2024.09.18

米国 CISA 連邦政府機関のサイバーセキュリティ運用優先事項の調整計画

こんにちは、丸山満彦です。

CISAが連邦政府文民機関 (Federal Civilian Executive Branch: FCEB)(ざっくりいうと国防総省や軍隊、情報機関以外の連邦政府関連機関と考えても良いと思います。。。リストはCISAのページにあります)のサイバーセキュリティの運用に関する優先事項についての目標達成のための計画が公表されていますね...

優先すべき事項は5つありますが、次の通りです...

Asset Management – fully understand the cyber environment, including the operational terrain and interconnected assets. 資産管理 - 運用環境や相互接続された資産を含むサイバー環境を完全に理解する。
Vulnerability Management – proactively protect enterprise attack surface and assess defensive capabilities. 脆弱性管理 - エンタープライズの攻撃対象領域を防御し、防御能力をアセスメントする。
Defensible Architecture – design cyber infrastructure with an understanding that security incidents will happen, and that resilience is essential. 防御可能なアーキテクチャ - セキュリティインシデントは発生し、レジリエンシーが不可欠であることを理解した上で、サイバーインフラストラクチャを設計する。
Cyber Supply Chain Risk Management (C-SCRM) - quickly identify and mitigate risks, including from third parties, posed to federal IT environments. サイバーサプライチェーンリスクマネジメント(C-SCRM) - 連邦政府のIT環境に影響を及ぼす可能性のあるサードパーティを含むリスクを迅速に識別し、低減する。
Incident Detection and Response - improve the ability of Security Operations Centers (SOCs) to detect, respond to, and limit the impact of security incidents. インシデントの検知と対応 - セキュリティ・オペレーション・センター(SOC)のセキュリティ・インシデントの検知、対応、影響の抑制能力を向上させる。

 

連邦政府文民機関とは、サイバーセキュリティの大統領令 (EO14028 Improving the Nation's Cybersecurity) が適用される範囲です...

 

CISA

プレス...

・2024.09.16 CISA Releases Plan to Align Operational Cybersecurity Priorities for Federal Agencies

CISA Releases Plan to Align Operational Cybersecurity Priorities for Federal Agencie CISA、連邦政府機関のサイバーセキュリティ運用優先事項の調整計画を発表
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) published the Federal Civilian Executive Branch (FCEB) Operational Cybersecurity Alignment (FOCAL) Plan today. As the operational lead for federal cybersecurity, CISA uses this plan to guide coordinated support and services to agencies, drive progress on a targeted set of priorities, and align collective operational defense capabilities. The end result is reducing the risk to more than 100 FCEB agencies. ワシントン – サイバーセキュリティ・インフラセキュリティ庁(CISA)は本日、連邦文民行政機関(FCEB)運用サイバーセキュリティ調整(FOCAL)計画を発表した。連邦政府のサイバーセキュリティの運用面での主導機関であるCISAは、この計画を活用して各機関への協調的な支援とサービスを導き、優先事項の目標達成に向けた進捗を促進し、総合的な運用上の防御能力を調整する。最終的な結果として、100以上のFCEB機関のリスクが軽減される。
Each FCEB agency has a unique mission, and thus have independent networks and system architectures to advance their critical work. This independence means that agencies have different cyber risk tolerance and strategies. However, a collective approach to cybersecurity reduces risk across the interagency generally and at each agency specifically, and the FOCAL Plan outlines this will occur. CISA developed this plan in collaboration with FCEB agencies to provide standard, essential components of enterprise operational cybersecurity and align collective operational defense capabilities across the federal enterprise. 各FCEB機関には独自のミッションがあり、そのため、重要な業務を推進するための独自のネットワークとシステムアーキテクチャを有している。この独立性により、各機関は異なるサイバーリスク許容度と戦略を有している。しかし、サイバーセキュリティに対する集団的なアプローチは、政府機関全体および各機関のリスクを低減し、FOCAL計画ではこれが実現されることが概説されている。CISAは、エンタープライズ運用サイバーセキュリティの標準的かつ不可欠なコンポーネントを提供し、連邦政府エンタープライズ全体の集団的な運用防御能力を調整するために、FCEB機関と協力してこの計画を策定した。
“Federal government data and systems interconnect and are always a target for our adversaries. FCEB agencies need to confront this threat in a unified manner and reduce risk proactively,” said CISAExecutive Assistant Director for Cybersecurity, Jeff Greene. “The actions in the FOCAL plan orient and guide FCEB agencies toward effective and collaborative operational cybersecurity and will build resilience. In collaboration with our partner agencies, CISA is modernizing federal agency cybersecurity.” 「連邦政府のデータとシステムは相互に接続されており、常に敵対者たちの標的となっています。FCEB機関は、この脅威に統一された方法で立ち向かい、リスクを積極的に軽減する必要があります」と、CISAのサイバーセキュリティ担当エグゼクティブアシスタントディレクターであるジェフ・グリーン氏は述べている。「FOCAL計画の行動は、FCEB機関を効果的かつ協調的な運用サイバーセキュリティへと導き、レジリエンシーを構築する。CISAは、パートナー機関と協力して、連邦機関のサイバーセキュリティを近代化している。
The FOCAL plan is organized into five priority areas that align with agencies’ metrics and reporting requirements. Each priority has goals ranging from addressing universal cybersecurity challenges such as managing the attack surface of internet-accessible assets and bolstering cloud security to long-rage efforts including building a defensible architecture that is resilient in the face of evolving security incidents. The priority areas for FCEB agencies are: FOCAL計画は、政府機関の評価基準と報告要件に沿った5つの優先分野に分類されている。各優先分野には、インターネットにアクセス可能な資産の攻撃対象領域の管理やクラウドセキュリティの強化といった普遍的なサイバーセキュリティの課題への対応から、進化するセキュリティインシデントに直面してもレジリエンスを発揮できる防御可能なアーキテクチャの構築といった長期的な取り組みまで、さまざまな目標が設定されている。FCEB政府機関の優先分野は以下の通りである。
Asset Management – fully understand the cyber environment, including the operational terrain and interconnected assets. 資産管理 - 運用環境や相互接続された資産を含むサイバー環境を完全に理解する。
Vulnerability Management – proactively protect enterprise attack surface and assess defensive capabilities. 脆弱性管理 - エンタープライズの攻撃対象領域を防御し、防御能力をアセスメントする。
Defensible Architecture – design cyber infrastructure with an understanding that security incidents will happen, and that resilience is essential. 防御可能なアーキテクチャ - セキュリティインシデントは発生し、レジリエンシーが不可欠であることを理解した上で、サイバーインフラストラクチャを設計する。
Cyber Supply Chain Risk Management (C-SCRM) - quickly identify and mitigate risks, including from third parties, posed to federal IT environments. サイバーサプライチェーンリスクマネジメント(C-SCRM) - 連邦政府のIT環境に影響を及ぼす可能性のあるサードパーティを含むリスクを迅速に識別し、低減する。
Incident Detection and Response - improve the ability of Security Operations Centers (SOCs) to detect, respond to, and limit the impact of security incidents. インシデントの検知と対応 - セキュリティ・オペレーション・センター(SOC)のセキュリティ・インシデントの検知、対応、影響の抑制能力を向上させる。
The FOCAL Plan was developed for FCEB agencies, but public and private sector organizations should find it useful as a roadmap to establish their own plan to bolster coordination of their enterprise security capabilities. FOCAL計画はFCEB機関向けに策定されたが、公共および民間部門の組織にとっても、エンタープライズ・セキュリティ能力の連携強化に向けた独自の計画を策定するためのロードマップとして役立つはずである。
The Plan is not intended to provide a comprehensive or exhaustive list that an agency or CISA must accomplish. Rather, it is designed to focus resources on actions that substantively advance operational cybersecurity improvements and alignment goals. この計画は、機関またはCISAが達成すべき包括的または網羅的なリストを提供することを目的としたものではない。むしろ、運用上のサイバーセキュリティ改善と整合目標を実質的に前進させる行動にリソースを集中させることを目的としている。

 

・2024.09.16 Federal Civilian Executive Branch (FCEB) Operational Cybersecurity Alignment (FOCAL) Plan

Federal Civilian Executive Branch (FCEB) Operational Cybersecurity Alignment (FOCAL) Plan 連邦文民行政機関(FCEB)運用上のサイバーセキュリティ整合(FOCAL)計画
As the operational lead for federal cybersecurity, CISA uses the FOCAL Plan to guide coordinated support and services to agencies, drive progress on a targeted set of priorities, and align collective operational defense capabilities. The end result is reducing the risk to more than 100 FCEB agencies.  連邦サイバーセキュリティの運用上の主導機関として、CISAはFOCAL計画を活用し、機関への協調的な支援とサービスの指針を示し、優先事項の目標達成に向けた進捗を推進し、総合的な運用上の防御能力を整合させる。最終的な結果として、100以上のFCEB機関のリスクが軽減される。
CISA developed this plan in collaboration with FCEB agencies to provide standard, essential components of enterprise operational cybersecurity and align collective operational defense capabilities across the federal enterprise.  CISAは、エンタープライズ・オペレーショナル・サイバーセキュリティの標準的な必須コンポーネントを提供し、連邦政府機関全体の運用防御能力を調整するために、FCEB機関と協力してこの計画を策定した。
The FOCAL Plan is not intended to provide a comprehensive or exhaustive list that an agency or CISA must accomplish. Rather, it is designed to focus resources on actions that substantively advance operational cybersecurity improvements and alignment goals.  FOCAL計画は、機関またはCISAが達成しなければならない包括的または網羅的なリストを提供することを目的としたものではない。むしろ、運用上のサイバーセキュリティの改善と調整目標を実質的に前進させる行動にリソースを集中させることを目的としている。

 

・[PDF]

20240918-44448

 

目次...

1. Introduction 1. 序文
1.1 Aligning the Federal Enterprise 1.1 連邦エンタープライズの調整
Table 1: FOCAL Plan Terminology and Definitions 表1:FOCAL計画の用語と定義
1.1.1 FOCAL Plan Overview 1.1.1 FOCAL計画の概要
Figure 1: Five FOCAL Priority Areas 図1:5つのFOCAL優先分野
2. Priority Area 1: Asset Management 2. 優先分野1:資産管理
2.1 Alignment Goal: Increase Operational Visibility 2.1 整合目標:運用上の可視性の向上
3. Priority Area 2: Vulnerability Management 3. 優先分野2:脆弱性管理
3.1 Alignment Goal: Manage the Attack Surface of Internet-Accesible Assets 3.1 整合目標:インターネットにアクセス可能な資産の攻撃面を管理する
4. Priority Area 3: Defensible Architecture 4. 優先分野 3:防御可能なアーキテクチャ
4.1 Alignment Goal 1: Secure Cloud Business Applications 4.1 整合目標 1:クラウドビジネスアプリケーションのセキュリティ確保
4.1.1 Alignment Goal 2: Share Cybersecurity Telemetry Data With CISA 4.1.1 整合目標 2:CISAとのサイバーセキュリティ遠隔測定データの共有
5. Priority Area 4: Cyber Supply Chain Risk Management 5. 優先分野 4:サイバーサプライチェーンリスクマネジメント
5.1 Alignment Goal 1: Secure Cloud Business Applications 5.1 整合目標 1:クラウドビジネスアプリケーションのセキュリティ確保
6. Priority Area 5: Incident Detection and Response 6. 優先分野5:インシデントの検知と対応
6.1 Alignment Goal 1: Enable CISA’s Persistent Access Capability 6.1 整合目標1:CISAの持続的アクセス能力の実現
6.1.1 Alignment Goal 2: Advance SOC Governance 6.1.1 整合目標2:SOCガバナンスの強化

 

1. INTRODUCTION   1. 序文
The Federal Civilian Executive Branch (FCEB) is comprised of agencies driven by unique missions. All have independently established networks and system architectures to advance their critical work on behalf of the American people. This independence has led to several outcomes that serve as a backdrop to the development of the FCEB Operational Cybersecurity Alignment (FOCAL) Plan. Agencies vary widely in how effective they are at managing cyber risk, which means there is no cohesive or consistent baseline security posture across all FCEB agencies. These diverse approaches were not designed to collectively address the dynamic nature of our current cyber threat environment, the complexity of our digital ecosystem, and the pace of technology modernization. As a result, despite concerted efforts to adapt and protect against cyberattacks, the FCEB remains vulnerable.  連邦文民行政機関(FCEB)は、独自の使命を担う機関によって構成されている。すべての機関は、アメリカ国民のために重要な業務を推進するために、独自にネットワークとシステムアーキテクチャを構築している。この独立性は、FCEB運用サイバーセキュリティ調整(FOCAL)計画の策定の背景となったいくつかの結果をもたらした。各機関のサイバーリスク管理の有効性には大きな差があり、連邦政府機関全体にわたって、まとまりのある一貫した基本的なセキュリティ対策が存在しないことを意味している。こうした多様なアプローチは、現在のサイバー脅威環境の動的な性質、デジタルエコシステムの複雑性、技術の近代化のペースに全体として対応することを目的として設計されたものではない。その結果、サイバー攻撃への適応と防御に向けた協調的な取り組みにもかかわらず、FCEBは依然として脆弱性を抱えている。
Though risk is best managed at the lowest level possible, standardizing the essential components of enterprise operational cybersecurity across agency components and across the interagency is now more critical than ever. Collective operational defense is required to adequately reduce risk posed to more than 100 FCEB agencies and to address dynamic cyber threats to government services and data. CISA’s FCEB Operational Cybersecurity Alignment (FOCAL) Plan outlines how agencies can work toward this by adopting proven practices along the spectrum—from prevention to incident detection and response—and identifying collective goals for security across the federal enterprise.  リスクは可能な限り最小レベルで管理するのが最善であるが、エンタープライズ・オペレーショナル・サイバーセキュリティの必須コンポーネントを政府機関の各部門および政府機関間で標準化することが、これまで以上に重要になっている。100を超えるFCEB機関に及ぶリスクを適切に低減し、政府サービスとデータに対する動的なサイバー脅威に対処するには、組織的な防御が必要である。CISAのFCEB運用サイバーセキュリティ調整(FOCAL)計画では、予防からインシデント検知、対応に至るまでの全領域で実証済みの手法を採用し、連邦政府エンタープライズ全体のセキュリティに関する共通目標を識別することで、各機関がこの目標に向かって取り組む方法を概説している。
In recent years, the federal government’s executive orders, policies, and directives have driven significant cybersecurity improvements at federal agencies in response to this dynamic threat environment. As the Office of Management and Budget (OMB) and Office of the National Cyber Director (ONCD) continue to shape national cybersecurity policy and set strategic expectations for federal cybersecurity, the Cybersecurity and Infrastructure Security Agency (CISA) is the operational lead, ensuring the enterprise has the necessary  capabilities to meet those expectations.  近年、連邦政府による大統領令、政策、指令により、このダイナミックな脅威環境に対応して連邦機関におけるサイバーセキュリティの大幅な改善が推進されてきた。 行政管理予算局(OMB)と国家サイバーディレクター室(ONCD)が連邦政府のサイバーセキュリティに関する国家政策の策定と戦略的期待値の設定を継続する中、サイバーセキュリティ・インフラセキュリティ庁(CISA)が運用面での主導的役割を担い、エンタープライズがこれらの期待値を満たすために必要な能力を備えていることを保証している。
1.1 ALIGNING THE FEDERAL ENTERPRISE   1.1 連邦エンタープライズの調整
The FOCAL Plan is a strategic document that includes broad organizing concepts for federal cybersecurity and a tactical one that provides specific actionable steps agencies can take in the next year to improve their cybersecurity posture. This plan identifies areas in need of standardization and consistency (priority areas), enabling the federal enterprise’s cyber defense apparatus during steady state operations and facilitating rapid response when urgent situations require interagency action.   FOCAL計画は、連邦政府のサイバーセキュリティに関する幅広い組織化の概念と、各機関がサイバーセキュリティの態勢を改善するために今後1年間に実行可能な具体的な手順を提供する戦術的な概念を含む戦略文書である。この計画では、標準化と一貫性が必要な領域(優先領域)を識別し、連邦政府のサイバー防衛機構を定常状態の運用中に機能させ、緊急事態で省庁間の対応が必要な場合に迅速な対応を可能にする。 
The FOCAL Plan is not intended to provide a comprehensive or exhaustive list of everything that an agency or CISA must accomplish. It is designed to focus resources on those actions that substantively advance operational cybersecurity improvements and alignment goals.   FOCAL計画は、省庁またはCISAが達成すべきことの包括的または網羅的なリストを提供することを目的としたものではない。この計画は、運用上のサイバーセキュリティ改善と整合目標を実質的に前進させる行動にリソースを集中させることを目的としている。
Table 1: FOCAL Plan Terminology and Definitions 表1:FOCAL計画の用語と定義
Priority Area - An area of cybersecurity performance that CISA considers critical to the alignment of capabilities across the federal enterprise based on feedback, research, and experience. Each prioritized area will serve as the foundation of CISA’s conversations with FCEB agencies in FY 2024. These conversations will help CISA better understand the agencies’ needs and develop the products, services, and guidance to meet those needs. 優先分野 - フィードバック、調査、経験に基づいて、CISAが連邦エンタープライズ全体の能力の整合に不可欠であると考えるサイバーセキュリティパフォーマンスの分野。優先分野はそれぞれ、2024会計年度におけるCISAとFCEB機関との協議の基盤となる。これらの協議は、CISAが各機関のニーズをよりよく理解し、それらのニーズを満たす製品、サービス、およびガイダンスを開発するのに役立つ。
Alignment Goal - A subset of each priority area, alignment goals have been created on the operational level with an eye toward standardization and, ultimately, alignment of effort and capabilities across the federal enterprise. 整合目標 - 各優先分野のサブセットである整合目標は、標準化を視野に入れ、最終的には連邦エンタープライズ全体における取り組みと能力の調整を目的として、運用レベルで策定されている。
Increased alignment between CISA and FCEB agencies will have real world impact and will shape the actions taken in response to the dynamic threat environment. The ultimate destination on this shared journey is more synchronized and robust cyber defenses, greater communication, and increased agility and resilience across the federal enterprise, resulting in a more cohesive government enterprise capable of defending itself against evolving cyber threats.   CISAとFCEB機関間の連携強化は現実世界に影響を及ぼし、ダイナミックな脅威環境に対応する行動を形作ることになる。この共有の旅の最終目的地は、連邦政府エンタープライズ全体でより同期化され強固なサイバー防御、より緊密なコミュニケーション、そしてより迅速かつレジリエントになることであり、その結果、進化するサイバー脅威から自らを守ることができる、より結束力のある政府エンタープライズとなる。
1.1.1. FOCAL Plan Overview   1.1.1. FOCAL計画の概要
This plan is organized into five priority areas that CISA considers essential for positioning efforts across the federal cybersecurity landscape and that align with agencies’ Federal Information Security Modernization Act metrics and reporting requirements. 本計画は、連邦政府のサイバーセキュリティの全体像にわたる取り組みの位置づけに不可欠であり、各機関の連邦情報セキュリティ近代化法(FISMA)の評価基準および報告要件に適合する5つの優先分野に分類されている。
2. PRIORITY AREA 1: ASSET MANAGEMENT   2. 優先分野1:資産管理
Full understanding of the cyber environment, including both operational terrain and interconnected assets, is foundational for the federal enterprise. Agencies must properly account for and manage each individual asset to defend against sophisticated attacks from adversaries or determine localized risk posed by an insecure software product. This level of operational visibility is essential in our current threat environment.  運用環境および相互接続された資産の両方を含むサイバー環境の完全な理解は、連邦政府にとって不可欠である。各資産を適切に把握し、管理することは、敵対者による高度な攻撃から防御したり、安全でないソフトウェア製品による局所的なリスクを特定したりするために不可欠である。このようなレベルの運用上の可視性は、現在の脅威環境において不可欠である。
Achieving comprehensive asset visibility and enabling continuous, automatic updates to an asset catalog can be challenging for large organizations, but managing cybersecurity risk necessitates this critical step in gaining full awareness of an enterprise’s digital footprint. Enterprise-wide asset management directly enables targeted vulnerability and incident response, facilitates rapid identification and collective action, and supports ondemand coordination between CISA, the agency, and peer agencies or other key stakeholders.  包括的な資産の可視性を実現し、資産カタログへの継続的な自動更新を可能にすることは、大規模な組織にとっては難しい場合があるが、サイバーセキュリティリスクの管理には、エンタープライズのデジタルフットプリントを完全に把握するためのこの重要なステップが必要である。エンタープライズ規模の資産管理は、標的型脆弱性およびインシデント対応を直接可能にし、迅速な特定と共同行動を促進し、CISA、機関、同等の機関またはその他の主要な利害関係者間のオンデマンドの調整をサポートする。
Recent advances in continuous diagnostics and mitigation (CDM) capabilities and agency programs have dramatically improved the collective federal cybersecurity posture. As we expand our focus from the cyber risk governance enablement to interactive cyber operations—using CDM to gain and maintain host-level visibility and leveraging this information to drive strategic and tactical discussions—all agencies must focus their efforts and align their work to meet these objectives.  継続的な診断と低減(CDM)能力と機関プログラムにおける最近の進歩は、連邦政府のサイバーセキュリティ対策を劇的に改善した。サイバーリスクガバナンスの実現から、CDMを活用してホストレベルの可視性を獲得・維持し、この情報を活用して戦略的・戦術的な議論を推進する双方向のサイバー運用へと焦点を拡大するにあたり、すべての政府機関は、これらの目標を達成するために努力を集中し、業務を調整しなければならない。
In October 2022, CISA issued Binding Operational Directive (BOD) 23-01 to standardize the federal government’s approach to enhancing continuous visibility into agency assets and associated vulnerabilities. This BOD amplified the importance of asset management and defined expectations of how agencies should fully participate in a CDM program. While CISA’s CDM Program has been a key enabler for federal agencies in asset management, the requirements outlined in the BOD were created to serve as a blueprint for any organization. Priority Area 1: Asset Management builds on the successes that have come from agencies’ work following the issuance of BOD 23-01 and response to several zero-day vulnerabilities.   2022年10月、CISAは拘束的運用指令(BOD)23-01を発行し、政府機関の資産と関連する脆弱性に対する継続的な可視性を強化するための連邦政府のアプローチを標準化した。このBODは、資産管理の重要性を強調し、各機関がCDMプログラムに全面的に参加すべきであるという期待を定義した。CISAのCDMプログラムは連邦機関による資産管理の主要な推進要因となっているが、BODに記載された要件はあらゆる組織の青写真となることを目的として作成された。優先分野1:資産管理は、BOD 23-01の発行とゼロデイ脆弱性への対応以降、政府機関が取り組んできた成果を基盤としている。
2.1 ALIGNMENT GOAL: INCREASE OPERATIONAL VISIBILITY    2.1 整合性の目標:運用上の可視性の向上
CISA is committed to gaining greater cyber operational visibility and driving timely risk reduction. Increased visibility into assets and vulnerabilities will improve the capabilities of CISA and individual agencies to detect, prevent, and respond to cybersecurity incidents. These are critical steps in managing cybersecurity risk.   CISAは、サイバー運用上の可視性を高め、タイムリーなリスク低減を推進することに尽力している。資産と脆弱性に対する可視性を高めることで、CISAおよび各政府機関のサイバーセキュリティインシデントの検知、防止、対応能力が改善される。これらは、サイバーセキュリティリスクを管理する上で重要なステップである。 
To accomplish alignment goal 2.1, agencies should have completed these foundational activities:   目標2.1を達成するために、各機関は以下の基盤となる活動を完了しているべきである。 
• Established a centralized hardware and software inventory database that uses automated updates.  • 自動更新機能を備えた、ハードウェアおよびソフトウェアの集中型インベントリデータベースを構築する。 
• Established automated asset discovery, conducting asset discovery scans at least every seven days.  • 資産の発見を自動化し、少なくとも7日ごとに資産のスキャンを実施する。 
• Documented asset coverage and capability gaps and strategies to address them.  • 資産のカバー範囲と能力のギャップ、およびそれらに対処するための戦略を文書化する。
3. PRIORITY AREA 2: VULNERABILITY MANAGEMENT   3. 優先分野 2:脆弱性管理
What constitutes an agency’s enterprise has evolved over the years, particularly as the attack surface has expanded and grown more complicated. One key to vulnerability management is to acquire and maintain the initiative within one’s environment. This is done by embracing sustainable and forward-leaning approaches to preemptively mitigate risks rather than defaulting to a reactive posture reliant on a constant flow of alerts and advisories.   政府機関のエンタープライズを構成するものは、特に攻撃対象領域が拡大し、より複雑化するにつれ、長年にわたって進化してきた。脆弱性管理の鍵のひとつは、自らの環境内でイニシアティブを獲得し、維持することである。これは、アラートや勧告が絶え間なく流れることに依存する受動的な姿勢ではなく、持続可能で先見性のあるアプローチを採用し、リスクを事前に低減することによって実現される。 
Vulnerability response must be a strategic imperative, both across the FCEB and at the individual agency level. Enabling timely, coordinated, and collective cyber response is critical to cybersecurity and can only be achieved through standard vulnerability management procedures and clear expectations.    脆弱性への対応は、連邦政府機関全体および各機関レベルの両方において、戦略的に不可欠なものでなければならない。 サイバーセキュリティ対策として、迅速かつ協調的で組織的な対応を可能にすることは極めて重要であり、標準的な脆弱性管理手順と明確な期待値によってのみ達成できる。 
The federal government has steadily matured its cyber vulnerability management capabilities. These include specific requirements for securing high-value assets (BOD 18-02), remediating vulnerabilities in internetaccessible systems (BOD 19-02), establishing vulnerability disclosure programs (BOD 20-01), managing the heightened risk of known exploited vulnerabilities (BOD 22-01), and investing in regular asset and vulnerability scanning (BOD 23-01).   連邦政府は、サイバー脆弱性管理能力を着実に向上させてきた。これには、高価値資産の保護に関する具体的な要件(BOD 18-02)、インターネットにアクセス可能なシステムにおける脆弱性の修正(BOD 19-02)、脆弱性開示プログラムの策定(BOD 20-01)、既知の脆弱性が悪用された場合のリスクの高まりへの対応(BOD 22-01)、定期的な資産および脆弱性スキャンの実施(BOD 23-01)などが含まれる。 
CISA recognizes that there is work to be done to align vulnerability management activities across the federal enterprise. Improving vulnerability management across the FCEB will provide more timely and efficient mitigation of vulnerabilities and give CISA a better understanding of the federal-wide attack surface, enabling a more agile and coordinated response when vulnerabilities are detected.   CISAは、連邦エンタープライズ全体で脆弱性管理活動を整合させるための作業が必要であることを認識している。FCEB全体での脆弱性管理の改善は、よりタイムリーで効率的な脆弱性の低減をもたらし、CISAは連邦全体にわたる攻撃対象領域をよりよく理解できるようになるため、脆弱性が検知された場合により機敏で協調的な対応が可能になる。
3.1 ALIGNMENT GOAL: MANAGE THE ATTACK SURFACE OF INTERNETACCESSIBLE ASSETS  3.1 整合目標: インターネットにアクセス可能な資産の攻撃対象領域を管理する
By understanding the total number of entry points, vulnerabilities, and weaknesses an adversary might exploit to gain unauthorized access to their system or network, agencies can reduce risks on their attack surface.  システムまたはネットワークへの不正アクセスを試みる際に、攻撃者が悪用する可能性のあるエントリーポイント、脆弱性、および弱点の総数を把握することで、各機関は攻撃対象領域のリスクを低減することができる。
Internet-accessible assets are of particular focus, due to the increased exposure.  To accomplish alignment goal 3.1, agencies should have completed these foundational activities:   インターネットにアクセス可能な資産は、エクスポージャーが増大しているため、特に重点的に管理する必要がある。 整合目標3.1を達成するために、各機関は以下の基盤となる活動を完了しておくべきである。
• Regularly performed full-credentialed vulnerability scanning across all assets.  • すべての資産を対象に、定期的に完全な資格情報を用いた脆弱性スキャンを実施する。
• Leveraged internal capabilities, directive requirements, and CISA cybersecurity advisories to enable vulnerability prioritization and more timely mitigation of critical vulnerabilities.  • 内部能力、指令要件、および CISA サイバーセキュリティ勧告を活用し、脆弱性の優先順位付けと重大な脆弱性のより迅速な低減を可能にする。
• Established processes and procedures to identify and prioritize vulnerabilities for remediation within mandated timeframes.    • 定められた時間枠内で脆弱性を識別し、優先順位付けして修正するためのプロセスと手順を確立する。
4. PRIORITY AREA 3: DEFENSIBLE ARCHITECTURE  4. 優先分野 3:防御可能なアーキテクチャ
As federal agencies modernize their technology, the importance of keeping every new component working seamlessly with the existing systems can create new cybersecurity challenges. This is why agencies must intentionally build a defensible architecture.   連邦政府機関がテクノロジーを近代化するにあたり、すべての新しいコンポーネントを既存のシステムとシームレスに連携させることの重要性が、新たなサイバーセキュリティ上の課題を生み出す可能性がある。このため、政府機関は防御可能なアーキテクチャを意図的に構築する必要がある。 
The goal of a defensible architecture is resilience. A defensible architecture is designed with an understanding that security incidents are inevitable and, therefore, does not rely solely on detecting an incident to minimize its harm. Instead, the network and systems are designed with the appropriate controls to limit an adversary’s ability to access sensitive data or disrupt operations even after successful compromise of part of the infrastructure. Zero Trust (ZT) is a critical part of building more defensible architecture.   防御可能なアーキテクチャの目標はレジリエンシーである。防御可能なアーキテクチャは、セキュリティインシデントは避けられないという前提で設計されており、インシデントの検知だけに頼ってその被害を最小限に抑えることはしない。その代わり、ネットワークとシステムは、インフラの一部が侵害された後でも、機密データへのアクセスや業務の妨害を敵対者に許さないよう、適切な制御機能を備えて設計されている。ゼロトラスト(ZT)は、より防御力の高いアーキテクチャを構築する上で重要な要素である。
From CISA’s perspective, for an architecture to be defensible, it must:  CISAの観点では、防御力の高いアーキテクチャを実現するには、以下の条件を満たす必要がある。
• Have a mature, enterprise-wide identity management solution that enables cybersecurity professionals to understand who the users are and what resources they should be accessing.  • サイバーセキュリティの専門家がユーザーの身元とアクセスすべきリソースを把握できる、成熟したエンタープライズ規模のID管理ソリューションを導入する。
• Isolate different resources from one another through host-based or network-based segmentation, limiting an adversary’s ability to move laterally after a single point of compromise.  • ホストベースまたはネットワークベースのセグメント化により、異なるリソースを互いに分離し、単一の侵入ポイントから横方向に移動する攻撃者の能力を制限する。
• Harden systems controlled or hosted by third parties such as those relying on platform-as-a-service and software-as-a-service offerings.  • プラットフォーム・アズ・ア・サービスやソフトウェア・アズ・ア・サービスに依存するものなど、サードパーティが管理またはホスティングするシステムを強化する。
• Take precautions against “upstream” vulnerabilities that occur outside of the organization’s immediate control, such as Domain Name System-based attacks.  • ドメインネームシステム(DNS)ベースの攻撃など、組織の直接的な管理外で発生する「上流」の脆弱性に対する予防措置を講じる。
4.1 ALIGNMENT GOAL 1: SECURE CLOUD BUSINESS APPLICATIONS   4.1 整合目標1:クラウドビジネスアプリケーションのセキュリティ確保
Transitioning to cloud computing environments provides clear benefits in managing resources and the agility to leverage technology advancements including security services. CISA offers federal agencies a set of security configurations, like those used for on-premises applications and systems, to help protect information stored within these environments. By implementing these best practices, cloud environments and business applications are better protected from cybersecurity vulnerabilities and are more capable of detecting, responding, and recovering from cyber incidents.  クラウドコンピューティング環境への移行は、リソース管理と、セキュリティサービスを含む技術進歩を活用する機敏性において、明確な利点をもたらす。CISAは、連邦機関に対して、オンプレミスアプリケーションおよびシステムで使用されているものと同様のセキュリティ構成一式を提供し、これらの環境内に保存されている情報の防御を支援する。これらのベストプラクティスを導入することで、クラウド環境およびビジネスアプリケーションはサイバーセキュリティの脆弱性からより効果的に防御され、サイバーインシデントの検知、対応、復旧能力が向上する。
4.1.1 Alignment Goal 2: Share Cybersecurity Telemetry Data With CISA  4.1.1 整合目標2:CISAとのサイバーセキュリティ遠隔測定データの共有
As agencies continue to modernize their services and underlying architectures, network traffic may no longer be available to CISA through traditional Trusted Internet Connection (TIC) access-points. OMB Memorandum 19-26: Update to the Trusted Internet Connections (TIC) Initiative (TIC 3.0) allows agencies to leverage modern and distributed architectures to connect to the internet more efficiently and securely. The various TIC 3.0 use cases (Cloud, Remote User and Branch Office) demonstrate how agencies can share telemetry with CISA.  各機関がサービスおよび基盤となるアーキテクチャの近代化を継続するにつれ、従来のTIC(Trusted Internet Connection)アクセスポイントを介したネットワークトラフィックは、CISAでは利用できなくなる可能性がある。OMBメモランダム19-26: 「Trusted Internet Connections(TIC)イニシアティブ(TIC 3.0)」への更新により、各機関は、より効率的かつ安全にインターネットに接続するための、最新の分散型アーキテクチャを活用することが可能となる。TIC 3.0 のさまざまな使用例(クラウド、リモートユーザー、支社)は、各機関が CISA とテレメトリを共有する方法を示すものである。
 4.1.1.1 Alignment Goal 3: Enhance ZT Capabilities Across the Federal Enterprise   4.1.1.1 整合目標3:連邦政府全体におけるZT機能の強化 
Adopting the ZT “never trust, always verify” principle is central to mitigating the likelihood and impact of future cyber incidents and maintaining operational resilience in the face of cyberattacks. While implementing a Zero Trust Architecture (ZTA) enterprise-wide is a long-term investment, it can be integrated incrementally and is already in progress through efforts such as phishing-resistant Multi-Factor Authentication (MFA), improved inventories of devices, and increased Endpoint Detection and Response (EDR) coverage.   「ZT(ゼロトラスト)の原則である「決して信用せず、常に検証する」を採用することは、将来のサイバーインシデントの可能性と影響を低減し、サイバー攻撃に直面しても業務のレジリエンシーを維持する上で中心的な役割を果たす。ゼロトラスト・アーキテクチャ(ZTA)をエンタープライズ全体に導入することは長期的な投資ではあるが、段階的に統合することが可能であり、フィッシング対策の多要素認証(MFA)、デバイスのインベントリの改善、エンドポイント検知・対応(EDR)の適用範囲の拡大などの取り組みを通じて、すでに進行中である。 
To accomplish alignment goal 4.1.1.1, agencies should have completed these foundational activities:   整合目標 4.1.1.1 を達成するために、各機関は以下の基盤となる活動を完了しているべきである。 
• Identify challenges to meeting agency ZT implementation plans and develop potential solutions.  • 省庁 ZT 導入計画の達成を阻む課題を識別し、潜在的な解決策を開発する。 
• Identify internet-exposed management interfaces and removed the interface from the internet or deployed capabilities that enforce access controls through a Policy Enforcement Point (PEP).  • インターネットにさらされている管理インターフェースを識別し、そのインターフェースをインターネットから削除するか、またはポリシー施行ポイント(PEP)を通じてアクセス管理を強化する機能を導入する。
• Identified, justified and addressed technical, business and process gaps in meeting the phishingresistant MFA implementation requirement in a plan, documenting tasks and resources required to bridge gaps.  計画におけるフィッシング対策の多要素認証(MFA)実装要件を満たす上で生じる技術面、業務面、プロセス面でのギャップを識別、正当化、対処し、ギャップを埋めるために必要なタスクとリソースを文書化した。
5. PRIORITY AREA 4: CYBER SUPPLY CHAIN RISK MANAGEMENT  5. 優先分野4:サイバーサプライチェーンリスクマネジメント 
The U.S. government has taken meaningful steps to improve how it manages significant risk to the cyber supply chain. With the Federal Acquisition Supply Chain Security Act of 2018, Congress established the Federal Acquisition Security Council (FASC) as a standing body to review, investigate, and act on cyber supply chainrelated concerns; similarly, the federal interagency created numerous cross-functional leadership working groups to address cybersecurity supply chain risks.   米国政府は、サイバーサプライチェーンにおける重大なリスクの管理方法を改善するために、有意義な措置を講じてきた。2018年の連邦調達サプライチェーンセキュリティ法により、連邦議会はサイバーサプライチェーン関連の懸念事項を検討、調査、対処する常設機関として連邦調達セキュリティ協議会(FASC)を設立した。同様に、連邦政府機関はサイバーセキュリティサプライチェーンリスクに対処するために、多数の部門横断型リーダーシップ作業部会を設置した。
In its role as the operational cybersecurity lead, CISA has produced cybersecurity supply chain guides, training content, and communities of practice to build interagency capacity. These resources range from guides such as Defending Against Software Supply Chain Attacks and a C-SCRM-related publications library to the establishment of the Federal C-SCRM Roundtable. The focus in FY 2024 and beyond is ensuring that when there is a risk to software or hardware—whether it leads to an actual supply chain compromise or not—the federal enterprise is able to quickly identify where the problematic software exists in federal IT environments and act to mitigate that risk.   運用上のサイバーセキュリティの主導的役割を担うCISAは、サイバーセキュリティサプライチェーンガイド、トレーニングコンテンツ、および実務コミュニティを作成し、政府機関の能力を構築している。これらのリソースには、『ソフトウェアサプライチェーン攻撃に対する防御』などのガイドや、C-SCRM関連の出版物のライブラリ、連邦C-SCRMラウンドテーブルの設立などがある。2024会計年度以降の重点は、ソフトウェアやハードウェアにリスクがある場合、それが実際のサプライチェーン侵害につながるかどうかに関わらず、連邦エンタープライズが連邦IT環境内の問題のあるソフトウェアを迅速に識別し、そのリスクを低減するための行動を取れるようにすることである。 
Third-party risk continues to increase as agencies rely on more external providers and technology. As a result, agencies are accountable for their own security posture and must also be aware of the security posture of the numerous third parties with whom they do business. This priority area aligns the work CISA has done to improve cyber supply chain with the agencies’ efforts to better understand the risk posed by third parties, including “acquirers, suppliers, developers, system integrators, external system services providers, and other [Information and Communication Technology (ICT)/Operational Technology (OT)]-related service providers.”  To address risk across the wider supply chain ecosystem, agencies must establish an enterprise-level view and engage upper-level leadership on cyber supply chain risks.   政府機関が外部プロバイダやテクノロジーへの依存度を高めるにつれ、サードパーティのリスクは増加し続けている。その結果、政府機関は自らのセキュリティ対策に責任を負うだけでなく、業務上の関係を持つ多数のサードパーティのセキュリティ対策にも注意を払う必要がある。この優先分野は、サイバーサプライチェーンの改善に向けたCISAの取り組みと、政府機関による「取得者、サプライヤ、開発者、システムインテグレータ、外部システムサービスプロバイダ、およびその他の(情報通信技術(ICT)/運用技術(OT))関連サービスプロバイダ」を含むサードパーティがもたらすリスクのより深い理解に向けた取り組みを一致させるものである。より広範なサプライチェーン・エコシステム全体にわたるリスクに対処するため、政府機関はエンタープライズレベルの視点でサイバーサプライチェーンリスクを捉え、上層部のリーダーシップを動員しなければならない。
5.1 ALIGNMENT GOAL 1: PREPARE FOR RAPID REMOVAL OF HIGH-RISK SOFTWARE AND HARDWARE   5.1 整合目標1:高リスクのソフトウェアおよびハードウェアの迅速な排除に備える
A software or hardware product may be identified through various authoritative sources (e.g., federal government, industry) as too risky to be present on enterprise networks. Organizations should ensure that processes are in place to: rapidly identify those products on their networks, evaluate the impact of removing the products, develop a plan for removing the identified products, and establish a process to ensure that removed products are not reintroduced. To accomplish alignment goal 5.1, agencies should have undertaken these foundational activities:   ソフトウェアまたはハードウェア製品は、さまざまな権威ある情報源(例えば、連邦政府、業界)によって、企業ネットワーク上に存在させるにはリスクが高すぎると識別される可能性がある。組織は、自らのネットワーク上でそのような製品を迅速に識別し、それらの製品を除去した場合の影響を評価し、識別された製品を除去するための計画を策定し、除去された製品が再導入されないことを確実にするためのプロセスを確立するためのプロセスを確保すべきである。整合目標5.1を達成するために、政府機関は以下の基盤となる活動を実施すべきである。 
• Established supply chain processes and structures that integrate C-SCRM requirements and information sharing into enterprise governance.  • C-SCRM要件と情報共有をエンタープライズ・ガバナンスに統合するサプライチェーンのプロセスと構造を確立する。 
• Coordinated across the agency and developed an agency-wide C-SCRM strategy to make informed riskbased decisions.  • 政府機関全体で調整を行い、情報に基づくリスクベースの意思決定を行うための政府機関全体にわたるC-SCRM戦略を策定する。 
• Included appropriate C-SCRM requirements and guidance into procurement/contractual agreements with suppliers.  • サプライヤーとの調達/契約合意に適切なC-SCRM要件と指針を含める。
• Developed organizational supplier requirements to ensure that suppliers address product and service risks.  • サプライヤーが製品およびサービスに関するリスクに対処することを確実にするため、組織としてのサプライヤー要件を策定した。
• Identified and removed information and communications technologies or services as directed by federal, state and local laws, policies and directives.  • 連邦、州、および地域の法律、方針、指令に従って、情報通信技術またはサービスを識別し、排除した。
6. PRIORITY AREA 5: INCIDENT DETECTION AND RESPONSE  6. 優先分野5:インシデントの検知と対応
The maturity of incident detection and response capabilities varies between organizations, yet even the most effective Security Operations Centers (SOCs) are unable to detect all intrusions. Adversaries’ tactics, techniques, and procedures increasingly use built-in administration tools, a technique known as “living off the land” (LOTL) to blend in and make detection more difficult. The movement of IT services to external providers creates additional visibility challenges to manage. In this environment, SOCs are faced with the daunting challenge of detecting these more subtle attacks on constantly changing, hybrid IT environments. Incident detection and response is a critical component of an effective cybersecurity program, as no protective measures are likely to fully prevent adversaries’ access to federal IT assets.  インシデントの検知と対応能力の成熟度は組織によって異なるが、最も効果的なセキュリティ・オペレーション・センター(SOC)であっても、すべての侵入を検知することはできない。敵対者の戦術、技術、手順は、組み込みの管理ツールを使用するケースが増えており、これは「現地調達(LOTL)」と呼ばれる手法で、周囲に溶け込み、検知をより困難にする。ITサービスの外部プロバイダへの移行は、管理上の可視性の課題をさらに生み出す。このような環境下では、SOCは、絶えず変化し、ハイブリッド化するIT環境において、より巧妙な攻撃を検知するという困難な課題に直面している。インシデントの検知と対応は、効果的なサイバーセキュリティプログラムの重要な要素である。連邦政府のIT資産に対する敵対者のアクセスを完全に防ぐことは不可能であるためだ。
Aligning the enterprise’s incident detection and response capabilities requires improving the ability of agency SOCs to see and protect assets across the enterprise, as well as the data residing on those assets.  エンタープライズのインシデント検知と対応能力を調整するには、エンタープライズ全体の資産と、それらの資産に保存されているデータの可視化と防御能力を向上させる必要がある。
Implementing proper logging on those devices, beginning with agencies’ High Value Assets and internet-facing systems that are most likely to be targeted will be key to detecting stealthy techniques such as LOTL and preventing the threat actor from establishing persistence. Early detection enables SOCs to respond quickly, limit the impact of intrusions, and capture and share relevant threat information. This requires a defined, measured, and enforced set of enterprise-wide standards and metrics.   標的とされる可能性が最も高い機関の高価値資産やインターネットに面したシステムから始め、それらのデバイスに適切なログ記録を実装することが、LOTLなどのステルス技術の検知や、脅威行為者の持続的な侵入の確立を阻止する鍵となる。早期検知により、SOCは迅速に対応し、侵入の影響を最小限に抑え、関連する脅威情報を取得して共有することが可能となる。そのためには、エンタープライズ規模の標準と測定基準を定義し、測定し、実施することが必要である。 
As part of this strategy, agency SOCs rely on best-in-class security technologies, such as EDR, which are being “architected” to accomplish “whole-of-government” threat hunting and incident response.   この戦略の一環として、政府機関のSOCは、政府全体で脅威の特定とインシデント対応を行うために「設計」されたEDRなどの最高水準のセキュリティ技術に依存している。 
6.1 ALIGNMENT GOAL 1: ENABLE CISA’S PERSISTENT ACCESS CAPABILITY   6.1 整合目標1:CISAの持続的アクセス機能の実現 
Cyber criminals and nation-state actors have demonstrated the ability to gain and maintain access to FCEB assets for extended periods. By ensuring EDR coverage across the agency and enabling CISA’s persistent access capability, agencies facilitate situational awareness and information sharing across the federal enterprise. This positions agency and CISA cybersecurity operations to detect, analyze, respond, and mitigate incidents, improving defense and continuous detection and rapid response actions.   サイバー犯罪者や国家による行為者は、連邦政府機関の資産へのアクセスを長期間にわたって獲得し維持する能力があることを示している。各機関にEDRの適用範囲を確保し、CISAの持続的なアクセス能力を可能にすることで、各機関は連邦エンタープライズ全体における状況認識と情報共有を促進する。これにより、各機関および CISA のサイバーセキュリティ業務は、インシデントの検知、分析、対応、低減が可能となり、防衛の改善、継続的な検知、迅速な対応行動を実現できる。
6.1.1 Alignment Goal 2: Advance SOC Governance  6.1.1 整合目標 2:SOC ガバナンスの推進
Given the rise in adversarial activity, a focus on enterprise-level operational visibility provides agency SOCs with the agility necessary to detect and respond using a common operating picture. This allows SOCs to facilitate actions that reduce the scope and severity of an initial intrusion. The feedback loop from security operations into the broader cybersecurity program supports risk management decisions and decreases the likelihood and severity of future incidents.   敵対的活動の増加を踏まえ、エンタープライズレベルの業務可視性に重点を置くことで、共通の運用状況図を使用して検知および対応を行うために必要な機敏性を各機関の SOC に提供できる。これにより、SOC は初期侵入の範囲と深刻度を低減する行動を促進できる。セキュリティ運用からより広範なサイバーセキュリティプログラムへのフィードバックループは、リスクマネジメントの意思決定を支援し、将来のインシデントの発生可能性と深刻度を低減する。
To accomplish alignment goals 6.1 and 6.1.1, agencies should have completed these foundational activities:  目標 6.1 および 6.1.1 を達成するために、政府機関は以下の基盤となる活動を完了すべきである。
• Engaged in cross-agency technical exchanges to share information and feedback about operational challenges, best practices, standards, and acquisitions to improve data quality and relevance.  • データ品質と関連性を改善するために、運用上の課題、ベストプラクティス、標準、調達に関する情報とフィードバックを共有するための政府機関間の技術交流を行う。
• Integrated Cyber Threat Intelligence (CTI) tools, data, and services, including commercial CTI, to improve agencies’ CTI generation, consumption, utilization and sharing.  • 商業用CTIを含む統合サイバー脅威インテリジェンス(CTI)ツール、データ、サービスを統合し、政府機関のCTI生成、消費、利用、共有を改善する。
• Assessed and compared the agency’s “As-Is” status against applicable governance and mandates to identify compliance challenges and issues and communicate them to CISA.  • 政府機関の「現状」の状況を該当するガバナンスおよび義務と比較・評価し、コンプライアンス上の課題や問題を識別し、CISAに伝える。

 

 

| | Comments (0)

米国 CISA FBI ハッキングされた有権者情報の虚偽の主張は、米国の選挙に対する不信感を煽る意図がある可能性が高いと警鐘... (2024.09.12)

こんにちは、丸山満彦です。

CISAとFBIが共同で、ハッキングされた有権者情報の虚偽の主張は、米国の選挙に対する不信感を煽る意図がある可能性が高いと警告をしていますね...

一般国民に対して対策を書いていますが、なかなか、これといった決め手がないですよね...この手の課題については...

 

大統領選に向けて、外国による選挙への介入に関する警戒が続いていますね...米国はすごく警戒していますが、米国は過去に他国に同じようなことをしたことがあるのでしょうかね...

 

さて、、、

CISA

プレス...

・2024.09.12 FBI and CISA Release Joint PSA, Just So You Know: False Claims of Hacked Voter Information Likely Intended to Sow Distrust of U.S. Elections

FBI and CISA Release Joint PSA, Just So You Know: False Claims of Hacked Voter Information Likely Intended to Sow Distrust of U.S. Elections FBIとCISAが共同でPSAを発表、ご参考までにお知らせ: ハッキングされた有権者情報の虚偽の主張は、米国の選挙に対する不信感を煽る意図がある可能性が高い
WASHINGTON – Today, as part of their public service announcement (PSA) series to put potential election day cyber related disruptions during the 2024 election cycle into context for the American people, the Federal Bureau of Investigation (FBI) and the Cybersecurity and Infrastructure Security Agency (CISA) jointly issued the Just So You Know: False Claims of Hacked Voter Information Likely Intended to Sow Distrust of U.S. Elections PSA to raise awareness of attempts to undermine public confidence in the security of U.S. election infrastructure through the spread of disinformation falsely claiming that cyberattacks compromised U.S. voter registration databases. ワシントン – 連邦捜査局(FBI)とサイバーセキュリティ・インフラセキュリティ庁(CISA)は本日、2024年の選挙サイクルにおけるサイバー関連の混乱が選挙日に起こる可能性について、米国国民に周知するための一連の公共サービス広告(PSA)の一環として、 ハッキングされた有権者情報の虚偽の主張は、米国の選挙に対する不信感を煽る意図がある可能性が高い」という公共サービス広告を共同で発表した。この広告は、サイバー攻撃により米国の有権者登録データベースが侵害されたという偽情報を流布することで、米国の選挙インフラの安全性に対する国民の信頼を損なわせようとする試みに対する認識を高めることを目的としている。
As observed through multiple election cycles, foreign actors and cybercriminals continue to spread false information through various platforms to manipulate public opinion, discredit the electoral process, and undermine confidence in U.S. democratic institutions. The FBI and CISA continue to work closely with federal, state, local, and territorial election partners and provide services and information to safeguard U.S. voting processes and maintain the resilience of the U.S. elections. 複数の選挙サイクルを通じて観察されているように、外国勢力やサイバー犯罪者は、世論を操作し、選挙プロセスを信用なくし、米国の民主機構への信頼を損なうために、さまざまなプラットフォームを通じて虚偽の情報を拡散し続けている。FBIとCISAは、連邦、州、地方、地域の選挙パートナーと緊密に連携し、米国の投票プロセスを保護し、米国の選挙のレジリエンスを維持するためのサービスと情報を提供し続けている。
“This PSA is to educate people that false claims of election infrastructure compromise, like a voter registration database hack, may be spread by foreign actors and to not accept claims of intrusion at face value, as these claims may be meant to influence public opinion and negatively impact the American people’s confidence in our democratic process,” said CISA Senior Advisor Cait Conley.” CISAの上級顧問であるケイト・コンリー氏は次のように述べた。「この公共サービス広告は、選挙インフラが侵害されたという虚偽の主張、例えば有権者登録データベースがハッキングされたというような主張が外国の行為者によって流される可能性があることを人々に周知し、そのような主張を鵜呑みにしないよう呼びかけるものである。なぜなら、そのような主張は世論に影響を与え、アメリカ国民の民主的プロセスに対する信頼を損なうことを目的としている可能性があるからだ。」
"The FBI continues to investigate any claims of malicious cyber actors' attempts to target U.S. elections,” said FBI Cyber Division, Deputy Assistant Director Cynthia Kaiser. “Through our investigations, the FBI has identified that malicious actors commonly attempt to undermine public confidence in US elections by grossly exaggerating about obtaining U.S. voter information. Today’s announcement urges the American public to critically evaluate claims of hacked or leaked voter information and remember that most voter registration information is available to the public. We at the FBI remain committed to continuing to share information to counter false claims and help election officials further secure election processes."  FBIサイバーディビジョン副部長補のシンシア・カイザー氏は次のように述べた。「FBIは、悪意のあるサイバー犯罪者による米国の選挙を標的とした試みに関するあらゆる主張について、引き続き調査を継続している。FBIの調査により、悪意のある行為者が米国の有権者情報の入手について大げさに誇張することで、米国の選挙に対する国民の信頼を損なわせようとしていることが一般的に行われていることが識別された。本日の発表は、米国国民に対して、ハッキングまたは流出した有権者情報の主張を批判的に評価し、ほとんどの有権者登録情報は一般に公開されていることを忘れないよう促すものである。FBIは、虚偽の主張に対抗し、選挙管理者が選挙プロセスをさらに安全にするのを支援するために、引き続き情報を共有していくことに全力を尽くす。」

 

 

FBI and CISA Release Joint PSA, Just So You Know: False Claims of Hacked Voter Information Likely Intended to Sow Distrust of U.S. Elections

FBI and CISA Release Joint PSA, Just So You Know: False Claims of Hacked Voter Information Likely Intended to Sow Distrust of U.S. Elections FBIとCISAが共同でPSAを発表、ご参考までにお知らせ: ハッキングされた有権者情報の虚偽の主張は、米国の選挙に対する不信感を煽る意図がある可能性が高い
The Federal Bureau of Investigation (FBI) and the Cybersecurity and Infrastructure Security Agency (CISA) are issuing this public service announcement (PSA) to raise awareness of attempts to undermine public confidence in the security of U.S. election infrastructure through the spread of disinformation falsely claiming that cyberattacks compromised U.S. voter registration databases. 連邦捜査局(FBI)およびサイバーセキュリティ・インフラセキュリティ庁(CISA)は、米国の有権者登録データベースがサイバー攻撃によって侵害されたと偽る偽情報の拡散を通じて、米国の選挙インフラの安全性に対する国民の信頼を損なわせようとする試みについて注意を喚起するために、この公共サービスアナウンスメント(PSA)を発表する。

 

・[PDF]

20240918-23347

 

Alert Number: I-081424-PSA  警告番号:I-081424-PSA 
12-Sep-24 2024年9月12日
Just So You Know: False Claims of Hacked Voter Information Likely Intended to Sow Distrust of U.S. Elections   ご参考まで: 有権者情報のハッキングに関する虚偽の主張は、米国の選挙に対する不信感を煽る意図がある可能性が高い
The Federal Bureau of Investigation (FBI) and the Cybersecurity and Infrastructure Security Agency (CISA) are issuing this announcement to raise awareness of attempts to undermine public confidence in the security of U.S. election infrastructure through the spread of disinformation falsely claiming that cyberattacks compromised U.S. voter registration databases.  連邦捜査局(FBI)およびサイバーセキュリティ・インフラセキュリティ庁(CISA)は、サイバー攻撃により米国の有権者登録データベースが侵害されたと偽る偽情報の拡散により、米国の選挙インフラの安全性に対する国民の信頼を損なわせようとする試みについて注意を喚起するために、この発表を行う。
Malicious actors continue to spread false or misleading information in an attempt to manipulate public opinion and undermine confidence in U.S. democratic institutions. One of the most common tactics involves using obtained voter registration information as evidence to support false claims that a cyber operation compromised election infrastructure. The reality is that having access to voter registration data is not by itself an indicator of a voter registration database compromise. Most U.S. voter information can be purchased or otherwise legitimately acquired through publicly available sources. In recent election cycles, when cyber actors have obtained voter registration information, the acquisition of this data did not impact the voting process or election results.  悪意のある行為者は、世論を操作し、米国の民主機構に対する信頼を損なうことを目的として、虚偽または誤解を招く情報を流布し続けている。最も一般的な戦術のひとつは、入手した有権者登録情報を、サイバー作戦が選挙インフラを侵害したという虚偽の主張を裏付ける証拠として使用することである。実際には、有権者登録データにアクセスできること自体は、有権者登録データベースが侵害されたことを示す指標ではない。米国の有権者情報のほとんどは、購入またはその他の合法的な方法で、一般に入手可能な情報源から取得することができる。最近の選挙では、サイバー犯罪者が有権者登録情報を入手しても、このデータが投票プロセスや選挙結果に影響を及ぼすことはなかった。
As of this publication, the FBI and CISA have no information suggesting any cyberattack on U.S. election infrastructure has prevented an election from occurring, changed voter registration information, prevented an eligible voter from casting a ballot, compromised the integrity of any ballots cast, or disrupted the ability to count votes or transmit unofficial election results in a timely manner. The FBI and CISA urge the American public to critically evaluate claims of “hacked” or “leaked” voter information and to remember that most voter registration information is available to the public.   本書発行時点において、FBIおよびCISAは、米国の選挙インフラに対するサイバー攻撃が、選挙の実施を妨げたり、有権者登録情報を変更したり、有権者が投票できないようにしたり、投票の完全性を損なったり、投票の集計や非公式な選挙結果の迅速な公表を妨げたりしたことを示す情報は一切持っていない。FBIとCISAは、米国民に対して、有権者情報の「ハッキング」や「漏洩」に関する主張を慎重に評価し、ほとんどの有権者登録情報は一般に公開されていることを念頭に置くよう呼びかけている。 
Public Recommendations:  国民への提言: 
• Do not accept claims of intrusion at face value and remember that these claims may be meant to influence public opinion and undermine the American people’s confidence in our democratic process.  • 侵入の主張を鵜呑みにせず、これらの主張が世論に影響を与え、米国民の民主的プロセスに対する信頼を損なうことを目的としている可能性があることを念頭に置くこと。
•  Be cautious of social media posts, unsolicited emails from unfamiliar email addresses, or phone calls or text messages from unknown phone numbers that make suspicious claims about the elections process or its security.   • 選挙プロセスやそのセキュリティについて疑わしい主張を行うソーシャルメディアへの投稿、見慣れないメールアドレスからの迷惑メール、または不明な電話番号からの電話やテキストメッセージには注意すること。
• If you have questions about election security and/or administration in your jurisdiction, rely on state and local government election officials as your trusted sources for election information.   • 管轄区域における選挙のセキュリティや運営について疑問がある場合は、選挙情報の信頼できる情報源として、州および地方自治体の選挙管理当局に頼ること。
• Visit your state and local elections office websites for accurate information about the elections process. Many of these offices have websites that use a “.gov” domain, indicating they are an official government site.  • 選挙プロセスに関する正確な情報を得るために、州および地方自治体の選挙管理当局のウェブサイトを訪問すること。これらの事務所の多くは「.gov」ドメインを使用するウェブサイトを運営しており、政府の公式ウェブサイトであることを示している。 
Role of the FBI and CISA in Elections  選挙におけるFBIおよびCISAの役割 
The FBI and CISA coordinate closely with federal, state, local, and territorial election officials to provide services and information to help election officials further secure election processes and maintain the resilience of U.S. elections.  FBIおよびCISAは、連邦、州、地域、準州の選挙管理当局と緊密に連携し、選挙管理当局が選挙プロセスをさらに安全にし、米国の選挙のレジリエンスを維持するのを支援するサービスや情報を提供している。 
The FBI is responsible for investigating and prosecuting election crimes, foreign malign influence operations, and malicious cyber activity targeting election infrastructure.  FBIは、選挙犯罪、外国による悪意のある影響工作、選挙インフラを標的とした悪意のあるサイバー活動の捜査および起訴を担当している。
CISA, as the Sector Risk Management Agency for the Election Infrastructure subsector, helps critical infrastructure owners and operators, including those in the election community, safeguard the security and resilience of election infrastructure from physical, cyber, and operational security threats.  CISAは、選挙インフラサブセクターのセクターリスクマネジメント機関として、選挙関係者を含む重要インフラの所有者や運営者に対し、物理的、サイバー、運用上のセキュリティ脅威から選挙インフラのセキュリティとレジリエンスを保護するための支援を行っている。

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.11 米国 CISA 選挙セキュリティチェックリスト(サイバー編と物理編) (2024.09.09)

・2024.08.22 米国 ODNI FBI CISA イランによる選挙への影響工作に関する共同声明 (2024.08.19)

・2024.08.19 米国 FBI CISA 知っておいてください: 投票期間中のランサムウェアによる混乱は、投開票プロセスのセキュリティや正確性には影響ありません!

・2024.07.25 米国 司法省監察官室 米国の選挙に対する外国の悪質な影響力の脅威に関する情報共有を調整するための司法省の取り組みの評価

・2024.07.09 米国 CISA 選挙関係者のための運用セキュリティガイド

・2024.06.20 米国 サイバーセキュリティ・インフラセキュリティ庁(CISA)と米国選挙支援委員会(EAC)が選挙セキュリティについてのガイドを発表 (2024.06.17)

・2024.06.07 欧州議会 欧州議会選挙に対する偽情報に対する準備は整った(選挙期間中)

・2024.06.02 欧州会計監査院がEU選挙を控えているので偽情報とサイバーセキュリティには気をつけろといってますね...

・2024.04.22 米国 CISA FBI ODNI 外国の悪質な影響力工作の手口から選挙インフラを守るためのガイダンス

・2024.04.14 米国 EPIC他 テック・プラットフォーマーにAIによる選挙偽情報に対抗するように要請

・2023.12.12 カナダ サイバーセキュリティセンター 選挙に対するサイバー脅威、政治家候補へのサイバーセキュリティ・アドバイス他

・2023.11.23 ENISA 2024年のEU議会議員選挙に向けたサイバー演習

・2023.10.26 ENISA 脅威状況2023 - AIによる情報操作の台頭でEUの選挙がリスクにさらされる

・2023.08.25 シンガポール CSR 大統領選に向け立候補者、有権者、それぞれに向けてサイバー関連の注意喚起

・2023.08.07 米国 MITRE グローバル民主主義への脅威

・2022.08.14 米国 国土安全保障省 監察官室 国土安全保障省は偽情報キャンペーンに対する統一的な戦略が必要

・2022.06.06 NATO CCDCOE 選挙干渉への対抗をテーマにしたイノベーションチャレンジ(52大学から56チームが参加)

 

| | Comments (0)

2024.09.17

米国 CISA 「内部者による脅威の低減」についてのページがありますね...

こんにちは、丸山満彦です。

CISAに”Insider Threat Mitigation”というページがあります。もちろん外部からのサイバー攻撃というのは日々進歩する脅威であり、その変化について気をつけておくべきですが、内部者による脅威についても、ずーーーーーっと昔からある話ですが、気を付けておかないといけませんよね。。。ということだと思います。

いや、むしろ、重要な情報の漏えい、システム停止を気にしている組織こそ、内部者の脅威というのは、もっと真剣にとらえてほうがよいと思います。もし、反対の立場なら、明らかに内部者を利用した攻撃のほうが成功の確率が高いと思うでしょう...

ということで、おさらいを兼ねて...

 

なお、会計士とかは、主に組織の内部不正(経営者不正も従業員不正も)を見抜いて対応をする必要があるので、知見があると思います...また、弁護士も不正が起こった時の法的問題にも絡むことが多いので、知見がありますよね...そして、両者とも不正が起こった時の第三者委員会等のメンバーになることも多いですね・・・

あと、不正検査士協会というのもあり、不正検査士という資格もありますね...

 

CISA - Insider Threat Mitigation

Overview 概要
An insider is any person who has or had authorized access to or knowledge of an organization’s resources, including personnel, facilities, information, equipment, networks, and systems. Insider threat is the potential for an insider to use their authorized access or understanding of an organization to harm that organization. This harm can include intentional or unintentional acts that negatively affect the integrity, confidentiality, and availability of the organization, its data, personnel, or facilities. 内部者とは、人員、施設、情報、設備、ネットワークと情報システムなど、組織のリソースに認可されたアクセス権を持っている、またはその知識を持っていた者のことである。内部脅威とは、内部者が認可されたアクセスや組織に対する理解を利用して、その組織に危害を加える可能性のことである。この危害には、組織、そのデータ、要員、施設の完全性、機密性、可用性に悪影響を及ぼす意図的または非意図的な行為が含まれる。
Examples of an insider may include:  内部関係者の例としては、以下が挙げられる: 
・A person the organization trusts, including employees, organization members, and those to whom the organization has given sensitive information, such as financial data, business strategy, and organizational strengths and weaknesses. In the context of government functions, this could also include classified information. This person may also have both physical and digital access to sensitive spaces. ・従業員、組織メンバー、財務データ、事業戦略、組織の強みと弱みなどの機密情報を組織が提供した相手など、組織が信頼する人物。政府機能の文脈では、これには機密情報も含まれる。また、この人物は、機密スペースへの物理的およびデジタル的なアクセスを持つことができる。
・A person given a badge or access device identifying them as someone with regular or continuous access (e.g., an employee or member of an organization, a contractor, a vendor, a custodian, or a repair person).  ・定期的または継続的にアクセスできる者であることを示すバッジまたはアクセスデバ イスを与えられた者(例えば、組織の従業員またはメンバー、請負業者、ベンダー、保 管者、修理担当者)。
A person to whom the organization has supplied a computer and/or network access.  ・組織がコンピュータおよび/またはネットワークへのアクセスを提供した人物。
・A person who has intimate knowledge about and possibly helps develop the organization’s products and services; this group includes those who know the secrets of the products that provide value to the organization. ・組織の製品やサービスについて深い知識を持ち、場合によってはその開発を支援する人。このグループには、組織に価値を提供する製品の秘密を知っている人も含まれる。
Insider threat incidents are possible in any sector or organization. 内部者脅威インシデントは、どのような部門や組織でも起こりうる。
CISA’s Role   CISAの役割  
CISA provides information and resources to help individuals, organizations, and communities create or improve existing insider threat mitigation programs. Infrastructure communities can protect the nation by working internally to protect against insider threat and sharing lessons learned. Mature insider threat programs are more resilient to disruptions, should they occur. CISAは、個人、組織、地域社会が内部脅威低減プログラムを作成したり、既存のプログラムを改善したりするのを支援するための情報とリソースを提供する。インフラ・コミュニティは、内部脅威からの防御に内部で取り組み、学んだ教訓を共有することで、国家を守ることができる。成熟した内部者脅威プログラムは、万が一混乱が発生した場合のレジリエンスに優れている。
The key steps to mitigate insider threat are Define, Detect and Identify, Assess, and Manage. Threat detection and identification is the process by which persons who might present an insider threat risk due to their observable, concerning behaviors come to the attention of an organization or insider threat team. Threat assessments are based on behaviors, which are variable in nature. A threat assessment’s goal is to prevent an insider incident, whether intentional or unintentional. When an assessment suggests that the person of concern has the interest, motive, and ability to attempt a disruptive or destructive act, the threat management team should recommend and coordinate approved measures to continuously monitor, manage, and mitigate the risk of harmful actions.  内部脅威を軽減するための重要なステップは、「定義」、「検知・識別」、「アセスメント」、「管理」である。脅威の検知と特定は、観察可能な問題行動により内部者脅威のリスクをもたらす可能性のある人物が、組織や内部者脅威チームの注意を引くようになるプロセスである。脅威アセスメントは、性質上変化しやすい行動に基づいて行われる。脅威アセスメントの目標は、意図的であるか否かにかかわらず、内部者・インシデントを 防ぐことである。アセスメントにより、懸念される人物が破壊的または破壊的な行為を試みる関心、動機、能力を持っていることが示唆された場合、脅威マネジメントチームは、有害な行為のリスクを継続的に監視、管理、軽減するための承認された対策を推奨し、調整する必要がある。
Insider Threat Mitigation Fundamentals 内部脅威低減の基礎
Defining Insider Threats 内部者の脅威を定義する
Defining insider threats is a key step in comprehending and establishing an insider threat mitigation program. 内部脅威を定義することは、内部脅威低減プログラムを理解し、確立するための重要なステップである。
Detecting and Identifying Insider Threats 内部脅威の検知と識別
Observing and identifying concerning behavior is a critical step in recognizing an insider threat that requires both human and technological elements. 内部者の脅威を認識するためには、人間的要素と技術的要素の両方が必要である。
Assessing Insider Threats 内部脅威のアセスメント
The goal of assessing a possible insider threat is to prevent an insider incident, whether intentional or unintentional.  内部者の脅威の可能性をアセスメントする目的は、意図的であるか否かにかかわらず、内部者・インシデントを防止することである。
Managing Insider Threats 内部者の脅威を管理する
Proactively managing insider threats can stop the trajectory or change the course of events from a harmful outcome to an effective mitigation. 内部者の脅威を積極的に管理することで、有害な結果から効果的な低減へと軌道修正することができる。
Insider Threat Video 内部者の脅威ビデオ
The Insider Threat video uses security and behavior experts to discuss how insider threats manifest in a variety of ways including terrorism, workplace violence, and breaches of cybersecurity. Understanding how to recognize and respond to these various types of insider threats, whether non-violent or violent, increases an organization’s ability to protect both its people and sensitive information. 内部者の脅威」ビデオは、セキュリティと行動の専門家を起用し、内部者の脅威がテロ、職場での暴力、サイバーセキュリティの侵害など、さまざまな形で現れることを論じている。非暴力的であれ暴力的であれ、このような様々なタイプの内部脅威をどのように認識し対応するかを理解することで、組織は従業員と機密情報の両方を保護する能力を高めることができる。
NPPD Insider Threat Trailer  NPPD内部者脅威トレーラー 
CISA’s Insider Threat Mitigation Resources CISAの内部者脅威低減リソース
Explore products and tools designed for CISA Stakeholders to define, detect, assess, and manage insider threats. 内部者の脅威を定義、検知、アセスメント、管理するためにCISA利害関係者向けに設計された製品とツールの紹介
Insider Threat Mitigation Resources and Tool 内部脅威低減リソースとツール
PUBLICATION 出版物
Insider Threat Mitigation Guide 内部脅威低減ガイド
The Insider Threat Mitigation Guide provides comprehensive information to help federal, state, local, tribal, and territorial governments; non-governmental organizations; and the private sector establish or enhance an insider threat prevention and mitigation program. 内部者脅威低減ガイドは、連邦政府、州政府、地方政府、部族政府、準州政府、非政府組織、民間部門が内部者脅威の防止および低減プログラムを確立または強化するのに役立つ包括的な情報を提供する。
20240917-85448
2020.10 [
PDF]
JULY 29, 2024 | PUBLICATION 2024年7月29日|出版物
Insider Risk Mitigation Program Evaluation (IRMPE) 内部者リスク低減プログラム評価(IRMPE)
This tool pulls from insider threat planning and preparedness resources to allow users to evaluate the maturity of their insider threat program in one convenient and easy-to-navigate fillable PDF. このツールは、内部者脅威の計画と準備に関するリソースから抽出したもので、ユーザーが内部者脅威プログラムの成熟度を、便利で使いやすい記入可能なPDFで評価することができる。
View Files ファイルを見る
CISA created the IRMPE tool in collaboration with Carnegie Mellon University’s Software Engineering Institute to help stakeholders gauge their readiness for a potential insider threat incident. The tool pulls from insider threat planning and preparedness resources to allow users to evaluate the maturity of their insider threat program in one convenient and easy-to-navigate fillable PDF. CISA urges its partners to share and use the self-assessment tool to assist in increasing their own organizational security and resilience. The protective measures organizations incorporate into their security practices today can pay for themselves many times over by preventing an insider threat or mitigating the impacts of an attack in the future. You can find the tool and more information under the “Resource Materials” section of this page.
CISA は、関係者が潜在的な内部脅威インシデントに対する準備態勢を評価するのに役立つ IRMPE ツールをカーネギーメロン大学ソフトウェア工学研究所と共同で作成しました。このツールは、インサイダー脅威の計画や準備のためのリソースから抜粋したもので、ユーザはインサイダー脅威プログラムの成熟度を、便利で使いやすい記入可能なPDFで評価することができます。CISA は、組織のセキュリティとレジリエンスを向上させるために、この自己評価ツールを共有し、利用することをパートナーに求めている。今日、組織がセキュリティ対策に取り入れる保護措置は、将来、内部脅威を防止したり、攻撃の影響を軽減したりすることによって、何倍もの利益をもたらす可能性があります。ツールおよび詳細情報は、このページの「リソース資料」のセクションにあります。

 

Insider Risk Mitigation Program Evaluation (IRMPE): Assessment Instrument インサイダーリスク軽減プログラム評価(IRMPE): 評価尺度  
IRMPE Question Set and Guidance IRMPE質問セットとガイダンス 20240917-102506
IRMPE Quick Start Guide IRMPEクイックスタートガイド 20240917-102519
IRMPE User Guide IRMPEユーザーガイド 20240917-102526
IRMPE One-Pager IRMPEワンパージャー 20240917-102540
IRMPE Crosswalk Document IRMPEクロスウォーク文書 20240917-102534

 

 


 

 

そういえば、IPAでも似たものを公表していますよね...

 

IPA

組織における内部不正防止ガイドライン

 

 

 

| | Comments (0)

デジタルフォレンジック研究会 訴訟データの証拠開示プロセスにおいて機微情報の国外流出(懸念国等)を防ぐための提言 (2024.09.11)

こんにちは、丸山満彦です。

NPO デジタル・フォレンジック研究会が、「訴訟データ*¹の証拠開示プロセスにおいて機微情報の国外流出(懸念国等)を防ぐための提言」を公表していますね... 

ポイントは、


我が国では、国益に関わるような機微データを、民間企業が国外に送ることを制限する規則がなく、日本企業の機密情報が訴訟を通じて他国に流出することを防げない状況にある。


のでなんとかしないと、訴訟等の理由で企業から安全保障に関わるデータが意図せず海外に流出してしまう可能性があるので、法制化も必要なのではないか?ということです。。。

課題意識を共有できればと思います...ぜひ目を通してみてくださいませ...

 

デジタル・フォレンジック研究会

・2024.09.11 [PDF] 「訴訟データの証拠開示プロセスにおいて機微情報の国外流出(懸念国等)を防ぐための提言」を公開しました

20240917-53736

 

 

| | Comments (0)

2024.09.16

金融庁 「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」(第1回)議事要旨 (会議は2024.07.18)

こんにちは、丸山満彦です。

2024.07.18に金融庁が、「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」(第1回)議事要旨が公表されていますね。。。


  • 金融機関が既存のシステムについて対応が求められるという観点だけではなく、新たなビジネスを展開するうえでPQCを考慮する意義があるという観点が必要である。
  • データの保秘が求められる年数に基づいて逆算して対応する必要がある。量子コンピュータの実用化が2030年と決まっているわけではないが、例えば、ATM一つをとっても移行には10年、20年という時間を要する可能性があるため、リードタイムを考慮して計画する必要がある。
  • 本件は自助・公助・共助の観点で進めていく必要がある。また、2030年の時点でどのような状況となることを想定し、いつからハーベスト攻撃が行われるかといった点や、NISTが推奨する方式が実現可能な状況となったときに、金融業界としてなぜ対応できないのかが問われるようになるといった点も考慮する必要がある。
  • 座長資料の論点案で、本成果物をもとに、業態にあわせて概要版を各業態で作成することが言及されているが、本件は業態で対応論点が異なるものではないと思われる。可能であれば検討会でまとめてほしい。
  • 業態ごとに書き分ける必要がなければ、預金取扱金融機関全体でひとつでもよいと考える。
  • 成果物のまとめ方として、各金融機関で取り組むべき課題と、金融機関が共同で取り組むべきものを分けてまとめるべき。共同で取り組むものについては、リソースの共有・分担等のアイデアを、成果物にうまく反映できることが望ましい。
  • 金融機関が単独で対応できることもあれば、取引所などを含め、全員に影響があるファシリティを提供しているところもあり、その場合は参加者等が共同で対応すべきこともあるだろう。検討会では、次のステップとして、成果物公表後の対応についても議論できるとよい。
  • 2030年を量子コンピュータが実現する年として置いているが、情報の保管期限と移行期間の両方を勘案したうえで、優先順位を決めていくことが必要である。金融業界は、電力などに依存しているが、金融業界以外に同様の動きはあるのか、あるいは、金融業界が先陣を切っているのか。また、国外の状況はどうか。
  • (事務局)金融は重要インフラの一つであることを踏まえると、他分野の状況如何にかかわらず、検討を進めていければと思う。
  • 欧州では、PQCへの移行のためのR&Dプロジェクトが複数立ち上がっている。
  • ITベンダー・SIerにどう働きかけるべきか、PQC移行を念頭に置いた暗号アジリティを確保した調達をどう考えるかも考慮すべき。
  • SIerだけではなく、製品の調達面もある。
  • 欧米の金融機関ではインベントリ作成のための棚卸に2年かかったと聞く。また、ITインベントリを作成して資産を管理していても、暗号方式を改めて調べる必要があったとも聞いている。相応の準備期間を要するため、今から開始して早過ぎるということはないのではないか。
  • 日本の金融機関の場合、インベントリをしっかり整備できているところは少ないと想像する。クリプトインベントリを作成するとなると苦戦するだろう。このため、欧米のやり方をそのまま採用するというよりも、日本では、先に優先度に応じてターゲットを絞った上で整備するという方法も考えうる。
  • 高齢者、中小企業ユーザを含め、顧客に働き掛けていかなければならない部分もありうる。例えば、TLS1.0の使用を廃止する際、ガラケーの顧客への配慮から、使用を継続すべきとの考えもありえたが、セキュリティを考えると使用継続は顧客のためにならないため廃止に踏み切った。同じようなことがPQC対応でも出てくるだろう。利用者の環境をいかにアップデートしていくか、必要性を理解していただくかといった観点がPQC移行を円滑に進めていくうえで重要。
  • 顧客に伝えていくという点では、金融機関が同じタイミングに同じ言葉で語り掛けないと理解されにくい。サードパーティ・取引先に対してもそのような調整ができればよい。
  • 海外では、PQCに関するホワイトペーパーも出ているが、日本では出ておらず、インパクトがあまり知られていない。CRYPTRECの取り組みがあるくらいか。
  • NISCの重要インフラレターのなかに、PQCに関する内容も出始めているが、当局からの情報発信も、バラバラではなく統一感を持って取り組んだ方がよいと思われる。
  • 政府がどのようにメッセージを発信していくのかという点も踏まえる必要がある。
  • 成果物の想定読者は、IT関係者だと思うが、経営へのメッセージも盛り込んではどうか。CIO、企画部門など、組織の上のレイヤーとの関係も考える必要がある。
  • 顧客に対してどう対処するか等を含め、様々なところで本件を共有することになるので、業界内でも共助の組織も含めて課題として考えていくことが必要。
  • 相当に長い期間取り組むことになるので、経営へのメッセージは盛り込みたい。
  • 当局の指示で対応するというより、共助の一環として取り組む方が効率的である。
  • (事務局)金融機関の経営者に発すべきメッセージは、業態によって異なる可能性がある。例えば、業態共通のシステムの運営を担っている組織がある場合、その組織が対応する部分と、個々の金融機関が対応する部分があり得るので、業態ごとに各主体が対応すべき範囲が異なることが考えられる。
  • PQCに移行と書かれているが、どのPQCに移行するかまで決めないと、相互接続などの問題で使用できないということも考えうる。NISTについても、複数の方式が選定されており、その中のどの方式が主流になるかは現時点では不明であり、注意すべき。
  • PQCは、暗号の中でも新しい技術であり、まだ知られていない攻撃手法やPQCを破る特有の攻撃手法が出てくる可能性がある。素因数分解型の暗号(RSA)などのように長い蓄積がないので、そういう可能性があるということも認識しておくことが必要。また、実装物が少なく、実装攻撃に対する耐性が不明であるため、アルゴリズムとしては安全だが、モノになった瞬間に破られる可能性があり、そういう点も含めてリスク管理を検討することが必要。
  • PQC暗号導入後に脆弱性が見つかる可能性があり、暗号入替を前提としたシステム実装が必要であるため、暗号アジリティの観点は重要である。
  • 初期段階は既存暗号とPQCとのハイブリッド方式での実装も想定され、最終的にPQCだけに移行するため、その観点でも暗号アジリティが重要である。  

 

金融機関における耐量子暗号への移行問題は、どう考えても業務継続の観点で考えるのが重要で、それ以外については別途の委員会で検討をしたほうがよいのではないでしょうかね...

あと、戦略とその戦略を実現するためのロードマップを作成し、その過程で利害関係者と共通認識をもてるようにするのがよいと思います。

 

金融庁

「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」(第1回)議事要旨

1_20240916091401

 

 

| | Comments (0)

米国 USCYBERCOM サイバー作戦のためのAIロードマップ (2023.09.13)

こんにちは、丸山満彦です。

米国のUS CYBERCOMがサイバー作戦のためのAIロードマップを発表したようですね...5ヵ年計画のロードマップのようです...文書自体は見つけられていませんが...

戦略に基づいて、ロードマップを引き、粛々と実装していくというのは、重要ですよね。もちろん、環境変化があるでしょうから、途中でロードマップの項目レベルの見直しはあるでしょうが...

日本全体にたらない傾向にあるのは、戦略とそれに基づく実装のためのロードマップかもしれません...

 

US CYBERCOM

・2024.09.13 USCYBERCOM Unveils AI Roadmap for Cyber Operations

USCYBERCOM Unveils AI Roadmap for Cyber Operations USCYBERCOM、サイバー作戦のためのAIロードマップを発表
FORT GEORGE G. MEADE, Md. フォートジョージ・G・ミード(メリーランド州)
Mr. Michael Clark, deputy director of plans and policy at U.S. Cyber Command, presented a plan to integrate artificial intelligence into military cyber operations at the C3.ai conference, Sept. 10, 2024. 米サイバー司令部のマイケル・クラーク計画・政策担当副部長は、2024年9月10日に開催されたC3.ai会議で、人工知能を軍のサイバー作戦に統合する計画を発表した。
The AI roadmap aims to improve analytic capabilities, scale operations, and enhance adversary disruption. AIのロードマップは、分析能力の改善、作戦規模の拡大、敵の破壊力の強化を目的としている。
The roadmap outlines over 100 activities across mission areas including security, contested logistics and national defense. Clark noted that the plan addresses the need for continuous operations and rapid adversary disruption, as highlighted by recent studies and incidents. ロードマップは、安全保障、紛争兵站、国防を含むミッション分野にわたる100以上の活動の概要を示している。クラーク氏は、この計画は、最近の研究やインシデントで強調されたように、継続的な作戦と迅速な敵の破壊の必要性に対応していると指摘した。
"The integration of AI is a strategic necessity," Clark said. "Our roadmap will incorporate AI into all aspects of our operations to better address cyber threats." 「AIの統合は戦略的に必要なことだ。「我々のロードマップは、サイバー脅威によりよく対処するために、我々の作戦のあらゆる側面にAIを組み込む。」
A new task force within the Cyber National Mission Force will lead the roadmap’s implementation. This task force will tackle challenges related to talent acquisition, infrastructure development and policy constraints. Clark emphasized that overcoming these challenges is essential for effective AI adoption and achieving analytic superiority. サイバー国家ミッションフォース内の新しいタスクフォースが、ロードマップの実施を主導する。このタスクフォースは、人材獲得、インフラ整備、政策の制約に関する課題に取り組むことになる。クラーク氏は、AIを効果的に導入し、分析の優位性を達成するためには、これらの課題を克服することが不可欠であると強調した。
The plan also includes enhancing partnerships with industry, developing sustainable technology and designing a force to meet future needs. It also focuses on collaborating with the National Security Agency to advance computing and AI capabilities. この計画には、産業界とのパートナーシップの強化、持続可能な技術の開発、将来のニーズに対応した部隊の設計も含まれている。また、国家安全保障局との協力により、コンピューティングとAIの能力を向上させることにも重点を置いている。
The initiative features a phased approach, starting with over 60 pilot projects and 26 new initiatives to integrate AI. Clark highlighted that successful implementation will depend on a coordinated strategy involving people, data, and infrastructure, and a shift from traditional methods to a comprehensive technology development approach. この構想は段階的なアプローチを特徴としており、まず60以上のパイロット・プロジェクトと、AIを統合するための26の新たな取り組みが行われる。クラーク氏は、導入が成功するかどうかは、人、データ、インフラを含む協調戦略と、従来の手法から包括的な技術開発アプローチへの転換にかかっていると強調した。
USCYBERCOM plans to use its services and industry partnerships to expand AI capabilities and maintain operational relevance. The five-year strategy aims to position the command at the leading edge of technological innovation and cyber defense. USCYBERCOMは、AI能力を拡大し、作戦の妥当性を維持するために、そのサービスと産業界のパートナーシップを利用することを計画している。この5カ年戦略は、同司令部を技術革新とサイバー防衛の最先端に位置づけることを目的としている。

 

 

 

関連

 

AI導入戦略

・[PDF] 2023 Data, Analytics and Artificial Intelligence Adoption Strategy

20231129-53122

・[PDF] 2023 Data, Analytics and Artificial Intelligence Adoption Strategy Fact Sheet

20231129-53131

 

責任ある人工知能戦略と導入の道筋

・2022.06 [PDF] U.S. DEPARTMENT OF DEFENSE RESPONSIBLE ARTIFICIAL INTELLIGENCE STRATEGY AND IMPLEMENTATION PATHWAY

20240916-63556

 

 

 

1_20240916061401

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.09 米国 国防総省 NSAのAI安全保障センター長の話...

・2024.04.15 米国 上院軍事委員会 2025会計年度国防授権要求および将来防衛計画の審査において、米国特殊作戦司令部および米国サイバー司令部の態勢についての証言

・2024.03.28 米国 国防総省 国防高等研究計画局(DARPA)の重要な目標は、国防総省にとって信頼できる人工知能を開発することである。

 

・2023.11.29 米国 国防総省 AI導入戦略 (2023.11.02)

・[PDF] 2023 Data, Analytics and Artificial Intelligence Adoption Strategy

20231129-53122

・[PDF] 2023 Data, Analytics and Artificial Intelligence Adoption Strategy Fact Sheet

20231129-53131

 

・2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令

・2023.09.19 米国 国防総省サイバー戦略 2023(要約)(2023.09.12)

・2023.08.13 米国 国防総省 CDAOが国防総省の新しい生成的AIタスクフォース(タスクフォース・リマ)の指揮を執る

・2023.06.17 米国 国防総省 最高デジタル・AI室が第6回グローバル情報支配実験 (GIDE) を開催

 

・2020.05.04 米国国防省と人工知能(戦略と倫理)

 

 英国

・2022.06.26 英国 国防AI戦略 (2022.06.15)

 

 

| | Comments (0)

2024.09.15

米国 CISA リスクと脆弱性のアセスメント 2023年度版(2024.09.13)

FY23 RVA Analysi こんにちは、丸山満彦です。

CISAがリスクと脆弱性のアセスメント 2023年度版を公表していますね...

これは、攻撃者が成功した攻撃経路における脅威をMITRE ATT&CKのフレームワークにマッピングしたものです。大体の傾向がみえてくるかもという感じですね。。。

● CISA

・ 2024.09.13 Risk and Vulnerability Assessments

Risk and Vulnerability Assessments リスクと脆弱性のアセスメント
CISA analyzes and maps, to the MITRE ATT&CK® framework, the findings from the Risk and Vulnerability Assessments (RVA) we conduct each fiscal year (FY). These analyses include: CISAは、毎会計年度(FY)に実施するリスク・脆弱性アセスメント(RVA)から得られた知見を分析し、MITRE ATT&CK®フレームワークにマッピングする。これらの分析には以下が含まれる:
Reports by fiscal year (starting with FY20) that provide an analysis of a sample attack path a cyber threat actor could take to compromise an organization with weaknesses that are representative of those CISA observed in the fiscal year's RVAs. The analysis maps the attack path to the ATT&CK framework. 年度別レポート(FY20より開始):その年度のRVAでCISAが観測した弱点を代表する弱点を持つ組織を侵害するために、サイバー脅威行為者が取り得る攻撃経路のサンプルの分析を提供する。この分析では、攻撃経路を ATT&CK フレームワークにマッピングしている。
Infographics of RVAs mapped to the ATT&CK framework for each fiscal year, starting with FY19. The infographic breaks out the most successful techniques for each tactic documented for the fiscal year and includes the success rate percentage for each tactic and technique.  19年度から各年度のRVAをATT&CKフレームワークにマッピングしたインフォグラフィック。インフォグラフィックは、その年度に文書化された各戦術について、最も成功したテクニックを分割し、各戦術およびテクニックの成功率パーセンテージを含む。
On September 13, 2024, we published the FY23 RVAs Analysis and Infographic.  2024年9月13日には、「FY23 RVAs Analysis and Infographic」を公開した。
CISA encourages network administrators and IT professionals to review the analyses and infographics and apply the recommended defensive strategies to protect against the observed tactics and techniques. CISAは、ネットワーク管理者やIT専門家が分析とインフォグラフィックを確認し、推奨される防御戦略を適用して、観察された戦術やテクニックから保護することを推奨する。
Note: due to the limited sample size, the presented data should not be considered a rigorous statistical representation of the complex and varied sector entities that exist within the United States. Organizations should consider additional attack vectors and mitigation strategies based on their unique environment.  注:サンプル数が限られているため、提示されたデータは米国内に存在する複雑で多様な事業体の厳密な統計的表現とみなされるべきではない。組織は、固有の環境に基づいて、追加の攻撃ベクトルと低減戦略を検討する必要がある。

 

2023年度版

インフォグラフィック

・[PDF] FY23 RVAs Mapped to the MITRE ATT&CK Framework Infographic

20240915-52238

 

・[PDF] FY23 RVA Analysis

20240915-52503

攻撃経路については、Initial AccessExecutionPersistencePrivilege EscalationDefense EvasionCredential AccesDiscoveryLateral MovementCollectionCommand and ControlExfiltrationに分けて、それぞれで成功につながったTechniquesを%でしめしています。。。

2022年と2023年をざっくりと比較してみたら、次のような感じ...

TACTICS ID TECHNIQUES 2022 2023
Initial Access T1078 Valid Accounts 54.3% 41.3%
T1566.002 Spearphishing Link 33.8% 26.3%
T0865 Spearphishing Attachment 3.3% 6.1%
T1110.002 Password Cracking   9.5%
         
Execution T1059.001 PowerShell 14.0% 8.5%
T1605 Command Line Interfac 12.6% 10.3%
T1204 User Execution 9.3% 10.2%
T1218.005 Mshta 8.5% 9.2%
         
Persistence T1078 Valid Accounts
56.1% 42.2%
T1564.001 Hidden Files and Directories 5.1% 14.8%
T1098 Account Manupulation 8.6% 9.9%
T1136 Create Account 5.6% 8.4%
T1574.010 File System Permissons Weakness 6.1% 4.9%
         
Privilege Escalation T1078 Valid Accounts 42.9% 44.7%
T1055 Process Injection 19.3% 17.7%
T1608 Exploitation for Privilege Escalation 6.2% 8.4%
         
Defense Evasion T1078 Valid Accounts 17.5% 13.9%
T1055 Process Injection 8.5% 6.2%
T1218.005 Mshta 7.3% 7.0%
T0853 Scripting 5.4%  
T1605 Control Panel Items   5.2%
         
Credential Acces T1557.001 LLMNR/NBT-NS Poisoning and SMB Relay 17.2% 15.0%
T1003 OS Credential Dumping 17.0% 13.6%
T1552.001 Credentials in Files 14.6% 12.6%
T1558.003 Kerberoasting 11.2% 11.5%
T1040 Network Sniffing 10.4% 12.3%
T1552.002 Credentials in Registry  6.9% 6.4%
T1187 Forced Authentication 6.9% 9.0%
         
Discovery T1087 Account Discovery 10.1% 7.8%
T1135 Network Share Discovery 10.1% 7.7%
T1423 Network Service Scanning 9.6%  
T1083 File and Directory Discovery 9.4% 7.5%
T1201 Password Policy Discover 8.2% 7.7%
         
Lateral Movement T1550.002 Pass the Hash 27.1% 26.6%
T1021.001 Remote Desktop Process 18.8% 12.1%
T1021.002 Windows Admin Shares 12.9% 11.7%
T1550.003 Pass the Ticket 9.8% 17.2%
T1544 Remote File Copy 9.5% 11.0%
         
Collection T1039 Data From Network Shared Drive  32.8% 41.8%
T1005 Data From Local System  28.3% 28.9%
T1113 Screen Capture 10.4%  
T1056 Input Capture 6.2% 6.7%
T1213 Data from information Depositories 5.4% 6.7%
         
Command and Control T0885/T1571 Commonly Used Port 26.8% 18.9%
T1001 Data Obfuscation 12.4% 12.0%
T1132 Data Encoding 9.0% 10.5%
T1090.004 Domain Fronting 9.0% 10.0%
T1544/T1105 Remote File Copy 6.7% 8.7%
         
Exfiltration T1048 Exfiltration Over Command 71.3%  
T1041 Exfiltration Over C2 Channel   41.5%
T1486/T1560 Data Encrypted 7.5% 11.4%
T1011 Exfiltration Over Other Network Mediums  7.5% 7.3%
T1048 Exfiltration over Alternative Protcol 2.5% 13.8%
T1020 Automated Exfiltration 3.8% 11.4%

 

 

過去の発表も含めて...

2023年度

・[PDF] FY23 RVAs Mapped to the MITRE ATT&CK Framework Infographic

・[PDF] FY23 RVA Analysis

 

2022年度

・[PDF] FY22 RVAs Mapped to the MITRE ATT&CK Framework Infographic

・[PDF] FY22 RVAs Analysis

 

2021年度

・[PDF] FY21 RVAs Mapped to the MITRE ATT&CK Framework Infographic

・[PDF] FY21 RVAs Analysis

 

2020年度

・[PDF] FY20 RVAs Analysis

・[PDF] FY20 RVAs Mapped to the MITRE ATT&CK Framework Infographic

 

2019年度

・[PDF] FY19 RVAs Mapped to the MITRE ATT&CK Framework Infographic

 

 

| | Comments (0)

米国 NIST NIST SP 800-50 Rev. 1 サイバーセキュリティとプライバシーの学習プログラムの構築 (2024.09.12)

こんにちは、丸山満彦です。

サイバーセキュリティで教育が重要という話はよく聞きます。(実は先日、大学生の方の皆さんにインターンのような形で、セキュリティのコンサル経験をしてもらったのですが、その際にも、2チームとも「教育が重要」ということを擬似クライアントに説明していました。)

のわりに、昔から、セキュリティやプライバシーをしている人たちは、学習ということに対する総合的な知見がないために、コンテンツづくりはぷろとしても、学習プログラム構築には素人なので、適切なサイバーセキュリティ学習プログラムが策定できていないケースも多くあるように思います。

その点、SP800-53は、サイバーセキュリティやプライバシーにかかわる業務をするために必要な力量を得るための学習プログラムをどのように構築するか?というところに焦点を当てているので、セキュリティのコンサルタントの人などは目を通しておいたらよいのではないかと思いました...

NIST - ITL

・2024.09.12 NIST SP 800-50 Rev. 1 Building a Cybersecurity and Privacy Learning Program

NIST SP 800-50 Rev. 1 Building a Cybersecurity and Privacy Learning Program NIST SP 800-50 Rev. 1 サイバーセキュリティとプライバシーの学習プログラムの構築
Abstract 概要
This publication provides guidance for federal agencies and organizations to develop and manage a life cycle approach to building a Cybersecurity and Privacy Learning Program (CPLP). The approach is intended to address the needs of large and small organizations as well as those building an entirely new program. The information leverages broadly accepted standards, regulations, legislation, and best practices. The recommendations are customizable and may be implemented as part of an organization-wide process that manages awareness, training, and education programs for a diverse set of federal employee audiences. The program should encourage behavior change as part of risk management and lead to developing a privacy and security culture in the organization. The guidance also includes suggested metrics and evaluation methods to regularly improve and update the program as needs evolve. 本書は、連邦政府機関および組織がサイバーセキュリティおよびプライバシー学習プログラム(CPLP)を構築するためのライフサイクルアプローチを開発し、管理するためのガイダンスを提供する。本アプローチは、大規模な組織から小規模な組織まで、またまったく新しいプログラムを構築する組織のニーズにも対応することを意図している。情報は、広く受け入れられている標準、規制、法律、ベストプラクティスを活用している。提言はカスタマイズ可能であり、連邦職員の多様な対象者に対する意識向上およびトレーニング、教育プログラムを管理する組織全体のプロセスの一部として実施することができる。プログラムは、リスクマネジメントの一環として行動変容を促し、組織におけるプライバシーとセキュリティ文化の発展につながるものでなければならない。このガイダンスには、ニーズの変化に応じてプログラムを定期的に改善・更新するための指標と評価方法の提案も含まれている。

 

・[PDF] NIST.SP.800-50r1

20240915-62825

 

・[DOCX][PDF] 仮訳

 

目次...

Executive Summary. エグゼクティブサマリー
1. Introduction 1. 序文
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. CPLP Life Cycle 1.3. CPLPのライフサイクル
1.4. Developing a Cybersecurity and Privacy Culture 1.4. サイバーセキュリティとプライバシー文化の育成
1.5. Relationship Between Cybersecurity and Privacy 1.5. サイバーセキュリティとプライバシーの関係
1.5.1. Privacy Risk Management Concepts to Emphasize. 1.5.1. 重視すべきプライバシーリスクマネジメントの概念
1.5.2. Coordinating Cybersecurity and Privacy Learning Efforts 1.5.2. サイバーセキュリティとプライバシーの学習努力の調整
1.6. Roles and Responsibilities 1.6. 役割と責任
1.6.1. Head of Organization 1.6.1. 組織の長
1.6.2. Senior Leadership 1.6.2. シニア・リーダーシップ
1.6.3. CPLP Managers 1.6.3. CPLPマネージャー
1.6.4. Managers 1.6.4. マネージャー
1.6.5. System User 1.6.5. システムユーザー
2. CPLP Plan and Strategy 2. CPLP計画と戦略
2.1. Building the Strategic Plan 2.1. 戦略計画の構築
2.2. Developing CPLP Policies and Procedures.. 2.2. CPLPの方針と手続きの策定
2.2.1. Examples of Learning Program Policy Statements 2.2.1. 学習プログラム方針書の例
2.3. Aligning Strategies, Goals, Objectives, and Tactics. 2.3. 戦略、目標、目的、戦術の調整
2.3.1. Scenario 1: Protecting Sensitive Printed Data. 2.3.1. シナリオ1:機密印刷データの防御
2.3.2. Scenario 2: Developing a New Regulation-Required Training Program 2.3.2. シナリオ2:新規則に基づくトレーニングプログラムの開発
2.4. Determining CPLP Measurements and Metrics 2.4. CPLPの測定と指標を決定する
2.4.1. Measurements 2.4.1. 測定
2.4.2. From Measurements to Metrics. 2.4.2. 測定からメトリクスへ
2.5. Learning Program Audience Segments 2.5. 学習プログラムの受講者セグメント
2.5.1. All Users. 2.5.1. 全ユーザー
2.5.2. Privileged Access Account Holders. 2.5.2. 特権アクセス・アカウント保持者
2.5.3. Staff With Significant Cybersecurity and/or Privacy Responsibilities . 2.5.3.サイバーセキュリティ及び/又はプライバシーに重大な責任を有するスタッフ
2.5.4. Determining Who Has Significant Cybersecurity and/or Privacy Responsibilities. 2.5.4. 誰がサイバーセキュリティ及び/又はプライバシーの重要な責任を有するかの決定
2.6. Determining Scope and Complexity.. 2.6. 範囲と複雑さの決定
2.7. CPLP Elements 2.7. CPLP要素
2.7.1. Awareness Activities 2.7.1. 啓発活動
2.7.2. Experiential Learning.. 2.7.2. 体験学習
2.7.3. Training Content 2.7.3. トレーニング内容
2.8. Establishing the CPLP Plan Priorities. 2.8. CPLP計画の優先順位を決める
2.9. Developing the CPLP Plan 2.9. CPLP計画の策定
2.10. CPLP Resources 2.10. CPLPリソース
2.10.1. Establishing a CPLP Budget 2.10.1. CPLP予算の設定
2.10.2. CPLP Staff and Locations 2.10.2. CPLPのスタッフと場所
2.11. Communicating the Strategic Plan and Program Performance 2.11 .戦略計画とプログラム実績のコミュニケーション
3. CPLP Analysis and Design.. 3. CPLPの分析と設計
3.1. Analysis Phase 3.1. 分析段階
3.1.1. Importance of the Analysis Phase 3.1.1. 分析段階の重要性
3.1.2. Steps of the Analysis Phase 3.1.2. 分析段階のステップ
3.2. Design Phase 3.2. 設計段階
3.2.1. Steps of the Design Phase 3.2.1. 設計段階のステップ
4. CPLP Development and Implementation. 4. CPLPの開発と実施
4.1. Developing CPLP Materials 4.1. CPLP教材を開発する
4.1.1. General Guidelines for Developing or Acquiring New CPLP Materials 4.1.1. 新しいCPLP教材を開発または取得するための一般ガイドライン
4.1.2. Developing New Materials for the "All User" Learning Program 4.1.2. 「全ユーザー」学習プログラムのための新教材を開発する
4.1.3. Developing New Materials for the Privileged Access Account Holders Learning Program 4.1.3. 特権アクセス・アカウント保持者学習プログラムのための新教材を開発する
4.1.4. Developing New Materials for Those With Significant Cybersecurity and/or Privacy Responsibilities.. 4.1.4. サイバーセキュリティ及び/又はプライバシーの重大な責任を有する者のための新たな資料の開発
4.1.5. Acquiring Learning Materials From External Sources 4.1.5. 外部から学習教材を入手する
4.1.6. Conducting Learner Testing on New CPLP Elements .. 4.1.6. 新しいCPLP要素に関する学習者テストの実施
4.2. Implementing New CPLP Elements. 4.2. 新しいCPLP要素を実装する
4.2.1. Steps for Implementing a New CPLP Element 4.2.1. 新しいCPLP要素を実装する手順
4.3. Communicating the CPLP Implementation 4.3. CPLP実施をコミュニケーションする
4.4. Establishing Measurements, Metrics, and Reporting. 4.4. 測定、指標、報告の確立
4.5. Building a CPLP Schedule 4.5. CPLPのスケジュールを立てる
4.6. Planning to Evaluate Program Success 4.6. プログラムの成功を評価する計画
5. CPLP Assessment and Improvement... 5. CPLPアセスメントと改善
5.1 Steps for Assessing and Improving the CPLP 5.1 CPLPのアセスメントと改善のステップ
5.2 Creating a CPLP Assessment Report 5.2 CPLPアセスメントレポートの作成
5.2.1 Measurements and Metrics..... 5.2.1 測定と指標
5.2.2 Regulatory Compliance Reporting 5.2.2 規制順守の報告
5.2.3 Evaluating CPLP Effectiveness.. 5.2.3 CPLPの効果を評価する
5.2.4. Reviewing the CPLP Assessment Report with Senior Leadership 5.2.4. 上級幹部とCPLPアセスメント報告書を見直す
5.3 CPLP Improvement Efforts 5.3. CPLP改善への取り組み
6. Summary 6.まとめ
References 参考文献
Appendix A. Examples of Cybersecurity and Privacy Learning Program Maturity Levels 附属書A. サイバーセキュリティとプライバシーの学習プログラムの成熟度レベルの例
Appendix B. Glossary 附属書B. 用語集
Appendix C. Change Log 附属書C. 変更履歴

 

エグゼクティブサマリー

Executive Summary  エグゼクティブサマリー 
Ensuring that a federal organization’s workforce is aware of and prepared to respond appropriately and effectively to cybersecurity and privacy risks is an important effort that requires a strategic approach based on thoughtful planning, resource considerations, and leadership-driven decision-making. This long-awaited update to the 2003 NIST Special Publication (SP) 800-50, Building an Information Technology Security Awareness and Training Program, provides guidance to create and manage a program that includes cybersecurity and privacy awareness campaigns, role-based training, and other workforce education programs. These programs combine to create an overall Cybersecurity and Privacy Learning Program (CPLP) that is part of a larger organizational effort to reduce cybersecurity and privacy risks. The resulting CPLP supports federal requirements and incorporates industry-recognized best practices for risk management.   連邦組織の従業員がサイバーセキュリティとプライバシーのリスクを認識し、適切かつ効果的に対応できるよう準備することは、熟慮された計画、リソースの考慮、リーダーシップ主導の意思決定に基づく戦略的アプローチを必要とする重要な取り組みである。2003 年に発行された NIST 特別刊行物(SP)800-50「情報技術セキュリティ意識向上およびトレーニングプログラムの構築」の待望の更新版である本書は、サイバーセキュリティおよびプライバシーに関する意識向上キャンペーン、役割に応じたトレーニング、その他の人材教育プログラムを含むプログラムを作成し、管理するためのガイダンスを提供する。これらのプログラムを組み合わせることで、サイバーセキュリティとプライバシーのリスクを低減するためのより大きな組織的努力の一部である全体的なサイバーセキュリティとプライバシー学習プログラム(CPLP)を作成することができる。その結果、CPLPは連邦政府の要件をサポートし、業界で認知されたリスクマネジメントのベストプラクティスを取り入れている。  
In addition to meeting statutory responsibilities under the Federal Information Security Management Act (FISMA) [2], this Special Publication supports the National Defense Authorization Act of 2021 (NDAA) [1] to “publish standards and guidelines for improving cybersecurity awareness of employees and contractors of Federal agencies.”[1] Including privacy as a foundational element in the CPLP reflects the guidance found in the 2016 update to the Office of Management and Budget (OMB) Circular A-130:   連邦情報安全保障管理法(FISMA)[2]の下での法的責任を果たすことに加え、この特別出版物は、「連邦機関の職員および請負業者のサイバーセキュリティ意識を向上させるための標準およびガイドラインを公表する」という2021年国防認可法(NDAA)[1]をサポートしている。[1]プライバシーをCPLPの基礎要素として含めることは、行政管理予算局(OMB)サーキュラーA-130の2016年の更新に見られるガイダンスを反映している:  
…it also emphasizes the role of both privacy and security in the federal information life cycle. Importantly, the inclusion of privacy represents a shift from viewing security and privacy requirements as merely compliance exercises to understanding security and privacy as crucial and related elements of a comprehensive, strategic, and continuous risk-based program at federal agencies. [3]  また、連邦政府の情報ライフサイクルにおけるプライバシーとセキュリティの両方の役割を強調している。重要なことは、プライバシーを取り入れたことで、セキュリティとプライバシーの要件を単なるコンプライアンスとして捉えるのではなく、セキュリティとプライバシーを、連邦機関における包括的、戦略的、継続的なリスクベースのプログラムの重要かつ関連する要素として理解するようになったことである。[3] 
Additionally, this update includes elements previously found in SP 800-16, Information Technology Security Training Requirements: A Role- and Performance-Based Model [4], which identified federal agency and organizational work roles that required specialized role-based training for cybersecurity tasks and skills. The relevant content from SP 800-16 has been incorporated into this publication or has been included in SP 800-181r1 [5]. As a result, SP 80016 will be withdrawn upon the release of this publication.  さらに、この更新には、SP 800-16「情報技術セキュリティ研修の要件」[4]に含まれていた要素も含まれている:A Role- and Performance-Based Model [4]に記載されている要素も含まれている。このモデルでは、サイバーセキュリティのタスクやスキルについて、役割に応じた専門的なトレーニングを必要とする連邦機関や組織のワーク・ロールが識別されている。SP 800-16 の関連する内容は、本書に組み込まれるか、SP 800-181r1 [5]に含まれている。その結果、SP 80016 は本書のリリースと同時に廃止される。 
Everyone in an organization plays a role in the success of an effective cybersecurity and privacy program. For those whose information technology, cybersecurity, or cybersecurity-related job responsibilities require additional or specific training, the NICE Workforce Framework for Cybersecurity (NICE Framework)[2] [5] identifies the specific knowledge and skills necessary to perform tasks associated with work roles in these areas.[3]  効果的なサイバーセキュリティとプライバシー・プログラムの成功には、組織の全員が役割を果たす。情報技術、サイバーセキュリティ、またはサイバーセキュリティに関連する職務を担当し、追加的な訓練や特定の訓練が必要な人のために、NICE Workforce Framework for Cybersecurity (NICE Framework)[2] [5] は、これらの分野の職務に関連するタスクを実行するために必要な特定の知識とスキルを特定している。[3]  
Users of this publication will find guidance on the steps necessary to:  本書の利用者は、必要なステップに関するガイダンスを見つけることができる: 
• Build an effective CPLP for all federal organizational personnel, including employees and contractors, that leads to improved norms and behaviors that reduce cybersecurity and privacy risks to the organization while creating a privacy and security culture  • 従業員や請負業者を含む連邦組織の全職員を対象とした効果的なCPLPを構築し、プライバシーとセキュリティの文化を醸成しながら、組織のサイバーセキュリティとプライバシーリスクを低減する規範と行動の改善につなげる。 
• Identify personnel who require advanced training   • 高度な訓練を必要とする要員を識別する。  
• Create a methodology for evaluating the program   • プログラムを評価するための方法論を作成する。  
• Engage in ongoing improvement to the program  • プログラムの継続的改善に取り組む。 
Throughout each section, there are recommendations to enable a program to continually evolve and improve, thereby minimizing privacy and security risks to the organization.  各セクションを通じて、プログラムが継続的に進化し改善することで、組織にとってのプライバシーとセキュリティのリスクを最小限に抑えることを可能にするための推奨事項が記載されている。 
This document identifies the phases in the management of a CPLP and is organized as follows:  本文書は、CPLPの管理におけるフェーズを特定し、以下のように構成されている: 
• Section 1: Introduction  • 第1節 序文 
• Section 2: CPLP Plan and Strategy  • 第2節 CPLPの計画と戦略 
• Section 3: CPLP Analysis and Design  
第3節 CPLPの分析と設計  
• Section 4: CPLP Development and Implementation   • 第4節 CPLPの策定と実施  
• Section 5: CPLP Assessment and Improvement    • 第5節 CPLPのアセスメントと改善    
   
   
[1] Section 9402 of FY 21 NDAA, Development of Standards and Guidelines for Improving Cybersecurity Workforce of Federal Agencies, amends the NIST Act as follows: “(b): PUBLICATION OF STANDARDS AND GUIDELINES ON CYBERSECURITY AWARENESS. Not later than three years after the date of the enactment of this Act, the Director of the National Institute of Standards and Technology shall publish standards and guidelines for improving cybersecurity awareness of employees and contractors of federal agencies.”  [1] 21 年度 NDAA の第 9402 条「連邦省庁のサイバーセキュリティ人材改善のための標準とガイドラインの開発」は、NIST 法 を以下のように改正する:"(b):(b):サイバーセキュリティ意識に関する標準とガイドラインの公表。(b):サイバーセキュリティ意識に関する標準およびガイドラインの公表 本法案の成立日から 3 年以内に、国立標準技術研究所所長は、連邦機関の職員および請負業者 のサイバーセキュリティ意識を改善するための標準およびガイドラインを公表するものとする。" 
[2] The National Initiative for Cybersecurity Education (NICE) is led by NIST in the U.S. Department of Commerce.   [2] サイバーセキュリティ教育のための国家イニシアティブ(NICE)は、米国商務省のNISTが主導している。  
[3] As of the time of development of this publication, NIST is leading a privacy workforce development effort to create a privacy companion to NICE.  [3] 本書の作成時点で、NISTはNICEのプライバシー・コンパニオンを作成するため、プライバシー人材育成の取り組みを主導している。 

 

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.31 NIST SP 800-50 Rev. 1(初期公開ドラフト)サイバーセキュリティとプライバシーの学習プログラムの構築

・2021.09.22 NIST SP 800-50 Rev.1 (ドラフト)  ドラフト作成前のコメント募集:サイバーセキュリティとプライバシーに関する意識向上とトレーニングプログラムの構築

 

こちらも合わせて...

・2023.06.24 NIST NISTIR 8355 NICE フレームワーク能力領域: 即戦力となる人材の準備

・2021.12.16 NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work (2nd Draft)

・2021.03.19 NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work

・2020.11.17 NIST SP 800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework)

・2020.07.17 NIST SP 800-181 Rev. 1 (Draft) Workforce Framework for Cybersecurity (NICE Framework)

・2016.11.15 NIST SP800-181 NICE Cybersecurity Workforce Framework (NCWF)

 

| | Comments (0)

2024.09.14

米国 NIST IR 8425A 一般消費者向けルーター製品に推奨されるサイバーセキュリティ要件 (2024.09.10)

こんにちは、丸山満彦です。

NISTが、一般消費者向けルーター製品に推奨されるサイバーセキュリティ要件を公表していますね...

米国のFCCのIoTのためのサイバーセキュリティ・ラベリングの最終規則が2024.07.30に官報 (Fedral Register) 公表され、2024.08.29に有効に施行され、2024.09.10 にFCCから管理者のプロセスが公表されていますが、同日に、NISTから、IR 8425A 一般消費者向けルーター製品に推奨されるサイバーセキュリティ要件が公表されていました...

 

NIST - ITL

・2024.09.10 NIST IR 8425A Recommended Cybersecurity Requirements for Consumer-Grade Router Products

 

NIST IR 8425A Recommended Cybersecurity Requirements for Consumer-Grade Router Products NIST IR 8425A 一般消費者向けルーター製品に推奨されるサイバーセキュリティ要件
Abstract 概要
Ensuring the security of routers is crucial for safeguarding not only individuals’ data but also the integrity and availability of entire networks. With the increasing prevalence of smart home Internet of Things (IoT) devices and remote work setups, the significance of consumer-grade router cybersecurity has expanded, as these devices and applications often rely on routers in the home to connect to the internet. This report presents the consumer-grade router profile, which includes cybersecurity outcomes for consumer-grade router products and associated requirements from router standards. ルーターのセキュリティを確保することは、個人のデータだけでなく、ネットワーク全体の完全性と可用性を守るためにも極めて重要である。スマートホームのモノのインターネット(IoT)デバイスやリモートワークのセットアップの普及に伴い、これらのデバイスやアプリケーションはインターネットに接続するために家庭内のルータに依存することが多いため、一般消費者向けルータのサイバーセキュリティの重要性は拡大している。本レポートでは、一般消費者向けルーターのプロファイルを紹介し、一般消費者向けルーター製品のサイバーセキュリティの成果と、ルーター標準からの関連要件を示す。

 

・[PDF] NIST.IR.8425A

20240914-120441

・[DOCX][PDF] 仮訳

 

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. 序文
2. Scope of Consumer-Grade Routers 2. 一般消費者向けルーターの範囲
3. Conclusion 3. 結論
References 参考文献
Appendix A. Crosswalk between Technical Outcomes and Consumer-Grade Router Cybersecurity and Firmware Requirements 附属書 A. 技術的成果と一般消費者向けルータのサイバーセキュリティおよびファームウェア要件とのクロスウォーク
A.1. Asset Identification A.1. 資産識別
A.2. Product Configuration A.2. 製品構成
A.3. Data Protection A.3. データ保護
A.4. Interface Access Control 1 A.4. インターフェースアクセス管理 1
A.5. Interface Access Control 2 A.5. インターフェースアクセス管理2
A.6. Software Update A.6.  ソフトウェア・アップデート
A.7. Cybersecurity State Awareness A.7. サイバーセキュリティの現状認識
Appendix B. Non-Technical Outcome Considerations 附属書B. 技術的成果以外の考察
Appendix C. Consumer-Grade Router Acquisition Scenarios Discussion 附属書C. 一般消費者向けルーター取得シナリオの検討
Appendix D. Crosswalk Between Secure Software Development Tasks and Consumer-Grade Router Product Software Type 附属書D. セキュアソフトウェア開発タスクと一般消費者向けルータ製品のソフトウェアタイプのクロスウォーク
Appendix E. List of Symbols, Abbreviations, and Acronyms 附属書E. 記号、略語、頭字語のリスト
Appendix F. Glossary 附属書F. 用語集

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー 
This document builds on the Profile of the IoT Core Baseline for Consumer IoT Products, NISTIR 8425 [IR8425]. This document specializes that consumer product baseline for routers intended for residential use that can be installed by the customer, which are referred to as consumergrade routers.   本文書は、NISTIR 8425 [IR8425]の「一般消費者向けIoT製品のIoTコア・ベースラインのプロファイル)」をベースにしている。本文書は、一般消費者向けルーターと呼ばれる、顧客が設置できる住宅用ルーターに特化したコンシューマ製品のベースラインである。  
Similar to NISTIR 8425, these recommendations are stated as technical and non-technical cybersecurity outcomes for consumer-grade routers, their manufacturers, and other supporting entities that may exist within the ecosystem. Cybersecurity outcomes are broad, flexible guidelines for digital products that describe hardware and software capabilities or organizational capabilities that can support cybersecurity when the product is deployed in a customer’s environment. Technical outcomes are those achieved by the product itself, using hardware and software implementations. Non-technical outcomes are those achieved by the product manufacturer and other entities that support the product, usually through the dedication of resources to implement and maintain policies and procedures. To provide additional context and definition, the cybersecurity outcomes for consumer-grade routers are mapped to more detailed requirements in related standards.   NISTIR 8425 と同様に、これらの推奨は、一般消費者向けルータ、その製造事業者、およびエコシステム内に存在する可能性のあるその他の支援事業体に対する技術的および非技術的なサイバーセキュリティの成果として述べられている。サイバーセキュリティの成果とは、デジタル製品のための広範で柔軟なガイドラインであり、製品が顧客の環境に導入されたときにサイバーセキュリティをサポートできるハードウェアとソフトウェアの能力、または組織の能力を記述したものである。技術的成果とは、ハードウェアやソフトウェアの実装を使用して、製品自体によって達成される成果である。非技術的な成果とは、製品製造事業者や製品をサポートする他の事業体によって達成される成果であり、通常は、ポリシーや手順を実施・維持するためのリソースを投入することによって達成される。一般消費者向けルータのサイバーセキュリティの成果を、関連する標準規格のより詳細な要件にマッピングすることで、さらなる文脈と定義を提供する。  
In the analysis of the standards and their requirements, NIST found that no single standard addressed all the outcomes fully and found no conflicts in the requirements or how they related to the cybersecurity outcomes. Therefore, NIST recommends the use of multiple standards to fully address consumer-grade router cybersecurity.  標準規格とその要求事項の分析において、NIST は、単一の標準規格がすべての成果に完全に対応しているわけではなく、要求事項やそれらがサイバーセキュリティの成果にどのように関連しているかに矛盾はないことを発見した。したがって、NIST は、一般消費者向けルータのサイバーセキュリティに完全に対応するために、複数の標準を使用することを推奨する。 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.13 米国 FCC IoTのためのサイバーセキュリティ・ラベリングFAQと管理者の申請プロセス (2024.09.10) 

・2024.08.02 米国 FCC IoTのためのサイバーセキュリティ・ラベリング最終規則

・2024.03.20 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14)

米国...

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

EU

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

英国

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 

中国

・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

 

日本

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

 

| | Comments (0)

米国 NIST IR 8459 NIST SP 800-38シリーズにおけるブロック暗号利用モードに関する報告書 (2024.09.10)

こんにちは、丸山満彦です。

NISTが、IR 8459 NIST SP 800-38シリーズにおけるブロック暗号利用モードに関する報告書を公表していますね...

SP800-38A-Fの暗号利用モードについてのアルゴリズムと実装についての簡単な調査の結果とその結果に基づく標準の改善提言を示したもののようですね...SP800-38Gは現在改訂中...(といっても、2019年2月にドラフトの意見募集してから5年...)

 

NIST - ITL

・2024.09.10 NIST IR 8459 Report on the Block Cipher Modes of Operation in the NIST SP 800-38 Series

NIST IR 8459 Report on the Block Cipher Modes of Operation in the NIST SP 800-38 Series NIST IR 8459 NIST SP 800-38シリーズのブロック暗号利用モードに関する報告書
Abstract 概要
This report focuses on the NIST-recommended block cipher modes of operation specified in NIST Special Publications (SP) 800-38A through 800-38F. The goal is to provide a concise survey of relevant research results about the algorithms and their implementations. Based on these findings, the report concludes with a set of recommendations to improve the corresponding standards. 本報告書は、NIST 特別刊行物(SP)800-38A から 800-38F で指定されている NIST 推奨のブロック暗号利用モードに焦点を当てる。その目的は、アルゴリズムとその実装に関する関連研究結果の簡潔なサーベイを提供することである。これらの知見に基づき、本報告書は、対応する標準を改善するための一連の提言で締めくくられている。

 

・[PDF] NIST.IR.8459

20240914-103255

目次...

1. Introduction 1. 序文
2. Scope 2. 適用範囲
3. Modes of Operation 3. 運用モード
4. NIST SP 800-38A: Five Confidentiality Modes 4. NIST SP 800-38A: 5つの機密保持モード
 4.1. Initialization Vector (IV)  4.1. 初期化ベクトル(IV)
 4.2. Plaintext Length  4.2. 平文の長さ
 4.3. Block Size  4.3. ブロックサイズ
5. NIST SP 800-38B: The CMAC Mode for Authentication 5. NIST SP 800-38B: 認証のためのCMACモード
6. NIST SP 800-38C: The CCM Mode for Authentication and Confidentiality 6. NIST SP 800-38C:認証と機密性のためのCCMモード
7. NIST SP 800-38D: Galois/Counter Mode (GCM) and GMAC 7. NIST SP 800-38D:ガロア/カウンタ・モード(GCM)と GMAC
8. NIST SP 800-38E: The XTS-AES Mode for Confidentiality on Storage Devices 8. NIST SP 800-38E: ストレージ・デバイスにおける機密性のための XTS-AES モード
9. NIST SP 800-38F: Methods for Key Wrapping 9. NIST SP 800-38F: キーラッピングの方法
10. Implementation Considerations 10. 実装上の考慮事項
11. Editorial Comments 11. 編集コメント
12. Recommendations 12. 提言事項
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A. 記号、略語、頭字語のリスト
Appendix B. Glossary 附属書B. 用語集

 

序文...

1. Introduction  1. 序文 
NIST Interagency or Internal Report (NIST IR) 8319 [55] focuses on the Advanced Encryption Standard (AES) [22] that was standardized in FIPS 197 [58]. AES is one of only two block ciphers that are currently standardized by NIST. The other is the Triple Data Encryption Algorithm (TDEA) [10], also known as Triple-DES (Data Encryption Standard). Triple-DES is deprecated and will be disallowed after 2023 [11].  NIST 省庁間報告書または内部報告書 (NIST IR) 8319 [55]は、FIPS 197 [58]で標準化された高度暗号化標準 (AES) [22]に焦点を当てている。AES は、現在 NIST によって標準化されている 2 つのブロック暗号のうちの 1 つである。もう1つはTDEA(Triple Data Encryption Algorithm)[10]で、Triple-DES(Data Encryption Standard)としても知られている。トリプルDESは非推奨であり、2023年以降は使用できなくなる[11]。
A block cipher can only process inputs of a specific length, known as the block size. AES has a block size of 128 bits, and Triple-DES has a block size of 64 bits. To process inputs of other lengths, it is necessary to use a mode of operation. A mode of operation can process shorter or larger inputs by performing one or more calls to an underlying block cipher.  ブロック暗号は、ブロックサイズとして知られる特定の長さの入力のみを処理できる。AES のブロックサイズは 128 ビットであり、Triple-DES のブロックサイズは 64 ビットである。それ以外の長さの入力を処理するには、動作モードを使用する必要がある。ブロック暗号利用モードでは、基礎となるブロック暗号を 1 回または複数回呼び出すことで、より短い入力やより大きな入力を処理することができる。
In fact, it is possible to claim that a block cipher is always used in combination with a mode of operation: using a block cipher “directly” is equivalent to using it in the Electronic Codebook (ECB) mode with the restriction that the input must be exactly one block in length (e.g., 128 bits in the case of AES). Therefore, the real-world applications of the NIST-recommended modes of operation overlap with the applications of the underlying block cipher and include virtually all web browsers, Wi-Fi and cellular devices, and contact and contactless chip cards, as described in NIST IR 8319 [55].  ブロック暗号を 「直接 」利用することは、入力が正確に1ブロック長(例えばAESの場合は128ビット)でなければならないという制約の下、ECB(Electronic Codebook)モードで利用することと同じである。そのため、NIST が推奨するブロック暗号利用モードの実世界での用途は、基礎となるブロック暗号の用途と重複しており、NIST IR 8319 [55]に記載されているように、事実上すべてのウェブブラウザ、Wi-Fi およびセルラーデバイス、接触型および非接触型のチップカードが含まれる。
Therefore, a logical next step after NIST IR 8319 is to analyze the recommended modes of operation. This report analyzes the block cipher modes of operation that are standardized in NIST Special Publication (SP) 800-38A through 800-38F. More specifically:  従って、NIST IR 8319 の次の論理的なステップは、推奨される動作モードを分析することである。本報告書では、NIST 特別刊行物(SP)800-38A から 800-38F で標準化されているブロック暗号利用モードを分析する。具体的には以下の通りである: 
・NIST SP 800-38A [25] defines the Electronic Codebook (ECB), Cipher Block Chaining (CBC), Cipher Feedback (CFB), Output Feedback (OFB), and Counter (CTR) modes, which will be referred to collectively as the “five confidentiality modes.”  NIST SP 800-38A [25]は、電子符号表(ECB)暗号ブロック連鎖(CBC)暗号フィードバック (CFB)出力フィードバック(OFB)カウンタ(CTR)の5つのモードを定義している。
・The Addendum to NIST SP 800-38A [26] defines three variants of the CBC mode: the CBC-CS1, CBC-CS2, and CBC-CS3 modes, where “CS” indicates “ciphertext stealing.”  NIST SP 800-38A [26]の補遺は、CBC モードの 3 つのバリエーション、CBC-CS1、CBC-CS2、 CBC-CS3 モードを定義している。
・NIST SP 800-38B [27] defines the Cipher-based Message Authentication Code (CMAC) mode.  NIST SP 800-38B [27]は、暗号ベースのメッセージ認証コード(CMAC)モードを定義している。
・NIST SP 800-38C [28] defines the Counter with Cipher Block Chaining-Message Authentication Code (CCM) mode.  NIST SP 800-38C [28]は、暗号ブロック連鎖によるカウンター-メッセージ認証コード(CCM

 

モードを定義している。
・NIST SP 800-38D [29] defines the Galois/Counter Mode (GCM) and its specialization GMAC to generate a Message Authentication Code (MAC).  NIST SP 800-38D [29]は、メッセージ認証コード(MAC)を生成するためのガロア/カウンタモード(GCM)その特殊化 GMAC を定義している。
・NIST SP 800-38E [30] defines the XTS-AES mode, where XTS stands for “XEX Tweakable block cipher with ciphertext Stealing,” and XEX stands for “eXclusive-or Encrypt eXclusive-or.”  NST SP800-38E[30]は、XTS-AESを定義している。XTS は 「XEX 暗号文ステアリンによる微調整可能なブロック暗号
」の略であり、XEX は 「排他的論理和あるいは暗号排他的論理和 」の略である。
・NIST SP 800-38F [31] defines the AES Key Wrap (KW) mode, the AES Key Wrap with Padding (KWP) mode, and the TDEA Key Wrap (TKW) mode.  NIST SP 800-38F [31]は、AESキーラップ(KW)モード、パディング付きAESキーラップ(KWP)モード、 TDEAキーラップ(TKW)モードを定義している。
Note that NIST SP 800-38G [32], which defines the Format-Preserving Encryption (FPE) modes FF1 and FF3, is currently undergoing a revision that is proposed in Draft NIST SP 80038G, Rev. 1 [33].    なお、NIST SP 800-38G [32]は、フォーマット保持暗号化(FPE)モード FF1 および FF3 を定義しているが、現在改訂中であり、ドラフト NIST SP 80038G, Rev. 1 [33]で提案されている。  

 

NIST SP800-38シリーズ...

2010.10.21 SP800-38A Final Recommendation for Block Cipher Modes of Operation: Three Variants of Ciphertext Stealing for CBC Mode ブロック暗号利用モードの推奨:CBCモードにおける暗号文盗用の3つのバリエーション
2001.12.01 SP800-38A Final Recommendation for Block Cipher Modes of Operation: Methods and Techniques ブロック暗号利用モードの推奨:方法と技術
2016.10.06 SP800-38B Final Recommendation for Block Cipher Modes of Operation: the CMAC Mode for Authentication ブロック暗号利用モードの推奨:認証のためのCMACモード
2007.07.20 SP800-38C Final Recommendation for Block Cipher Modes of Operation: the CCM Mode for Authentication and Confidentiality ブロック暗号利用モードの推奨:認証と機密性のためのCCMモード
2007.11.28 SP800-38D Final Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC ブロック暗号利用モードの推奨:ガロア/カウンタ・モード(GCM)とGMAC
2010.01.18 SP800-38E Final Recommendation for Block Cipher Modes of Operation: the XTS-AES Mode for Confidentiality on Storage Devices ブロック暗号利用モードの推奨:XTS-AESモード(ストレージデバイス上の秘匿用
2012.12.13 SP800-38F Final Recommendation for Block Cipher Modes of Operation: Methods for Key Wrapping ブロック暗号利用モードの推奨:キーラッピングの方法
2016.08.04 SP800-38G Final Recommendation for Block Cipher Modes of Operation: Methods for Format-Preserving Encryption ブロック暗号利用モードの推奨:フォーマット保持暗号化の方法
2019.02.28 SP800-38G Rev. 1 Draft Recommendation for Block Cipher Modes of Operation: Methods for Format-Preserving Encryption ブロック暗号利用モードの推奨:フォーマット保持暗号化の方法

 

FIPS197とIR8319

2023.05.09 FIPS197 Final Advanced Encryption Standard (AES) 高度暗号化標準 (AES)
2021.07.23 IR8319 Final Review of the Advanced Encryption Standard 高度暗号化標準の見直し

 

 

| | Comments (0)

欧州委員会 データ法に関するFAQ (2024.09.06)

こんにちは、丸山満彦です。

欧州委員会が、データ法に関するFAQを公表していますね...

データ法は2023.12.22にEU官報に掲載され、2025.09.12から施行されますね...

IoTなどから生成される個人データ以外のデータの利用可能性を高め、そのようなデータの活用によるイノベーションを促進するために、作られたわけで、どちらかと利用促進と、データを生成した人が損をしないようにするため?の仕組みというかんじですかね。。。

 

European Commission

・2024.09.06 Commission publishes Frequently Asked Questions about the Data Act

Commission publishes Frequently Asked Questions about the Data Act 欧州委員会、データ法に関するFAQを発表
The Frequently Asked Questions (FAQs) on the Data Act will support its implementation. データ法に関するFAQは、データ法の実施をサポートするものである。
The Data Act establishes a horizontal set of rules on data access and use that respects the protection of fundamental rights and delivers wide-ranging benefits for the European economy and society. It increases data availability – particularly industrial data – and encourages data-driven innovation while ensuring fairness in the allocation of data value among all actors in the data economy. For an introduction to the Data Act, please visit the “Data Act Explained” fact page. データ法は、基本的権利の保護を尊重し、欧州経済と社会に広範な利益をもたらす、データへのアクセスと利用に関する水平的なルールを確立するものである。この法律は、データの利用可能性(特に産業データ)を向上させ、データ経済におけるすべての関係者間のデータ価値の配分の公平性を確保しつつ、データ主導のイノベーションを促進する。データ法の序文については、「データ法の説明」のファクトページを参照されたい。
The Data Act will become applicable on 12 September 2025. Together with the Data Governance Act, which increases trust in voluntary data-sharing mechanisms, the Data Act will contribute to the establishment of a genuine single market for data, making Europe a leader in the global data economy. データ法は2025年9月12日から適用される。自発的なデータ共有メカニズムへの信頼を高めるデータガバナンス政府とともに、データ法は真のデータ単一市場の確立に貢献し、欧州をグローバルなデータ経済のリーダーにする。
Below you can download the PDF version of the FAQs on the Data Act. This document was compiled with input from various stakeholders and will support the implementation of the Data Act. 以下に、データ法に関するFAQのPDF版をダウンロードすることができる。この文書は、様々な利害関係者からの意見をもとに編集されたものであり、データ法の実施を支援するものである。

 

・2024.09.11 [PDF] Ver. 1.1

20240914-45059

・[DOCX][PDF]仮訳

 

 

FAQ一覧...

Interaction with other EU law  他のEU法との相互作用 
1)    How does the Data Act interact with the General Data Protection Regulation?  1) データ法は一般データ保護規則とどのような関係にあるか?
2)    How does the relationship between the Data Act and the GDPR affect the enforcement and protection of personal data?  2) データ法とGDPRの関係は、個人データの執行と保護にどのような影響を与えるか?
3) How does the Data Act interact with existing data-sharing obligations under other EU legislation?  3) データ法は、他のEU法における既存のデータ共有義務とどのように関係するか?
Access to and use of data in the Internet-of-Things context 「IoT」の文脈におけるデータへのアクセスと使用
4)    Which data are in scope?  4) どのデータが対象となるか?
5)    What is a ‘connected product’? 5) 「コネクテッド・プロダクト」とは何か?
6)    What determines whether a connected product falls in scope of the Data Act?  6) コネクテッド・プロダクトがデータ法の適用範囲に入るかどうかは何で決まるか?
7)    What happens if a connected product that is placed on the EU market generates data when it is used abroad? 7) EU上市されたコネクテッド・プロダクトが海外で使用される際にデータを生成する場合はどうなるか?
8)    What is a ‘related service’?  8) 「関連サービス」とは何か?
9)    What happens if a connected product is resold (‘second-hand connected products’)?  9) コネクテッド・プロダクトが転売された場合(「中古コネクテッド・プロダクト」)はどうなるか?
10) How do the obligations under Chapter II of the Data Act relate to mechanisms of conformity assessment or type approval? 10) データ法第Ⅱ章に基づく義務は、適合性アセスメントや型式承認のメカニズムにどのように関係するか?
Section on users  利用者に関するセクション 
11) What are ‘users’?  11) 「ユーザー」とは何か?
12) Does the Data Act apply to users established outside the EU?  12) データ法は EU 域外に設立されたユーザーにも適用されるか?
13) Can there be multiple users for a single connected product, and how should their access be governed?  13) 1つの接続製品に複数のユーザーを設定することは可能か。また、それらのユーザーのアクセスはどのようにガバナンスされるべきか?
14) How can I, as a user, access my data?  14) ユーザーとして、どのように自分のデータにアクセスできるか?
15) How does the Data Act complement the GDPR’s data portability rights?  15) データ法はGDPRのデータポータビリティの権利をどのように補完するか?
16) In which situations can users monetise their non-personal data?  16) ユーザーはどのような状況で非個人データを収益化できるか?
17) What are the options for users, especially consumers, if the right to access and use data is not properly exercised?  17) データにアクセスし利用する権利が適切に行使されない場合、利用者、特に消費者にはどのような選択肢があるか?
Section on data holders  データ保有者に関するセクション 
18) Is a manufacturer always a data holder?  18) 製造事業者は常にデータ保有者か?
19) Does Article 3(1) oblige manufacturers of connected products to design or redesign their connected products so that users can access the data directly?  19) 第3条1項は、コネクテッド製品の製造事業者に対し、利用者がデータに直接アクセスできるよう、コネクテッド製品を設計または再設計することを義務づけるか?
20) Does the new data access right affect the protection of trade secrets? 20) 新しいデータアクセス権は営業秘密の保護に影響するか?
21) Can trade secret protection also apply in relation to data made directly available in the sense of Article 3(1)?  21) 営業秘密の保護は、第 3 条(1)の意味で直接入手可能になったデータに関しても適用できるか?
22) Does a data holder have to share data if there are safety/security concerns?  22) 安全/セキュリティ上の懸念がある場合、データ保有者はデータを共有しなければならないか?
23) A non-compete clause for connected products has been introduced. Does this also apply to related services?  23) 関連製品に対する競業避止条項が導入された。これは関連サービスにも適用されるか?
24) How are the interests of data holders protected?  24) データ保有者の利益はどのように保護されるか?
25) Does the Data Act apply to manufacturers of connected products and providers of related services that are established outside the EU?  25) データ法はEU域外に設立されたコネクテッド・プロダクトの製造事業者や関連サービスのプロバイダに適用されるか?
26) Are there any limitations on the data holder’s use of the data generated by the user?  26) ユーザーが生成的なデータをデータ保有者が使用することに制限はあるか?
27) How would a data holder be able to verify a legitimate user?  27) データ保有者は正当なユーザーをどのように確認できるか?
28) Does a data holder still need to share data with a third party upon request of the user where it has granted direct access to the user?  28) データ保有者は、利用者に直接アクセスすることを許可している場合でも、利用者の要求に応じて第三者とデータを共有する必要があるか?
29) Can users request access to historical data that a data holder might be storing (e.g. when buying a second-hand sensor/machine)?  29) ユーザは、データ保有者が保存している可能性のある履歴データへのアクセスを要求できるか (例えば、中古のセンサ/機械を購入する場合)?
30) Can users request that data holders delete their non-personal data before selling a product to another user?  30) 利用者は、製品を他の利用者に販売する前に、データ保有者が非個人データを削除するよう要 求できるか?
31) Can a company be both a user and a data holder at the same time?  31) 企業はユーザーであると同時にデータ保有者でもあり得るか?
Section on third parties  サードパーティに関するセクション 
32) What can a third party do with the data they receive from a user/data holder in the context of Chapter II?  32) 第 II 章に関連して、サードパーティはユーザー/データ保有者から受け取ったデー タで何ができるか?
33) Can users oblige data holders to share data with Digital Markets Act gatekeepers? 33) 利用者はデータ保有者に対して、デジタル市場法のゲートキーパーとデータを共有することを義務付けることができるか?
34) Can someone established in a third country receive data on the basis of the data-sharing obligations under Chapter II? 34) 第三国に設立された者は、第 II 章に基づくデータ共有義務に基づいてデータを受け取る ことができるか?
Fair, reasonable, and non-discriminatory (FRAND) conditions, compensation and dispute resolution  公正、合理的かつ非差別的(FRAND)な条件、補償、紛争解決 
35) Is it possible to differentiate between the data recipients and apply different licensing conditions?  35) データ取得者を区別し、異なるライセンス条件を適用することは可能か?
36) Is there an upper limit to reasonable compensation? 36) 合理的な補償に上限はあるか?
37) Who can rely on the dispute settlement mechanism established by the Data Act and under which conditions?  37) データ法によって確立された紛争解決メカニズムに誰がどのような条件で依拠できるか?
Unfairness in business-to-business data-sharing contracts  企業間データ共有契約における不公正 
38) What special provisions exist to help SMEs, given that they are often in a weaker negotiating position?  38) 中小企業は交渉の立場が弱いことが多いが、中小企業を助けるためにどのような特別条項があるか?
39) I think that the data-sharing contractual terms in my contract are unfair. What can I do?  39) 私の契約におけるデータ共有契約条項は不公正だと思う。どうすればよいか?
Business-to-government data access 企業対政府のデータアクセス
40) What qualifies as ‘mitigation of or recovery from’ a public emergency? 40) 何が「公共緊急事態の低減または復旧」に該当するか?
41) What does the term ‘equivalent conditions’ mean in the context of Article 15(1)(a)?  41) 第15条(1)(a)における「同等の条件」とは何を意味するか?
42) Could the new rights under the Data Act endanger data holders’ existing business models because a public sector could request the data instead of purchasing it? 42) データ法に基づく新たな権利は、公共部門がデータを購入する代わりに要求できるため、 データ保有者の既存のビジネスモデルを危険にさらす可能性はあるか?
43) How can a data holder verify that a Chapter V request is justified and lawful?  43) 第 5 章の要求が正当かつ合法的であることを、データ保有者はどのように検証できるか?
44) Can a public body in one country request data from a data holder in a different country? Are the rights of the data holder fully protected in such a case? 44) ある国の公共団体は、異なる国のデータ保有者にデータを要求できるか。その場合、データ保持者の権利は完全に保護されるか?
45) Once data are made available following a request, do they become public sector information? Can the public sector body use them in any way it sees fit?  45) 要請に従ってデータが利用可能になると、それらは公共部門の情報となるか。公共部門機関はそれを適切な方法で使用できるか?
46) Can a request under Chapter V be made repetitively or simultaneously by different public sector bodies?  46) 第 5 章に基づく要請は、異なる公的機関によって反復的または同時に行うことができるか?
47) Could Chapter V be used by governments in a way that puts citizens’ fundamental rights in danger?  47) 第五章は、市民の基本的権利を危険にさらすような方法で政府によって使用されうるか?
48) Can a public sector body be a ‘user’ of a connected product/related service under Chapter II?  48) 公共部門団体は、第二章に基づく接続製品/関連サービスの「ユーザー」となりうるか?
Switching between data processing services  データ処理サービスの切り替え 
49) Which services are excluded from the scope of Chapter VI? 49) 第 VI 章の適用範囲から除外されるサービスはどれか?
50) What is the difference between exportable data and digital assets? What do these concepts mean?  50) 輸出可能データとデジタル資産の違いは何か。これらの概念は何を意味するか?
51) What is the deadline for providers to reduce switching charges so that they are limited to the costs they incur? 51) スイッチング料金をプロバイダが負担するコストに限定するよう引き下げる期限は?
52) What does ‘free-tier offering’ mean?  52) 「フリーティア・オファリング」とは何を意味するか?
53) How do the notice period and the transition period relate to one another?  53) 告知期間と移行期間はどのように関係するか?
54) How will the Commission create the common Union repository for the interoperability of data processing services?  54) 欧州委員会は、データ処理サービスの相互運用性を確保するための連邦共通のリポジトリをどのように作成するか?
55) What is the status quo of the standard contractual clauses for cloud computing contracts and what will they cover? 55) クラウド・コンピューティング契約の標準契約条項の現状とその対象は何か?
Unlawful access to and transfer of non-personal data held in the EU by third country authorities  第三国当局によるEU域内の非個人データへの違法なアクセスと移転 
56) Will the Data Act create data localisation requirements?  56) データ法はデータのローカライゼーション要件を設けるか?
57) What is the aim of Article 32?  57) 第32条の目的は何か?
58) Does Article 32 cover international data transfers between or inside businesses?  58) 第32条は、企業間または企業内部での国際的なデータ移転に適用されるか?
59) What measures should data processing service providers implement to prevent unlawful governmental access to or transfer of data?  59) データ処理サービスプロバイダは、政府による違法なデータへのアクセスやデータ移転を防ぐために、どのような対策を講じるべきか?
60) Which bodies can a data processing service provider consult before deciding whether to grant access or transfer data following a request from third country authorities?  60) データ処理サービスプロバイダは、第三国当局からの要請を受けてデータへのアクセスやデータ移転を許可するかどうかを決定する前に、どの団体に相談できるか?
Interoperability  相互運用性 
61) Can the Commission impose common specifications instead of standards?  61) 欧州委員会は標準の代わりに共通仕様を課すことができるか?
62) Is the Commission intending to replace existing (e.g. sectoral) standards?  62) 欧州委員会は、既存の(例えば分野別の)標準に取って代わろうとしているか?
63) Do the essential requirements in Article 36 affect national contract law?  63) 第36条の必須要件は、国内の契約法に影響を与えるか?
Enforcement  施行
64) What bodies should Member States put in place to ensure that the Data Act is enforceable?  64) データ法の強制力を確保するために、加盟国はどのような団体を設置すべきか?
65) Which public authority can help me if I consider that my rights under the Data Act are not respected?  65) データ法に基づく自分の権利が尊重されていないと考える場合、どの公的機関が助けて くれるか?
66) What is the role of the Commission in the enforcement of the Data Act? 66) データ法の施行における欧州委員会の役割は何か?
67) Are penalties harmonised across the EU?  67) 罰則はEU全体で統一されているか?
68) When should a legal representative be designated? Is such a legal representative liable for non-compliance with the Data Act by companies outside the EU?  68) 法的代表者はいつ指定されるべきか?そのような法定代表者は、EU域外の企業がデータ法を遵守しなかった場合に責任を負うか?
Next steps and future actions  次のステップと今後の対応 
69) When will the Commission publish the guidance on reasonable compensation?  69) 欧州委員会は妥当な補償に関するガイダンスをいつ公表するか?
70) What are the next steps regarding interoperability?  70) 相互運用性に関する次のステップは何か?
71) What is the status quo of the model contractual terms for data sharing and the standard contractual clauses for cloud computing contracts? 71) データ共有に関するモデル契約条項とクラウドコンピューティング契約の標準契約条項の現状はどうか?

 

関連...

データ法関連

データ法のページ

データ法の説明

・2023.12.22 データ法(官報)

 

 

データ法の上位概念として...

データガバナンス法関連

データガバナンス法のページ

データガバナンス法の説明

・2022.06.03 データガバナンス法(官報)

 

さらにその上位概念としての戦略...

欧州データ戦略 (A European strategy for data) 関連

国際競争力とデータ主権を確保するデータ単一市場の創設

欧州データ戦略のページ

・2020.02.19 欧州データ戦略(官報)

 


 

まるちゃんの情報セキュリティ気まぐれ日記

データ法、データガバナンス法...

・2023.03.28 EU データ法が欧州議会で本会議で可決 (2023.03.14)

・2023.02.15 欧州 データ法案 欧州議会議員は産業データへの公正なアクセスと利用のための新ルールを支持

・2022.03.01 欧州委員会 データ法の提案

・2021.12.05 欧州 欧州議会とEU加盟国間でデータガバナンス法について政治的合意 (欧州データガバナンス法成立が近づきましたね。。。)

・2021.03.14 欧州データ保護委員会 (EDPB)・欧州データ保護監督官 (EDPS) データガバナンス法に関する共同意見を採択

・2021.03.14 欧州データ保護委員会 (EDPB)・欧州データ保護監督官 (EDPS) データガバナンス法に関する共同意見を採択

・2020.11.29 EU データガバナンス法案

 

| | Comments (0)

日本銀行 決済システムレポート(2024年9月)(2024.09.10)

こんにちは、丸山満彦です。

日本銀行が決済システムレポートを5年ぶり?に公表していますね...

決済システムの鳥瞰図...

1_20240914040801

 

 

日本銀行

・2024.09.10 決済システムレポート(2024年9月)

20240914-40223

 

目次...

Ⅰ.決済システムを取り巻く環境
1.経済活動のグローバル化と消費者行動のデジタル化
2.新たな支払・決済手段の登場
3.清算機関・決済システムの頑健性強化の要請

Ⅱ.わが国の金融市場インフラ(FMI)の動向
1.日銀ネット(当預系・国債系)
2.全国銀行内国為替制度(全銀システム)
3.外国為替円決済制度
4.証券保管振替機構(JASDEC : Japan Securities Depository Center)
5.ほふりクリアリング(JDCC : JASDEC DVP Clearing Corporation)
6.日本証券クリアリング機構(JSCC : Japan Securities Clearing Corporation)
7.東京金融取引所(TFX : Tokyo Financial Exchange)
8.DTCC データ・レポジトリー・ジャパン(DDRJ : DTCC Data Repository Japan)
BOX1
「ことら」の稼動開始
BOX2
手形交換制度における「電子化」の取り組み

Ⅲ.FMIを巡る国際的な議論の動向
1.金融市場インフラ(FMI)を巡る環境変化
2.証拠金慣行の見直し
3.FMI のノンデフォルトロス(NDL)対応
4.ステーブルコインに対する FMI 原則の適用
5.FMI のオペレーショナルレジリエンス
6.FMI 原則の実施モニタリング
7.新たな課題

Ⅳ.G20におけるクロスボーダー送金の検討 
1.検討の経緯
2.クロスボーダー送金のメカニズム
3.クロスボーダー送金の課題
4.課題解決に向けた取り組み

Ⅴ.金融サービス分野の標準化
1.金融サービスにおける標準化の領域
2.日本における金融サービス分野の標準化活動
3.3つの標準化領域の重要性
4.標準化への取り組み姿勢と日本銀行の役割

Ⅵ.一般利用型の中央銀行デジタル通貨に関する日本銀行の取り組み
1.はじめに
2.実証実験の状況
3.今後の進め方

Ⅶ.決済の未来
1.伝統的な決済システムの利点と課題
2.新たな技術の潜在可能性とリスク
3.決済システム改善に向けた取り組みの方向性
4.中央銀行・民間主体の役割分担を巡る歴史的知恵
BOX3
プロジェクト・アゴラ

付録:略語集


 

 

| | Comments (0)

2024.09.13

自民党 【サイバー安保】速やかな法制化を関係会議が提言申し入れ+技術流出の防止措置について経済安保本部が提言申し入れ (2024.09.11)

こんにちは、丸山満彦です。

自民党が、「【サイバー安保】速やかな法制化を関係会議が提言申し入れ」と「技術流出の防止措置について経済安保本部が提言申し入れ」を公表していますね...

 

自由民主党

・2024.09.11【サイバー安保】速やかな法制化を関係会議が提言申し入れ

なるほどね...


セキュリティ・クリアランス制度を活用し政府が基幹インフラ事業者等に率先して被害防止に必要な情報を提供する

...

特に重要な基幹インフラ事業者にはサイバー攻撃に関する予兆情報を認知した場合、政府に報告することを義務付ける

...

状況に応じた措置を即時実施するため、警察官職務執行法と同様の制度をサイバー安全保障分野でも検討する


・[PDF] サイバー安全保障政策の方向性に関する提言

 

20240913-164234

 

 


 

2024.09.11 技術流出の防止措置について経済安保本部が提言申し入れ

  • 信頼性のある研究環境を構築するための研究インテグリティの強化等を通じた「ヒト」による技術流出対策
  • 軍事転用の恐れがある製品・技術の輸出・提供を管理するための国際的な枠組みである安全保障貿易管理をさらに強化する等の「モノ」による技術流出対策
  • 投資家の属性と投資先日本企業の事業の属性の両面を事前に審査する等「カネ」による技術流出の対策
  • 「サイバー」による技術流出対策として、サイバーセキュリティに関する法案を次期臨時国会に提出し、必要な体制整備に万全を期すこと

・[PDF] 技術流出防止など経済安全保障上の重要政策に関する提言

20240913-165520

 

 

 

| | Comments (0)

米国 FCC IoTのためのサイバーセキュリティ・ラベリングFAQと管理者の申請プロセス (2024.09.10)

こんにちは、丸山満彦です。

米国のFCCのIoTのためのサイバーセキュリティ・ラベリングの最終規則が2024.07.30に官報 (Fedral Register) 公表され、2024.08.29に有効に施行されていますが...

2024.09.10 にFCCから管理者のプロセスが公表されていますね...

 

U.S. Federal Communications Commission; FCC

プレス...

・2024.09.10 FCC Announces IoT Cybersecurity Labeling Program Administrator Process

・[DOCX][PDF]

FCC ANNOUNCES APPLICATION PROCESS FOR ADMINISTRATORS OF INTERNET OF THINGS CYBERSECURITY LABELING PROGRAM  FCC、IoTのサイバーセキュリティ・ラベリング・プログラムの管理者の申請手続きを発表 
FCC Takes Next Step in Establishing First-of-its-Kind Voluntary Cybersecurity Labeling Program FCC、世界初の自主的サイバーセキュリティ表示プログラム設立に向けて次の一歩を踏み出す
WASHINGTON, September 10, 2024—Today, the Federal Communications Commissions’ Public Safety and Homeland Security Bureau announced that the agency will begin accepting applications to serve as administrators for its voluntary cybersecurity labeling program for wireless consumer Internet of Things (IoT) products.  The program will allow qualifying consumer smart products that meet critical cybersecurity standards to display a label, including a new U.S. government certification mark (“U.S Cyber Trust Mark”), which will help consumers make informed purchasing decisions, easily identify trustworthy products, and encourage manufacturers to prioritize higher cybersecurity standards.  This voluntary program will be a collaborative effort between the public and private sectors, with the FCC overseeing the process and authorized third-party administrators managing activities such as evaluating product applications, granting permission to use the label, and educating consumers.  ワシントン、2024年9月10日-本日、米連邦通信委員会(FCC)の公共安全・国土安全保障局は、ワイヤレス消費者向けモノのインターネット(IoT)製品を対象とした自主的なサイバーセキュリティ表示プログラムの管理者の募集を開始すると発表した。 このプログラムは、重要なサイバーセキュリティ基準を満たした適格な消費者向けスマート製品に、米国政府の新しい認証マーク(「U.S. Cyber Trust Mark」)を含むラベルを表示できるようにするもので、消費者が十分な情報を得た上で購入の意思決定を行い、信頼できる製品を簡単に識別できるようにし、製造業者がより高いサイバーセキュリティ基準を優先するよう促すものである。 この自主プログラムは、官民の協力により実施されるもので、FCCがプロセスを監督し、認定された第三者管理者が製品申請の評価、ラベル使用の許可、消費者への啓蒙などの活動を管理する。
“We live in a world where more and more devices in your home require an internet connection. But these smart devices that make our lives easier and more convenient must also be protected from bringing malware and other kinds of malicious activity into your home,” said Chairwoman Jessica Rosenworcel.  “That is why the FCC is taking the next step in getting our Cyber Trust Mark program up and running as quickly as possible.  This label will help empower consumers to make informed purchasing decisions while providing incentives for companies to make their products more secure.”  ジェシカ・ローゼンウォーセル議長は次のように述べた。「私たちは、家庭内でインターネット接続を必要とする機器がますます増えている世界に生きている。しかし、私たちの生活をより簡単で便利なものにしてくれるこれらのスマート機器は、マルウェアやその他の悪意のある活動を家庭に持ち込まないように保護されなければならない。だからこそ、FCCはサイバートラスト・マーク・プログラムをできるだけ早く立ち上げ、運用するために次のステップを踏んでいる。このラベルは、消費者が十分な情報を得た上で購入の意思決定をするのに役立つと同時に、企業が自社製品をより安全にするためのインセンティブを提供することになる」。
In March 2024, the Commission established a framework for a voluntary cybersecurity labeling program for wireless consumer IoT products, which will include the use of third-party administrators selected by the Commission to support the program.  Cybersecurity Labeling Administrators (CLAs) will be authorized by the Commission to certify the use of the FCC IoT Label, which includes the U.S. Cyber Trust Mark, by manufacturers whose products comply with the Commission’s IoT cybersecurity labeling program rules.  A Lead Administrator will be selected as well to act as a liaison between the Commission and CLAs, conduct stakeholder outreach to identify/develop and recommend technical standards and testing procedures, and collaborate with CLAs, the FCC, and other stakeholders to develop and execute a consumer education campaign.  2024年3月、委員会は、無線コンシューマ向けIoT製品の自主的なサイバーセキュリティ・ラベリング・プログラムの枠組みを確立した。 サイバーセキュリティ・ラベリング管理者(CLA)は、委員会のIoTサイバーセキュリティ・ラベリング・プログラム規則に準拠した製品を製造するメーカーが、米国サイバートラスト・マークを含むFCC IoTラベルを使用することを認証する権限を委員会から与えられる。 また、委員会とCLA間の連絡役を務め、技術基準や試験方法を特定・開発・推奨するための関係者への働きかけを行い、CLA、FCC、その他の関係者と協力して消費者教育キャンペーンを開発・実施する主管理者も選出される。
Interested parties can file applications to serve in these roles within the program.  The public notice with more information about program qualifications, the application process, and other key details is available here.  関心のある当事者は、プログラム内でこれらの役割を果たすために申請書を提出することができる。プログラムの資格、申請プロセス、その他の重要な詳細に関する公告はこちらで入手できる。

 

 申請手続き...

FCC Announces IoT Labeling Administrator Application Filing Window

・[DOCX][PDF]

20240913-112620 


 

ちなみに、FAQ's

U.S. Cyber Trust Mark

Cyber Trust Mark Program FAQs サイバートラストマークプログラムFAQ
When was the U.S. Cyber Trust Mark program created? 米国のサイバートラストマークプログラムはいつ創設されたのか?
In August 2023, the FCC sought public comment on how to create the Cyber Trust Mark program. In March 2024, based on public input, we adopted rules establishing the framework for the program. 2023年8月、FCCはサイバートラストマークプログラムの創設方法についてパブリックコメントを求めた。2024年3月、パブリック・インプットに基づき、プログラムの枠組みを定める規則を採択した。
We are now in the process of standing up this comprehensive program. As we move forward, we will make additional announcements and will seek further public input on specific implementation details. 現在、この包括的なプログラムを立ち上げているところである。今後、さらなる発表を行うとともに、具体的な実施内容に関するパブリック・インプットを求める予定である。
How will the U.S. Cyber Trust Mark program work? 米国サイバートラストマーク・プログラムはどのように機能するのか?
Here is an overview: 以下はその概要である:
・The U.S. Cyber Trust Mark logo will appear on wireless consumer IoT products that meet the program’s cybersecurity standards. ・U.S. サイバートラスト・マークのロゴは、このプログラムのサイバーセキュリティ基準を満たした消費者向けワイヤレスIoT製品に表示される。
・The logo will be accompanied by a QR code that consumers can scan, linking to a registry of information with easy-to-understand details about the security of the product, such as the support period for the product and whether software patches and security updates are automatic. ・このロゴには、消費者がスキャンできるQRコードが添付され、製品のサポート期間や、ソフトウェア・パッチやセキュリティ・アップデートの自動更新の有無など、製品のセキュリティに関する詳細がわかりやすく記載されたレジストリにリンクされる。
・The voluntary program will rely on public-private collaboration, with the FCC providing oversight and approved third-party cybersecurity label administrators managing activities such as evaluating product applications, authorizing use of the label, and supporting consumer education. ・この自主プログラムは、官民の協力により実施され、FCCが監督を行い、承認された第三者のサイバーセキュリティ・ラベル管理者が、製品申請の評価、ラベル使用の承認、消費者教育の支援などの活動を管理する。
・Compliance testing will be handled by accredited labs ・コンプライアンス試験は認定ラボが行う。
・Examples of eligible products may include internet-connected home security cameras, voice-activated shopping devices, smart appliances, fitness trackers, garage door openers, and baby monitors. ・対象となる製品の例としては、インターネットに接続されたホームセキュリティカメラ、音声で操作できるショッピング機器、スマート家電、フィットネストラッカー、ガレージドアオープナー、ベビーモニターなどが挙げられる。
・While the program is voluntary, participants must follow the FCC’s program requirements. ・このプログラムは任意であるが、参加者はFCCのプログラム要件に従わなければならない。
・The FCC will work with other federal agencies to develop international recognition of the FCC’s IoT Label and mutual recognition of international labels. ・FCCは、他の連邦政府機関と協力して、FCCのIoTラベルの国際的な承認と国際的なラベルの相互承認を開発する予定である。
Which products will be included in the program? プログラムの対象となる製品は?
The program applies to consumer wireless IoT products. このプログラムは、消費者向けワイヤレスIoT製品に適用される。
Examples of eligible products include internet-connected home security cameras, voice-activated shopping devices, smart appliances, fitness trackers, garage door openers, and baby monitors. 対象となる製品の例としては、インターネットに接続されたホームセキュリティカメラ、音声で操作できるショッピング機器、スマート家電、フィットネストラッカー、ガレージドアオープナー、ベビーモニターなどがある。
Which products will not be included in the program? プログラムに含まれない製品は?
The FCC’s Cyber Trust Mark program does not include: FCCのサイバートラストマークプログラムには、以下の製品は含まれない:
・Medical devices regulated by the Food and Drug Administration ・食品医薬品局が規制する医療機器
・Motor vehicles and equipment regulated by the National Highway Traffic Safety Administration ・米国道路交通安全局が規制する自動車および機器
・Wired devices ・有線機器
・Products primarily used for manufacturing, industrial control or enterprise applications ・主に製造、産業制御、企業向けアプリケーションに使用される製品
Equipment on the FCC’s Covered List and equipment produced by an entity on the covered list F・CCの対象リストに掲載されている機器および対象リストに掲載されている企業が製造した機器
・IoT products from a company on other lists addressing national security ・国家安全保障に対処する他のリストに掲載されている企業のIoT製品
・IoT products produced by entities banned from Federal procurement ・連邦調達が禁止されている企業が製造したIoT製品
Our program, which is based largely on criteria established by the National Institute of Standards and Technology (NIST), initially focuses on wireless consumer IoT products but may evolve over time.  It does not include personal computers, smartphones, and routers. NIST is working to define cybersecurity requirements for consumer-grade routers. 米国国立標準技術研究所(NIST)が策定した基準に基づいている我々のプログラムは、当初は無線コンシューマ向けIoT製品に焦点を当てているが、時間の経過とともに進化する可能性がある。 パソコン、スマートフォン、ルーターは含まれない。NISTは、コンシューマーグレードのルーターに対するサイバーセキュリティ要件の定義に取り組んでいる。
What role will the third-party administrators play? 第三者管理者はどのような役割を果たすのか?
The Cyber Trust Mark program is owned by the Commission and will by supported by third party administrators. Their duties are spelled out in an FCC Order. In brief: サイバートラストマーク・プログラムは委員会が所有し、サードパーティの管理者がサポートする。その任務はFCCオーダーに明記されている。簡単に説明する:
・The Lead Administrator will be responsible for collaborating with stakeholders and will recommend to the Commission cybersecurity standards, testing procedures, and label design. It will also be responsible for developing a consumer education campaign. ・主管理者は、利害関係者との協力に責任を持ち、委員会に対してサイバーセキュリティ基準、試験手順、ラベルのデザインを推奨する。また、消費者教育キャンペーンを展開する責任も負う。
・The Cybersecurity Label Administrators will be responsible for day-to-day management of the program, including accepting and reviewing applications and approving or denying use of the FCC IoT Label. ・サイバーセキュリティ・ラベル管理者は、申請書の受理と審査、FCC IoTラベルの使用の承認または拒否を含む、プログラムの日々の管理に責任を負う。
・And the CyberLABs will test products to demonstrate they meet the program's cybersecurity requirements. ・また、CyberLABは、製品がプログラムのサイバーセキュリティ要件を満たしていることを実証するための試験を行う。
The Lead Administrator, Cybersecurity Label Administrators, and CyberLABs must be accredited to international (ISO/IEC) standards. 主管理者、サイバーセキュリティ・ラベル管理者、サイバーラボは、国際(ISO/IEC)規格の認定を受けなければならない。
What are the next steps to launch the program? プログラム立ち上げのための次のステップは?
There are many steps to standing up such a comprehensive program.  Much of this is described in the FCC's Order, but in brief: このような包括的なプログラムを立ち上げるには、多くのステップがある。 その多くはFCCのオーダーに記載されているが、簡単に説明する:
・We have been doing extensive stakeholder outreach to increase awareness and understanding of the new program. This should ultimately help increase participation in all aspects of program. ・新プログラムに対する認識と理解を高めるため、関係者への広範な働きかけを行っている。これにより、最終的にはプログラムのあらゆる側面への参加が増えるはずである。
・We are also engaging with stakeholders on the details of the program (for example, standards and label design) to promote an efficient and timely rollout of the U.S Cyber Trust Mark. ・また、米国サイバートラストマークの効率的かつタイムリーな展開を促進するため、プログラムの詳細(例えば、基準やラベルデザイン)について利害関係者と協力している。
・We are reviewing public input on certain implementation details for the program—for example, matters related to the structure of the registry. ・私たちは、レジストリの構造に関する事項など、プログラムの実施に関する詳細について、一般からの意見を検討している。
・We will also provide instructions for applicants seeking to serve as administrators and announce when we are accepting these applications. ・また、管理者としての役割を果たそうとする申請者に対する指示を提供し、いつこれらの申請を受け付けるかを発表する予定である。
・After a review and selection process, we will announce the administrators and select a Lead Administrator. ・審査と選考の後、管理者を発表し、主任管理者を選出する。
・The Lead Administrator will engage with stakeholders to develop recommendations for the FCC on issues including standards and testing procedures, label design, and post-market surveillance.  ・主任管理者は、規格や試験方法、ラベルデザイン、市販後調査などの問題について、利害関係者と協力してFCCへの勧告を作成する。
・There will be an announcement when the program is ready to accept applications for products to bear the label. ・ラベルを貼付する製品の申請を受け付ける準備が整い次第、発表する予定である。
・Meanwhile, we are reviewing the public input in response to the Further Notice of Proposed Rulemaking regarding additional potential disclosures related to national security. ・一方、国家安全保障に関連する追加的な情報開示の可能性については、提案された規則案に対する一般からの意見を検討中である。
・There will be some intermediary steps as well, and we will be communicating new developments as we move forward. ・また、中間的なステップもあり、新たな進展があればお知らせする予定である。
How will a manufacturer apply to use the U.S. Cyber Trust Mark? 製造業者はどのようにU.S. サイバートラスト・マークの使用を申請するのか?
Once the U.S. Cyber Trust Mark is launched: 米国サイバートラストマークが開始されたら:
・The applicant (e.g., manufacturer) must have its product tested by an accredited and FCC- recognized CyberLAB to ensure it meets the program’s cybersecurity requirements. ・申請者(製造業者など)は、その製品がプログラムのサイバーセキュリティ要件を満たしていることを確認するため、認定を受け、FCCに認定されたCyberLABによる試験を受けなければならない。
・The applicant would then submit an application with supporting documents to a Cybersecurity Label Administrator. ・その後、申請者は申請書を添付書類とともにサイバーセキュリティ・ラベル管理者に提出する。
・The Cybersecurity Label Administrator will review the application and determine whether the IoT product meets the program requirements. ・サイバーセキュリティ・ラベル管理者は申請書を審査し、IoT製品がプログラムの要件を満たしているかどうかを判断する。
・The Cybersecurity Label Administrator will then either approve or deny the application. ・その後、Cybersecurity Label Administratorは申請を承認または却下する。
What will happen when consumers scan the QR code that accompanies the U.S. Cyber Trust Mark? 消費者がU.S. Cyber Trust Markに添付されたQRコードをスキャンするとどうなるのか?
Once the U.S. Cyber Trust Mark label is on products, it will be accompanied by a QR code that you can scan with your wireless phone to read easy-to-understand, security-related information about that particular product.  This information will include: 米国サイバートラスト・マークのラベルが製品に貼付されると、QRコードが添付され、ワイヤレス・フォンでスキャンすることで、その特定の製品に関する分かりやすいセキュリティ関連情報を読むことができる。 この情報には以下が含まれる:
・How to change the default password ・デフォルト・パスワードの変更方法
・How to configure the device securely ・デバイスを安全に設定する方法
・Whether updates/patches are automatic and if not, how consumers can access them ・アップデート/パッチが自動的に適用されるかどうか、適用されない場合、消費者はどのようにアップデートにアクセスできるか。
・The product's minimum support period end date or a statement that the device is not supported by the manufacturer and the consumer should not rely on the manufacturer to release security updates ・製品の最低サポート期間の終了日、またはデバイスが製造業者によってサポートされておらず、消費者は製造業者によるセキュリティ・アップデートのリリースに依存すべきではない旨の記述

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.02 米国 FCC IoTのためのサイバーセキュリティ・ラベリング最終規則

 

・2024.03.20 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14)

米国...

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

EU

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

英国

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 

中国

・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

 

日本

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

| | Comments (0)

総務省 デジタル空間における情報流通の健全性確保の在り方に関する検討会とりまとめ

こんにちは、丸山満彦です。

総務省が、「デジタル空間における情報流通の健全性確保の在り方に関する検討会とりまとめ」を公表していますね...

PFの自主性に任せていても悪質な偽情報の排除は難しいというかんじですよね...

 

総務省

・2024.09.10 「デジタル空間における情報流通の健全性確保の在り方に関する検討会とりまとめ」及び意見募集の結果の公表

 

概要(一枚)

20240913-41816

 

概要

20240913-41934

 

本文

20240913-42019

 

・意見

20240913-42230

 

 

 

| | Comments (0)

2024.09.12

金融庁 「金融機関の内部監査の高度化に向けたモニタリングレポート(2024)」 (2024.09.10)

こんにちは、丸山満彦です。

金融庁が、「金融機関の内部監査の高度化に向けたモニタリングレポート(2024)」を公表していますね...

これ金融機関以外の方も是非目を通してくださいね...

 

三線モデルの第三線を担うのが内部監査部門。欧米でもやはり内部監査部門というのは、守りの中でも後ろの方にいるイメージで地味という感じを抱かれがちですが、一方で、内部監査部門は、組織全体にわたるリスクとその対応状況を理解できるという意味で、将来経営層を目指す方にとってのすごく良い経験ができる役割でもあります。

なので、内部監査部門が「うまく機能」している企業というのは、事故も少なく、思い切った対策も取りやすくなるわけで、成長もしやすいと思うんですけどね...

有価証券報告書でも、「グループガバナンス体制」に関する説明の部分などに内部監査部門の役割等の説明は必要でしょうし、会社法のいう内部統制に関して会社の業務の適正を確保するための体制の説明にも内部監査の話は必要でしょうしね。。。

そして、内部監査部門の報告は経営者のみならず、監査役や監査委員会にも報告するというのが最近の動向でもあり、ますますコーポレートガバナンスにおける位置付けの重要性が増してきていると思います...

 

金融機関では、コンプライアンスという位置付けで、内部監査部門を当初は考えられていたところではありますが、金融庁が2019 年6月に「金融機関の内部監査の高度化に向けた現状と課題」に公表したことから、うまく機能していくための施策を進めているところだと思います...

この報告書で書かれている内部監査部門の役割・使命についての段階

  • 第一段階(Ver.1.0):事務不備監査
  • 第二段階(Ver.2.0):リスクベース監査
  • 第三段階(Ver.3.0):経営監査
  • 第四段階(Ver.4.0):信頼されるアドバイザー

20240912-53002

となっていますね...第四段階が、中間報告2023年で追加されています...

また、中間報告2023年で示された3つの論点というのは、

  • 論点1.経営陣や監査委員・監査役による内部監査部門への支援
  • 論点2.内部監査部門の監査態勢高度化・監査基盤強化
  • 論点3.被監査部門に対する内部監査への理解・浸透やリスクオーナーシップ醸成

となります。

今回の報告書では、「内部監査の高度化に向けた取組は、規模の大小よりも経営陣の意識の差が大きく影響している」としていて、やはり、経営者の良し悪しが会社の(長期的な)成功には大きく影響をするのだろうと感じました。(単に単年度の数字を上げるというのは現場の部長くらいまでの話で、ステークホルダーの期待に長期的・継続的に応えていくというのが経営者の仕事だろうとおもっていますので...)

金融機関の取り組みの話ではありますが、すべての企業経営者に参考になる報告書だと思いますので、中間報告2023年とあわせて経営者の方に読んでもらうように進めておいてください。

金融庁も中間報告2023年の主なポイントのようなエグゼクティブサマリーをつくってくれるといいんですけどね...

 

金融庁

・2024.09.10「金融機関の内部監査の高度化に向けたモニタリングレポート(2024)」の公表について

・[PDF] 金融機関の内部監査の高度化に向けたモニタリングレポート(2024)

20240912-54137

 


2023年中間報告

ちなみに昨年度に発表されている2023年中間報告もとてもよいです...

・2023.10.24「金融機関の内部監査の高度化」に向けたプログレスレポート(中間報告)の公表について

 ・・[PDF]「金融機関の内部監査の高度化」に向けたプログレスレポート(中間報告) 主なポイント

20240912-54631

・・[PDF] 「金融機関の内部監査の高度化」に向けたプログレスレポート(中間報告) 本文

20240912-54733

英語版

・・[PDF] Progress report for “Improving Internal Audits of Financial Institutions” (interim report): Summary

・・[PDF] Progress report for “Improving Internal Audits of Financial Institutions” (interim report): Main text

 

 


そもそもの出発点...

・2019.06.28「金融機関の内部監査の高度化に向けた現状と課題」の公表について

・・「金融機関の内部監査の高度化に向けた現状と課題」

20240912-55033

 

 


おまけ...

有価証券報告書における「内部監査」という用語の登場回数(^^)

やっぱり金融機関は多い...

 

まずは、

メガ...

株式会社三菱UFJフィナンシャル・グループ (2024/3) :57回

株式会社三井住友フィナンシャルグループ(2024/3) :31回

株式会社みずほフィナンシャルグループ(2024/3):75回

 

郵政とりそなも...

日本郵政株式会社(2024/3):57回

株式会社りそなホールディングス(2024/3):75回

 

証券...

野村ホールディングス株式会社(2024/3)90回

株式会社大和証券グループ本社41回

 

損害保険会社...

東京海上ホールディングス株式会社(2024/3)43回

損害保険ジャパン株式会社(2024/3)40回

MS&ADインシュアランスグループホールディングス株式会社(2024/3):15回

 

製造業...

トヨタ自動車株式会社(2024/3) :24回

本田技研工業株式会社(2024/3)21回

ソニーグループ株式会社(2024/3):27回

株式会社日立製作所(2024/3):14回

パナソニック ホールディングス株式会社(2024/3):28回

武田薬品工業株式会社(2024/3):23回

株式会社小松製作所 (2024/3):16回

 

通信事業...

日本電信電話株式会社(2024/3):34回

KDDI株式会社(2024/3):24回

ソフトバンク株式会社(2024/3):64回

楽天グループ株式会社(2023/12):25回

 

商社...

三菱商事株式会社(2024/3):12回

三井物産株式会社(2024/3):42回

伊藤忠商事株式会社(2024/3):14回

住友商事株式会社(2024/3):28回

 

出現回数だけでなく、内容も読まないとね(^^)

 

| | Comments (0)

2024.09.11

米国 CISA 選挙セキュリティチェックリスト(サイバー編と物理編) (2024.09.09)

こんにちは、丸山満彦です。

米国のCISAが、選挙のためのセキュリティチェックリスト(サイバー編と物理編)を公表していますね...日本ではほんと選挙セキュリティの話は聞きませんね...

 

● CISA

プレス...

・2024.09.09 CISA Releases Election Security Focused Checklists for Both Cybersecurity and Physical Security

CISA Releases Election Security Focused Checklists for Both Cybersecurity and Physical Security CISA、サイバーセキュリティと物理的セキュリティの両方に焦点を当てた選挙セキュリティチェックリストを公開
WASHINGTON – Today, the Cybersecurity and Infrastructure Security Agency (CISA) released two election security checklists as part of the comprehensive suite of resources available for election officials, the Physical Security Checklist for Election Offices and Election Infrastructure Cybersecurity Readiness and Resilience Checklist. These checklists are tools to quickly review existing practices and take steps to enhance physical and cyber resilience in preparation for election day.    ワシントン – サイバーセキュリティ・インフラセキュリティ庁(CISA)は本日、選挙関係者が利用できる包括的なリソース一式の一部として、選挙セキュリティチェックリスト2種類を公開した。公開されたのは、「選挙事務所のための物理的セキュリティチェックリスト」と「選挙インフラのサイバーセキュリティ準備・レジリエンスチェックリスト」である。これらのチェックリストは、既存の慣行を迅速に確認し、選挙当日に備えて物理的およびサイバーレジリエンスを強化するためのツールである。  
"Election officials around the country are unwavering in their commitment to enhance the cyber and physical security of election infrastructure to meet an evolving threat environment. As election officials and their teams enter into final preparations for November, these checklists help highlight some of the most common threat vectors, security practices, and resilience measures for consideration," said CISA Senior Advisor, Cait Conley.  「全米の選挙管理官は、進化する脅威環境に対応するために、選挙インフラのサイバーおよび物理的セキュリティを強化するという確固たる決意を持っています。選挙管理官とそのチームが11月の最終準備段階に入っている中、これらのチェックリストは、考慮すべき最も一般的な脅威ベクトル、セキュリティ対策、レジリエンス対策を明確にするのに役立ちます」と、CISAシニアアドバイザーのケイト・コンリー氏は述べた。
These checklists provide a series of questions to guide preparation for potential cyber and physical security incidents that may impact election infrastructure. They help election officials identify areas to potentially enhance physical security, operational resilience, and cybersecurity at election infrastructure facilities and take action to implement low- or no-cost options in the short term.  これらのチェックリストは、選挙インフラに影響を与える可能性のあるサイバーおよび物理的セキュリティインシデントの準備を導く一連の質問を提供している。選挙管理当局が、選挙インフラ施設における物理的セキュリティ、運用上のレジリエンス、サイバーセキュリティを強化すべき領域を識別し、短期間で低コストまたは無償で実施できる対策を講じるのに役立つ。
For more information, please click here and check out #Protect2024 for the latest information regarding election security.   詳細については、こちらをクリックし、選挙セキュリティに関する最新情報については #Protect2024 をチェックしていただきたい。 

 

Physical Security Checklist for Election Offices and Election Infrastructure Cybersecurity Readiness and Resilience Checklists

Physical Security Checklist for Election Offices and Election Infrastructure Cybersecurity Readiness and Resilience Checklists 選挙事務所および選挙インフラの物理的セキュリティチェックリスト
As part of the comprehensive suite of resources available to election officials, these checklists are tools to quickly review existing practices and take steps to enhance physical security, operational resilience, and cybersecurity in preparation for election day. These checklists provide a series of questions designed to help election officials identify areas to potentially enhance physical security, operational resilience, and cybersecurity at election infrastructure facilities and take action to implement low- or no-cost options in the short term. 選挙関係者が利用できる包括的なリソース一式の一部として、これらのチェックリストは、既存の慣行を迅速に確認し、選挙当日に備えて物理的セキュリティ、運用レジリエンス、サイバーセキュリティを強化するための手段を講じるためのツールである。これらのチェックリストは、選挙管理者が選挙インフラ施設における物理的セキュリティ、運用上のレジリエンス、サイバーセキュリティを強化すべき領域を識別し、短期間で低コストまたは無償のオプションを導入するための行動を起こすのに役立つよう設計された一連の質問を提供している。

 

サイバーセキュリティ編...

・[PDF] Readiness and Resilience Checklist for Election Offices

20240911-50810

Readiness and Resilience Checklist for Election Offices 選挙事務所向け準備およびレジリエンスチェックリスト
INTRODUCTION  序文 
Network infrastructure and internet-facing applications underpin and enable a variety of functions in the conduct of elections. These may include election infrastructure networks that store, host, or process voter registration information, public -facing election websites that support functions like election night reporting and polling place lookup, as well as email and other critical business operations. Election infrastructure and government infrastructure remain attractive targets for a range of malicious actors from cybercriminals to nation state actors. Network defenders have the power to prevent most security incidents using basic security measures. Take steps now so that even if an incident occurs, critical election operations can continue. The following checklist was designed to help election security officials and their IT teams quickly review existing cybersecurity practices to protect against some of the most common threats like ransomware or distributed denial of service (DDoS) attacks and take steps to enhance your organization’s cybersecurity readiness and resilience throughout this election cycle. ネットワークインフラおよびインターネットに面したアプリケーションは、選挙の実施におけるさまざまな機能を支え、可能にしている。これには、有権者登録情報の保存、ホスティング、処理を行う選挙インフラネットワーク、選挙当夜の報告や投票所検索などの機能を提供する一般公開の選挙ウェブサイト、および電子メールやその他の重要な業務処理が含まれる。 選挙インフラおよび政府インフラは、サイバー犯罪者から国家ぐるみの行為を行う者まで、さまざまな悪意ある行為者にとって依然として魅力的な標的である。 ネットワークの防御者は、基本的なセキュリティ対策を使用することで、ほとんどのセキュリティインシデントを防止することができる。 インシデントが発生した場合でも重要な選挙業務を継続できるよう、今すぐ対策を講じよう。以下のチェックリストは、選挙セキュリティ担当者およびITチームが、ランサムウェアや分散型サービス拒否(DDoS)攻撃などの最も一般的な脅威のいくつかに対する防御策として、既存のサイバーセキュリティ対策を迅速に確認し、今回の選挙期間を通じて組織のサイバーセキュリティの準備態勢とレジリエンシーを強化するための措置を講じるのに役立つよう作成された。
HOW TO USE THIS RESOURCE  このリソースの使用方法 
This checklist provides a series of questions to guide the decision-making necessary to prepare for potential cybersecurity incidents. By answering these questions, elections personnel and their IT teams will be better positioned to assess their current cybersecurity posture against common threats and identify additional actions that may be taken. このチェックリストは、潜在的なサイバーセキュリティインシデントへの備えに必要な意思決定を導くための一連の質問を提供している。これらの質問に回答することで、選挙関係者およびITチームは、一般的な脅威に対する現在のサイバーセキュリティ対策のアセスメントを行い、追加で実施すべき対策を識別するのに役立つ。
SECURITY CHECKLIST セキュリティチェックリスト
Protect and Respond: Phishing Attempts Targeting Your Email 防御と対応:電子メールを標的としたフィッシング攻撃
Have you enabled Multifactor Authentication (MFA) on all accounts? すべてのアカウントで多要素認証(MFA)を有効にしているか?
•   Turn on MFA for all accounts. • すべてのアカウントでMFAを有効にする。
•   Ensure each account has its own unique credentials and do not allow credential sharing. • 各アカウントに固有の認証情報を設定し、認証情報の共有を許可しない。
•   Apply the principle of least privilege by separating admin accounts and user accounts. • 管理アカウントとユーザーアカウントを分離することで、最小権限の原則を適用する。
•   Ensure everyone changes their default passwords and strong passwords are required for all • すべてのユーザーにデフォルトパスワードを変更させ、強力なパスワードを要求する
Have you enabled Domain-based Message Authentication Reporting and Conformance (DMARC) for all email accounts? すべてのメールアカウントで、ドメインベースメッセージ認証報告および準拠(DMARC)を有効にしているか?
•   Enable DMARC on all email accounts to make it easier for email senders and receivers to determine whether an email legitimately originated from the identified sender and provides the user with instructions for handling the email if it is fraudulent. • すべてのメールアカウントでDMARCを有効にすることで、メールの送信者と受信者が、識別された送信者から正規に送信されたメールであるかどうかを簡単に判断できるようになり、また、不正なメールの場合は、ユーザーにメールの処理方法を指示することができる。
Is email filtered to protect against malicious content? 悪意のあるコンテンツから防御するために、電子メールはフィルタリングされているか?
•   Implement flagging of external emails to alert users to use due care when opening. • 外部からの電子メールに警告を表示し、開封時には十分な注意を払うようユーザーに促す。
Does your elections staff only use official email accounts for official business? 選挙スタッフは公式の業務に公式の電子メールアカウントのみを使用しているか?
•   Train staff so they know to only use their official email accounts, which often include enhanced security features, for official business. • スタッフに、公式の業務には強化されたセキュリティ機能が備わっている公式の電子メールアカウントのみを使用するようトレーニングを行う。
•   Implement filters at the email gateway to filter out emails with known malicious indicators. • 電子メールゲートウェイにフィルタを導入し、既知の悪意のある兆候のある電子メールを排除する。
Have you trained your staff to spot and report phishing or other suspicious emails? スタッフにフィッシングやその他の疑わしい電子メールを見つけ報告するようトレーニングを行っているか?
•   Malicious actors are improving their techniques all the time, so training should be provided at regular intervals to educate staff about the latest tactics and how to respond to suspicious communications. Regularly review common signs of phishing so staff are familiar with what to look out for and how to report.  • 悪意のある行為者は常にそのテクニックを改善しているため、スタッフに最新の戦術や疑わしいコミュニケーションへの対応方法を教育するために、定期的にトレーニングを行うべきである。スタッフが注意すべき点や報告方法を理解できるよう、フィッシングの一般的な兆候を定期的に確認する。
Protect and Respond: Distributed Denial of Service (DDoS) Targeting Your Websites 防御と対応:ウェブサイトを標的とした分散型サービス拒否(DDoS)攻撃
Have you spoken with your website service and internet providers about preparation for and response to a DDoS incident? DDoSインシデントへの備えと対応について、ウェブサイトサービスプロバイダやインターネットプロバイダと話し合ったことはあるだろうか?
•   Review existing contracts and coordinate with both website service providers and internet service providers before an incident occurs. Understand the protections service providers may already have in place.  • インシデントが発生する前に、既存の契約を見直し、ウェブサイトサービスプロバイダとインターネットサービスプロバイダの両者と調整する。サービスプロバイダがすでに導入している保護対策について理解する。
•   Identify what additional DDoS mitigation and redundancy measures are available. Most major service providers have protections available, which may be offered at no cost for basic services, or at additional cost for advanced services. There are a number of no-cost DDoS prevention services available to election officials that can be found at: https://www.cisa.gov/topics/election-security/ protect-your-website  • どのような追加のDDoS低減および冗長化対策が利用可能かを識別する。ほとんどの主要なサービスプロバイダは、基本サービスには無料で、高度なサービスには追加料金で提供される保護対策を用意している。選挙管理官が利用できる無償のDDoS防御サービスは多数あり、https://www.cisa.gov/topics/election-security/protect-your-websiteで確認できる。
•   Ensure you know who to contact in event of an incident.  • インシデント発生時に連絡すべき担当者を把握しておく。
•   Share information about important election dates and locations, requesting that ample troubleshooting is available during key periods, and ensuring mutual awareness of any planned maintenance that could impact election operations.  重要な選挙日程と場所に関する情報を共有し、主要期間中は十分なトラブルシューティングが利用可能であることを求め、選挙運営に影響を与える可能性のある保守作業が計画されている場合は相互に認識できるようにする。
•   Ensure network traffic monitoring and analysis is enabled via a firewall or intrusion detection system and that the logs are being reviewed.  • ファイアウォールまたは侵入検知システムを介してネットワークトラフィックの監視と分析が有効化され、ログが確認されていることを確認する。
•   Have an alternate plan for information dissemination in case your website does go down. Make sure to test that plan.  • ウェブサイトがダウンした場合に備えて、情報配信の代替計画を用意する。その計画を必ずテストする。
Protect and Respond: Ransomware Targeting Your Nework 防御と対応: ネットワークを標的としたランサムウェア
Is the election network segmented from other business units by utilizing a firewall configured to only allow known communications? 選挙ネットワークは、既知のコミュニケーションのみを許可するように設定されたファイアウォールを利用して、他の事業部門から分離されているか?
•    Implement and enforce network segmentation. Proper network segmentation is an effective security mechanism to prevent an intruder from propagating exploits or moving laterally within an internal network. This includes not transferring election results on the business network.  ネットワークのセグメント化を実施し、徹底する。適切なネットワークのセグメント化は、侵入者がエクスプロイトを拡散したり、内部ネットワーク内で水平方向に移動したりするのを防ぐ効果的なセキュリティメカニズムである。これには、業務ネットワーク上で選挙結果を転送しないことも含まれる。
Is internal network traffic monitored for malicious traffic, using an endpoint detection and response (EDR) software or similar service? 内部ネットワークトラフィックは、エンドポイント検知および対応(EDR)ソフトウェアまたは類似のサービスを利用して、悪意のあるトラフィックを監視しているか?
•    Implement EDR software on endpoint devices. If you are a member of the Election Infrastructure Information and Analysis Center (EI-ISAC) you are eligible for no-cost commercial EDR solutions funded by CISA.  • エンドポイントデバイスにEDRソフトウェアを導入する。 選挙インフラ情報分析センター(EI-ISAC)のメンバーである場合、CISAが資金提供する無償の商用EDRソリューションを利用できる。
•    Verify alerts are being created and response process are followed.  • アラートが作成され、対応プロセスが実行されていることを確認する。
Is your network traffic protected from routing to known malicious sites? • ネットワークトラフィックが既知の悪質なサイトへのルーティングから防御されているか。
•    Implement Malicious Domain Blocking and Reporting (MDBR) across your network devices to prevent IT systems from connecting to harmful web domains. MDBR can block the vast majority  of ransomware infections just by preventing the initial outreach to a ransomware delivery domain. EI-ISAC members are eligible for no-cost commercial MDBR services funded by CISA.  • ネットワークデバイス全体に悪質なドメインのブロックと報告(MDBR)を導入し、ITシステムが有害なウェブドメインに接続しないようにする。MDBRは、ランサムウェア配信ドメインへの最初のアウトリーチを防止するだけで、ランサムウェア感染の大部分をブロックすることができる。EI-ISACのメンバーは、CISAが資金提供する無償の商用MDBRサービスを利用できる。
Do you have a cybersecurity incident response plan and have you practiced using it? サイバーセキュリティインシデント対応計画を策定し、その計画に基づく演習を行っているか?
•    Develop and maintain incident response plans that specifically detail how to operate mission-critical processes in the event of a cybersecurity incident.  • サイバーセキュリティインシデントが発生した場合に、どのようにしてミッションクリティカルなプロセスを運用するかを具体的に詳細に記述したインシデント対応計画を策定し、維持する。
•    Test your incident response plans with all key players who would be involved in implementing the response. You can leverage CISA resources like in-person or virtual tabletop exercises to help facilitate the training event (https://www.cisa.gov/topics/election-security/election-security-training).  • インシデント対応計画を、対応の実施に関与するすべての主要関係者を交えてテストする。CISAのリソースを活用し、対面式または仮想の机上訓練を実施して、訓練を円滑に進めることができる(https://www.cisa.gov/topics/election-security/election-security-training)。
Do you maintain offline encrypted backups of your critical systems and data for a minimum of 30 days? • 重要なシステムおよびデータのオフライン暗号化バックアップを最低30日間維持しているか。
•    Maintain backups that allow you to recover data at a minimum up to 30 days prior.  • 少なくとも30日以前のデータを復元できるバックアップを維持する。
•    Encrypt backup files and ensure credentials for accessing the backups are not stored in the targeted environment. Ransomware actors often hunt for and collect credentials stored in the targeted environment and use those credentials to attempt to access backup solutions; they also use publicly available exploits to target unpatched backup solutions.  • バックアップファイルを暗号化し、バックアップへのアクセスに必要な認証情報が標的環境に保存されないようにする。ランサムウェアの攻撃者は、標的環境に保存されている認証情報を探し出して収集し、それらの認証情報を使用してバックアップソリューションにアクセスしようとする場合が多い。また、パッチが適用されていないバックアップソリューションを標的にするために、一般に入手可能なエクスプロイトを使用することもある。
•    Ensure backups are maintained offline, as most ransomware actors attempt to find and subsequently delete or encrypt accessible backups to make restoration impossible unless the ransom is paid.  • ほとんどのランサムウェアの攻撃者は、身代金を支払わなければ復元が不可能になるように、アクセス可能なバックアップを見つけ出し、その後、削除または暗号化しようとするため、バックアップはオフラインで維持されていることを確認する。
Have you recently practiced restoring from your data backups? 最近、データバックアップからの復元を試したことがあるか?
•    Test the availability and integrity of backups in a disaster recovery scenario.  • 災害復旧シナリオにおいて、バックアップの可用性と整合性をテストする。
Protect and Respond: Known Exploited Vulnerabilities and Your Internet Facing Systems 防御と対応:既知の脆弱性とインターネットに面したシステム
Do you have cyber hygiene vulnerability scanning that identifies internet facing vulnerabilities? インターネットに面した脆弱性を識別するサイバー衛生脆弱性スキャンを行っているか?
•    Sign up for CISA cyber hygiene vulnerability scanning or an equivalent service that continuously monitors and assesses internet-accessible network assets (public, static IPv4 addresses) to evaluate their host and vulnerability status. CISA’s cyber hygiene vulnerability scanning service provides weekly reports of all findings and ad-hoc alerts about urgent findings, like potentially risky services and known exploited vulnerabilities.  • CISAのサイバー衛生脆弱性スキャン、またはインターネットにアクセス可能なネットワーク資産(パブリックで静的なIPv4アドレス)を継続的に監視およびアセスメントし、ホストと脆弱性の状態を評価する同等のサービスに申し込む。CISAのサイバー衛生脆弱性スキャンサービスでは、すべての調査結果をまとめた週次レポートと、潜在的に危険なサービスや既知の悪用された脆弱性など、緊急を要する調査結果に関する臨時のアラートが提供される。
•    Develop a patch management plan that (1) makes reducing the significant risk of known exploited vulnerabilities (KEVs) a top priority for remediation; and (2) requires critical vulnerabilities to be remediated within 15 calendar days of initial detection.  • (1) 既知の悪用された脆弱性(KEV)の重大なリスクを軽減することを最優先事項として、(2) 重大な脆弱性は検知後15暦日以内に修復することを義務付ける、パッチ管理計画を策定する。

 

 

物理セキュリティ編...

・[PDF] Physical Security Checklist for Election Offices

20240911-52127_20240911052101

 

Physical Security Checklist for Election Offices 選挙事務所のための物理的セキュリティ・チェックリスト
INTRODUCTION  序文
Ensuring a secure and resilient election process is a vital national interest and one of the highest priorities for the Cybersecurity and Infrastructure Security Agency (CISA). CISA is committed to working collaboratively with election officials and election technology and service providers to manage risks to the nation’s election infrastructure. As part of the comprehensive suite of resources available to election officials, this checklist is a tool to quickly review existing practices and take steps to enhance physical security and operational resilience in preparation for election day. 安全でレジリエントな選挙プロセスの確保は、国家にとって重要な関心事であり、サイバーセキュリティ・インフラセキュリティ庁(CISA)にとって最優先事項のひとつである。CISAは、選挙関係者および選挙テクノロジー・サービス・プロバイダと協力し、米国の選挙インフラに対するリスクを管理することに尽力している。選挙管理担当者が利用できる包括的なリソース一式の一部として、このチェックリストは、既存の慣行を迅速に確認し、選挙当日に備えて物理的セキュリティと運用上のレジリエンスを強化するための手段となる。
HOW TO USE THIS RESOURCE  このリソースの使用方法 
This checklist provides a series of questions designed to help election officials identify areas to enhance physical security at election infrastructure facilities and take action to implement low- or no-cost options in the short term. このチェックリストは、選挙管理担当者が選挙インフラ施設の物理的セキュリティを強化すべき領域を識別し、短期間で低コストまたは無償のオプションを実施するための行動を取るのに役立つ一連の質問を提供している。
SECURITY CHECKLIST  セキュリティチェックリスト
Plan and Prepare 計画と準備
Have you established a Facility Security Plan for your office that addresses key tasks for maintaining office security? 事務所のセキュリティを維持するための主要なタスクを網羅した施設セキュリティ計画を策定しているか?
•    Implement policies for securing exterior doors and windows, securing sensitive areas within the facility, utilization of a facility alarm system (if installed), and observation of parking areas for unattended vehicles or suspicious activity.  • 外部ドアと窓の安全確保、施設内の機密エリアの安全確保、施設警報システムの利用(設置されている場合)、無人の車両や不審な行動がないか駐車場の監視に関する方針を実施する。
•    Institute procedures to monitor the parking area and policies to act on unauthorized vehicles.  • 駐車場を監視する手順と、許可のない車両への対応方針を策定する。
•    Implement a “If You See Something, Say Something ®” public awareness campaign. This can be as simple as posting signs with contact information for the public to report incidents to.  • 「If You See Something, Say Something ®(不審なものを見かけたら、知らせよう)」という一般市民への啓発キャンペーンを実施する。これは、一般市民がインシデントを通報するための連絡先を記載した標識を掲示するといった簡単な方法で実施できる。
•    Institute access control policies/procedures for personnel, volunteers, and the public to permit only authorized access to sensitive locations. Establish a strong key control accountability system and restrict key duplication.  • 機密性の高い場所へのアクセスは認可されたもののみに限定するため、職員、ボランティア、一般市民向けのアクセス管理方針/手順を確立する。強力な鍵管理責任体制を確立し、鍵の複製を制限する。
•    Practice your incident response and continuity of operations plans to familiarize personnel with their responsibilities. This can also help identify gaps in the plans so they can be addressed before an incident occurs.  • 職員が各自の責任に精通できるよう、インシデント対応および業務継続計画を実践する。これにより、計画のギャップを特定し、インシデントが発生する前にそれに対処できるようになる。
Have you developed other plans to support secure and resilient election operations? 安全でレジリエントな選挙運営をサポートする他の計画を策定したか?
•    Establish an Incident Response Plan that identifies security responsibilities, emergency contacts, and response procedures. Your Incident Response Plan should also include an Incident Response Communications Playbook that helps navigate how to communicate clearly and transparently with voters and the public if an incident occurs, and what steps have been taken to ensure a safe and secure elections process.  • セキュリティ上の責任、緊急連絡先、対応手順を特定するインシデント対応計画を策定する。インシデント対応計画には、インシデントが発生した場合に有権者および一般市民と明確かつ透明性のあるコミュニケーションを行う方法、および安全でセキュアな選挙プロセスを確保するためにどのような措置が講じられたかを説明するインシデント対応コミュニケーション・プレイブックも含めるべきである。
•   Establish a Continuity of Operations Plan to ensure that essential election functions can continue if disruptions to operations occur. This could include planning for backup power solutions for polling locations or election offices or identifying alternative sites to continue operations if a facility is inaccessible or unusable. • 業務継続計画を策定し、業務に支障が生じた場合でも、選挙の重要な機能が継続できるようにする。これには、投票所や選挙事務所のバックアップ電源ソリューションの計画や、施設がアクセス不能または使用不能となった場合に業務を継続するための代替施設の識別などが含まれる。
Have you established procedures for handling suspicious mail/packages, to include potential bomb threats? 不審な郵便物/荷物、および爆弾の脅威の可能性を処理するための手順を策定しているか?
•    Prepare an area for safe mail handling with direct access to the outside of the building or in a location with doors that can be closed.  • 建物の外に直接アクセスできる場所、またはドアを閉めることができる場所に、安全な郵便物取扱エリアを準備する。
•    Have personal protective equipment available for staff handling mail and easy access to water.  • 郵便物を扱うスタッフが利用できる個人用保護具を用意し、水が簡単に利用できるようにしておく。
•    For additional information check-out the joint CISA, Federal Bureau of Investigation, U.S. Election Assistance Commission, and U.S. Postal Inspection Service Election Mail Handling Procedures to Protect Against Hazardous Materials and CISA’s Bomb Threat Guide and the Bomb Threat Checklist.  • 追加情報については、CISA、連邦捜査局、米国選挙支援委員会、および米国郵便検査局の共同作成による「危険物防御のための選挙郵便物取扱手順」および「CISAの爆弾脅威ガイド」および「爆弾脅威チェックリスト」を参照のこと。
Have you coordinated with emergency responders in your jurisdiction? 管轄内の緊急対応要員と調整を行ったか?
•    Talk through your Facility Security and Incident Response Plans with emergency responders ahead of time so they can understand your organization’s posture before they arrive on scene during an incident.  • 緊急対応要員に、インシデント発生時に現場に到着する前に貴組織の対応体制を理解してもらえるよう、事前に施設セキュリティ計画およびインシデント対応計画について説明しておく。
•    Provide emergency responders with a list and/or map of election infrastructure locations, to include temporary voting locations. Review facility floorplans and evacuation routes.  • 臨時投票所を含む選挙インフラの所在地リストおよび/または地図を緊急対応要員に提供する。施設のフロアプランおよび避難経路を確認する。
•    Work with emergency responders to see if they have emergency radios for use during election operations and times of increased threat.  緊急対応要員と協力し、選挙運営中や脅威が高まった際に使用する緊急無線機を確保する。
Have you worked with emergency responders to mitigate potential risks from hoax incidents like swatting or fake bomb threats targeting election facilities during voting period? 投票期間中に選挙施設を狙ったスワッティングや偽の爆破予告などのいたずら事件による潜在的なリスクを低減するために、緊急対応要員と協力したことはあるか?
•    Ensure your local public safety 9-1-1 computer dispatch system has election locations, including temporary locations, identified so the system alerts emergency responders that the incident location may be a target for hoax calls to disrupt election operations.  地元の公共安全9-1-1コンピュータ配車システムが、臨時施設を含む選挙会場を識別し、選挙運営を妨害するいたずら電話の標的となる可能性があることを緊急対応要員に警告するよう、システムを確実に設定する。
Do you have mechanisms in place to facilitate receiving and sharing threat information? 脅威情報の受信と共有を促進する仕組みを導入しているか?
•    Join threat information sharing platforms like the Election Infrastructure-Information Sharing and Analysis Center.  • 選挙インフラ情報共有分析センター(EISAC)のような脅威情報共有プラットフォームに参加する。
•    Engage and share information with the Fusion Centers that cover your jurisdiction.  • 管轄区域をカバーするフュージョン・センターと連携し、情報を共有する。
•    Work with your neighbors (owners/operators of neighboring offices or buildings) to share knowledge of threats and security concerns and encourage them to report security incidents to appropriate authorities. If possible, consider sharing security camera feeds/footage with each other.  • 近隣の事業所や建物の所有者/運営者と協力し、脅威やセキュリティ上の懸念に関する知識を共有し、セキュリティ・インシデントを適切な当局に報告するよう促す。可能であれば、互いに防犯カメラの映像を共有することを検討する。
Implement 実施
Do you conduct spot-checks both during and after business hours to make sure security procedures are being implemented as intended?  セキュリティ手順が意図した通りに実施されていることを確認するために、営業時間中および営業時間後に抜き打ち検査を行っているか?
Are points of entry and sensitive locations or assets monitored by security cameras and/or intrusion detection systems? 出入り口および機密性の高い場所や資産は、防犯カメラおよび/または侵入検知システムで監視されているか?
•    Consider implementing video security monitoring and alert systems that cover, at a minimum, points of entry and storage locations for sensitive assets such as ballots and election equipment.  • 少なくとも出入り口および投票用紙や選挙機器などの機密資産の保管場所をカバーするビデオセキュリティ監視および警報システムの導入を検討する。
•    If professional-grade commercial security solutions exceed available resources, consider lower cost, commercially available options such as home security solutions that include video cameras with motion detection capability, email/text alert functions, and intrusion detection sensors for doors and windows.  • プロ仕様の商業用セキュリティソリューションが利用可能なリソースを超える場合は、低コストで市販されているオプション、例えば、動きを検知する機能付きのビデオカメラ、電子メール/テキストによるアラート機能、ドアや窓用の侵入検知センサーなどを備えたホームセキュリティソリューションを検討する。
Are fixed and/or portable “panic buttons” in use? 固定式および/または携帯用の「非常ボタン」は使用されているか?
•    Many professional grade security systems include options for fixed and portable duress alarms or “panic buttons” that integrate into a facility’s broader security system.  • 多くのプロ仕様のセキュリティシステムには、施設のより広範なセキュリティシステムに統合できる固定式および携帯用の強要アラームまたは「非常ボタン」のオプションが含まれている。
•    If professional-grade commercial security solutions exceed available resources, there are low-cost commercially available portable “panic buttons” that can be programmed to contact local law enforcement and come in form factors like key fobs.  プロ仕様の商業用セキュリティソリューションが利用可能なリソースを超える場合、ローカルの法執行機関に連絡するようプログラムすることができ、キーフォブのような形状の、低コストで市販されている携帯用「非常ボタン」がある。
Are procedures in place to control visitor entry? 来訪者の入館を制御する手順が確立されているか?
•    Ensure the Facility Security Plan enacts procedures for full accountability of visitors (ex., implementing sign-in/sign-out procedures).  施設セキュリティ計画が来訪者の完全な説明責任を果たすための手順を定めていることを確認する(例:入館/退館手続きを実施する)。
•    Prevent visitors from entering through unauthorized entry points (ex., make sure all other doors are locked other than the public entrance).  • 許可されていない入口から訪問者が入るのを防ぐ(例:公共の入口以外のすべてのドアがロックされていることを確認する)。
•    Implement mechanisms to inform other employees of the presence of visitors inside the facility. For offices where continued monitoring of visitor entry locations is challenging, consider hanging a bell on the door or installing some form of motion or business doorbell sensor that alerts when a door opens.  • 施設内に訪問者がいることを他の従業員に知らせる仕組みを導入する。訪問者の入館場所を継続的に監視することが難しいオフィスでは、ドアにベルを設置したり、ドアの開閉を感知するモーションセンサーや業務用ドアベルセンサーを設置することを検討する。
Do ground floor windows and large glass entry doors have privacy measures installed? 1階の窓や大型のガラス製入口ドアにプライバシー対策が施されているか。
•    Install contact or privacy film on ground floor glass doors and windows if they do not have other features to obscure outside visibility. Contact or privacy film can be purchased from your local hardware store and some types can provide some shatter resistance.  • 1階のガラスドアや窓に、外部からの視界を遮る他の機能がない場合は、接触フィルムまたはプライバシーフィルムを貼る。接触フィルムやプライバシーフィルムは、地元のホームセンターで購入でき、一部のタイプは耐衝撃性もある。
•    If altering building windows is not possible, then apply window treatments or curtains that can be easily adjusted to obscure visual observation into the office.  • 建物の窓の改修が不可能な場合は、オフィス内への視線を遮るために、簡単に調整できるウィンドウトリートメントやカーテンを設置する。
•    If allowable, consider prohibiting parking next to the election office building during election operations and times of increased threat.  • 許可される場合は、選挙活動中や脅威が高まる時間帯には、選挙事務所ビルの隣に駐車することを禁止することを検討する。
Are physical barriers present in front of entrances to mitigate high-speed avenues of approach or unimpeded straight-line paths for vehicles? 車両の高速接近経路や障害物のない直線経路を低減するために、入口前に物理的障壁を設置しているか?
•    nstall security bollards (typically made from metal or cement) in front of facility locations to help protect pedestrians and prevent accidental or deliberate vehicular damage.  施設入口前にセキュリティ用ポール(通常は金属製またはセメント製)を設置し、歩行者の防御と、車両による事故または故意の損害を防止する。
•    If permanent solutions like bollards exceed resourcing, contact your transportation department for possible temporary barriers that may be available. Another alternative could be filling extra-large exterior planters to use as a barrier.  ポールのような恒久的な解決策が予算を超える場合は、利用可能な一時的な障壁について交通局に問い合わせる。別の代替案としては、特大の屋外プランターに水を入れ、バリケードとして使用することも考えられる。
Are fire extinguishers pre-positioned in sensitive locations? 消火器は、重要な場所にあらかじめ配置されているか?
•    Install a fire extinguisher in each room where ballots, election equipment, and election supplies are stored.  • 投票用紙、選挙機器、選挙用品が保管されている各部屋に消火器を設置する。
•    Ensure there is a fire extinguisher in each polling place.  • 投票所ごとに消火器が確実に用意されていることを確認する。
Are ballot drop boxes located in well lit, continuously monitored areas? 投票用紙の回収ボックスは、明るく、常時監視されている場所に設置されているか?
•    Place drop boxes in locations that provide good lighting, allow for continuous video surveillance, and are observable by facility staff.  • 投函ボックスは、照明が十分で、ビデオによる継続的な監視が可能であり、施設スタッフが監視できる場所に設置する。 
Report  報告 
Know how to report cyber or physical security incidents to relevant state and local authorities, CISA, and other federal partners. サイバーセキュリティまたは物理的なセキュリティインシデントを、該当する州および地方当局、CISA、およびその他の連邦パートナーに報告する方法を知っておく。
•    Take advantage of CISA’s Last Mile initiative to document reporting guidance  • CISAのラストマイルイニシアティブを活用し、報告に関する指針を文書化する 
•    Print out CISA’s 2024 General Election Cycle: Voluntary Incident Reporting Guidance for Election Infrastructure Stakeholders  • CISAの「2024年一般選挙サイクル:選挙インフラ関係者向け自主的なインシデント報告に関する指針」を印刷する 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.19 米国 FBI CISA 知っておいてください: 投票期間中のランサムウェアによる混乱は、投開票プロセスのセキュリティや正確性には影響ありません!

・2024.07.09 米国 CISA 選挙関係者のための運用セキュリティガイド

・2024.06.20 米国 サイバーセキュリティ・インフラセキュリティ庁(CISA)と米国選挙支援委員会(EAC)が選挙セキュリティについてのガイドを発表 (2024.06.17)

・2024.04.22 米国 CISA FBI ODNI 外国の悪質な影響力工作の手口から選挙インフラを守るためのガイダンス

・2022.08.27 米国 サイバー司令部:米サイバー軍とNSAは中間選挙をどう守るか。一つのチーム、一つの戦い

・2021.03.30 NISTIR 8310 (Draft) サイバーセキュリティフレームワーク(CSF) 選挙インフラのプロファイル

 

| | Comments (0)

2024.09.10

米国 GAO 連邦政府システム統制監査マニュアルの15年ぶりの改訂 (2024.09.05)

こんにちは、丸山満彦です。

GAOは今年の2月に監査基準(イエローブック)も改訂したのですが、システム統制監査マニュアルも15年ぶりに改訂しましたね...500ページを超える対策です...

セキュリティも重要ですが、セキュリティも含めて考慮するシステム統制はより重要ですね...SAP導入トラブルとかもあるし...

日本の会計検査院ももっとシステム監査をすればよいのにね...業務監査イコールほぼシステム監査になってきますよ... これから...

 

● GAO

・2024.09.05 Federal Information System Controls Audit Manual (FISCAM) 2024 Revision

Federal Information System Controls Audit Manual (FISCAM) 2024 Revision 連邦情報システム統制監査マニュアル(FISCAM)2024年改訂版
GAO-24-107026 GAO-24-107026
Fast Facts ファスト・ファクト
Given the extensive use of information systems in government operations, it is essential that federal agencies have effective controls over these systems. 政府業務における情報システムの広範な利用を踏まえ、連邦政府機関がこれらのシステムに対して効果的な管理を行うことが不可欠である。
The Federal Information System Controls Audit Manual (FISCAM) provides auditors a methodology and framework for assessing the design, implementation, and operating effectiveness of these controls in accordance with the Yellow Book. 連邦情報システム管理監査マニュアル(FISCAM)は、監査人に、イエローブックに準拠したこれらの管理の設計、実装、運用効果のアセスメントのための方法論と枠組みを提供する。
This September 2024 revision replaces the 2009 version of FISCAM. This update reflects changes in auditing standards, guidance, control criteria, and technology. 2024年9月の改訂版は、2009年版のFISCAMに代わるものである。今回の更新は、監査標準、指針、管理規準、およびテクノロジーの変化を反映したものである。
Highlights ハイライト
GAO maintains the Federal Information System Controls Audit Manual (FISCAM). The 2024 revision of FISCAM has gone through an extensive deliberative process, including focus groups; interviews with internal and external officials, stakeholders, and users; and the collection and incorporation of public comments. The views of all parties were thoroughly considered in finalizing the 2024 revision of FISCAM. GAOは連邦情報システム管理監査マニュアル(FISCAM)を維持する。FISCAMの2024年改訂版は、フォーカスグループ、内部および外部の当局者、利害関係者、およびユーザーとのインタビュー、および一般からのコメントの収集と組み込みを含む広範な審議プロセスを経てきた。2024年改訂版FISCAMの最終化にあたっては、すべての関係者の意見が十分に考慮された。

 

・[PDF] Federal Information System Controls Audit Manual

20240910-42113

・[DOCX][PDF] 仮訳...

 

目次...

Foreword まえがき
100 Introduction 100 序文
110 Overview of FISCAM 110 FISCAMの概要
120 Fundamental IS Control Concepts 120 ISコントロールの基本概念
130 Applicable Auditing and Attestation Standards and Requirements 130 適用される監査基準および監査要求事項
140 Applicable Criteria 140 適用規準
200 Planning Phase 200 計画フェーズ
210 Overview of the Planning Phase 210 計画フェーズの概要
220 Perform Preliminary Engagement Activities 220 予備的な関与活動を行う
230 Understand the Entity’s Operations 230 事業体を理解する
240 Understand the Entity’s Information Security Management Program 240 事業体の情報セキュリティ管理プログラムを理解する
250 Define the Scope of the IS Controls Assessment 250 IS統制アセスメントの範囲を定義する
260 Assess IS Control Risk on a Preliminary Basis 260 IS統制リスクを予備的にアセスメントする。
270 Identify Relevant General Control Objectives and Determine Likelihood of Effective General Controls 270 関連する全般統制目標を識別し、全般統制が有効である可能性を判断する。
280 Prepare Planning Phase Documentation 280 計画フェーズの文書作成
300 Testing Phase 300 検証フェーズ
310 Overview of the Testing Phase 310 検証フェーズの概要
320 Identify Relevant IS Controls 320 関連する IS 統制を識別する
330 Determine the Nature, Timing, and Extent of IS Control Tests 330 IS統制テストの性質、タイミング、および範囲を決定する。
340 Perform IS Control Tests and Evaluate the Results, Including the Significance of IS Control Deficiencies 340 IS統制テストを実施し、IS統制の不備の重大性を含め、その結果を評価する。
350 Prepare Testing Phase Documentation 350 検証フェーズの文書作成
400 Reporting Phase 400 報告フェーズ
410 Overview of the Reporting Phase 410 報告フェーズの概要
420 Determine Compliance with FISCAM 420 FISCAMへの準拠を決定する
430 Draft Report 430 ドラフトレポート
440 Prepare Reporting Phase Documentation 440 報告フェーズの文書作成
500 FISCAM Framework 500 FISCAMフレームワーク
510 Overview of the FISCAM Framework 510 FISCAMフレームワークの概要
520 FISCAM Framework for Business Process Controls 520 ビジネス・プロセス・コントロールのためのFISCAMフレームワーク
530 FISCAM Framework for Security Management 530 セキュリティ管理のためのFISCAMフレームワーク
540 FISCAM Framework for Access Controls 540 アクセス管理のためのFISCAMフレームワーク
550 FISCAM Framework for Segregation of Duties 550 職務分離のためのFISCAMフレームワーク
560 FISCAM Framework for Configuration Management 560 構成管理のためのFISCAMフレームワーク
570 FISCAM Framework for Contingency Planning 570 コンティンジェンシープランニングのためのFISCAMフレームワーク
Appendix 600A Glossary 附属書 600A 用語集
Appendix 600B FISCAM Assessment Completion Checklist 附属書 600B FISCAMアセスメント完了チェックリスト
Appendix 600C FISCAM Security Management Questionnaire 附属書 600C FISCAM セキュリティ管理質問票

 

まえがき...

Foreword まえがき
Given the extensive use of information systems in government operations, information system controls are integral to an entity’s internal control system—a continuous built-in component of operations, effected by people, that provides reasonable assurance, not absolute assurance, that an entity’s objectives will be achieved. An information system controls assessment is an essential component of an auditor’s examination of an entity’s internal control system. The Federal Information System Controls Audit Manual (FISCAM) presents a methodology for assessing information system controls.  情報システム統制は、事業体の内部統制システムに不可欠なものであり、事業体の目的が達成されるという絶対的な保証ではなく、合理的な保証を提供する、人による継続的な業務の組み込み要素である。情報システムコントロールのアセスメントは、監査人による事業体の内部統制システムの検査の必須事業体である。連邦情報システム統制監査マニュアル(FISCAM)は、情報システム統制を評価するための手法を提示している。 
The 2024 revision of FISCAM contains major changes from, and supersedes, the 2009 revision. Major changes are summarized below.  FISCAMの2024年改訂版は、2009年改訂版からの主な変更点を含み、2009年改訂版に取って代わるものである。主な変更点は以下の通りである。 
• All sections are presented in a reorganized format that differentiates between introductory material; the information system controls assessment methodology; the information system controls framework, which is integral to the methodology; and other supplementary material.  • すべてのセクションは、序論、情報システムコントロールのアセスメント方法論、方法論に不可欠な情報システムコントロールのフレームワーク、およびその他の補足資料を区別するために再構成された形式で提示されている。 
• The methodology and framework are updated to reflect changes in relevant auditing standards, guidance, control criteria, and technology since the last revision.  • この方法論と枠組みは、前回の改訂以降の関連する監査標準、ガイダンス、統制規準、技術の変化を反映し、更新されている。 
• The introduction is revised to clarify the manual’s purpose and applicability, as well as information system control concepts that are foundational to using the methodology and framework. This includes the addition of figures to assist the auditor in understanding certain concepts.  • 序文は、マニュアルの目的と適用可能性、及び方法論とフレームワークを使用する上で基礎となる情報システムコントロールの概念を明確にするために改訂された。これには、監査人が特定の概念を理解するための図表の追加も含まれている。 
• The planning phase of the methodology is expanded to provide additional guidance on defining the scope of the information system controls assessment, which includes identifying and obtaining an understanding of significant business processes, business process controls, and areas of audit interest. The planning phase is also expanded to clarify the auditor’s responsibilities for assessing information system control risk, identifying relevant control objectives, and determining the likelihood of effective general controls in planning further audit procedures.  • この方法論の計画フェーズは、重要なビジネスプロセス、ビジネスプロセス・コントロール及び監査上の関心領域を識別し、理解することを含む、情報システム・コントロールのアセスメントの範囲を定義するための追加的な指針を提供するために拡大されている。また、計画フェーズを拡大し、更なる監査手続の計画において、情報システム統制リスクのアセスメント、関連する統制目標の識別、及び全般統制が有効である可能性の判断に関する監査人の責任を明確にしている。 
• The testing phase of the methodology is expanded to provide additional guidance on the nature, timing, and extent of information system controls testing and on evaluating the significance of any information system control deficiencies identified and their effect on information system control risk.  • 方法論の検証フェーズは、情報システム統制テストの性質、時期及び範囲、並びに識別された情報システム統制の欠陥の重要性及び情報システム統制リスクへの影響の評価に関する追加ガイダンスを提供するために拡大されている。 
• The reporting phase of the methodology is expanded to provide additional guidance on determining compliance with the methodology and reporting on the results of the information system controls assessment.  • 方法論の報告フェーズが拡大され、方法論への準拠を決定し、情報システム統制アセスメントの結果を報告するための追加ガイダンスが提供される。 
• The framework is simplified through combining of the general and application security control categories in the 2009 FISCAM into five general control categories: (1) security management, (2) access controls, (3) segregation of duties, (4) configuration management, and (5) contingency planning. In addition, the business process, interface, and data management system controls, as well as certain application security control considerations, are reorganized and collectively renamed business process controls.  • この枠組みは、2009年版FISCAMの全般統制及びアプリケーション・セキュリティ統制のカテゴリーを、(1)セキュリティ管理、(2)アクセス管理、(3)職務分掌、(4)構成管理、(5)危機管理計画の5つの全般統制のカテゴリーに統合することにより簡素化されている。加えて、ビジネスプロセス、インターフェイス、及びデータ管理システムの管理、並びに特定のアプリケーションセキュリティ管理の考慮事項が再編成され、まとめてビジネスプロセス管理という名称に変更された。 
• The framework is revised to align with the principles and attributes in the Standards for Internal Control in the Federal Government (known as the Green Book).  • このフレームワークは、連邦政府内部統制標準(通称グリーンブック)の原則と属性に沿うように改訂されている。 
• The appendixes are updated to provide supplementary guidance to assist the auditor in applying the methodology and framework.  • 附属書は、監査人が方法論とフレームワークを適用する際の助けとなる補足ガイダンスを提供するために更新された。 
This revision of FISCAM has gone through an extensive deliberative process, including focus groups; interviews with internal and external officials, stakeholders, and users; and the collection and incorporation of public comments. The views of all parties were thoroughly considered in finalizing the 2024 revision of FISCAM.  このFISCAMの改訂は、フォーカスグループ、内外の関係者、利害関係者、ユーザーとの面談、パブリックコメントの収集と反映など、広範な審議プロセスを経て行われた。すべての関係者の意見は、FISCAMの2024年改訂版の最終決定において徹底的に考慮された。 
The 2024 revision of FISCAM is effective for engagements beginning on or after October 1, 2024.  FISCAMの2024年改訂版は、2024年10月1日以降に開始する契約から適用される。 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.03 米国 GAO 監査基準書 (イエローブック)2024年版

 

| | Comments (0)

米国 FFIEC サイバーセキュリティアセスメントツール(CAT)は2025.08.31で終了 (2024.08.29)

こんにちは、丸山満彦です。

連邦金融機関検査協議会 ( Federal Financial Institutions Examination Council; FFEIC) は、2015年より10年近くの長きにわたり金融業界でも使われてきた(ただ、ちょっと改訂がとまっていましたね...)FFEIC CATを2025.08.31をもって終了すると発表していますね...

CAT終了に関する声明...

Federal Financial Institutions Examination Council; FFIEC

・2024.08.29 Cybersecurity Assessment Tool Sunset

声明...

・[PDF]

20240909-122432

 

CAT Sunset Statement   CAT 終了に関する声明 
The Federal Financial Institutions Examination Council (FFIEC),  on behalf of its members, is issuing this statement to communicate the agencies will sunset the Cybersecurity Assessment Tool (CAT)2 on August 31, 2025.    連邦金融機関検査協議会(FFIEC)は、加盟機関を代表して、サイバーセキュリティ評価ツール(CAT)2を2025年8月31日に終了することを発表する。  
The CAT was released in June 2015 as a voluntary assessment tool to help financial institutions identify their risks and determine their cybersecurity preparedness.  While the fundamental security controls addressed throughout the maturity levels of the CAT are sound, several new and updated government and industry resources are available that financial institutions can leverage to better manage cybersecurity risks.    CATは、金融機関が自社のリスクを識別し、サイバーセキュリティ対策を決定するのを支援する自主的なアセスメントツールとして、2015年6月にリリースされた。CATの成熟度レベル全体で取り上げられている基本的なセキュリティ制御は妥当であるが、金融機関がサイバーセキュリティリスクをより適切に管理するために活用できる、政府および業界による新しいリソースや更新されたリソースがいくつか利用可能になっている。
The FFIEC will remove the CAT from the FFIEC website on August 31, 2025.  After much consideration, the FFIEC has determined not to update the CAT to reflect new government resources, including the National Institute of Standards and Technology (NIST) Cybersecurity Framework 2.0 and the  FFIECは、2025年8月31日にFFIECウェブサイトからCATを削除する。 FFIECは、多くの検討を重ねた結果、国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク2.0や、
Cybersecurity and Infrastructure Security Agency’s (CISA) Cybersecurity Performance Goals.  Supervised financial institutions can instead refer directly to these new government resources.  CISA released CrossSector Cybersecurity Performance Goals in 2023 and is preparing to release Cybersecurity Performance Goals for the Financial Sector later this year.  These resources were developed to help organizations of all sizes and sectors manage and reduce their cybersecurity risk in alignment with a whole-of-government approach to improve security and resilience.  The FFIEC will discuss these resources during a banker webinar this Fall.    サイバーセキュリティ・インフラセキュリティ庁(CISA)のサイバーセキュリティパフォーマンス目標など、新たな政府リソースを反映させるためにCATを更新しないことを決定した。監督下にある金融機関は、代わりにこれらの新たな政府リソースを直接参照することができる。CISAは2023年に「業種横断的サイバーセキュリティパフォーマンス目標)」を公表し、今年後半には「金融セクター向けサイバーセキュリティパフォーマンス目標)」を公表する予定である。 これらのリソースは、あらゆる規模や業種の組織が、政府全体のアプローチに沿ってサイバーセキュリティリスクを管理・軽減し、セキュリティとレジリエンシーを改善できるよう開発された。FFIECは、今秋に開催される銀行家向けウェビナーで、これらのリソースについて議論する予定である。 
Supervised financial institutions may also consider use of industry developed resources, such as the Cyber Risk Institute’s (CRI) Cyber Profile, and the Center for Internet Security Critical Security Controls.  These tools can be used in conjunction with other resources (e.g., frameworks, standards, guidelines, leading practices) to better address and inform management of continuously evolving cyber security risk.  Supervised financial institutions should ensure that any self-assessment tool(s) they utilize support an effective control environment and are commensurate with their risk.  監督下にある金融機関は、「サイバーリスク研究所 (CRI) 」の「サイバー・プロファイル」や「インターネットセキュリティセンター 重要なセキュリティ管理策」など、業界が開発したリソースの利用も検討すべきである。 これらのツールは、他のリソース(フレームワーク、標準、ガイドライン、ベストプラクティスなど)と併用することで、絶えず進化するサイバーセキュリティリスクへの対応と経営陣への情報提供をより効果的に行うことができる。監督下にある金融機関は、利用する自己アセスメントツールが効果的な制御環境をサポートし、自社のリスクに見合ったものであることを確認すべきである。
While the FFIEC does not endorse any particular tool, these standardized tools can assist financial institutions members take a risk-focused approach to examinations.  As cyber risk evolves, examiners may address areas not covered by all tools.  FFIECは特定のツールを推奨していないが、これらの標準化されたツールは、金融機関がリスクに焦点を当てたアプローチで検査を行うことを支援することができる。 サイバーリスクが進化するにつれ、すべてのツールでカバーされていない分野について検査官が対応することがある。 
Resources  リソース 
NIST Cybersecurity Framework 2.0  ・NIST サイバーセキュリティフレームワーク 2.0 
CISA Cybersecurity Performance Goals | CISA  ・CISA サイバーセキュリティパフォーマンス目標 
Cybersecurity Performance Goals: Sector-Specific Goals | CISA  ・CISA サイバーセキュリティパフォーマンス目標:セクター固有の目標 
Cyber Risk Institute Cyber Profile  ・サイバーリスク研究所 サイバープロファイル 
Center for Internet Security Controls ・インターネットセキュリティ管理センター

 

CATのページも終了のアナウンスが...

Cybersecurity Assessment Tool

現行の最新版は、2017年5月版...

・[PDF] User’s Guide 

・[PDF] Inherent Risk Profile 

・[PDF] Cybersecurity Maturity 

 

 


で、おそらく重要となる...

Cyber Risk Institute

CRI Profile v2.0

サイバーセキュリティフレームワーク (CSF) 2.0と構造は同じで、追加で、Extendedがありますね...

20240909-123747

 

EX EXTEND 拡張
EX.DD Procurement Planning and Due Diligence 調達計画およびデューデリジェンス
EX.DD-01 Procurement Planning 調達計画
EX.DD-02 Prospective Third Party Due Diligence 取引見込み先のサードパーティのデューデリジェンス
EX.DD-03 Technology & Cybersecurity Due Diligence 技術およびサイバーセキュリティのデューデリジェンス
EX.DD-04 Product & Service Due Diligence 製品およびサービスのデューデリジェンス
EX.CN Third-Party Contracts and Agreements サードパーティ契約および合意
EX.CN-01 Contract General Requirements 契約の一般要件
EX.CN-02 Contract Cybersecurity-Related Requirements 契約のサイバーセキュリティ関連要件
EX.MM Monitoring and Managing Suppliers サプライヤーのモニタリングおよび管理
EX.MM-01 Ongoing Third-Party Monitoring 継続的なサードパーティのモニタリング
EX.MM-02 Ongoing Third-Party Management 継続的なサードパーティの管理
EX.TR Relationship Termination 関係の終了
EX.TR-01 Termination Planning 終了計画
EX.TR-02 Termination Practices 終了の実施

 


 

Center for Internet Security

CIS Critical Security Controls

・[PDF] CIS Community Defense Model Version 2.0

20240909-125832

目次...

Executive Summary エグゼクティブサマリー
Results Summary 結果の概要
Overview 概要
What’s New in CDM v2.0 CDM v2.0の新機能
Glossary 用語集
Methodology 方法論
Security Function vs. Security Value 8 セキュリティ機能とセキュリティ価値 8
Overall Process 全体的なプロセス
ATT&CK Structure ATT&CKの構造
Mapping Relationships 関係性のマッピング
How to Use This Document この文書の使用方法
Security Function Analysis セキュリティ機能分析
ATT&CK Mitigations ATT&CK 低減策
ATT&CK (Sub-)Techniques ATT&CK(サブ)テクニック
CIS Safeguards CIS セーフガード
Data Source Analysis データソース分析
Data Types 18 データタイプ 18
Attack Type Data Sources 攻撃タイプ データソース
Top Attack Types 主な攻撃の種類
Attack Pattern Data Sources 攻撃パターン データソース
Security Value Analysis セキュリティ価値分析
Malware マルウェア
Ransomware ランサムウェア
Web Application Hacking ウェブアプリケーションハッキング
Insider and Privilege Misuse 内部関係者および特権の悪用
Targeted Intrusions 標的型侵入
Summary まとめ
Conclusion 結論
Closing Notes 結語
Future Work 今後の課題
Appendix A: Acronyms and Abbreviations
附属書A: 略語と略称
Appendix B: Links and Resource 附属書 B: リンクとリソース
Appendix C: Background 附属書 C: 背景
Appendix D: ATT&CK (Sub-)Techniques With No Mapping to CIS Safeguards 附属書D: CISセーフガードへのマッピングのないATT&CK(サブ)テクニック
Appendix E: ATT&CK (Sub-)Techniques With No Mapping to ATT&CK Mitigations 附属書 E: ATT&CK (Sub-)Techniques With No Mapping to ATT&CK Mitigations
Appendix F: Unmapped CIS Safeguards to ATT&CK Framework 附属書 F: ATT&CKフレームワークにマッピングされていないCISセキュリティ対策
Appendix G: ATT&CK Navigator Visualizations for Attack Patterns 附属書 G: ATT&CKナビゲーターによる攻撃パターンを視覚化
Malware マルウェア
Ransomware ランサムウェア
Web Application Hacking ウェブアプリケーションハッキング
Insider and Privilege Misuse 内部関係者および特権の悪用
Targeted Intrusions 標的型侵入
Appendix H: Unmapped ATT&CK (Sub-)Techniques to CIS Safeguards Within an Attack Pattern 附属書 H: 攻撃パターンにおけるCIS安全対策に対する未マッピングのATT&CK(サブ)テクニック
Appendix I: ATT&CK (Sub-)Techniques With No ATT&CK Mitigation Mapped Within an Attack Pattern 附属書 I: ATT&CK(サブ)テクニックで、攻撃パターン内にATT&CK低減策がマッピングされていないもの

 

 

| | Comments (0)

2024.09.09

中国 中国サイバーセキュリティ産業連盟 競争力のある企業トップ50、注目成長企業10、潜在スタートアップ企業10を公表...

こんにちは、丸山満彦です。

サイバーセキュリティ産業は安全保障にも関係してくる産業なので、主要国は人材育成、技術開発、その技術を活かした産業の育成に力をいれているように思います。

中国でも、中国サイバーセキュリティ産業連盟が優種技術開発賞を先月 (2024.08.22) 発表していましたが、こんどはマーケットで競争力のある企業50社と、注目成長企業10社、潜在スタートアップ10社を公表していますね...

参考になりますね...

 

中国网络安全产业联盟 : China Cybersecurity Industry Alliance

・2024.09.06 关于公布2024年中国网安产业竞争力50强、成长之星、潜力之星榜单的通知

21行目以下は力尽きてます...

序号 公司中文简称 公司中文全称   百度  wiki
1 奇安信 奇安信科技集团股份有限公司 QIANXIN W
2 启明星辰 启明星辰信息技术集团股份有限公司    
3 深信服 深信服科技股份有限公司    
4 华为 华为技术有限公司 Huawei W
5 天融信 天融信科技集团股份有限公司 TopSec  
6 新华三 新华三信息安全技术有限公司 H3C W
7 安恒信息 杭州安恒信息技术股份有限公司    
8 亚信安全 亚信安全科技股份有限公司    
9 绿盟科技 绿盟科技集团股份有限公司   W
10 三六零 三六零安全科技股份有限公司 360 W
11 电信安全 天翼安全科技有限公司    
12 电科网安 中电科网络安全科技股份有限公司 westone W
13 迪普科技 杭州迪普科技股份有限公司    
14 山石网科 北京山石网科信息技术有限公司 Hillstone  
15 中孚信息 中孚信息股份有限公司    
16 数字认证 北京数字认证股份有限公司    
17 长亭科技 北京长亭科技有限公司    
18 北信源 北京北信源软件股份有限公司 VRV  
19 信安世纪 北京信安世纪科技股份有限公司    
20 联通数科 联通数字科技有限公司    
21 交天 安天科技集团股份有限公司      
22 安博通 北京安博通科技股份有限公司      
23 观安信息 上海观安信息技术股份有限公司      
24 青藤云安全 北京升鑫网络科技有限公司      
25 永信至诚 永信至诚科技集团股份有限公司      
26 盛邦安全 远江盛邦(北京)网络安全科技股份有限公司      
27 威努特 北京威努特技术有限公司      
28 恒交嘉新 恒安嘉新(北京)科技股份公司      
29 格尔软件 格尔软件股份有限公司      
30 微步在线 北京微步在线科技有限公司      
31 长扬科技 长扬科技(北京)股份有限公司      
32 三未信安 三未信安科技股份有限公司      
33 吉大正元 长春吉大正元信息技术股份有限公司      
34 默安科技 杭州默安科技有限公司      
35 美创科技 杭州美创科技股份有限公司      
36 网宿科技 网宿科技股份有限公司      
37 明朝万达 北京明朝万达科技股份有限公司      
38 安华金和 北京安华金和科技有限公司      
39 天地和兴 北京天地和兴科技有限公司      
40 南瑞信通 南京南瑞信息通信科技有限公司      
41 国投智能 玉投智能(厦门)信息股份有限公司      
42 斗象科技 上海斗象信息科技有限公司      
43 联软科技 深圳市联软科技股份有限公司      
44 梆梆安全 北京梆梆安全科技有限公司      
45 任子行 任子行网络技术股份有限公司      
46 中睿天下 北京中睿天下信息技术有限公司      
47 瑞数信总 瑞数信息技术(上海)有限公司      
48 指掌易 北京指掌易科技有限公司      
49 珞安科技 北京珞安科技有限责任公司      
50 芯看时代 北京芯盾时代科技有限公司      

 

注目成長企業

序号 公司中文简称 公司中文全称 业务领域 事業分野
1 海云安 深圳海云安网络安全技术有限公司 开发安全/数据安全 開発セキュリティ / データ・セキュリティ
2 万物安全 深圳万物安全科技有限公司 物联网安全/网络资产测绘 IoTセキュリティ/サイバー資産マッピング
3 华云安 北京华云安信息技术有限公司 攻击面管理/威胁管理 アタック・サーフェス・マネジメント/脅威管理
4 六方云 北京六方云信息技术有限公司 工业互联网安全 インダストリアル・インターネット・セキュリティ
5 保旺达 江苏保旺达软件技术有限公司 数据安全/数据分类分级 データセキュリティ / データの分類と階層化
6 安芯网盾 安芯网 (北京)科技有限公司 内存安全/端点安全 メモリセキュリティ / エンドポイントセキュリティ
7 烽台科技 烽台科技(北京)有限公司 工控安全靶场/工控安全咨询 産業制御セキュリティ範囲 / 産業制御セキュリティコンサルティング
8 中信网安 福建中信网安信息科技有限公司 数据安全/安全服务 データセキュリティ/セキュリティサービス
9 赛宁网安 南京赛宁信息技术有限公司 网络靶场/攻防演练 ネットワーク範囲/攻撃と防御演習
10 小佑科技 北京小佬科技有限公司 云原生安全/容器安全 クラウドネイティブセキュリティ/コンテナセキュリティ

 

潜在スタートアップ

序号 公司中文简称 公司的中文全称 业务领域 事業分野
1 亿格云 杭州亿格云科技有限公司 SASE/零信任 SASE/ゼロ・トラスト
2 丈八网安 北京丈八网络安全科技有限公司 网络靶场/攻防演练 サイバーレンジ/攻防演習
3 知其安科技 北京知其安科技有限公司 安全有效性验证/BAS セキュリティ効果検証/BAS
4 数安行 北京数安行科技有限公司 数据安全/个人隐私保护 データセキュリティ/プライバシー保護
5 矢安科技 上海矢安科技有限公司 BAS/攻击面管理 BAS/アタックサーフェス管理
6 观成科技 北京观成科技有限公司 加密流量检测 暗号化トラフィックの検出
7 安全玻璃盒 杭州孝道科技有限公司 DevSecOps/软件供应链安全 DevSecOps/ソフトウェアサプライチェーンセキュリティ
8 软安科技 软安科技有限公司 软件供应链安全/开发安全 ソフトウェアサプライチェーンセキュリティ/開発セキュリティ
9 魔方安全 深圳市魔方安全科技有限公司 攻击面管理/漏洞管理 アタック・サーフェス・マネジメント / 脆弱性管理
10 齐安科技 浙江齐安信息科技有限公司 工业互联网安全 インダストリアル・インターネット・セキュリティ

 

1_20240822233001

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.23 中国 中国サイバーセキュリティ産業連盟 「2024 サイバーセキュリティ優秀技術賞」受賞者発表

 

| | Comments (0)

米国 国防総省 NSAのAI安全保障センター長の話...

こんにちは、丸山満彦です。

米国の国防総省NSAのAI安全保障センター長のワシントンで開催されたサイバーセキュリティのセミナーでの発言が公表されていましたので、参考まで...

議会向けですかね...

ちなみに、国防総省は、昨年11月に「データ・分析・AI導入戦略」を発表しています...

また、

AI安全保障センターの設立は昨年なのですが、初代センター長はポール・ナカソネ (Pau Nakasone) [wikipedia]さん。

 

U.S. Department of Defense

・2024.09.06 AI Security Center Keeps DOD at Cusp of Rapidly Emerging Technology

AI Security Center Keeps DOD at Cusp of Rapidly Emerging Technology AI安全保障センターが国防総省を急速に進歩する技術の最先端に維持する
The director of the National Security Agency said the agency's new Artificial Intelligence Security Center is paying dividends in the Defense Department's efforts to stay at the cutting edge of the rapidly advancing technology.   国家安全保障局の局長は、同局の新しい人工知能安全保障センターが、急速に進歩する技術の最先端に留まろうとする国防総省の努力に利益をもたらしていると語った。 
Air Force Gen. Timothy D. Haugh, who also serves as the commander of U.S. Cyber Command, said the security center has become vital as the agency continues to seek ways to leverage, adapt to and protect against AI technology.    米サイバー軍司令官を兼任するティモシー・D・ハウ空軍大将は、同局がAI技術を活用し、適応し、保護する方法を模索し続ける中で、安全保障センターは不可欠になっていると語った。   
"One area that we see as really being able to provide value is focusing on the security of that technology — thinking about it through both the lens of the protection of intellectual property but also how we think about defending those models to ensure that they're being used properly," Haugh said during an event yesterday at the Billington Cybersecurity Summit in Washington.   「我々が本当に価値を提供できると考えている分野のひとつは、その技術のセキュリティに焦点を当てることだ。知的財産の保護というレンズを通して考えるだけでなく、それらのモデルが適切に使用されていることを保証するために、それらのモデルを守ることをどう考えるかだ」と、昨日ワシントンで開催されたビリントン・サイバーセキュリティ・サミットでのイベントでハウ氏は語った。  
Haugh's predecessor, Army Gen. Paul M. Nakasone announced the creation of the center last year, consolidating the agency's various artificial intelligence, security-related activities.   ハウ氏の前任者であるポール・M・ナカソネ陸軍大将は昨年、同センターの設立を発表し、NSAのさまざまな人工知能やセキュリティ関連の活動を統合した。 
It serves as NSA's focal point for developing best practices, evaluation methodology and risk frameworks with the aim of promoting the secure adoption of new AI capabilities across the national security enterprise and the defense industrial base.   同センターは、ベストプラクティス、評価方法論、リスクフレームワークを開発するNSAの中心的な役割を果たし、国家安全保障企業や防衛産業基盤全体で新しいAI能力の安全な採用を促進することを目的としている。  
Haugh said NSA also plays a critical role in shaping the government's efforts to better understand the risk of AI in the hands of adversaries and defending against those risks.  ハフ氏によると、NSAはまた、AIが敵の手に渡るリスクをよりよく理解し、そのリスクから防衛するための政府の取り組みを形成する上で、重要な役割を担っているという。
U.S. officials have emphasized the increasing role AI is having in shaping the national security landscape, and they've taken steps to shape the future of the emerging technology.   米国政府関係者は、AIが国家安全保障の展望を形成する上で果たす役割が増大していることを強調し、この新たな技術の将来を形作るための措置を講じている。  
Last year, DOD released its strategy to accelerate the adoption of advanced AI capabilities to ensure U.S. warfighters maintain decision superiority on the battlefield for years to come.  国防総省は昨年、米国の戦闘員が今後何年にもわたって戦場での意思決定の優位性を維持できるよう、高度なAI能力の採用を加速させる戦略を発表した。
The Pentagon's 2023 Data, Analytics and Artificial Intelligence Adoption Strategy builds upon years of DOD leadership in the development of AI and further solidifies the United States' competitive advantage in fielding the emerging technology, defense officials said in releasing the blueprint.   国防総省の2023年データ・分析・人工知能導入戦略は、AIの開発における国防総省の長年のリーダーシップの上に構築され、新たな技術の導入における米国の競争上の優位性をさらに強固なものにする、と国防当局者は青写真の発表で述べた。 
In unveiling the strategy, Deputy Defense Secretary Kathleen Hicks also emphasized the Pentagon's commitment to safety and responsibility while forging the AI frontier.  The U.S. has also introduced a political declaration on the responsible military use of artificial intelligence, which further seeks to codify norms for the responsible use of the technology.   キャスリーン・ヒックス国防副長官は、この戦略を発表する中で、AIのフロンティアを開拓する一方で、国防総省が安全性と責任にコミットしていることも強調した。 米国はまた、人工知能の責任ある軍事利用に関する政治宣言を発表しており、人工知能の責任ある利用に関する規範を成文化しようとしている。  
Haugh said the agency also remains at the forefront in shaping DOD's use of the technology, with a keen focus on responsibility.    ハウ氏は、NSAは国防総省の技術利用を形成する最前線にあり続け、責任に重点を置いていると述べた。  
He added that NSA brings a unique perspective from within the U.S. government to responsibly shape the future of AI.    NSAは、AIの未来を責任を持って形成するために、米国政府内からユニークな視点をもたらすと付け加えた。  

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.29 米国 国防総省 AI導入戦略 (2023.11.02)

・[PDF] 2023 Data, Analytics and Artificial Intelligence Adoption Strategy

20231129-53122

 

Strateging Goal

DOD AI Hierarchy of Needs(国防総省のAIニーズの階層構造)

1_20231129060001

 

 

・2023.07.21 米国 国家情報長官室 情報コミュニティのデータ戦略 2023-2025

 

 

| | Comments (0)

2024.09.08

欧州評議会 AI条約の署名開始... (2024.09.05)

こんにちは、丸山満彦です。

AI評議会がEU以外も含めてAI条約を提案し、締結作業を始めていますね...

欧州連合と米国、イスラエルなどすでに署名している国もありますね。。。日本はこれから条文内容の最終確認をして、内部で手順を踏んで署名に向かうのでしょうかね...

 

Council of Europe

・2024.09.05 The Framework Convention on Artificial Intelligence

The Framework Convention on Artificial Intelligence 人工知能枠組み条約
The Council of Europe Framework Convention on Artificial Intelligence and human rights, democracy and the rule of law is the first-ever international legally binding treaty in this field. It aims to ensure that activities within the lifecycle of artificial intelligence systems are fully consistent with human rights, democracy and the rule of law, while being conducive to technological progress and innovation. 欧州評議会の「人工知能と人権、民主主義、法の支配に関する枠組み条約」は、この分野で初の国際的な法的拘束力のある条約である。同条約は、人工知能システムのライフサイクルにおける活動が、技術の進歩と革新に資するものであると同時に、人権、民主主義、法の支配に完全に合致したものであることを保証することを目的としている。
Framework Convention and its Explanatory Report 枠組み条約その解説書
The Framework Convention complements existing international standards on human rights, democracy and the rule of law, and aims to fill any legal gaps that may result from rapid technological advances. In order to stand the test of time, the Framework Convention does not regulate technology and is essentially technology-neutral. 枠組み条約は、人権、民主主義、法の支配に関する既存の国際基準を補完するものであり、急速な技術の進歩によって生じる可能性のある法的ギャップを埋めることを目的としている。時の試練に耐えるため、枠組み条約は技術を規制せず、基本的に技術に中立である。
 How was the Framework Convention elaborated?  枠組み条約はどのように作成されたのか?
Work was initiated in 2019, when the ad hoc Committee on Artificial Intelligence (CAHAI) was tasked with examining the feasibility of such an instrument. Following its mandate, it was succeeded in 2022 by the Committee on Artificial Intelligence (CAI) which drafted and negotiated the text. 作業は2019年に開始され、人工知能に関する特別委員会(CAHAI)がこのような制度の実現可能性を検討する任務を負った。その後、2022年に人工知能委員会(CAI)がその任務を引き継ぎ、条約の草案作成と交渉が行われた。
The Framework Convention was drafted by the 46 member states of the Council of Europe, with the participation of all observer states: Canada, Japan, Mexico, the Holy See and the United States of America, as well as the European Union, and a significant number of non-member states: Australia, Argentina, Costa Rica, Israel, Peru and Uruguay. 枠組み条約は、欧州評議会の46の加盟国によって起草され、すべてのオブザーバー国が参加した: カナダ、日本、メキシコ、ローマ教皇庁、アメリカ合衆国、欧州連合、そして多数の非加盟国が参加した: オーストラリア、アルゼンチン、コスタリカ、イスラエル、ペルー、ウルグアイである。
In line with the Council of Europe’s practice of multi-stakeholder engagement, 68 international representatives from civil society, academia and industry, as well as several other international organisations were also actively involved in the development of the Framework Convention. また、欧州評議会のマルチステークホルダー参画の慣行に従い、市民社会、学界、産業界から68名の国際的な代表者、その他いくつかの国際機関も枠組み条約の策定に積極的に関与した。
What does the Framework Convention require states to do?  枠組み条約は各国に何を求めているのか?
Fundamental principles 基本原則
Activities within the lifecycle of AI systems must comply with the following fundamental principles: AIシステムのライフサイクルにおける活動は、以下の基本原則に従わなければならない:
・Human dignity and individual autonomy ・人間の尊厳と個人の自律
・Equality and non-discrimination ・平等と非差別
・Respect for privacy and personal data protection ・プライバシーと個人情報保護の尊重
・Transparency and oversight ・透明性と監視
・Accountability and responsibility ・説明責任と責任
・Reliability ・信頼性
・Safe innovation ・安全な技術革新
Remedies, procedural rights and safeguards 救済措置、手続き上の権利、保護措置
・Document the relevant information regarding AI systems and their usage and to make it available to affected persons; ・AIシステムとその利用に関する関連情報を文書化し、影響を受ける人々が利用できるようにする;
・The information must be sufficient to enable people concerned to challenge the decision(s) made through the use of the system or based substantially on it, and to challenge the use of the system itself; ・その情報は、関係者がシステムの使用を通じて、あるいは実質的にシステムに基づいて下された決定に異議を唱えたり、システムの使用そのものに異議を唱えたりするのに十分なものでなければならない;
・Effective possibility to lodge a complaint to competent authorities; ・管轄当局に苦情を申し立てることができる;
・Provide effective procedural guarantees, safeguards and rights to affected persons in connection with the application of an artificial intelligence system where an artificial intelligence system significantly impacts upon the enjoyment of human rights and fundamental freedoms; ・人工知能システムが人権および基本的自由の享有に重大な影響を及ぼす場合、人工知能システムの適用に関連して、影響を受ける人に効果的な手続き上の保証、保護措置、権利を提供すること;
・Provision of notice that one is interacting with an artificial intelligence system and not with a human being. ・人工知能システムと相互作用しているのであって、人間と相互作用しているのではないことを通知すること。
Risk and impact management requirements リスクおよび影響管理の要件
・Carry out risk and impact assessments in respect of actual and potential impacts on human rights, democracy and the rule of law, in an iterative manner; ・人権、民主主義、法の支配に対する実際および潜在的な影響に関して、リスクと影響の評価を反復的に実施すること;
・Establishment of sufficient prevention and mitigation measures as a result of the implementation of these assessments; ・これらの評価を実施した結果、十分な予防策と緩和策を確立すること;
・Possibility for the authorities to introduce ban or moratoria on certain application of AI systems (“red lines”). ・AIシステムの特定の適用について、当局が禁止またはモラトリア(「レッドライン」)を導入する可能性。
Who is covered by the Framework Convention? 枠組み条約の対象となるのは誰か?
The Framework Convention covers the use of AI systems by public authorities – including private actors acting on their behalf – and private actors. 枠組み条約は、公的機関(それを代行する民間団体を含む)と民間団体によるAIシステムの使用を対象としている。
The Convention offers Parties two modalities to comply with its principles and obligations when regulating the private sector: Parties may opt to be directly obliged by the relevant Convention provisions or, as an alternative, take other measures to comply with the treaty’s provisions while fully respecting their international obligations regarding human rights, democracy and the rule of law. 条約は締約国に対し、民間部門を規制する際に、その原則と義務を遵守するための2つの方法を提示している: 締約国は、条約の関連条項によって直接義務を負うことを選択することもできるし、別の方法として、人権、民主主義、法の支配に関する国際的義務を十分に尊重しつつ、条約の条項を遵守するための他の措置をとることもできる。
Parties to the Framework Convention are not required to apply the provisions of the treaty to activities related to the protection of their national security interests but must ensure that such activities respect international law and democratic institutions and processes. The Framework Convention does not apply to national defence matters nor to research and development activities, except when the testing of AI systems may have the potential to interfere with human rights, democracy, or the rule of law. 枠組み条約の締約国は、自国の安全保障上の利益の保護に関連する活動に条約の規定を適用する必要はないが、そのような活動が国際法および民主的制度・プロセスを尊重することを確保しなければならない。枠組み条約は、AIシステムのテストが人権、民主主義、法の支配を妨げる可能性がある場合を除き、国防問題や研究開発活動には適用されない。
How is the implementation of the Framework Convention monitored?  枠組み条約の実施はどのように監視されるのか?
The Framework Convention establishes a follow-up mechanism, the Conference of the Parties, composed of official representatives of the Parties to the Convention to determine the extent to which its provisions are being implemented. Their findings and recommendations help to ensure States’ compliance with the Framework Convention and guarantee its long-term effectiveness. The Conference of the Parties shall also facilitate co-operation with relevant stakeholders, including through public hearings concerning pertinent aspects of the implementation of the Framework Convention. 枠組み条約は、締約国の公式代表で構成される締約国会議というフォローアップ・メカニズムを設け、条約の条項がどの程度履行されているかを判断する。その結果および勧告は、締約国が枠組み条約を遵守し、その長期的有効性を保証するのに役立つ。締約国会議はまた、枠組み条約の実施に関する適切な側面に関する公聴会などを通じて、関連する利害関係者との協力を促進する。

 

条約見出し...

Chapter I – General provisions 第1章 一般規定
Article 1 – Object and purpose 第1条 目的および目標
Article 2 – Definition of artificial intelligence systems 第2条 人工知能システムの定義
Article 3 – Scope 第3条 範囲
Chapter II – General obligations 第2章 一般義務
Article 4 – Protection of human rights 第4条 人権の防御
Article 5 – Integrity of democratic processes and respect for the rule of law 第5条 民主的プロセスの完全性と法の支配の尊重
Chapter III – Principles related to activities within the lifecycle of artificial intelligence systems 第3章 人工知能システムのライフサイクルにおける活動に関連する原則
Article 6 – General approach 第6条 一般的なアプローチ
Article 7 – Human dignity and individual autonomy 第7条 人間の尊厳と個人の自治
Article 8 – Transparency and oversight 第8条 透明性と監督
Article 9 – Accountability and responsibility 第9条 説明責任
Article 10 – Equality and non-discrimination 第10条 平等と非差別
Article 11 – Privacy and personal data protection 第11条 プライバシーおよび個人データ保護
Article 12 – Reliability 第12条 信頼性
Article 13 – Safe innovation 第13条 安全な技術革新
Chapter IV – Remedies 第4章 救済措置
Article 14 – Remedies 第14条 救済
Article 15 – Procedural safeguards 第15条 手続上の保護措置
Chapter V – Assessment and mitigation of risks and adverse impacts 第5章 リスクと悪影響のアセスメントと低減
Article 16 – Risk and impact management framework 第16条 リスクおよび影響マネジメントの枠組み
Chapter VI – Implementation of the Convention 第6章 条約の実施
Article 17 – Non-discrimination 第17条 識別的差別の禁止
Article 18 – Rights of persons with disabilities and of children 第18条 障害者および子どもの権利
Article 19 – Public consultation 第19条 コンサルテーション
Article 20 – Digital literacy and skills 第20条 デジタル・リテラシーとスキル
Article 21 – Safeguard for existing human rights 第21条 既存の人権の保護
Article 22 – Wider protection 第22条 より広範な保護
Chapter VII – Follow-up mechanism and co-operation 第7章 フォローアップの仕組みと協力
Article 23 – Conference of the Parties 第23条 締約国会議
Article 24 – Reporting obligation 第24条 報告義務
Article 25 – International co-operation 第25条 国際協力
Article 26 – Effective oversight mechanisms 第26条 効果的な監督メカニズム
Chapter VIII – Final clauses 第8章 最終条項
Article 27 – Effects of the Convention 第27条 条約の効力
Article 28 – Amendments 第28条 改正
Article 29 – Dispute settlement 第29条 紛争解決
Article 30 – Signature and entry into force 第30条 署名と発効
Article 31 – Accession 第31条 加盟
Article 32 – Territorial application 第32条 適用地域
Article 33 – Federal clause 第33条 連邦条項
Article 34 – Reservations 第34条 予約
Article 35 – Denunciation 第35条 告訴
Article 36 – Notification 第36条 通知

 

枠組条約

・2024.09.05 [PDF] Council of Europe Treaty Series - No. 225 Council of Europe Framework Convention on Artificial Intelligence and Human Rights, Democracy and the Rule of Law

20240907-163639

・[DOCX][PDF] 仮訳

 

解説書

・2024.09.05 [PDF] Council of Europe Treaty Series - No. 225 Explanatory Report to the Council of Europe Framework Convention on Artificial Intelligence and Human Rights, Democracy and the Rule of Law

20240907-163647

・[DOCX][PDF] 仮訳

 

 

 

関連ウェブ...

Council of Europe

 

批准の状況は...

Chart of signatures and ratifications of Treaty 225

 

 

事前の告知...

・2024.08.30 Justice Ministers discuss accountability for crimes committed in Ukraine and open AI Convention for signature at meeting in Vilnius

 

カンファレンス案内...

Conference of Justice Ministers and opening for signature of AI Convention

 

 

» Continue reading

| | Comments (0)

2024.09.07

外務省 第3回北朝鮮サイバー脅威に関する日米韓外交当局間作業部会の開催

こんにちは、丸山満彦です。

2024.09.06に第3回北朝鮮サイバー脅威に関する日米韓外交当局間作業部会が開催されたようですね...

● 外務省

・202409.06 第3回北朝鮮サイバー脅威に関する日米韓外交当局間作業部会の開催


9月6日、午後1時から約3時間、韓国のソウルにおいて、第3回北朝鮮サイバー脅威に関する日米韓外交当局間作業部会が実施されたところ、概要は以下のとおりです。

  1. 今回の作業部会においては、熊谷直樹外務省サイバー政策担当大使兼総合外交政策局審議官、セス・ベイリー米国国務省北朝鮮担当次席特別代表、李埈一(イ・ジュンイル)韓国外交部朝鮮半島政策局長が共同議長を務めました。

  2. 今回の作業部会において、三か国は、北朝鮮の不法な大量破壊兵器及び弾道ミサイル計画の資金源となる、北朝鮮の不正なサイバー活動に対する懸念を改めて表明しました。その上で、北朝鮮による暗号資産窃取や北朝鮮IT労働者を含む北朝鮮のサイバー脅威に対する各国の取組や今後の日米韓協力等について意見交換を行いました。

  3. 今回の議論は、日米韓で北朝鮮のサイバー活動に関する協力を進める政府全体の取組の一環として、外交的な取組に焦点を当てて行われたものです。

  4. 三か国は、国連安保理決議に従った北朝鮮の完全な非核化に向け、サイバー分野における対応を含め、引き続き緊密に連携することを再確認しました。

 

米国の国務省

U.S. Department of State

・2024.09.05 Seventh United States-Republic of Korea Working Group to Counter Cyber Threats Posed by the Democratic People’s Republic of Korea

Seventh United States-Republic of Korea Working Group to Counter Cyber Threats Posed by the Democratic People’s Republic of Korea 朝鮮民主主義人民共和国によるサイバー脅威に対抗する第7回米国・韓国作業部会
The United States and the Republic of Korea convened in Seoul the seventh U.S.-Republic of Korea (ROK) Working Group September 5-6 to counter cyber threats posed by the Democratic People’s Republic of Korea (DPRK). Led by Deputy Special Representative for the DPRK Seth Bailey and ROK Ministry of Foreign Affairs Director General for Korean Peninsula Policy Lee Jun-il, the meeting underscored the continued close collaboration between the U.S. and ROK governments to disrupt the DPRK’s ability to generate revenue through malicious cyber activity, which it uses to fund its unlawful WMD and ballistic missile programs. The working group included participants from 15 U.S. and ROK government departments, ministries, and agencies. 米国と韓国は、朝鮮民主主義人民共和国(DPRK)によるサイバー脅威に対抗するため、9月5日~6日にソウルで第7回米国・韓国(ROK)作業部会を開催した。北朝鮮担当のセス・ベイリー副代表と韓国外務省の李潤一朝鮮半島政策本部長が主導したこの会合では、北朝鮮による悪意あるサイバー活動による収益生成能力を妨害するために、米国と韓国の政府が緊密に協力し続けていることが強調された。北朝鮮は、違法な大量破壊兵器および弾道ミサイル計画の資金調達に、この悪意あるサイバー活動を利用している。作業部会には、米国および韓国の15の政府省庁および機関から参加者が集まった。
The United States and the ROK are pursuing a wide range of actions to prevent and disrupt DPRK cryptocurrency heists, address DPRK cyber espionage against the defense sector, stop third party facilitators from enabling DPRK illicit revenue generation, and dismantle DPRK IT worker infrastructure and networks. The Working Group meeting also focused on coordinated diplomatic outreach, information sharing, and capacity building for nations vulnerable to the DPRK cyber threat. 米国と韓国は、北朝鮮による暗号通貨強奪の防止と阻止、国防部門に対する北朝鮮のサイバースパイ活動への対処、北朝鮮の不正収益の生成を可能にするサードパーティの仲介者の阻止、北朝鮮のIT労働者のインフラとネットワークの解体など、幅広い対策を講じている。作業部会の会合では、北朝鮮のサイバー脅威に対して脆弱性を持つ国々に対する、協調的な外交的働きかけ、情報共有、能力構築にも重点が置かれた。

 

1_20240907013201

 

| | Comments (0)

米国 NSA "No Such Agency"による"No Such Podcast" が2024.09.05から始まりました(毎週 6回シリーズ)

こんにちは、丸山満彦です。

国家安全保障局 (NSA) [wikipedia]は米国の情報機関の中でも通信の諜報活動 (SIGINT) を主に担当している国防総省の管轄下の部門ですが、ボットキャスト"No Such Podcast"を開始しましたね...

採用のための活動ですかね...参考になります...

 

第1回目は

NSA のサイバーセキュリティ担当ディレクターであるデイブ・ルーバーと海兵隊のジェリー・カーター中将による業務内容の話...

・オサマ・ビンラディンを逮捕するための米国政府の努力に対するNSAのSIGINTの貢献についての内容ですね...

 

NSA

no such podcast

・2024.09.05 Cybersecurity is National Security



Cybersecurity is no longer a separate domain – it’s integrated into everything we do to keep the United States safe from foreign adversaries. As Russia, China, Iran, North Korea, and others conduct cyberattacks on national security systems and the Defense Industrial Base, the National Security Agency is on the job, detecting attacks, defending networks, and distributing declassified intelligence to help private industry partners. サイバーセキュリティはもはや独立した領域ではなく、米国を外国の敵対者から守るために行うあらゆることに統合されている。ロシア、中国、イラン、北朝鮮などが国家安全保障システムや防衛産業基盤に対してサイバー攻撃を仕掛ける中、国家安全保障局は攻撃の検知、ネットワークの防御、機密解除された情報の民間産業パートナーへの配布などを行っている。
NSA’s Director of Cybersecurity, Dave Luber, joins No Such Podcast to shine the light on how NSA cybersecurity contributes to national security. Learn from Marine Corps LtGen Jerry Carter about the value of having close civilian-military collaboration to keep our armed forces safe and our policymakers informed. From secure AI to #StopRansomware to PRC hacking and beyond, NSA’s experts work every day on cybersecurity challenges. NSAのサイバーセキュリティ部長であるデイブ・ルーバーがNo Such Podcastに参加し、NSAのサイバーセキュリティがどのように国家の安全保障に貢献しているかを明らかにする。海兵隊のジェリー・カーター中将から、軍の安全と政策立案者の情報収集を維持するために、民間と軍の緊密な連携が持つ価値について学ぶ。安全なAIから#StopRansomware、中国によるハッキング、そしてそれ以外のことまで、NSAの専門家は日々、サイバーセキュリティの課題に取り組んでいる。
Learn more at NSA.gov/cybersecurity. Find the show transcript and other episodes at NSA.gov/podcast. Discover job opportunities at NSA.gov/careers. 詳細はNSA.gov/cybersecurityをご覧ください。ショーのトランスクリプトや他のエピソードはNSA.gov/podcastでご覧いただけます。NSA.gov/careersで求人情報をご覧ください。

 

 

オサマビンラディンの話...

・2024.09.05 How We Found Bin Laden: The Basics of Foreign Signals Intelligence


Osama bin Laden helped plan the terrorist attacks of September 11, 2001 which killed nearly 3,000 Americans. To find him, the U.S. government had to put its best people on the job. Along with their counterparts across multiple agencies, experts at the National Security Agency answered the call. NSA generated foreign signals intelligence to help find, and ultimately eliminate, the terrorist leader. オサマ・ビンラディンは、2001年9月11日の同時多発テロ事件の計画に携わり、このテロ事件ではおよそ3,000人のアメリカ人が命を落とした。 ビンラディンを追跡するため、米国政府は最高の能力を持つ人材を投入しなければならなかった。 複数の政府機関の専門家たちとともに、国家安全保障局(NSA)の専門家たちもその任務に当たった。 NSAは外国の通信情報(SIGINT)を生成し、テロリストのリーダーの追跡、そして最終的な排除に貢献した。
In the lead episode of No Such Podcast, learn how NSA helped find bin Laden through foreign signals intelligence (SIGINT), one of the Agency’s two core missions. NSA leaders demystify the foreign SIGINT cycle and how each step applied to the Osama bin Laden case. Learn from a counterterrorism expert who was in the room when the word came in that Osama bin Laden was Killed In Action. No Such Podcastの初回エピソードでは、NSAの2つの主要任務の1つである外国の信号情報(SIGINT)を通じて、NSAがどのようにビンラディン発見に貢献したかについて学ぶ。NSAのリーダーたちは、外国のSIGINTサイクルと、各ステップがウサマ・ビンラディンのケースにどのように適用されたかを解き明かす。ウサマ・ビンラディン死亡の知らせを受けた時の様子を、テロ対策の専門家が語る。
NSA’s foreign signals intelligence has informed United States policymakers for over seven decades. Learn more at NSA.gov. Find the show transcript and other episodes at NSA.gov/podcast. Discover job opportunities at NSA.gov/careers. NSAの外国向け通信情報収集は、70年以上にわたって米国の政策立案者に情報を提供してきた。詳細はNSA.govで。番組の原稿やその他のエピソードはNSA.gov/podcastで。NSA.gov/careersで求人情報を確認。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.02 米国 NSA "No Such Agency"による"No Such Podcast" が2024.09.05から始まります(毎週 6回シリーズ)

 

| | Comments (0)

米国他 ロシア軍のサイバー工作員が米国およびグローバルな重要インフラを標的にしているので注意してください...

こんにちは、丸山満彦です。

米国の財務省、国務省、サイバーコマンド他、オランダ、チェコ、ドイツ、エストニア、ラトビア、ウクライナ、カナダ、オーストラリア、英国が共同で、警告をだしていますね...

ロシアのGRUユニット29155 サイバー・コンポーネントが攻撃者のようです...

 

CISA

・2024.09.05 Russian Military Cyber Actors Target US and Global Critical Infrastructure

 

Russian Military Cyber Actors Target US and Global Critical Infrastructure ロシア軍のサイバー工作員が米国およびグローバルな重要インフラを標的に
Summary 要約
The Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), and National Security Agency (NSA) assess that cyber actors affiliated with the Russian General Staff Main Intelligence Directorate (GRU) 161st Specialist Training Center (Unit 29155) are responsible for computer network operations against global targets for the purposes of espionage, sabotage, and reputational harm since at least 2020. GRU Unit 29155 cyber actors began deploying the destructive WhisperGate malware against multiple Ukrainian victim organizations as early as January 13, 2022. These cyber actors are separate from other known and more established GRU-affiliated cyber groups, such as Unit 26165 and Unit 74455. 連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)は、2020年以降、ロシア連邦軍参謀本部情報総局(GRU)第161特殊訓練センター(Unit 29155)に所属するサイバーアクターが、スパイ行為、妨害行為、風評被害を目的とした世界的な標的に対するコンピューターネットワーク操作の責任者であるとアセスメントしている。GRU Unit 29155のサイバー犯罪者は、2022年1月13日には早くも、複数のウクライナの被害組織に対して破壊的なWhisperGateマルウェアの展開を開始していた。これらのサイバー犯罪者は、Unit 26165やUnit 74455といった、より確立されたGRU関連のサイバーグループとは別物である。
・To mitigate this malicious cyber activity, organizations should take the following actions today: ・この悪意あるサイバー活動を低減するために、組織は今日から以下の対策を講じるべきである。
・Prioritize routine system updates and remediate known exploited vulnerabilities. ・定期的なシステム更新を優先し、既知の脆弱性を修正する。
・Segment networks to prevent the spread of malicious activity. ・悪意ある活動の拡大を防ぐためにネットワークをセグメント化する。
Enable phishing-resistant multifactor authentication (MFA) for all externally facing account services, especially for webmail, virtual private networks (VPNs), and accounts that access critical systems. フィッシング対策の多要素認証(MFA)を、外部に公開されているすべてのアカウントサービス、特にウェブメール、VPN(仮想プライベートネットワーク)、および重要なシステムにアクセスするアカウントに対して有効にする。
This Cybersecurity Advisory provides tactics, techniques, and procedures (TTPs) associated with Unit 29155 cyber actors—both during and succeeding their deployment of WhisperGate against Ukraine—as well as further analysis (see Appendix A) of the WhisperGate malware initially published in the joint advisory, Destructive Malware Targeting Organizations in Ukraine, published February 26, 2022. このサイバーセキュリティ勧告では、Unit 29155のサイバー犯罪者に関連する戦術、技術、手順(TTP)を、ウクライナに対するWhisperGateの展開中および展開後に提供するとともに、2022年2月26日に発表された共同勧告「ウクライナの組織を標的とする破壊的マルウェア」で最初に公開されたWhisperGateマルウェアのさらなる分析(附属書Aを参照)も提供する。
FBI, CISA, NSA and the following partners are releasing this joint advisory as a collective assessment of Unit 29155 cyber operations since 2020: FBI、CISA、NSA、および以下のパートナーは、2020年以降のUnit 29155サイバー作戦の総合的なアセスメントとして、本共同声明を発表する。
・U.S. Department of the Treasury ・米国財務省
・U.S. Department of State (Rewards for Justice) ・米国国務省(正義への報い)
・U.S. Cyber Command Cyber National Mission Force (CNMF) ・米国サイバーコマンド サイバー国家任務部隊(CNMF
・Netherlands Defence Intelligence and Security Service (MIVD) ・オランダ国防情報局(MIVD
・Czech Military Intelligence (VZ) ・チェコ軍情報局(VZ)
・Czech Republic Security Information Service (BIS) ・チェコ共和国安全保障情報局(BIS)
・German Federal Office for the Protection of the Constitution (BfV) ・ドイツ連邦憲法擁護庁(BfV)
・Estonian Internal Security Service (KAPO) ・エストニア国内治安局(KAPO)
・Latvian State Security Service (VDD) ・ラトビア国家保安庁(VDD)
・Security Service of Ukraine (SBU) ・ウクライナ保安庁(SBU)
・Computer Emergency Response Team of Ukraine (CERT-UA) ・ウクライナコンピューター緊急対応チーム(CERT-UA)
・Canadian Security Intelligence Service (CSIS) ・カナダ安全保障情報局(CSIS)
・Communications Security Establishment Canada (CSE) ・カナダ通信安全保障局(CSE)
・Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC) ・オーストラリア信号局オーストラリアサイバーセキュリティセンター(ASDのACSC)
・United Kingdom National Cyber Security Centre (NCSC-UK) ・英国国立サイバーセキュリティセンター(NCSC-UK)
For additional information on Russian state-sponsored malicious cyber activity and related indictments, see the recent U.S. Department of Justice (DOJ) press releases for June 26, 2024, and September 5, 2024, FBI’s Cyber Crime webpage, and CISA’s Russia Cyber Threat Overview and Advisories webpage. ロシア政府による悪意のあるサイバー活動および関連する起訴に関する追加情報は、米国司法省(DOJ)の2024年6月26日および9月5日付のプレスリリース、FBIのサイバー犯罪ウェブページ、およびCISAのロシアのサイバー脅威の概要および勧告ウェブページを参照のこと。

 

・[PDF

20240906-231635

 


 

英国

● NCSC-UK

・2024.09.05 UK and allies uncover Russian military unit carrying out cyber attacks and digital sabotage for the first time

UK and allies uncover Russian military unit carrying out cyber attacks and digital sabotage for the first time 英国および同盟国が、サイバー攻撃およびデジタル妨害工作を実行するロシア軍部隊を初めて特定
The NCSC and partners call out Russian GRU cyber actors Unit 29155 for campaign of malicious cyber activity since at least 2020. NCSCおよびパートナーは、少なくとも2020年以降の悪意あるサイバー活動キャンペーンに関与したロシア軍参謀本部第29155部隊を名指しで非難した。
・The UK and nine international allies call out Russian military actors for computer network operations for espionage, sabotage and reputational harm purposes ・英国および9か国の同盟国は、スパイ活動、妨害工作、風評被害を目的としたコンピューターネットワーク作戦に関与したロシア軍の行為を非難
・GRU Unit 29155 has expanded its tradecraft to include offensive cyber operations and deployed Whispergate malware against Ukrainian victim organisations ・GRUの29155部隊は、攻撃的なサイバー作戦を含む技術を拡大し、ウクライナの被害組織に対してWhispergateマルウェアを展開した 被害組織に対して
・UK organisations encouraged to follow advice to help defend against online threats ・英国の組織に対しては、オンライン上の脅威に対する防御策として助言に従うよう促した
The UK and international allies have today (Thursday 5 September ) exposed a unit of Russia’s military intelligence service for a campaign of malicious cyber activity targeting government and critical infrastructure organisations around the world. 英国および国際的な同盟国は本日(9月5日木曜日)、世界中の政府および重要インフラ組織を標的とした悪意あるサイバー活動キャンペーンに関与したロシア軍情報部の部隊を暴露した。
In a new joint advisory, the National Cyber Security Centre (NCSC) – a part of GCHQ – and agencies in the United States, the Netherlands, Czech Republic, Germany, Estonia, Latvia, Canada, Australia and Ukraine have revealed the tactics and techniques used by Unit 29155 of the Russian GRU to carry out cyber operations globally. 英国政府通信本部(GCHQ)の一部である国家サイバーセキュリティセンター(NCSC)と、米国、オランダ、チェコ共和国、ドイツ、エストニア、ラトビア、カナダ、オーストラリア、ウクライナの各機関は、新たな共同勧告の中で、ロシア軍参謀本部第29155部隊が世界規模でサイバー作戦を遂行するために用いた戦術と技術を明らかにした。
Unit 29155 is assessed to have targeted organisations to collect information for espionage purposes, caused reputational harm by the theft and leaking of sensitive information, defaced victim websites and undertaken systematic sabotage caused by the destruction of data. Unit 29155は、スパイ目的で情報を収集するために組織を標的にし、機密情報の盗難と漏洩により評判に傷をつけ、被害者のウェブサイトを改ざんし、データの破壊による組織的な妨害工作を行っていると評価されている。
It is the first time the UK has publicly exposed Unit 29155, also designated as 161st Specialist Training Centre, as being responsible for carrying out malicious cyber activity, which it has undertaken since at least 2020. 英国が29155部隊を公に暴露するのは今回が初めてであり、この部隊は161特殊訓練センターとも呼ばれ、少なくとも2020年から継続して悪意のあるサイバー活動を実行してきた責任がある。
Since 2022, the group’s overall aim seems to have been to target and disrupt efforts to provide aid to Ukraine. Today, the UK and allies can confirm that it was Unit 29155 specifically that was responsible for deploying the Whispergate malware against multiple victims across Ukraine prior to Russia’s invasion in 2022. 2022年以降、このグループの全体的な目的は、ウクライナへの支援提供を標的にして妨害することだったようだ。現在、英国およびその同盟国は、2022年のロシアの侵攻に先立ち、ウクライナの複数の被害者にWhispergateマルウェアを展開したのが、特にUnit 29155であったことを確認している。
To prevent these malicious activities impacting UK organisations, the NCSC strongly advises network defenders to follow the recommended actions set out in the advisory to bolster their cyber resilience. 英国の組織がこうした悪質な活動の影響を受けないよう、NCSCはネットワークの防御者に対し、勧告に記載された推奨措置に従い、サイバーレジリエンスを強化するよう強く勧告している。
Paul Chichester, NCSC Director of Operations, said: NCSCのポール・チチェスター運用部長は、次のように述べた。
“The exposure of Unit 29155 as a capable cyber actor illustrates the importance that Russian military intelligence places on using cyberspace to pursue its illegal war in Ukraine and other state priorities. 「Unit 29155が有能なサイバー活動家であることが明らかになったことは、ロシア軍事情報部がウクライナにおける違法な戦争やその他の国家優先事項を追求するためにサイバー空間を利用することに重点を置いていることを示している。
“The UK, alongside our partners, is committed to calling out Russian malicious cyber activity and will continue to do so. 「英国はパートナー諸国とともに、ロシアの悪意あるサイバー活動を告発することに尽力しており、今後もその姿勢を継続する。
“The NCSC strongly encourages organisations to follow the mitigation advice and guidance included in the advisory to help defend their networks.” 「NCSCは、ネットワーク防御の一環として、勧告に含まれる緩和策のアドバイスやガイダンスに従うよう、組織に強く推奨する」
The advisory says the Unit, which is assessed to be made up of junior active-duty GRU officers, also relies on non-GRU actors, including known cyber criminals and enablers to conduct their operations. The group differs to more established GRU-related cyber groups Unit 26165 (Fancy Bear) and Unit 74455 (Sandworm). この勧告によると、この部隊はGRUの現役下級将校で構成されていると評価されているが、その活動には、既知のサイバー犯罪者や支援者など、GRU以外の関係者も関与している。このグループは、より確立されたGRU関連のサイバーグループであるUnit 26165(別名Fancy Bear)やUnit 74455(別名Sandworm)とは異なる。
The NCSC has previously exposed details about malware operations used by cyber actors from Russia’s military intelligence to target the Ukrainian military and also called for organisations to take action following Russia’s attack on Ukraine. NCSCは以前にも、ロシア軍情報機関のサイバーアクターがウクライナ軍を標的に使用したマルウェア作戦の詳細を公表し、また、ロシアによるウクライナ攻撃を受けて、組織が対策を取るよう呼びかけていた。
In May 2022, the UK and allies attributed the use of Whispergate malware in Ukraine to Russia’s military intelligence service but this new advisory goes further by attributing its deployment specifically to Unit 29155. 2022年5月、英国およびその同盟国は、ウクライナにおけるWhispergateマルウェアの使用をロシアの軍事情報機関によるものと断定したが、今回の新たな勧告では、その展開を具体的にUnit 29155に帰属させている。
The advisory also includes further analysis of the malware that was deployed to help network defenders identify malicious infrastructure. また、この勧告には、ネットワーク防御者が悪意のあるインフラを特定するのに役立つよう展開されたマルウェアのさらなる分析も含まれている。
The advisory has been co-sealed by the National Cyber Security Centre, the US Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), the US National Security Agency (NSA), the US Department of the Treasury, the US Department of State (Rewards for Justice), the US Cyber Command Cyber National Mission Force (CNMF), the Netherlands Defence Intelligence and Security Service (MIVD), the Czech Military Intelligence (VZ), the Czech Republic Security Information Service (BIS), the German Federal Office for the Protection of the Constitution (BfV), the Estonian Internal Security Service (KAPO), the Latvian State Security Service (VDD), the Canadian Security Intelligence Service (CSIS), the Communications Security Establishment Canada (CSE) and the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC). この勧告は、英国の国家サイバーセキュリティセンター、米国のサイバーセキュリティ・インフラ保護機関(CISA)、連邦捜査局(FBI)、米国国家安全保障局(NSA)、米国財務省、米国国務省(司法のための報奨)、米国サイバー軍サイバー国家任務部隊(CNMF)、オランダ国防情報局(MIVD)、チェコ軍 情報局(VZ)、チェコ共和国安全保障情報局(BIS)、ドイツ連邦憲法擁護庁(BfV)、エストニア国内安全保障局(KAPO)、ラトビア国家保安庁(VDD)、カナダ安全保障情報局(CSIS)、カナダ通信安全保障局(CSE)、オーストラリア信号局オーストラリアサイバーセキュリティセンター(ASD's ACSC)。
The advisory can be read on the CISA website. この勧告は、CISAのウェブサイトで閲覧できる。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.29 OXFORD JOURNAL of Cybersecurity 戦争においてサイバー作戦の有用性は限界的

・2024.08.09 米国 国防大学出版局 統合軍クオータリー 「認知戦」

・2024.06.25 Microsoft ロシアはいかにして2024年パリ五輪を妨害しようとしているのか (2024.06.06)

・2024.06.20 米国 サイバーセキュリティ・インフラセキュリティ庁(CISA)と米国選挙支援委員会(EAC)が選挙セキュリティについてのガイドを発表 (2024.06.17)

・2024.05.06 米国 英国 カナダ 親ロシア派ハクティビストによる北米および欧州のOT機器に対する継続的な悪意あるサイバー活動に対するセキュリティ対策

・2024.04.03 マイクロソフトロシアの国家支援行為者であるMidnight Blizzardによるシステムへの侵入に対するSECの開示事例 (2024.01.19, 2024.03.08)

・2024.03.01 米国 英国 オーストラリア カナダ ニュージーランド、ベルギー、ブラジル、フランス、ドイツ、ラトビア、リトアニア、ノルウェー、ポーランド、韓国がロシアや脆弱性についてのいくつかのアラートを出していますね。。。

・2024.02.29 Five eyes ロシア対外情報庁による攻撃手法。時代はクラウドですからね...

・2023.09.25 ロシア 科学技術センター デジタル外交2023:課題と発展動向

・2023.09.01 Five Eyes Android 端末を標的とするInfamous Chisel マルウェアを利用するロシアの脅威行為者に関する報告書

・2023.08.19 ロシア 科学技術センター :新たなサイバーセキュリティの脅威

・2023.08.11 ロシア 情報セキュリティセンターの設立に約33億ルーブル(約50億円)の予算をつける

・2023.05.20 米国 司法省 LockBit、Babuk、Hiveに関わったロシア人を起訴

・2023.05.17 米国 CISA ブログ コロニアルパイプラインへの攻撃:この2年間で私たちが学んだこと、私たちがやってきたこと (2023.05.07)

・2023.05.12 Five Eyes ロシア連邦保安庁が管理するマルウェアネットワーク「Snake」を破壊

・2023.05.10 ロシア 科学技術センター 大規模言語モデル:認知的な視点

・2023.03.07 ロシア 科学技術センター 認知作戦・心理作戦の理論的・概念的側面

・2023.02.11 米国 英国 ロシアを拠点とするサイバー犯罪組織「Trickbot」のメンバーに制裁を科す

・2022.07.21 カナダ サイバーセキュリティセンター 「サイバー脅威報告:ロシアのウクライナ侵攻に関連するサイバー脅威活動」 (2022.07.14)

・2022.07.18 ロシア 通信・IT・マスメディア監督連邦サービス (Roskomnadzor) が、Google、Apple、Pinterest等の外資企業が、ロシア人利用者のデータベースのローカ保管を確認していないと発表していますね。。。

・2022.06.21 米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

・2022.04.11 米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

・2022.04.01 ロシア 外務省 米国とその衛星国による継続的なロシアへのサイバー攻撃についての声明

・2022.03.30 ロシア・ウクライナ紛争に伴うサイバーセキュリティの警告(オーストラリア、英国の場合)

・2022.03.18 米国 CISA FBIがロシアの国家的サイバーアクターによるデフォルトの多要素認証プロトコルと「printnightmare」脆弱性の悪用による脅威の軽減

・2022.03.05 フランス CERT-FRがロシアのウクライナ侵攻に関連した脅威・インシデントレポートを公表していますね。。。

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2022.02.22 米国 CISA Alert (AA22-047A) ロシアの国家支援を受けたサイバーアクターが、機密性の高い米国の防衛情報および技術を入手するために、許可を受けた防衛請負業者のネットワークを標的にしている (2022.02.16)

・2022.02.11 防衛省 防衛研究所 ウクライナをめぐるロシアの強要戦術

・2022.02.11 欧州議会 Think Tank 米国とロシアの関係:地政学的側面、安全保障的側面、経済的側面、人的側面

・2022.01.18 ウクライナ ロシアからと考えられるサイバー攻撃の影響はほぼ回復した?

・2022.01.17 米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

・2022.01.16 金銭目的のサイバー攻撃については全ての国が協力できる(コロニアルパイプラインを攻撃した疑いのあるハッカーを米国の要請によりロシアが逮捕)

・2021.12.15 ロシアとインドネシアが国際的な情報セキュリティの協力に関する政府間協定に署名

・2021.12.08 ロシア ドミトリー・チェルニーシェンコ副首相による第16回国連インターネット・ガバナンス・フォーラムでの国際的な法律の調和とIT分野での協力についての講演

・2021.12.07 2021.12.09,10開催予定 Summit for Democracy 民主主義サミット + 中国的民主主義 + ロシアの批判 + EUの参加報告書+米国政府まとめ

・2021.11.24 ロシア ロシア国内に事務所を開設しなければならないインターネット企業13社を公表

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.08.05 米国連邦議会上院 国土安全保障・政府問題委員会 「アメリカのデータは危険にさらされている」

・2021.07.13 RuNetの再評価:ロシアのインターネット孤立化とロシアのサイバー行動への影響

・2021.07.12 NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11

・2021.07.04 ロシア連邦大統領令第400号「ロシア連邦の国家安全保障戦略」を公表

・2021.04.22 U.S. White House 副国家安全保障補佐官(サイバー・新技術担当)によるSolarWindsとMicrosoft Exchangeのインシデントに関する声明

・2021.04.22 米国によるロシア制裁後のロシア連邦安全保障会議書記と米国大統領補佐官(国家安全保障担当)との電話会談

・2021.04.16 White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー司令部と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

・2020.11.16 ロシアと北朝鮮のハッカーがCOVID 19のワク​​チン研究者からデータを盗もうとしている by Microsoft

・2020.10.27 欧州連合 連合と加盟国を脅かすサイバー攻撃に対する制限的措置に関する決定(CFSP)2019/797の修正(ロシアの件。。。)

・2020.10.27 米国 連邦司法省がサイバースペースでの破壊的行為を世界的に行ったことでロシアのGRUの6人を起訴した (2020.10.19)

・2020.10.27 英国NCSC 東京オリンピック関係者にサイバー攻撃をしていたとしてロシアを非難 (2020.10.19)

・2020.10.14 ノルウェー政府は8月のノルウェー議会の電子メールシステムへのサイバー攻撃はロシアによるものだとする声明を出していますね。。。

・2020.08.22 米国上院の情報委員会が2016年大統領選におけるロシアの影響を調べた報告書(第5巻)を公開していますね。。。

・2020.07.17 英国政府はロシアが2019年の総選挙に違法に取得した政府文書を通じて妨害しようとしたと結論付けた

・2020.06.03 米国 国家安全保障局 (NSA) がEximの脆弱性を悪用するロシアのAPTグループ「Sandworm」に関する警告を公表

・2020.03.26 FBI - FBI Takes Down a Russian-Based Hacker Platform; Arrests Suspected Russian Site Administrator

・2020.04.08 削除できないマルウェア xHelper の仕組みがわかった?

・2020.01.25 通信関連会社元社員 機密情報不正取得で逮捕 ロシアに提供か」

 

| | Comments (0)

«個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第299回委員会、第2回検討会)