2021.12.02

内閣官房 クラウドを利用したシステム運用に関するガイダンス

 こんにちは、丸山満彦です。

NISCが「クラウドを利用したシステム運用に関するガイダンス」を公表していますね。。。

内閣官房 サイバーセキュリティセンター

・2021.11.30 クラウドを利用したシステム運用に関するガイダンスの公表について  [PDF]

昨今増加傾向にあるクラウドサービスの利用に関するインシデントの発生を可能な限り抑制し、また、インシデントが発生した際に円滑に対応できるよう、望ましい取組や留意点等を記載しています。

ということのようです。

本資料は、重要インフラ事業者等に向けて策定したものを、広く一般にも活用していただけるよう公表するものです。

ということのようですので、参考にして利用すれば良いのだろうと思います。

・[PDF] クラウドを利用したシステム運用に関するガイダンス(要約版)

20211202-54945

・[PDF] クラウドを利用したシステム運用に関するガイダンス(詳細版)

20211202-55145


1. はじめに

2. クラウドサービスの基本理解
 2.1. クラウドサービスを利用する背景
 2.2. クラウドサービスのメリット・デメリット(リスク)

3. クラウド事業者や利用者などのステークホルダーの責任等の理解
 3.1. クラウドサービス活用におけるステークホルダーの理解
 3.2. クラウド事業者における「責任共有モデル」
 3.3. 責任共有モデルを踏まえた販売者、構築者、設置者、運用者の責任と役割
 3.4. ステークホルダーとの契約形態等の理解

4. クラウド利用(環境構築、運用など)の注意点
 4.1. 構築時の注意点
 4.2. 運用時の注意点

5. クラウド利用に当たってのコミュニケーションの在り方
 5.1. 普段からのコミュニケーションの方法や注意点
 5.2. インシデント発生を想定した準備

6. インシデント発生時のステークホルダー連携の在り方

7. おわりに

8. 用語集


 

北條先生、上原先生は個人名がでていますが、きっとGSXの萩原さんとか、、、お手伝いしたのでしょう。。。。



| | Comments (0)

2021.12.01

Cloud Security Alliance サードパーティセキュリティサービスの役割と責任

こんにちは、丸山満彦です。

Cloud Security Alliance (CSA) がサードパーティセキュリティサービスの役割と責任に関する文書を公表していますね。。。

従業員数でいうと250名程度以下の中小企業(Small and Medium Enterprises)[wikipedia]が適切なセキュリティサービスを選択するために必要な知識を提供することを目的としているようですが、大企業であっても参考になることはあると思います。

あげているセキュリティ・サービスは、

・アイデンティティおよびアクセス管理
・クラウドワークロード保護プラットフォーム
・ネットワークセキュリティ
・データとストレージのセキュリティ
・アセスメント
・サービスとしてのセキュリティ分析
・アプリケーションセキュリティ
・セキュリティサポートサービス

ですね。。。

主要なサービスが網羅されているというのもよいですね。。。

 

Cloud Security Alliance (CSA)

・2021.11.30 (press) New Guidance From Cloud Security Alliance Aims to Help Cloud Service Customers Better Evaluate Service Level Agreements

 

・2021.11.30 Roles and Responsibilities of Third Party Security Services

Roles and Responsibilities of Third Party Security Services サードパーティセキュリティサービスの役割と責任
As we witness the broader adoption of cloud services, it is no surprise that third-party outsourced services are also on the rise. The security responsibilities are typically split between the CSPs and Cloud Service Customers (CSCs). However, in reality, third-party security services providers increasingly play essential roles, such as providing consultancy or managing security services for CSCs. They have a part in securing the cloud platform as well. For example, some SMEs (Small and Medium Enterprises) without security professionals may be unsure of how to secure their services and thus engage a Third-Party Security Service Provider (TPSSP) for consultancy.  クラウドサービスの普及に伴い、第三者によるアウトソーシングサービスが増加しているのは当然のことです。セキュリティに関する責任は、通常、CSPとCSC(Cloud Service Customers)の間で分担されています。しかし実際には、サードパーティのセキュリティ・サービス・プロバイダーは、CSCのセキュリティ・サービスのコンサルティングや管理を行うなど、重要な役割を果たすことが多くなっています。また、クラウド・プラットフォームのセキュリティにも一役買っています。例えば、セキュリティの専門家を持たないSME(Small and Medium Enterprises)の中には、自社のサービスをどのように保護すればよいかわからないため、サードパーティ・セキュリティ・サービス・プロバイダー(TPSSP)にコンサルティングを依頼するケースがあります。 
The role of TPSSP can be pivotal in the security of these SMEs. The guidelines in this document will help cloud customers when signing Service Level Agreement(SLAs) with TPSSPs. このような中小企業のセキュリティにおいて、TPSSPの役割は極めて重要なものとなります。本文書のガイドラインは、クラウド事業者がTPSSPとサービスレベル契約(SLA)を締結する際に役立ちます。
Understand the security roles and responsibilities of TPSSPs for: 以下についてのTPSSPのセキュリティ上の役割と責任を理解する。
・Identity and access management ・アイデンティティおよびアクセス管理
・Cloud Workload Protection Platform ・クラウドワークロード保護プラットフォーム
・Network Security ・ネットワークセキュリティ
・Data & Storage Security ・データとストレージのセキュリティ
・Assessment ・アセスメント
・Security Analytics as a Service ・サービスとしてのセキュリティ分析
・Application Security ・アプリケーションセキュリティ
・Security Support Services ・セキュリティサポートサービス

・[PDF] 簡単な質問に答えるとダウンロードできます

20211201-50945

1 Introduction 1 はじめに
1.1 Background 1.1 背景
1.2 Scope 1.2 範囲
1.3 Goal 1.3 目標
1.4 Audience 1.4 オーディエンス
2 Definitions and Characteristics 2 定義と特徴
2.1 Definitions 2.1 定義
2.2 TPSSP/ MSSP Characteristics 2.2 TPSSP/MSSPの特徴
3 Roles and Responsibilities of TPSSPs 3 TPSSPの役割と責任
3.1 Identity and Access Management (IAM) 3.1 アイデンティティ及びアクセス管理(IAM)
3.1.1 Privileged Access Management (PAM) 3.1.1 Privileged Access Management (PAM)
3.1.2 Access Management and Authentication (AMA) 3.1.2 アクセス管理および認証(AMA:Access Management and Authentication)
3.1.3 Identity Governance and Administration (IGA) 3.1.3 アイデンティティ・ガバナンスとアドミニストレーション(IGA)
3.1.4 Fraud Detection 3.1.4 不正行為の検知
3.1.5 Identity Threat Protection 3.1.5 アイデンティティ脅威の保護
3.2 Cloud Workload Protection Platform (CWPP) 3.2 クラウド・ワークロード・プロテクション・プラットフォーム(CWP)
3.2.1 Malware Analysis (Anti-Virus) 3.2.1 マルウェア解析(アンチウイルス)
3.2.2 Server Endpoint Detection and Response (Server EDR) 3.2.2 サーバーエンドポイント検出と応答(Server EDR)
3.2.3 Container Security 3.2.3 コンテナセキュリティ
3.2.4 Serverless Security 3.2.4 サーバーレス・セキュリティ
3.2.5 Memory and Process, Integrity/Protection (MPIP) 3.2.5 MPIP(Memory and Process, Integrity/Protection)
3.2.6 Micro-segmentation 3.2.6 マイクロセグメンテーション
3.2.7 Vulnerability, Hardening, and Configuration Compliance 3.2.7 脆弱性対策、ハードニング、設定コンプライアンス
3.3 Network Security 3.3 ネットワークセキュリティ
3.3.1 Virtual Private Network (VPN)-as-a-Service (VPNaaS) 3.3.1 仮想プライベート・ネットワーク(VPN)アズ・ア・サービス(VPNaaS)
3.3.2 Network Security Audit 3.3.2 ネットワークセキュリティ監査
3.3.3 Web Application Firewall (WAF)-as-a-Service (WAFaaS) 3.3.3 サービスとしてのウェブアプリケーションファイアウォール(WAF)(WAFaaS)
3.3.4 Distributed Denial-of-Service (DDoS) Mitigation Service 3.3.4 分散型サービス拒否(DDoS)緩和サービス
3.3.5 Network Intrusion Detection/Prevention (NIDPS) Service 3.3.5 ネットワーク侵入検知・防御(NIDPS)サービス
3.3.6 Secure Web Gateway (SWG) Service 3.3.6 セキュアウェブゲートウェイ(SWG)サービス
3.3.7 Network Traffic Analysis (NTA) Service 3.3.7 ネットワークトラフィック解析(NTA)サービス
3.4 Data and Storage Security 3.4 データおよびストレージセキュリティ
3.4.1 Digital Risk Protection 3.4.1 デジタルリスクの保護
3.4.2 Data Backup and Recovery 3.4.2 データのバックアップとリカバリー
3.4.3 Database Forensic 3.4.3 データベース・フォレンジック
3.4.4 Data Masking 3.4.4 データマスキング
3.4.5 Data Encryption 3.4.5 データの暗号化
3.5 Assessment 3.5 アセスメント
3.5.1 Vulnerability Scan Services 3.5.1 脆弱性スキャンサービス
3.5.2 Cloud Security Posture Management (CSPM) 3.5.2 クラウドセキュリティポスチャーマネジメント(CSPM)サービス
3.5.3 Penetration Testing Services 3.5.3 侵入テストサービス
3.6 Security Analytics-as-a-Service 3.6 セキュリティ・アナリティクス・アズ・ア・サービス
3.6.1 Security Information and Event Management (SIEM) 3.6.1 セキュリティ・インフォメーション・アンド・イベント・マネジメント(SIEM)
3.6.2 Security Orchestration, Automation, and Response (SOAR) 3.6.2 セキュリティオーケストレーション、オートメーション、レスポンス(SOAR)
3.6.3 Audit Log-as-a-Service 3.6.3 監査ログ・アズ・ア・サービス
3.6.4 Threat Intelligence Services 3.6.4 脅威インテリジェンスサービス
3.7 Application Security 3.7 アプリケーション・セキュリティ
3.7.1 Email Security Service 3.7.1 電子メールセキュリティサービス
3.7.2 Cloud Access Security Broker (CASB) 3.7.2 クラウド・アクセス・セキュリティ・ブローカー(CASB)
3.7.3 Key Management-as-a-Service (KMaaS) 3.7.3 キーマネージメント・アズ・ア・サービス(KMaaS)
3.8 Security Support Services 3.8 セキュリティサポートサービス
3.8.1 Security Configuration Management 3.8.1 セキュリティ設定管理
3.8.2 Security Incident Response 3.8.2 セキュリティインシデント対応
3.8.3 Security Policy Development 3.8.3 セキュリティポリシーの策定
3.8.4 Security Updates 3.8.4 セキュリティアップデート
3.8.5 Security Reporting 3.8.5 セキュリティレポート
3.8.6 Security Training and Education 3.8.6 セキュリティのトレーニングと教育
4 Conclusion 4 おわりに
References 参考文献

 

| | Comments (0)

2021.11.30

NIST SP 800-213 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイスのサイバーセキュリティ要件の確立、SP 800-213A 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイス・サイバーセキュリティ要件カタログ

こんにちは、丸山満彦です。

NISTが、

  • SP 800-213 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイスのサイバーセキュリティ要件の確立
  • SP 800-213A 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイス・サイバーセキュリティ要件カタログ

の確定版を公表しましたね。。。

SP 800-53、NISTIR 8259NISTIR 8259ANISTIR 8259BNISTIR 8259CNISTIR 8379とも関係してくるのですが、その関係を理解するためのに、NISTの過去のブログの記事が参考になります。。。(NISTIR 8259Dは今回のタイミングで廃止され、内容はSP800-213Aの附属書Aに移っています。。。)

●NIST- Cybersecurity Insight

・2020.12.15 Rounding Up Your IoT Security Requirements: Draft NIST Guidance for Federal Agencies

Blog_1_v7

を踏まえた上で、、、

 

● NIST - ITL

・2021.11.29 SP 800-213 IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements

SP 800-213 IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements SP 800-213 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイスのサイバーセキュリティ要件の確立
Abstract 概要
Organizations will increasingly use Internet of Things (IoT) devices for the mission benefits they can offer, but care must be taken in the acquisition and implementation of IoT devices. This publication contains background and recommendations to help organizations consider how an IoT device they plan to acquire can integrate into a system. IoT devices and their support for security controls are presented in the context of organizational and system risk management. This publication provides guidance on considering system security from the device perspective. This allows for the identification of device cybersecurity requirements—the abilities and actions an organization will expect from an IoT device and its manufacturer and/or third parties, respectively. IoTデバイスが提供するミッション上のメリットを考慮して、組織はますますIoTデバイスを使用するようになるでしょうが、IoTデバイスの取得と実装には注意が必要です。本書では、取得を予定しているIoTデバイスがシステムにどのように統合されるかを組織が検討する際に役立つ背景と推奨事項を記載しています。IoTデバイスとそのセキュリティ管理への対応を、組織およびシステムのリスク管理の観点から紹介しています。本書では、デバイスの観点からシステムセキュリティを検討する際の指針を示しています。これにより、デバイスのサイバーセキュリティ要件(組織がIoTデバイスとその製造者および/またはサードパーティにそれぞれ期待する能力と行動)を特定することができます。

・[PDF]

20211130-62150

 

 

・2021.11.29 SP 800-213A IoT Device Cybersecurity Guidance for the Federal Government: IoT Device Cybersecurity Requirement Catalog

SP 800-213A IoT Device Cybersecurity Guidance for the Federal Government: IoT Device Cybersecurity Requirement Catalog SP 800-213A 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイス・サイバーセキュリティ要件カタログ
Abstract 概要
This publication provides a catalog of internet of things (IoT) device cybersecurity capabilities (i.e., features and functions needed from a device to support security controls) and non-technical supporting capabilities (i.e., actions and support needed from device manufacturers and other supporting entities to support security controls) that can help organizations as they use Special Publication (SP) 800-213 to determine and establish device cybersecurity requirements. This catalog cross references the capabilities in the catalog to the cybersecurity controls in NIST SP 800-53. Organizations should refer to SP 800-213 as that publication provides necessary context to effectively use this catalog and related material. 本書は、IoTデバイスのサイバーセキュリティ能力(セキュリティ対策をサポートするためにデバイスに必要な機能や特徴)と非技術的なサポート能力(セキュリティ対策をサポートするためにデバイスの製造者やその他のサポート団体に必要な行動やサポート)のカタログを提供するもので、組織がSP 800-213を使用してデバイスのサイバーセキュリティ要件を決定し確立する際に役立つものです。このカタログは、カタログ内の機能をNIST SP 800-53のサイバーセキュリティ対策と相互参照しています。SP 800-213は、本カタログおよび関連資料を効果的に使用するために必要なコンテキストを提供しているため、組織はSP 800-213を参照する必要があります。

 

・[PDF]

20211130-62335

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.15 NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか?

・2021.03.31 NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨

・2021.09.13 NISTIR 8379 NIST Cybersecurity for IoT Guidanceに対するパブリックコメントを受けて開催したオンラインワークショップの要約

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.12.10 米国 2020年IoTサイバーセキュリティ改善法に大統領が署名し成立した

・2020.11.19 米国 2020年IoTサイバーセキュリティ改善法が上院を通過

・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている?

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

 

 

» Continue reading

| | Comments (0)

ENISA 市民のサイバーセキュリティ意識向上に関する報告書を公表

こんにちは、丸山満彦です。

ENISAが、市民のサイバーセキュリティ意識向上に関する報告書を公表していますね。。。

 

● ENISA

・2021.11.29 (news) National Cybersecurity Strategies: with a vision on raising citizens’ awareness

National Cybersecurity Strategies: with a vision on raising citizens’ awareness 国家サイバーセキュリティ戦略:市民の意識向上を目指して
The European Union Agency for Cybersecurity (ENISA) under the framework of its 9th National Cybersecurity Strategies (NCSS) workshop, issued a report on cybersecurity awareness, with the aim to assist EU Member States in fostering their cybersecurity capacities on citizens. 欧州連合サイバーセキュリティ機関(ENISA)は、第9回国家サイバーセキュリティ戦略(NCSS)ワークショップの枠内で、EU加盟国が市民に対するサイバーセキュリティ能力を育成することを支援する目的で、サイバーセキュリティ意識に関する報告書を発行しました。
An ever-rising number of cyberattacks each year is a de facto, which in combination with the lack of appropriate guidelines and trainings highlights the urgent need for cybersecurity awareness. At the same time, communication about cybersecurity issues and awareness raising is not a straightforward endeavour. EU Member States need to take concrete actions towards this objective, which is more likely to be successful when the corresponding vision is incorporated in their national cybersecurity strategy. 毎年増え続けるサイバー攻撃はデファクトであり、適切なガイドラインやトレーニングの欠如と相まって、サイバーセキュリティ意識の緊急性が強調されています。同時に、サイバーセキュリティの問題に関するコミュニケーションや意識向上は、一筋縄ではいかない取り組みです。EU加盟国は、この目的に向けて具体的な行動を起こす必要がありますが、これは、対応するビジョンが国のサイバーセキュリティ戦略に組み込まれている場合に成功する可能性が高くなります。
In this context, ENISA organised today the 9th National Cybersecurity Strategies (NCSS) Workshop, an annual event dedicated on developments and good practices followed by EU Member States towards raising cybersecurity awareness. この観点から、ENISAは本日、第9回国家サイバーセキュリティ戦略(NCSS)ワークショップを開催しました。このワークショップは、サイバーセキュリティ意識の向上に向けてEU加盟国が実施している開発や優れた実践について議論する年次イベントです。
The report “Raising awareness as a key element of National Cybersecurity Strategies” was the main deliverable, presented by ENISA experts during the workshop. 報告書「Raising awareness as a key element of National Cybersecurity Strategies(国家サイバーセキュリティ戦略の重要な要素としての意識向上)」は、ワークショップでENISAの専門家が発表した主な成果物です。
The National Capabilities Assessment Framework (NCAF) tool was also announced and the development of a European Information Hub framework was addressed.   また、国家能力評価フレームワーク(NCAF)ツールが発表され、欧州情報ハブフレームワークの開発が取り上げられました。  
Objective of the Raising Awareness of Cybersecurity report Raising Awareness of Cybersecurity」レポートの目的
The ultimate aim of the report is to assist EU Member States in their efforts to further build their cybersecurity capacities by analysing best practices towards raising citizens’ awareness on cybersecurity. An overview and an analysis of EU Member States’ national awareness activities and plans, is thoroughly presented. 本報告書の最終的な目的は、サイバーセキュリティに関する市民の意識向上に向けたベストプラクティスを分析することにより、EU加盟国がサイバーセキュリティの能力をさらに高めるための努力を支援することです。EU加盟国の国内意識向上活動と計画の概要と分析を徹底的に紹介しています。
In doing so the report deep-dives into the methodologies and approaches followed by Member States that includes inter alias planning, awareness raising activities, performance indicators and impact made. For that effort, twenty structured interviews were conducted with the relevant national authorities, during the reference period from May to July 2021. この報告書では、加盟国が行っている方法論とアプローチを深く掘り下げています。その中には、特に計画、意識向上活動、パフォーマンス指標、インパクトの与え方などが含まれています。この取り組みのために、2021年5月から7月までの基準期間中に、関連する国家機関に20回の構造化インタビューを行いました。
Through the identification of good practices, challenges and lessons learnt, the report also proposes recommendations on how to increase the effectiveness of national awareness raising activities. 本報告書では、優れた事例、課題、学んだ教訓を明らかにすることで、各国の意識向上活動の効果を高めるための提言を行っています。
Recommendations in a nutshell 提言を要約すると
To increase the effectiveness of national awareness raising activities, recommendations are concentrated in the following four axes: 国の啓発活動の効果を高めるために、提言は以下の4つの軸に集約されています。
・Building capacities for cybersecurity awareness through National Cybersecurity Strategies (NCSS) to facilitate stakeholders towards understanding the scope and the necessity of cybersecurity awareness raising, as well as to whom it applies and what its main objectives are. ・国家サイバーセキュリティ戦略(NCSS)を通じて、サイバーセキュリティ意識向上のための能力を構築し、関係者がサイバーセキュリティ意識向上の範囲と必要性、誰に適用するか、その主な目的は何かを理解できるようにする。
・Regular assessments of cybersecurity trends and challenges by conducting analyses and reports of the threat environment. As an important step towards higher degree of awareness, since the wider public is the end-recipient. ・脅威環境の分析と報告を行うことで、サイバーセキュリティの傾向と課題を定期的に評価する。広く一般の人々が最終的な受信者であるため、意識向上への重要なステップとなる。
・Measuring cybersecurity behaviour that provides for quantitative measurement of cybersecurity, by taking into account thinking and behavioural patterns of EU citizens on cybersecurity. ・サイバーセキュリティに関するEU市民の考え方や行動パターンを考慮することで、サイバーセキュリティの定量的な測定を可能にするサイバーセキュリティ行動を測定する。
・Planning for cybersecurity awareness campaigns by enabling appropriate messaging in a professional manner. ・専門的な見地にもとづき適切なサイバーセキュリティ意識向上キャンペーンを企画する。
Target audience 想定読者
・Experts from National Authorities responsible for the designing and the implementation of cybersecurity awareness raising campaigns, as well as responsible for National Cybersecurity Strategies. ・サイバーセキュリティ意識向上キャンペーンの企画・実施を担当する国家機関の専門家、および国家サイバーセキュリティ戦略の責任者。
・European Institutions interested in cybersecurity awareness and skills.. ・サイバーセキュリティの啓発やスキルアップに関心のある欧州機関の方
・Business and the industry sector. ・ビジネスおよび産業部門
・Researchers and the academic community. ・研究者および学界
Other ENISA activities on National Cybersecurity Strategies (NCSS) 国家サイバーセキュリティ戦略(NCSS)に関するその他のENISAの活動
ENISA engages in a number of actions to support EU national authorities to enhance their capabilities in relation to the implementation and assessment of their National Cybersecurity Strategies. ENISAは、EUの国家機関が国家サイバーセキュリティ戦略の実施と評価に関連してその能力を強化することを支援するため、多くの活動に取り組んでいます。
Actions include: アクションには以下が含まれる。
The introduction of the National Capabilities Assessment Framework (NCAF tool) 国家能力評価フレームワーク(NCAFツール)の導入
ENISA in December 2020 issued the National Capabilities Assessment Framework (NCAF) report that provides to Member States a methodology to conduct an evaluation of their cybersecurity capabilities and to measure their maturity at national level by assessing their National Cybersecurity Strategies (NCSS) objectives. In continuation to the NCAF report, ENISA in the coming days will release the National Capabilities Assessment Framework Tool (NCAF Tool). ENISAは2020年12月に国家能力評価フレームワーク(NCAF)レポートを発行し、加盟国にサイバーセキュリティ能力の評価を実施し、国家サイバーセキュリティ戦略(NCSS)の目的を評価することで、国家レベルでの成熟度を測定するための方法論を提供している。NCAFレポートに続いて、ENISAは近日中に国家能力評価フレームワークツール(NCAFツール)をリリースします。
Why the National Capabilities Assessment Framework (NCAF) tool is important? なぜ国家能力評価フレームワーク(NCAF)ツールが重要なのか?
The NCAF tool provides Member States with the necessary means needed to support the assessment of their cybersecurity capabilities, in relation to the goals and objectives of their National Cybersecurity Strategies. Using the ENISA’s NCAF tool, policymakers, experts and government officials responsible for or involved in the designing, implementation and evaluation of the National Cybersecurity Strategies (NCSS), can ease and speed up this process by saving time and resources. NCAFツールは、加盟国に対し、国家サイバーセキュリティ戦略の目標と目的に関連して、サイバーセキュリティ能力の評価を支援するために必要な手段を提供します。ENISAのNCAFツールを使用することで、国家サイバーセキュリティ戦略(NCSS)の設計、実施、評価の責任者または関係者である政策立案者、専門家、政府関係者は、時間と資源を節約してこのプロセスを容易にし、迅速化することができます。
By performing such an assessment, Member States can enhance their awareness on cybersecurity maturity, identify areas for improvement and further develop cybersecurity capabilities at a national level. このような評価を行うことで、加盟国はサイバーセキュリティの成熟度に関する意識を高め、改善すべき分野を特定し、国家レベルでサイバーセキュリティ能力をさらに発展させることができる。
The development of a European Information Hub framework 欧州情報ハブフレームワークの開発
The NCSS workshop provided a good opportunity to also present a conceptual framework for the development of a European Information Hub. The European Information Hub is envisioned to be developed and serve as a one-stop-shop for cybersecurity information, directly accessible by the public. Via such a dedicated portal, ENISA aims to further contribute to Europe’s cyber resilience through the provision of relevant information and knowledge to interested stakeholders across the European Union, in a timely and user-friendly manner. NCSSワークショップは、欧州情報ハブの開発のための概念的枠組みを提示する良い機会となりました。欧州情報ハブは、一般市民が直接アクセスできるサイバーセキュリティ情報のワンストップショップとして開発・提供されることが想定されています。ENISAは、このような専用ポータルを介して、欧州連合内の利害関係者に関連する情報や知識をタイムリーかつユーザーフレンドリーな方法で提供することにより、欧州のサイバーレジリエンスにさらに貢献することを目指しています。
The information hub can also serve as an awareness-raising tool by supporting European citizens, businesses and public sector officials in promoting and accessing relevant information on cybersecurity. また、この情報ハブは、欧州市民、企業、公共部門の関係者がサイバーセキュリティに関する関連情報を促進し、アクセスすることを支援することで、意識向上のツールとしても機能します。
Further Information 関連情報
ENISA's report on Raising Awareness of Cybersecurity ENISAのサイバーセキュリティの意識向上に関する報告書
ENISA’s National Capabilities Assessment Framework report ENISAの国家能力評価フレームワーク報告書
ENISA’s work on National Cybersecurity Strategies ENISAの国家サイバーセキュリティ戦略活動

 

・2021.11.29 Raising Awareness of Cybersecurity

Raising Awareness of Cybersecurity サイバーセキュリティの意識向上
This report seeks to assist EU Member States in further building their cybersecurity capacities by analysing best practices on raising citizens’ awareness of cybersecurity. We have collected information and evaluated the intensity, regularity and diversity of different cybersecurity awareness practices and processes in EU Member States. We present ways in which Member States have achieved better cybersecurity awareness in society and have incorporated cybersecurity awareness into their national cybersecurity strategies (NCSS). In addition, we provide recommendations in the following four areas: building capacities for cybersecurity awareness, regular assessments of trends and challenges, measuring cybersecurity behaviour and planning cybersecurity awareness campaigns. 本報告書は、市民のサイバーセキュリティに対する意識向上に関するベストプラクティスを分析することで、EU加盟国のサイバーセキュリティ能力のさらなる向上を支援することを目的としています。我々は情報を収集し、EU加盟国における様々なサイバーセキュリティ意識向上の実践やプロセスの強度、規則性、多様性を評価しました。加盟国が社会におけるサイバーセキュリティ意識の向上を達成し、サイバーセキュリティ意識を国家サイバーセキュリティ戦略(NCSS)に組み込んでいる方法を紹介します。さらに、次の4つの分野における提言を提供します。サイバーセキュリティ意識のための能力構築、傾向と課題の定期的な評価、サイバーセキュリティ行動の測定、サイバーセキュリティ意識向上キャンペーンの計画です。

・[PDF]

20211130-50812

EXECUTIVE SUMMARY エグゼクティブサマリー
1. INTRODUCTION 1. 序論
1.1 AIM, SCOPE AND OBJECTIVES 1.1 目的、範囲、目標
1.2 APPROACH AND METHODOLOGY 1.2 アプローチと方法論
1.3 TARGET AUDIENCE 1.3 対象者
1.4 DEFINITIONS 1.4 定義
1.5 STRUCTURE 1.5 構成
2. BUILDING CAPACITIES TO RAISE CYBERSECURITY AWARENESS 2. サイバーセキュリティ意識向上のための能力開発
2.1 NCSS WITH A CLEAR VISION ABOUT AWARENESS 2.1 意識向上についての明確なビジョンを持つNCS
2.2 COORDINATION OF AWARENESS ACTIVITIES AND INTERAGENCY COOPERATION 2.2 啓発活動の調整と省庁間協力
2.3 RESOURCE ALLOCATION 2.3 資源配分
2.4 COOPERATION WITH MEDIA 2.4 メディアとの協力
3. REGULAR ASSESSMENTS OF CYBERSECURITY TRENDS AND CHALLENGES 3. サイバーセキュリティの動向と課題の定期的な評価
4. MEASURING CYBERSECURITY BEHAVIOUR 4. サイバーセキュリティに関する行動の測定
5. PLANNING FOR CYBERSECURITY AWARENESS CAMPAIGNS 5. サイバーセキュリティ意識向上キャンペーン計画
5.1 MAIN CHALLENGES AND LESSONS LEARNT ABOUT EFFECTIVE CAMPAIGNING 5.1 効果的なキャンペーンについての主な課題と学んだこと
6. RECOMMENDATIONS 6. 推奨事項
6.1 BUILDING CAPACITIES FOR CYBERSECURITY AWARENESS 6.1 サイバーセキュリティ意識向上のための能力構築
6.2 REGULAR ASSESSMENTS OF CYBERSECURITY TRENDS AND CHALLENGES 6.2 サイバーセキュリティの傾向と課題を定期的な評価
6.3 MEASURING CYBERSECURITY BEHAVIOUR 6.3 サイバーセキュリティに関する行動の測定
6.4 PLANNING FOR CYBERSECURITY AWARENESS CAMPAIGNS 6.4 サイバーセキュリティ意識向上キャンペーン計画
7. BIBLIOGRAPHY 7. 参考資料
ANNEX A: QUESTIONNAIRE 附属書A:質問書
ANNEX B: MEMBER STATES DATA ON AWARENESS CAMPAIGNS 附属書B:意識向上キャンペーンに関する加盟国のデータ

 

 

 

| | Comments (0)

2021.11.29

内閣官房 経済安全保障法制に関する有識者会

こんにちは、丸山満彦です。

内閣官房で経済安全保障法制に関する有識者会が開始されましたね。。。

事務局は、内閣官房経済安全保障法制準備室です。。。

 

内閣官房 - 経済安全保障法制に関する有識者会

・2021.11.26 第1回

 ・[PDF] 議事次第 

 ・[PDF] 資料1

 ・[PDF] 資料2

説明資料はこちら...

 ・[PDF] 資料3

課題のページとかは参考になるかもですね。。。

20211129-154241

で有識者の方に議論してもらいたいとした内容は、、、

  • 経済安全保障をめぐる動向について、どう分析・評価するか。
  • 経済安全保障の観点から我が国の制度にどのような課題があるか。
  • かかる課題等を踏まえ、必要な法制上の取組は何か

ということのようです。。。

半導体、クラウド、ソフトウェアについてのビジネス、それを有利にすすめるための技術とかも重要となるんでしょうね。。。


 

関係

内閣官房 - 経済安全保障推進会議

事務局は、内閣官房国家安全保障局

・2021.11.19 経済安全保障推進会議(第1回)

| | Comments (0)

ENISA 鉄道サイバーセキュリティ - サイバーリスク管理のグッドプラクティス

こんにちは、丸山満彦です。

ENISAが、鉄道に関するサイバーリスク管理のグッドプラクティスの報告書を公表していますね。。。

 

● ENISA

・2021.11.25 (news) Risk Management: Helping the EU Railways Catch the Cybersecurity Train

Risk Management: Helping the EU Railways Catch the Cybersecurity Train リスクマネジメント:EUの鉄道会社がサイバーセキュリティの列車に乗るために
Risk management for the EU railways drives the attention of a new report by the European Union Agency for Cybersecurity. The report will be announced by Juhan Lepassaar during today’s webinar co-organised with the European Union Agency for Railways. EU鉄道のリスクマネジメントは、欧州連合(EU)サイバーセキュリティ機関の新しいレポートで注目を集めています。この報告書は、欧州連合鉄道庁との共催による本日のウェビナーでJuhan Lepassaarが発表します。
ENISA, the EU Agency for Cybersecurity, and ERA, the EU Agency for Railways, have joined forces to organise a virtual webinar today on cybersecurity for the railway sector. EUのサイバーセキュリティ機関であるENISAと、EUの鉄道庁であるERAが共同で、鉄道分野のサイバーセキュリティに関するバーチャルウェビナーを本日開催します。
While ERA is to present the state of play on cybersecurity in the sector, ENISA is to announce  the release of its report - Railway Cybersecurity – Good Practices in Cyber Risk Management for railway organisations. ERAが鉄道分野におけるサイバーセキュリティの現状を紹介する一方で、ENISAは報告書「Railway Cybersecurity - Good Practices in Cyber Risk Management for Railway Organizations(鉄道のサイバーセキュリティ-鉄道組織のサイバーリスク管理における優良事例)」の発表を予定しています。
Juhan Lepassaar, Executive Director of ENISA, is to present the report in his welcome remark. Josef Doppelbauer, Executive Director of ERA is to address closing remarks to conclude the event. ENISAのエグゼクティブ・ディレクターであるJuhan Lepassaarは、歓迎の挨拶の中でこの報告書を紹介します。ERAのジョセフ・ドッペルバウアー事務局長が閉会の辞を述べ、イベントを締めくくります。
European railway undertakings (RUs) and infrastructure managers (IMs) need to address cyber risks in a systematic way as part of their risk management processes. This need has become even more urgent since the Network and Information Security (NIS) Directive came into force in 2016. 欧州の鉄道事業者やインフラ管理者は、リスク管理プロセスの一環として、サイバーリスクに体系的に取り組む必要がある。この必要性は、2016年に「ネットワークおよび情報セキュリティ(NIS)指令」が発効して以来、さらに緊急性を増しています。
Objectives of the Railway Cybersecurity report 「鉄道サイバーセキュリティ」報告書の目的
The purpose of the report is to provide European RUs and IMs with applicable methods and practical examples on how to assess and mitigate cyber risks. 本報告書の目的は、欧州のRUおよびIMに対して、サイバーリスクの評価および緩和方法に関する適用可能な方法と実践例を提供することです。
The good practices presented are based on feedback from railway stakeholders. They include tools, such as assets and services list, cyber threat scenarios and applicable cybersecurity measures, based on the standards and good practices used in the sector. These resources can be used as a basis for cyber risk management for railway companies. They are therefore intended to be a reference point and to promote collaboration between railway stakeholders across the EU while raising awareness on relevant threats. 紹介されているグッドプラクティスは、鉄道関係者からのフィードバックに基づいています。これらには、この分野で使用されている基準やグッドプラクティスに基づいた、資産やサービスのリスト、サイバー脅威のシナリオ、適用可能なサイバーセキュリティ対策などのツールが含まれています。これらのリソースは、鉄道会社のサイバーリスク管理の基礎として使用することができます。したがって、これらの資料は、関連する脅威についての認識を高めながら、参照点となり、EU全域の鉄道関係者の協力を促進することを目的としています。
The main takeaways 主な要点
Existing risk management approaches vary for railway IT and OT systems 既存のリスク管理アプローチは、鉄道のITおよびOTシステムによって異なる
For the risk management of railway Information Technology (IT) systems, the most cited approaches were the requirements of NIS Directive at a national level, the ISO 2700x family of standards, and the NIST cybersecurity framework. 鉄道の情報技術(IT)システムのリスク管理については、国レベルのNIS指令の要求事項、ISO 2700x規格ファミリー、NISTサイバーセキュリティ・フレームワークが最も引用されたアプローチです。
For Operational Technology (OT) systems, the frameworks cited were ISA/IEC 62443, CLC/TS 50701, and the recommendations of the Shift2Rail project X2Rail-3, or the ones from the CYRail Project. 運用技術(OT)システムでは、ISA/IEC 62443、CLC/TS 50701、Shift2RailプロジェクトのX2Rail-3の推奨事項、またはCYRailプロジェクトの推奨事項が挙げられます。
Those standards or approaches are often used in a complementary way to adequately address both IT and OT systems. While IT systems are normally evaluated with broader and more generic methods (such as ISO 2700x or NIS Directive), OT systems need specific methods and frameworks that have been designed for industrial train systems. これらの規格やアプローチは、ITシステムとOTシステムの両方に適切に対応するために、補完的に使用されることが多いです。ITシステムは通常、より広範で汎用的な手法(ISO 2700xやNIS指令など)で評価されますが、OTシステムには、産業用列車システム向けに設計された特定の手法やフレームワークが必要です。
There is no unified approach available to railway cyber risk management yet. Stakeholders who participated in this study indicated that they use a combination of the abovementioned international and European approaches to tackle risk management, which they then complement with national frameworks and methodologies. 鉄道のサイバーリスク管理に利用できる統一的なアプローチはまだありません。この調査に参加したステークホルダーは、リスク管理に取り組むために、上記の国際的なアプローチと欧州のアプローチを組み合わせて使用しており、それを国内のフレームワークや方法論で補完していると述べています。
Asset taxonomies 資産の分類法
For RUs and IMs to manage cyber risks, identifying what needs protection is essential. In this report, a comprehensive list is broken down to 5 areas; the services that stakeholders provide, the devices (technological systems) that support these services, the physical equipment used to provide these services, the people that maintain or use them, and the data used. RUとIMがサイバーリスクを管理するためには、保護が必要なものを特定することが不可欠です。本報告書では、包括的なリストを、ステークホルダーが提供するサービス、これらのサービスをサポートするデバイス(技術システム)、これらのサービスを提供するために使用される物理的な機器、それらを維持または使用する人、そして使用されるデータの5つの分野に分類しています。
Threats taxonomies and risk scenarios 脅威の分類とリスクシナリオ
RUs and IMs need to identify which cyber threats are applicable to their assets and services. The report reviews available threat taxonomies, and provides a list of threats that can be used as the basis. RUとIMは、自分たちの資産やサービスにどのようなサイバー脅威が当てはまるかを特定する必要があります。本レポートでは、利用可能な脅威の分類法を検討し、基礎となる脅威のリストを提供しています。
Examples of cyber risk scenarios are also analysed, which can assist railway stakeholders when performing a risk analysis. They show how asset and threat taxonomies can be used together and are based on the known incidents of the sector and the feedback received during the workshops. また、鉄道関係者がリスク分析を行う際に役立つ、サイバーリスクシナリオの例を分析しています。これらの例は、資産と脅威の分類法をどのように併用できるかを示しており、この分野の既知のインシデントやワークショップで得られたフィードバックに基づいています。
Applying cybersecurity measures サイバーセキュリティ対策の適用
Each scenario is associated with a list of relevant security measures. The report includes cybersecurity measures derived from the NIS Directive, current standards (ISO/IEC 27002, IEC 62443) and good practises (NIST’s cybersecurity framework). 各シナリオは、関連するセキュリティ対策のリストと関連付けられています。報告書には、NIS指令、現行規格(ISO/IEC 27002、IEC 62443)、グッドプラクティス(NISTのサイバーセキュリティフレームワーク)に由来するサイバーセキュリティ対策が含まれています。
Target audience 想定読者
Staff and experts responsible for cybersecurity (CISOs, CIOs, CTOs, etc.) within RUs and IMs; RUおよびIM内のサイバーセキュリティを担当するスタッフおよび専門家(CISO、CIO、CTOなど)。
Regulatory bodies and National Competent Authorities; 規制機関および国家管轄機関
Decision and policy makers. 意思決定者および政策立案者
Background 背景
The study released today builds on the ENISA Report - Railway Cybersecurity - Security measures produced in November 2020 on cybersecurity in the railway sector. This previous report assessed the level of implementation of cybersecurity measures in the sector. 本日発表された調査は、2020年11月に作成された鉄道分野のサイバーセキュリティに関するENISAレポート-Railway Cybersecurity - Security measuresに基づいています。この前回の報告書は、鉄道セクターにおけるサイバーセキュリティ対策の実施レベルを評価したものです。
ENISA and ERA organised a virtual Conference on Rail Cybersecurity on March 2021. The conference took place virtually over two days and brought together more than 600 experts from railway organisations, policy, industry, research, standardisation and certification. One of the top topics voted by participants was cyber risk management for railways, and this motivated this study. ENISAとERAは、2021年3月に鉄道のサイバーセキュリティに関するバーチャル会議を開催しました。この会議は2日間にわたって仮想的に行われ、鉄道組織、政策、産業、研究、標準化、認証から600人以上の専門家が集まりました。参加者が投票した上位のテーマの一つが、鉄道のサイバーリスク管理であり、これが本研究の動機となりました。
The European Union Agency for Cybersecurity supports the development of cybersecurity capabilities of the railway sector by: 欧州連合サイバーセキュリティ機関は、鉄道セクターのサイバーセキュリティ能力の開発を以下の方法で支援しています。
Issuing guidance and recommendation papers together with the community; コミュニティと協力してガイダンスや勧告文書を発行する。
Organising physical and virtual events; 物理的および仮想的なイベントを開催する。
Participating in discussions with the Railway community on regulatory matters; 規制問題に関する鉄道コミュニティとの議論に参加する。
Validating activities through dedicated expert group in transport security (TRANSSEC; 輸送セキュリティの専門家グループ(TRANSSEC)による活動の検証。
Contributing to standardisation activities. 標準化活動への貢献。
Further Information 関連情報
ENISA report - Railway Cybersecurity – Good Practices in Cyber Risk Management – November 2021 ENISAレポート - 鉄道のサイバーセキュリティ - サイバーリスク管理のグッドプラクティス - 2021年11月
ENISA Report - Railway Cybersecurity - Security measures – November 2020 ENISAレポート - 鉄道のサイバーセキュリティ - セキュリティ対策 - 2020年11月
ENISA topic – Critical Information Infrastructures and services - Railway ENISAトピック - 重要な情報インフラとサービス - 鉄道
Videos & presentations: Cybersecurity in Railways ビデオとプレゼンテーション 鉄道におけるサイバーセキュリティ
Cybersecurity in Railways Conference: Key Takeaways – March 2021 鉄道におけるサイバーセキュリティ会議。Key Takeaways - 2021年3月
TRANSSEC – Transport Security Experts Group TRANSSEC - 輸送セキュリティ専門家グループ
ERA – European Union Agency for Railways ERA - European Union Agency for Railways(欧州連合鉄道庁

 

・2121.11.25 Railway Cybersecurity - Good Practices in Cyber Risk Management

Railway Cybersecurity - Good Practices in Cyber Risk Management 鉄道のサイバーセキュリティ - サイバーリスク管理のグッドプラクティス
This report aims to be a reference point for current good practices for cyber risk management approaches that are applicable to the railway sector. It offers a guide for railway undertakings and infrastructure managers to select, combine or adjust cyber risk management methods to the needs of their organisation. It builds upon the 2020 ENISA report on cybersecurity in the railway sector (ENISA, 2020), which assessed the level of implementation of cybersecurity measures in the railway sector. This report provides actionable guidelines, lists common challenges associated with the performance of the relevant activities, and outlines good practices that can be readily adopted and tailored by individual organisations. Additionally, a list of useful reference material is available, together with practical examples and applicable standards. 本報告書は、鉄道セクターに適用可能なサイバーリスク管理手法の現在のグッドプラクティスを参照することを目的としています。鉄道事業者やインフラ管理者がサイバーリスク管理手法を選択したり、組み合わせたり、組織のニーズに合わせて調整したりするためのガイドとなっている。本報告書は、鉄道部門におけるサイバーセキュリティ対策の実施レベルを評価した「鉄道部門におけるサイバーセキュリティに関する2020年ENISA報告書」(ENISA, 2020)に基づいている。本報告書では、実行可能なガイドラインを提供し、関連する活動の実施に関連する共通の課題を挙げ、個々の組織が容易に採用し、調整することが可能なグッドプラクティスを概説しています。さらに、実用的な例や適用可能な基準とともに、有用な参考資料のリストも掲載しています。

・[PDF]

20211129-94833

1. INTRODUCTION 1. 序論
1.1 OBJECTIVES, SCOPE AND AUDIENCE 1.1 目的、範囲、対象者
1.2 METHODOLOGY 1.2 方法論
1.3 STRUCTURE OF THE REPORT 1.3 報告書の構成
2. CYBER RISK MANAGEMENT 2. サイバー・リスク・マネジメント
2.1 RISKS MANAGEMENT STEPS 2.1 リスク管理のステップ
2.2 RISK MANAGEMENT APPROACHES FOR THE RAILWAY SECTOR 2.2 鉄道分野におけるリスクマネジメントのアプローチ
3. RAILWAY ASSETS AND SERVICES 3. 鉄道資産およびサービス
3.1 TAXONOMY 3.1 分類
4. CYBER-RELATED THREATS 4. サイバー関連の脅威
4.1 TAXONOMY 4.1 分類
4.2 CYBER RISK SCENARIOS 4.2 サイバー・リスク・シナリオ
4.2.1 Scenario 1 – Compromising a signalling system or automatic train control system, leading to a train accident 4.2.1 シナリオ1 - 信号システムまたは自動列車制御システムの危殆化による、列車事故の発生
4.2.2 Scenario 2 – Sabotage of the traffic supervising systems, leading to train traffic stop 4.2.2 シナリオ2 - 交通監視システムの妨害行為による、列車の運行停止
4.2.3 Scenario 3 – Ransomware attack, leading to a disruption of activities 4.2.3 シナリオ3 - ランサムウェア攻撃、活動の中断につながるもの
4.2.4 Scenario 4 – Theft of clients’ personal data from the booking management system 4.2.4 シナリオ4 - 予約管理システムからの顧客の個人データの窃盗
4.2.5 Scenario 5 – Leak of sensitive data due to unsecure, exposed database 4.2.5 シナリオ5 - 安全でない、露出したデータベースによる機密データの漏洩
4.2.6 Scenario 6 – DDoS attack, blocking travellers from buying tickets 4.2.6 シナリオ 6 - DDoS 攻撃による、旅行者のチケット購入の妨害
4.2.7 Scenario 7 – Disastrous event destroying the datacentre, leading to disruption of IT services 4.2.7 シナリオ7 - データセンターが破壊され、ITサービスに支障をきたすような悲惨な出来事
5. CYBERSECURITY MEASURES 5. サイバーセキュリティ対策
5.1 APPLYING CYBERSECURITY MEASURES 5.1 サイバーセキュリティ対策の適用
5.2 CYBERSECURITY MEASURES 5.2 サイバーセキュリティ対策
6. CONCLUSIONS 6. 結論
7. BIBLIOGRAPHY 7. 参考資料
A ANNEX: ASSET DESCRIPTIONS 附属書A:資産の説明
B ANNEX: THREATS DESCRIPTION 附属書B:脅威の説明
C ANNEX: SECURITY MEASURES 附属書C:セキュリティ対策

 


まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16

・2020.11.15 ENISAが鉄道事業向けのセキュリティガイドを公表していますね。

| | Comments (0)

金融庁 みずほ銀行及びみずほフィナンシャルグループに対する行政処分について

こんにちは、丸山満彦です。

金融庁がみずほ銀行及びみずほフィナンシャルグループに対する行政処分を公表していますね。。。

金融庁

・2021.11.26 みずほ銀行及びみずほフィナンシャルグループに対する行政処分について


  1. 当庁としては、これらのシステム上、ガバナンス上の問題の真因は、以下の通りであると考えている。

(1)システムに係るリスクと専門性の軽視

(2)IT現場の実態軽視

(3)顧客影響に対する感度の欠如、営業現場の実態軽視

(4)言うべきことを言わない、言われたことだけしかしない姿勢

これらの真因の多くは、当行において発生させた平成14年及び平成23年のシステム障害においても通底する問題である。そのことからすれば、当行及び当社においては、システム障害が発生する度に対策を講じたとしても、過去の教訓を踏まえた取組みの中には継続されていないものがあるという点、あるいは環境変化への適切な対応が図られていないものがあるという点において、自浄作用が十分に機能しているとは認められない。
 

  1. したがって、当行及び当社においては、


(1)システム障害に係る再発防止策(MINORI等の安定稼働に必要となるシステムリスク管理態勢の整備、システム障害が発生した場合であっても顧客影響を極小化するための対策を含み、さらに当社にあっては適切な資源配分に係る改善策を含む。)、

(2)システムの安定稼働等に必要となる経営管理(ガバナンス)態勢の整備に係る具体的な取組み、


(3)一連のシステム障害の真因として挙げたシステムに係るリスクと専門性の軽視、IT現場の実態軽視、顧客影響に対する感度の欠如や営業現場の実態軽視、言うべきことを言わない、言われたことだけしかしない姿勢といった企業風土を改め、各々の役職員が顧客影響に対する感度を高めていくなど、組織的行動力を強化し、行動様式を変革していくための具体的な取組み 

に係る業務改善計画を策定(当社にあっては当行が策定する業務改善計画についての検証及び必要な見直しを含む。)し、これを速やかに実行するとともに、当該業務改善計画について継続的に再検証及び見直しを実施していく必要がある。


 

 

結果的に、銀行側での処分が発表されていますね。。。

 

みずほファイナンスグループ

・2021.11.26 金融庁および財務省による行政処分について [downloaded]

 ・[PDF] 行政処分を踏まえた再発防止に向けた取り組みについて [downloaded]

 ・[PDF] 【参考】2月28日から9月30日における各事案の概要 [downloaded]

 ・[PDF] (別紙)役員の追加処分等について [downloaded]

・2021.11.26 代表執行役の異動に関するお知らせ [downloaded]

・2021.11.26 役員異動のお知らせ [downloaded]

 

みずほ銀行

・2021.11.26 [PDF] 金融庁および財務省による行政処分について [downloaded]

・2021.11.26 [PDF] 代表執行役の異動に関するお知らせ [downloaded]

・2021.11.26 [PDF] 役員異動のお知らせ [downloaded]

 


網羅的ではないですが...

 

過去の金融庁からの発表

・2013.12.26 みずほ銀行及びみずほフィナンシャルグループに対する行政処分について

・2013.09.13 株式会社みずほ銀行に対する行政処分について

・2011.05.31 みずほ銀行及びみずほフィナンシャルグループに対する行政処分について

・2007.10.26 みずほ証券株式会社に対する行政処分について

・2006.04.25 株式会社みずほ銀行に対する行政処分について

・2004.12.28 株式会社みずほ銀行に対する行政処分について

・2002.06.19 みずほフィナンシャル・グループに対する行政処分について

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.23 金融庁 みずほ銀行及びみずほフィナンシャルグループに対する行政処分について

・2021.06.16 みずほFG システム障害特別調査委員会の調査報告書

・2011.05.21 みずほ銀行 システム障害特別調査委員会の調査報告書

・2011.03.29 金融庁 みずほ銀の事故の根本原因を検査

・2011.03.17 みずほ銀行ATM停止

| | Comments (0)

2021.11.28

ENISA 欧州におけるサイバーセキュリティに関する高等教育の状況についての報告書を公表

こんにちは、丸山満彦です。

ENISAが、欧州におけるサイバーセキュリティに関する高等教育の状況についての報告書を公表していますね。。。精神論でなく、計画立てて実行していますよね。。。サイバーセキュリティの卒業生は今後2~3年で倍増するようです。

ただ、女子学生が少ないのは欧州でも同じようです。。。

 

● ENISA

・2021.11.24 (news) Higher Education in Europe: Understanding the Cybersecurity Skills Gap in the EU

 

Higher Education in Europe: Understanding the Cybersecurity Skills Gap in the EU 欧州の高等教育 EUにおけるサイバーセキュリティのスキルギャップの理解
Cybersecurity graduates are expected to double in number in the next 2-3 years as shown by the Higher Education Database managed by European Union Agency for Cybersecurity. 欧州連合サイバーセキュリティ機関が管理する高等教育データベースが示すように、サイバーセキュリティの卒業生は今後2~3年で倍増すると予想されています。
Although the field of cybersecurity has expanded exponentially over the past decade, the fact that the workforce in the field has not increased adequately has now become obvious. The number of skilled and qualified workers is not enough to meet the demand, and national labour markets are disrupted worldwide, Europe included, as a consequence. サイバーセキュリティの分野は過去10年間で飛躍的に拡大しましたが、この分野の労働力が十分に増えていないという事実が現在明らかになっています。熟練した資格を持つ労働者の数は需要を満たすのに十分ではなく、その結果、ヨーロッパを含めた世界各国の労働市場が混乱しています。
The report - ENISA Report - Addressing the EU Cybersecurity Skills Shortage and Gap Through Higher Education - takes a look into data gathered by the Cybersecurity Higher Education Database - CyberHEAD in order to make a prediction on the future trends. This database is the largest resource of its nature and is able to provide a reliable and up-to-date snapshot of cybersecurity academic programmes available across Europe. 本報告書「ENISA報告書 - 高等教育を通じたEUのサイバーセキュリティのスキル不足とギャップへの対応」は、今後の動向を予測するために、「サイバーセキュリティ高等教育データベース - CyberHEAD」によって収集されたデータを調査しています。このデータベースは、この種のものとしては最大のリソースであり、ヨーロッパ全土で利用可能なサイバーセキュリティの学術プログラムについて、信頼性の高い最新のスナップショットを提供することができます。
Key findings reveal that the number of programmes and students engaged in cybersecurity higher education are growing. As a consequence, the number of graduates in the next 2-3 years is expected to double. However, gender balance is still an issue with only 20% of female students enrolled. 主な調査結果によると、サイバーセキュリティの高等教育に従事するプログラムと学生の数は増加しています。その結果、今後2~3年で卒業生の数は2倍になると予想されています。しかし、ジェンダーバランスの問題は依然として残っており、登録している女子学生の割合はわずか20%です。
The report also deep-dives into the policies and approaches adopted by Member States, classifying them according to the EU Agency for Cybersecurity (ENISA) National Capabilities Assessment Framework (NCAF). The framework encompasses awareness, training, challenges and exercises. It includes the list of actions taken around Europe, not only to increase the cybersecurity workforce, but also to increase the quality of candidates and equip them with such skills needed and requested the highest in demand on the job market. 本報告書では、加盟国が採用している政策やアプローチについても深く掘り下げ、EUサイバーセキュリティ機関(ENISA)の「国家能力評価フレームワーク(NCAF)」に基づいて分類しています。このフレームワークには、意識、トレーニング、課題、演習が含まれています。このフレームワークには、サイバーセキュリティ人材を増やすだけでなく、候補者の質を高め、雇用市場で最も需要が高く、必要とされているスキルを身につけさせるために、欧州各地で取られた行動のリストが含まれています。
Recommendations in a nutshell 提言を一言で言うと
In order to mitigate the cybersecurity skills gap, recommendations are: サイバーセキュリティのスキルギャップを軽減するための提言は、以下の通りです。
・Increase enrolments and eventually graduates in cybersecurity programmes through the diversification of curriculum, education format and the provision of scholarships in Higher Education Institutions (HEIs). ・高等教育機関(HEI)におけるカリキュラム、教育形態の多様化、および奨学金の提供を通じて、サイバーセキュリティプログラムの登録者数および最終的な卒業生数を増加させる。
・Support a unified approach across government, industry and HEIs through the adoption of a common framework regarding cybersecurity roles, competencies, skills and knowledge, such as the European Cybersecurity Skills Framework and the promotion of cybersecurity skills, challenges and competitions. ・欧州サイバーセキュリティ・スキル・フレームワークのような、サイバーセキュリティの役割、コンピテンシー、スキル、知識に関する共通のフレームワークの採用や、サイバーセキュリティ・スキル、チャレンジ、コンペの推進を通じて、政府、産業界、高等教育機関の間で統一的なアプローチを支援する。
・Develop synergies among Member states cybersecurity initiatives with the support of European bodies and EU funded projects. ・欧州の団体やEUが資金提供しているプロジェクトの支援を受けて、加盟国のサイバーセキュリティの取り組みの間での相乗効果を高める。
・Promote analysis on the cybersecurity market needs and trends through the identification of metrics to assess the extent of the problem and devise the possible measures to tackle it. ・問題の程度を評価し、それに取り組むための可能な手段を考案するための指標を特定することを通じて、サイバーセキュリティ市場のニーズと傾向に関する分析を促進する。
・Support the use and promotion of CyberHEAD in order to facilitate the ongoing understanding of the status of cybersecurity higher education programmes in the EU, monitor trends, follow progress and effectiveness of cybersecurity initiatives. ・EUにおけるサイバーセキュリティ高等教育プログラムの状況の継続的な理解を促進し、傾向を監視し、サイバーセキュリティの取り組みの進捗と効果をフォローするために、CyberHEADの使用と推進を支援する。
 Target audience 想定読者
・Member States and European Institutions interested in cybersecurity skills and the role that Higher Education has to play ・サイバーセキュリティのスキルと高等教育が果たすべき役割に関心のある加盟国および欧州機関
・EU Higher Education Institutions (HEIs) ・EUの高等教育機関(HEI)
・Business and industry ・企業および産業界
・Researchers and the academic community. ・研究者および学術界
Other ENISA activities on education and cyberskills development 教育とサイバースキルの開発に関するENISAのその他の活動
ENISA engages in a number of actions to support and strengthen the enhancement of cybersecurity skills and competence across sectors and at all levels, from the non-experts to the highly technically skilled professionals. ENISAは、分野を問わず、また非専門家から高度な技術を持つ専門家まで、あらゆるレベルでのサイバーセキュリティのスキルと能力の向上を支援・強化するために、多くの活動に取り組んでいる。
The purpose of such actions is to align with the EU’s Digital Education Action Plan. To this end, ENISA promotes and analyses cybersecurity higher education in the EU in order to respond to the current shortfall in the cybersecurity workforce. このような活動の目的は、EUの「デジタル教育行動計画」に沿ったものである。この目的のために、ENISAは、サイバーセキュリティ人材の現在の不足に対応するために、EUにおけるサイバーセキュリティ高等教育の促進と分析を行っている。
Actions include: アクションは以下の通りです。
The structured approach of the ad-hoc working group on skills framework which soon will deliver a framework able to harmonize cybersecurity education, training, and workforce development and concepts スキルフレームワークに関するアドホックワーキンググループの構造化されたアプローチにより、サイバーセキュリティの教育、訓練、労働力開発とコンセプトを調和させることができるフレームワークを間もなく提供する。
Cybersecurity Higher Education Database - CyberHEAD サイバーセキュリティ高等教育データベース - CyberHEAD
European Cybersecurity Challenge (ECSC) European Cybersecurity Challenge (ECSC)
Awareness campaigns such as the European Cybersecurity Month (ECSM) 欧州サイバーセキュリティ月間(ECSM)のような啓発キャンペーン
The ad-hoc working group on Awareness Raising for stakeholders of the community to brainstorm and develop ideas and solutions to raise the common level of cybersecurity hygiene and awareness in the effort to change behaviours securing the EU digital market. EUデジタル市場を確保するために行動を変える努力の中で、サイバーセキュリティの衛生と意識の共通レベルを高めるためのアイデアと解決策をブレインストーミングで開発するために、コミュニティの関係者のための意識向上に関するアドホックワーキンググループです。

 

・2021.11.24 Addressing Skills Shortage and Gap Through Higher Education

Addressing Skills Shortage and Gap Through Higher Education 高等教育を通じたスキル不足とギャップへの対応
In this report, ENISA contributes to both practice and research on the cybersecurity skills shortage and gap in two distinctive areas. Firstly, it provides an overview of the current supply of cybersecurity skills in Europe through an analysis of data gathered and generated by the recently established Cybersecurity Higher Education Database (CyberHEAD). Secondly, it describes the policy approaches adopted by EU Member States in their quest to increase and sustain their national cybersecurity workforces. These approaches have been classified and analysed based on objectives defined by ENISA’s National Capabilities Assessment Framework (NCAF), namely cybersecurity awareness, training, challenges and exercises. Based on the data collected and analysed, this report makes five recommendations to address the EU cybersecurity skills shortage and gap. 本報告書では、ENISAがサイバーセキュリティのスキル不足とギャップに関する実務と研究の両方に貢献するため、2つの特徴的な分野を紹介しています。第一に、最近設立されたサイバーセキュリティ高等教育データベース(CyberHEAD)によって収集・作成されたデータの分析を通じて、欧州におけるサイバーセキュリティ・スキルの現在の供給の概要を示しています。第二に、EU加盟国が自国のサイバーセキュリティ人材を増やし、維持するために採用している政策的アプローチについて説明しています。これらのアプローチは、ENISAの国家能力評価フレームワーク(NCAF)で定義された目的、すなわち、サイバーセキュリティの認識、訓練、課題、演習に基づいて分類、分析されています。本報告書は、収集・分析したデータに基づき、EUのサイバーセキュリティのスキル不足とギャップに対処するための5つの提言を行っています。

・[PDF]

20211128-63815

EXECUTIVE SUMMARY  エグゼクティブ・サマリー 
1. INTRODUCTION  1. 序論 
1.1 SCOPE OF THE REPORT  1.1 報告書の範囲 
1.2 TARGET AUDIENCE  1.2 対象読者 
1.3 REPORT STRUCTURE  1.3 報告書の構成 
2. THE SUPPLY OF CYBERSECURITY QUALIFICATIONS AND SKILLS  2. サイバーセキュリティの資格とスキルの供給について 
2.1 INTRODUCTION  2.1 はじめに 
2.2 AN ANALYSIS OF THE CHARACTERISTICS OF CYBERSECURITY PROGRAMMES  2.2 サイバーセキュリティプログラムの特徴の分析 
2.3 AN ASSESSMENT OF ENROLMENTS AND GRADUATES AND THEIR ABILITY TO ADDRESS THE NEEDS FOR SKILLS  2.3 入学者数と卒業生数、およびスキルのニーズに対応する能力の評価 
3. INITIATIVES TO ADDRESS THE CYBERSECURITY SKILLS SHORTAGE AND GAP IN THE EU  3. 欧州におけるサイバーセキュリティのスキル不足とギャップに対処するための取り組み 
3.1 INTRODUCTION  3.1 導入 
3.2 RAISE USER AWARENESS AMONGST THE GENERAL PUBLIC AND IN PRIMARY AND SECONDARY EDUCATION  3.2 一般市民および初等・中等教育におけるユーザー意識の向上 
3.3 STRENGTHEN TRAINING AND PROMOTE CYBERSECURITY IN HIGHER EDUCATION  3.3 高等教育における訓練の強化とサイバーセキュリティの推進 
3.4 ORGANISE CYBERSECURITY EXERCISES AND CHALLENGES  3.4 サイバーセキュリティに関する演習や課題を実施する 
4. SUMMARY AND RECOMMENDATIONS  4. まとめと提言 
4.1 INCREASE ENROLMENT IN CYBERSECURITY PROGRAMMES  4.1 サイバーセキュリティプログラムへの登録者数を増やす。
4.2 SUPPORT A UNIFIED APPROACH ACROSS GOVERNMENT, INDUSTRY AND UNIVERSITIES  4.2 政府、産業界、大学が一体となったアプローチを支援する 
4.3 UNDERSTAND JOB MARKET NEEDS AND TRENDS  4.3 雇用市場のニーズと傾向を理解する 
4.4 COLLABORATIONS BETWEEN EUROPEAN MEMBER STATES  4.4 欧州の加盟国間の協力関係 
4.5 CYBERHEAD’S VALUE FOR STUDENTS, HIGHER EDUCATION INSTITUTIONS AND MEMBER STATES  4.5 学生、高等教育機関、加盟国にとってのサイバーヘッドの価値 
A ANNEX: CYBERHEAD QUESTIONS  附属書A:サイバーヘッドに関する質問 
A.1 ANNEX SUBSECTION  A.1 附属書サブセクション 
A.2 LIST OF QUESTIONS TO BE ANSWERED BY THE HEIS  A.2 HEIsが回答すべき質問のリスト 
B ANNEX: EXPANDING THE CYBERHEAD QUESTION SET  附属書B:サイバーヘッドの質問セットの拡大 
C ANNEX: MEMBER STATE REPLIES  附属書C:加盟国からの回答 
D ANNEX: APPROACHES ADOPTED BY NON-EU COUNTRIES  附属書D:EU以外の国が採用したアプローチ 
D.1 RAISE USER AWARENESS AMONGST THE GENERAL PUBLIC AND IN PRIMARY AND SECONDARY EDUCATION  D.1 一般市民および初等・中等教育におけるユーザー意識の向上 
D.2 STRENGTHEN TRAINING AND PROMOTE CYBERSECURITY IN HIGHER EDUCATION  D.2 高等教育における訓練の強化とサイバーセキュリティの推進 
D.3 ORGANISE CYBERSECURITY EXERCISES AND CHALLENGES  D.3 サイバーセキュリティに関する演習や課題を実施する 
E ANNEX: LIST OF CYBERHEAD PROGRAMMES  附属書E:サイバーヘッドプログラムのリスト 

 

EXECUTIVE SUMMARY 要旨
The cybersecurity skills shortage and gap are well-documented issues that are currently having an impact on national labour markets worldwide. While various initiatives related to cybersecurity skills have been proposed and multiple actions have been launched to address the problems, the shortage and gap persist. ENISA has a long tradition of studies and programmes that have attempted to mitigate similar cybersecurity issues. In an effort to increase the EU’s future cybersecurity workforce and ensure the availability of appropriately trained professionals, ENISA has investigated the problem further. サイバーセキュリティのスキル不足とギャップは、現在、世界各国の労働市場に影響を与えている問題としてよく知られています。サイバーセキュリティのスキルに関連する様々なイニシアチブが提案され、問題に対処するための複数のアクションが開始されているが、不足とギャップは依然として続いている。ENISAには、同様のサイバーセキュリティの問題を緩和しようとする研究やプログラムの長い伝統があります。EUの将来のサイバーセキュリティ人材を増やし、適切な訓練を受けた専門家を確保するために、ENISAはこの問題をさらに調査しました。
In this report, ENISA contributes to both practice and research on the cybersecurity skills shortage and gap in two distinctive areas. Firstly, it provides an overview of the current supply of cybersecurity skills in Europe through an analysis of data gathered and generated by the recently established Cybersecurity Higher Education Database (CyberHEAD). Secondly, it describes the policy approaches adopted by EU Member States in their quest to increase and sustain their national cybersecurity workforces. These approaches have been classified and analysed based on objectives defined by ENISA’s National Capabilities Assessment Framework (NCAF), namely cybersecurity awareness, training, challenges and exercises. Here we note that this report focuses on the role of the higher education sector in addressing the EU cybersecurity skills shortage and gap, and therefore vocational or lower forms of education in cybersecurity related topics are not considered as core parts of this study. 本報告書でENISAは、2つの特徴的な分野において、サイバーセキュリティのスキル不足とギャップに関する実践と研究の両方に貢献している。第一に、最近設立されたサイバーセキュリティ高等教育データベース(CyberHEAD)によって収集・作成されたデータの分析を通じて、欧州におけるサイバーセキュリティ・スキルの現在の供給の概要を示しています。第二に、EU加盟国が自国のサイバーセキュリティ人材を増やし、維持するために採用している政策的アプローチについて説明しています。これらのアプローチは、ENISAの国家能力評価フレームワーク(NCAF)で定義された目的、すなわち、サイバーセキュリティの認識、訓練、課題、演習に基づいて分類、分析されています。ここで、本報告書は、EUのサイバーセキュリティのスキル不足とギャップに対処する上での高等教育部門の役割に焦点を当てていることに留意し、したがって、サイバーセキュリティ関連のトピックにおける職業教育や低学歴教育は、本研究の中核部分としては考慮されていない。
Based on the data collected and analysed under the two areas mentioned above, this report makes five recommendations to address the EU cybersecurity skills shortage and gap: 上記の2つの分野で収集・分析したデータに基づき、本報告書では、EUのサイバーセキュリティのスキル不足とギャップに対処するための5つの提言を行っています。
· Increase enrolments and eventually graduates in cybersecurity programmes through: ・以下の方法で、サイバーセキュリティプログラムへの登録者数と最終的な卒業生数を増やす。
o the diversification of the Higher Educational Institutes’ (HEIs) curricula in terms of content, levels and language. o 高等教育機関(HEI)のカリキュラムを内容、レベル、言語の面で多様化する。
o the provision of scholarships, especially for underrepresented groups, and more active efforts to promote cybersecurity as a diverse field. o 特に社会的弱者を対象とした奨学金の提供、および多様な分野としてのサイバーセキュリティを促進するためのより積極的な取り組み。
· Support a unified approach across government, industry and HEIs through: ・政府、産業界、高等教育機関が一体となったアプローチを支援する。
o the adoption of a common framework regarding cybersecurity roles, competencies, skills and knowledge, for example, the one provided by the European Cybersecurity Skills Framework. o サイバーセキュリティの役割、コンピテンシー、スキル、知識に関する共通のフレームワーク(例:European Cybersecurity Skills Framework)の採用
o the promotion of challenges and competitions in cybersecurity skills. o サイバーセキュリティ・スキルに関する課題やコンテストの推進。
· Increase collaborations between Member States in: ・加盟国間の協力関係の強化
o launching European cybersecurity initiatives with shared objectives. o 共通の目的を持った欧州のサイバーセキュリティ・イニシアチブの立ち上げ
o sharing of the outputs of programmes (including results and lessons learnt). o プログラムの成果(結果や学んだ教訓を含む)の共有。
· Promote analysis of the cybersecurity market needs and trends through: ・以下を通じて、サイバーセキュリティ市場のニーズと傾向の分析を促進する。
o the identification of metrics showing the extent of the problem and possible measures to cope with it. o 問題の程度とそれに対処するための可能な手段を示す指標の特定。
· Support the promotion of CyberHEAD (and its further evolution) in order to: ・以下の目的のために、CyberHEAD(およびそのさらなる進化)の推進を支援する。
o facilitate an ongoing understanding of the status of cybersecurity higher education programmes in the EU. o EUにおけるサイバーセキュリティの高等教育プログラムの状況についての継続的な理解を促進する。
o monitor trends regarding the number of cybersecurity graduates who could potentially fill current vacancies in the sector. o この分野の現在の空席を埋める可能性のあるサイバーセキュリティの卒業生の数に関する傾向を監視する。
o support the analysis of demographics (including the diversity) of new students and graduates in cybersecurity. o サイバーセキュリティ分野の新入生や卒業生の人口統計(多様性を含む)の分析を支援する。
o assist in monitoring the effectiveness of cybersecurity initiatives targeting the supply side (e.g. changes in enrolments in HEI programmes after the release of new cybersecurity initiatives). o 供給側を対象としたサイバーセキュリティイニシアチブの有効性のモニタリングを支援する(例えば、新しいサイバーセキュリティイニシアチブの発表後の高等教育プログラムへの入学者数の変化など)。
o demonstrate the value of CyberHEAD for HEIs as well as incentivise HEIs to submit their programmes to CyberHEAD. o 高等教育機関にとってのCyberHEADの価値を示すとともに、高等教育機関がCyberHEADにプログラムを提出する動機付けとなる。

 

 

| | Comments (0)

中国 国家サイバースペース管理局が「芸能スターのオンライン情報の規制に関連する業務の更なる強化に関する通知」を公表していますね。。。

こんにちは、丸山満彦です。

中国ですね。。。日本もこういうことをやり出すのでしょうかね。。。政治家の中にもやりたい人はいるような気もします。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

2021.11.23 中央网信办发布《关于进一步加强娱乐明星网上信息规范相关工作的通知》 国家サイバースペース管理局が「芸能スターのオンライン情報の規制に関連する業務の更なる強化に関する通知」を発表

 

中央网信办发布《关于进一步加强娱乐明星网上信息规范相关工作的通知》 国家サイバースペース管理が「芸能スターのオンライン情報の規制に関連する業務の更なる強化に関する通知」を発表
近日,中央网信办印发《关于进一步加强娱乐明星网上信息规范相关工作的通知》(以下简称《通知》),旨在进一步加强娱乐明星网上信息规范,维护良好网络舆论秩序,营造更加清朗的网络空间。 先日、国家サイバースペース管理局は、芸能スターのオンライン情報規制に関する業務をさらに強化することを目的とした「芸能スターのオンライン情報規制に関する業務をさらに強化することに関する通知」(以下、「通知」という)を発行し、良好なネットワーク世論の秩序を維持し、より明快なサイバースペースを実現することとしました。
近年来,网上泛娱乐化倾向、低俗炒作现象屡禁不止,流量至上、畸形审美、“饭圈”乱象等不良文化冲击主流价值观,一些网上有关明星的宣传信息内容失范,绯闻八卦、隐私爆料占据网站平台头条版面、热搜榜单,占用大量公共平台资源,人民群众反映强烈。为了进一步规范娱乐明星网上信息,营造积极健康向上的网络环境,中央网信办制定并印发《通知》。 近年では、オンラインの汎娯楽の傾向、低俗な投機現象が繰り返され、拡散至上主義、奇抜な美学、「ファンサークル」の混乱などの好ましくない文化的影響が主流の価値観に影響を与えており、有名人の広告内容に関するいくつかのオンライン情報は一線を超えており、ゴシップ、プライバシー情報がウェブサイトのプラットフォームの見出しページ、ホット検索リストを占めており、多くの公共のプラットフォームのリソースを占有しており、人々に多くの影響を与えている。芸能人のオンライン情報をさらに規制し、前向きで健全なネットワーク環境を構築するために、中央インターネット情報局は本通知を策定し、発行しました。
《通知》从内容导向、信息呈现、账号管理、舆情机制等4个方面提出15项具体工作措施,力求有效规范娱乐明星网上信息。《通知》要求,严把娱乐明星网上信息内容导向,加强正面引导,建立负面清单,禁止娱乐明星网上信息含有宣扬畸形审美、低俗绯闻炒作、恶意刷量控评、虚假不实爆料、诱导非理性追星等内容。《通知》按照信息内容属性、影响作用等因素,将娱乐明星网上信息划分为演艺作品、个人动态、商业活动、公告、公益、权威发布等6种类型,针对网站平台首页首屏、热门推荐、热搜榜单等重点环节提出明确要求,以进一步规范娱乐明星网上信息呈现。《通知》要求加强对明星、经纪公司(工作室)、粉丝团(后援会)、娱乐类公众账号、MCN机构等账号和主体的管理,从源头上规范娱乐明星网上信息,同时要求网站平台建立健全涉娱乐明星网上舆情监测、处置和引导机制。 今回の通知では、芸能スターに関するオンライン情報を効果的に規制するため、コンテンツの方向性、情報の提示、アカウント管理、世論形成の仕組みなど、4つの分野で15の具体的な作業手段を提示しています。 今回の通知では、芸能スターに関するオンライン情報のコンテンツの方向性を厳格に管理し、積極的な指導を強化し、ネガティブリストを設定し、芸能スターに関するオンライン情報に、異常な美学、低俗なゴシップや憶測、悪意のある筆量やコントロールコメント、虚偽・不実の情報、スターへの不合理な追求を助長するようなコンテンツを含むことを禁止するよう求めている。 同通知では、芸能人のオンライン情報を、情報内容の属性や影響力などの要因に応じて、演技作品、個人的な活動、商業活動、発表、公共の福祉、権威あるリリースなどの6種類に分類し、ウェブサイトのプラットフォームの最初の画面、人気のある推薦文、ホットリストなどの重要なリンクについて明確な要件を提示し、芸能人のオンライン情報の表示をさらに規制しています。 今回の通知では、芸能人、事務所(スタジオ)、ファングループ(後援会)、芸能人のパブリックアカウント、MCN機関などのアカウントや対象者の管理を強化して、芸能人に関するオンライン情報をソースから規制することを求めているほか、ウェブサイトのプラットフォームに対しても、芸能人に関わるオンライン世論を監視、処理、指導するための健全なメカニズムを構築することを求めています。
《通知》强调,各地网信部门要高度重视加强娱乐明星网上信息规范工作,结合“饭圈”乱象整治,制定细化实施方案,指导督促网站平台抓好各项措施落实,务求取得工作实效。 今回の通知では、地方のオンライン情報部門は、芸能スターのオンライン情報の規制を強化することを重要視し、「ファンサークル」の混乱を是正することと組み合わせて、詳細な実施計画を策定し、ウェブサイトのプラットフォームを指導・監督して、仕事の有効性を確保するための措置の実施を把握することを強調している。
关于进一步加强娱乐明星网上信息规范相关工作的通知 芸能スターのオンライン情報の規制に関連する業務の更なる強化に関する通知

 

具体的な内容はこちら。。。

2021.11.23 关于进一步加强娱乐明星网上信息规范相关工作的通知 芸能スターのオンライン情報の規制に関連する業務の更なる強化に関する通知

 

1_20210612030101

| | Comments (0)

2021.11.27

NPO デジタルフォレンジック研究会 「医療機関向けランサムウェア対応検討ガイダンス」の公開

こんにちは、丸山満彦です。

NPO デジタルフォレンジック研究会の「医療」分科会が一般社団法人医療ISACと連携して、「医療機関向けランサムウェア対応検討ガイダンス」を公開していますね。。。

想定読者は、セキュリティ面の経済的・人的リソースが十分でない状況下でランサムウェア対策を検討しようとする医療機関ということのようですね。。。

・[PDF] 医療機関向けランサムウェア対応検討ガイダンス

20211127-51837

 

・[PDF] (別紙)別紙_ランサム対応検討フローチャート

 

時系列にすべきことが並んでいて、予習的な利用にはよいと思います。

警察との接点が被害届という感じになっていますが、IPA等に相談する段階で、警察へ相談もしてもよいかもですね。。。

● 警察庁 - ランサムウェア特設サイト

各都道府県警のサイバー犯罪相談窓口の一覧があります。

 

技術的対応に関する情報収集という意味では、JC3JPCERT/CCへの相談もよいですね。。。

 

 

| | Comments (0)

英国 情報コミッショナーの意見:オンライン広告の提案に対するデータ保護とプライバシーの期待

こんにちは、丸山満彦です。

英国のデータ保護局 (Information Commissioner's Office: ICO) が、アドテクノロジー業界がもたらしている既にあるプライバシーリスクを排除するよう、Google等に要請していますね。。。

U.K. Information Commissioner's Office

・2021.11.25 (news) ICO calls on Google and other companies to eliminate existing privacy risks posed by adtech industry

 

ICO calls on Google and other companies to eliminate existing privacy risks posed by adtech industry ICO、グーグルなどの企業に対し、アドテック業界がもたらす既存のプライバシーリスクを排除するよう要請
The Information Commissioner’s Office (ICO) has today set out clear data protection standards that companies must meet to safeguard people’s privacy online when developing new advertising technologies (adtech). 情報委員会(Information Commissioner's Office: ICO)は本日、新しい広告技術(アドテック)を開発する際に、オンライン上の人々のプライバシーを保護するために企業が満たさなければならない明確なデータ保護基準を定めました。
The privacy standards published in a Commissioner’s Opinion come as a warning to companies that are designing new methods of online advertising, that they must comply with data protection law and stop the excessive collection and use of people’s data. このプライバシー基準は、オンライン広告の新しい手法を設計している企業に対して、データ保護法を遵守し、人々のデータの過剰な収集と利用を止めなければならないという警告として、コミッショナーの意見として発表されたものです。
Currently, one of the most significant proposals in the online advertising space is the Google Privacy Sandbox, which aims to replace the use of third party cookies with alternative technologies that still enable targeted digital advertising. 現在、オンライン広告の分野で最も重要な提案の一つは、「Google Privacy Sandbox」です。これは、第三者のCookieの使用を、ターゲットを絞ったデジタル広告を可能にする代替技術に置き換えることを目的としています。
The ICO has been working with the Competition and Markets Authority (CMA) to review how Google’s plans will safeguard people’s personal data while, at the same time, supporting the CMA’s mission of ensuring competition in digital markets. ICOは、競争市場局(CMA)と協力して、Googleの計画が人々の個人データをどのように保護するかを検討すると同時に、デジタル市場での競争を確保するというCMAの使命をサポートしています。
Other industry players have also been developing different initiatives so people’s preferences are taken into account. We welcome proposals that respect people’s privacy rights and can demonstrate how they comply with the law. The Commissioner’s Opinion provides clear data protection expectations for any developers in this area. 他の業界各社も、人々の嗜好を考慮したさまざまな取り組みを行っています。我々は、人々のプライバシー権を尊重し、法律をどのように遵守しているかを示すことができる提案を歓迎します。この委員会の意見は、この分野の開発者に期待される明確なデータ保護を示しています。
Information Commissioner Elizabeth Denham said: 情報コミッショナーのエリザベス・デンハムは次のように述べています。
“Digital advertising is a complex ecosystem that grew quickly with the e-commerce boom and without people’s privacy in mind. 「デジタル広告は複雑なエコシステムであり、電子商取引のブームとともに急速に成長したが、人々のプライバシーを考慮することなく成長しました。
“What we found during our ongoing adtech work is that companies are collecting and sharing a person’s information with hundreds, if not thousands of companies, about what that person is doing and looking at online in order to show targeted ads or content. Most of the time, individuals are not aware that this is happening or have not given their explicit consent. This must change. 現在進行中のアドテックの仕事の中で分かったことは、企業がターゲットとなる広告やコンテンツを表示するために、その人がオンラインで何をしているか、何を見ているかという情報を収集し、何百、何千もの企業と共有しているということです。ほとんどの場合、個人はこのようなことが行われていることに気づいておらず、明確な同意もしていません。これを変えなければなりません。
“That is why we want to influence current and future commercial proposals on methods for online advertising early on, so that the changes made are not just window dressing, but actually give people meaningful control over their personal data.” だからこそ、私たちは、オンライン広告の手法に関する現在および将来の商業的提案に早い段階で影響を与えたいと考えています。そうすれば、変更された内容が単なる粉飾ではなく、実際に人々が自分の個人データを有意義にコントロールできるようになります。」
The Opinion makes it clear that companies designing new digital advertising technologies should offer people the ability to receive ads without tracking, profiling or targeting based on excessive collection of personal information. Where people choose to share their data, all companies within the adtech supply chain must ensure there is meaningful accountability, and give people control over their data and the ability to exercise their information rights. 本意見書では、新しいデジタル広告技術を設計する企業は、過剰な個人情報の収集に基づくトラッキング、プロファイリング、ターゲティングを行わずに広告を受信する機能を人々に提供すべきであることを明確にしています。人々が自分のデータを共有することを選択した場合、アドテクノロジーのサプライチェーンに属するすべての企業は、意味のある説明責任を果たし、人々が自分のデータをコントロールし、情報権利を行使できるようにしなければなりません。
Additionally, companies should be able to justify that the use of personal data for online advertising is fair, necessary and proportionate, as well as be clear with people about how and why their information is being used. さらに、企業は、オンライン広告のための個人データの使用が公正で必要かつ適切であることを正当化できるようにするとともに、自分の情報がどのように、そしてなぜ使用されるのかを人々に明確に伝えなければなりません。
Ms Denham said: デンハム氏は次のように述べています。
“I am looking for solutions that eliminate intrusive online tracking and profiling practices, and give people meaningful choice over the use of their personal data. My office will not accept proposals based on underlying adtech concepts that replicate or seek to maintain the status quo.” 「私は、押しつけがましいオンライントラッキングやプロファイリングの手法を排除し、個人データの使用について人々に意味のある選択を与えるような解決策を求めています。私のオフィスは、現状を再現したり維持しようとするアドテクノロジーの概念に基づく提案は受け入れません。」
The ICO began intervening in the adtech industry in 2019, when we identified key privacy issues on real time bidding and on the use of cookies and similar technologies. We asked the industry to assess how they used personal data and to start changing their practices. Since then, companies have been developing solutions to address our concerns and are moving towards less intrusive tracking practices. The Opinion published today will help companies shape their proposals. ICOは、2019年にアドテック業界への介入を開始し、リアルタイム入札や、クッキーや類似技術の使用に関する重要なプライバシー問題を特定しました。私たちは業界に対し、個人データの使用方法を評価し、慣行の変更を開始するよう求めました。それ以来、企業は我々の懸念に対処するためのソリューションを開発し、より押し付けがましくないトラッキング手法へと移行しています。本日発表された意見は、企業が提案を行う際の参考になります。
The ICO will continue to work with organisations, industry bodies and other regulators to ensure that the use of personal data for online advertising is lawful. ICOは、オンライン広告における個人データの使用が合法的であることを保証するために、組織、業界団体、その他の規制当局と協力していきます。
Notes to editors 編集者への注意事項
1. The Information Commissioner’s Office (ICO) upholds information rights in the public interest, promoting openness by public bodies and data privacy for individuals. 1. ICO(Information Commissioner's Office)は、公共の利益のために情報の権利を擁護し、公的機関のオープン性と個人のデータプライバシーを促進しています。
2. The ICO has specific responsibilities set out in the Data Protection Act 2018, the UK General Data Protection Regulation (GDPR), the Freedom of Information Act 2000, Environmental Information Regulations 2004 and Privacy and Electronic Communications Regulations 2003. 2. ICOは、2018年データ保護法、英国一般データ保護規則(GDPR)、2000年情報自由法、2004年環境情報規則、2003年プライバシーおよび電子通信規則に定められた特定の責任を負っています。
3. Since 25 May 2018, the ICO has the power to impose a civil monetary penalty (CMP) on a data controller of up to £17million (20m Euro) or 4% of global turnover. 3. 2018年5月25日以降、ICOはデータ管理者に対して、最大1,700万ポンド(2,000万ユーロ)または世界売上高の4%の民事金銭的ペナルティ(CMP)を課す権限を有しています。
4. The DPA2018 and UK GDPR gave the ICO new strengthened powers. 4. DPA2018と英国GDPRにより、ICOは新たに強化された権限を得ました。
5. The data protection principles in the UK GDPR evolved from the original DPA, and set out the main responsibilities for organisations. 5. 英国GDPRのデータ保護原則は、オリジナルのDPAから発展したもので、組織の主な責任を定めています。
6. To report a concern to the ICO, go to ico.org.uk/concerns. 6. ICOに懸念事項を報告するには、ico.org.uk/concernsにアクセスしてください。

 

・2021.11.25 [PDF] Information Commissioner’s Opinion: Data protection and privacy expectations for online advertising proposals

20211126-180819

・[DOCX] 仮訳

 

 

| | Comments (0)

2021.11.26

総務省 「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ」及び意見募集の結果の公表

こんにちは、丸山満彦です。

総務省が、電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ(案)についての意見募集の結果を公表していますね。。。

総務省

・2021.11.24 「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ」及び意見募集の結果の公表

・[PDF] 電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ」(別紙1)

20211126-165807

 

序章
第1章 最近のサイバー攻撃に係る課題と対策例
(1) 最近のサイバー攻撃に係る課題
(2) 平時におけるフロー情報の収集・蓄積・分析によるC&Cサーバである可能性が高い機器の検知
(3) フロー情報を収集・蓄積・分析して検知したC&Cサーバに関する情報についての共有
第2章 具体的検討
第1節 通信の秘密の利用等に関する違法性阻却事由等について
(1)正当業務行為
(2)正当防衛、緊急避難
第2節 平時におけるフロー情報の収集・蓄積・分析による C&C サーバである可能性が高い機器の検知
(1)対策の概要及び問題の所在
(2)違法性阻却事由について
 ① 目的の正当性
 ② 行為の必要性
 ③ 手段の相当性
 ④ まとめ
第3節 フロー情報を収集・蓄積・分析して検知した C&C サーバに関する情報についての共有
(1)対策の概要及び問題の所在
(2)検討
第3章 おわりに

 

・[PDF]  「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ」の概要(別紙2)

・[PDF] 「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ(案)」に対する意見募集の結果について(別紙3)

 

<参考>


○「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」配布資料等
 https://www.soumu.go.jp/main_sosiki/kenkyu/denki_cyber/index.html
○電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ(案)についての意見募集(令和3年10月5日)
 https://www.soumu.go.jp/menu_news/s-news/01kiban18_01000130.html

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.10 総務省 意見募集 電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ(案)

| | Comments (0)

ENISA 新たなサイバーセキュリティの課題を見通すためのステップ

こんにちは、丸山満彦です。

ENISAが、新たなサイバーセキュリティの課題を先取りするためのステップと題する報告書を公表していますね。。。

● ENISA

・2021.11.22 (news) Step Towards Foresight on Emerging Cybersecurity Challenges

Step Towards Foresight on Emerging Cybersecurity Challenges 新たなサイバーセキュリティの課題を見通すためのステップ
The European Union Agency for Cybersecurity releases its first report on foresight in order to improve cybersecurity resilience and support the planning of its work. 欧州連合(EU)のサイバーセキュリティ機関が、サイバーセキュリティの回復力を向上させ、業務の計画を支援するために、先見性に関する初の報告書を発表します。
ENISA kicks off a new area of work in line with  its Strategy objective “Foresight on Emerging and Future Cybersecurity Challenges”. ENISAは、戦略目標である「新興および将来のサイバーセキュリティの課題に関する見通し」に沿って、新たな業務分野を開始します。
As a key element of ENISA’s strategy, foresight increases knowledge and understanding of emerging and future challenges, thus providing a path to find solutions that address those challenges and bolster EU resilience to cybersecurity threats. ENISAの戦略の重要な要素である「見通すこと」は、新興および将来の課題に関する知識と理解を深めることで、これらの課題に対処するソリューションを見つけ、サイバーセキュリティの脅威に対するEUの回復力を強化するための道筋を提供します。
What is foresight? 見通すとは?
Foresight is an ongoing, complex and multi-stage process allowing for a reflection on possible future grounded in the present and inviting informed decision-making, hence leading to actions appropriately tailored to the evolutions anticipated. Being both participatory and multidisciplinary, foresight makes it possible for different groups enjoying different expertise to work together and make a mental projection of the most realistic outcomes and possible futures. 「見通す」とは、継続的かつ複雑で多段階のプロセスであり、現在の状況に基づいて起こりうる未来を熟考し、情報に基づいた意思決定を促し、予想される変化に適切に対応した行動につなげることです。参加型で学際的であるため、異なる専門性を持つグループが協力して、最も現実的な結果と可能な未来を心の中で予測することができます。
In order to better identify and address emerging and future cybersecurity challenges, ENISA delivers its first study on the structured foresight framework. Although not commonly resorted to in the cybersecurity field, such approach is consistent with the work of ENISA as it will help generate trends, scenarios and perspectives on the future. 新興および将来のサイバーセキュリティの課題をよりよく特定し、対処するために、ENISAは構造化された見通すためのフレームワークに関する最初の研究を行っています。サイバーセキュリティの分野では一般的ではありませんが、このようなアプローチは、トレンド、シナリオ、未来への展望を生み出すのに役立つため、ENISAの活動と一致しています。
These findings were complemented by interviews with experts in the fields of foresight and cybersecurity, members of the ENISA’s Ad-Hoc Working Group on Foresight on Emerging and Future Cybersecurity Challenges. これらの調査結果は、ENISAのAd-Hoc Working Group on Foresight on Emerging and Future Cybersecurity Challengesのメンバーである、先見性とサイバーセキュリティの分野の専門家へのインタビューによって補完されています。
Foresight can be an asset to the cybersecurity community. Cybersecurity often looks towards future short-term threats, yet there is a need for cybersecurity professionals and policymakers to maintain pace with attackers. Foresight is a good tool for supporting longer-term strategic thinking on how to improve the state of cybersecurity and overall resilience. ENISA is taking an important strategic step to better integrate foresight into cybersecurity practices.  見通すことは、サイバーセキュリティ・コミュニティの資産となり得ます。サイバーセキュリティでは、将来の短期的な脅威に目を向けることが多いのですが、サイバーセキュリティの専門家や政策立案者は、攻撃者と歩調を合わせていく必要があります。フォアサイトは、サイバーセキュリティの状態と全体的な回復力を向上させるための長期的な戦略的思考を支援するための優れたツールです。ENISAは、フォアサイトをサイバーセキュリティの実践にうまく統合するための重要な戦略的ステップを踏み出しています。
The methods and tools applied in foresight and can be used from the definition of ENISA Single Programming Document to the specific output needs, starting from the strategic level and going down to the various strategic objectives crowdsourcing on the expertise of ENISA various stakeholders’ communities  and issuing recommendations in terms of cybersecurity strategy, policy support, capacity building, operational cooperation and certification activities. 見通すことに適用される手法やツールは、ENISAシングル・プログラミング・ドキュメントの定義から具体的なアウトプットのニーズまで使用することができ、戦略レベルから始まり、様々な戦略的目標に至るまで、ENISAの様々なステークホルダー・コミュニティの専門知識を活用してクラウドソーシングを行い、サイバーセキュリティ戦略、政策支援、キャパシティ・ビルディング、運用協力、認証活動の観点から提言を発表することができる。
Target audience 想定読者
This report is specifically relevant to the EU cybersecurity community at large and to ENISA’s stakeholders. It will also be of interest for: 本報告書は、EUのサイバーセキュリティ・コミュニティ全体およびENISAの利害関係者に特に関連している。また、以下の方々にも興味を持っていただけると思います。
Policymakers and national authorities with cybersecurity responsibilities; サイバーセキュリティに責任を持つ政策立案者および国家機関
Cybersecurity researchers, practitioners, and educators; サイバーセキュリティの研究者、実務者、教育者
Relevant experts within European Institutions, Bodies and Agencies; etc. 欧州の機関、団体、組織内の関連専門家、など。
Further information 参考
ENISA report - Foresight Challenges ENISAレポート - 見通しについての挑戦
ENISA Cybersecurity Strategy ENISAサイバーセキュリティ戦略

 

・2021.11.22 Foresight Challenges

This report aims to highlight the most relevant foresight methods based on ubiquity or suitability to ENISA’s core needs to adequately address future cybersecurity threats and shape a more secure society. In fact, foresight enables reflection on various possible futures and strategic preparation for plausible scenarios. As a discipline has grown to become a major strategic planning tool for private corporations as well as the public sector. ENISA worked on this study with the futures and foresight community to develop a process to apply foresight to cybersecurity. 本報告書は、将来のサイバーセキュリティの脅威に適切に対処し、より安全な社会を形成するために、ENISAの中核的なニーズに対する偏在性や適合性に基づいて、最も関連性の高い見通しのある手法を強調することを目的としている。実際、見通しは、様々な可能性のある未来を考察し、もっともらしいシナリオに対する戦略的な準備を可能にします。この分野は、公共部門だけでなく、民間企業にとっても重要な戦略立案ツールとして成長してきました。ENISAは、サイバーセキュリティに見通しを適用するためのプロセスを開発するために、将来・見通しに関するコミュニティと共同でこの研究に取り組みました。

・[PDF]

20211126-55734

1. INTRODUCTION 1. 序論
1.1 OBJECTIVES AND SCOPE 1.1 目的と範囲
1.2 TARGET AUDIENCE 1.2 想定読者
1.3 STRUCTURE OF THE REPORT 1.3 報告書の構成
2. STOCKTAKING 2. 現状調査
2.1 OVERVIEW 2.1 概観
2.2 STAKEHOLDER ANALYSIS 2.2 利害関係者の分析
3. METHODS AND FRAMEWORKS APPLICABLE TO FORESIGHT FOR CYBERSECURITY 3. サイバーセキュリティの見通しに適用可能な手法とフレームワーク
3.1 INTRODUCTION 3.1 はじめに
3.2 OVERVIEW OF SELECTED METHODS AND FRAMEWORKS 3.2 選択された手法とフレームワークの概要
3.2.1 Method Categorisation 3.2.1 手法の分類
3.2.2 Environmental Scanning / Analysis Frameworks 3.2.2 環境スキャン/分析フレームワーク
3.2.3 Trend Analysis 3.2.3 トレンド分析
3.2.4 Expert Group Foresight 3.2.4 専門家グループによる見通し
3.2.5 Scenario Methods 3.2.5 シナリオ手法
3.2.6 Morphological Analysis and Backcasting 3.2.6 形態素解析とバックキャスティング
3.2.7 Cybersecurity Analysis Methods 3.2.7 サイバーセキュリティの分析手法
4. SELECTION CRITERIA 4. 選択基準
4.1 FORESIGHT METHOD COMPARISON 4.1 見通し手法の比較
4.2 TOOLS 4.2 ツール
5. BEST PRACTICES 5. ベスト プラクティス
5.1 SUMMARY OF BEST PRACTICES 5.1 ベストプラクティスのまとめ
5.2 SUMMARY OF CHALLENGES AND PITFALLS 5.2 課題と落とし穴のまとめ
6. APPLICATION USE CASES 6. アプリケーションの使用例
6.1 OPERATIONAL CONTEXT 6.1 運用状況
6.2 OVERARCHING COMPONENTS AND CONSIDERATIONS 6.2 包括的な構成要素と考慮事項
6.3 IDENTIFICATION OF FUTURE AND EMERGING CHALLENGES (1) 6.3 将来および新たな課題の特定(1)
6.4 STRATEGIC DECISION-MAKING DEVELOPMENT (2) 6.4 戦略的意思決定の策定(2)
6.5 EVOLUTION OF THREAT LANDSCAPE (3) 6.5 脅威のランドスケープの進化(3)
6.6 NEEDS AND PRIORITIES FOR CYBERSECURITY R&D (4) 6.6 サイバーセキュリティ研究開発のニーズと優先事項(4)
6.7 EVOLUTION OF OPERATIONAL COOPERATION (5) 6.7 運用協力の進化(5)
6.8 IDENTIFICATION OF FUTURE POLICY PRIORITIES (6) 6.8 将来の政策優先事項の特定(6)
6.9 DISRUPTIVE EVENTS (7) 6.9 破壊的な出来事(7)
7. CONCLUSIONS & NEXT STEPS 7. 結論と次のステップ
7.1 CONCLUSIONS 7.1 結論
7.2 NEXT STEPS FOR ENISA 7.2 ENISAの次のステップ
A ANNEX: GLOSSARY A 附属書:用語集
B ANNEX: INTERVIEW GUIDELINE B 附属書:インタビューのガイドライン

 

 

| | Comments (0)

ENISA NIS投資動向報告書2021 at 2021.11.17

こんにちは、丸山満彦です。

ENISAが昨年に引き続きNIS投資動向報告書2021を公表していますね。重要インフラ関連企業等のセキュリティ投資についての分析です。。。参考になるところもあるでしょうね。。。

● ENISA

・2021.11.17 (press) Cybersecurity Spending: An analysis of Investment Dynamics within the EU

 

Cybersecurity Spending: An analysis of Investment Dynamics within the EU サイバーセキュリティへの投資:EU域内の投資動向の分析
The European Union Agency for Cybersecurity issues a new report on how cybersecurity investments have developed under the provisions of the NIS directive. 欧州連合サイバーセキュリティ機関は、NIS指令の規定の下でサイバーセキュリティ投資がどのように発展してきたかについての新しいレポートを発行しました。
The NIS Directive has been implemented by 82% of the 947 organisations identified as Operators of Essential Services (OES) or Digital Service Providers (DSP) surveyed across the 27 Member States, with 67% requiring an additional budget for its implementation. NIS指令は、27加盟国で調査したOES(Operators of Essential Services)またはDSP(Digital Service Providers)と認定された947の組織の82%が実施しており、67%がその実施のために追加予算を必要としています。
EU Agency for Cybersecurity, Executive Director, Juhan Lepassaar stated that “Measuring the effectiveness of cybersecurity is a challenging task. Looking at information security investments for essential operators and where their resources are focused provides us with an understanding of the state of cybersecurity across the Union.” EUサイバーセキュリティ機関のエグゼクティブ・ディレクターであるJuhan Lepassaar氏は、「サイバーセキュリティの効果を測定することは困難な作業です。主要事業者の情報セキュリティ投資と、そのリソースがどこに集中しているかを見ることで、EU全体のサイバーセキュリティの状況を理解することができます」と述べています。
The EU Agency for Cybersecurity (ENISA) published last year the first edition of the report - NIS Investments Report 2020 - with an initial insight of the cybersecurity investment approaches of services providers covered by the directive on security of network and information systems (NIS Directive), namely of OES and DSP. EUサイバーセキュリティ機関(ENISA)は昨年、ネットワークと情報システムのセキュリティに関する指令(NIS指令)の対象となるサービス事業者、すなわちOESとDSPのサイバーセキュリティ投資アプローチを最初に把握した報告書「NIS投資報告書 2020」の初版を発表しました。
The new report - NIS Investments Report 2021 - aggregates data from all 27 EU Member States and looks into the allocation of cybersecurity budget of OES and DSP and how this allocation has possibly changed as result of the need to implement the provisions of the directive. It also analyses the economic impact of cybersecurity incidents and assesses how these organisations monitor their budget and invest in order to meet their cybersecurity requirements. 新しい報告書「NIS投資報告書 2021」では、EUの全27加盟国のデータを集計し、OESとDSPのサイバーセキュリティ予算の配分と、指令の規定を実施する必要性からこの配分がどのように変化したかを考察しています。また、サイバーセキュリティインシデントの経済的影響を分析し、これらの組織がどのように予算を監視し、サイバーセキュリティの要件を満たすために投資しているかを評価しています。
What is the role and impact of the NIS Directive on NIS investment? NIS指令のNIS投資に対する役割と影響は?
As the first EU-wide legislation on cybersecurity, the objective of the Directive on Security of Network and Information Systems (NIS Directive) is to achieve a high common level of cybersecurity across all Member States. One of the three pillars of the NIS Directive is the implementation of risk management and reporting obligations for OES and DSP. サイバーセキュリティに関する最初のEU全体の法律として、ネットワークと情報システムのセキュリティに関する指令(NIS指令)の目的は、すべての加盟国で高い共通レベルのサイバーセキュリティを実現することです。NIS指令の3つの柱の1つは、OESとDSPに対するリスク管理と報告義務の実施です。
The report investigates how operators invest in cybersecurity and comply with the objectives of the NIS Directive. It also gives an overview of the situation in relation to such aspects as IT security staffing, cyber insurance and organisation of information security in OES and DSP. 本報告書では、事業者がどのようにサイバーセキュリティに投資し、NIS指令の目的を遵守しているかを調査しています。また、OESとDSPにおけるITセキュリティスタッフの配置、サイバー保険、情報セキュリティの組織化といった側面に関連した状況の概要を示しています。
In this context, the findings of the report can be used to further feed into the proposal for the directive on measures for a high common level of cybersecurity across the EU currently under discussion in the European Parliament and the Council of the European Union, which is known as the ‘NIS 2’. The report in this sense could also contribute to further policy reflections as it builds on the work already engaged last year. この意味で、本報告書の調査結果は、現在、欧州議会と欧州連合理事会で議論されている、「NIS 2」と呼ばれる、EU全体で高い共通レベルのサイバーセキュリティを実現するための措置に関する指令の提案にさらに反映させるために利用することができます。また本報告書は、昨年すでに取り組んだ作業の上に構築されているため、さらなる政策的考察にも貢献できるでしょう。
What are the key findings? 主な調査結果は?
Implementing the NIS directive NIS指令の実施
Almost 50% of surveyed organisations acknowledge either a significant or a very significant impact of the NIS Directive on the management of their information security. Nearly 50% of established OES and DSP consider that their detection capabilities are now strengthened as a result of the implementation of the provisions of the directive. 26% believe that it has improved their ability to recover from incidents. In 2020, only 8.8% of surveyed OES and DSP experienced a major security incident. 調査対象となった組織のほぼ50%が、情報セキュリティの管理においてNIS指令が大きな影響を与える、あるいは非常に大きな影響を与えると認識しています。設立されたOESとDSPの50%近くが、指令の規定を実施した結果、検出能力が強化されたと考えています。26%は、インシデントからの回復能力が向上したと考えています。2020年には、調査対象となったOESとDSPのうち、大規模なセキュリティインシデントを経験したのは8.8%のみでした。
Even if 67% of those service providers need to allocate additional budget to ensure compliance, 18% still have not implemented any of the provisions at all. これらのサービスプロバイダーの67%がコンプライアンスを確保するために追加予算を割り当てる必要があるとしていますが、18%はまだ全く条項を実施していません。
A typical OES/DSP spends around 2 million euros on information security. The respective budget for implementing the NIS directive amounts from 5% up to 10% of the overall information security budget. 典型的なOES/DSPは、情報セキュリティに約200万ユーロを費やしています。NIS指令を実施するための各予算は、情報セキュリティ予算全体の5%から10%までとなっています。
The study reveals that organisations worldwide mainly dedicate their security budget on the following functional security domains, with the remaining budget covering identity access management, data, end point and application security: この調査では、世界中の組織が主に以下の機能的なセキュリティ領域にセキュリティ予算を割り当てており、残りの予算はアイデンティティ・アクセス・マネジメント、データ、エンドポイント、およびアプリケーション・セキュリティをカバーしていることが明らかになりました。
- vulnerability management and security analytics for 20%; ・脆弱性管理とセキュリティ分析に20%
- governance, risk and compliance for 18%; ・ガバナンス、リスク、コンプライアンスに18%
- network security for 16%. ・ネットワークセキュリティに16%
Sectors 分野
The survey results indicate that a typical OES or DSP from the energy sector allocates the highest budget to achieve implementation, closely followed by organisations in the banking sector. Drinking water supply and distribution, financial market infrastructures and digital infrastructure allocate the lowest budgets to achieve compliance. 調査結果によると、エネルギー分野の典型的なOESまたはDSPは、実装を実現するために最も高い予算を割り当てており、これに銀行分野の組織が僅差で続いています。飲料水の供給と配給、金融市場のインフラ、デジタルインフラでは、コンプライアンス達成のための予算が最も低くなっています。
The top 3 domains of implementation of the NIS Directive identified are: NIS 指令の実施に関する上位 3 領域は以下のとおりです。
- governance risk and compliance (GRC); ・ガバナンス・リスク・コンプライアンス(GRC)
- network security; ・ネットワークセキュリティ
- vulnerability management. ・脆弱性管理
Cost of incidents インシデントのコスト
The banking and healthcare sectors are the sectors suffering the highest direct costs of major security incidents when they happen, usually ranging from 213 000 to 300 000 EUR when the usual direct cost is about 100 000 EUR. 大規模なセキュリティ・インシデントが発生した場合の直接コストが最も高いのは、銀行と医療の分野であり、通常の直接コストが約10万ユーロであるのに対し、通常は21~30万ユーロとなっています。
Human resources 人的資源
Nearly 50% of the established OES and DSP in the EU hire the services of contractors to support their information security workforce. EUで設立されたOESとDSPの約50%は、情報セキュリティの労働力をサポートするためにコントラクターのサービスを採用しています。
A typical OES and DSP employs on median 60 IT staff, 7 of which are dedicated to information security. On average, 2 staff members are specifically allocated to incident response. The information security workforce in OES and DSP increased due to the implementation of the NIS Directive as 18,7% of surveyed organisations hired additional internal staff and 32% resort to external contractors. 典型的なOESおよびDSPは、中央値で60名のITスタッフを雇用しており、そのうち7名が情報セキュリティに特化しています。また、平均して2名のスタッフがインシデント対応を専門に担当しています。調査対象となった組織の18.7%が内部スタッフを追加雇用し、32%が外部契約者に頼ったため、OESおよびDSPの情報セキュリティ要員は、NIS指令の実施により増加しました。
Cyber insurance サイバー保険
Over 57% of organisations have not subscribed to a cyber insurance. Yet, more than half of OES and DSP certify their systems and processes. 57%以上の組織がサイバー保険に加入していません。一方、OESとDSPの半数以上は、自社のシステムとプロセスの認証を取得しています。
The majority of these services providers assess their information security controls meet or exceed industry standards with only 5% admit they don’t. これらのサービスプロバイダーの大半は、自社の情報セキュリティ管理が業界標準を満たしているか、それ以上であると評価しており、満たしていないと認めたのはわずか5%でした。
A total of 23% of organisations reported that they do not subscribe to any cyber insurance solution, although they declare the intention to implement one. また、23%の企業が、サイバー保険を導入する意向を示しながらも、保険に加入していないと回答しています。
Background 背景
The NIS Directive represents the first EU-wide legislation on cybersecurity, with the objective to achieve a high common level of cybersecurity across all EU Member States. One of the three pillars of the NIS Directive is the implementation of risk management and reporting obligations for Operators of Essential Services (OES) and Digital Service Providers (DSP). OES provide essential services in strategic sectors of energy (electricity, oil and gas), transport (air, rail, water and road), banking, financial market infrastructures, health, drinking water supply and distribution, and digital infrastructure (Internet exchange points, domain name system service providers, top-level domain name registries). DSP operate in an online environment, namely online marketplaces, online search engines and cloud computing services. NIS指令は、EU加盟国全体で高い共通レベルのサイバーセキュリティを実現することを目的とした、サイバーセキュリティに関するEU初の法律です。NIS指令の3つの柱の1つは、基幹サービス事業者(OES)とデジタルサービスプロバイダ(DSP)に対するリスク管理と報告義務の実施です。OES は、エネルギー(電気、石油、ガス)、輸送(航空、鉄道、水、道路)、銀行、金融市場インフ ラ、健康、飲料水の供給と配給、デジタルインフラ(インターネット交換ポイント、ドメインネームシステムサー ビスプロバイダー、トップレベルドメインネームレジストリー)などの戦略的分野で必須サービスを提供している。DSPは、オンライン環境、すなわち、オンラインマーケットプレイス、オンライン検索エンジン、クラウドコンピューティングサービスで動作します。
Further information 参考情報
NIS Investments Report 2021 NIS投資報告書2021
NIS Investments Report 2020 NIS投資報告書2020
Press Release: NIS Directive has Positive Effect, though Study Finds Gaps in Cybersecurity Investment Exist プレスリリース:NIS指令はポジティブな効果があるが、サイバーセキュリティ投資にはギャップがあることが調査で判明
ENISA Topic - NIS Directive ENISAトピック - NIS指令

 

・2021.11.17 NIS Investments Report 2021

Following the 2020 NIS Investment publication, this report covers all 27 EU Member States and offering additional insights into the allocation of NIS budgets of OES/DSP, the economic impact of cybersecurity incidents and the organisation of cybersecurity in these operators. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics. In this second edition, additional and complementary questions were asked to the surveyed organisations. Overall, 48.9 % of surveyed organisations acknowledge a very significant or significant impact of the NIS Directive on their information security (IS). 本報告書は、「NIS投資2020」に続くもので、EU加盟国27カ国すべてを対象としており、OES/DSPのNIS予算の配分、サイバーセキュリティ事故の経済的影響、これらの事業者におけるサイバーセキュリティの組織化について、さらなる洞察を提供します。さらに、世界のサイバーセキュリティ市場の動向を、ガートナー社のセキュリティ・データと、世界およびEUで観測された洞察に基づいて紹介し、関連するダイナミクスをより深く理解できるようにしています。この第2版では、調査対象となる組織に対して、追加的かつ補足的な質問を行いました。全体として、調査対象となった組織の48.9%が、NIS指令が自社の情報セキュリティ(IS)に与える影響が非常に大きい、または大きいと認識しています。

・[PDF]

20211126-45536

目次...

1. INTRODUCTION 1. 序文
2. INFORMATION SECURITY DYNAMICS AND OUTLOOK 2. 情報セキュリティのダイナミクスと展望
2.1 INFORMATION SECURITY BUDGETS 2.1 情報セキュリティの予算
2.2 INFORMATION SECURITY SPENDING DISTRIBUTION 2.2 情報セキュリティ支出の分布
2.3 INFORMATION SECURITY STAFFING 2.3 情報セキュリティスタッフの配置
2.4 INFORMATION SECURITY MARKET OUTLOOK 2.4 情報セキュリティ市場の展望
2.5 SECURITY PERFORMANCE 2.5 セキュリティパフォーマンス
2.6 FUTURE OF INFORMATION SECURITY 2.6 情報セキュリティの将来性
2.7 CISO EFFECTIVENESS 2.7 CISOの有効性
3. INFORMATION SECURITY INVESTMENTS FOR THE NIS DIRECTIVE IMPLEMENTATION 3. NIS指令実施のための情報セキュリティ投資

3.1 METHODOLOGY 3.1 方法論
3.2 INFORMATION SECURITY AND NIS SPENDING 3.2 情報セキュリティとNISへの支出
3.2.1 IT spending 3.2.1 IT関連支出
3.2.2 Information security spending 3.2.2 情報セキュリティ支出
3.2.3 Information security spending as a share of IT spending 3.2.3 IT支出に占める情報セキュリティ支出の割合
3.2.4 NIS Directive spending 3.2.4 NIS指令の支出
3.2.5 NIS spending as a share of information security spending 3.2.5 情報セキュリティ支出に占めるNIS支出の割合
3.2.6 Top three security domains for implementing the NIS Directive 3.2.6 NIS指令を実施するための上位3つのセキュリティ・ドメイン
3.2.7 Technologies and services procured for the NIS Directive 3.2.7 NIS指令のために調達した技術とサービス
3.3 INFORMATION SECURITY AND NIS STAFFING 3.3 情報セキュリティと NIS の人員配置
3.3.1 IT FTEs 3.3.1 IT の FTEs
3.3.2 Information security FTEs 3.3.2 情報セキュリティのFTE(臨時雇い)数
3.3.3 Share of contractors in information security FTEs 3.3.3 情報セキュリティFTEに占めるコントラクターの割合
3.3.4 Information security FTEs as a share of IT FTEs 3.3.4 IT部門のFTEに占める情報セキュリティのFTEの割合
3.3.5 Specific hires for NIS implementation 3.3.5 NIS導入のための特定の人材の採用
3.3.6 FTEs dedicated to security incident response 3.3.6 セキュリティ・インシデント対応に特化したFTE
3.4 INFORMATION SECURITY INCIDENTS 3.4 情報セキュリティインシデント
3.4.1 Cost of information security incidents 3.4.1 情報セキュリティインシデントのコスト
3.4.2 Top components of incident costs 3.4.2 インシデントコストの上位構成要素
3.4.3 Trend in security incidents 3.4.3 セキュリティインシデントの傾向
3.4.4 Spread of security incidents 3.4.4 セキュリティインシデントの広がり
3.4.5 Security incident response sourcing 3.4.5 セキュリティ・インシデント対応のソーシング
3.4.6 NIS impact on incident response 3.4.6 インシデント対応におけるNISの影響
3.5 SECURITY ORGANISATION AND PERFORMANCE 3.5 セキュリティ組織及びパフォーマンス
3.5.1 Reporting line of information security 3.5.1 情報セキュリティの報告ライン
3.5.2 Cyber insurance 3.5.2 サイバー保険
3.5.3 Certification 3.5.3 認証
3.5.4 Performance of controls 3.5.4 コントロールのパフォーマンス
3.6 PERCEPTION OF THE IMPACT OF THE NIS DIRECTIVE 3.6 nis指令の影響に関する認識
4. INFORMATION SECURITY DATA FOR SMES AND LARGE ENTERPRISES 4. 中小企業、大企業の情報セキュリティデータ 
4.1 DEMOGRAPHICS OF SMES AND LARGE ENTERPRISES 4.1 中小企業と大企業の人口統計
4.1.1 Distribution of SMEs and large enterprises 4.1.1 中小企業と大企業の分布
4.1.2 SMEs vs large enterprises by sector 4.1.2 部門別の中小企業と大企業の比較
4.1.3 SMEs vs large enterprises by Member State 4.1.3 加盟国別の中小企業と大企業の比較
4.2 INFORMATION SECURITY SPENDING FOR SMES AND LARGE ENTERPRISES 4.2 中小企業および大企業の情報セキュリティ支出
4.2.1 IT spending 4.2.1 IT関連支出
4.2.2 Information security spending 4.2.2 情報セキュリティ支出
4.2.3 Information security spending as a share of IT spending 4.2.3 IT支出に占める情報セキュリティ支出の割合
4.2.4 NIS budget 4.2.4 NIS予算
4.3 INFORMATION SECURITY STAFFING FOR SMES AND LARGE ENTERPRISES 4.3 中小企業および大企業の情報セキュリティスタッフ数
4.3.1 IT FTEs for SMEs vs large enterprises 4.3.1 中小企業と大企業のIT FTE数の比較
4.3.2 Information security FTEs for SMEs vs large enterprises 4.3.2 中小企業と大企業の情報セキュリティのFTE(臨時雇い)数
4.3.3 Information security FTEs as a share of IT FTEs for SMEs vs large enterprises 4.3.3 中小企業と大企業のIT部門の常時雇用者数に占める情報セキュリティの常時雇用者数の割合
4.3.4 Incident response FTEs for SMEs vs large enterprises 4.3.4 中小企業と大企業のインシデント対応の常時雇用者数の比較
4.4 SECURITY PERFORMANCE FOR SMES VS LARGE ENTERPRISES 4.4 中小企業と大企業のセキュリティパフォーマンスの比較
4.5 CYBER INSURANCE FOR SMEs VS LARGE ENTERPRISES 4.5 中小企業と大企業の間のサイバー保険の違い
5. ADDITIONAL INSIGHTS FROM SELF-ASSESSMENT 5. 自己評価から得られた新たな知見
5.1 INDICATORS ASSOCIATED WITH HIGH SELF-ASSESSED SECURITY MATURITY 5.1 自己評価したセキュリティ成熟度が高い場合の指標
5.2 INDICATORS ASSOCIATED WITH LOW SELF-ASSESSED SECURITY MATURITY 5.2 自己評価したセキュリティ成熟度が低いことに関連する指標
5.3 INFORMATION SECURITY SPENDING 5.3 情報セキュリティ支出
6. CONCLUSIONS 6. 結論
A ANNEX: SURVEY DEMOGRAPHICS A 附属書:調査対象者の属性
A.1 MEMBER STATE AND SECTOR OF SURVEYED ORGANISATIONS A.1 調査対象組織の加盟国および業種
A.2 REVENUE BY SECTOR OF SURVEYED ORGANISATIONS A.2 調査対象組織の部門別売上高
A.3 EMPLOYEE COUNT OF SURVEYED ORGANISATIONS A.3 調査対象組織の従業員数
A.4 TYPE OF ORGANISATION (OES VS DSP) A.4 組織のタイプ(OESとDSP)
A.5 ADDITIONAL DATA A.5 追加データ
B ANNEX: DEFINITIONS B 附属書:定義
B.1 MEDIAN AND AVERAGE DEFINITIONS B.1 中央値と平均値の定義
B.2 CAGR DEFINITION B.2 CAGRの定義
B.3 SME DEFINITION B.3 SMEの定義
B.4 FINANCIALS B.4 財務の定義
B.5 INDUSTRIES B.5 インダストリー
B.6 IT SECURITY ANALYSIS FRAMEWORK B.6 ITセキュリティ分析フレームワーク
B.7 SECURITY ASSET TYPES B.7 セキュリティ資産の種類

 

OESとDSP

Operators of Essential Services (OES)  基幹サービス事業者 (OES)
•        Energy (electricity, oil and gas)  ・エネルギー(電気,石油,ガス)
•        Transport (air, rail, water and road)  ・輸送(航空, 鉄道, 海上, 道路)
•        Banking  ・銀行
•        Financial market infrastructures  ・金融市場インフラストラクチャー
•        Health  ・医療機関
•        Drinking water supply and distribution  ・飲料水の供給と配給
•        Digital infrastructure  ・デジタルインフラ
Digital Service Providers (DSP) デジタルサービスプロバイダ (DSP)
•        Online marketplace  ・オンライン・マーケットプレイス
•        Online search engine  ・オンライン検索エンジン
•        Cloud computing service  ・クラウドコンピューティングサービス

 

| | Comments (0)

2021.11.25

NIST SP 1800-34C (ドラフト) コンピューティングデバイスの完全性の検証(暫定ドラフト)

こんにちは、丸山満彦です。

サイバーサプライチェーン (C-SCRM) ですね。。。

経済安全保障なのか、半導体分野での競争力強化なのか、コンピュータ分野における安全保障なのかよくわかりませんが、中国製品を使うな的なことを聞くことが増えてきました。しかし、中国生産の部品が使われているコンピュータの利用が安全保障的に不安というのであれば、使うなというよりも、安全に使えるようにするための基準やガイドの作成をするほうが重要な気がします。今の日本ではつくること難しいとは思いますが、米国が作成中なので、参考にしたらよいのでしょうね。。。日本製品版を作らないと日本製品はないので、米国製品使う前提となりますが、、、

すでに、1800-34A, 1800-34Bは3月、9月に初期ドラフトが公表されていますので、これで全体の初期ドラフトが揃ったことになります。。。

ちなみに、暫定ドラフト[PDF]は以下のとおりです。。。

NIST SP 1800-34A Executive Summary  エグゼクティブサマリー 
NIST SP 1800-34B Approach, Architecture, and Security Characteristics – what we built and why アプローチ、アーキテクチャ、セキュリティの特徴 - 何を作ったのか、なぜ作ったのか
NIST SP 1800-34C How-To Guides – instructions for building the example solution 利用ガイド - サンプルソリューションを構築するための手順

 

NIST - ITL

・2021.11.22 SP 1800-34 (Draft) Validating the Integrity of Computing Devices (Preliminary Draft)

Ensuring the Integrity of the Cyber Supply Chain サイバーサプライチェーンの完全性の確保
Technologies today rely on complex, globally distributed and interconnected supply chain ecosystems to provide reusable solutions. Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Cyber supply chain risks include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the cyber supply chain and its products and services. This practice guide can benefit organizations who want to verify that the internal components of their computing devices are genuine and have not been altered during the manufacturing and distribution process. 今日のテクノロジーは、再利用可能なソリューションを提供するために、複雑でグローバルに分散し、相互に接続されたサプライチェーンのエコシステムに依存しています。組織は、意図的か否かにかかわらず、サイバー・サプライ・チェーンの危殆化のリスクにますますさらされています。サイバーサプライチェーンのリスクには、偽造、不正生産、改ざん、窃盗、予期せぬソフトウェアやハードウェアの挿入などがあります。これらのリスクを管理するには、サイバーサプライチェーンとその製品・サービスの完全性を確保する必要があります。この実践ガイドは、コンピューティングデバイスの内部コンポーネントが本物であり、製造や流通の過程で変更されていないことを確認したい企業にとって有益です。
Abstract 概要
Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Cyber supply chain risks include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the cyber supply chain and its products and services. This project will demonstrate how organizations can verify that the internal components of the computing devices they acquire are genuine and have not been unexpectedly altered during manufacturing or distribution processes. 組織は、意図的であるか否かにかかわらず、サイバーサプライチェーンの侵害のリスクにますますさらされています。サイバーサプライチェーンのリスクには、偽造、不正生産、改ざん、窃盗、予期せぬソフトウェアやハードウェアの挿入などがあります。これらのリスクを管理するには、サイバーサプライチェーンとその製品・サービスの完全性を確保する必要があります。このプロジェクトでは、組織が入手したコンピューティングデバイスの内部コンポーネントが本物であり、製造や流通の過程で予期せず変更されていないことを検証する方法を示します。

 

・[PDF] SP 1800-34C (Prelim. Draft)

20211125-52654

 

1 Introduction 1 はじめに
1.1 How to Use This Guide 1.1 本ガイドの使用方法
1.1.1 Supplemental Material 1.1.1 補足資料
1.2 Build Overview 1.2 ビルドの概要
1.3 Typographic Conventions 1.3 表記規則
1.4 Logical Architecture Summary 1.4 論理的なアーキテクチャの概要
2 Product Installation Guides 2 製品インストールガイド
2.1 Supporting Systems and Infrastructure 2.1 サポートシステムとインフラ
2.1.1 Network Boot Services 2.1.1 ネットワークブートサービス
2.1.2 Platform Manifest Correlation System (PMCS) 2.1.2 プラットフォーム・マニフェスト相関図作成システム (PMCS)
2.2 Dell 2.2 デル
2.3 Eclypsium 2.3 Eclypsium
2.3.1 Download Eclypsium Agent 2.3.1 Eclypsiumエージェントのダウンロード
2.3.2 Install Eclypsium Agent for Windows 2.3.2 Windows版Eclypsiumエージェントのインストール
2.4 Host Integrity at Runtime and Start-Up (HIRS) Attestation Certificate Authority (ACA) 2.4 ランタイムおよびスタートアップ時のホスト・インテグリティ(HIRS)認証認証局(ACA)について
2.4.1 Installing the HIRS-ACA 2.4.1 HIRS-ACA のインストール
2.5 HP Inc. 2.5 株式会社HP
2.6 Hewlett Packard Enterprise (HPE) 2.6 ヒューレット・パッカード・エンタープライズ (HPE)
2.7 Intel 2.7 インテル
2.8 RSA Archer 2.8 RSAアーチャー
2.8.1 Prerequisites 2.8.1 前提条件
2.8.2 RSA Archer Installation 2.8.2 RSA Archerのインストール
2.9 Seagate 2.9 シーゲイト
2.10  Integrations 2.10 インテグレーション
2.10.1  Microsoft Endpoint Configuration Manager and Intel TSC Tooling 2.10.1 Microsoft Endpoint Configuration ManagerとIntel TSC Tooling
2.10.2  RSA Archer DataFeed Integrations 2.10.2 RSA Archer DataFeedインテグレーション
3 Operational Considerations 3 運用上の検討事項
3.1 Scenario 2: Verification of Components During Acceptance Testing 3.1 シナリオ2: 受入テストにおけるコンポーネントの検証
3.1.1 Technology Configurations 3.1.1 テクノロジーのコンフィグレーション
3.1.2 Asset Inventory and Discovery 3.1.2 資産台帳と発見
3.2 Scenario 3: Verification of Components During Use 3.2 シナリオ3:使用時のコンポーネントの検証
3.2.1 Technology Configurations 3.2.1 テクノロジーのコンフィグレーション
3.2.2 Dashboards 3.2.2 ダッシュボード
Appendix A: List of Acronyms 附属書A:頭字語リスト

 

参考

Supplemental Material:

Project homepage

・[PDF] SP 1800-34B (Prelim. Draft)

・[PDF] SP 1800-34A (Prelim. Draft)

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.03.18 NIST SP 1800-34 (Draft) Validating the Integrity of Computing Devices (コンピューティングデバイスの完全性の検証)(Preliminary Draft)

 

| | Comments (0)

2021.11.24

インド 個人データ保護法が成立しますかね。。。

こんにちは、丸山満彦です。

インドの合同議会委員会(「JPC」)の議長であるShri PP Chaudhary氏が、2021年11月22日に、Twitter上でJPCが2019年の個人データ保護法案に関する報告書を採択したと発表していますね。。。

個人データ保護法案は99条あるようです。。。

近いうちに具体的な条文が公開されそうですね。。。

Twitter - PP Chaudhary

・2021.11.23 The Joint Committee on Personal Data Protection Bill has adopted its report on the Personal Data Protection Bill, 2019 with 93 recommendations. The bill has 99 clauses that shall ensure the process of safeguarding important personal data and privacy of the citizens.



The Joint Committee on Personal Data Protection Bill has adopted its report on the Personal Data Protection Bill, 2019 with 93 recommendations. The bill has 99 clauses that shall ensure the process of safeguarding important personal data and privacy of the citizens. 個人データ保護法案に関する合同委員会は、93の提言を含む2019年の個人データ保護法案に関する報告書を採択した。この法案には、市民の重要な個人データとプライバシーを保護するプロセスを確保する99の条項があります。
Personal Data Protection Bill, 2019 is going to help boost the digital economy, generate employment and enhance the ease of doing business. The bill is set to create a fine balance in maintaining privacy and helping government provide the services and benefits to the citizens. 2019年個人データ保護法案は、デジタル経済の活性化、雇用の創出、ビジネスのしやすさの向上に貢献することになる。この法案は、プライバシーの維持と、政府が市民にサービスや利益を提供することの支援において、絶妙なバランスを生み出すように設定されています。
In the interest of integrity, sovereignty and security of India, the authorities under the Personal Data Protection Bill, 2019 have been assigned to process and regulate the laws fairly and justly for the larger benefit of the community. インドの整合性、主権、安全性のために、2019年個人データ保護法案に基づく当局は、コミュニティのより大きな利益のために、公正かつ正当に法律を処理し、規制するように割り当てられています。
The Personal Data Protection Bill, 2019 lays down the mechanism for protection of personal data of the citizens. With the idea of Nation is first, the bill seeks to achieve data sovereignty and tends to focus and prioritize on the individual rights of the citizens. 2019年個人データ保護法案は、市民の個人データを保護するためのメカニズムを規定しています。国民第一主義の考えに基づき、この法案はデータ主権の達成を目指し、国民の個人的権利に焦点を当て、優先するようになっています。

 

Emblem_of_india

 


 

法案

2019年法案

この段階では98条ですね。。。

 

非営利団体による情報

PRS Legislative Research

Joint Committee on the Personal Data Protection Bill, 2019

法案の概要

・2019.12.11 The Personal Data Protection Bill, 2019

・[Wikipedia EN]

 

報道

adp live

・2021.11.22 JPC Adopts Draft Of Personal Data Protection Bill, To Be Tabled In Winter Parliament Session

The Joint Committee was constituted with the purpose to examine the Personal Data Protection Bill 2019. The Bill was introduced in the lower house of Parliament on December 11, 2019. 

 

| | Comments (0)

ロシア ロシア国内に事務所を開設しなければならないインターネット企業13社を公表

こんにちは、丸山満彦です。

ロシアでは、2021.07.01に施行された連邦法第236-FZ号「情報通信ネットワークにおける外国人の活動」によいロシア領土内のインターネット上での外国人の活動の実施に関連する関係を規制していて、第8条により、1日50万ユーザを超える利用者があるサイトを運営している企業は、ロシア国内に事務所を開設しなければならないことになっていますね。。。

ロシアのロシア 通信・IT・マスメディア監督連邦サービス (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (Roskomnadzor))  [wikipedia EN]がロシア国内に事務所を開設しなければならないインターネット企業13社を公表していますね。。。

もちろん、Google, Apple, Meta (Facebook), Twitter, TickTok, Zoom, Viberなどがはいっていますが、Listには、Amazon, Microsoftの名前は見えません。。。

日本企業はないです。。。

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 

・2021.11.22 Перечень иностранных лиц, осуществляющих деятельность в сети "Интернет" на территории Российской Федерации

  外国法人 リソース情報
1 Google LLC google.ru; www.google.ru; google.com; www.google.com; play.google.com; youtube.com; www.youtube.com; music.youtube.com; chat.google.com; mail.google.com; accounts.google.com; gmail.com; mail.google.com; accounts.google.com
2 Apple Distribution International Ltd. icloud.com; www.icloud.com; apps.apple.com; www.apple.com; music.apple.com
3 Meta Platforms, Inc. ru-ru.facebook.com; facebook.com; www.facebook.com; instagram.com; www.instagram.com; whatsapp.com; www.whatsapp.com; web.whatsapp.com
4 Twitter, Inc. twitter.com; www.twitter.com
5 TikTok Pte. Ltd. tiktok.com; www.tiktok.com
6 Telegram Messenger, Inc. telegram.org; www.telegram.org; t.me
7 Zoom Video Communications, Inc. zoom.us; www.zoom.us; explore.zoom.us
8 Likeme Pte.ltd. likee.video; www.likee.video; mobile.likee.video; l.likee.video; s.likee.video; mobile.like.video; likee.com
9 Viber Media S.à r.l. www.viber.com; viber.com
10 Discord, Inc. discord.com; www.discord.com
11 Pinterest, Inc. www.pinterest.ru; pinterest.ru; pinterest.com; about.pinterest.com; business.pinterest.com; policy.pinterest.com
12 Spotify AB open.spotify.com; www.spotify.com; wl.spotify.com; explore.spotify.com; play.spotify.com; accounts.spotify.com
13 Twitch Interactive, Inc. www.twitch.tv; twitch.tv; blog.twitch.tv

連邦法第236-FZ号「情報通信ネットワークにおける外国人の活動」の概要

N 236-ФЗ N 236-FZ
Обзор документа 概要
Президент подписал закон, устанавливающий порядок и условия осуществления иностранными лицами деятельности в сети Интернет с использованием информресурсов, суточная аудитория которых составляет более 500 тыс. российских пользователей. 大統領は、毎日50万人以上のロシア人ユーザーが利用する情報資源を利用したインターネットにおける外国人の活動の手順と条件を定めた法律に署名した。
Владельцы таких информресурсов для работы в России должны создать филиалы, или открыть представительства, или учредить российские юрлица, которые должны в полном объеме представлять интересы головных компаний и являться основным каналом взаимодействия российских регуляторов с ними на территории нашей страны. Эти обязанности также распространяют на провайдеров хостинга, операторов рекламных систем и организаторов распространения информации в сети Интернет. ロシアで事業を行うためには、そのような情報資源の所有者は、支店や駐在員事務所を設立したり、ロシアの法人を設立したりしなければならない。これらの法人は、親会社の利益を完全に代表し、ロシアの規制当局がわが国の領土で彼らと対話するための主要なチャネルとならなければならない。これらの義務は、ホスティングプロバイダー、広告システムオペレーター、インターネット上での情報発信の主催者にも適用される。
Предусмотрены следующие меры понуждения зарубежных интернет-компаний к исполнению требований российского законодательства: 外国のインターネット企業にロシアの法律を遵守させるために、以下のような措置が想定されている。
- информирование пользователей информресурса о нарушении законодательства РФ; ・情報リソースのユーザーに,ロシアの法律に違反していることを知らせる。
- запрет на распространение рекламы об информресурсе и на нем; ・情報資源に関する広告の配信を禁止すること。
- ограничение осуществления переводов в адрес интернет-ресурса; ・インターネット上のリソースへの転送を制限します。
- запрет на поисковую выдачу; ・検索エンジンの禁止。
- запрет на сбор и трансграничную передачу персональных данных; ・個人データの収集および国境を越えた移転の禁止。
- частичное или полное ограничение доступа к информационному ресурсу. ・情報資源へのアクセスを部分的または完全に制限すること。
Соответствующее решение будет принимать Роскомнадзор. 関連する決定は通信・IT・マスメディア監督連邦サービスが行う。
Закон вступает в силу со дня опубликования, за исключением отдельных положений, для которых установлены иные сроки введения в действие. この法律は、他の発効日が設定されている一部の条項を除き、その公表日に発効する。

 

 

1920pxemblem_of_roskomnadzorsvg

» Continue reading

| | Comments (0)

2021.11.23

米国 財務省通貨監督庁・連邦準備制度理事会・連邦預金保険公社 コンピューターセキュリティインシデント通知についての最終規則の承認

こんにちは、丸山満彦です。

米国の財務省通貨監督庁・連邦準備制度理事会・連邦預金保険公社が共同でコンピューターセキュリティインシデント通知についての最終規則の承認していますね。。。

銀行組織が「通知インシデント」のレベルに達した「コンピュータ・セキュリティインシデント」について、銀行組織が通知インシデントが発生したと判断した後、可能な限り早急に、遅くとも36時間以内に、主要な連邦規制当局に通知することを義務付ける最終規則を発行するとしています。

また、最終規則では、銀行サービス提供者が、4時間以上にわたって重大なサービスの中断または劣化を引き起こした、または引き起こす可能性が合理的に高いコンピュータ・セキュリティ・インシデントであると判断した場合、影響を受ける銀行組織の各顧客に可能な限り早く通知することを求めてていますね。。。

他社が同様の被害を受けないようにするためにするための情報共有は重要だと思います。

規則は、2022.04.01に施行され、2022.05.01に遵守が求められますね。。。

 

財務省通貨監督庁

DEPARTMENT OF THE TREASURY Office of the Comptroller of the Currency: OCC

・2021.11.18 Agencies Approve Final Rule Requiring Computer-Security Incident Notification

・[PDF

 

連邦準備制度

FEDERAL RESERVE SYSTEM

・2021.11.18 Agencies approve final rule requiring computer-security incident notification

・[PDF]

 

連邦預金保険公社

FEDERAL DEPOSIT INSURANCE CORPORATION: FDIC

・2021.11.18 Agencies Approve Final Rule Requiring Computer-Security Incident Notification

・[PDF]

20211122-182553

 

SUMMARY: The OCC, Board, and FDIC are issuing a final rule that requires a banking organization to notify its primary federal regulator of any “computer-security incident” that rises to the level of a “notification incident,” as soon as possible and no later than 36 hours after the banking organization determines that a notification incident has occurred. The final rule also requires a bank service provider to notify each affected banking organization customer as soon as possible when the bank service provider determines that it has experienced a computer-security incident that has caused, or is reasonably likely to cause, a material service disruption or degradation for four or more hours. サマリー:財務省通貨監督庁、連邦準備制度理事会、連邦預金保険公社は、銀行組織が「通知インシデント」のレベルに達した「コンピュータ・セキュリティインシデント」について、銀行組織が通知インシデントが発生したと判断した後、可能な限り早急に、遅くとも36時間以内に、主要な連邦規制当局に通知することを義務付ける最終規則を発行する。また、最終規則では、銀行サービス提供者が、4時間以上にわたって重大なサービスの中断または稼働低下を引き起こした、または引き起こす可能性が合理的に高いコンピュータ・セキュリティ・インシデントを経験したと判断した場合、影響を受ける銀行組織の各顧客に可能な限り早く通知することを求めてている。

 


その他、インシデント報告を法制化する話も出ていますね。。。

 

まるちゃんの情報セキュリティきまぐれ日記

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

| | Comments (0)

2021.11.22

英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

こんにちは、丸山満彦です。

4000個目の記事になりますね。。。

さて、英国政府のデジタル・文化・メディア・スポーツ省が2021.05.17に意見募集をした、サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答が2021.11.15に発表されていますね。。。

 

● U.K. Govenment

プレス

- Cyber Security

・2021.11.15 (Press release) New plans to boost cyber security of UK's digital supply chains

New measures to enhance security of businesses’ IT services published

回答

・2021.11.15 (Policy paper) Government response on supply chain cyber security

The government's response to a call for views on improving cyber security in supply chains and managed service providers.


本文

・2021.11.15 Government response to the call for views on supply chain cyber security

 

1605137912888

 


参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.05.19 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての意見募集


 

 

» Continue reading

| | Comments (0)

2021.11.21

中国通信院 モバイルインターネットアプリケーション(APP)の個人情報保護ガバナンスに関するホワイトペーパー

こんにちは、丸山満彦です。

中国通信院がモバイルインターネットアプリケーション(APP)の個人情報保護ガバナンスに関するホワイトペーパーを公表していますね。。。

中国通信院 (China Academy of Information and Communications Technology: CAICT

2021.11.14 移动互联网应用程序(APP)个人信息保护治理白皮书 モバイルインターネットアプリケーション(APP)の個人情報保護ガバナンスに関するホワイトペーパー

 

APPの個人情報保護は、

  • 中国共産党中央委員会国務院の大きな関心事であり、
  • 国民の広範な関心事であり、
  • 経済発展のための緊急の必要性であり、
  • 国際社会による普遍的な推進事項

となっているとのことです。

移动互联网应用程序(APP)个人信息保护治理白皮书 モバイル・インターネット・アプリケーション(APP)の個人情報保護ガバナンスに関する白書
【摘    要】 [概要] 
进入数字经济时代,技术发展日新月异,不仅极大地扩展了个人信息收集使用的规模,也加剧了个人信息泄露、滥用的风险,APP侵犯用户个人信息问题尤为突出。开展APP个人信息保护治理成为党中央国务院高度关注、人民群众广泛关切、经济发展迫切需要、国际社会普遍推进的重要议题。 デジタル経済の時代、テクノロジーの急速な発展により、個人情報の収集・利用の規模が大幅に拡大しただけでなく、個人情報の漏洩や悪用のリスクも強まっており、特にAPP社がユーザーの個人情報を侵害している問題が顕著になっています。 特にAPPがユーザーの個人情報を侵害している問題は顕著であり、APPの個人情報保護は、中国共産党中央委員会国務院の大きな関心事であり、国民の広範な関心事であり、経済発展のための緊急の必要性であり、国際社会による普遍的な推進事項となっています。
【目    录】 [目次]
一、 APP个人信息保护治理的重要性紧迫性日益凸显  1. APP個人情報保護ガバナンスの重要性と緊急性は、ますます顕著になっています。
(一) 落实中央决策部署的重要举措  (1) 中央政府の決定と配備を実行するための重要な措置 
(二) 维护用户合法权益的现实需要  (2) ユーザーの正当な権利と利益を守るための実際的な必要性 
(三) 营造公平竞争环境的关键手段  (3) 公平な競争環境を作るための重要な手段 
(四) 顺应国际发展趋势的普遍做法  (4)国際的な開発の流れに沿った共通の慣習 
二、 APP个人信息保护治理工作取得显著成效 2. APP個人情報保護ガバナンスは顕著な成果を上げている
(一)依法治理,政策法规制度持续完善   (1) 法律、政策、規制によるガバナンスの継続的な改善  
(二) 规范指引,标准体系建设基本形成  (2) 標準化と指導、標準システムの基本形成 
(三) 技管结合,检测平台建设稳步推进  (3)技術と管理の組み合わせ、テストプラットフォームの構築の着実な進展 
(四) 专项整治,用户权益保护明显改善  (4) 特別な修正、ユーザーの権利と利益の保護のための明らかな改善 
三、 纵深推进APP个人信息保护治理工作 3. APP個人情報保護のガバナンスの深化
(一)补齐短板,持续完善监管制度依据   (1) 欠点を補い、規制システムの基盤を継続的に改善すること  
(二)加强协同,建立健全联动治理机制   (2) 調整の強化と健全な共同統治メカニズムの確立  
(三)发挥优势,提升技术手段治理效能   (3) ガバナンスの技術的手段の利点を最大限に活かし、その効果を高めること  
(四)多元共治,推动行业发展行稳致远 (4)多面的なガバナンス、着実に前進するために業界の発展を促進するために

 

・[PDF]

20211121-70032

 

 

| | Comments (0)

欧州データ保護委員会 (EDPB) 意見募集 第三国または他の国への個人データの移転と認定する基準についてのガイド「GDPR第5章における第3条の適用と国際移転に関する規定との相互関係に関するガイドライン 05/2021」

こんにちは、丸山満彦です。

欧州データ保護委員会 (EDPB)が、第三国または他の国への個人データの移転と認定する基準についてのガイド「GDPR第5章における第3条の適用と国際移転に関する規定との相互関係に関するガイドライン 05/2021」についての意見募集をしていますね。。。

例示があって参考になりますね。。。

European Data Protection Board: EDPB

・2021.11.19 Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

・[PDF

20211121-62044

Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR GDPR第5章における第3条の適用と国際移転に関する規定との相互関係に関するガイドライン 05/2021
Adopted on 18 November 2021 2021年11月18日採択
Table of contents 目次
1 Introduction 1 はじめに
2 Criteria to qualify a processing as a transfer of personal data to a third country or to an international organisation international organisation 2 処理を第三国または国際機関への個人データの移転と認定する基準
2.1 A controller or a processor is subject to the GDPR for the given processing 2.1 管理者または処理者が、所定の処理についてGDPRの対象となること
2.2 This controller or processor (“exporter”) discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”) 2.2 管理者または処理者(「越境送信者」)が、この処理の対象となる個人データを、別の管理者、共同管理者または処理者(「越境受信者」)に送信またはその他の方法で開示すること
2.3 The importer is in a third country or is an international organisation, irrespective of whether or not this importer is subject to the GDPR in respect of the given processing in accordance with Article 3 2.3 越境受信者が第三国に所在するか、または国際的な組織であること(当該越境受信者が第3条に基づく所定の処理に関してGDPRの適用を受けるか否かを問わない)
3 Consequences 3 結果
The European Data Protection Board 欧州データ保護委員会
Having regard to Article 70 (1)(e) of the Regulation 2016/679/EU of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC, (hereinafter the “GDPR” or “Regulation”), 個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日の欧州議会および理事会の規則2016/679/EUの第70条(1)(e)を考慮し、指令95/46/ECを廃止する(以下、「GDPR」または「規則」という。)
Having regard to the EEA Agreement and in particular to Annex XI and Protocol 37 thereof, as amended by the Decision of the EEA joint Committee No 154/2018 of 6 July 2018,[1] EEA協定、特に2018年7月6日のEEA合同委員会の決定No.154/2018によって改正された附属書XI及びその議定書37を考慮する。 [1]
Having regard to Article 12 and Article 22 of its Rules of Procedure, 手続規則の第12条および第22条を考慮する。
HAS ADOPTED THE FOLLOWING GUIDELINES: 以下のガイドラインを採用します。
1       INTRODUCTION 1       イントロダクション 
1.          According to Article 44of the GDPR,[2] the conditions laid down in its Chapter V shall apply to any “transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation”.[3] The overarching purpose of Chapter V is to ensure that the level of protection guaranteed by the GDPR is not undermined when personal data are transferred “to third countries or to international organisations”.[4] 1.          GDPR第44条によれば[2] その第V章に定められた条件は、「第三国または国際機関への移転後に処理中または処理が意図されている個人データの移転」に適用されます。[3] 第V章の主な目的は、個人データが「第三国または国際機関」に移転される際に、GDPRが保証する保護レベルが損なわれないようにすることです。 [4]
2.          The provisions of Chapter V aim at ensuring the continued protection of personal data after they have been transferred to a third country or to an international organisation. When personal data is processed on EU territory it is protected not only by the rules in the GDPR but also by other rules, both on EU and Member State level, that must be in line with the GDPR (including possible derogations therein) and ultimately with the EU Charter on fundamental rights and freedoms. When personal data is transferred and made accessible to entities outside the EU territory, the overarching legal framework provided within the Union no longer applies. 2.          第5章の規定は、個人データが第三国または国際機関に移転された後も継続して保護されることを目的としています。個人データがEU域内で処理される場合は、GDPRの規則だけでなく、EUおよび加盟国レベルの他の規則によっても保護されます。これらの規則は、GDPR(その中で可能な例外規定を含む)、最終的には基本的権利と自由に関するEU憲章に沿ったものでなければなりません。個人データがEU域外の事業体に移転され、アクセスできるようになると、EU内で提供されている包括的な法的枠組みはもはや適用されません。
3.          Therefore, it must be ensured that the transferred personal data is protected in other ways, such as by being transferred in the context of an adequacy decision from the European Commission or by provision of appropriate safeguards in accordance with Chapter V of the GDPR. When relying on one of the transfer tools listed in Article 46 GDPR, it must be assessed whether supplementary measures need to be implemented in order to bring the level of protection of the transferred data up to the EU standard of essential equivalence.[5] This applies also in situations where the processing falls under Article 3(2) of the GDPR, in order to avoid that the protection provided by the GDPR is undermined by other legislation that the importer falls under. This may for example be the case where the third country has rules on government access to personal data that go beyond what is necessary and proportionate in a democratic society (to safeguard one of the important objectives as also recognised in Union or Member States’ law, such as those listed in Article 23(1) GDPR). The provisions in Chapter V are there to compensate for this risk and to complement the territorial scope of the GDPR as defined by Article 3 when personal data is transferred to countries outside the EU. 3.          したがって、欧州委員会の妥当性決定に基づいて移転されたり、GDPRの第5章に従った適切な保護措置が提供されるなど、移転された個人データが他の方法で保護されていることが保証されなければなりません。GDPR第46条に記載されている移転手段のいずれかに依拠する場合、移転されたデータの保護レベルを本質的同等性のEU基準にまで引き上げるために、補足的な措置を実施する必要があるかどうかを評価しなければなりません。[5] これは、処理がGDPR第3条第2項に該当する場合にも適用され、越境受信者が該当する他の法律によってGDPRによる保護が損なわれることを回避するためです。これは例えば、第三国が個人データへの政府のアクセスについて、民主主義社会において必要かつ妥当な範囲を超えた規則を持っている場合(GDPR第23条1項に記載されているような、EUまたは加盟国の法律でも認識されている重要な目的の1つを保護するため)などに当てはまります。第5章の規定は、このようなリスクを補い、個人データがEU域外の国に移転される場合に、第3条で定義されたGDPRの地域的範囲を補完するためのものです。
4.          The following sections aim at clarifying this interplay between Article 3 and the provisions of the GDPR on international transfers in Chapter V in order to assist controllers and processors in the EU in identifying whether a processing constitutes a transfer to a third country or to an international organisation and, as a result, whether they have to comply with the provisions of Chapter V of the GDPR. 4.          以下のセクションでは、第3条とGDPR第5章の国際移転に関する規定との間の相互関係を明確にし、EUの管理者および処理者が、処理が第三国または国際組織への移転に該当するかどうか、その結果、GDPR第5章の規定を遵守しなければならないかどうかを確認するのに役立てることを目的としています。
5.          It is however important to keep in mind that although a certain data flow may not constitute a transfer under Chapter V, such processing can still be associated with risks for which safeguards must be envisaged. Regardless of whether the processing takes place in the EU or not, controllers and processors always have to comply with all relevant provisions of the GDPR, such as the Article 32 obligation to implement technical and organizational measures taking into account, inter alia, the risks with respect to the processing. 5.          ただし、あるデータの流れが第5章の移転に該当しない場合でも、そのような処理には保護措置を想定しなければならないリスクが伴う可能性があることに留意する必要があります。処理がEU域内で行われるか否かにかかわらず、管理者および処理者は、特に処理に関するリスクを考慮した技術的および組織的措置を実施する第32条の義務など、GDPRのすべての関連規定を常に遵守しなければなりません。
2       CRITERIA TO QUALIFY A PROCESSING AS A TRANSFER OF PERSONAL DATA TO A THIRD COUNTRY OR TO AN INTERNATIONAL ORGANISATION 2       処理を第三国または国際機関への個人データの移転と認定するための基準。 
6.          Since the GDPR does not provide for a legal definition of the notion “transfer of personal data to a third country or to an international organisation”,[6] it is essential to clarify this notion. 6.          GDPRでは、「個人データの第三国または国際機関への移転」という概念の法的定義が規定されていないため[6] この概念を明確にすることが不可欠です。
7.          The EDPB has identified[7] the three following cumulative criteria that qualify a processing as a transfer:  7.          EDPBは、処理を移転と認定するために、以下の3つの累積基準を特定しました。[7] 
1)      A controller or a processor is subject to the GDPR for the given processing. 1)     管理者または処理者が、所定の処理についてGDPRの対象となること
2)     This controller or processor (“exporter”) discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”). 2)     管理者または処理者(「越境送信者」)が、この処理の対象となる個人データを、別の管理者、共同管理者または処理者(「越境受信者」)に送信またはその他の方法で開示すること
3)     The importer is in a third country or is an international organisation, irrespective of whether or not this importer is subject to the GDPR in respect of the given processing in accordance with Article 3. 3)     越境受信者が第三国に所在するか、または国際的な組織であること(当該越境受信者が第3条に基づく所定の処理に関してGDPRの適用を受けるか否かを問わない)
8.          It is useful to recall here that pursuant to Article 3, the application of the GDPR must always be assessed in relation to a certain processing rather than with regard to a specific entity (e.g. a company).[8] 8.          ここで思い出していただきたいのは、第3条に基づき、GDPRの適用は常に特定の企業(会社など)ではなく、特定の処理に関連して評価されなければならないということです。 [8]
2.1      A controller or a processor is subject to the GDPR for the given processing 2.1     管理者または処理者が、所定の処理についてGDPRの対象となること
9.          The first criterion requires that the processing at stake meets the requirements of Article 3 GDPR, i.e. that a controller or processor is subject to the GDPR for the given processing. This has been further elaborated on in the EDPB Guidelines 3/2018 on the territorial scope of the GDPR (Article 3). 9.          第1の基準は、問題となっている処理がGDPR第3条の要件を満たしていること、すなわち管理者または処理者が、所定の処理についてGDPRの対象となること。このことは、GDPRの領域的範囲(第3条)に関するEDPBガイドライン3/2018でさらに詳しく説明されています。
10.       It is worth underlining that controllers and processors, which are not established in the EU, may be subject to the GDPR pursuant to Article 3(2) for a given processing and, thus, will have to comply with Chapter V when transferring personal data to a third country or to an international organisation. 10.       EU域内で設立されていない管理者および処理者は、特定の処理について第3条(2)に基づきGDPRの適用を受ける可能性があり、したがって、個人データを第三国または国際機関に移転する際には、第5章を遵守しなければならないことを強調しておきます。
2.2       This controller or processor (“exporter”) discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”) 2.2      管理者または処理者(「越境送信者」)が、この処理の対象となる個人データを、別の管理者、共同管理者または処理者(「越境受信者」)に送信またはその他の方法で開示すること 
11.       The second criterion requires that there is a controller or processor disclosing by transmission or otherwise making data available to another controller or processor. These concepts have been further elaborated on in the EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR. It should, inter alia, be kept in mind that the concepts of controller, joint controller and processor are functional concepts in that they aim to allocate responsibilities according to the actual roles of the parties and autonomous concepts in the sense that they should be interpreted mainly according to EU data protection law. A case-by-case analysis of the processing at stake and the roles of the actors involved is necessary.[9] 11.       2つ目の基準は、データを他の管理者または処理者に送信またはその他の方法で開示する管理者または処理者が存在することを必要とします。これらの概念は、GDPRにおける管理者と処理者の概念に関するEDPBガイドライン07/2020でさらに詳しく説明されています。特に、管理者、共同管理者、処理者の概念は、当事者の実際の役割に応じて責任を割り当てることを目的とした機能的な概念であり、主にEUデータ保護法に従って解釈されるべきであるという意味で、自律的な概念であることを念頭に置く必要があります。問題となっている処理と関係者の役割をケースバイケースで分析することが必要です。 [9]
12.       This second criterion cannot be considered as fulfilled where the data are disclosed directly and on his/her own initiative by the data subject[10] to the recipient. In such case, there is no controller or processor sending or making the data available (“exporter”).[11] 12.       この第2の基準は、データ対象者が自らの意思で直接[10] 受信者にデータを開示する場合には、満たされているとは見なされない。この場合、データを送信または利用可能にする管理者または処理者は存在しません(「越境送信者」)。 [11]
Example 1: Controller in a third country collects data directly from a data subject in the EU 例1:第三国の管理者がEU内のデータ対象者から直接データを収集する場合
Maria, living in Italy, inserts her personal data by filling a form on an online clothing website in order to complete her order and receive the dress she bought online at her residence in Rome. The online clothing website is operated by a company established in Singapore with no presence in the EU. In this case, the data subject (Maria) passes her personal data to the Singaporean company, but this does not constitute a transfer of personal data since the data are not passed by an exporter (controller or processor), since they are passed directly and on her own initiative by the data subject herself. Thus, Chapter V does not apply to this case. Nevertheless, the Singaporean company will need to check whether its processing operations are subject to the GDPR pursuant to Article 3(2).[12] イタリア在住のマリアさんは、オンラインで購入したドレスをローマの自宅で受け取るために、オンラインのアパレルサイトのフォームに個人情報を入力して注文を完了させました。この衣料品オンラインサイトは、シンガポールで設立された会社が運営しており、EU域内には存在しません。この場合、データ主体(マリア)は自分の個人データをシンガポールの会社に渡していますが、データ主体自身が直接かつ自発的に渡しているため、データは越境送信者(管理者または処理者)から渡されたものではなく、個人データの移転にはなりません。したがって、このケースにはChapter Vは適用されません。とはいえ、シンガポールの会社は、第3条(2)に従い、その処理業務がGDPRの対象となるかどうかを確認する必要があります。 [12]
Example 2: Controller in the EU sends data to a processor in a third country 例2:EUのコントローラが第三国のプロセッサにデータを送信する場合
Company X established in Austria, acting as controller, provides personal data of its employees or customers to a company Z established in Chile, which processes these data as processor on behalf of X. In this case, data are provided from a controller which, as regards the processing in question, is subject to the GDPR, to a processor in a third country. Hence, the provision of data will be considered as a transfer of personal data to a third country and therefore Chapter V of the GDPR applies. オーストリアに設立されたX社は、管理者としてその従業員または顧客の個人データをチリに設立されたZ社に提供し、Z社はX社に代わって処理者としてこれらのデータを処理します。この場合、データは、当該処理に関してGDPRの対象となる管理者から第三国の処理者に提供されます。したがって、データの提供は、個人データの第三国への移転とみなされ、GDPRの第5章が適用されます。
13. It is also important to note that Article 44 of the GDPR clearly envisages that a transfer may not only be carried out by a controller but also by a processor. Therefore, there may be a transfer situation where a processor sends data to another processor or even to a controller as instructed by its controller. 13.また、GDPR第44条では、移転は管理者だけでなく、処理者によっても行われる可能性があることが明確に想定されていることに留意する必要があります。したがって、処理者が他の処理者にデータを送信したり、あるいは制御者の指示に従って制御者にデータを送信したりする転送の状況があり得ます。
Example 3: Processor in the EU sends data back to its controller in a third country 例3:EU内の処理者が第三国の管理者にデータを送り返す場合
XYZ Inc., a controller without an EU establishment, sends personal data of its employees/customers, all of them non-EU residents, to the processor ABC Ltd. for processing in the EU, on behalf of XYZ. ABC re-transmits the data to XYZ. The processing performed by ABC, the processor, is covered by the GDPR for processor specific obligations pursuant to Article 3(1), since ABC is established in the EU. Since XYZ is a controller in a third country, the disclosure of data from ABC to XYZ is regarded as a transfer of personal data and therefore Chapter V applies. EU域内に拠点を持たない管理者であるXYZ Inc.は、XYZに代わってEU域内で処理するために、その従業員/顧客(全員が非EU居住者)の個人データを処理者であるABC Ltd.に送信します。ABCはデータをXYZに再送信する。処理者であるABC社が行う処理は、ABC社がEUで設立されているため、GDPRの第3条(1)に基づく処理者固有の義務の対象となる。XYZは第三国の管理者であるため、ABCからXYZへのデータの開示は、個人データの移転とみなされ、第5章が適用される。
Example 4: Processor in the EU sends data to a sub-processor in a third country 例4:EU内の処理者が第三国の再委託処理者にデータを送信する場合
Company A established in Germany, acting as controller, has engaged B, a French company, as a processor on its behalf. B wishes to further delegate a part of the processing activities that it is carrying out on behalf of A to sub-processor C, a company established in India, and hence to send the data for this purpose to C. The processing performed by both A and its processor B is carried out in the context of their establishments in the EU and is therefore subject to the GDPR pursuant to its Article 3(1), while the processing by C is carried out in a third country. Hence, the passing of data from processor B to sub-processor C is a transfer to a third country, and Chapter V of the GDPR applies. 管理者であるドイツの会社Aは、その代理としてフランスの会社Bに処理者として従事しています。Bは、Aに代わって行っている処理活動の一部を、インドで設立された会社である再委託処理者Cにさらに委任することを希望しており、そのためにデータをCに送信します。Aとその処理者Bの両方が行っている処理は、EU内の事業所に関連して行われているため、GDPRの第3条1項に基づいてGDPRの対象となりますが、Cによる処理は第三国で行われています。したがって、処理者Bから再委託処理者Cへのデータの受け渡しは第三国への移転であり、GDPRの第V章が適用されます。
14.       The second criterion implies that the concept of “transfer of personal data to a third country or to an international organisation” only applies to disclosures of personal data where two different (separate) parties (each of them a controller, joint controller or processor) are involved. In order to qualify as a transfer, there must be a controller or processor disclosing the data (the exporter) and a different controller or processor receiving or being given access to the data (the importer). 14.       第2の基準は、「個人データの第三国または国際機関への移転」という概念が、2つの異なる(別の)当事者(それぞれが管理者、共同管理者または処理者)が関与する個人データの開示にのみ適用されることを意味する。移転と認められるためには、データを開示する管理者または処理者(越境送信者)と、データを受け取るまたはデータへのアクセスを与えられる別の管理者または処理者(越境受信者)がいなければなりません。
Example 5: Employee of a controller in the EU travels to a third country on a business trip 例5:EUの管理者の従業員が出張で第三国に行く場合
George, employee of A, a company based in Poland, travels to India for a meeting. During his stay in India, George turns on his computer and accesses remotely personal data on his company’s databases to finish a memo. This remote access of personal data from a third country, does not qualify as a transfer of personal data, since George is not another controller, but an employee, and thus an integral part of the controller (company A). Therefore, the disclosure is carried out within the same controller (A). The processing, including the remote access and the processing activities carried out by George after the access, are performed by the Polish company, i.e. a controller established in the Union subject to Article 3(1) of the GDPR. ポーランドに本社を置くA社の社員であるジョージは、会議のためにインドに出張した。インド滞在中、ジョージはコンピュータを起動し、メモを仕上げるために会社のデータベース上の個人データに遠隔地からアクセスしました。ジョージは他の管理者ではなく従業員であり、管理者(A社)と一体化しているため、このような第三国からの個人データの遠隔アクセスは、個人データの移転とは認められません。したがって、開示は同じ管理者(A社)内で行われます。リモートアクセスおよびアクセス後にジョージが行った処理活動を含む処理は、ポーランドの会社、すなわちGDPR第3条第1項の適用を受ける欧州連合内に設立された管理者によって行われます。
15.       Hence, if the sender and the recipient are not different controllers/processors, the disclosure of personal data should not be regarded as a transfer under Chapter V of the GDPR – since data is processed within the same controller/processor. In this context, it should be kept in mind that controllers and processors are nevertheless obliged to implement technical and organisational measures, considering the risks with respect to their processing activities, in accordance with Article 32 of the GDPR. 15.       したがって、送信者と受信者が異なる管理者/処理者ではない場合、データは同一の管理者/処理者内で処理されるため、個人データの開示はGDPRの第V章に基づく移転とみなされるべきではありません。なお、管理者および処理者は、GDPR第32条に基づき、その処理活動に関するリスクを考慮した技術的および組織的措置を実施する義務があることに留意する必要があります。
16.       It should also be recalled that entities which form part of the same corporate group may qualify as separate controllers or processors. Consequently, data disclosures between entities belonging to the same corporate group (intra-group data disclosures) may constitute transfers of personal data. 16.       また、同一企業グループに属する企業が、別個の管理者または処理者としての資格を有する場合があることにも留意する必要があります。したがって、同じ企業グループに属する企業間でのデータ開示(グループ内データ開示)は、個人データの移転を構成する可能性があります。
Example 6: A subsidiary (controller) in the EU shares data with its parent company (processor) in a third country 例6:EU域内の子会社(管理者)が第三国の親会社(処理者)とデータを共有する場合
The Irish Company A, which is a subsidiary of the U.S. parent Company B, discloses personal data of its employees to Company B to be stored in a centralized HR database by the parent company in the U.S. In this case the Irish Company A processes (and discloses) the data in its capacity of employer and hence as a controller, while the parent company is a processor. Company A is subject to the GDPR pursuant to Article 3(1) for this processing and Company B is situated in a third country. The disclosure therefore qualifies as a transfer to a third country within the meaning of Chapter V of the GDPR. 米国の親会社B社の子会社であるアイルランドのA社は、その従業員の個人データをB社に開示し、米国の親会社が一元化した人事データベースに保存しています。この場合、アイルランドのA社は雇用者として、つまり管理者としてデータを処理(および開示)し、親会社は処理者となります。A社はこの処理についてGDPR第3条第1項に準拠しており、B社は第三国に所在しています。したがって、この開示は、GDPRの第5章にいう第三国への移転に該当します。
17. Although a certain data flow may not qualify as a “transfer” to a third country in accordance with Chapter V of the GDPR, including example 5, such processing can still be associated with risks, for example due to conflicting national laws or government access in a third country as well as difficulties to enforce and obtain redress against entities outside the EU. The controller is accountable for its processing activities, regardless of where they take place, and must comply with the GDPR, including Article 24 (“Responsibility of the controller”), 32 (“Security of processing”), 33 (“Notification of a personal data breach”), 35 (“Data Protection Impact Assessment”), 48 (“Transfers or disclosures not authorised by Union law”), etc. Following from its obligation to implement technical and organisational measures taking into account, inter alia, the risks with respect to the processing under Article 32 of the GDPR, a controller may very well conclude that extensive security measures are needed – or even that it would not be lawful – to conduct or proceed with a specific processing operation in a third country although there is no “transfer” situation. For example, a controller may conclude that employees cannot bring their laptops, etc. to certain third countries. 17.例5を含むGDPRの第5章に基づき、あるデータフローが第三国への「移転」として適格ではない場合がありますが、そのような処理は、例えば、第三国の国内法や政府のアクセスが競合することや、EU域外の事業体に対して権利を行使して救済を得ることが困難であることなどのリスクを伴う可能性があります。管理者は、その処理活動がどこで行われているかに関わらず責任を負い、第24条(「管理者の責任」)、第32条(「処理のセキュリティ」)、第33条(「個人データ侵害の通知」)、第35条(「データ保護影響評価」)、第48条(「EU法で認められていない移転または開示」)など、GDPRを遵守しなければなりません。GDPR第32条に基づく処理に関するリスクを特に考慮した技術的および組織的な対策を実施する義務に続いて、管理者は、「移転」の状況ではないにもかかわらず、第三国で特定の処理作業を実施または続行するためには、大規模なセキュリティ対策が必要である、あるいは合法的ではないと結論づけることができます。例えば、管理者は、従業員がノートパソコンなどを特定の第三国に持ち込むことはできないと結論づけることができます。
2.3       The importer is in a third country or is an international organisation, irrespective of whether or not this importer is subject to the GDPR in respect of the given processing in accordance with Article 3 2.3      越境受信者が第三国に所在するか、または国際的な組織の場合(当該越境受信者が第3条に基づく所定の処理に関してGDPRの適用を受けるか否かを問わない) 
18 The third criterion requires that the importer is geographically in a third country or is an international organisation, but regardless of whether the processing at hand falls under the scope of the GDPR. 18 3つ目の基準は、越境受信者が地理的に第三国にいるか、国際的な組織であることを要求していますが、目の前の処理がGDPRの範囲に該当するかどうかは関係ありません。
Example 7: Processor in the EU sends data back to its controller in a third country 例7:EU内の処理者が第三国の管理者にデータを送り返す場合
Company A, a controller without an EU establishment, offers goods and services to the EU market. The French company B, is processing personal data on behalf of company A. B re-transmits the data to A. The processing performed by the processor B is covered by the GDPR for processor specific obligations pursuant to Article 3(1), since it takes place in the context of the activities of its establishment in the EU. The processing performed by A is also covered by the GDPR, since Article 3(2) applies to A. However, since A is in a third country, the disclosure of data from B to A is regarded as a transfer to a third country and therefore Chapter V applies. EUに事業所を持たない管理者であるA社は、EU市場に商品やサービスを提供しています。フランスの企業Bは、A社に代わって個人データを処理しており、BはA社にデータを再送信しています。処理者Bが行う処理は、EU内に設立された企業の活動に関連して行われているため、GDPRの第3条第1項に基づく処理者固有の義務の対象となります。しかし、Aは第三国にいるため、BからAへのデータの開示は第三国への移転とみなされ、第V章が適用されます。
3       CONSEQUENCES 3       結果 
19.       If all of the criteria as identified by the EDPB are met, there is a “transfer to a third country or to an international organisation”. Thus, a transfer implies that personal data are sent or made available by a controller or processor (exporter) which, regarding the given processing, is subject to the GDPR pursuant to Article 3, to a different controller or processor (importer) in a third country, regardless of whether or not this importer is subject to the GDPR in respect of the given processing. 19.       EDPBによって特定された基準がすべて満たされた場合、「第三国または国際組織への移転」が行われます。したがって、移転とは、所定の処理に関してGDPRの適用を受ける管理者または処理者(越境送信者)が、当該処理に関して越境受信者がGDPRの適用を受けるか否かにかかわらず、個人データを第三国の異なる管理者または処理者(越境受信者)に送信または利用可能にすることを意味します。
20.       As a consequence, the controller or processor in a “transfer” situation (according to the criteria described above) needs to comply with the conditions of Chapter V and frame the transfer by using the instruments which aim at protecting personal data after they have been transferred to a third country or an international organisation. 20.       その結果、(上述の基準による)「移転」状況にある管理者または処理者は、第V章の条件を遵守し、第三国または国際機関に移転された後の個人データの保護を目的とした手段を用いて移転を行う必要があります。
21.       These instruments include the recognition of the existence of an adequate level of protection in the third country or international organisation to which the data is transferred (Article 45) or, in the absence of such adequate level of protection, the implementation by the exporter (controller or processor) of appropriate safeguards as provided for in Article 46.[13] According to Article 49, personal data can be transferred to a third country or an international organisation without the existence of an adequate level of protection or the implementation of appropriate safeguards only in specific situations and under certain conditions. 21.       これらの手段には、データが転送される第三国または国際機関における適切なレベルの保護の存在を認識すること(第45条)、またはそのような適切なレベルの保護がない場合には、第46条に規定されているように、越境送信者(管理者または処理者)が適切な保護措置を実施することが含まれる。[13] 第49条によれば、個人データは、特定の状況および一定の条件の下でのみ、十分な保護水準の存在または適切な保護措置の実施なしに、第三国または国際機関に移転することができる。
22.       The main types of transfer tools listed in Article 46 are: 22.       第46条に記載されている主な転送ツールの種類は以下の通りです。
•       Standard Contractual Clauses (SCCs). •       SCC(Standard Contractual Clauses)。
•       Binding Corporate Rules (BCRs). •       Binding Corporate Rules(BCR)の略。
•       Codes of conduct. •       行動規範。
•       Certification mechanisms. •       認証メカニズム。
•       Ad hoc contractual clauses. •       アドホックな契約条項
•       International agreements/Administrative arrangements. •       国際協定/管理上の取り決め
23.       The content of the safeguards needs to be customized depending on the situation. As an illustration, the guarantees to be provided for a transfer of personal data by a processor are not the same as the ones to be provided for a transfer by a controller.[14] Similarly, for a transfer of personal data to a controller in a third country less protection/safeguards are needed if such controller is already subject to the GDPR for the given processing. Therefore, when developing relevant transfer tools (which currently are only available in theory), i.e. standard contractual clauses or ad hoc contractual clauses, the Article 3(2) situation should be taken into account in order not to duplicate the GDPR obligations but rather to address the elements and principles that are “missing” and, thus, needed to fill the gaps relating to conflicting national laws and government access in the third country as well as the difficulty to enforce and obtain redress against an entity outside the EU. To clarify, such tools should, for example, address the measures to be taken in case of conflict of laws between third country legislation and the GDPR and in the event of third country legally binding requests for disclosure of data. The EDPB encourages and stands ready to cooperate in the development of a transfer tool, such as a new set of standard contractual clauses, in cases where the importer is subject to the GDPR for the given processing in accordance with Article 3(2). 23.      保障措置の内容は、状況に応じてカスタマイズする必要があります。同様に、第三国の管理者への個人データの移転については、当該管理者が所定の処理について既にGDPRの適用を受けている場合には、より少ない保護/セーフガードが必要となります[14]。したがって、(現在は理論的にしか利用できない)関連する移転ツール、すなわち標準的な契約条項やアドホックな契約条項を開発する際には、GDPRの義務を重複させるのではなく、むしろ「欠けている」要素や原則に対処するために、矛盾する国内法や第三国の政府のアクセス、EU域外の事業体に対する強制執行や救済を受けることの難しさに関連するギャップを埋めるために必要な、第3条2項の状況を考慮する必要があります。明確にするために、このようなツールは、例えば、第三国の法律とGDPRが抵触する場合や、第三国の法的拘束力のあるデータ開示要求があった場合に取るべき措置を扱うべきです。EDPBは、輸入業者が第3条(2)に従って所定の処理についてGDPRの適用を受ける場合には、新しい標準契約条項などの移転ツールの開発を奨励し、協力する用意があります。

24.       To summarize, if the criteria as identified by the EDPB are not met, there is no “transfer” and Chapter V of the GDPR does not apply. As already mentioned, a controller is nonetheless accountable for all processing that it controls, regardless of where it takes place, and data processing in third countries may involve risks which need to be identified and handled (mitigated or eliminated, depending on the circumstances) in order for such processing to be lawful under the GDPR. 24.       要約すると、EDPBによって特定された基準が満たされていない場合、「移転」はなく、GDPRの第V章は適用されません。すでに述べたように、管理者は、それがどこで行われるかに関わらず、管理するすべての処理に対して責任を負います。また、第三国でのデータ処理にはリスクが伴う場合があり、GDPRの下で当該処理を合法的なものとするためには、リスクを特定し、処理(状況に応じて軽減または排除)する必要があります。
25.       It is worth underlining that controllers and processors whose processing is subject to the GDPR pursuant to Article 3 always have to comply with Chapter V of the GDPR when they disclose personal data to a controller or processor in a third country or to an international organisation. This also applies to disclosures of personal data carried out by controllers/processors which are not established in the EU but are subject to the GDPR pursuant to Article 3(2) to a controller or processor in the same or another third country. 25.       第3条に従ってGDPRの対象となる処理を行う管理者および処理者は、個人データを第三国の管理者または処理者、あるいは国際機関に開示する際には、常にGDPRの第5章を遵守しなければならないことを強調しておきます。これは、EU域内で設立されていないが、第3条(2)に基づきGDPRの対象となる管理者・処理者が、同じ国または他の第三国の管理者・処理者に対して行う個人データの開示にも適用されます。
[1] References to “EU” and “Member States” made throughout this document should be understood as references to “EEA” and “EEA Member States” respectively. [1]本書では、「EU」および「加盟国」という表現は、それぞれ「EEA」および「EEA加盟国」を指すものと理解してください。
[2] “Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation.” [2] "第三国または国際機関への移転後に処理中または処理が意図されている個人データの移転は、第三国または国際機関から他の第三国または国際機関への個人データの転送の場合も含め、本規則の他の規定に従い、本章に定める条件が管理者および処理者によって遵守されている場合にのみ行われるものとする。"
[3] “International organisation” means an organisation and its subordinate bodies governed by public international law, or any other body which is set up by, or on the basis of, an agreement between two or more countries.  [3] 「国際組織」とは、国際公法が適用される組織およびその下部組織、または2国以上の国の間の合意に基づいて設立されたその他の組織をいう。 
[4] Besides Recital 101, this is particularly emphasized by Article 44, sentence 2 which reads: “All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons guaranteed by this Regulation is not undermined.” [4]このことは、Recital 101の他に、第44条の第2文で特に強調されている。「この章のすべての規定は、この規則が保証する自然人の保護レベルが損なわれないように適用されなければならない」。
[5] See EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data and EDPB Recommendations 02/2020 on the European Essential Guarantees for surveillance measures. [5] EUレベルの個人情報保護への準拠を確保するための移転ツールを補完する措置に関するEDPB勧告01/2020と、監視措置のための欧州必須保証に関するEDPB勧告02/2020を参照。
[6] Article 44, sentence 1. [6] Article 44, sentence 1.
[7] Having regard to relevant findings in the CJEU Judgment of 6 November 2003, Bodil Lindqvist, C-101/01, EU:C:2003:596. [7] 2003年11月6日のCJEU判決、Bodil Lindqvist, C-101/01, EU:C:2003:596の関連する所見を考慮しています。
[8] See Sections 1–3 of the EDPB Guidelines 3/2018 on the territorial scope of the GDPR (Article 3). [8]GDPRの領土的範囲(第3条)に関するEDPBガイドライン3/2018のセクション1~3 を参照してください。
[9] See page 9 of the EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR. [9]GDPRにおけるコントローラとプロセッサの概念については、EDPBガイドライン07/2020の9ページを参照してください。
[10] The data subject cannot be considered a controller or processor. This follows from Article 4(10) GDPR which differentiates between controller/processor and data subject. Hence, a data subject disclosing his/her own personal data cannot be considered an “exporter”. This is without prejudice to the fact that a natural person/an individual can be a controller/processor in accordance with Article 4(7) and 4(8) GDPR (e.g. as a self-employed person). However, this does not limit the protection that natural persons acting as a controller/processor enjoy where their own personal data are concerned. [10] データ主体は、管理者または処理者とみなすことはできません。これは、管理者/処理者とデータ主体を区別しているGDPR第4条(10)から導かれるものです。したがって、データ主体が自身の個人データを開示しても「越境送信者」とはみなされません。これは、自然人/個人がGDPR第4条(7)および第4条(8)に従って管理者/処理者になることができるという事実を損なうものではありません(例えば、自営業者として)。しかし、このことは、管理者/処理者として行動する自然人が、自身の個人データが関係する場合に享受する保護を制限するものではありません。
[11] In addition, it is important to recall that where the processing of personal data is carried out “by a natural person in the course of a purely personal or household activity”, such processing will, in accordance with Article 2(2)(c), fall outside the material scope of the GDPR. [11]さらに、個人データ の処理が「純粋に個人的または家庭的な活動の過程で自然人によって」行われる場合、そのような処理は、第2条2項(c)に従い、GDPRの重要な範囲外となることを覚えておくことが重要です。
[12] In this regard, see Recital 23, which includes elements to be assessed when determining whether the targeting criterion in Article 3(2)(a) GDPR is met. [12]この点については、GDPR第3条(2)(a)のターゲティング基準が満たされているかどうかを判断する際に評価すべき要素が含まれている Recital 23を参照してください。
[13] In this context, see also the EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data. [13]これに関連して、個人データの保護に関するEUレベルへの準拠を確保するために転送ツールを補完する措置に関するEDPB勧告01/2020も参照してください。
[14] Cf. Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council. [14] Cf.欧州議会および理事会の規則(EU)2016/679に基づく個人データの第三国への移転のための標準契約条項に関する2021年6月4日の欧州委員会実施決定(EU)2021/914。

 

 

| | Comments (0)

2021.11.20

中国 インターネットの法の支配についての普及・教育計画

こんにちは、丸山満彦です。

中国がインターネットに関連した法律の体系を整え、その理解を国民に浸透させていくための計画を発表していますね。。。こういう実行力がすごいですね。。。

重要な法律として

国家安全法 国家安全保障法
反恐怖主义法 テロ対策法
网络安全法 ネットワークセキュリティ法
英雄烈士保护法 英雄烈士保護法
电子商务法 電子商取引法
未成年人保护法 未成年者保護法
数据安全法 データセキュリティ法
个人信息保护法 個人情報保護法

あたりですかね。。。

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

2021.11.17 网信系统法治宣传教育第八个五年规划(2021-2025年)
ネットワークシステムの法に支配に関する普及・教育に関する第8次5ヵ年計画(2021-2025年)」について

 

《网信系统法治宣传教育第八个五年规划(2021-2025年)》 ネットワークシステムの法の支配に関する普及・教育の第8次5ヵ年計画(2021-2025年)」について
近日,中央网络安全和信息化委员会办公室印发《网信系统法治宣传教育第八个五年规划(2021-2025年)》(以下简称《规划》),对网信系统“八五”普法工作作出安排部署。 先日、サイバー空間情報化中央委員会事務局は、「ネットワークシステムにおける法の支配の普及と教育のための第8次5ヵ年計画(2021-2025)」(以下、「本計画」)を発表し、ネットワーク情報システムにおける法の普及のための「第8次5ヵ年計画」の準備と調整を行った。
《规划》强调,网络法治宣传教育是依法治网的长期基础性工作,是推进网信事业健康发展的必然要求。网络普法要坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中、四中、五中、六中全会精神,深入贯彻习近平法治思想、习近平总书记关于网络强国的重要思想,增强“四个意识”、坚定“四个自信”、做到“两个维护”,立足新发展阶段、贯彻新发展理念、构建新发展格局,围绕网络强国建设发展目标,系统谋划网络普法的重要任务、重点工作和重大工程,为网络强国建设营造良好的法治环境。 本計画では、法の支配に関するネットワーク普及・教育は、法の支配の長期的な基礎事業であり、ネットワークの健全な発展を促進するための必然的な要件であることを強調しています。 法のネットワークの普及は、ガイドとして新時代の中国の特徴を持つ社会主義の習近平思想に付着する必要があり、完全に第19回中国共産党全国代表大会と第19回中国共産党中央委員会の第二、第三、第四、第五、第六回全体会議を実装するには、法の支配に関する習近平思想の詳細な実装は、ネットワークの力に習近平総書記の重要なアイデアは、「4つの意識」を高める、しっかりとした 「4つの自信」 は、「2つの保護」を達成するために、新しい開発段階に基づいて、新しい開発コンセプトを実装し、新しい開発パターンを構築し、強力なネットワークの国の開発目標の建設を中心に、体系的に重要なタスク、重要な事業や法律のネットワークの普及の主要なプロジェクトを計画し、強力なネットワークの国の建設のために。 本計画では、ネットワーク上での法律の普及を組織的に行うことを提案しています。
《规划》提出,网络普法工作要坚持党的全面领导,坚持以人民为中心,坚持整体谋划、系统推进,坚持改革创新、精准高效。到2025年,网络普法工作协调机制更加健全,网络普法工作大格局全面形成;网络普法针对性、实效性明显提高,网民法治素养和法治意识显著增强,青少年网民网络法治素养不断提升;网络平台主体责任和行业自律有效落实,网络治理效能和治理水平实现新提升;网络综合治理体系更加完善,网络空间厉行法治的自觉性、积极性、主动性显著提升;全网尊法学法守法用法氛围更加浓厚,网络法治成为社会共识和基本准则,广大网民在互联网发展中享有更多的获得感、幸福感、安全感。 本計画では、ネットワークでの法律普及事業は、党の全体的な指導を堅持し、人民を中心に据え、全体的な計画と体系的な推進を堅持し、改革と革新、正確さと効率を堅持することを提案しています。 2025年までに、ネットワークにおける法の普及のための調整メカニズムがより健全になり、ネットワークにおける法の普及の一般的なパターンが完全に形成され、ネットワークにおける法の普及の関連性と有効性が大幅に改善され、ネットワークユーザーの法の支配に関するリテラシーと意識が大幅に向上し、若いネットワークユーザーのネットワークリテラシーが継続的に向上し、ネットワークプラットフォームの主な責任と業界の自主規制が効果的に実施され、ネットワークのガバナンスの有効性とレベルが新たに強化され、ネットワークの総合的なガバナンスシステムがより強化される。 包括的なネットワークガバナンスシステムが改善され、サイバースペースで法の支配を適用する意識、熱意、イニシアチブが大幅に強化された。法を尊重し、学び、遵守し、法を利用するという雰囲気がネットワーク全体で強くなり、ネットワーク上の法の支配が社会的コンセンサスとなり、基本的なガイドラインとなったことで、大多数のネットワークユーザーがネットワークの発展において、より大きな達成感、幸福感、安心感を享受することができるようになりました。
《规划》围绕五个方面部署了主要任务,一是明确网络普法的重点内容,二是系统提升全民网络法治素养,三是推进网络普法与依法治网有机融合,四是着力提升网络普法针对性实效性,五是构建网络普法大格局。此外,《规划》提出五项工程,包括:网信系统领导干部依法管网治网能力提升工程,青少年网络法治素养培育提升工程,互联网企业合规建设工程,网络普法师资培养工程,网络普法志愿者队伍建设工程。 本計画では、第一に、ネットワークにおける法の普及の重要な内容を明らかにすること、第二に、ネットワークにおける法の支配に対する国民全体のリテラシーを体系的に高めること、第三に、ネットワークにおける法の普及とネットワークにおける法の支配との有機的な統合を促進すること、第四に、ネットワークにおける法の普及の目標の有効性を高める努力をすること、第五に、ネットワークにおける法の普及の一般的なパターンを構築すること、という5つの側面を中心に主な課題を展開しています。 また、ネットワークシステムの主要幹部が法律に基づいてネットワークを管理・運営する能力を向上させるプロジェクト、若者のネットワーク上でのリーガルリテラシーを育成・向上させるプロジェクト、ネットワーク企業のコンプライアンスを構築するプロジェクト、ネットワーク普及のための教師を育成するプロジェクト、ネットワーク普及のためのボランティアチームを構築するプロジェクトなど、5つのプロジェクトを提案しています。
《规划》提出,要扎实做好网络普法工作组织实施,提高政治站位、加强组织领导,加强统筹协调、形成工作合力,强化保障机制、推动网络普法高质量发展,注重示范引领、做好指导检查,确保目标任务如期实现。 本計画では、ネットワーク上の法律を普及させる事業の組織化と実施をしっかりと行い、政治レベルを高め、組織のリーダーシップを強化し、調整を強化し、事業部隊を編成し、保証メカニズムを強化し、ネットワーク上の法律を普及させる事業の質の高い発展を促進し、デモンストレーションとリーダーシップに重点を置き、目的と課題が予定通りに達成されるように指導と検査をしっかりと行うことを提案しています。

 

1_20210612030101

その内容については、

↓↓↓

» Continue reading

| | Comments (0)

米国 米下院監視改革委員会でのFBIサイバー部門アシスタントディレクターの「ハッカーを阻止し、サイバー脅威からの回復力を高めるための戦略」についての証言

こんにちは、丸山満彦です。

米下院監視改革委員会でのブライアン・A・ヴォルンドラン連邦捜査局(FBI)サイバー部門アシスタントディレクターの証言が公開されています。

ランサムウェアおよびその他のサイバーインシデントの報告義務化についても触れられています。FBIとしては歓迎の方向ですよね。。。

FBI

・2021.11.16 Cracking Down on Ransomware: Strategies for Disrupting Criminal Hackers and Building Resilience Against Cyber Threats

 

Cracking Down on Ransomware: Strategies for Disrupting Criminal Hackers and Building Resilience Against Cyber Threats Cracking Down on Ransomware: 犯罪者ハッカーを阻止し、サイバー脅威からの回復力を高めるための戦略
Statement for the Record 記録のための声明
Chairwoman Maloney, Ranking Member Comer, and members of the committee, thank you for the invitation to provide remarks on the FBI’s role in our nation’s fight against ransomware. マロニー委員長、コマー上級委員、そして委員会のメンバーの皆様、ランサムウェアとの戦いにおけるFBIの役割について発言する機会をいただき、ありがとうございます。
Ransomware is a growing threat to the health and safety of the American people and our national and economic security, with no shortage of recent examples of ransomware’s wide-ranging effects. I am honored to lead the men and women of the FBI’s cyber program, where we are using our unique authorities to impose risk and consequences on the malicious cyber actors who are committing these crimes. But we cannot go at it alone, and as you will hear today, our strategy involves not only our partners in the federal government, but also those in the private sector and abroad. ランサムウェアは、米国民の健康と安全、そして国家と経済の安全保障に対する脅威として拡大しており、最近ではランサムウェアの広範な影響を示す例が後を絶ちません。私は、FBIのサイバープログラムを率いていることを光栄に思っています。FBIは独自の権限を駆使して、こうした犯罪を行う悪質なサイバー犯罪者にリスクと結果を与えています。しかし、FBIは単独で活動することはできません。本日ご紹介するように、FBIの戦略には、連邦政府のパートナーだけでなく、民間企業や海外のパートナーも参加しています。
The individuals who conduct cyber intrusions and ransomware campaigns, and the officials who direct or harbor them, believe they can compromise U.S. networks, steal our financial and intellectual property, and hold our critical infrastructure hostage for ransom, all without incurring risk themselves. サイバー攻撃やランサムウェアのキャンペーンを行う人物や、彼らを指示したり匿ったりする政府関係者は、米国のネットワークを危険にさらし、金融資産や知的財産を盗み、重要なインフラを人質にして身代金を要求することが、自分自身がリスクを負うことなくできると考えています。
The FBI sits at the convergence of U.S. government efforts to change this risk calculus. FBIは、このリスク計算を変えるための米国政府の取り組みの中心に位置しています。
As a member of both the law enforcement and intelligence communities, with domestic and international reach, the FBI is focusing our unique authorities, and our ability to engage with international law enforcement, domestic victims, and key technology service providers, to identify and disrupt adversaries before they compromise U.S. networks, and hold them accountable when they do. 法執行機関と情報機関の両方のコミュニティに属し、国内外で活動するFBIは、独自の権限と、国際的な法執行機関、国内の被害者、主要な技術サービスプロバイダと連携する能力を駆使して、敵対者が米国のネットワークを侵害する前に特定して混乱させ、侵害した場合にはその責任を追及しています。
Key to the FBI’s strategy is using the information and insight we develop through our investigations to support our full range of public and private sector partners. There are many countries, companies, and agencies who play roles in defending networks, sanctioning destabilizing behavior, collecting cyber threat intelligence, and conducting cyber effects operations. We seek to work with all of them, in the belief that our collective actions to combat cyber threats are most impactful when they are planned jointly and sequenced for maximum impact. FBIの戦略の鍵となるのは、捜査で得た情報や見識を活用して、官民を問わずあらゆるパートナーを支援することです。ネットワークの防御、不安定な行動への制裁、サイバー脅威情報の収集、サイバー作戦の実施などの役割を担う国、企業、機関は数多くあります。FBIは、サイバー脅威に対抗するための集団行動は、共同で計画し、最大の効果が得られるように順序立てて行うことが最も効果的であるという信念のもと、すべてのパートナーとの協力を求めています。
In coordination with our partners, the FBI has successfully disrupted numerous cybercriminal enterprises, including those deploying ransomware, but lasting impact will require joint, sequenced operations with our U.S. counterparts and foreign allies as well as a removal of the sense of impunity many of these actors currently feel. FBIは、パートナーとの連携により、ランサムウェアを配布している企業を含む数多くのサイバー犯罪企業を壊滅させることに成功していますが、その効果を持続させるためには、米国のカウンターパートや海外の同盟国との共同で順序立てた活動が必要であり、また、これらの犯罪者の多くが現在感じている免罪符の意識を取り除くことが必要です。
Just last week, we held a joint press conference with the departments of Justice, State, and Treasury to highlight our whole-of-government approach to tackling ransomware—in this case, the Sodinokibi/REvil variant responsible for thousands of ransomware attacks worldwide, including the July 2021 attack on IT management company Kaseya. Together, we announced: 先週、私たちは、司法省、国務省、財務省と共同で記者会見を開き、ランサムウェア(今回は、2021年7月にITマネジメント企業のKaseyaを狙った攻撃を含め、世界中で何千ものランサムウェア攻撃の原因となっているSodinokibi/REvil亜種)に対処するための政府全体のアプローチを強調しました。合わせて、次のことを発表しました。
1. The arrest and unsealing of charges on Ukrainian national Yaroslav Vasinskyi for deploying Sodinokibi ransomware on victims, including Kaseya’s computer systems; 1. ウクライナ国籍のヤロスラフ・ヴァシンスキーが、Kaseyaのコンピュータシステムを含む被害者にSodinokibiランサムウェアを展開した罪で逮捕され、告訴が解除されたこと。
2. The seizure of $6.1 million in funds traceable to and unsealing of charges on Yevgeniy Polyanin, a Russian national charged with conducting Sodinokibi/REvil ransomware attacks against thousands of victims; 2. 数千人の被害者に対してSodinokibi/REvilランサムウェア攻撃を行った罪で起訴されたロシア国籍のエフゲニー・ポリアニンの追跡可能な資金610万ドルを押収し、告訴状の開示を行いました。
3. OFAC sanctions against Vasinskyi and Polyanin, as well the Chatex virtual currency exchange for its part in facilitating financial transactions for ransomware actors; and 3. ランサムウェア実行者の金融取引を促進したとして、Vasinskyi、Polyanin、およびChatex仮想通貨取引所に対するOFAC制裁。
4. Two awards, totaling up to $15 million, for information leading to the identification, arrest, and/or conviction of Sodinokibi/REvil ransomware leadership or conspirators. 4. Sodinokibi/REvilランサムウェアのリーダーまたはその共謀者の特定、逮捕、有罪判決につながる情報に対して、2つの賞、合計1,500万ドルを授与。
And it is no coincidence that we announced these actions on the same day our foreign partners in Europol announced the arrest of two additional affiliates of the same group in Romania, and Eurojust made its own announcement regarding related efforts. These coordinated and sequenced operations are the culmination of close and painstaking international and federal law enforcement collaboration, across governments and with private sector companies. Yes, the cyber threat is daunting, but when we combine the right people, the right tools, and the right authorities, our adversaries are no match for what we can accomplish together. また、海外のパートナーであるユーロポールが、ルーマニアで同じグループの2つの関連会社を逮捕したことを発表したのと同じ日に、当社がこれらのアクションを発表し、ユーロジャストが関連する取り組みについて発表したのは偶然ではありません。これらの協調した一連の活動は、政府や民間企業の枠を超えた、国際的かつ連邦的な法執行機関の緊密かつ骨の折れる協力関係の集大成です。しかし、適切な人材、適切なツール、適切な権限を組み合わせれば、敵は私たちが協力して達成できることにはかないません。
What is Ransomware? ランサムウェアとは何か?
At its most basic, ransomware is a computer program created by malicious actors to 1) infect a computer or server, 2) encrypt its contents so they cannot be accessed or used, and 3) allow the malicious actors to demand that a ransom be paid in exchange for the decryption key. Victim organizations without effective backups are not able to operate until their data is restored. Ransomware can paralyze organizations, and the cost to rebuild an encrypted network can be catastrophic for small- and medium-sized businesses and municipalities. ランサムウェアとは、悪意ある者によって作成されたコンピュータプログラムで、1)コンピュータやサーバに感染し、2)コンテンツを暗号化してアクセスや使用ができないようにし、3)復号化キーと引き換えに身代金の支払いを要求できるようにするものです。有効なバックアップを持たない被害者の組織は、データが復旧するまで業務を行うことができません。ランサムウェアは組織を麻痺させ、暗号化されたネットワークを再構築するためのコストは、中小企業や自治体にとって壊滅的なものになる可能性があります。
The ransomware threat is not new, and it has been one of the FBI’s top priorities for cybercriminal investigations for some time. In 2018, for example, we eliminated the threat from a highly impactful ransomware variant called SamSam that infected victims in nearly every U.S. state, including the city of Atlanta, the Port of San Diego, and multiple major healthcare companies. Our investigation led to a November 2018 indictment of the responsible Iranian cybercriminals and sanctions against two digital currency exchanges that enabled their operations; this ransomware variant has not been seen since. ランサムウェアの脅威は目新しいものではなく、以前からFBIのサイバー犯罪捜査の最優先課題の一つとなっています。例えば2018年には、アトランタ市、サンディエゴ港、複数の大手ヘルスケア企業など、米国のほぼすべての州で被害者に感染した「SamSam」という影響力の強いランサムウェアの亜種の脅威を排除しました。私たちの調査により、2018年11月に責任者であるイランのサイバー犯罪者が起訴され、彼らの活動を可能にした2つのデジタル通貨取引所に対する制裁措置が取られ、それ以来このランサムウェアの亜種は見られなくなりました。
In a trend not unique to cybercrime, as we expand our capability to disrupt ransomware actors, criminals have adapted to increase the scale, impact, and prevalence of ransomware attacks. The increasingly sophisticated and targeted nature of ransomware campaigns has significantly increased their impacts on U.S. businesses, and ransom demands are growing larger. Simultaneously, “ransomware-as-a-service” (RaaS), in which a developer sells or leases the ransomware tools to their criminal customers, has decreased the barrier to entry and technological savvy needed to carry out and benefit from these compromises and increased the number of criminals conducting ransomware campaigns. As this has happened, the number of ransomware variants has grown; today, we have investigations into more than 100 variants, many of which have been used in multiple ransomware campaigns. Recently, we have seen “double extortion” ransomware—where actors encrypt, steal, and threaten to leak or sell victims’ data—emerge as a leading tactic for cybercriminals, raising the stakes for victims, which in turn has increased the likelihood of ransom payments being made. サイバー犯罪に特有の傾向ではありませんが、私たちがランサムウェアの行為者を破壊する能力を拡大する一方で、犯罪者はランサムウェア攻撃の規模、影響、普及率を高めるために適応しています。ランサムウェアのキャンペーンがますます洗練され、標的を絞って行われるようになったことで、米国企業への影響が大幅に増加し、身代金の要求額も大きくなっています。同時に、開発者が犯罪者の顧客にランサムウェアのツールを販売またはリースする「ランサムウェア・アズ・ア・サービス」(RaaS)により、これらの侵害を実行して利益を得るために必要な参入障壁や技術的な知識が減少し、ランサムウェアキャンペーンを行う犯罪者の数が増加しました。これに伴い、ランサムウェアの亜種の数も増加し、現在では100種類以上の亜種を調査しており、その多くが複数のランサムウェアキャンペーンで使用されています。最近では、被害者のデータを暗号化して盗み出し、それを漏洩したり販売したりすると脅す「二重恐喝」ランサムウェアがサイバー犯罪者の主要な手口として登場し、被害者の危機感を高め、その結果、身代金の支払いが行われる可能性が高くなっています。
While cybercriminals remain opportunistic, they have also become more targeted in their campaigns, purposely aiming their malware at those institutions that can least afford downtime, specifically infrastructure critical to public safety, including hospitals and emergency services. また、サイバー犯罪者は日和見的ですが、その一方で、ダウンタイムを最も回避できる機関、特に病院や救急隊などの公共の安全に関わるインフラを狙って、意図的にマルウェアを使用するようになっています。
These ransom payments are typically requested in the form of a virtual currency, like Bitcoin. Virtual currency is not governed by a central authority, and regulation of the industry is still evolving globally, which can make it difficult to find out who is behind a transaction. 身代金の支払いは、通常、ビットコインなどの仮想通貨を用いて要求されます。仮想通貨は、中央機関が管理しておらず、世界的に規制が進んでいるため、取引の背後にいる人物を突き止めることが困難な場合があります。
Cryptocurrency can be moved anywhere in the world, often more quickly than traditional currency, and these transactions frequently take place on the dark web, which presents its own set of problems. While these ransom demands often used to be just a few hundred dollars, we now see American businesses targeted with ransom demands in the millions, and in some cases tens of millions, of dollars. The statistics paint a stark picture: In 2020, the FBI’s Internet Crime Complaint Center (IC3) statistics showed a 20 percent increase in reported ransomware incidents and a 225 percent increase in reported ransom amounts. 暗号通貨は世界のどこにでも移動でき、従来の通貨よりも迅速に移動できることが多く、これらの取引はダークウェブ上で行われることが多いため、独自の問題を抱えています。このような身代金要求は、かつては数百ドル程度のものが多かったのですが、現在ではアメリカの企業が数百万ドル、場合によっては数千万ドルの身代金要求の対象となっています。統計では、このような状況が明らかになっています。2020年、FBIのInternet Crime Complaint Center(IC3)の統計によると、ランサムウェアの報告件数は20%、身代金の報告額は225%増加しています。
Unfortunately, what is reported is only a fraction of the incidents out there.1 残念ながら、報告されているのは、世の中に存在するインシデントのほんの一部に過ぎません1。
We have also seen both nation-state adversaries and cybercriminals targeting managed service providers (MSPs), whereby infecting one system, they can access the networks of hundreds of potential victims, as we saw in the Kaseya incident. But we are working to bring awareness to this method of compromise. In June, our partners at the U.S. Secret Service put together a cyber incident response simulation for companies that use MSPs, and it was my pleasure to join the Secret Service and give a unified federal message on the importance of hardening their systems and engaging with law enforcement before they are victims of an attack. また、国家レベルの敵対者とサイバー犯罪者の両方がマネージドサービスプロバイダ(MSP)を標的にしており、Kaseyaの事件で見られたように、1つのシステムに感染させることで、何百人もの潜在的な被害者のネットワークにアクセスすることができます。しかし、私たちは、このような不正アクセスの手口に対する認識を高めるために努力しています。6月には、米国シークレットサービスのパートナーが、MSPを利用している企業を対象としたサイバーインシデント対応シミュレーションを実施しました。私はシークレットサービスに参加して、攻撃の被害に遭う前にシステムを強化し、法執行機関と連携することの重要性について、連邦政府として統一的なメッセージを発信することができました。
Ransomware has become one of the most costly and destructive threats to businesses and governments. On top of this, throughout the COVID-19 pandemic, we saw callous opportunism by criminal groups who put public safety at risk by attacking health care providers during a global pandemic. These groups demonstrate no morality; they will target entities big and small, public and private, and show little care for how their actions affect vulnerable populations. ランサムウェアは、企業や政府にとって最もコストがかかり、破壊的な脅威の一つとなっています。さらに、COVID-19のパンデミックでは、世界的な大流行の際に医療機関を攻撃して公共の安全を危険にさらす犯罪グループの冷酷な日和見主義が見られました。このようなグループは、道徳心を持たず、大小、公私を問わず、自分たちの行動が弱い立場にある人々にどのような影響を与えるかをほとんど気にしません。
How the FBI’s Cyber Strategy Counters the Ransomware Threat ランサムウェアの脅威に対抗するFBIのサイバー戦略
Because this criminal activity has become more lucrative and enticing, it is our job to make it harder and more painful for hackers to do what they are doing. That is why we announced a new FBI cyber strategy last year, using our role as the lead federal agency with law enforcement and intelligence responsibilities to not only pursue our own actions, but to work seamlessly with our domestic and international partners to defend their networks, attribute malicious activity, sanction bad behavior, and take the fight to our adversaries overseas. We must impose risk and consequences on cyber adversaries and use our unique law enforcement and intelligence capabilities and authorities to do so through joint operations sequenced appropriately for maximum impact. We have to target the entire criminal ecosystem—including malware developers, money launderers, and shady infrastructure providers—and work with all relevant federal agencies like the Cybersecurity and Infrastructure Security Agency (CISA) and the Office of the National Cyber Director (ONCD), as well as victims and cybersecurity firms. All the while, we must continue to team with the Department of State to ensure our foreign partners are able and willing to cooperate in our efforts to bring the perpetrators of cybercrime to justice. このような犯罪行為は、より収益性の高い魅力的なものになっているため、ハッカーが彼らのような行為を行うことをより困難にし、より苦しめることが私たちの仕事です。昨年、FBIは新たなサイバー戦略を発表しました。法執行と諜報活動を担う連邦政府機関としての役割を活かし、自らの行動を追求するだけでなく、国内外のパートナーとシームレスに連携して、ネットワークを守り、悪意のある行為を特定し、悪質な行為に制裁を加え、海外の敵に戦いを挑んでいます。私たちは、サイバー敵対者にリスクと結果を与えなければならず、そのためには、法執行機関や情報機関の独自の能力と権限を活用し、最大の効果が得られるように適切な順序で共同作戦を行う必要があります。私たちは、マルウェア開発者、マネーロンダリングを行う者、怪しいインフラを提供する者など、犯罪のエコシステム全体を対象とし、サイバーセキュリティ・重要インフラセキュリティ庁 (CISA) 国家サイバーディレクター局 (ONCD) などの関連するすべての連邦機関や、被害者やサイバーセキュリティ企業と連携しなければなりません。その一方で、国務省と連携し、サイバー犯罪の犯人を裁くための取り組みに海外のパートナーが協力してくれるようにしなければなりません。
More specifically, and in conjunction with the Department of Justice’s recently-formed Ransomware and Digital Extortion Task Force, our strategy for countering ransomware and other complex cybercriminal schemes is focused on pursuing and disrupting 1) the actors, 2) their infrastructure, and 3) their money—all while providing help to victims and actionable intelligence to warn potential future victims. If there’s one thing the Bureau understands, it’s taking down criminal organizations, and when it comes to ransomware, we’re working with an unprecedented number of government and private sector organizations to do just that. When pursuing these actors, we work with like-minded countries to identify those responsible for damaging ransomware schemes, arrest them, and extradite them to the United States to face justice whenever possible. At the same time, taking down cybercriminals’ technical infrastructure adds to the impact, as it raises their costs, disrupts their operations, prevents new victims, and often gives us new intelligence on their operations. Lastly, since virtual currencies are so central to ransomware, we have developed our ability to trace these transactions and have been able to seize funds and shut down illicit currency exchanges in some instances. In addition to the seizure of $6.1 million from the Sodinokibi/REvil group that we announced just last week, we were also recently able to accomplish this objective in the Colonial Pipeline case, when the victim and our federal partners worked quickly and closely with us to recover a substantial portion of the cryptocurrency paid as ransom. Each of these is important, but we have the most durable impact when we do disrupt all three together. 具体的には、最近設立された司法省のランサムウェア・デジタル恐喝タスクフォースと連携して、ランサムウェアやその他の複雑なサイバー犯罪に対抗するための戦略は、1)行為者、2)インフラ、3)資金、を追求し、混乱させることに重点を置いています。ランサムウェアに関しては、これまでにない数の政府機関や民間企業と協力して、犯罪組織を壊滅させています。ランサムウェアに関しては、これまでにないほど多くの政府機関や民間企業と協力しています。また、同じ志を持つ国々と協力して、ランサムウェアの被害をもたらした犯人を特定し、逮捕し、可能な限り米国に送還して裁判にかけています。同時に、サイバー犯罪者の技術的なインフラを破壊することで、彼らのコストを上げ、業務を混乱させ、新たな被害者を出さないようにするとともに、彼らの活動に関する新たな情報を得ることができるため、影響力を高めることができます。最後に、ランサムウェアでは仮想通貨が非常に重要な役割を果たしているため、私たちはこれらの取引を追跡する能力を向上させ、場合によっては資金を差し押さえたり、不正な通貨取引所を閉鎖したりすることができました。先週発表したSodinokibi/REvilグループからの610万ドルの押収に加え、最近ではColonial Pipeline事件でも、被害者と連邦政府のパートナーが迅速かつ緊密に協力して、身代金として支払われた暗号通貨のかなりの部分を回収し、この目的を達成することができました。このように、それぞれが重要ですが、この3つを一緒に破壊することで、最も持続的なインパクトを与えることができます。
We do all this with victims at the center of our efforts. At the FBI, we aim to inform, support, and assist victims in navigating the aftermath of crime and the criminal justice process with dignity and resilience. We want to empower all victims of cyber intrusions, just as we do for victims of other crimes. In some instances, we have done this by developing or acquiring a ransomware’s decryption key to help victims recover without paying the ransom. We have also, on occasion, been able to give advance warning to vulnerable or targeted entities. While the FBI is not a remediation service, the work we do to investigate and respond to cybercrime enables us to collect information, which we share to prevent future attacks and use to assist victims if they have already been hit. 私たちは、被害者を中心に据えてこれらの活動を行っています。FBIでは、被害者が犯罪の後遺症や刑事司法プロセスを尊厳と回復力を持って乗り越えられるように、情報を提供し、支援し、サポートすることを目指しています。私たちは、他の犯罪の被害者と同じように、サイバー侵入のすべての被害者に力を与えたいと考えています。場合によっては、ランサムウェアの解読キーを開発または入手して、被害者が身代金を支払わずに回復できるようにしています。また、被害を受けやすい企業や標的となる企業に事前に警告を与えることもあります。FBIは修復サービスを提供しているわけではありませんが、サイバー犯罪の捜査と対応を行うことで情報を収集し、今後の攻撃を防ぐために共有したり、すでに被害に遭っている場合には被害者を支援するために利用しています。
As I mentioned, we have certain distinctive investigative authorities. And we have the good fortune of another domestic agency, CISA, with very different authorities and insights. Our roles complement each other, and when we work together, we strengthen our defense of cyberspace in ways we could not do if we were in competition or isolation. 先に述べたように、当社には特徴的な調査権限があります。また、幸運なことに、国内にはCISAという、まったく異なる権限と見識を持つ機関があります。それぞれの役割はお互いに補完し合い、協力し合うことで、競争したり孤立したりしていたのではできない方法で、サイバー空間の防衛を強化することができます。
To be more precise, the FBI contributes information we uniquely collect through a combination of criminal and national security authorities that are the envy of many partners overseas, and our physical presence across the U.S. enables our close engagement with victims. That engagement can yield details that unlock the secrets of who is compromising our networks, how our adversaries are succeeding, and where they may strike next because of the technical clues they leave behind. Once revealed, that information gives CISA the opportunity to identify other networks vulnerable to the same technique; it may give us, U.S. Cyber Command, or the National Security Agency a piece of the actor’s infrastructure to disrupt or exploit; and it helps the National Security Council know where to focus all the instruments of power the government might bring to bear against those responsible. These coordinated actions lead to the U.S. government’s most impactful cyber disruptions. We have also worked especially closely with CISA to share information with critical infrastructure owners and operators via FBI reports and joint advisories. より正確に言うと、FBIは、海外の多くのパートナーが羨むような犯罪と国家安全保障に関する権限を組み合わせて独自に収集した情報を提供しています。また、全米に広がるFBIの物理的な存在感は、被害者との密接な関わりを可能にします。その結果、誰がネットワークを侵害しているのか、敵はどのようにして成功しているのか、また、敵が残した技術的な手がかりから、次にどこを攻撃するのかといった秘密を解き明かすことができます。その情報が明らかになれば、CISAは同じ手法に脆弱な他のネットワークを特定することができ、我々や米国サイバー司令部、国家安全保障局は、行為者のインフラの一部を破壊したり利用したりすることができます。このような連携した行動が、米国政府の最もインパクトのあるサイバー破壊につながっているのです。また、CISAとは特に緊密に連携し、FBIの報告書や共同勧告を通じて重要インフラの所有者や運営者と情報を共有しています。
Our strategy has enabled us to land some major blows against the threat actors behind ransomware and its delivery mechanisms. But the ransomware threat is not going away, so we must carry this strategy and its momentum forward into 2022. この戦略により、ランサムウェアの背後にいる脅威の担い手とその配信メカニズムに対して大きな打撃を与えることができました。しかし、ランサムウェアの脅威がなくなることはないので、この戦略とその勢いを2022年に向けて進めていかなければなりません。
Addressing Ransomware’s Global Footprint ランサムウェアの世界的な広がりへの対応
As I mentioned earlier, without strong foreign partnerships, our cyber strategy cannot be fully implemented, and we cannot successfully counter the ransomware threat. 先に述べたように、海外との強力なパートナーシップがなければ、当社のサイバー戦略を完全に実施することはできず、ランサムウェアの脅威にうまく対抗することもできません。
We know our most significant threats come from foreign actors using global infrastructure to compromise U.S. networks. By working with friendly foreign law enforcement agencies and intelligence partners, we make it harder for these actors to conceal their activities and their whereabouts. 最も大きな脅威は、グローバルなインフラを利用して米国のネットワークを危険にさらす外国人であることがわかっています。友好的な外国の法執行機関や情報機関と協力することで、これらの行為者が自分たちの活動や居場所を隠すことを難しくしています。
Not every foreign nation helps us in this fight. While we seek to disrupt entire cybercriminal enterprises, the most impactful consequence we can impose on a malicious cyber actor is an arrest as part of comprehensive disruption. If an actor is in a country like Russia or China, an arrest is currently not a viable option. Even when an indicted cybercriminal is in another country, Russia in particular takes actions to interfere with our extraditions. To make things more difficult, the lines between nation-states and cybercriminal actors are blurred, and even though a foreign nation may not be directing a ransomware campaign, it may still be complicit by providing a safe haven to those malicious actors who are doing harm to the United States, our citizens, and our businesses. しかし、すべての国がこの戦いに協力してくれるわけではありません。私たちはサイバー犯罪者の企業全体を壊滅させることを目指していますが、悪質なサイバー犯罪者に課すことのできる最もインパクトのある結果は、包括的な壊滅の一環としての逮捕です。行為者がロシアや中国のような国にいる場合、現在のところ逮捕は実行可能な選択肢ではありません。起訴されたサイバー犯罪者が他国にいる場合でも、特にロシアは我々の身柄引き渡しを妨害する行動をとります。さらに言えば、国家とサイバー犯罪者の境界線は曖昧であり、外国がランサムウェアのキャンペーンを指揮していなくても、米国、米国市民、米国企業に害を及ぼす悪質な行為者に安全な避難場所を提供することで、加担している可能性があります。
But our allies outnumber our foes, and in just the past few months, our work with foreign partners—supported by our legal attaches overseas—has led to impactful consequences against cybercriminals and sent a strong message that the reach of the U.S. government extends beyond its borders. しかし、米国の同盟国は敵よりも数が多く、この数ヶ月間、海外のパートナーとの協力関係は、海外の法務担当者の支援を受けて、サイバー犯罪者に影響を与える結果となり、米国政府の権限は国境を越えて及ぶという強いメッセージを発信しています。
In January 2021, the FBI and others at the Department of Justice (DOJ) partnered with law enforcement and judicial authorities in the Netherlands, Germany, the United Kingdom, France, Lithuania, Canada, and Ukraine, with international activity coordinated by Europol and Eurojust, to disrupt the infrastructure of a highly destructive malware known as Emotet. Among other things, Emotet could also be used as a way to spread ransomware. This was one of the longest-standing professional cybercrime tools and had enabled criminals to cause hundreds of millions of dollars in damage to government, educational, and corporate networks. In this case, we used sophisticated techniques and our unique legal authorities, but it could never have happened without our international partners. 2021年1月、FBIをはじめとする司法省は、オランダ、ドイツ、英国、フランス、リトアニア、カナダ、ウクライナの法執行機関および司法当局と連携し、EuropolとEurojustが調整する国際的な活動により、「Emotet」という極めて破壊的なマルウェアのインフラを破壊しました。とりわけ、Emotetはランサムウェアを拡散する手段としても使われていました。これは古くからあるプロのサイバー犯罪ツールの一つで、犯罪者は政府、教育機関、企業のネットワークに何億ドルもの損害を与えることができました。このケースでは、高度な技術と独自の法的権限を駆使しましたが、海外のパートナーがいなければ決して実現しなかったことです。
Also this January, we worked with international partners in Canada and Bulgaria to disrupt NetWalker, a ransomware variant that affected numerous victims, including companies, municipalities, hospitals, law enforcement, emergency services, school districts, colleges, and universities. In this case, we obtained federal charges, and a subject was arrested in Canada pending extradition proceedings. In addition, we seized more than $450,000 in cryptocurrency. また、今年の1月には、カナダとブルガリアの国際的なパートナーと協力して、企業、自治体、病院、法執行機関、救急隊、学区、大学など、多くの被害者に影響を与えたランサムウェア「NetWalker」を阻止しました。この事件では、連邦政府による起訴を獲得し、対象者はカナダで逮捕され、身柄引き渡しの手続き中です。また、45万ドル以上の暗号通貨を押収しました。
In June, through coordination with law enforcement and judicial authorities in the Netherlands, Germany, the United Kingdom, Canada, Sweden, Italy, Bulgaria, and Switzerland, as well as Europol and Eurojust, we seized the web domains and server infrastructure of DoubleVPN, a virtual private network that allowed ransomware actors to attack their victims and hide their tracks. Thanks to this international operation, this service, which was heavily advertised on both Russian and English-speaking cybercrime forums, is no longer available to cybercriminals. 6月には、オランダ、ドイツ、英国、カナダ、スウェーデン、イタリア、ブルガリア、スイスの法執行機関および司法当局、EuropolおよびEurojustとの連携により、ランサムウェアの実行者が被害者を攻撃し、その痕跡を隠すことを可能にしていた仮想プライベートネットワーク「DoubleVPN」のウェブドメインとサーバーインフラを押収しました。この国際的な活動のおかげで、ロシア語圏と英語圏のサイバー犯罪フォーラムで大々的に宣伝されていたこのサービスは、サイバー犯罪者が利用できなくなりました。
How Victims and Potential Victims Can Help Themselves and Others 被害者および被害に遭う可能性のある人が自分自身や他人を助ける方法
We have the strategy to take action against our cyber adversaries. But the strategy will fail if we do not know about suspicious activity or that a compromise has occurred. And because of the nature of U.S. laws and network infrastructure, we will never know about most malicious activity if it is not reported to us by the private sector. 私たちは、サイバー敵対者に対して行動を起こすという戦略を持っています。しかし、不審な行動や侵害の発生を知らなければ、この戦略は失敗に終わります。米国の法律やネットワークインフラの性質上、民間企業からの報告がなければ、ほとんどの悪質な活動を知ることはできません。
We know ransomware victims, particularly large enterprises, risk negative publicity if they disclose being impacted by ransomware. As a result, ransomware incidents are often addressed by the victim directly and are never reported to the public or law enforcement. ランサムウェアの被害者、特に大企業は、ランサムウェアの影響を受けたことを公表すると、ネガティブなイメージを持たれるリスクがあることを知っています。そのため、ランサムウェアのインシデントは、被害者が直接対処することが多く、一般市民や法執行機関に報告されることはありません。
Ransomware incidents targeting public entities, such as state or local municipalities, often receive high levels of publicity. In addition to the losses reported to the IC3 that I mentioned earlier, these groups face costs associated with business disruption and remediation, which can eclipse the ransom demand itself. For example, these costs were $17 million and $18.2 million, respectively, in ransomware campaigns against Atlanta and Baltimore. 国や地方自治体などの公的機関を対象としたランサムウェアの被害は、しばしば高い評価を受けます。これらの団体は、先に述べたIC3に報告された損失に加えて、事業の中断と修復に関連するコストに直面し、身代金の要求そのものを凌駕することもあります。例えば、アトランタとボルチモアに対するランサムウェアのキャンペーンでは、これらのコストはそれぞれ1,700万ドルと1,820万ドルでした。
I would like to spend a moment on the decision of whether or not to make a ransom payment. The FBI discourages ransomware victims from paying ransom for a variety of reasons. Even if a ransom is paid, there is no guarantee the business or individual will regain access to their data. On top of this, paying a ransom does not always keep data from ultimately being leaked. Additionally, paying a ransom incentivizes future ransomware attacks and emboldens criminal actors to continue their illicit work. However, regardless of whether or not a victim chooses to pay, the FBI strongly encourages victims to report ransomware incidents to the FBI. Our goal is to identify, pursue, and impose consequences on criminal actors, not their victims. 身代金の支払いを行うかどうかの判断について、少し触れておきたいと思います。FBIは、様々な理由から、ランサムウェアの被害者に身代金の支払いを勧めています。身代金を支払ったとしても、企業や個人がデータへのアクセスを回復できる保証はありません。また、身代金を支払っても、最終的にデータが流出しないとは限りません。また、身代金を支払うことで、今後のランサムウェアの攻撃を助長し、犯罪者が不正な活動を続けることになります。しかし、被害者が身代金を支払うかどうかにかかわらず、FBIは被害者に対して、ランサムウェアの被害をFBIに報告することを強く推奨しています。私たちの目的は、被害者ではなく、犯罪者を特定し、追及し、その結果をもたらすことです。
We are pushing important threat information to network defenders, and we are making it as easy as possible for the private sector to share information with us. For example, we are emphasizing to the private sector how we keep our presence unobtrusive in the wake of a breach, how we protect information that companies and universities share with us and commit to providing useful feedback, and how we coordinate with our government partners so we speak with one voice. A call to one federal agency is a call to all federal agencies, and I hope we are sending that message by sitting as a unified front here today. 私たちは、重要な脅威の情報をネットワーク防御者に伝え、民間企業が私たちと情報を共有することができるようにしています。例えば、セキュリティ侵害が発生した際に、どのようにして私たちの存在を目立たせないようにするか、企業や大学が私たちと共有する情報をどのように保護し、有益なフィードバックを提供することをどのように約束するか、そして、どのようにして政府のパートナーと連携し、私たちが一つの声で話すことができるようにするかを、民間企業に強調しています。ある連邦政府機関への呼びかけは、すべての連邦政府機関への呼びかけであり、今日ここで一丸となって座っていることで、そのメッセージを伝えられればと思っています。
At the same time, we need the private sector to do its part. We need to be warned—quickly—when they see malicious cyber activity. We also need companies to work with us when we warn them they are being targeted. The recent examples of significant cyber incidents—SolarWinds, Microsoft Exchange, Colonial Pipeline, JBS, and Kaseya—only emphasize what Director Wray has been saying for a long time: The government cannot protect against cyber threats on its own. We need a whole-of-society approach that matches the scope of the danger. 同時に、民間企業にもその役割を果たしてもらう必要があります。悪質なサイバー活動を発見した場合には、迅速に警告を発してもらう必要があります。また、企業が標的にされていることを警告した場合、企業に協力してもらう必要があります。最近発生した重大なサイバー事件(SolarWinds、Microsoft Exchange、Colonial Pipeline、JBS、Kaseya)は、レイ長官が以前から言っていることを強調しています。政府だけでは、サイバー犯罪の脅威から守ることはできません。政府だけでは、サイバー脅威から守ることはできません。危険の範囲に合わせて、社会全体で取り組む必要があります。
There is really no other option for defending a country where nearly all of our critical infrastructure, personal data, intellectual property, and network infrastructure sit in private hands. So what specific steps can companies take to follow our guidance, protect themselves and our nation, and help themselves if ransomware strikes? 重要インフラ、個人情報、知的財産、ネットワークインフラのほぼすべてが民間の手に委ねられているこの国を守るためには、これ以外の選択肢はありません。では、ランサムウェアの被害に遭った場合、企業はどのような具体策を講じて、自社と国家を守り、自助努力をすればよいのでしょうか。
First, the public, cybersecurity professionals and system administrators, and business leaders can use threat information shared by the FBI and the rest of the federal government to strengthen their network defenses and guard against ransomware and other malicious cyber activity. まず、一般市民、サイバーセキュリティの専門家やシステム管理者、ビジネスリーダーは、FBIをはじめとする連邦政府が共有する脅威情報を利用して、ネットワークの防御を強化し、ランサムウェアやその他の悪意のあるサイバー活動から身を守ることができます。
Our reports, which are coordinated with our federal partners, are shared directly with critical infrastructure owners and operators, and when possible, are posted to our IC3 website to warn the public about the trends we are seeing and the specific threats out there. In addition to these threat advisories, CISA’s website and the new interagency site www.StopRansomware.gov have resources on how people and businesses can protect themselves. Some of the general cybersecurity practices we encourage include creating and securing offline backups of critical data, installing patches as soon as they become available, updating anti-virus software, connecting only to secure networks, employing multi-factor authentication, and ensuring the validity of all e-mails and the links they contain before clicking them. 連邦政府のパートナーと連携して作成された報告書は、重要インフラの所有者や運営者と直接共有されるほか、可能な場合はIC3のウェブサイトにも掲載され、我々が見ている傾向や具体的な脅威について一般の人々に警告を発します。これらの脅威に関する勧告に加えて、CISAのウェブサイトや新しい省庁間のサイト(www.StopRansomware.gov)には、人々や企業が自分自身を守るための情報が掲載されています。一般的なサイバーセキュリティ対策としては、重要なデータのオフラインバックアップの作成と保護、パッチが公開されたらすぐにインストール、アンチウイルスソフトウェアの更新、安全なネットワークのみへの接続、多要素認証の採用、電子メールをクリックする前にそのリンクの有効性を確認することなどが挙げられます。
Second, if you are an organization, create an incident response plan. If you are compromised, you need to know what to do. All of your leaders and security professionals need to be on the same page, and you must be able to make decisions quickly. Having worked with victims who had incident response plans versus those who did not, the difference is stark. 第二に、組織であれば、インシデントレスポンスプランを作成します。侵入された場合、何をすべきかを知っておく必要があります。組織のリーダーやセキュリティの専門家全員が同じ見解を持ち、迅速に意思決定を行うことが必要です。インシデントレスポンスプランを持っている被害者と持っていない被害者とを比較した結果、その差は歴然としています。
Victims with incident response plans are often able to respond faster and more efficiently and can significantly limit the damage caused by a ransomware incident. インシデント対応計画を持っている被害者は、多くの場合、より迅速かつ効率的に対応することができ、ランサムウェアのインシデントによる被害を大幅に抑えることができます。
Third, organizations should build relationships with their local FBI field offices. Whether you are a small organization or a large corporation, our local offices welcome making connections before anything has gone wrong. If you see us speaking at an event in your area, show up, and talk to us after—we would be thrilled to meet your CEO, chief information security officer (CISO), general counsel, or anyone who has a role in keeping your networks secure and incident response. But it cannot stop there. Continue to share information with us after that meeting, and you have my word we will do the same back to you. 第三に、企業は地元のFBI支局との関係を築くべきである。小規模な組織でも大企業でも、FBIの現地事務所は、何か問題が起きる前に関係を築くことを歓迎しています。CEO、最高情報セキュリティ責任者(CISO)、法務担当者など、ネットワークの安全性確保やインシデント対応に関わるすべての方にお会いしたいと思っています。しかし、それだけでは終わりません。お会いした後も、私たちと情報を共有してください。
Fourth, if you are compromised, or if you think you may have been, report it to us as quickly as you can. You can report these incidents via the Internet Crime Complaint Center at www.IC3.gov or by contacting your local FBI field office, hopefully to the FBI agent you already know. We will take it from there and make sure the wheels of the entire federal government incident response team are set into motion so you can focus on remediation. 第四に、もしも情報漏洩してしまった場合、あるいはその可能性がある場合には、できるだけ早く私たちに報告してください。インターネット犯罪苦情処理センター(www.IC3.gov)、または近くのFBI支局(できればお知り合いのFBI捜査官に)に連絡ください。そこから先は、連邦政府のインシデント対応チーム全体の歯車が動き出すようにして、皆さんが修復に専念できるようにします。
If an incident occurs, it may not be too late, but time is of the essence. The difference between seeking help on day one and day five is real–it can be the difference between a company reconstituting its network or declaring bankruptcy. We will always use our full range of national security authorities and criminal legal processes to investigate ransomware incidents, but many of those techniques require probable cause and prior court authorization, so there is no substitute for quick, voluntary action by private owners of U.S. networks and infrastructure in helping us act rapidly against a threat. Swift action from the private sector is an enormous public service, and we truly appreciate private sector cooperation whenever we can get it. In the Colonial Pipeline and Kaseya incidents, for example, swift reporting and response contained the impact of what could have been significantly worse events. インシデントが発生した場合、遅すぎるということはありませんが、時間は重要です。初日に助けを求めるのと、5日目に助けを求めるのとでは、企業がネットワークを再構築するか、破産を宣言するかの違いになりかねません。私たちは、ランサムウェアの事件を捜査するために、国家安全保障上のあらゆる権限と刑事法的手続きを常に駆使していますが、これらの手法の多くは、正当な理由と裁判所の事前承認を必要とするため、脅威に対する迅速な行動を支援するためには、米国のネットワークやインフラの民間所有者による迅速かつ自発的な行動に代わるものはありません。民間企業の迅速な行動は非常に大きな公共サービスであり、民間企業の協力にはいつでも心から感謝しています。例えば、Colonial PipelineとKaseyaの事件では、迅速な報告と対応により、もっとひどい事件になっていたかもしれない影響を抑えることができました。
Mandatory Reporting of Ransomware and Other Cyber Incidents ランサムウェアおよびその他のサイバーインシデントの報告義務化
The administration is supportive of legislative proposals that would require the reporting of a wider range of cyber incidents, to include ransomware and incidents that impact critical infrastructure and federal entities and their supply chain. These proposals would grant courts the authority to enjoin a greater range of botnets and other cybercrime involving damage to 100 or more computers, explicitly criminalize the sale or renting of a botnet, bring the forfeiture provisions of the Computer Fraud and Abuse Act (CFAA) in line with other federal statutes, and update the CFAA to add penalties for the crime of conspiracy. 米国政府は、ランサムウェア、重要インフラや連邦政府機関とそのサプライチェーンに影響を与えるインシデントを含む、より広範なサイバーインシデントの報告を義務付ける法案を支持しています。これらの提案は、100台以上のコンピュータに損害を与えるボットネットやその他のサイバー犯罪をより広範囲に差し止める権限を裁判所に与え、ボットネットの販売やレンタルを明確に犯罪化し、コンピュータ詐欺・乱用法(CFAA)の没収条項を他の連邦法と一致させ、CFAAを更新して共謀罪の罰則を追加するものです。
All of these legislative proposals would enhance the FBI’s ability to combat ransomware, but I would like to focus on mandatory cyber incident reporting legislation that is being considered in Congress. We welcome and applaud congressional efforts that would require the reporting of certain cyber incidents, including ransomware attacks. However, we are troubled that all legislation being considered on mandatory cyber incident reporting does not explicitly account for the essential role that federal law enforcement, and notably the Department of Justice and the FBI, plays in receiving cyber incident reporting and actioning the information to assist victims and impose risk and consequences on cybercriminals. これらの立法案はいずれもFBIのランサムウェア対策を強化するものですが、私が注目したいのは、議会で検討されているサイバーインシデント報告義務化法案です。私たちは、ランサムウェア攻撃を含む特定のサイバーインシデントの報告を義務付ける議会の取り組みを歓迎し、賞賛します。しかし、現在検討されているサイバー事件の報告義務化に関するすべての法案が、サイバー事件の報告を受け、被害者を支援し、サイバー犯罪者にリスクと結果を負わせるために情報を行動に移すという、連邦法執行機関、特に司法省とFBIが果たす本質的な役割を明示的に考慮していないことに、私たちは困っています。
The administration’s position is that the Department of Homeland Security (DHS) and DOJ – the two lead agencies respectively responsible for federal cyber incident response mitigation and investigation efforts for significant cyber incidents—should immediately receive all information mandated to be reported with appropriate protections. Cyber incidents that would have to be reported are not only digital breaches that require remediation, but also federal crimes that need to be investigated. Cyber incident reporting is crime reporting. To streamline and simplify reporting obligations, there should be one designated reporting intake mechanism for entities that are required to report, with the reports going to both DOJ and DHS. 政権の立場としては、重大なサイバーインシデントに対する連邦政府のサイバーインシデント対応の緩和と調査を担当する国土安全保障省(DHS)と司法省が、報告が義務付けられているすべての情報を適切な保護のもとで直ちに受け取るべきだと考えています。報告が必要となるサイバーインシデントは、修復が必要なデジタル侵害だけでなく、捜査が必要な連邦犯罪でもあります。サイバーインシデントの報告は、犯罪の報告です。報告義務を合理化・簡略化するために、報告義務のある事業者には指定された報告受付機構を1つ設け、その報告を司法省とDHSの両方に行うべきです。
Our need to receive all cyber incident reports is two-fold: one, to provide victims with rapid federal incident response support, and two, to disrupt ongoing harm through our unique authorities and forward-deployed capabilities. 1つは、被害者に連邦政府の迅速な事故対応支援を提供するため、もう1つは、独自の権限と前方展開された能力により、進行中の被害を阻止するためです。
Cyber threats are global, but victims need and deserve a local response. Many victims choose to report cyber incidents to the FBI because they know their local field office has a cyber squad with technically trained special agents, computer scientists, and other digital evidence and cyber threat experts who are ready to arrive on a victim’s doorstep in hours or less nationwide. But we can only move as fast as we learn about the incident. We owe it to the American people to not create any unnecessary delays to providing them with this assistance. サイバー脅威はグローバルなものですが、被害者はローカルな対応を必要としており、それに値するものです。多くの被害者は、FBIにサイバー事件を報告することを選択しています。それは、地元の支局には、技術的な訓練を受けた特別捜査官、コンピュータ科学者、その他のデジタル証拠やサイバー脅威の専門家を擁するサイバー部隊があり、全国で数時間以内に被害者のもとに到着する準備ができていることを知っているからです。しかし、私たちが動けるのは、事件の情報を知るまでの間だけです。私たちには、米国民への支援を不必要に遅らせることのないようにする義務があります。
When the FBI responds to a cyber incident report, the Bureau is not just there to collect evidence of a crime. The FBI arrives to assist victims. Our cyber threat experts rapidly analyze information that victims provide to determine if the incident resembles others that we are investigating so we can provide victims with the technical information and hands-on support they need to limit ongoing harm and prevent additional malicious activity on their networks. With the insights that we have as a member of the USIC, we are able to meld the information victims provide with the community’s holdings to fill in visibility gaps and inform victims how they can defend against active and potential threats. FBIがサイバー事件の報告に対応するとき、FBIは犯罪の証拠を集めるためだけに存在するのではありません。FBIは被害者を支援するために到着します。FBIのサイバー脅威の専門家は、被害者から提供された情報を迅速に分析し、FBIが調査している他の事件と類似しているかどうかを判断し、被害の拡大を抑え、ネットワーク上で悪意のある行為が行われないように、被害者に必要な技術情報や実地のサポートを提供します。また、USICの一員としての見識を活かし、被害者から提供された情報とコミュニティが保有する情報を融合させることで、情報の欠落を補い、現在進行中の脅威や潜在的な脅威からの防御方法を被害者に伝えることができます。
Rapid FBI responses to cyber victims has helped thwart major ongoing cyber incidents nationwide. Examples include stopping active intrusions into critical infrastructure entities, including a major healthcare facility; helping defense contractors block sensitive information from being exfiltrated from its networks; and helping a large financial institution secure terabytes of customer records, including personally identifiable information, that had been stolen from its systems. サイバー被害者に対するFBIの迅速な対応は、全国で進行中の大規模なサイバー事件を阻止するのに役立っています。例えば、大手医療施設などの重要インフラへの積極的な侵入を阻止したり、防衛関連企業がネットワークから機密情報が流出するのを防いだり、大手金融機関がシステムから盗まれた個人識別情報を含むテラバイト単位の顧客記録を保護するのに役立ったりしています。
But our rapid incident response services do not only help individual victims; they also help others who are vulnerable to similar cyber attacks. When recently assisting a major critical infrastructure victim during an ongoing incident, we identified a zero-day exploit the attackers were using, used our investigative tools to search for other victims affected by this vulnerability, and worked with CISA to provide cybersecurity assistance to these entities while a patch for the vulnerability was being developed. しかし、私たちの迅速なインシデントレスポンスサービスは、個々の被害者を助けるだけでなく、同様のサイバー攻撃にさらされている他の人々を助けることにもなります。最近では、ある重要インフラの被害者を支援した際に、攻撃者が使用していたゼロデイ・エクスプロイトを特定し、当社の調査ツールを使用してこの脆弱性の影響を受ける他の被害者を探し出し、CISAと協力して、脆弱性のパッチが開発されるまでの間、これらの企業にサイバーセキュリティの支援を行いました。
In another incident reported to the FBI, a victim reported the malicious sever that connected to its network. We used our law enforcement and intelligence authorities to quickly monitor the malicious actor’s virtual infrastructure, dispatched agents across the country to warn targeted entities that the actor planned to compromise next, provided these entities with security advice, and intercepted and corrupted some stolen information before it could be exfiltrated. また、FBIに報告された別の事件では、被害者からネットワークに接続した悪意のあるウィルスについての報告がありました。FBIは、法執行機関としての権限と情報機関としての権限を駆使して、悪意ある行為者の仮想インフラを迅速に監視し、全国に捜査官を派遣して、悪意ある行為者が次に侵害を計画していることを対象となる企業に警告し、これらの企業にセキュリティに関するアドバイスを提供し、盗まれた情報の一部が流出する前に傍受して破壊しました。
Each response feeds into our collective efforts to link intrusions to common perpetrators and virtual infrastructure, attribute incidents, and impose risk and consequences on cybercriminals. それぞれの対応は、侵入行為を共通の犯人や仮想インフラに結びつけ、インシデントを特定し、サイバー犯罪者にリスクと結果を負わせるための総合的な取り組みにつながります。
We need to track and disrupt malicious hackers’ activity, infrastructure, and illicit proceeds in as close to real-time as possible. The FBI needs to be able to receive cyber incident reporting information as soon as it is reported to facilitate the fastest federal response possible. There is simply no time to waste, especially in cyberspace. 私たちは、悪質なハッカーの活動、インフラ、不正な収益を可能な限りリアルタイムに追跡し、破壊する必要があります。FBIは、サイバー犯罪の報告を受けたらすぐにその情報を受け取り、連邦政府としての対応を迅速に行う必要があります。特にサイバー空間では、時間を無駄にすることはできません。
The administration also holds that both DHS and DOJ should be co-equal partners in developing the rules that will be used to set incident reporting requirements. However, current incident reporting legislation being considered fails to recognize the critical expertise and role that DOJ, including the FBI, play when it comes to cyber incident reporting. また、DHSとDOJは、インシデント報告の要件を定めるための規則を策定する上で、同等のパートナーであるべきだとしています。しかし、現在検討されているインシデント報告法案は、サイバーインシデント報告に関して、FBIを含むDOJが果たす重要な専門性と役割を認識していません。
Congress has previously recognized how valuable it is to have both DHS and DOJ setting standards to address cyber threats. In the Cybersecurity Information Sharing Act of 2015, Congress established joint roles for both departments to establish policies, procedures, and guidelines related to the receipt of cyber threat indicators and defensive measures. The administration believes co-equal roles for DHS and DOJ is also the right approach for cyber incident reporting rulemaking. 議会は以前から、サイバー脅威に対処するための基準をDHSとDOJの両方が設定することの価値を認めています。2015年のサイバーセキュリティ情報共有法において、議会は、サイバー脅威の指標と防御策の受領に関連する方針、手順、ガイドラインを確立するために、両省庁の共同の役割を確立しました。政権は、DHSとDOJが共同で同等の役割を果たすことが、サイバーインシデント報告の規則制定においても正しいアプローチであると考えています。
DOJ, including the FBI, bring investigative and intelligence expertise about what information law enforcement and national security agencies need to disrupt malicious cyber actors, degrade their capabilities, and ultimately hold them accountable. DOJ also has extensive experience in navigating complex privacy and civil liberties issues that will inevitably arise from new requirements and would prove to be invaluable in helping to set standards that strike the right balance to ensure that incident report information is collected, stored, and shared appropriately. FBIを含むDOJは、法執行機関や国家安全保障機関が悪意のあるサイバー犯罪者を阻止し、その能力を低下させ、最終的に責任を負わせるために必要な情報について、捜査や情報に関する専門知識を有しています。また、DOJは、新たな要件から必然的に生じる複雑なプライバシーや市民的自由の問題を解決するための豊富な経験を有しており、インシデントレポートの情報を適切に収集、保存、共有するための適切なバランスのとれた基準を設定する上で、非常に重要な役割を果たすことになるでしょう。
The FBI also brings substantial knowledge about how to manage centralized federal cyber incident reporting mechanisms based on its experience running the IC3. Each year, IC3 receives hundreds of thousands of complaints from the public, which the FBI uses to prompt response efforts and inform other agencies about intrusions. Joint DHS and DOJ rulemaking will provide for the best outcomes for the entire federal government as well as the public. また、FBIは、IC3の運営経験に基づき、連邦政府のサイバーインシデント報告機構を一元管理する方法についても豊富な知識を持っています。IC3には、毎年、何十万件もの苦情が寄せられており、FBIはこれらの苦情をもとに、対応策を講じたり、侵入について他の機関に知らせたりしています。DHSとDOJが共同でルールメイキングを行うことで、連邦政府全体と一般市民にとって最良の結果を得ることができます。
We are delighted so many in Congress are invested in passing cyber incident reporting legislation, but we have to make sure legislation explicitly empowers the agencies at the front lines of incident response. As you will hear all the witnesses at today’s hearing emphasize, cyber is the team sport, and the Department of Justice and the FBI are key players. It is time for legislation to reflect this reality. 議会の多くの議員がサイバー事件報告法の成立に尽力していることは喜ばしいことですが、事件対応の最前線にいる機関に明確な権限を与えるような法案にしなければなりません。本日の公聴会で証人の方々が強調されているように、サイバーはチームスポーツであり、司法省とFBIは重要な役割を担っています。司法省とFBIは重要な役割を担っています。今こそ、この現実を反映した法律を制定すべきです。
The Resource Demands of Malicious Cyber Activity 悪意のあるサイバー活動に必要な資源
When we do learn of a ransomware incident, our agents are in direct contact with victims and with private industry partners to share threat indicators—such as malicious IP addresses—and gather evidence that helps us identify who is compromised and who else is vulnerable. Our technically trained incident response assets throughout the country, collectively known as our Cyber Action Team (CAT), assist affected entities. Our field offices with experience in complex national security and cyber investigations are our hubs for triaging the data we acquire through legal process, from partners, and through other lawful means. And our digital forensics and intelligence personnel exploit that information for indicators and intelligence that will help us to attribute the malicious activity to those responsible. ランサムウェアの感染が判明した場合、FBI の捜査官は、被害者や民間企業のパートナーと直接連絡を取り、悪意のある IP アドレスなどの脅威の指標を共有し、誰が感染し、誰が脆弱なのかを特定するための証拠を収集します。また、技術的な訓練を受けたインシデント対応要員が全国に配置されており、「サイバー・アクション・チーム(CAT)」と総称され、被害を受けた企業を支援しています。また、複雑な国家安全保障やサイバー捜査の経験を持つフィールドオフィスは、法的手続きやパートナーからの情報提供など、合法的な手段で入手したデータのトリアージを行う拠点となっています。また、デジタルフォレンジックとインテリジェンスの担当者は、これらの情報を利用して、悪意のある活動の責任者を特定するのに役立つ指標や情報を探します。
With the growing frequency and scale of recent significant cyber incidents—in some cases involving tens of thousands of victims—we are increasingly faced with hard choices that carry risk, include moving personnel away from long-term investigations or other significant incidents so we can surge toward the immediate need. In our SolarWinds investigation alone, a single FBI field office collected more than 170 terabytes of data, about 17 times the content of the entire Library of Congress. The FBI continues to exploit and analyze intelligence and technical data to uncover adversary tactics, share our findings, and pursue actions that will prevent those responsible from striking again. 最近の重大なサイバー事件(数万人の犠牲者を出したケースもある)の頻度と規模が大きくなるにつれ、私たちはリスクを伴う難しい選択を迫られるようになっています。例えば、長期的な調査やその他の重大な事件から人員を移動させて、緊急の必要性に急行することもあります。ソーラーウインズの調査だけでも、FBIの1つの支局が収集したデータは170テラバイトを超え、これは米国議会図書館全体の約17倍に相当します。FBIは、敵の戦術を明らかにするために、情報や技術データを利用・分析し、調査結果を共有して、犯人の再犯を防ぐための行動を継続しています。
Recent ransomware campaigns have shown us the investments in time, money, and talent cybercriminals are willing to make to compromise our networks. Accordingly, it requires a teams-based approach among various departments and agencies to understand, defend against, and counter these malicious cyber actors. Congress can help us by providing the resources requested in the President’s 2022 budget request to ensure the FBI and our partners are resourced to play our respective parts as we defend the nation together. 最近のランサムウェアのキャンペーンは、サイバー犯罪者が私たちのネットワークを侵害するために、時間、資金、人材を惜しまないことを示しています。したがって、このような悪質なサイバー犯罪者を理解し、防御し、対抗するためには、さまざまな部門や機関がチームを組んで取り組むことが必要です。議会は、2022年の大統領予算要求で要求されている資源を提供することで、FBIとパートナー企業がそれぞれの役割を果たすための資源を確保し、共に国を守ることができるようにします。
Conclusion まとめ
Even more than the other criminal violations we investigate, the FBI depends on our partners—public and private, foreign and domestic—to help us keep Americans safe from the many threats posed by ransomware. As part of our strategy, we have been putting a lot of energy and resources into cultivating these partnerships. As Director Wray has put it, cyber is the ultimate team sport, and I truly believe our partners are seeing the benefits of having FBI Cyber on their team. ランサムウェアがもたらす多くの脅威からアメリカ国民の安全を守るためには、FBIが捜査する他の犯罪行為と同様に、官民、国内外のパートナーの協力が不可欠です。FBIの戦略の一環として、私たちはこのようなパートナーシップの構築に多くのエネルギーと資源を投入しています。レイ長官が言うように、サイバーは究極のチームスポーツであり、FBIサイバー部門をチームに加えることで、パートナー企業はそのメリットを実感していると思います。
Chairwoman Maloney, Ranking Member Comer, and members of the committee, thank you for the opportunity to testify today. I am happy to answer any questions you might have and to work together with you in the nation’s fight against ransomware so the FBI can help achieve our collective cyber mission—to give the American people safety, security, and confidence in our digitally connected world. マロニー委員長、コマー委員長、そして委員会のメンバーの皆様、本日は証言の機会をいただきありがとうございます。ご質問があれば喜んでお答えします。また、ランサムウェアとの戦いにおいて皆様と協力し、FBIのサイバーミッションの達成に貢献したいと考えています。
*** ***
1 In 2019, the IC3 received 2,047 ransomware complaints with adjusted losses of more than $8.9 million. This likely represents a small fraction of the true scope of the threat because it captures only those who individually reported to the IC3. These numbers represent a nearly 40 percent increase in ransomware complaints to the IC3 and more than double the adjusted losses reported in 2018. In 2020, the IC3 received 2,474 complaints identified as ransomware with adjusted losses of over $29.1 million. 1 2019年にIC3が受け取ったランサムウェアに関する苦情は2,047件で、調整後の損失額は890万ドルを超えています。この数字は、IC3に個別に報告した人のみを対象としているため、脅威の真の範囲のごく一部を示していると思われます。これらの数字は、IC3に寄せられたランサムウェアの苦情が約40%増加したことを示しており、2018年に報告された調整後の損失額の2倍以上となっています。2020年、IC3はランサムウェアと特定される2,474件の苦情を受け、調整後の損失額は2,910万ドルを超えました。
Resources リソース
Arrest in Ransomware Attack on Kaseya Kaseyaへのランサムウェア攻撃で逮捕

 

Doj_20210608075901

 


まるちゃんの情報セキュリティ気まぐれ日記

サイバーインシデント報告に関連する法律案(Cyber Incident Nortification Act of 2021案 と Cyber Incident Reporting Act of 2021案
)については、

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

捜査機関によるランサムウェア犯罪者に対する対応例

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.29 ENISA Threat Landscape 2021:ランサムウェア、クリプトジャッキングを利用した金銭目的のサイバー犯罪が急増

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.06.09 自分たちを守ってくれる高価で安全に暗号化された電話と思ってたら全て情報機関に筒抜けだった...

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

・2021.01.13 Europol 世界最大の違法ダークウェブマーケットプレイスを削除

・2020.12.13 Interpolによって調整されたFirst Light作戦2020により電話・インターネット詐欺犯を2万人以上を逮捕し、約160億円を押収したようですね。

・2020.10.16 数千万ユーロをマネーロンダリングしたと言われるQQAAZZネットワークに属していると思われる逮捕者が20名になりました

・2020.06.28 Satoriの開発者に13ヶ月の刑?

・2020.03.26 FBI - FBI Takes Down a Russian-Based Hacker Platform; Arrests Suspected Russian Site Administrator

ちょっと毛色がちがいますが...

・2006.01.26 日本初 スパイウエア作成者逮捕

・2005.06.14 フィッシングで逮捕@日本

・2005.04.25 ドコモの個人情報漏えい事件で元従業員が逮捕された件と情報窃盗罪

 

国際連携

2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

 

大統領令 E014028 

2021.05.13 国家のサイバーセキュリティ大統領令

 

 

 

| | Comments (0)

日本公認会計士協会 意見募集 監査・保証実務委員会実務指針「イメージ文書により入手する監査証拠に関する実務指針」 (公開草案)

こんにちは、丸山満彦です。

日本公認会計士協会(監査・保証実務委員会)では、

  1. 令和3年度税制改正による電子帳簿等保存制度の見直しに伴い、特にスキャナ保存制度について要件緩和がなされたこと、

  2. 昨今の企業におけるデジタルトランスフォーメーションやリモートワークの推進により、企業の取引情報の電子化が一層加速することが見込まれること等

に対応して、監査人が監査証拠を電子データの一種であるイメージ文書で入手する場合の実務上の指針を提供することを目的として、監査・保証実務委員会実務指針「イメージ文書により入手する監査証拠に関する実務指針」を起草することになり、公開草案ができたので、意見募集しているということのようです。

いろいろと参考になることがあるかもしれませんね。。。

日本公認会計士協会

・2021.11.19 監査・保証実務委員会実務指針「イメージ文書により入手する監査証拠に関する実務指針」 (公開草案)の公表について

・[PDF]イメージ文書により入手する監査証拠に関する実務指針(公開草案)

20211120-13557

目次

Ⅰ 本実務指針の適用範囲
1.適用範囲
2.背景
3.定義

Ⅱ 監査の前提条件

Ⅲ イメージ文書に係るリスクの識別と評価
1.リスクの識別と評価
2.イメージ文書の特徴とリスク
 (1)
イメージ文書の特徴と作成プロセス等の理解
 (2) イメージ文書の特徴を踏まえたリスクへの対応の必要性
 (3) イメージ文書に係るリスクの分類
 (4) 令和3年度(2021 年度)税制改正による監査への影響

3.内部統制の理解
 (1)
関連する監基報の要求事項
 (2) 監査人が理解する内部統制

Ⅳ イメージ文書に係るリスクに対応する手続
1.評価したリスクへの対応
2.運用評価手続
 (1)
運用評価手続についての留意事項
 (2) 内部統制の無効化リスクを含む不正リスクの検討

3.監査証拠として利用する情報の信頼性を検討する手続(イメージ文書の信頼性を確かめるための直接的なテスト)
 (1)
被監査会社が作成したイメージ文書の真正性を確かめるための手続
 (2) 被監査会社が外部から入手したイメージ文書の真正性を確かめるための手続

Ⅴ 適用

付録1 電子帳簿保存法と本実務指針の適用範囲の関係
付録2 スキャナ保存制度を含む電子帳簿保存法の概要
付録3 イメージ文書と原本
付録4 イメージ文書の特徴とリスク
付録5 イメージ文書の特性から生じるリスクに対応するための内部統制の例示

本文書の範囲...

20211120-14502

 

| | Comments (0)

2021.11.19

SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

こんにちは、丸山満彦です。

NISTがパッチ管理についての2つのドラフトを公開し、意見募集をしています。

です。

ゼロトラストアーキテクチャーにおいては、パッチ管理の重要性は高まっていますよね。。。資産管理とかちゃんとしないといけない、、、ということでサイバー衛生の重要性も理解しないといけませんよね。。。

「言うは易し、行うは難し」がこのパッチ管理ですよね。。。

NIST - ITL

・2021.11.17 SP 800-40 Rev. 4 (Draft) Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology

SP 800-40 Rev. 4 (Draft) Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守
Announcement 発表内容
The National Cybersecurity Center of Excellence (NCCoE) has released two draft publications on enterprise patch management for public comment. Patching is a critical component of preventive maintenance for computing technologies—a cost of doing business, and a necessary part of what organizations need to do in order to achieve their missions. However, keeping software up-to-date with patches remains a problem for most organizations. National Cybersecurity Center of Excellence(NCCoE)は、組織全体のパッチ管理に関する2つのドラフト本文書を意見募集用に公開しました。パッチ適用は、コンピュータ技術の予防的保守の重要な要素であり、ビジネスを行う上でのコストであり、組織がそのミッションを達成するために必要なことです。しかし、多くの組織全体では、ソフトウェアを最新のパッチで維持することが課題となっています。
Draft NIST Special Publication (SP) 800-40 Revision 4, Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology, discusses common factors affecting enterprise patch management and recommends creating an enterprise strategy to simplify and operationalize patching while also improving reduction of risk. Draft SP 800-40 Revision 4 will replace SP 800-40 Revision 3, Guide to Enterprise Patch Management Technologies. ドラフト版NIST Special Publication (SP) 800-40 第4版 「組織全体のパッチ管理計画のためのガイド:技術についての予防的保守」では、組織全体のパッチ管理に影響を与える一般的な要因について説明し、パッチの適用を簡素化して運用するとともに、リスクの低減を向上させるための組織全体戦略の策定を推奨しています。SP 800-40 第4版草案は、SP 800-40 第3版 「組織全体のパッチ管理技術ガイド」に代わるものです。
Draft NIST Special Publication (SP) 1800-31, Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways, builds upon the work in SP 800-40 Revisions 3 and 4. SP 1800-31 describes an example solution that demonstrates how tools can be used to implement the inventory and patching capabilities organizations need for routine and emergency patching situations, as well as implementing workarounds and other alternatives to patching.  NIST Special Publication (SP) 1800-31「既存ツール活用とより良い方法によるプロセスの実行」 は、SP 800-40 第3版および第4版 の作業を基に作成されています。SP 1800-31では、インベントリとパッチ機能を実装するためにツールをどのように使用できるかを示すソリューション例を紹介しています。
Abstract 概要
Enterprise patch management is the process of identifying, prioritizing, acquiring, installing, and verifying installation of patches, updates, and upgrades throughout an organization. Patching is more important than ever because of the increasing reliance on technology, but there is often a divide between business/mission owners and security/technology management about the value of patching. This publication frames patching as a critical component of preventive maintenance for computing technologies—a cost of doing business, and a necessary part of what organizations need to do in order to achieve their missions. This publication discusses common factors affecting enterprise patch management and recommends creating an enterprise strategy to simplify and operationalize patching while also improving reduction of risk. Preventive maintenance through enterprise patch management helps prevent compromises, data breaches, operational disruptions, and other adverse events. 組織全体のパッチ管理とは、組織全体におけるパッチ、アップデート、アップグレードの識別、優先順位付け、取得、インストール、およびインストールの検証を行うプロセスです。技術への依存度が高まっていることから、パッチ適用の重要性はかつてないほど高まっていますが、パッチ適用の価値については、ビジネス/ミッションオーナーとセキュリティ/技術管理者の間で意見が分かれることがよくあります。本文書では、パッチ適用を、コンピュータ技術の予防的保守の重要な要素、すなわちビジネスを行う上でのコストであり、組織がミッションを達成するために必要なことの一部であると位置づけています。本文書では、組織全体のパッチ管理に影響を与える一般的な要因について説明し、パッチの適用を簡素化して運用するとともに、リスクの低減を図るための組織全体戦略の策定を推奨しています。組織全体のパッチ管理による予防的な保守は、情報漏洩、データの流出、業務の中断、その他の有害な出来事を防ぐのに役立ちます。

・[PDF] SP 800-40 Rev. 4 (Draft) (DOI)

20211119-53112

 

Executive Summary  エグゼクティブサマリー 
Software used for computing technologies must be maintained because there are many in the world who continuously search for and exploit flaws in software. Software maintenance includes patching, which is the act of applying a change to installed software – such as firmware, operating systems, or applications – that corrects security or functionality problems or adds new capabilities. Enterprise patch management is the process of identifying, prioritizing, acquiring, installing, and verifying the installation of patches, updates, and upgrades throughout an organization.   世の中には、ソフトウェアの欠陥を探し出して悪用する輩が数多く存在するため、コンピュータ技術に使用されているソフトウェアには保守が必要です。ソフトウェアの保守には、ファームウェア、オペレーティングシステム、アプリケーションなど、インストールされているソフトウェアに対して、セキュリティや機能の問題を修正したり、新しい機能を追加したりするための変更を加える行為である「パッチ」が含まれます。組織全体のパッチ管理とは、組織全体におけるパッチ、アップデート、アップグレードの識別、優先順位付け、取得、インストール、検証のプロセスです。 
In past perimeter-based security architectures, most software was operated on internal networks protected by several layers of network security controls. While patching was generally considered important for reducing the likelihood of compromise and was a common compliance requirement, patching was not always considered a priority. In today’s environments, patching has become more important, often rising to the level of mission criticality. As part of a zero trust approach to security, it is now recognized that the perimeter largely does not exist anymore, and most technologies are directly exposed to the internet, putting systems at significantly greater risk of compromise. This dynamic applies across all computing technologies, whether they are information technology (IT), operational technology (OT), Internet of Things (IoT), mobile, cloud, virtual machine, container, or other types of assets. Zero trust architectures emphasize business asset-specific security over just protecting a network with assets on it, so patching is vital for reducing risk to those individual assets and determining the assets’ trust status.  これまでの境界ベースのセキュリティアーキテクチャでは、ほとんどのソフトウェアは、何層ものネットワークセキュリティコントロールで保護された内部ネットワーク上で運用されていました。侵害の可能性を低減するためにはパッチの適用が重要であると一般的に考えられており、一般的なコンプライアンス要件でもありましたが、パッチの適用は必ずしも優先事項とはみなされていませんでした。今日の環境では、パッチ適用の重要性が増し、しばしばミッションクリティカルなレベルにまで達しています。セキュリティに対するゼロトラストアプローチの一環として、境界線はもはやほとんど存在せず、ほとんどの技術がインターネットに直接さらされているため、システムが危険にさらされるリスクが大幅に高まっていることが認識されています。このような状況は、IT、OT、IoT、モバイル、クラウド、仮想マシン、コンテナ、その他のタイプの資産など、あらゆるコンピューティング技術に当てはまります。ゼロトラストアーキテクチャーでは、資産が置かれたネットワークを保護するだけではなく、ビジネス資産に特化したセキュリティを重視しているため、それらの個別資産のリスクを低減し、資産の信頼状態を判断するためには、パッチの適用が不可欠です。
There is often a divide between business/mission owners and security/technology management. Business/mission owners may believe that patching negatively affects productivity, since it requires scheduled downtime for maintenance and introduces the risk of additional downtime if something goes wrong and disrupts operations. Leadership and business/mission owners should reconsider the priority of enterprise patch management in light of today’s risks. Patching should be considered a standard cost of doing business and should be rigorously followed and tracked. Just as preventive maintenance on corporate fleet vehicles can help avoid costly breakdowns, patching should be viewed as a normal and necessary part of reliably achieving the organization’s missions. If an organization needs a particular technology to support its mission, it also needs to maintain that technology throughout its life cycle – and that includes patching.  ビジネス/ミッションオーナーとセキュリティ/技術管理者の間には、しばしば溝があります。ビジネス/ミッションのオーナーは、パッチ適用は、保守のために予定されたダウンタイムを必要とし、何か問題が発生して業務に支障をきたした場合、さらにダウンタイムが発生するリスクがあるため、生産性に悪影響を与えると考えるかもしれません。リーダーシップとビジネス/ミッションのオーナーは、今日のリスクに照らし合わせて、組織全体のパッチ管理の優先順位を再考する必要があります。パッチの適用は、ビジネスを行う上での標準的なコストと考えるべきであり、厳密にフォローし、追跡する必要があります。組織全体の車両の予防的な保守がコストのかかる故障を回避するのに役立つように、パッチ適用は、組織のミッションを確実に達成するために通常必要とされるものと考えるべきです。組織がそのミッションをサポートするために特定の技術を必要とする場合、その技術のライフサイクルを通じて保守を行う必要があり、それにはパッチ適用も含まれます。
Leadership, business/mission owners, and security/technology management teams should jointly create an enterprise patch management strategy that simplifies and operationalizes patching while also improving its reduction of risk. This will strengthen organizational resiliency to active threats and minimize business and mission impacts. This publication provides recommendations for enterprise patch management planning.  リーダーシップ、ビジネス/ミッションオーナー、およびセキュリティ/技術管理チームは、パッチ適用を単純化して運用するとともに、リスクの低減を向上させる組織全体のパッチ管理戦略を共同で策定する必要があります。これにより、活発な脅威に対する組織の回復力が強化され、ビジネスやミッションへの影響が最小限に抑えられます。本文書は、組織全体のパッチ管理計画に関する推奨事項を示したものです。

 

目次

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Changes from Previous Versions 1.2 旧版からの変更点
1.3 Publication Structure 1.3 本文書の構成
2 Risk Response Approaches for Software Vulnerabilities 2 ソフトウェアの脆弱性に対するリスク対応手法
2.1 Risk Responses 2.1 リスク対応策
2.2 Software Vulnerability Management Lifecycle 2.2 ソフトウェア脆弱性管理のライフサイクル
2.3 Risk Response Execution 2.3 リスク対応の実行
2.3.1 Prepare to Deploy the Patch 2.3.1 パッチを展開するための準備
2.3.2 Deploy the Patch 2.3.2 パッチの展開
2.3.3 Verify Deployment 2.3.3 パッチの展開を確認する
2.3.4 Monitor the Deployed Patches 2.3.4 展開されたパッチの監視
3 Recommendations for Enterprise Patch Management Planning 3 組織全体のパッチ管理計画に関する推奨事項
3.1 Reduce Patching-Related Disruptions 3.1 パッチに関連した混乱の軽減
3.2 Inventory Your Software and Assets 3.2 ソフトウェアと資産の棚卸し
3.3 Define Risk Response Scenarios 3.3 リスク対応シナリオの策定
3.4 Assign Each Asset to a Maintenance Group 3.4 各資産を保守グループに割り当てる
3.5 Define Maintenance Plans for Each Maintenance Group 3.5 各保守グループの保守計画の策定
3.5.1 Maintenance Plans for Scenario 1, Routine Patching 3.5.1 シナリオ1、定期的なパッチ適用のための保守計画
3.5.2 Maintenance Plans for Scenario 2, Emergency Patching 3.5.2 シナリオ2、緊急時のパッチ適用のための保守計画
3.5.3 Maintenance Plans for Scenario 3, Emergency Workarounds 3.5.3 シナリオ3、緊急回避のための保守プラン
3.5.4 Maintenance Plans for Scenario 4, Unpatchable Assets 3.5.4 シナリオ4の保守計画(パッチ不可能な資産の場合
3.6 Choose Actionable Enterprise-Level Patching Metrics 3.6 実用的な組織全体レベルのパッチ適用指標の選択
3.7 Consider Software Maintenance in Procurement 3.7 ソフトウェア保守の調達を考慮する
References 参考文献
  Mappings to NIST Guidance and Frameworks   NISTガイダンス及びフレームワークへのマッピング
  Acronyms   頭字語

 


参考

・SP 800-40 Rev.2 (2005) についてはIPAに翻訳がありますね。。。

● IPA - セキュリティ関連NIST文書

・[PDF] SP 800-40 ver.2 Creating a Patch and Vulnerability Management Program パッチおよび脆弱性管理プログラムの策定

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.19 NIST SP 1800-31(ドラフト)一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行

・2021.11.19 米国 CISA サイバーセキュリティインシデント対応と脆弱性対応のプレイブックを発表

| | Comments (0)

«NIST SP 1800-31(ドラフト)一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行