastructure from cyberattacks, the commission reported Tuesday. 

 

● Council on Foreign Relations
・2020.07.09 The Cyberspace Solarium Commission on What the Pandemic Teaches Cybersecurity by David P. Fidler

Although the Cyberspace Solarium Commission's new white paper outlined many of the cybersecurity challenges generated by the COVID-19 pandemic, it neglected to address other major issues, such as widespread interest in using digital technologies to implement public health measures. Whether the pandemic will serve as a "call to action" for U.S. policymakers, as the commission hopes, is unclear.

● Help Netsecurity
・2020.07.09 Three major gaps in the Cyberspace Solarium Commission’s report that need to be addressed by Chris Kennedy

Released in March 2020, the Cyberspace Solarium Commission’s report urges for the U.S. government and private sector to adopt a “new, strategic approach to cybersecurity,” namely layered cyber deterrence.

● LawFare
・2020.05.18 The Cyberspace Solarium Commission Makes Its Case to Congress by William Ford

 

●(明治大学理工学部 齋藤孝道先生)
・2020.05.07 サイバースペース・ソラリウム委員会レポート：エグゼクティブサマリのサマリ by Takamichi Saito

 

» Continue reading

米国財務省は金融機関等にランサムウェアの支払いを勧めた場合の制裁リスクを強調する勧告を出していますね。。。

こんにちは、丸山満彦です。

米国財務省は、「金融機関、サイバー保険会社、デジタルフォレンジックやインシデント対応に携わる企業など、被害者に代わってサイバー攻撃者にランサムウェアの支払いを勧める企業は、米国財務省外国資産管理局（OFAC）の規制に違反するリスクがある」と勧告をしていますね。。。

● U.S. Department of Tresury

・2020.10.01 (press) Treasury Department Issues Ransomware Advisories to Increase Awareness and Thwart Attacks

・2020.10.01 Ransomware Advisory

・[PDF] advisory to alert companies that engage with victims of ransomware attacks of the potential sanctions risks for facilitating ransomware payments

● Financial Crimes Enforcement Network (FinCEN)

・2020.10.01 Advisory Information
・[PDF] Advisory Ransomware FINAL 508

 

---

 

ランサムウェアに関するブルース シュナイアーさんのブログ

こんにちは、丸山満彦です。

ランサムウェアに重要なデータやシステムを暗号化された時に、「身代金」を払うべきかどうかという問題は時に難しく、正直私も万能な答えを持っているわけではありません。それは、状況次第という面が否定できないからですかね。。。

情報セキュリティで有名なブルース シュナイアー（Bruce Schneier）さんも同じのようで、やはりこれは難しい問題だと思います。

ただ、彼は一定の整理をしていますね。。。

アメリカの法制度の元ですが、

ランサムウェアの支払いは、リスクが高く、攻撃者にさらなる攻撃の資金を提供すると言う面があるものの、法律（テロ対策法、FCPA等）に違反しているとしても起訴される可能性は低いので、支払うか無視するかの決定は、合法か違法かではなく、費用便益分析のような実際的な決定のように思われる

とした上で、

支払いを容認する考え方（常に当てはまるわけではないのでしょうが）として、

• 支払いは最も費用のかからない選択である
• 支払いは利害関​​係者の最善の利益になる（例えば、即時の手術を切実に必要としている入院患者）
• 支払いにより、重要なデータを失ったことによる罰金を回避できる
• 支払いは、機密性の高い情報を失わないことを意味する
• 支払いは、データ侵害で公開されないことを意味する場合がる

支払いに否定的な考え方として、

• 支払いは、復号のためのキーが提供されることを保証するものではない
• 支払いは、攻撃者に資金を提供し、さらなる攻撃を可能としてランサムウェア犯罪サイクルを維持する
• 支払いは、企業ブランドの毀損に繋がる可能性がある
• 支払いによって、攻撃者による次なる攻撃を防げない
• 被害者がランサムウェアの支払わなかったら、攻撃者は別の手法を使わざるを得なくなる
• ビットコインによる支払いは、組織を別の危険に晒す可能性がある。ほとんどの被害者は、ハッキングされる可能性のある取引所でビットコインを購入する必要があり、これらの取引所に保存されている購入者の銀行口座情報は脆弱なままだからである

なるほどです。。。

 

● Schneier on Security

・2020.09.30 Negotiating with Ransomware Gangs