2024.06.19

米国 NIST IR 8505(初期公開ドラフト) クラウドネイティブ・アプリケーションのためのデータ保護アプローチ (2024.06.14)

こんにちは、丸山満彦です。

NISTが、IR 8505(初期公開ドラフト) クラウドネイティブ・アプリケーションのためのデータ保護アプローチを公表し、意見募集をしていますね。。。

静止状態でのデータ防御技術(正規表現など)に加えて、サービスやネットワーク・プロトコルを横断して移動するデータを能動的に監視して保護するために、リアルタイムでデータ分析を実行する移動中のデータ分類を開発することが不可欠になっていることから、WebAssembly(WASM)の機能を利用した効果的なデータ保護のための実用的なフレームワークについて 概説しているのが、この文書ということのようです...

 

NIST - ITL

・2024.06.14 NIST IR 8505 (Initial Public Draft) A Data Protection Approach for Cloud-Native Applications

 

NIST IR 8505 (Initial Public Draft) A Data Protection Approach for Cloud-Native Applications NIST IR 8505(初期公開ドラフト) クラウドネイティブ・アプリケーションのためのデータ保護アプローチ
Announcement 発表
Cloud-native applications, which are generally based on microservices-based application architecture, involve the governance of thousands of services with as many inter-service calls. In this environment, ensuring data security involves more than simply specifying and granting authorization during service requests. It also requires a comprehensive strategy to categorize and analyze data access and leakage as data travels across various protocols (e.g., gRPC, REST-based), especially within ephemeral and scalable microservices implemented as containers. クラウドネイティブ・アプリケーションは、一般的にマイクロサービス・ベースのアプリケーション・アーキテクチャをベースにしており、何千ものサービスのガバナンスが必要であり、サービス間の呼び出しも多い。このような環境では、データ・セキュリティの確保は、単にサービス・リクエスト時に認可を指定・付与するだけではない。また、特にコンテナとして実装されたエフェメラルでスケーラブルなマイクロサービス内で、データが様々なプロトコル(gRPC、RESTベースなど)を横断する際に、データアクセスと漏えいを分類・分析する包括的な戦略も必要となる。
Hence, in addition to techniques for protecting data at rest (e.g., regular expressions), it has become essential to develop in-transit data categorization that performs real-time data analysis to actively monitor and secure data as it moves across services and network protocols. This IR outlines a practical framework for effective data protection using the capabilities of WebAssembly (WASM) — a platform-agnostic, in-proxy approach with compute and traffic processing capabilities (in-line, network traffic analysis at layers 4–7) that can be built and deployed to execute at native speed in a sandboxed and fault-tolerant manner. したがって、静止状態でのデータ防御技術(正規表現など)に加えて、サービスやネットワーク・プロトコルを横断して移動するデータを能動的に監視して保護するために、リアルタイムでデータ分析を実行する移動中のデータ分類を開発することが不可欠になっている。このIRでは、WebAssembly(WASM)の機能を利用した効果的なデータ保護のための実用的なフレームワークについて概説する。このフレームワークは、プラットフォームにとらわれないインプロキシアプローチであり、計算機能とトラフィック処理機能(インライン、レイヤー4~7でのネットワークトラフィック分析)を備えている。
Abstract 概要
This document addresses the need for effective data protection strategies in the evolving realm of cloud-native network architectures, including multi-cloud environments, service mesh networks, and hybrid infrastructures. By extending foundational data categorization concepts, it provides a framework for aligning data protection approaches with the unknowns of data in transit. Specifically, it explores service mesh architecture, leveraging and emphasizing the capabilities of WebAssembly (WASM) in ensuring robust data protection as sensitive data is transmitted through east-west and north-south communication paths. 本書は、マルチクラウド環境、サービスメッシュ・ネットワーク、ハイブリッド・インフラなど、進化するクラウドネイティブ・ネットワークアーキテクチャの領域における効果的なデータ保護戦略の必要性に取り組むものである。基本的なデータ分類の概念を拡張することで、転送中のデータの未知数にデータ保護アプローチを整合させるためのフレームワークを提供する。具体的には、WebAssembly(WASM)の機能を活用し、機密データが東西および南北の通信経路を経由して伝送される際に、堅牢なデータ保護を確保するためのサービスメッシュアーキテクチャを探求している。

 

・[PDF] NIST.IR.8505.ipd

20240619-62718

 

目次...

1. Introduction 1. 序文
1.1. Existing Approaches to Data Protection and Their Limitations 1.1. データ保護に対する既存のアプローチとその限界
1.2. In-Proxy Application for Data Protection 1.2. データ防御のためのインプロキシ・アプリケーション
1.3. Objective and Scope of This Document 1.3. この文書の目的と範囲
1.4. Organization of This Document 1.4. 本文書の構成
2. Web Assembly Background 2. ウェブアセンブリの背景
2.1. Origin 2.1. 起源
2.2. Progression Into Server-Side Environments 2.2. サーバーサイド環境への移行
2.2.1. Development and Deployment Process 2.2.1. 開発と展開のプロセス
2.3. Proxies as WASM Platforms 2.3. WASMプラットフォームとしてのプロキシ
2.4. Proxy-WASM 2.4. Proxy-WASM
2.4.1. Role of WASM in Different Service Mesh Architectures 2.4.1. 異なるサービスメッシュ・アーキテクチャにおけるWASMの役割
2.5. WASI-HTTP 2.5. WASI-HTTP
2.6. eBPF 2.6. eBPF
3. Data Protection in Transit 3. トランジットにおけるデータ防御
3.1. Data Categorization Techniques 3.1. データ分類技術
3.2. Techniques for Data Protection 3.2. データ防御のテクニック
3.2.1. Web Traffic Data Protection 3.2.1. ウェブ・トラフィック・データの防御
3.2.2. API Security 3.2.2. APIセキュリティ
3.2.3. Microsegmentation 3.2.3. マイクロセグメンテーション
3.2.4. Log Traffic Data Protection 3.2.4. ログ・トラフィック・データの防御
3.2.5. LLM Traffic Data Protection 3.2.5. LLMトラフィックデータ防御
3.2.6. Credit Card-Related Data Protection 3.2.6. クレジットカード関連データの防御
3.2.7. Monitoring Tools to Visualize Sensitive Data Flows 3.2.7. 機密データの流れを可視化する監視ツール
4. Security Analysis of WASM Modules 4. WASMモジュールのセキュリティ分析
4.1. WASM Security Goals and Security Feature Sets 4.1. WASMのセキュリティ目標とセキュリティ機能セット
4.1.1. User-Level Security Features 4.1.1. ユーザーレベルのセキュリティ機能
4.1.2. Security Primitives for Developers 4.1.2. 開発者のためのセキュリティ・プリミティブ
4.2. Memory Model and Memory Safety 4.2. メモリ・モデルとメモリ安全性
4.3. Execution Model and Control Flow Integrity 4.3. 実行モデルと制御フローの完全性
4.4. Security of API Access to OS and Host Resources 4.4. OSとホスト・リソースへのAPIアクセスの安全性
4.5. Protection From Side-Channel Attacks 4.5. サイドチャンネル攻撃からの防御
4.6. Protection Against Code Injection and Other Attacks 4.6. コード・インジェクションやその他の攻撃に対する防御
4.7. Deployment and Operating Security 4.7. 配備と運用のセキュリティ
5. Summary and Conclusions 5. まとめと結論
References 参考文献
Appendix A. Execution Model for Web Assembly in Browsers 附属書A. ブラウザにおけるウェブアセンブリの実行モデル
Appendix B. Comparison of Execution Models for Containers and WASM Modules 附属書B. コンテナとWASMモジュールの実行モデルの比較

 

序文...

1. Introduction  1. 序文 
In the constantly evolving landscape of cloud-native application architectures, where data resides in multiple locations (i.e., on-premises and on the cloud), ensuring data security involves more than simply specifying and granting authorization during service requests. It also involves a comprehensive strategy to categorize and analyze data access and leakage as data travels across various protocols (e.g., gRPC, REST-based), especially within ephemeral and scalable microservices applications. As organizations find themselves governing hundreds to tens of thousands of services and the inter-service calls between them, a security void has been identified in observing and protecting sensitive data in transit.   データが複数の場所(すなわち、オンプレミスとクラウド上)に存在するクラウドネイティブ・アプリケーション・アーキテクチャの状況は常に進化しており、データセキュリティの確保には、サービス要求時に単に認可を指定・付与するだけでは不十分である。また、特にエフェメラルでスケーラブルなマイクロサービス・アプリケーション内で、データが様々なプロトコル(gRPC、RESTベースなど)を横断する際に、データ・アクセスと漏えいを分類・分析する包括的な戦略も必要となる。政府は、数百から数万のサービスと、それらの間のサービス間コールをガバナンスしていることに気付くと、転送中の機密データを観察し、保護するセキュリティ上の空白が特定された。 
1.1. Existing Approaches to Data Protection and Their Limitations  1.1. データ保護に対する既存のアプローチとその限界 
Traditionally, regular expressions (regex) have been widely used for data categorization to identify patterns that match predefined categories or data classes with the aid of keywords and validators for enhanced precision. Despite its wide adoption and usage, the approach has notable limitations. The processing time scales linearly with data volume, making it impractical for very large datasets. Regex also lacks the capability for logical computations, which are necessary for complex validations like checksums in credit card numbers. Its effectiveness heavily relies on the correct proximity to specific keywords, leading to potential false positives and considerable noise if not managed correctly.  従来、正規表現(regex)は、精度を高めるためのキーワードやバリデータの助けを借りて、事前に定義されたカテゴリーやデータクラスに一致するパターンを識別するために、データの分類に広く使用されてきた。広く採用され使用されているにもかかわらず、このアプローチには顕著な限界がある。処理時間はデータ量に比例するため、非常に大きなデータセットでは実用的でない。また正規表現には、クレジットカード番号のチェックサムのような複雑なバリデーションに必要な論理計算の機能がない。その有効性は、特定のキーワードに正しく近接しているかどうかに大きく依存しており、正しく管理されなければ誤検出の可能性やかなりのノイズにつながる。
Machine learning (ML) offers a promising enhancement to data categorization by learning from data patterns and improving over time, thus providing a scalable and adaptable solution. ML algorithms can handle both structured and unstructured data, predict data categories based on historical data, and adjust to new patterns without explicit reprogramming. This adaptability significantly reduces the time and computational resources required to manage complex datasets and is effective for both data at rest and in motion.  機械学習(ML)は、データパターンから学習し、時間の経過とともに改善することで、データ分類に有望な強化を提供する。MLアルゴリズムは、構造化データと非構造化データの両方を扱い、過去のデータに基づいてデータカテゴリーを予測し、明示的な再プログラミングなしに新しいパターンに適応することができる。この適応性は、複雑なデータセットを管理するのに必要な時間と計算資源を大幅に削減し、静止しているデータと動いているデータの両方に有効である。
To address and complement the limitations of traditional data-at-rest inventory, in-transit data categorization has recently come to light as the next logical step in data protection. Unlike the former, which only secures stored information, in-transit categorization actively monitors and secures data as it moves across services and network protocols. This shift to real-time data analysis within the network brings new observability capabilities, eliminating the need for traffic mirroring and data duplication.   従来のデータアットレストのインベントリの限界に対処し、補完するために、データ保護の次の論理的ステップとして、移動中のデータ分類が最近注目されるようになった。保存された情報のみを保護する従来の方法とは異なり、移動中のデータ分類は、サービスやネットワーク・プロトコルを移動するデータを積極的に監視し、保護する。ネットワーク内でのリアルタイム・データ分析への移行は、新たな観測可能性をもたらし、トラフィックのミラーリングやデータの複製を不要にする。 
1.2. In-Proxy Application for Data Protection  1.2. データ防御のためのインプロキシ・アプリケーション 
To address the need for data categorization during travel across services, a relatively new class of in-proxy application called the WebAssembly program (also called a WASM module) has been increasingly deployed. A WASM module is a lightweight executable compiled to low-level bytecode. This bytecode can be:  サービス間の移動中にデータを分類する必要性に対処するため、WebAssemblyプログラム(WASMモジュールとも呼ばれる)と呼ばれる比較的新しいクラスのインプロキシ・アプリケーションの導入が進んでいる。WASMモジュールは、低レベルのバイトコードにコンパイルされた軽量の実行ファイルである。このバイトコードには次のようなものがある: 
(a)   Generated from code written in any language using their associated WebAssembly compilers, including C, C++, and Rust  (a) C、C++、Rustなど、関連するWebAssemblyコンパイラを使って任意の言語で書かれたコードから生成する。
(b)  Run using a WASM runtime in an isolated virtual machine (VM) within the proxy, which allows developers to enhance applications with necessary functionality and run them as efficiently as native code in the proxies.  (b) プロキシ内の分離された仮想マシン(VM)内でWASMランタイムを使用して実行する。これにより、開発者は必要な機能を持つアプリケーションを拡張し、プロキシ内でネイティブコードと同様に効率的に実行することができる。
Over the last few years, the Envoy WASM VM has enabled new types of compute and traffic processing capabilities and allowed for custom WASM modules to be built and deployed in a sandboxed and fault-tolerant manner.  ここ数年で、Envoy WASM VMは新しいタイプのコンピュートとトラフィック処理機能を可能にし、サンドボックス化されたフォールトトレラントな方法でカスタムWASMモジュールを構築してデプロイできるようになった。
Additionally, the following features of WebAssembly modules make them particularly effective for data protection:  さらに、WebAssemblyモジュールの次のような特徴は、データ保護に特に効果的である: 
Data Discovery and Categorization: WASM modules can dynamically identify and categorize data as it traverses the network, ensuring that sensitive information is recognized and handled appropriately.  データの発見と分類: WASMモジュールは、ネットワーク上を通過するデータを動的に識別・分類し、機密情報が認識され。適切に処理されるようにすることができる。
Dynamic Data Masking (DDM): WASM modules can apply DDM techniques to redact or mask sensitive information in transit, enhancing privacy and security.  動的データマスキング(DDM): WASMモジュールはDDM技術を適用して、転送中の機密情報を再編集またはマスクし、プライバシーとセキュリティを強化することができる。
User and Entity Behavior Analytics (UEBA): WASM modules can analyze user and entity behaviors in real time, detecting anomalies and potential security threats.  ユーザーと事業体の行動分析(UEBA): WASMモジュールはユーザーや事業体の行動をリアルタイムで分析し、異常や潜在的なセキュリティ脅威を検知することができる。
Data Loss Prevention (DLP): WASM modules can enforce DLP policies by monitoring and controlling data transfers to prevent unauthorized data exfiltration.  データ損失防止(DLP): WASMモジュールは、不正なデータ流出を防ぐためにデータ転送を監視・管理することで、DLPポリシーを実施することができる。
1.3. Objective and Scope of This Document  1.3. この文書の目的と範囲 
All services (e.g., networking, security, monitoring, etc.) for microservices-based applications are provided by a centralized infrastructure called the service mesh, and the data plane for this service mesh — which performs all runtime tasks — consists of proxies. This document outlines a practical framework for effective data protection and highlights the versatile capabilities of WebAssembly (WASM) within service mesh architectures, multi-cloud environments, and hybrid (i.e., a combination of on-premises and cloud-based) infrastructures. By focusing on inline, network traffic analysis at layers 4–7, organizations can enhance security, streamline operations, and utilize adaptive data protection measures.  マイクロサービスベースのアプリケーションのすべてのサービス(ネットワーキング、セキュリティ、モニタリングなど)は、サービスメッシュと呼ばれる集中型インフラストラクチャによって提供され、このサービスメッシュのデータプレーン(すべてのランタイムタスクを実行する)は、プロキシで構成される。このドキュメントでは、効果的なデータ保護のための実用的なフレームワークの概要を示し、サービスメッシュアーキテクチャ、マルチクラウド環境、ハイブリッド(オンプレミスとクラウドベースの組み合わせ)インフラにおけるWebAssembly(WASM)の多用途な機能を強調する。レイヤー4~7におけるインラインのネットワークトラフィック分析に重点を置くことで、企業はセキュリティを強化し、運用を合理化し、適応的なデータ保護対策を利用することができる。
1.4. Organization of This Document  1.4. 本文書の構成 
This document is organized as follows:  本文書の構成は以下の通りである: 
• Section 2 describes the execution environment for WASM modules in detail, including the application infrastructure (i.e., service mesh) under which it runs, the specific host environment (i.e., proxies), the process for generating bytecodes and executables, the processes for executing the modules using a WASM runtime, and an API (i.e., WASI) for accessing OS resources of the underlying platform.  ・セクション2では、WASMモジュールが実行されるアプリケーション基盤(すなわちサービスメッシュ)、特定のホスト環境(すなわちプロキシ)、バイトコードと実行可能ファイルを生成するプロセス、WASMランタイムを使用してモジュールを実行するプロセス、基盤となるプラットフォームのOSリソースにアクセスするためのAPI(すなわちWASI)など、WASMモジュールの実行環境について詳しく説明する。
• Section 3 introduces the concept of data categorization and the use of various data protection techniques (e.g., data masking, redaction, etc.) to ensure the security of data in different domains or application scenarios using WASM modules, such as web traffic data protection, API Security, microsegmentation, log traffic data protection, LLM traffic data protection, and integration with monitoring tools for the visualization of sensitive data flows.  ・セクション3では、データの分類の概念と、ウェブトラフィックデータ保護、APIセキュリティ、マイクロセグメンテーション、ログトラフィックデータ保護、LLMトラフィックデータ保護、機密データフローの可視化のための監視ツールとの統合など、WASMモジュールを使用したさまざまなドメインやアプリケーションシナリオにおけるデータのセキュリティを確保するための、さまざまなデータ保護技術(データマスキング、再編集など)の使用について紹介する。
• Section 4 presents a detailed security analysis of a WASM module by examining its development, deployment, and execution environment to ensure that the module satisfies the properties of a security kernel and can provide the necessary security assurance.  ・セクション4では,WASMモジュールがセキュリティカーネルの特性を満たし、必要なセキュリティ保証を提供できることを保証するために、その開発、実装、実行環境を調査することによって、WASMモジュールの詳細なセキュリティ分析を行う。
• Section 5 provides a summary of the topics covered in this document and discusses how WASM module functionality must continuously evolve to provide the security assurance needed to protect against data breaches and exfiltration in the context of increasingly sophisticated attacks on data.   ・セクション5では,本文書で取り上げたトピックの概要を示し,データに対する攻撃がますます巧妙化する中で、データ侵害や流出から保護するために必要なセキュリティ保証を提供するために、WASMモジュールの機能がどのように継続的に進化していかなければならないかについて議論する。

 

図1. WASMモジュールの生成とその実行

 

20240619-64357

 

 

図2. WASMモジュールの開発とブラウザでの実行

20240619-64540

 

図3. コンテナとWASMモジュールの実行スタックの比較

20240619-64810

 

 

| | Comments (0)

米国 NIST TN 2283(初期公開ドラフト)上下水道部門のサイバーセキュリティ: アーキテクチャを構築する 運用技術 リモートアクセス (2024.06.12)

こんにちは、丸山満彦です。

NISTが、NIST TN 2283(初期公開ドラフト)上下水道部門のサイバーセキュリティ: アーキテクチャを構築する 運用技術 リモートアクセスを公表し、意見募集をていますね.

上下水道システム(WWS)セクターの事業者に共通するサイバーセキュリティ上の課題を特定し、参照サイバーセキュリティ・アーキテクチャを開発し、リスクを軽減・マネジメントするための既存の市販製品の活用を提案するプロジェクトの一環として、上下水道事業者が自主的に活用できるようなサイバーセキュリティリスクに対処するために市販の技術や既存の標準、ベストプラクティスを作成したものということのようです...

超小規模から小規模(25~3,300 の顧客)、中規模から大規模(3,301~100,000 の顧客)に分類して、それぞれのシステムの複雑さ、予算上の制約、運用上の要件などを想定した上で、適切な技術を使用することができようにしているようです...

 

NIST - ITL

・2024.06.12 NIST TN 2283 (Initial Public Draft) Cybersecurity for the Water and Wastewater Sector: Build Architecture. Operational Technology Remote Access

NIST TN 2283 (Initial Public Draft) Cybersecurity for the Water and Wastewater Sector: Build Architecture. Operational Technology Remote Access NIST TN 2283(初期公開ドラフト)上下水道部門のサイバーセキュリティ: アーキテクチャを構築する 運用技術 リモートアクセス
Announcement 発表
The National Cybersecurity Center of Excellence (NCCoE) has undertaken a project to identify common cybersecurity challenges among Water and Wastewater Systems (WWS) sector participants, develop reference cybersecurity architectures, and propose the utilization of existing commercially available products to mitigate and manage risks. The reference cybersecurity architectures outlined in this report can be voluntarily leveraged by water and wastewater utilities to use commercially available technologies and existing standards and best practices to address their cybersecurity risks. 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、上下水道システム(WWS)セクターの事業者に共通するサイバーセキュリティ上の課題を特定し、参照サイバーセキュリティ・アーキテクチャを開発し、リスクを軽減・マネジメントするための既存の市販製品の活用を提案するプロジェクトを実施した。本報告書に概説されている参照用サイバーセキュリティアーキテクチャは、上下水道事業者が自主的に活用することで、サイバーセキュリティリスクに対処するために市販の技術や既存の標準、ベストプラクティスを利用することができる。
The publication is designed for use by those in the water and wastewater systems sector. The architectures presented in this report for water and wastewater utilities are categorized by system size; specifically, from very small to small (25-3,300 customers) and the medium to large (3,301 – 100,000 customer) size ranges. This categorization allows the use of appropriate technologies based on assumptions of system complexity, budgetary constraint, and operational requirements. This proposed guidance does not offer prescriptive solutions but rather showcases example approaches appropriate within each range of system sizes. 本書は、上下水道システムセクターの事業者が使用することを想定して作成されている。具体的には、超小規模から小規模(25~3,300 の顧客)、中規模から大規模(3,301~100,000 の顧客)に分類されている。この分類により、システムの複雑さ、予算上の制約、運用上の要件などを想定した上で、適切な技術を使用することができる。本ガイダンス案は、規定的な解決策を提供するものではなく、むしろ、各システム規模の範囲内で適切なアプローチ例を紹介するものである。
Abstract 概要
This Technical Note describes the product-agnostic remote access security architectures and the example solutions the NIST National Cybersecurity Center of Excellence (NCCoE) plans to demonstrate as part of the Cybersecurity for the Water and Wastewater Sector: A Practical Reference Design for Mitigating Cyber Risk in Water and Wastewater Systems project. These security architectures were developed in collaboration with technology vendors, water utilities, and other experts. The NCCoE continues to work with these collaborators to develop example solutions that demonstrate how these security architectures can be leveraged to address cybersecurity risks associated with remote access to water and wastewater operational technology systems. 本テクニカルノートでは、NIST国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)が上下水道分野のサイバーセキュリティの一環として実証する予定の、製品にとらわれないリモートアクセスセキュリティアーキテクチャとソリューション例について説明する: A Practical Reference Design for Mitigating Cyber Risk in Water and Wastewater Systems)プロジェクトの一環として実証する予定である。これらのセキュリティ・アーキテクチャは、技術ベンダー、水道事業者、その他の専門家と協力して開発された。NCCoE は、上下水道業務技術システムへのリモート・アクセスに関連するサイバーセキュリティ・リスクに対処するために、これらのセキュリティ・アーキテクチャをどのように活用できるかを示すソリューション例を開発するために、これらの協力者と引き続き協力している。
This Technical Note presents a traditional on-premises remote access architecture and two example solutions, one for medium to large water and wastewater systems (WWS) and one for very small to small water and wastewater systems. A cloud-based remote access architecture and example solution are also described. 本テクニカルノートでは、従来のオンプレミス型リモートアクセスアーキテクチャと、中規模から大規模の上下水道システム(WWS)向けと、ごく小規模から小規模の上下水道システム向けの 2 つのソリューション例を示す。また、クラウドベースのリモートアクセスアーキテクチャとソリューション例についても説明する。

 

・[PDF] NIST.TN.2283.ipd

20240619-54617

 

目次...

1. Introduction 1. 序文
1.1. Audience 1.1. 想定読者
1.2. Collaborators 1.2. 協力者
 1.2.1. Report Organization  1.2.1. 報告組織
2. Remote Access Background 2. リモートアクセスの背景
2.1. Remote Access Technologies in the WWS Sector 2.1. WWS分野におけるリモートアクセス技術
2.2. Medium to Large WW 2.2. 中規模から大規模WW
2.3. Very Small to Small WWs 2.3. 超小型から小型WW
2.4. WWS Characteristics Comparison 2.4. WWSの特徴の比較
2.5. WWS Remote Access Cybersecurity Considerations 2.5. WWS リモートアクセスのサイバーセキュリティに関する考察
3. Traditional Remote Access Architecture 3. 従来のリモートアクセス・アーキテクチャ
3.1. Product-Agnostic Remote Access Architecture 3.1. 製品にとらわれないリモートアクセスのアーキテクチャ
3.2. Medium to Large WWS Remote Access Example Solution 3.2. 中規模から大規模WWSリモートアクセスのソリューション例
3.3. Very Small to Small Remote Access Example Solution 3.3. 超小型~小型リモートアクセス ソリューション例
4. Cloud-Based Remote Access 4. クラウドベースのリモートアクセス
4.1. Product-Agnostic Architecture for Cloud-Based Remote Access 4.1. クラウドベースのリモートアクセスのための製品に依存しないアーキテクチャ
 4.1.1. Ed  4.1.1. Ed
 4.1.2. Network  4.1.2. ネットワーク
 4.1.3. Application  4.1.3. アプリケーション
 4.1.4. Security Considerations  4.1.4. セキュリティ
4.2. Cloud-Based Remote Access Example Solution 4.2. クラウドベースのリモートアクセス ソリューション例
5. Summary and Next Steps 5. まとめと次のステップ
References 参考文献
Appendix A. Glossary 附属書 A. 用語集
List of Tables 表一覧
Table 1. Project Collaborators 表1. プロジェクト協力者
Table 2. Size Categories of US Community Water System 表2. 米国の簡易水道の規模カテゴリー
Table 3. WWS Characteristics 表3. WWSの特徴
List of Figures 図一覧
Figure 1. Remote Access Concept 図1. リモートアクセスの概念
Figure 2. Components of a medium to large water system 図2. 中規模から大規模の水道システムの構成要素
Figure 3. Components of a very small to small water system 図3. 超小型から小型の水道システムの構成要素
Figure 4. Traditional Remote Access Architecture 図4. 従来のリモート・アクセス・アーキテクチャ
Figure 5. Remote Access for Medium to Large WWS example solution 図5. 中規模から大規模WWSのためのリモートアクセス ソリューション例
Figure 6. Remote Access for Very Small to Small WWS example solution 図6. 超小型~小型WWS向けリモートアクセス ソリューション例
Figure 7. Cloud-based remote access 図7. クラウドベースのリモートアクセス クラウドベースのリモートアクセス
Figure 8 Cloud-based remote access example solution 図8. クラウドベースのリモートアクセス ソリューション例

 

 

序文...

Introduction  序文 
As described in the preceding NIST NCCoE publication “Cybersecurity for the Water and Wastewater Sector: A Practical Reference Design for Mitigating Cyber Risk in Water and Wastewater Systems” [1], the NCCoE has undertaken a project to identify common cybersecurity challenges among Water and Wastewater Systems (WWS) sector participants, develop reference cybersecurity architectures, and propose the utilization of existing commercially available products to mitigate and manage risks. The reference cybersecurity architectures outlined in this report can be voluntarily leveraged by water and wastewater utilities to use commercially available technologies and existing standards and best practices to address their cybersecurity risks. Specifically, our work focuses on four areas identified by the United States Cybersecurity and Infrastructure Security Agency (CISA) [2][3] as priority:   先行するNIST NCCoE発行の「上下水道セクターのサイバーセキュリティ」[1]に記載されているように、NCCoEは上下水道システムにおけるサイバーリスク軽減のための実践的なリファレンスデザインを策定するプロジェクトを実施した: A Practical Reference Design for Mitigating Cyber Risk in Water and Wastewater Systems」[1]に記載されているように、NCCoE は上下水道システム(WWS)セクターの参加者に共通するサイバーセキュリティの課題を特定し、参照用サイバーセキュリティアーキテクチャを開発し、リスクを低減・管理するための既存の市販製品の活用を提案するプロジェクトを実施した。本報告書で概説する参照用サイバーセキュリティアーキテクチャは、上下水道事業者が自主的に活用できるものであり、サイバーセキュリティリスクに対処するために市販の技術や既存の標準、ベストプラクティスを利用することができる。具体的には、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)[2][3]が優先事項として特定した 4 つの分野に焦点を当てている:  
1. Remote Access – ensure security safeguards are configured to control access based on roles or responsibilities; collect, aggregate, and analyze log information.  1. リモート・アクセス:役割や責任に基づいてアクセスを管理するようにセキュリティ保護措置が設定されていることを確認し、ログ情報を収集、集計、分析する。
2. Network Segmentation – demonstrate open-source products for logical partitions of the operational network, such as firewalls, data diodes, or SDN (software defined networks)  2. ネットワーク・セグメンテーション:ファイアウォール、データ・ダイオード、SDN(ソフトウ ェア定義ネットワーク)など、運用ネットワークの論理パーティション用のオープンソース 製品を実証する。
3. Asset management - discover, identify, categorize, and manage all network-enabled devices: detect potential risks and validate patches and upgrades.  3. 資産マネジメント:すべてのネットワーク対応デバイスを検知、識別、分類、管理する。
4. Data Integrity – protect the integrity of data by detecting lack of protections, provide secure communications, sandboxing techniques, and methods to prevent software modifications.  4. データ・セキュリティ:保護の欠如を検知し、セキュアなコミュニケーション、サンドボックス技術、ソフトウェアの改変を防止する方法を提供することで、データの完全性を保護する。
This first guide addresses the remote access scenario and describes architectures and example solutions allowing authorized access to a water or wastewater utility’s Operational Technology (OT) assets. Subsequent publications will address the other identified risk scenarios and solutions.  この最初のガイドでは、リモートアクセスのシナリオを取り上げ、上下水道事業者の運用技術(OT)資産への認可されたアクセスを可能にするアーキテクチャとソリューション例を説明する。後続の出版物では、その他の識別されたリスクシナリオと解決策を取り上げる予定である。
1.1.  Audience  1.1.  想定読者
The publication is designed for use by those in the water and wastewater systems sector. The architectures presented in this report for water and wastewater utilities are categorized by system size; specifically, from very small to small (25-3,300 customers) and the medium to large (3,301 – 100,000 customer) size ranges. This categorization allows the use of appropriate technologies based on assumptions of system complexity, budgetary constraint, and operational requirements. This proposed guidance does not offer prescriptive solutions but rather showcases example approaches appropriate within each range of system sizes.  本書は、上下水道システム部門関係者の使用を目的としている。具体的には、超小規模から小規模(25~3,300の顧客)、中規模から大規模(3,301~100,000の顧 客)に分類している。この分類により、システムの複雑さ、予算の制約、運営上の必要条件などを前提に、適切な技術を使用することができる。本ガイダンス案は、規定的な解決策を提供するものではなく、各システム規模の範囲内で適切なアプローチ例を紹介するものである。
1.2. Collaborators  1.2. 協力者 
The NCCoE has assembled a team of collaborators who provide products and expertise in formulating remote access architectures and building example solutions. Table 1 lists the cybersecurity product vendors, water and wastewater utilities, professional associations, and industry consultants who have volunteered to collaborate on this project.  NCCoE は、リモートアクセスアーキテクチャの策定とソリューション例の構築において、製品 と専門知識を提供する協力者のチームを編成した。表 1 に、このプロジェクトにボランティアで協力してくれたサイバーセキュリティ製品ベンダー、上下水道事業者、専門家団体、業界コンサルタントを示す。
Table 1. Project Collaborators  表 1. プロジェクトの協力者 
20240619-55823
The NCCoE is using commercial products provided by our collaborators to build secure remote access example solutions. NIST, the NCCoE, and this guide do not endorse these specific products. Your organization should identify and select products that will best integrate with your existing infrastructure. We hope that you will seek products that are congruent with applicable standards and best practices.   NCCoEは、協力者が提供する商用製品を使用して、安全なリモートアクセスのサンプルソリューションを構築している。NIST、NCCoE、および本ガイドは、これらの特定の製品を推奨するものではない。各組織は、既存のインフラストラクチャに最適な製品を特定し、選択する必要がある。適用される標準およびベストプラクティスに合致する製品を求めることを望む。 
1.2.1. Report Organization  1.2.1. 報告書の構成 
This report contains six sections and two appendices. A brief description of each follows:  本報告書は、6つのセクションと2つの附属書から構成されている。それぞれの簡単な説明は以下の通りである: 
• Section 1, this section, provides context for the project scenarios, identifies the report’s intended audience, and lists the project’s collaborator.  ・セクション1では,プロジェクトシナリオの背景を説明し,報告書の対象読者を特定し, プロジェクトの協力者を列挙する。
• Section 2 introduces the concept of remote access and provides background on water and wastewater systems for a range of utility sizes.  ・セクション2では,リモートアクセスの概念を紹介し,様々な規模の上下水道システムの背景を説明する。
• Section 3 presents a traditional product-agnostic remote access architecture and describes two proposed example solution implementations of this architecture, one for medium to large WWS and one for very small to small WWS.  ・第3節では、従来の製品にとらわれないリモートアクセスアーキテクチャを示し、このアーキテクチャの2つのソリューション実装例(1つは中規模から大規模のWWS向け、もう1つは超小規模から小規模のWWS向け)を提案する。
• Section 4 presents a product-agnostic cloud-based Software as a Service (SaaS) architecture for remote access and describes an example solution that is scalable from very small to large WWS.  ・セクション4は、リモートアクセスのための製品にとらわれないクラウドベースのSaaS(Software as a Service)アーキテクチャを提示し、非常に小規模なWWSから大規模なWWSまでスケーラブルなソリューション例を説明する。
• Section 5 summarizes this technical note.  ・セクション5はこのテクニカルノートの要約である。
• Appendix A is a selected bibliography.  ・附属書A:参考文献の一部
• Appendix B provides a glossary of terms.  ・附属書B:用語集
Your organization can adopt the remote access solutions presented in this technical note or ones that adhere to the guidelines presented here. Your organization may use this guide as a starting point for tailoring and implementing parts of the reference architecture to provide a remote access solution that best meets your needs.  あなたの組織は、このテクニカルノートで紹介されているリモートアクセス・ソリューションを採用することもできるし、 ここで紹介されているガイドラインに従ったものを採用することもできる。このガイドを出発点として、リファレンスアーキテ クチャの一部をカスタマイズして実装し、ニーズに最適なリモートアクセスソリューションを提供することもできる。

 

リモートアクセス概念

20240619-60109

 

 

中規模から大規模の水道システムの構成要素

20240619-60206

 

 

超小型から小型の水道システムの構成要素

20240619-60314

 

従来のリモート・アクセス・アーキテクチャ

20240619-60428

 

 

中規模から大規模WWSのためのリモートアクセス ソリューション例

20240619-60647

 

 

超小型~小型WWS向けリモートアクセス ソリューション例

20240619-60842

 

クラウドベースのリモートアクセス

20240619-60941

 

クラウドベースのリモートアクセス ソリューション例

20240619-61101

 

 

| | Comments (0)

ドイツ 連邦情報セキュリティ局 機関誌のテーマはサイバーネーション・ドイツ

こんにちは、丸山満彦です。

ドイツ連邦情報セキュリティ局が機関誌を公表していますが、サイバーネーション・ドイツというのがテーマのようです。。。

サイバーネーション・ドイツは、国家機関、地方自治体、企業、個人がすべてセキュリティレベルを高める必要があるということのようです。ドイツ語なのでよく読めていません(^^;;

ただ、

・国家戦略として、デジタル化とサイバーセキュリティはセットで考える

・国家としてIT状況センターのようなサイバー空間の観測所をもっておく

・地方自治体(中小規模団体)の対策に力を入れる必要がある

ということなのでしょうかね...

 

十分な予算や人材がサイバーセキュリティ対策に割けない団体(中小企業、地方自治体、病院等)のセキュリティ対策を社会全体としてどうするのか?というのはどこの国においても重要なのでしょうね...

 

Bundesamt für Sicherheit in der Informationstechnik;BSI

・2024.06.12 BSI-Magazin erschienen: Cybernation Deutschland im Fokus

 

BSI-Magazin erschienen: Cybernation Deutschland im Fokus BSIマガジン発行 サイバー国家としてのドイツに焦点を当てる
In der neuen Ausgabe seines Magazins „Mit Sicherheit“ beleuchtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktuelle Themen der Cybersicherheit. Im Fokus steht die Cybernation Deutschland, die das BSI gemeinsam mit vielen weiteren Akteuren auf den Weg bringen möchte. ドイツ連邦情報セキュリティ局(BSI)は、機関誌「Mit Sicherheit」の新刊で、現在のサイバーセキュリティ問題に光を当てている。その焦点は、BSIが他の多くの利害関係者とともに立ち上げようとしているサイバーネーション・ドイツである。
Die „Cybernation Deutschland bauen“ ist die Antwort des BSI auf die aktuelle Bedrohungslage: Das Sicherheitsniveau der Digitalisierung muss erhöht werden – in staatlichen Institutionen, in Unternehmen und nicht zuletzt für jede und jeden Einzelnen. Welche strategischen Ziele für die Cybernation Deutschland erreicht werden müssen, was insbesondere für Kommunen getan werden muss und wie Deutschland cyberresilient werden kann, steht im Mittelpunkt des Blickpunkts dieser Ausgabe. 「サイバーネーション・ドイツの構築」は、現在の脅威の状況に対するBSIの対応策であり、国家機関、企業、そして最後には個人一人ひとりのデジタル化のセキュリティレベルを高めなければならない。本号では、サイバー国家としてドイツが達成すべき戦略的目標、特に地方自治体がなすべきこと、そしてドイツがサイバーに強くなる方法について焦点を当てる。
Das BSI-Magazin liefert einen umfassenden Einblick in weitere aktuelle Cybersicherheitsthemen. Es informiert über Maßnahmen, die Unternehmen aufgrund der NIS-2-Richtlinie ergreifen können, wie mobiles Arbeiten langfristig sicher gelingen kann und schaut aus unterschiedlichen Blickwinkeln auf die europäische Zusammenarbeit bei der Cybersicherheit. BSIマガジンは、その他の最新のサイバーセキュリティのトピックについても包括的な見識を提供している。NIS 2指令の結果として企業が講じることができる対策、長期的にモバイルワークを安全にする方法、サイバーセキュリティに関する欧州の協力について、さまざまな角度から情報を提供している。
Das BSI veröffentlicht das BSI-Magazin "Mit Sicherheit" zweimal im Jahr. Die Publikation richtet sich an interessierte Leserinnen und Leser in Staat, Wirtschaft und Gesellschaft und bietet Einblicke in ausgewählte Projekte und Angebote des BSI und seiner Partner. BSIはBSI誌「Mit Sicherheit」を年2回発行している。この雑誌は、政府、企業、社会の関心のある読者を対象としており、BSIとそのパートナーが提供する厳選されたプロジェクトやサービスについての洞察を提供している。

 

 

・[PDF]

20240618-182805

 

目次...

Cybersicherheit サイバーセキュリティ
・Aktuelle Entwicklungen im Bereich Sicherheit & Künstliche Intelligenz ・セキュリティと人工知能の最新動向
・Cybersicher? Aber sicher! ・サイバーセキュア?でも安全だ!
・BSI-Angebote: NIS-2 kommt – das bietet das: BSI für Unternehmen ・BSIが提供するもの NIS-2がやってくる-BSIが企業に提供するもの
・Quantencomputer als IT-Risiko  ・ITリスクとしての量子コンピュータ 
Im Blickpunkt: Cybernation Deutschland 注目:サイバーネーション・ドイツ
・Cybersicherheit und Digitalisierung im Land verankern ・サイバーセキュリティとデジタル化を国内に定着させる
・Fundament der Cybernation Deutschland ・サイバーネーション・ドイツの創設
・Cybersicherheit in Landkreisen, Städten und Gemeinden gemeinsam ausbauen ・地区、都市、自治体におけるサイバーセキュリティの共同拡大
Das BSI BSI
・Fünf Jahre Cybersicherheit in Freital ・Freitalにおけるサイバーセキュリティの5年間
・Brennglas für Cybersicherheit: 20 Jahre Deutscher IT-Sicherheitskongress ・サイバーセキュリティのための燃焼ガラス:ドイツITセキュリティ会議の20年
・IT-Sicherheitskennzeichen: BSI-Marktaufsicht – für mehr IT-Sicherheit am Verbrauchermarkt ・ITセキュリティラベリング: BSIの市場サーベイランス:消費者市場におけるITセキュリティの向上のために
・Für ein gesundes #TeamBSI  ・健全な #TeamBSI のために 
IT-Sicherheit in der Praxis ITセキュリティの実践
・30 Jahre IT-Grundschutz: 30 Jahre Informationssicherheit ・ITベースライン保護の30年:情報セキュリティの30年
・Mobiles Arbeiten auch in Zukunft sicher ・モバイルワークは今後も安全であり続ける
・Ein wichtiger Meilenstein für das Smart Grid ・スマートグリッドの重要なマイルストーン
・Portalverbund: Cybersicherheit rund um das Onlinezugangsgesetz ・ポータルネットワーク:オンラインアクセス法をめぐるサイバーセキュリティ
BSI International BSIインターナショナル
・Der europäische Cyber Resilience Act – ein Update ・欧州サイバーレジリエンス法-最新情報
・Stärkung der Zusammenarbeit und Cyberresilienz in Europa ・欧州における協力の強化とサイバーレジリエンスの強化
Digitale Gesellschaft デジタル社会
・Europäische Perspektive(n) für einen starken Digitalen Verbraucherschutz ・強力なデジタル消費者保護のための欧州の視点
・Social Engineering: Schutz vor KI-gestützten Cyberangriffen ・ソーシャル・エンジニアリング:AIが支援するサイバー攻撃からの保護
・BSI-Basis-Tipp: Tipps für den digitalin Familienalltag ・BSIの基本的なヒント:日常的なデジタル家庭生活のヒント
Impressum 出版

 

 

注目:サイバーネーション・ドイツ

Cybersicherheit und Digitalisierung im Land verankern サイバーセキュリティとデジタル化を国内に定着させる
Mit seiner neuen Strategie zeigt das BSI einen Weg auf, wie die Cybernation Deutschland erreicht werden kann BSIは新戦略によって、サイバー国家ドイツを実現する道を示した。
Das Ziel ist ambitioniert, aber alternativlos. Denn es geht ums Ganze. Deutschland muss widerstandsfähig sein und bleiben, um Cyberbedrohungen abzuwehren. Gleichzeitig muss sichergestellt sein, dass Bürgerinnen und Bürger genauso wie Unternehmen digitalen Technologien, die sie nutzen, auch vertrauen können. Deshalb hat das BSI eine Strategie erarbeitet, wie Deutschland Cybernation werden kann: Ein Land, das Cybersicherheit und Digitalisierung erstklassig beherrscht. 目標は野心的だが、これに代わるものはない。なぜなら、それは全体像に関わるからだ。ドイツは、サイバー脅威から身を守るために強靭であり続けなければならない。同時に、市民も企業も、自分たちが使うデジタル技術を信頼できるようにしなければならない。そのためBSIは、ドイツがサイバー国家となるための戦略を策定した: サイバーセキュリティとデジタル化において一流の技術を持つ国となる。
Was braucht eine Cybernation? Bürgerinnen und Bürger, die wach und aufmerksam sind. Eine Gesellschaft, die sich der Gefahren des digitalen Fortschritts bewusst ist. Menschen, die nicht bang wie das Kaninchen vor der Schlange stehen, sondern der Realität ins Auge blicken. Die sich darauf verlassen können, dass sich der Staat um die sichere Gestaltung der Digitalisierung kümmert – die gleichzeitig aber in der Lage sind, ihre digitale Umgebung eigenständig zu schützen. Initiativen zum Schutz vor Cyberbedrohungen gehören auf die Tagesordnung. Denn die anhaltende Digitalisierung und die zunehmende Vernetzung vergrößern die Angriffsflächen – und diese werden genutzt. サイバー国家には何が必要か?目を覚まし、警戒する市民。デジタルの進歩の危険性を認識する社会。ヘビの前にウサギのように立つのではなく、現実を直視する人々。デジタル化の安全性を確保するために国家に頼ることができるが、自分たちのデジタル環境を自分たちで守ることもできる人々。サイバー脅威から身を守るための取り組みが議題になるはずだ。デジタル化の進行とネットワーク化の進展により、攻撃対象が拡大し、それが悪用されているからだ。
MASSIVE POLITISCHE DESINFORMATIONSKAMPAGNEN 大規模な政治的偽情報キャンペーン
Der BSI-Bericht zur Lage der IT-Sicherheit in Deutschland im vergangenen Jahr zeichnet ein besorgniserregendes Bild: eine Viertelmillion neue Schadsoftwarevarianten und 21.000 infizierte Systeme tagtäglich, dazu mehr als 2.000 Schwachstellen in Softwareprodukten pro Monat. Der Schaden durch Angriffe auf deutsche Unternehmen belief sich auf mehr als 200 Milliarden Euro. Anfang dieses Jahres registrierte das Auswärtige Amt verstärkt Versuche von ausländischen Akteuren, die Innenpolitik in Deutschland zu beeinflussen. Mit massiven Kampagnen wurde auf Debatten zu außenpolitischen Themen in den Onlinenetzwerken eingewirkt. Russland stand in Verdacht, mit mehr als 50.000 gefälschten Accounts auf der Onlineplattform X und mehr als einer Million deutschsprachiger Tweets Unmut gegen die deutsche Regierungskoalition zu schüren. Häufig tauchte der Vorwurf auf, die Bundesregierung vernachlässige die eigene Bevölkerung, um die Ukraine zu unterstützen. Desinformation wird eingesetzt, um demokratische Gesellschaften zu destabilisieren.  昨年のドイツのITセキュリティ状況に関するBSIの報告書には、毎日25万個の新しいマルウェアの亜種と21,000台の感染システム、さらに毎月2,000件以上のソフトウェア製品の脆弱性という憂慮すべき状況が描かれている。ドイツ企業への攻撃による被害総額は2000億ユーロを超えた。今年の初め、連邦外務省は、ドイツの国内政策に影響を与えようとする外国人による試みが増加していることを記録した。オンライン・ネットワーク上で外交問題に関する議論に影響を与えるために大規模なキャンペーンが行われた。ロシアは、オンラインプラットフォームXで5万以上の偽アカウントと100万以上のドイツ語ツイートによって、ドイツ連立政権に対する不満を煽った疑いが持たれている。ウクライナを支援するためにドイツ政府は自国民をないがしろにしている、という非難がたびたび浮上した。偽情報は民主主義社会を不安定にするために使われる。
TÄUSCHEND ECHTE KI-FÄLSCHUNGEN 偽りの本物
Auch in den USA zeigte man sich alarmiert, als Mitglieder der Demokratischen Partei automatisierte Anrufe erhielten, in denen vermeintlich US-Präsident Joe Biden sie dazu aufforderte, die Vorwahlen zu ignorieren. Die täuschend echt klingende Stimme beweist einmal mehr, wie leistungsstark Fälschungen mithilfe Künstlicher Intelligenz (KI) sind. Auch der Popstar Taylor Swift kann ein Lied davon singen: KI-generierte Nacktbilder von ihr bescherten dem Thema Cyberkriminalität weltweit große Aufmerksamkeit. アメリカでも、民主党の党員たちが、ジョー・バイデン米大統領から予備選を無視するよう促されたと思われる自動音声電話を受け、人々は憂慮した。本物そっくりに聞こえる声は、人工知能(AI)を使ったフェイクがいかに強力かを改めて証明している。ポップスターのテイラー・スウィフトも、そのことを教えてくれる: AIが生成した彼女のヌード写真は、サイバー犯罪の話題を世界中に大きく広めた。
GEZIELT GESTÖRTE SATELLITENNAVIGATION  衛星航法への標的型干渉 
Besonders aufmerksam sind auch Sicherheitsfachleute im Ostseeraum, die seit Monaten gezielte Störungen der Satellitennavigation beobachten. Seit Dezember 2023 wurden laut Bundesverkehrsministerium aus dem deutschen Luftraum Störungen der vom Satellitennavigationssystem „Global Positioning System“ (GPS) ausgestrahlten Navigationssignale gemeldet. Auch in dieser Angelegenheit steht Russland in Verdacht. Die Satellitennavigation wird für die Bestimmung der eigenen Position und zur Routenplanung in Fahrzeugen verwendet. Flugzeuge und Schiffe nutzen Satellitennavigation. Sie ist außerdem für automatisierte Prozesse in der Landwirtschaft relevant. バルト海地域のセキュリティ専門家も、衛星ナビゲーションへの標的型妨害を数ヶ月間観測しており、特に注目している。連邦運輸省によると、全地球測位システム(GPS)衛星航法システムが発する航法信号への干渉が2023年12月以降、ドイツ領空から報告されている。この件ではロシアも疑われている。衛星ナビゲーションは、自分の位置を特定したり、自動車のルートプランニングに使われる。飛行機や船舶も衛星航法を利用している。農業の自動化プロセスにも関係している。
Den Herausforderungen in der Cybersicherheit begegnet ein Land nicht auf dem Papier, sondern durch Technologie. Dafür kann Deutschland auf eine exzellente Technologiekompetenz zur Entwicklung von Lösungen zurückgreifen. Es gilt, die Digitalisierung zu beschleunigen, um mit den Entwicklungen unserer Zeit Schritt zu halten!“  サイバーセキュリティの課題は、紙の上ではなく、技術によって解決される。ドイツは優れた技術的専門知識を活用して解決策を開発することができる。時代の発展に遅れを取らないためには、デジタル化を加速させる必要があるのだ 
Claudia Plattner, BSI-Präsidentin クラウディア・プラットナー、BSI会長
WARUM DAS ZEITALTER DER POLYKRISEN NACH EINER CYBERSTRATEGIE VERLANGT  ポリ・クライシスの時代にサイバー戦略が必要な理由 
Geopolitische Spannungen, wie die drohende Eskalation im Nahostkonflikt und der russische Angriffskrieg auf die Ukraine, weltweite Herausforderungen, wie die Bewältigung des Klimawandels und die Sicherstellung der Energieversorgung, sowie innenpolitische Angelegenheiten, zu denen auch die Auswirkungen der Corona-Pandemie gehören, wirken sich auf die Cybersicherheitslage aus. Die Welt kannte schon immer multiple Krisen, inzwischen hat das Zeitalter der Polykrisen begonnen: Kritische Situationen lassen sich kaum mehr isoliert voneinander betrachten. Deepfakes auf Social-Media-Plattformen werden eingesetzt, um Meinungen zu beeinflussen, Wahlen zu manipulieren oder Gesellschaften zu destabilisieren. „Wir alle sind gefordert, den Gefahren konsequent und mutig entgegenzutreten“, lautet deshalb ein Kerngedanke der Cyberstrategie des BSI. 中東紛争の激化の脅威やウクライナにおけるロシアの侵略戦争などの地政学的緊張、気候変動への取り組みやエネルギー供給の確保などのグローバルな課題、さらにはコロナウイルスの大流行の影響などの国内問題など、すべてがサイバーセキュリティの状況に影響を及ぼしている。世界は常に複数の危機を経験してきたが、今やポリ・クライシスの時代が始まった: 危機的状況は、もはや互いに切り離して考えることはできない。ソーシャルメディア・プラットフォーム上のディープフェイクは、意見に影響を与えたり、選挙を操作したり、社会を不安定化させたりするために使われている。そのため、「私たちは皆、一貫して勇気を持って危険に立ち向かうことが求められている」というのが、BSIのサイバー戦略の中核となる考え方である。
„Wir wollen mit der Initiative ,Cybernation Deutschland‘ gemeinsam erreichen, dass Unternehmen und Betreiber kritischer Infrastrukturen widerstandsfähiger werden und sich noch stärker gegen Cyberangriffe wappnen. Sichere Digitalisierung ist unser gemeinsames Ziel. Denn: Je stärker und resilienter wir als Standort Deutschland sind, desto attraktiver sind wir auch für Wissenschaft, Unternehmen und IT-Fachkräfte. Dabei wollen wir auch für mehr Bewusstsein für Cybersicherheit überall in unserer Gesellschaft sorgen und den digitalen Verbraucherschutz verbessern.“  「サイバーネーション・ドイツ イニシアチブにより、私たちは、企業や重要インフラの運営者がより強靭になり、サイバー攻撃に対してより効果的に武装できるよう協力したい。安全なデジタル化は我々の共通の目標である。結局のところ、ビジネス拠点としてより強固で弾力的であればあるほど、科学、企業、IT専門家にとって魅力的なのだ。我々はまた、社会全体のサイバーセキュリティに対する意識を高め、デジタル消費者保護を向上させたいと考えている。」
Nancy Faeser, Bundesministerin des Innern und für Heimat ナンシー・フェーザー連邦内務大臣
KOMPETENZEN NUTZEN, TECHNIK BEFÄHIGEN  技術を活用し、テクノロジーを強化する 
Tagtäglich werden Unternehmen und Institutionen in Deutschland von Cyberkriminellen angegriffen. Besonders beunruhigend ist die hohe Professionalität im Vorgehen: Modernste Technologie wie KI kommt zum Einsatz und die Arbeitsteilung nimmt weiter zu, vor allem bei Ransomware-Attacken und „Cybercrime-as-a-Service“, einer perfiden Art krimineller Dienstleistungen. Menschen in Deutschland leben so digital wie nie zuvor. Niemand will auf Onlineshopping oder Onlinebanking, Nachrichtenkonsum und Information im Netz oder Zeitvertreib in sozialen Medien verzichten – deshalb ist es im Interesse aller, dass digitale Angebote sicher sind. ドイツでは毎日、企業や機関がサイバー犯罪者に攻撃されている。彼らのアプローチのプロ意識の高さは、特に憂慮すべきものだ: 特にランサムウェア攻撃や "サイバー犯罪アズ・ア・サービス "と呼ばれる卑劣な犯罪サービスでは、AIのような最先端技術が使われ、分業化が進んでいる。ドイツの人々はかつてないほどデジタルに生活している。オンライン・ショッピングやオンライン・バンキング、オンライン・ニュースや情報の消費、ソーシャル・メディアの利用は、誰もが避けて通ることはできない。
Hier setzt das BSI an und stärkt Staat, Gesellschaft und Wirtschaftsunternehmen bei ihren Initiativen, die Cyberresilienz zu erhöhen. Den Herausforderungen in der Cybersicherheit begegnet ein Land nicht auf dem Papier, sondern durch Technologie. Dafür kann Deutschland auf eine exzellente Technologiekompetenz zur Entwicklung von Lösungen zurückgreifen. Es gilt, die Digitalisierung zu beschleunigen, um mit den Entwicklungen unserer Zeit Schritt zu halten! そこでBSIが登場し、国、社会、営利企業がサイバー耐性を高める取り組みを強化する。国はサイバーセキュリティの課題を紙の上ではなく、技術によって解決する。ドイツは、優れた技術的専門知識を活用して解決策を開発することができる。現代の発展に対応するためには、デジタル化を加速させなければならない!
CYBERSICHERHEIT FUNKTIONIERT NUR HAND IN HAND  サイバー・セキュリティーは手を携えてのみ機能する 
Das Beispiel der GPS-Störungen verdeutlicht die Situation: Satellitensysteme sind unverzichtbar, um die zunehmende Verkehrsdichte und die Automatisierung im Mobilitätssektor zu bewältigen. Expertinnen und Experten analysieren Störungen und lernen daraus für zukünftige Technologieentwicklungen. Die für den Schutz des elektromagnetischen Spektrums zuständige Bundesnetzagentur beobachtet die Lage und tauscht sich mit beteiligten Bundes- und Landesbehörden, mit der Bundeswehr und weiteren Nutzenden des Luftraums aus – denn Cybersicherheit ist eine Gemeinschaftsaufgabe.  衛星システムは、モビリティ分野における交通密度の増加や自動化に対応するために不可欠である。専門家は干渉を分析し、今後の技術開発のためにそこから学んでいる。サイバーセキュリティは共同作業であるため、電磁スペクトル保護を担当する連邦ネットワーク庁は、状況を監視し、関係する連邦および州当局ドイツ軍およびその他の空域利用者と連携している。


GEMEINSCHAFTLICHES HANDELN STÄRKT DIE RESILIENZ  共同行動がレジリエンスを強化する 
Kooperation ist deshalb ein zentrales Stichwort der BSI-Cyberstrategie: Es bedarf der konsequenten Zusammenarbeit von Politik, Wirtschaft, Wissenschaft und Gesellschaft im Bund wie in den Ländern, damit Deutschland seine Technologiekompetenzen gezielt einsetzen und die digitale Sicherheit erhöhen kann. Wächst Deutschlands Selbstverständnis als Cybernation, kann die nötige Resilienz aufgebaut werden. Das BSI sieht sich in diesem Prozess in vielen Rollen: als Antreiber und Möglichmacher, als Partner und als Helfer, als Architekt und gleichzeitig als tragende Säule in der Sicherheitsarchitektur des Landes. Das BSI weiß, dass die effiziente und effektive Zusammenarbeit aller Akteure und eine funktionierende Koordination der notwendigen Maßnahmen Mammutaufgaben sind. したがって、協力はBSIサイバー戦略の中心的なキーワードである。ドイツがその技術的専門知識を的を絞って活用し、デジタル・セキュリティを高めるためには、連邦および州レベルの政治、ビジネス、科学、社会の間の一貫した協力が必要である。サイバー国家としてのドイツの自己イメージが高まれば、必要なレジリエンスを構築することができる。BSIは、このプロセスにおいて、推進役、実現者、パートナー、支援者、アーキテクト、そして同時に国のセキュリティ・アーキテクチャを支える支柱など、さまざまな役割を担っている。BSIは、すべての利害関係者が効率的かつ効果的に協力し、必要な対策を効果的に調整することが、非常に大きな課題であることを知っている。
DIE BSI-CYBERSTRATEGIE AUF EINEN BLICK  BSIサイバー戦略の概要 
Um Deutschland gemeinsam zur Cybernation zu machen, kommt es auf sechs bedeutende Handlungsfelder an: ドイツをサイバー国家にするために、6つの重要な行動分野がある:
1. Cybersicherheit auf die Agenda heben 1. サイバーセキュリティを議題にする
2. Cyberresilienz substanziell erhöhen 2. サイバー耐性を大幅に向上させる
3. Technologiekompetenz gezielt nutzen 3. 技術的専門知識を的を絞って活用する
4. Digitalisierung konsequent voranbringen 4. デジタル化を一貫して推進する
5. Cybersicherheit pragmatisch gestalten 5. サイバーセキュリティを現実的に形成する。
6. Einen florierenden Cybermarkt Deutschland aufbauen 6. ドイツで繁栄するサイバー市場を構築する。
Das BSI tritt als Promoter der Cybersicherheit auf. Es strebt an, den Schutz kritischer Systeme und sensibler Informationen im Bewusstsein aller Akteure zu verankern. Entscheiderinnen und Entscheider in Deutschland sollen dazu bewegt werden, das Thema regelmäßig und wiederkehrend auf ihre Agenda zu setzen. BSIはサイバーセキュリティの推進者として活動している。BSIは、重要システムと機密情報の保護をすべての利害関係者の心の中に定着させるよう努めている。その目的は、ドイツの意思決定者が定期的かつ反復的にこのテーマを議題にするよう奨励することである。
BSI KNÜPFT TRAGFÄHIGE NETZWERKE ZU STAKEHOLDERN  BSIは利害関係者と持続可能なネットワークを構築する 
Mit wem steht das BSI im Austausch? Auf Bundesebene mit Behörden, Organisationen und Unternehmen. Das BSI erstellt Vorgaben, berät, schlägt konkrete Umsetzungen vor, prüft die Sicherheitsanforderungen, treibt den Einsatz sicherer Technologien voran und koordiniert unmittelbar wirksame Maßnahmen zum Schutz der Informationstechnik. Zudem kooperiert es mit den Behörden auf Bundesebene, die in ihrem Aufgabenbereich an der Cybersicherheit Deutschlands mitwirken, etwa bei der Strafverfolgung, bei Grenzkontrollen, in der militärischen Zusammenarbeit, bei der Gefahrenabwehr und im Zivilschutz. BSIは誰と対話するのか?連邦レベルでは、当局、組織、企業である。BSIは、仕様を策定し、助言を提供し、具体的な実装を提案し、セキュリティ要件を検討し、安全な技術の使用を促進し、情報技術を保護するための直接的で効果的な対策を調整する。また、法執行、国境管理、軍事協力、緊急事態対応、民間防衛など、ドイツのサイバーセキュリティに関与する連邦レベルの当局とも協力する。
Auf Landesebene steht das BSI in Kontakt mit den für Cybersicherheit zuständigen Akteuren in allen 16 Bundesländern: Das sind Landesministerinnen und -minister, „Chief Information Security Officer“ (CISO), „Computer Emergency Response Teams“ (CERT), länderübergreifende Genossenschaften mit IT-Aufgaben sowie Landesagenturen oder sonstige staatliche Einrichtungen. Das BSI unterstützt länderübergreifende Initiativen mit Bundesbeteiligung und im Einzelfall – etwa auf Basis einer Kooperationsvereinbarung – auch Länder direkt. Auf der kommunalen Ebene zählen die städtischen Verwaltungen und die kommunalen Spitzenverbände zum BSI-Netzwerk. 州レベルでは、BSIは16の連邦州すべてのサイバーセキュリティ担当の利害関係者と連絡を取っている: 各州の大臣、「最高情報セキュリティ責任者」(CISO)、「コンピュータ緊急対応チーム」(CERT)、IT業務を行う州横断的な協同組合、州機関、その他の州機関などである。BSIは、連邦政府の参加を得て、州をまたがるイニシアチブを支援し、個別のケースでは(たとえば協力協定に基づいて)州も直接支援する。自治体レベルでは、BSIのネットワークには自治体行政機関や自治体の上部組織も含まれる。
„Das Team des BSI stellt sich der Mammutaufgabe, die Cyberresilienz der Unternehmen und Institutionen substanziell zu erhöhen, indem es Verbesserungen aktiv steuernd vorantreibt – immer in dem Bewusstsein, dass den Herausforderungen in der Cybersicherheit nicht auf dem Papier begegnet werden kann, sondern dass sie Tatkraft verlangen.“  「BSIチームは、積極的に改善を推進することで、企業や機関のサイバー耐性を大幅に向上させるという途方もない課題に取り組んでいる。サイバーセキュリティの課題は紙の上では解決できず、行動が必要であることを認識している。」
Claudia Plattner, BSI-Präsidentin クラウディア・プラットナー、BSI会長
In der Politik gehören alle parlamentarischen Akteure auf Bundes- und Landesebene sowie Organisationen, Initiativen, Stiftungen und Thinktanks zu den Partnern. Dazu kommen Universitäten, wissenschaftliche Institutionen, Forschungseinrichtungen sowie einzelne Wissenschaftlerinnen und Wissenschaftler. Sie bilden den Kern der nationalen und internationalen BSI-Kooperation mit der Wissenschaft. Diskutiert wird auf fachlich-technischer Ebene, Erkenntnisse werden bilateral und auf Fachkonferenzen ausgetauscht. Man lernt voneinander mit dem gemeinsamen Ziel, Grundlagen der Cybersicherheit zu erforschen und Weiterentwicklungen aktiv und marktfähig zu gestalten.  政治面では、連邦および州レベルのすべての議会関係者、組織、イニシアチブ、財団、シンクタンクがパートナーとして名を連ねている。さらに、大学、科学機関、研究組織、個人の科学者も含まれる。彼らは、科学界との国内および国際的なBSI協力の中核を形成している。議論は専門的、技術的なレベルで行われ、研究成果は二国間や専門家会議で交換される。彼らは、サイバーセキュリティの基礎を研究し、それを市場化するためのさらなる開発を積極的に形成するという共通の目標のもと、互いに学び合っている。
LEBENDIGES ÖKOSYSTEM FÜR CYBERSICHERHEITSPRODUKTE  サイバーセキュリティ製品のための生きたエコシステム 
Das Team des BSI stellt sich der Mammutaufgabe, die Cyberresilienz der Unternehmen und Institutionen substanziell zu erhöhen, indem es Verbesserungen aktiv steuernd vorantreibt – immer in dem Bewusstsein, dass den Herausforderungen in der Cybersicherheit nicht auf dem Papier begegnet werden kann, sondern dass sie Tatkraft verlangen. Das BSI setzt auf die exzellente Technologiekompetenz in Deutschland zur Entwicklung von Lösungen. Die Cybersicherheit ist dabei ein entscheidender Erfolgsfaktor: Indem Lösungen erarbeitet werden, steigen Sicherheit und Geschwindigkeit bei der Digitalisierung. Von drei Seiten unterstützt durch Politik, Wirtschaft und Wissenschaft entsteht ein lebendiges Ökosystem für Cybersicherheitsprodukte und -services. So ist Deutschland gewappnet und kann auf weitere Herausforderungen effizient und effektiv reagieren. BSIチームは、積極的に改善を推進することによって、企業や機関のサイバー耐性を大幅に向上させるという途方もない課題に挑んでいる。常に、サイバーセキュリティの課題は紙の上では解決できず、行動が必要であるということを念頭に置いている。BSIは、解決策を開発するために、ドイツの優れた技術的専門知識に依存している。サイバーセキュリティは、ここでの重要な成功要因である。ソリューションの開発は、デジタル化の安全性とスピードを高める。サイバーセキュリティ製品とサービスのための活気あるエコシステムは、政治、ビジネス、科学の3方面からの支援によって構築されつつある。これは、ドイツが準備万端であり、さらなる課題に効率的かつ効果的に対応できることを意味する。
FORTSCHRITT DANK BSI-WERTSCHÖPFUNGSKETTE  BSIバリューチェーンによる進展 
Eine wichtige Voraussetzung für die Cybersicherheit ist die Einschätzung der Sicherheitslage. Durch Forschung und Prüfung im BSI werden notwendige Anforderungen identifiziert und Lösungen auf ihre Tragfähigkeit getestet. Anhand der BSI-Wertschöpfungskette werden Anforderungen und Vorgaben für sichere Produkte und Services sowie für die Sicherheit in Organisationen festgelegt. Zudem stellt das BSI Implementierungshilfen zur Verfügung. Im Rahmen von Zertifizierungen wird geprüft, ob Produkte und Services den Sicherheitsanforderungen entsprechen. Das BSI beurteilt auch die Sicherheit der Bundesverwaltung und der Kritischen Infrastrukturen. Die Ergebnisse der Begutachtungen schaffen Transparenz in Bezug auf die Sicherheitssituation in Deutschland. Mit „Security Operations“ und Support bereitet das BSI auf den Ernstund Krisenfall vor.  サイバーセキュリティの重要な前提条件は、セキュリティ状況の評価である。BSIでの研究とテストを通じて、必要な要件が特定され、ソリューションの実行可能性がテストされる。BSIのバリューチェーンは、安全な製品やサービス、組織のセキュリティに関する要件や仕様を定義するために使用される。BSIはまた、実装の支援も行っている。認証は、製品やサービスがセキュリティ要件を満たしているかどうかをチェックするために使用される。BSIは、連邦行政や重要インフラのセキュリティ評価も行っている。評価結果は、ドイツのセキュリティ状況の透明性を高める。セキュリティ・オペレーション」とその支援により、BSIは緊急事態や危機に備える。
DIE VISION DER CYBERNATION DEUTSCHLAND  サイバー国家ドイツのビジョン 
Längst haben das BSI und seine Partner mit der Umsetzung erster relevanter Maßnahmen für Cybersicherheit begonnen.  BSIとそのパートナーは、最初のサイバーセキュリティ対策の実施を開始して久しい。
FOLGENDE ZIELE STEHEN IM ZENTRUM DER VISION: ビジョンの中心にあるのは、以下の目標である:
Unternehmen und Institutionen in Deutschland sind resilient gegen Cyberangriffe. ドイツの企業や機関はサイバー攻撃に強い。
Die Menschen in Deutschland bewegen sich sicher im Cyberraum. ドイツの人々はサイバー空間を安全に移動する。
Die Menschen vertrauen den digitalen Angeboten des Staates. 国民は国家が提供するデジタルサービスを信頼する。
Deutschland ist gut aufgestellt gegen Cyberspionage und -sabotage ドイツはサイバースパイや妨害行為に対して万全の態勢をとっている。
Deutschland ist ein attraktiver und innovativer Standort für digitale Technologien und Dienstleistungen. ドイツはデジタル技術とサービスにとって魅力的で革新的な場所である。
Die Gesellschaft in Deutschland erkennt gezielte Beeinflussung von außen und weiß damit umzugehen. ドイツ社会は、標的となる外部からの影響を認識し、それに対処する方法を知っている。
Deutschland ist ein Vorreiter der sicheren und effizienten Digitalisierung. ドイツは安全で効率的なデジタル化の先駆者である。

 

 

Fundament der Cybernation Deutschland サイバネーション・ドイツの創設
Neues Nationales IT-Lagezentrum behält die Cybersicherheit rund um die Uhr im Blick 新しい国家IT状況センターが24時間体制でサイバーセキュリティを監視する
von Sebastian Brück und Christian Eibl, Nationales IT-Lagezentrum, Grundsatz und Meldestelle, Informationsdauerdienst 国家IT状況センター、政策・報告センター、継続的情報サービス、セバスチャン・ブリュックおよびクリスティアン・アイブル著
Das neue Nationale IT-Lagezentrum ist mit modernster Kommunikationstechnik ausgestattet und verfügt im Regelbetrieb über zehn Arbeitsplätze, von denen aus die Spezialistinnen und Spezialisten des BSI die Cybersicherheitslage für Deutschland rund um die Uhr im Blick behalten. Bei der Eröffnung im Februar 2024 starteten Bundesinnenministerin Nancy Faeser und BSI-Präsidentin Claudia Plattner die Initiative „Cybernation Deutschland“. 新しい国家IT状況センターは、最先端の通信技術を備え、10台のワークステーションが常時稼動し、BSIの専門家が24時間体制でドイツのサイバーセキュリティ状況を監視している。2024年2月の開所式では、ナンシー・フェーザー連邦内務大臣とクラウディア・プラットナーBSI会長が「サイバーネーション・ドイツ」構想を発表した。
Mit der BSI-Initiative „Cybernation Deutschland“ soll Deutschland ein hohes Sicherheitsniveau der Digitalisierung erreichen – das gilt für staatliche Institutionen ebenso wie für die Wirtschaft und die Gesellschaft. Neben der Erhöhung der Cyberresilienz soll die Initiative dazu dienen, insgesamt mehr Bewusstsein für das Thema Cybersicherheit zu schaffen, Cybersicherheit pragmatisch zu gestalten und messbar zu machen, technologische Expertise in Deutschland gezielter zu nutzen und in Deutschland den Markt für Cybersicherheitsprodukte und Dienstleistungen zu stärken. BSIの "サイバーネーション・ドイツ "イニシアチブは、ドイツにおける高水準のデジタル化セキュリティの達成を目指しており、これは国家機関だけでなく、経済や社会にも適用される。このイニシアチブは、サイバー耐性を高めることに加え、サイバーセキュリティというテーマ全体に対する認識を高め、サイバーセキュリティを実用的で測定可能なものにし、ドイツにおける技術的専門知識をより的を絞って活用し、ドイツにおけるサイバーセキュリティ製品とサービスの市場を強化することを目指している。
Diese Herangehensweise ist dringend notwendig, da Unternehmen und Institutionen in Deutschland jeden Tag von Cyberkriminellen angegriffen werden. Von Angriffen mit Ransomware geht dabei momentan die größte Bedrohung aus. Hinzu kommen eine wachsende Professionalisierung auf Täterseite und eine steigende Anzahl von Sicherheitslücken. ドイツの企業や機関は毎日のようにサイバー犯罪者に攻撃されているため、このようなアプローチが緊急に必要とされている。現在、ランサムウェア攻撃が最大の脅威となっている。加えて、加害者側の専門化が進み、セキュリティの脆弱性が増加している。
Im neuen Nationalen IT-Lagezentrum verfügt das BSI über modernste Infrastruktur, um die Cybersicherheit substanziell zu erhöhen. Die Mitarbeitenden im Lagezentrum tauschen regelmäßig sowohl mit anderen Expertinnen und Experten im BSI – Stichwort: „integrierte Wertschöpfungskette“ – als auch mit nationalen und internationalen Partnern Informationen und Bewertungen zur Cybersicherheitslage aus. 新しい国家IT状況センターでは、BSIはサイバーセキュリティを大幅に強化するための最先端のインフラを自由に利用できる。状況センターのスタッフは、BSIの他の専門家(キーワードは「統合されたバリューチェーン」)や国内外のパートナーと、サイバーセキュリティ状況に関する情報や評価を定期的に交換している。
RUND UM DIE UHR IM EINSATZ  24時間体制 
Das Nationale IT-Lagezentrum beobachtet und bewertet Vorkommnisse der Cybersicherheitslage im 24/7-Betrieb und verfügt so jederzeit über ein verlässliches Bild der aktuellen IT-Sicherheitslage in Deutschland. Mit dieser Übersicht können die BSI-Expertinnen und -Experten bedrohliche Lagen wie Angriffswellen oder potenziell ausnutzbare Schwachstellen frühzeitig feststellen und Handlungsbedarf sowie -optionen sowohl auf staatlicher Ebene als auch in der Wirtschaft zeitnah und kompetent einschätzen. 国家IT状況センターは、24時間365日体制でサイバーセキュリティインシデントを監視・評価しているため、ドイツにおけるITセキュリティの現状について、常に信頼できる全体像を把握している。この概要により、BSIの専門家は、攻撃の波や悪用される可能性のある脆弱性のような脅威的な状況を早い段階で特定し、国家レベルと経済の両方における対策の必要性と対策の選択肢を迅速かつ適切に評価することができる。
Innerhalb üblicher Bürozeiten unterstützen BSI-Expertinnen und -Experten für die Kritischen Infrastrukturen (KRITIS) und des Computer Emergency Response Teams des Bundes (CERT-Bund) sowie die Informationssicherheitsoffiziere des Kommandos Cyber- und Informationsraum (KdoCIR) das Nationale IT-Lagezentrum. Außerhalb der Bürozeiten gehen CERT-Bund und KRITIS in Rufbereitschaft. Die Zusammenarbeit mit dem KdoCIR erfolgt über die etablierten Schnittstellen zwischen beiden Behörden. 通常の業務時間中は、BSIの重要インフラ専門家(KRITIS)、連邦コンピュータ緊急対応チーム(CERT-Bund)、サイバー・情報宇宙司令部(KdoCIR)の情報セキュリティ担当者が国家IT状況センターをサポートしている。業務時間外には、CERT-BundとKRITISが待機している。KdoCIRとの協力は、2つの当局間で確立されたインターフェイスを介して行われる。
Zudem ist das Nationale IT-Lagezentrum die zentrale Meldestelle des BSI. Hier laufen diverse gesetzlich oder vertraglich festgeschriebene, aber auch freiwillige Meldestellen zusammen. Pro Jahr gehen im IT-Lagezentrum rund 2.800 Meldungen über 22 Meldestellen ein. Eine aktive Open Source Intelligence (Medienbeobachtung, Social-Media-Analyse, etc.) und eigene Sensoriken ergänzen die Informationsbasis.  国家IT状況センターは、BSIの中央報告事務所でもある。さまざまな法定または契約上の報告センターだけでなく、自主的な報告センターもここに集約される。毎年、IT状況センターは22の報告ポイントを通じて約2,800件の報告を受ける。積極的なオープンソースインテリジェンス(メディアモニタリング、ソーシャルメディア分析など)と独自のセンサーが情報基盤を補完している。
SO REAGIERT DIE BSI-SCHALTZENTRALE BEI EINEM CYBERSICHERHEITSVORFALL  サイバーセキュリティ事件が発生した場合、BSIコントロールセンターはどのように対応するか 
Wie kann man sich den Alltag in der Schaltzentrale des BSI vorstellen? Ein Beispiel: Eine Meldung zu einem Sicherheitsvorfall trifft ein, zeitgleich schlagen Monitoringsysteme an. Nach sofortiger Rücksprache mit dem Betroffenen deutet alles auf eine Schadsoftware hin. Folgende Fragen müssen beantwortet werden: Was ist das Ziel der Software? Welche Auswirkungen sind zu erwarten? Wer kann damit noch zum Opfer werden und was bedeutet dies für die Cybersicherheitslage Deutschlands? BSIコントロールセンターでの日常生活を想像してみてほしい。例:セキュリティ・インシデントの報告が届き、同時に監視システムが作動する。被害を受けた人とすぐに相談した結果、すべてがマルウェアであることが判明した。以下の質問に答える必要がある: ソフトウェアの目的は何か?そのソフトウェアの目的は何か?他に誰が被害者になる可能性があるのか、そしてドイツのサイバーセキュリティ状況にとって何を意味するのか?
Hoher Besuch bei der Eröffnung des neuen Nationalen IT-Lagezentrums: Bundesinnenministerin Nancy Faeser, BSI-Präsidentin Claudia Plattner und der stellvertretnde Inspekteur des Cyber- und Informationsraums (CIR), Generalmajor Jürgen Setzer (v.l.n.r.). Sebastian Brück, Leiter Informationsdauerdienst, führte die Gäste durch die neuen Räumlichkeiten. 新国家IT状況センターのオープニングに出席した高官たち: ナンシー・フェーザー連邦内務大臣、クラウディア・プラットナーBSI会長、サイバー・情報空間(CIR)副監視官ユルゲン・ゼッツァー少将(左から)。常設情報局のセバスチャン・ブリュック局長が来賓に新施設を案内した。
Im Nationalen IT-Lagezentrum wird die breite Expertise des BSI gebündelt, von dort aus wird die Reaktion der Cybersicherheitsbehörde des Bundes koordiniert: IT-Spezialistinnen und -Spezialisten aus den unterschiedlichsten Fachrichtungen analysieren gemeinsam die Bedrohungen und entwickeln Gegenmaßnahmen. Da Cyberbedrohungen nicht an Landesgrenzen enden, werden aktuelle Informationen und Bewertungen in etablierten Prozessen auch gemeinsam mit nationalen und internationalen Partnern, wie z.B. unseren NATO-Partnern, ausgetauscht. BSIの幅広い専門知識は国家IT状況センターに集約され、そこから連邦サイバーセキュリティ当局の対応が調整されている: 幅広い分野のIT専門家が協力して脅威を分析し、対策を練っている。サイバー脅威は国境にとどまらないため、最新の情報と評価は、NATOのパートナーなど、国内および国際的なパートナーとも確立されたプロセスで共有されている。
AUS DEM IT-LAGEZENTRUM IN DIE FACHABTEILUNGEN  IT状況センターから専門部署へ 
Ist die Erstreaktion vollzogen, fließen die neuen Erkenntnisse in die langfristige Arbeit des BSI ein: Sollen die Ergebnisse in die IT-Grundschutz-Empfehlungen aufgenommen werden? Müssen Technische Richtlinien und Zertifizierungsverfahren angepasst werden? Sind Beratungsprozesse zu ergänzen? Das Nationale IT-Lagezentrum liefert mit seinen kontinuierlichen Erkenntnissen aus der Lagebeobachtung und -bewertung einen wichtigen Beitrag, damit das BSI seine gestaltende Rolle für die Cybersicherheit Deutschlands wahrnehmen kann.  初期対応が完了すると、新たな発見がBSIの長期的な業務に組み込まれる。技術的なガイドラインや認証手順を変更する必要があるか?勧告プロセスを補足する必要があるか?状況の監視と評価から得られた継続的な知見により、国家IT状況センターは、BSIがドイツのサイバーセキュリティを形成する役割を果たすために重要な貢献をしている。
LAGE ERKENNEN – UND ANGEMESSEN REAGIEREN  状況を認識し、適切に対応する 
Während die Erkenntnisse unmittelbar in den Schutz der Regierungsnetze einfließen, gelangen Handlungsempfehlungen über geeignete Verteilmechanismen zeitnah und zielgerichtet an unterschiedliche Zielgruppen. Darunter fallen etwa Warnungen für die breite Öffentlichkeit, geeignete Informationen zum Schutz ihrer Systeme für IT-Profis in Kritischen Infrastrukturen, der Bundesverwaltung und kleineren Unternehmen sowie nicht zuletzt auch Informationen für Verbraucherinnen und Verbraucher. Je nach Bedrohungslage und Betroffenheit nehmen weitere Akteure wie das Mobile Incident Response Team (MIRT) ihre Arbeit auf. Durch einen intensiven Informationsaustausch im Nationalen Cyber-Abwehrzentrum werden auch anderen Behörden zeitgerecht unterrichtet und Maßnahmen abgestimmt.  調査結果は政府ネットワークの保護に直接反映される一方で、適切な配信メカニズムを通じて、さまざまなターゲット・グループにタイムリーかつ的を絞った形で行動勧告が届く。これには、一般市民への警告、重要インフラのIT専門家、連邦政府、中小企業のシステム保護に適した情報、そして最後に消費者向けの情報などが含まれる。脅威の状況や影響を受ける範囲に応じて、モバイル事故対応チーム(MIRT)などの他のプレーヤーも活動を開始する。国家サイバー防衛センターでの集中的な情報交換のおかげで、他の当局にも適時に情報が提供され、対策が調整される。
REAKTION AUF KRISEN  危機への対応 
In besonders schweren Fällen wächst das IT-Lagezentrum zum Nationalen IT-Krisenreaktionszentrum auf. Dort arbeiten Spezialistinnen und Spezialisten verschiedener Fachgebiete eng zusammen, um in einer Krisensituation zügig wieder den Normalzustand herbeiführen zu können. 特に深刻なケースでは、IT状況センターは国家IT危機対応センターに発展する。このセンターでは、さまざまな分野の専門家が緊密に連携し、危機的な状況下で迅速に正常な状態を回復する。
Im Ernstfall können dann durch die neue Infrastruktur bis zu 100 IT-Sicherheitsfachkräfte orchestriert zusammenarbeiten. Um die für den Betrieb des Lagezentrums erforderlichen Räume und Systeme miteinander zu vernetzen, wurden ca. 19.000 Meter Netzwerkkabel verlegt. Das entspricht der Länge eines Autokorsos über alle BSI-Liegenschaften auf dem Gebiet der Bundesstadt Bonn.  緊急時には、新しいインフラストラクチャーにより、最大100人のITセキュリティの専門家が組織的に協力することができる。シチュエーションセンターの運営に必要な部屋とシステムを接続するために、約1万9000メートルのネットワークケーブルが敷設された。これは、連邦都市ボンにあるBSIの全施設を横断する自動車道の長さに相当する。
FAZIT UND NÄCHSTE SCHRITTE  結論と次のステップ 
Mit dem neuen Nationalen IT-Lagezentrum ist die Infrastruktur vorhanden, um die Cybersicherheit in Deutschland substanziell zu erhöhen. Mit dem BSI als Zentralstelle im Bund-Länder-Verhältnis würde sich das nationale Lagebild weiter vereinheitlichen und präzisieren lassen. Von einem Ad-hoc-Bedrohungslagebild und zentralen Sensoriken profitierten auch Länder und Kommunen, um Gefahren besser zu antizipieren. Dafür können im neuen Lagezentrum die Fäden zusammenlaufen, um Deutschland auch in der Fläche gegen Gefahren aus dem Cyberraum abzusichern. 新しい国家IT状況センターによって、ドイツのサイバーセキュリティを大幅に向上させるインフラが整った。BSIが連邦と州との関係における中心的な事務局となることで、国の状況像はさらに標準化され、特定される可能性がある。連邦州や地方自治体も、アドホックな脅威像や集中化されたセンサーによって、脅威をより的確に予測できるようになる。この目的のために、ドイツ全土のサイバー空間からの脅威からドイツを守るために、新たな状況センターに糸をつないでいくことができる。

 

 

Cybersicherheit in Landkreisen, Städten und Gemeinden gemeinsam ausbauen 地区、都市、自治体におけるサイバーセキュリティの共同拡大
Das BSI bringt Bund, Länder und den kommunalen Sektor an einen Tisch, um gemeinsam Strategien zu entwickeln, wie das Cybersicherheitsniveau in Kommunen erhöht werden kann BSIは、連邦政府、州政府、自治体セクターを結びつけ、自治体におけるサイバーセキュリティのレベルを向上させるための戦略を共同で策定している。
von Stefanie Euler, Referat Informationssicherheitsberatung für Länder und Kommunen 連邦州および自治体向け情報セキュリティ・コンサルティング担当、ステファニー・オイラー氏による
Kommunen geraten verstärkt ins Visier von Cyberkriminellen, das haben zahlreiche Angriffe in jüngster Zeit ebenso erschreckend wie eindrucksvoll bewiesen. Solche Angriffe haben regelmäßig weitreichende Folgen für die Kommunalverwaltungen – und damit für die Bürgerinnen und Bürger. Das BSI forciert darum die Zusammenarbeit zwischen Bund, Ländern, Kommunen, Verbänden und Dienstleistern. Denn Cybersicherheit ist eine Gemeinschaftsaufgabe, die alle zusammen angehen müssen. 自治体がサイバー犯罪者に狙われるケースが増加していることは、最近の数多くの攻撃が恐ろしくも印象的な形で示している。このような攻撃は、自治体、ひいては市民にとって深刻な影響を及ぼす。そこでBSIは、連邦政府、連邦州、地方自治体、協会、サービス・プロバイダー間の協力を促進している。結局のところ、サイバーセキュリティは、誰もが一緒に取り組まなければならない共同作業なのである。
Die Cybersicherheitslage in Deutschland ist besorgniserregend. Die Schäden für Wirtschaft, Verwaltung und Gesellschaft aufgrund von Cyberattacken gehen in die Milliarden Euro. Insbesondere Angriffe mit sogenannter Ransomware sind seit mehreren Jahren weitverbreitet, stellen sie doch ein lukratives Geschäftsmodell für Cyberkriminelle dar. Hinzu kommen eine wachsende Professionalisierung auf Täterseite und eine steigende Anzahl von Sicherheitslücken. Bei den Angriffen kann es jeden treffen. So beobachtet das BSI beispielsweise bei Cyberangriffen mit Ransomware eine Verlagerung der Attacken: Inzwischen sind nicht mehr nur große, zahlungskräftige Unternehmen das Ziel, sondern zunehmend auch kleine und mittlere Organisationen sowie staatliche Institutionen und Kommunen.  ドイツのサイバーセキュリティの状況は憂慮すべきものである。サイバー攻撃による経済、行政、社会への損害は数十億ユーロにのぼる。特にいわゆるランサムウェアを使った攻撃は、サイバー犯罪者にとって儲かるビジネスモデルであるため、数年前から広まっている。加えて、加害者側の専門化が進み、セキュリティの脆弱性も増加している。攻撃は誰にでも影響を及ぼす可能性がある。例えば、BSIはランサムウェアを使ったサイバー攻撃の変化を観察している: 標的になっているのは、もはや大企業だけでなく、中小企業や国家機関、地方自治体も増えている。
DURCHSCHNITTLICH ZWEI ANGRIFFE IM MONAT AUF KOMMUNEN  地方自治体への攻撃は月平均2件 
Mehr als zwei erfolgreiche Ransomware-Angriffe auf Kommunalverwaltungen oder kommunale Betriebe wurden im Durchschnitt in jedem Monat bekannt. 地方自治体や自治体企業に対するランサムウェア攻撃の成功例は、毎月平均2件以上報告されている。
Das Beispiel eines kommunalen IT-Dienstleisters, der im vergangenen Jahr Opfer eines Cyberangriffs wurde, zeigt die Verwundbarkeit: Er entdeckte verschlüsselte Daten auf Servern und meldete den Angriff. Vorsorglich wurde die Mehrheit der IT-Systeme heruntergefahren – mit der Folge, dass mehr als hundert kommunale Verwaltungen nicht oder nur teilweise erreichbar waren. Auch die Webseiten der Verwaltungen waren betroffen. Fällt also ein zentraler IT-Dienstleister aus, wirkt sich das auf viele Kommunen und damit auch auf die breite Bevölkerung aus. 昨年サイバー攻撃の被害に遭った自治体のITサービス・プロバイダーの例は、その脆弱性を示している。サーバー上の暗号化されたデータを発見し、攻撃を報告した。予防措置として、大半のITシステムがシャットダウンされ、その結果、100以上の自治体の行政機関が利用できなくなったり、部分的にしかアクセスできなくなったりした。各自治体のウェブサイトも影響を受けた。つまり、中央のITサービス・プロバイダーがダウンすれば、多くの地方自治体、ひいては一般住民にも影響が及ぶのである。
KOMMUNEN DESHALB BESONDERS SCHÜTZEN  したがって、自治体には特別な保護が必要である。
Die Aufgabe, sich gegen Cyberangriffe zu wappnen, muss darum ganz oben auf der Agenda der kommunalen Entscheidungsträger stehen. Aber auch der Bund und die Länder müssen die Kommunen unterstützen – ist der Schutz der Verwaltung doch eine gemeinsame Aufgabe aller Akteure, die nur gemeinsam gelingen kann. したがって、サイバー攻撃への対策は、地方自治体の意思決定者にとって最重要課題でなければならない。しかし、連邦政府および州政府も地方自治体を支援しなければならない。結局のところ、行政を守ることは、すべての利害関係者の共同作業であり、共に達成するしかないのだ。
Individuelle Beratungen für Kommunen sind jedoch aufgrund ihrer Vielzahl nicht leistbar. Das BSI arbeitet daher eng mit zahlreichen engagierten Multiplikatoren auf kommunaler Ebene zusammen. Kommunen können auf Handreichungen und Empfehlungen zu bestimmten Themen zurückgreifen, auch auf spezifische Hilfsdokumente und Arbeitshilfen – wobei alle Unterstützungsangebote praxisnah und skalierbar sind. Sie stärken Verantwortliche dabei, den Einstieg in die Informationssicherheit zu finden und ihre Systeme und Netze wirksam zu schützen. しかし、地方自治体の数が多いため、個別に協議することは不可能である。そのため、BSIは、地方自治体レベルの数多くの熱心なマルチプライヤーと緊密に連携している。地方自治体は、特定のトピックに関する配布資料や勧告、特定の支援文書や作業支援ツールにアクセスすることができる。これらの支援は、担当者が情報セキュリティに着手し、システムやネットワークを効果的に保護するのに役立つ。
Ein weiteres Werkzeug, um Informationssicherheit möglichst effizient in Kommunalverwaltungen zu implementieren, sind sogenannte IT-Grundschutz-Profile. Mit diesen Schablonen für Informationssicherheit können Unternehmen und Behörden Profile für Anwendungsfälle erstellen und im Anschluss weiteren Interessierten zur Verfügung stellen. Anwendende, die ähnliche Sicherheitsanforderungen haben, können anhand dieser Vorlage ressourcenschonend das Sicherheitsniveau ihrer Institution überprüfen. Das BSI begleitet Vertreterinnen und Vertreter aus den Ländern und Kommunen u. a. bei der Entwicklung und Bereitstellung dieser IT-Grundschutz-Profile. 自治体で情報セキュリティをできるだけ効率的に実施するためのもう一つのツールは、いわゆるIT基本保護プロファイルである。このような情報セキュリティのテンプレートを使って、企業や自治体はユースケースに応じたプロファイルを作成し、他の関係者が利用できるようにすることができる。同様のセキュリティ要件を持つユーザーは、このテンプレートを使って、リソースを節約しながら所属機関のセキュリティレベルをチェックすることができる。BSIは、特に連邦州や地方自治体の代表者に対し、これらのIT-Grundschutzプロファイルの開発と提供を支援している。
Außerdem führt das BSI unterschiedliche Veranstaltungen für die Zielgruppe Kommunen durch. Beispielsweise hat das BSI das Format „Roadshow Kommunen“ konzipiert und gemeinsam mit einigen Bundesländern durchgeführt. Hierbei handelt es sich um eine virtuelle Veranstaltungsreihe, die das Cybersicherheitsniveau im kommunalen Umfeld erhöhen soll. BSIはまた、地方自治体を対象とした様々なイベントも開催している。例えば、BSIは「自治体ロードショー」形式を考案し、多くの連邦州と共同で開催している。これは、自治体環境におけるサイバーセキュリティのレベルを向上させるために企画された仮想的な一連のイベントである。
Auch über Kooperationsvereinbarungen zwischen Ländern und dem BSI wird die Unterstützung der kommunalen Ebene adressiert. Um gemeinsam die Cyber- und Informationssicherheit auf ein höheres Niveau zu heben, hat das BSI bisher mit sechs Ländern Kooperationsvereinbarungen abgeschlossen. Die Vertragspartner unterstützen sich im Zuge der Kooperationsvereinbarungen untereinander, um so die Informationssicherheit effizient und effektiv zu erhöhen. Zu den Kooperationsbedarfen gehören beispielsweise: Austausch zu Cybersicherheitsinformationen, Warnungen, Hospitationen, Unterstützung bei Vorfallsmeldungen, Vorträge, um für das Thema Cybersicherheit zu sensibilisieren, oder auch gemeinsame Informationsveranstaltungen für Bürgerinnen und Bürger.  連邦州とBSIの間の協力協定は、自治体レベルの支援にも取り組んでいる。サイバーセキュリティと情報セキュリティを共同でより高いレベルに引き上げるため、BSIはこれまでに6つの連邦州と協力協定を結んでいる。契約パートナーは、効率的かつ効果的に情報セキュリティを向上させるため、協力協定の一環としてお互いを支援している。協力の要件には、たとえば次のようなものがある。サイバーセキュリティ情報の交換、警告、作業シャドーイング、インシデント報告書作成支援、サイバーセキュリティに関する意識向上のためのプレゼンテーション、市民向けの共同情報イベントなどである。
WAS KOMMUNEN BRAUCHEN  地方自治体が必要とするもの 
Grundlage für die verschiedenen Angebote ist der praktische Bedarf der Kommunalverwaltungen und wie man diesem begegnen kann. So thematisierte eine „BSI im Dialog“- Veranstaltung, die im Februar 2024 in Berlin stattfand, die Cybersicherheit in Kommunen unter der Leitfrage „Wie kann grundsätzlich zur Stärkung der Kommunen im Bereich der Cyber- und Informationssicherheit beigetragen werden?“. Das BSI hatte dazu Vertreterinnen und Vertreter von Bund, Ländern und Kommunen sowie Dienstleistern und Verbänden eingeladen, zu diskutierten und gemeinsam Handlungsstränge mit zum Teil konkreten Maßnahmen zu erarbeiten – immer mit dem Ziel, die Cybersicherheit in Kommunen schnell und effektiv zu erhöhen. 様々なプログラムの基礎となるのは、地方自治体の実際的なニーズであり、それをどのように満たすことができるかである。例えば、2024年2月にベルリンで開催された「BSI in dialogue」イベントでは、「サイバーセキュリティと情報セキュリティの分野で地方自治体の強化に根本的に貢献するにはどうすればよいか」という重要な問いのもと、地方自治体におけるサイバーセキュリティに焦点を当てた。BSIは、連邦政府、連邦州、地方自治体、サービス・プロバイダー、団体の代表者を招き、自治体におけるサイバーセキュリティの迅速かつ効果的な強化を目的として、具体的な対策を含む行動指針について議論し、共同で策定した。
Dabei wurden mehrere konkrete Handlungsstränge identifiziert, die nun entweder durch das BSI oder einzelne Teilnehmende weiterverfolgt werden. Folgende Themen standen dabei im Fokus: die Verbesserung der Vernetzung, Möglichkeiten der IT-Bündelung, die Schaffung eines rechtlichen Rahmens in den Ländern, die Bereitstellung von ausreichenden Ressourcen, mögliche zentrale Services, die Durchführung von Cybersicherheitsübungen, die Etablierung von Standards und die Trendthemen KI und Cloud. いくつかの具体的な行動指針が確認され、それらは現在BSIまたは個々の参加者によって進められている。ネットワークの改善、ITバンドル化の可能性、連邦州における法的枠組みの構築、十分なリソースの提供、集中型サービスの可能性、サイバーセキュリティ演習の実施、標準の確立、AIとクラウドというトレンドトピックなどである。
Als Fazit dieses Dialogs lässt sich aus Sicht des BSI festhalten: Die aktuellen Angebote u. a. der Informationssicherheitsberatung für Länder und Kommunen des BSI sind zielführend, sie sollten weiterverfolgt und möglichst ausgebaut werden. Dazu gehören auch die Checklisten aus dem Projekt „Weg in die Basis-Absicherung“ (WiBA), die Kommunen den Einstieg in den IT-Grundschutz vereinfachen und es ermöglichen, effektive Sicherheitsmaßnahmen ressourcenschonend umzusetzen. Auch die bisherigen Austauschformate sollen im Sinne der Vernetzung und des Wissensaustauschs fortgesetzt werden. So sollen insbesondere das „BSI im Dialog“-Format zwischen Bund, Ländern und Kommunen fortgeführt, die „Roadshows Kommunen“ verstetigt und zusätzliche ähnliche Dialog- und Informationsformate durch das BSI, die Länder und kommunale Spitzenverbände konzipiert werden.  BSIから見たこの対話の結論は以下の通りである。連邦州や地方自治体向けのBSIの情報セキュリティ・アドバイスを含め、現在提供されているものはターゲット指向のものであり、可能な限り追求し、拡大すべきである。これには、地方自治体がITの基本的な保護に着手しやすくし、資源効率の良い方法で効果的なセキュリティ対策を実施できるようにする「基本的な保護における道(WiBA)」プロジェクトのチェックリストも含まれる。また、ネットワーキングと知識共有の観点から、これまでの交流形式も継続する。特に、連邦政府、連邦州、地方自治体間の「BSI in dialogue」形式は継続し、「地方自治体ロードショー」は恒久化し、BSI、連邦州、地方自治体の統括組織によって、同様の対話や情報提供の形式を追加する。
BUND-LÄNDER-ZUSAMMENARBEIT AUSBAUEN 連邦・州間の協力の拡大
Der Austausch zwischen Bund, Ländern und Kommunen zeigt: Wir sind auf dem richtigen Weg, aber es gibt noch viel zu tun, um den steigenden Angriffen begegnen und somit ein verlässliches und nachvollziehbares Verwaltungshandeln in Städten, Kreisen und Gemeinden sicherstellen zu können. 連邦政府、連邦州、地方自治体間の対話は、我々が正しい道を歩んでいることを示している: 私たちは正しい道を歩んでいるが、増え続ける攻撃に対抗し、その結果、市、区、自治体における信頼性が高く、理解しやすい行政措置を確保するためには、まだやるべきことがたくさんある。
Neben organisatorischen und technischen Maßnahmen sind dabei auch die rechtlichen Möglichkeiten weiter auszubauen. Derzeit werden die rechtlichen Rahmen von Bund und Ländern bereits voll ausgeschöpft. Um der steigenden Bedrohungslage Rechnung zu tragen, sollten weitere (verfassungs-)rechtliche Möglichkeiten geschaffen werden, damit Bund, Länder und Kommunen schnell, effizient und damit effektiv handeln können. Hierfür bedarf es u. a. der Möglichkeit, sich in konkreten Vorfällen zu unterstützen, Arbeitsteilung zu betreiben und ein gemeinsames Lagebild zu schaffen. Denn eins ist klar: Nur gemeinsam sind wir in der Lage, der organisierten Kriminalität und gezielten Angriffen begegnen zu können, um so eine erfolgreiche Digitalisierung und letztendlich eine kommunale Daseinsvorsorge zu gewährleisten. 組織的・技術的な対策に加え、法的な可能性もさらに拡大しなければならない。連邦政府や州政府の法的枠組みは、すでに十分に活用されている。増大する脅威の状況を考慮し、連邦、州、地方当局が迅速、効率的、効果的に行動できるよう、さらなる(憲法上の)法的選択肢を設けるべきである。そのためには、とりわけ、具体的な事件において互いに支援し合い、作業を分担し、状況を共同で把握することが必要である。なぜなら、デジタル化を成功させ、最終的には自治体の一般的な利益につながるサービスを確保するために、組織犯罪や標的型攻撃に対抗するためには、共に行動することが不可欠だからである。
Informationssicherheit von Anwendern für Anwender: Bereitstellung von IT-Grundschutz-Profilen: ユーザーによるユーザーのための情報セキュリティ:IT基本保護プロファイルの提供

 

 

| | Comments (0)

2024.06.18

米国 国防総省がサイバー学術関与室を設立 (2024.06.12)

こんにちは、丸山満彦です。

米国の国防総省が、国防授権法(NDAA)第1531条(Sec. 1531. Office for academic engagement relating to cyber activities.)に基づき、国防総省(DoD)最高情報責任者室(OCIO)は、DoDと学界関係者の間で行われるサイバー関連活動の統合的な中心的役割を果たすサイバー学術関与室(CAEO)を設立したとのことです...

部隊の即応性に継続的に力を注いでおり、現在および将来の世代のために国家のサイバー態勢を強化するプロセスにおける重要な将来へのステップとして、今回のサイバー学術関与室の設立をとらえているようですね...

  • 学術的関与プログラムの調整と資金提供、
  • サイバー関連の教育活動に関する継続的な実績分析、
  • 対象となる学術的関与プログラムの実績を収集するための要件、方針、手順の確立、および評価

などが業務となっていくようです...

 

U.S. Department of Defense

リリース...

・2024.06.12 DOD Establishes Cyber Academic Engagement Office

 

国防総省の人材戦略

DOD CYVER WORKFORCE STRATEGY 2023-2027

 

1_20240618065301


 

TITLE XV--CYBERSPACE-RELATED MATTERS

Subtitle D--Personnel

Sec. 1531. Office for academic engagement relating to cyber activities.

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

 

国家安全保障戦略

・2022.10.14 米国 国家安全保障戦略

 

国家サイバーセキュリティ戦略

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

人材に関して。。。

・2023.08.02 米国 国家サイバー人材・教育戦略

予算優先事項、実行計画。。。

・2023.07.09 米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

 

国防総省 国家防衛戦略他

 

・2022.10.29 米国 国家防衛戦略

その下の計画

・2023.09.19 米国 国防総省サイバー戦略 2023(要約)(2023.09.12)

・2023.08.09 米国 国防総省 サイバー従事能力戦略実施計画

・2023.05.25 紹介 米国 国防総省 Cyber Exchange Public (サイバー従事能力戦略 2023-2027、マニュアル 8140.03 サイバースペース従事能力資格および管理プログラム)

・2023.03.18 米国 2023-2027年国防総省サイバー人材戦略 (2023.03.09)

 

 

国家情報(インテリジェンス)戦略

・2023.08.11 米国 国家情報戦略 2023

 

その他議会証言等

・2024.04.15 米国 上院軍事委員会 2025会計年度国防授権要求および将来防衛計画の審査において、米国特殊作戦司令部および米国サイバー司令部の態勢についての証言

 

 

CISAのサイバーセキュリティ戦略

・2023.08.06 米国 CISA サイバーセキュリティ戦略 FY2024-2026

 

 

| | Comments (0)

ドイツ CyMon 2024:サイバーセキュリティに関する市民調査(ドイツ市民のサイバーセキュリティ意識...) セキュリティ意識が低いから犯罪にあう?犯罪にあっているにもかかわらずセキュリティ意識が低い?

 こんにちは、丸山満彦です。

ドイツの若者は

  • サイバー被害に遭っているにも関わらず、セキュリティ意識が低い?
  • サイバー意識が低いからサイバー被害にあっているのか?

 

ドイツの国民のサイバーセキュリティ意識調査...サンプル調査ではあるが、こういう調査結果を踏まえて政策に反映することは重要だろうと思う。

定期的に情報をとることにより、経年変化を見ることができ、政策がうまくいっているかいないかなどを把握しやすくなる...

日本はどんなデータを継続的にとっているのだろう...総務省の通信白書、警察庁の警察白書にはサイバーセキュリティについてのいくつかの調査項目があるのでしょうね...

 

Bundesamt für Sicherheit in der Informationstechnik;BSI

・2024.06.11 Menschen zunehmend sorglos gegenüber Cyberkriminalität – Zahl der Betroffenen jedoch weiterhin hoch

 

Menschen zunehmend sorglos gegenüber Cyberkriminalität – Zahl der Betroffenen jedoch weiterhin hoch サイバー犯罪に無頓着な人が増えている - しかし被害者数は依然として多い
Der Cybersicherheitsmonitor ist eine repräsentative Dunkelfeldstudie von BSI und Polizei. サイバーセキュリティ・モニターは、BSIと警察による代表的な匿名の実地調査である。
Trotz der besorgniserregenden Bedrohungslage im Cyberraum sind sich viele Menschen der Risiken nicht bewusst oder nehmen sie sorglos in Kauf. Jede vierte Person in Deutschland (24 %) war schon einmal Opfer von Cyberkriminalität – und doch schätzt jede zweite (56 %) ihr Risiko, in Zukunft von Kriminalität im Internet betroffen zu sein, als gering oder ausgeschlossen ein. Das ist das Ergebnis des Cybersicherheitsmonitors 2024. Die repräsentative Dunkelfeldstudie von BSI und Polizei gibt Einblicke in das Informations- und Schutzverhalten der Bevölkerung sowie in ihre Betroffenheit von Cyberkriminalität. サイバースペースにおける脅威の状況は憂慮すべきものであるにもかかわらず、多くの人々がそのリスクに気づいていないか、あるいは不注意に受け入れている。ドイツでは4人に1人(24%)がすでにサイバー犯罪の被害に遭っているが、2人に1人(56%)は今後サイバー犯罪の被害に遭うリスクは低いか存在しないと回答している。これは、BSIと警察による代表的な闇の実地調査である「サイバーセキュリティ・モニター2024」の結果であり、国民の情報保護行動とサイバー犯罪による影響についての洞察を提供している。
Der Cybersicherheitsmonitor 2024 zeigt, dass der Anteil der Unbesorgten im Vergleich zum Vorjahr um sechs Prozentpunkte gestiegen ist – bei den 16- bis 22-Jährigen sogar um 16 Prozentpunkte. In der jüngsten Altersgruppe der 16- bis 22-Jährigen schätzen mehr als zwei Drittel (68 %) ihr Risiko, persönlich von Cyberkriminalität betroffen zu sein, als gering oder ausgeschlossen ein. サイバーセキュリティ・モニター2024によると、無関心な人の割合は前年より6ポイント上昇し、16歳から22歳では16ポイントも上昇した。16歳から22歳の最も若い年齢層では、3分の2以上(68%)が、個人的にサイバー犯罪の被害を受けるリスクは低いか、存在しないと回答している。
Die Befragten gaben an, im Schnitt knapp vier (3,9) Schutzmaßnahmen gegen Cyberkriminalität zu ergreifen: Am häufigsten setzen sie dabei auf Antivirenprogramme und sichere Passwörter (je 47 %). Im Vergleich zum Vorjahr ist die Nutzung der meisten Schutzmaßnahmen jedoch rückläufig. Fast ein Drittel der Befragten (29 %) gibt in diesem Zusammenhang ein bereits hohes vorhandenes Sicherheitsgefühl als Grund für die Nichtnutzung weiterer Schutzmaßnahmen an. Die 16- bis 22-Jährigen hält am häufigsten ein zu hoher Aufwand ab (34 %). Mit im Durchschnitt 3,2 Schutzmaßnahmen verwenden sie am wenigsten Hilfsmittel, um sich abzusichern. 回答者は、サイバー犯罪に対して平均4つ弱(3.9)の防御策を講じていると述べている: 最も頻繁に利用しているのは、ウイルス対策プログラムと安全なパスワード(各47%)である。しかし、前年と比較すると、ほとんどの防御策の利用率は低下している。その中で、回答者のほぼ3分の1(29%)は、すでに高いセキュリティ意識を持っていることを、さらなる防御策を使わない理由として挙げている。16歳から22歳では、過剰な出費(34%)が最も多い。平均3.2つの防護策で、彼らは最も少ない手段で身を守っている。
BSI-Präsidentin Claudia Plattner: „Die Studienergebnisse zeigen sehr deutlich, dass wir Cybersicherheit stärker denn je auf die Agenda der Bürgerinnen und Bürger heben müssen. Dazu müssen wir zum einen die Bevölkerung dafür sensibilisieren, wie ernst die Lage aktuell ist. Zum anderen dürfen wir die Menschen damit aber nicht allein lassen: Wir brauchen technische Lösungen, die dafür sorgen, dass Verbraucherinnen und Verbraucher vielen heutigen Risiken künftig erst gar nicht mehr ausgesetzt sein werden. Wir als BSI erforschen aktuell zum Beispiel Methoden zur technischen Erkennung gefälschter Inhalte.“ BSIのクラウディア・プラットナー会長は、次のように述べている。「この調査結果は、サイバーセキュリティをこれまで以上に市民の関心事に据える必要があることを明確に示している。一方では、現在の状況がいかに深刻であるかを国民に認識させる必要がある。その一方で、人々の自助努力を放置してはならない: 消費者が将来、今日のリスクの多くにさらされることがないようにする技術的解決策が必要である。例えば、私たちBSIは現在、偽造コンテンツを技術的に検知する方法を研究している」。
44 Prozent der in den vergangenen zwölf Monaten von Cyberkriminalität Betroffenen wurden Opfer von unterschiedlichen Online-Betrugsformen, darunter Identitätsdiebstahl und Betrug per Messengerdienst. 23 Prozent wurden beim Onlineshopping betrogen, 15 Prozent beim Online-Banking. Betrug ist damit die häufigste Deliktform im Internet. Mit 28 Prozent ist der Anteil der von Betrug beim Onlinebanking Betroffenen bei den 16- bis 22-Jährigen deutlich höher als in der Gesamtbevölkerung. Die häufigsten Folgen von Internetbetrug sind Vertrauensverluste in Online-Dienste (30 %) und finanzielle Schäden (26 %). 過去12ヶ月間にサイバー犯罪の被害を受けた人の44%は、個人情報の盗難やメッセンジャーサービス経由の詐欺など、様々な形態のオンライン詐欺の被害者であった。23%がオンラインショッピングで、15%がオンラインバンキングで詐欺に遭っている。詐欺はインターネット上で最も一般的な犯罪である。オンライン・バンキング詐欺の被害を受けた16歳から22歳の割合は28%で、人口全体よりもかなり高い。インターネット詐欺の最も一般的な被害は、オンラインサービスに対する信頼の喪失(30%)と金銭的損失(26%)である。
Dr. Stefanie Hinz, Landespolizeipräsidentin und Vorsitzende des ProPK: „Niemand, ob jung oder alt, sollte sorglos im Internet unterwegs sein. Cyberkriminelle finden immer wieder neue Wege, um an Daten oder Geld der Nutzerinnen und Nutzer zu gelangen. Auch bei Kriminalität im Internet gilt wie bei allen anderen Straftaten, melden Sie diese immer der Polizei. Nur wenn streng gegen Täter vorgegangen wird, kann finanzieller und psychischer Schaden von möglichen weiteren Opfern ferngehalten werden." 老若男女を問わず、ネット上で安心してはならない。サイバー犯罪者は常にユーザーのデータや金銭を手に入れる新しい方法を見つけている。他の犯罪と同様、ネット犯罪も必ず警察に通報すること。犯罪者に対して厳正な処分が下されてこそ、更なる被害者が出る可能性から金銭的・精神的ダメージを遠ざけることができる。"
Nur 36 Prozent der Befragten schätzen ihr persönliches Risiko, von Kriminalität im Internet betroffen zu sein, eher oder sehr hoch ein. Davon wiederum sind etwa ein Drittel (37 %) aufgrund der zunehmenden Vernetzung und steigenden Anzahl internetfähiger Geräte besorgt. Ob Staubsaugerroboter, Smart Speaker oder mit dem Internet verbundene Lichtsteuerung: Das diesjährige Fokusthema des Cybersicherheitsmonitors, das den zweiten Teil der Erhebung ausmachen wird, untersucht, welche Smarthome-Geräte Menschen nutzen, wie sie diese absichern und welchen Risiken sie sich bei der Nutzung bewusst sind. Veröffentlicht werden die Ergebnisse des Fokusthemas im September 2024. インターネット犯罪の被害を受ける個人的リスクを「やや高い」「非常に高い」と評価する回答者は36%に過ぎない。このうち約3分の1(37%)は、ネットワーク化が進み、インターネット対応機器が増加していることを懸念している。ロボット型掃除機、スマートスピーカー、インターネットに接続された照明制御など、サイバーセキュリティ・モニターの今年のフォーカス・トピックは、調査の第2部を構成し、人々がどのスマートホーム・デバイスを使用し、どのようにセキュリティを確保し、使用時にどのようなリスクを認識しているかを調査する。フォーカストピックの結果は2024年9月に公表される。
Ein Kurzbericht sowie eine ausführliche Ergebnispräsentation des Cybersicherheitsmonitors sind auf den Webseiten von BSI und ProPK zu finden. サイバーセキュリティ・モニターの結果に関する簡単な報告書と詳細なプレゼンテーションは、BSIとProPKのウェブサイトに掲載されている。
Über den Cybersicherheitsmonitor: Die diesjährige Bürgerbefragung ist bereits die sechste gemeinsame Erhebung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK). BSI und ProPK bündeln ihre Kräfte, um Bürgerinnen und Bürger umfassend über Risiken und Schutzmöglichkeiten im Internet aufzuklären. Basierend auf einer repräsentativen Stichprobe erheben sie im Rahmen des Cybersicherheitsmonitors gemeinsam das Informations- und Schutzverhalten der Bevölkerung sowie die Betroffenheit von Cyberkriminalität. Die diesjährige Befragung wurde vom 28. Februar bis 4. März 2024 durchgeführt. Dabei wurden 3.047 Personen ab 16 Jahren bundesweit befragt und die Ergebnisse anhand der Bevölkerungsstrukturmerkmale Alter, Geschlecht, Bundesland und Bildung in Deutschland gewichtet. サイバーセキュリティ・モニターについて:今年の市民調査は、連邦情報セキュリティ局(BSI)と州・連邦警察犯罪防止局(PROPK)による共同調査で、すでに6回目となる。BSIとPROPKは共同で、インターネット上のリスクと保護の選択肢に関する包括的な情報を市民に提供している。代表的なサンプルに基づき、サイバーセキュリティ・モニターの一環として、国民の情報と保護行動、およびサイバー犯罪の影響の程度を共同で調査している。今年の調査は2024年2月28日から3月4日まで行われた。全国で16歳以上の合計3,047人を対象に調査が行われ、結果はドイツの年齢、性別、連邦州、学歴といった人口構成の特徴に従って重み付けされた。

 

 

CyMon – der Cybersicherheitsmonitor

CyMon – der Cybersicherheitsmonitor CyMon - サイバー・セキュリティ・モニター
Welche Straftaten erleiden Menschen im Internet? Und wie schützen sie ihre Geräte, Anwendungen und Daten vor Cyberkriminellen? Der Cybersicherheitsmonitor gibt Einblicke in den digitalen Alltag der internetnutzenden Bevölkerung in Deutschland. 人々はオンラインでどのような犯罪を犯しているのか?また、サイバー犯罪からデバイス、アプリケーション、データをどのように保護しているのだろうか。サイバーセキュリティ・モニターは、ドイツのインターネット利用者の日常的なデジタルライフに関する洞察を提供する。
Im Jahr 2024 kommt er dabei zu dem Fazit: Der Anteil der Sorglosen in der Bevölkerung ist gestiegen – insbesondere unter jungen Menschen. Die Betroffenheit von Cyberkriminalität ist jedoch weiterhin hoch. 2024年には、人口に占める不注意な人の割合が、特に若者の間で増加しているという結論に達している。しかし、サイバー犯罪の発生率は依然として高い。
Cybersicherheitsmonitor 2024: Menschen zunehmend sorglos gegenüber Cyberkriminalität – Betroffenheit jedoch weiterhin hoch サイバーセキュリティ・モニター2024:サイバー犯罪に無頓着な人の割合が増加 - しかし懸念レベルは依然として高い
Cybersicherheitsmonitor 2024 サイバーセキュリティ・モニター2024
Befragung zur Cybersicherheit: Der Kurzbericht des Cybersicherheitsmonitors 2024 fasst die wichtigsten Ergebnisse zusammen. サイバーセキュリティに関する調査:サイバーセキュリティ・モニター2024のショートレポートは、最も重要な結果を要約している。
Auf einen Blick: 要約:
・Jede/r Zehnte ist in den letzten zwölf Monaten Opfer einer Straftat im Internet geworden. ・10人に1人が過去1年間にインターネット上で犯罪の被害に遭っている。
・Die meisten Schutzmaßnahmen werden seltener genutzt als noch im Vorjahr. ・ほとんどの保護手段の使用頻度が前年より低下している。
・Gerade junge Menschen schätzen ihr Risiko, von Cyberkriminalität betroffen zu sein, gering ein. ・特に若者は、サイバー犯罪の被害を受けるリスクを低いと評価している。
Betroffenheit: Betrug häufigste Straftat im Internet 懸念:詐欺はインターネット上で最も一般的な犯罪である。
24 Prozent der Befragten waren schon einmal von Cyberkriminalität betroffen: Das Bedrohungsniveau bleibt damit ähnlich hoch wie im Vorjahr (27 %). Allein in den vergangenen zwölf Monaten erlitt jede bzw. jeder Zehnte (10 %, 2023: 12 %) eine Straftat im Internet. 回答者の24%がすでにサイバー犯罪の被害に遭っている: したがって、脅威のレベルは前年(27%)と同様である。過去1年間だけでも、10人に1人(10%、2023年は12%)がインターネット上で犯罪被害に遭っている。
44 Prozent der im Vorjahr Betroffenen wurden Opfer von unterschiedlichen Betrugsformen: darunter Betrug beim Online-Banking oder Missbrauch der Kontodaten (15 %), Identitätsdiebstahl (9 %) und Betrug mittels Messenger-Dienst (9 %). 23 Prozent der im Vorjahr Betroffenen erlebten speziell beim Onlineshopping einen Betrugsfall. Darüber hinaus bemerkten 15 Prozent einen Fremdzugriff auf ein Benutzerkonto, weitere 15 Prozent wurden Opfer von Phishing. In der Folge erlitten Betroffene am häufigsten Vertrauensverluste in Online-Dienste (30%) und finanzielle Schäden (26%). 前年に被害を受けた人の44%が、オンライン・バンキング詐欺や口座詳細の悪用(15%)、個人情報の盗難(9%)、メッセンジャー・サービス経由の詐欺(9%)など、さまざまな形態の詐欺の被害にあっている。前年度の被害者のうち23%が、オンラインショッピングで詐欺に遭っている。さらに、15%がユーザーアカウントへの不正アクセスに気づき、さらに15%がフィッシングの被害に遭っている。その結果、被害を受けた人は、オンライン・サービスに対する信頼を失い(30%)、金銭的損失を被った(26%)。
Schutzverhalten: Schutzmaßnahmen seltener genutzt 保護行動 保護手段の使用頻度は低い
Die Befragten setzen auf im Schnitt 3,9 Schutzmaßnahmen – am häufigsten auf Antivirenprogramme (47 %) und sichere Passwörter (47 %). Darauf folgen die Zwei-Faktor-Anmeldung (37 %) und eine aktuelle Firewall (32 %). Die automatische Installation von Updates nutzen 28 Prozent, regelmäßige manuelle Updates ungefähr jede/r Vierte (26%). 回答者は平均3.9の防御策を利用しており、最も多かったのはウイルス対策プログラム(47%)と安全なパスワード(47%)だった。次いで、2要素ログイン(37%)、最新のファイアウォール(32%)である。アップデートの自動インストールは28%が利用しており、定期的な手動アップデートは約4人に1人(26%)が利用している。
Im Vergleich zum Vorjahr ist die Nutzung der meisten Schutzmaßnahmen damit rückläufig. Fast ein Drittel (29%) gibt ein hohes Sicherheitsgefühl als Grund für die Nichtnutzung von Maßnahmen an. Ein Viertel kritisiert zudem, dass Maßnahmen zu kompliziert seien (26%). そのため、前年と比較すると、ほとんどの保護手段の使用率は低下している。ほぼ3分の1(29%)が、対策を使用しない理由として、セキュリティ意識の高さを挙げている。また、4分の1は対策が複雑すぎることを批判している(26%)。
Ob eine Sicherheitskopie anlegen, automatische Updates aktivieren oder das Heimnetzwerk absichern: Die Wegweiser und Anleitungen des BSI führen Sie Schritt für Schritt durch wichtige Schutzmaßnahmen. バックアップコピーの作成、自動アップデートの有効化、ホームネットワークの安全確保などである: BSIの道しるべと説明書は、重要な保護対策を段階的に案内してくれる。
Junge Menschen im Fokus: Sorglosigkeit weit verbreitet 若者に注目:不注意が蔓延している
Der Anteil der Unbesorgten ist im Vergleich zum Vorjahr um sechs Prozentpunkte gestiegen – bei den 16- bis 22-Jährigen sogar um 16 Prozentpunkte: In dieser Altersgruppe schätzen über zwei Drittel (68%) ihr Risiko, in Zukunft persönlich von einer Straftat im Internet betroffen zu sein, als gering oder ausgeschlossen ein. Mit 3,2 setzen die 16- bis 22-Jährigen im Durchschnitt zugleich die wenigsten Schutzmaßnahmen ein. Als Grund nennen sie am häufigsten (34 %) den zu hohen Aufwand. 無関心な人の割合は前年より6ポイント上昇し、16歳から22歳では16ポイントも上昇した: この年齢層では、3分の2以上(68%)が、将来インターネット上で犯罪に巻き込まれる危険性は低い、もしくは存在しないと回答している。3.2で、16歳から22歳の年齢層は、平均して最も少ない保護手段を用いている。彼らが最も多く挙げた理由(34%)は、費用がかかりすぎるからである。
Darüber hinaus thematisiert der Cybersicherheitsmonitor auch das Verhalten von Eltern: So gab etwa jedes dritte Elternteil (35 %) an, ein Gespräch über IT-Sicherheit und Gefahren im Internet zu führen, bevor das Kind beginnt, das Internet selbstständig zu nutzen. 例えば、3人に1人の保護者(35%)は、子供がインターネットを単独で使い始める前に、ITセキュリティやインターネット上の危険性について話し合っていると回答している。
Mit unseren Angeboten für Eltern sowie unseren Lehr- und Lernmaterialien für Pädagoginnen und Pädagogen möchten wir Sie in Ihrer Vorbildrolle im digitalen Alltag unterstützen. 私たちは、保護者向けのオファーや教育者向けの教材で、日常的なデジタルライフにおけるロールモデルとしてのあなたの役割をサポートしたい。
Weitere Informationen sowie Beratungsangebot その他の情報とカウンセリング・サービス
Mehr Informationen zum Cybersicherheitsmonitor finden Sie im Kurzbericht sowie in der Ergebnispräsentation und im Ergebnisflyer für Multiplikatoren. サイバーセキュリティ・モニターの詳細については、報告書、結果発表、およびマルチプライヤ向けの結果チラシを参照されたい。
Auf seiner Webseite sowie in Publikationen, Newsletter und Podcast informiert das BSI zudem rund um IT-Sicherheit und gibt Handlungsempfehlungen für den digitalen Alltag. BSIはまた、ITセキュリティに関する情報や、日常的なデジタルライフのための推奨事項を、ウェブサイトや出版物、ニュースレター、ポッドキャストで提供している。
Vorjahresbefragungen 前年度の調査
Cybersicherheitsmonitor 2023: Kurzbericht / Ergebnispräsentation サイバーセキュリティ・モニター2023 簡単な報告書/結果発表
Digitalbarometer 2022 デジタルバロメーター2022
Digitalbarometer 2021 デジタルバロメーター2021
Digitalbarometer 2020 デジタルバロメーター2020
Digitalbarometer 2019 デジタルバロメーター2019
Über den Cybersicherheitsmonitor サイバーセキュリティ・モニターについて
Der Cybersicherheitsmonitor ist die gemeinsame Bürgerbefragung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Programms Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK). Erstmals im Jahr 2019 unter dem Namen Digitalbarometer erschienen geht der Cybersicherheitsmonitor 2024 in die sechste Befragungsrunde. Der Cybersicherheitsmonitor gibt Einblicke in das Informations- und Schutzverhalten der Bevölkerung sowie in ihre Betroffenheit von Cyberkriminalität. サイバーセキュリティ・モニターは、連邦情報セキュリティ局(BSI)と連邦州・連邦政府の警察犯罪防止プログラム(ProPK)が共同で実施する市民調査である。デジタル・バロメーターという名称で2019年に初めて発行されたサイバーセキュリティ・モニター2024は、現在6回目の調査ラウンドに突入している。サイバーセキュリティ・モニターは、国民の情報保護行動とサイバー犯罪による影響についての洞察を提供する。
Methode und Historie 調査方法と歴史
Für den Cybersicherheitsmonitor werden jährlich über 3.000 Menschen ab 16 Jahre befragt, die in einem Privathaushalt in Deutschland leben und über einen Internetzugang verfügen. Bei dem sogenannten Computer Assisted Web Interviewing (CAWI) füllen die Teilnehmende eine Online-Umfrage in einem Browser aus. Dafür wird eine repräsentative Stichprobe anhand der Merkmale Alter, Geschlecht, Bildung und Bundesland aus dem Bilendi/respondi Online-Access-Panel gezogen. Der Cybersicherheitsmonitor kann damit sowohl Vergleiche zwischen unterschiedlichen Gruppen wie beispielsweise Altersgruppen als auch Entwicklungen über die Zeit darstellen. 毎年、サイバーセキュリティ・モニターのために、ドイツの一般家庭に住み、インターネットにアクセスできる16歳以上の3,000人以上が調査を受ける。CAWI(Computer Assisted Web Interviewing)と呼ばれる方法で、参加者はブラウザ上でオンライン調査に回答する。Bilendi/respondiのオンライン・アクセス・パネルから、年齢、性別、学歴、連邦州の特徴に基づいて代表的なサンプルが抽出される。このため、サイバーセキュリティ・モニターは、年齢層などの異なるグループ間の比較や、時系列での推移を示すことができる。
Bis 2022 erschien die Befragung unter dem Titel Digitalbarometer. Anschließend wurde der durchführende Dienstleister sowie das ausführende Panel gewechselt und die Anzahl der befragten Personen von 2.000 auf 3.000 erhöht. Seit 2023 ermöglicht die Befragung damit u.a. eine differenziertere Betrachtung einzelner Gruppen. Aufgrund einer grundlegenden Überarbeitung des Fragebogens sind Vergleiche zwischen den Befragungsergebnissen bis 2022 und jenen ab 2023 jedoch nur annähernd möglich. Um den thematischen Schwerpunkt der Befragung in den Vordergrund zu stellen, steht sie seit 2023 dabei unter dem Titel Cybersicherheitsmonitor. 2022年まで、この調査は「デジタル・バロメーター」というタイトルで発表されていた。その後、調査を実施するサービス・プロバイダーとパネルが変更され、回答者数が2,000人から3,000人に増加した。2023年以降、この調査によって、とりわけ個々のグループについてのより差別化された見方が可能になった。ただし、アンケートの根本的な見直しにより、2022年までの調査結果と2023年以降の調査結果との比較は、おおよそしかできない。本調査のテーマ性を強調するため、2023年以降、本調査は「サイバーセキュリティ・モニター」と呼ばれるようになった。

 

・[PDF]

20240617-221845

 

・[PDF] Cybersicherheitsmonitor 2024

・[PDF] Cybersicherheitsmonitor

20240617-222058

 

・[PDF] Cybersicherheitsmonitor 2024: Flyer zur Befragung zur Cybersicherheit

20240618-53414

 

過去12ヶ月に受けた犯罪...(%)

Photo_20240618061401

 

知っている対策と実施している対策(%)

Photo_20240618061501

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.12.07 ドイツ CyMon 2023:サイバーセキュリティに関する市民調査(ドイツ市民のサイバーセキュリティ意識...)

 

 

» Continue reading

| | Comments (0)

米国 NIST IR 8517(初期公開ドラフト) ハードウェアセキュリティの失敗シナリオ: ハードウェア設計における潜在的な弱点

こんにちは、丸山満彦です。

「ハードウェアは本質的に安全であるという誤った思い込みが広まっている。しかし、この報告書は、ハードウェアに起こりうる数多くの潜在的なセキュリティ障害を文書化したものである。また、ハードウェアが脆弱性を持ちうる多様な方法を示している。」

とのことです...

98の失敗シナリオ...

CWE(Common Weakness Enumeration)の関係...

 

1_20240617191301

右の数字はシナリオの数...

1 Improper Access Control  CWE-284 43
2 Improper Adherence to Coding Standards  CWE-710 14
3 Improper Check or Handling of Exceptional Conditions  CWE-703 5
4 Improper Control of a Resource Through its Lifetime  CWE-664 40
5 Incorrect Comparison  CWE-697 1
6 Insufficient Control Flow Management  CWE-691 11
7 Protection Mechanism Failure  CWE-693 15
      129

 

ハードウェアにもゼロトラスト的な発想で、都度信頼できるかどうかを確かめる(どうやって?)という時代がくるのでしょうかね...それはしんどいですね...

 

NIST - ITL

プレス...

・2024.06.13 Hardware Security Failure Scenarios: Potential Weaknesses in Hardware Design | Draft of NIST IR 8517 is Available for Comment

Hardware Security Failure Scenarios: Potential Weaknesses in Hardware Design | Draft of NIST IR 8517 is Available for Comment ハードウェア・セキュリティの失敗シナリオ: ハードウェア設計における潜在的な弱点|NIST IR 8517のドラフトを公開、コメントを募集中
NIST Internal Report (IR) 8517, Hardware Security Failure Scenarios: Potential Weaknesses in Hardware Design, is now available for public comment. NIST内部報告書(IR)8517「ハードウェア・セキュリティの失敗シナリオ:ハードウェア設計における潜在的な弱点」が、現在パブリックコメントとして入手可能である: ハードウェア設計における潜在的な脆弱性は、現在パブリックコメント用に公開されている。
There is an incorrect and widespread assumption that hardware is inherently secure. However, this report documents numerous potential security failures that can occur in hardware. It also demonstrates the diverse ways in which hardware can be vulnerable. ハードウェアは本質的に安全であるという誤った思い込みが広まっている。しかし、この報告書は、ハードウェアに起こりうる数多くの潜在的なセキュリティ障害を文書化したものである。また、ハードウェアが脆弱性を持ちうる多様な方法を示している。
The authors leveraged existing work on hardware weaknesses to provide a catalog of 98 security failure scenarios. Each of these is a succinct statement that describes how hardware can be exploited, where such an exploitation can occur, and what kind of damage is possible. This should raise awareness of the many types of hardware security issues that can occur. プロバイダは、ハードウェアの弱点に関する既存の研究を活用し、98のセキュリティ障害シナリオのカタログを提供した。これらの各シナリオは、ハードウェアがどのように悪用されうるか、そのような悪用がどこで起こりうるか、どのような損害が起こりうるかを簡潔に記述したものである。これにより、発生しうる多くの種類のハードウェア・セキュリティ問題に対する認識が高まるはずである。

 

 

・2024.06.13 NIST IR 8517 (Initial Public Draft) Hardware Security Failure Scenarios: Potential Weaknesses in Hardware Design

NIST IR 8517 (Initial Public Draft) Hardware Security Failure Scenarios: Potential Weaknesses in Hardware Design NIST IR 8517(初期公開ドラフト) ハードウェアセキュリティの失敗シナリオ: ハードウェア設計における潜在的な弱点
Announcement 発表
There is an incorrect and widespread assumption that hardware is inherently secure. However, this report documents numerous potential security failures that can occur in hardware. It also demonstrates the diverse ways in which hardware can be vulnerable. ハードウェアは本質的に安全であるという誤った思い込みが広まっている。しかし、この報告書は、ハードウェアに起こりうる数多くの潜在的なセキュリティ障害を文書化している。また、ハードウェアが脆弱性を持ち得る多様な方法を示している。
The authors leveraged existing work on hardware weaknesses to provide a catalog of 98 security failure scenarios. Each of these is a succinct statement that describes how hardware can be exploited, where such an exploitation can occur, and what kind of damage is possible. This should raise awareness of the many types of hardware security issues that can occur. プロバイダは、ハードウェアの弱点に関する既存の研究を活用し、98のセキュリティ障害シナリオのカタログを提供した。これらの各シナリオは、ハードウェアがどのように悪用されうるか、そのような悪用がどこで起こりうるか、どのような損害が起こりうるかを簡潔に記述したものである。これにより、発生しうる多くの種類のハードウェア・セキュリティ問題に対する認識が高まるはずである。
... ...
Abstract 概要
Historically, hardware has been assumed to be inherently secure. However, chips are both created with and contain complex software, and software is known to have bugs. Some of these bugs will compromise security. This publication evaluates the types of vulnerabilities that can occur, leveraging existing work on hardware weaknesses. For each type, a security failure scenario is provided that describes how the weakness could be exploited, where the weakness typically occurs, and what kind of damage could be done by an attacker. The 98 failure scenarios provided demonstrate the extensive and broadly distributed possibilities for hardware-related security failures. 歴史的に、ハードウェアは本質的に安全であると想定されてきた。しかし、チップは複雑なソフトウェアと共に作られ、また複雑なソフトウェアを含んでおり、ソフトウェアにはバグがあることが知られている。これらのバグの中には、セキュリティを損なうものもある。本書では、ハードウェアの脆弱性に関する既存の研究を活用し、発生しうる脆弱性のタイプを評価する。各タイプについて、その弱点がどのように悪用されうるか、その弱点が通常どこで発生するか、攻撃者がどのような損害を与えうるかを記述したセキュリティ障害シナリオが提供されている。提供された98の失敗シナリオは、ハードウェア関連のセキュリティ失敗の可能性が広範かつ広範囲に分散していることを示している。



・[PDF] NIST.IR.8517.ipd

20240617-192001

 

目次...

1. Introduction 1. 序文
2. Background 2. 背景
2.1. Weaknesses vs. Vulnerabilities 2.1. 弱点と脆弱性
2.2. Weakness Data Fields 2.2. 弱点のデータフィールド
2.3. Weakness Abstractions 2.3. 弱点の抽象化
2.4. Weakness Views 2.4. 弱点ビュー
 2.4.1. Hardware Design View   2.4.1. ハードウェア設計ビュー 
 2.4.2. Research Concepts View  2.4.2. 研究コンセプト
 2.4.3. Simplified Mapping of Published Vulnerabilities View  2.4.3. 公表された脆弱性の簡易マッピング View
3. Technical Approach 3. 技術的アプローチ
3.1. Concept of Hardware Security Failure Scenarios 3.1. ハードウェア・セキュリティの故障シナリオの概念
 3.1.1. Determining How Weaknesses Occur  3.1.1. 弱点がどのように発生するかを決定する
 3.1.2. Determining Where Weaknesses Occur  3.1.2. どこで弱点が発生するかを決定する
 3.1.3. Determining What Damage Weaknesses Allow  3.1.3. 弱点がどのようなダメージを与えるかを見極める
3.2. Creating Hardware Weakness Subgraphs 3.2. ハードウェアの弱点サブグラフを作成する
4. Hardware Security Failure Scenarios 4. ハードウェアセキュリティの失敗シナリオ
4.1. Improper Access Control 4.1. 不適切なアクセス管理
4.2. Improper Adherence to Coding Standards 4.2. コーディング標準の不適切な遵守
4.3. Improper Check or Handling of Exceptional Conditions 4.3. 例外状態の不適切なチェックまたは処理
4.4. Improper Control of a Resource Through its Lifetime 4.4. リソースのライフタイムを通しての不適切な制御
4.5. Incorrect Comparison 4.5. 不適切な比較
4.6. Insufficient Control Flow Management 4.6. 不十分な制御フロー管理
4.7. Protection Mechanism Failure 4.7. 防御機構の故障
5. Categories of Hardware Design Weaknesses 5. ハードウェア設計の弱点のカテゴリー
5.1. Core and Compute Issues 5.1. コアとコンピュートの問題
5.2. Cross-Cutting Problems 5.2. 横断的な問題
5.3. Debug and Test Problems 5.3. デバッグとテストの問題
5.4. General Circuit and Logic Design Concerns 5.4. 一般的な回路と論理設計の問題
5.5. Integration Issues 5.5. 統合の問題
5.6. Manufacturing and Life Cycle Management Concerns 5.6. 製造とライフサイクル管理に関する問題
5.7. Memory and Storage Issues 5.7. メモリとストレージの問題
5.8. Peripherals, On-chip Fabric, and Interface/10 Problems 5.8. ペリフェラル、オンチップ・ファブリック、インターフェイス/10 の問題
5.9. Physical Access Issues and Concerns 5.9. 物理的アクセスの問題と懸念
5.10. Power, Clock, Thermal, and Reset Concerns 5.10. 電源、クロック、熱、リセットに関する問題
5.11. Privilege Separation and Access Control Issues 5.11. 特権分離とアクセス管理の問題
5.12. Security Flow Issues  5.12. セキュリティ・フローの問題 
5.13. Security Primitives and Cryptography Issues 5.13. セキュリティ・プリミティブと暗号の問題
6. Comparison With Software Weaknesses 6. ソフトウェアの弱点との比較
7. Software Assurance Trends Categories 7. ソフトウェア保証のトレンドカテゴリー
8. Conclusion  8. 結論 
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書A. 記号、略語、頭字語のリスト
Appendix B. Analysis of the Complete Hardware Weakness Graph 附属書B. 完全なハードウェア弱点グラフの分析
B.1. Hardware Design Category Overlay B.1. ハードウェア設計カテゴリーオーバーレイ
B.2. Comparison of View-1000 and View-1194 Relationships B.2. View-1000 と View-1194 の関係の比較
Appendix C. Weakness Hierarchy - Improper Access Control 附属書C. 脆弱性の階層 - 不適切なアクセス管理
Appendix D. Weakness Hierarchy - Improper Adherence to Coding Standards 附属書D. 弱点の階層 - コーディング標準の不適切な遵守
Appendix E. Weakness Hierarchy - Improper Check or Handling of Exceptional Conditions  附属書E. 脆弱性の階層 - 例外条件の不適切なチェックや処理 
Appendix F. Weakness Hierarchy - Improper Control of a Resource Through its Lifetime  附属書F.脆弱性の階層 - リソースの有効期間中の不適切なコントロール
Appendix G. Weakness Hierarchy - Incorrect Comparison 附属書G. 弱さの階層 - 不適切な比較
Appendix H. Weakness Hierarchy - Insufficient Control Flow Management 附属書H.弱さの階層 - 不十分なコントロールフロー管理
Appendix I. Weakness Hierarchy - Protection Mechanism Failure 附属書I. 脆弱性階層 - 保護機構の失敗

 

 

弱点 (weaknesses) と脆弱性 (Vulnerabilities)の比較...

2.1. Weaknesses vs. Vulnerabilities  2.1. 弱点と脆弱性の比較 
A weakness can also be defined as a bug or fault type that can be exploited through an operation that results in a security-relevant error [3]. The word ‘type’ is critical as it conveys that a weakness is a concept that can be instantiated in software or hardware; a weakness is not specific to a particular program or chip. A vulnerability, however, is tied to a specific piece of code or chip. A vulnerability is an instantiation of a weakness. Complicating matters, some vulnerabilities arise only in the context of a chain of weaknesses [3].  弱点とは、セキュリティに関連するエラーを引き起こす操作によって悪用される可能性のあるバ グやフォールトの種類と定義することもできる[3]。この「タイプ」という言葉は、弱点がソフトウエアやハードウエアでインスタンス化できる概念であることを伝えるために重要である。しかし脆弱性は、特定のコードやチップと結びついている。脆弱性は弱点のインスタンスなのだ。問題を複雑にしているのは、脆弱性の連鎖の中でしか生じない脆弱性もあることだ [3]。
Vulnerabilities are enumerated in the Common Vulnerabilities and Exposures (CVE) list [6]. The National Vulnerability Database contains details on each CVE [7]. There are over 25,000 CVEs published annually, with the rate usually growing each year. As of February 22, 2024 only 131 of these are HW CVEs.  脆弱性は、CVE(一般的な脆弱性とエクスポージャー)リスト [6]に列挙されている。NVD(国家脆弱性データベース)には、各CVEの詳細が記載されている[7]。毎年25,000以上のCVEが公表されており、その割合は通常、年々増加している。2024年2月22日現在、このうちHW CVEは131件に過ぎない。

 

 

| | Comments (0)

2024.06.17

ドイツ 連邦情報セキュリティ局 ハードウェア・トロイの木馬: BSI 分散製造プロセスにおけるハードウェア操作の可能性に関する調査結果 (2024.06.04)

 こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (Bundesamt für Sicherheit in der Informationstechnik;BSI) が、分散製造プロセスにおけるハードウェア操作の可能性に関する調査結果を発表していますね... (PDFにして101ページ...でも、英語です...)

製造過程でチップ基盤上に勝手に追加チップを埋め込まれてしまうような話で、現在のX線技術でもほとんど認識できない?という話のようです...

製造過程でチップを埋め込むのは簡単な割に発見は困難...

プロジェクト名はPanda...

 

Bundesamt für Sicherheit in der Informationstechnik;BSI

・2024.06.04 BSI veröffentlicht Studie zu Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen

Km_panda_240604

追加チップが隠された回路基板上の部品のX線画像(右拡大)。この追加チップは、現代のX線技術でもほとんど認識できない。ということのようです...(Quelle: BSI)

 

BSI veröffentlicht Studie zu Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen BSI、分散製造プロセスにおけるハードウェアの操作可能性に関する調査結果を発表
Die IHP GmbH hat im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Studie „Prüfung von Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen (PANDA)“ erstellt. Diese Studie betrachtet die Einflussmöglichkeiten von Angreifern innerhalb der Fertigungskette von komplexen IT-Systemen. Die Veröffentlichung beschreibt die einzelnen Schritte von der initialen Idee bis zum fertigen Produkt. Darauf aufbauend werden mögliche Schwachstellen in der Kette aufgezeigt sowie ausgewählte Angriffsszenarien skizziert. Eine Bewertung von Präventions- und Detektionsmöglichkeiten erfolgt nicht nur auf Basis einer Literaturrecherche, sondern auch anhand eigens durchgeführter Experimente. Die Studienergebnisse zeigen, dass solche Manipulationen in jeder Phase der Fertigung mit teilweise relativ geringem Aufwand möglich sind. Die Detektion hingegen kann sehr anspruchsvoll sein. ドイツ連邦情報セキュリティー局(BSI)の委託を受け、IHP社は「分散製造プロセスにおけるハードウェアの操作可能性の調査(PANDA)」を作成した。この研究は、攻撃者が複雑なITシステムの生産チェーンの中で影響力を行使する可能性を分析するものである。本書では、最初のアイデアから完成品に至るまでの個々のステップを説明している。これに基づき、連鎖の弱点が特定され、選択された攻撃シナリオが概説されている。予防と検知のオプションは、文献調査だけでなく、社内で実施した実験に基づいて評価されている。研究の結果、このような操作は生産のあらゆる段階で、時には比較的少ない労力で可能であることが示された。一方、検出は非常に困難である。
Das Ziel der Studie ist, der IT-Fachcommunity bzw. IT-Herstellern und -Dienstleistern eine Einschätzung der Bedrohungslage durch sogenannte "Hardware-Trojaner" zu geben, welche z.B. nach Presseberichten von Bloomberg mutmaßlich in Server-Mainboards implantiert wurden. ブルームバーグの報道によれば、この研究の目的は、IT専門家コミュニティやITメーカー、サービス・プロバイダーに、例えばサーバーのメインボードに仕込まれたとされる、いわゆる「ハードウェア・トロイの木馬」がもたらす脅威の評価を提供することである。
Die Entwicklung und Fertigung komplexer IT-Systeme wird heutzutage oft nicht mehr von einem einzelnen Hersteller durchgeführt, der alle Design- und Produktionsschritte selbst umsetzt und kontrolliert. Diese Arbeitsteilung hat eindeutige Vorteile, wie etwa eine kürzere Zeit bis zur Markteinführung der Produkte, geringere Kosten sowie die Bündelung von Kompetenzen und Werkzeugen in speziellen Aufgabenbereichen. Allerdings birgt diese Aufteilung auch das Risiko von unerwünschten Änderungen an dem ursprünglichen Design, was bei sicherheitsrelevanten Produkten z. B. zum Verlust von vertraulichen Daten führen kann. 今日、複雑なITシステムの開発・製造は、もはや1つのメーカーで行われることは少なくなり、設計・製造の全工程を自社で実現・管理するようになっている。このような分業には、製品の市場投入までの時間の短縮、コストの削減、特定の作業分野におけるスキルやツールのプール化など、明確な利点がある。しかし、このような分業には、元の設計に望ましくない変更を加えるリスクも潜んでいる。例えば、セキュリティに関連する製品の場合、機密データの喪失につながりかねない。
Solche Manipulationen, auch als „Hardware-Trojaner“ bezeichnet, können in fast allen Entwicklungs- und Produktionsschritten implementiert werden. Die Studie analysiert das Risikopotential hierfür nicht nur mittels einer Literaturbetrachtung, sondern auch aufgrund praktischer Erfahrungen in der Chipherstellung. このような操作は、「ハードウェア・トロイの木馬」とも呼ばれ、ほとんどすべての開発・生産工程で実装される可能性がある。この研究では、文献調査だけでなく、チップ製造における実務経験に基づいて、このようなリスクの可能性を分析している。

 

Prüfung von Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen

Prüfung von Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen 分散型製造工程におけるハードウェアの操作可能性の検討
Die IHP GmbH hat im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine Studie erstellt, welche die Einflussmöglichkeiten von Angreifern innerhalb der Fertigungskette komplexer IT-Systeme beschreibt, z.B. das Einbringen von Hardware-Trojanern. ドイツ連邦情報セキュリティー局(BSI)の委託を受け、IHP社は、複雑なITシステムの製造チェーンにおいて、攻撃者がハードウェア・トロイの木馬を持ち込むなどして影響力を行使する可能性についての研究を行った。
Die Veröffentlichung stellt die einzelnen Schritte vom initialen Design bis zum fertigen Produkt vor. Darauf aufbauend werden mögliche Schwachstellen aufgezeigt sowie ausgewählte Angriffsszenarien skizziert. Präventions- und Detektionsmöglichkeiten werden nicht nur auf Basis einer Literaturrecherche, sondern auch anhand eigens durchgeführter Experimente bewertet. この出版物では、初期設計から完成品までの個々のステップを紹介している。これに基づいて、考えられる脆弱性が特定され、選択された攻撃シナリオが概説されている。予防と検知のオプションは、文献調査だけでなく、特別に実施された実験に基づいて評価されている。
Die Entwicklung und Fertigung komplexer IT-Systeme wird heutzutage oft nicht mehr von einem einzelnen Hersteller durchgeführt, der alle Design- und Produktionsschritte selbst umsetzt und kontrolliert. Diese Arbeitsteilung hat zwar eindeutige Vorteile, allerdings birgt sie auch das Risiko von unerwünschten Änderungen an dem ursprünglichen Design, was bei sicherheitsrelevanten Produkten z. B. zum Verlust von vertraulichen Daten führen kann. Solche Manipulationen, auch als „Hardware-Trojaner“ bezeichnet, können in fast allen Entwicklung- und Herstellungsschritten implementiert werden. 今日、複雑なITシステムの開発・製造は、設計・製造の全工程を自社で行い、管理する単一の製造業者によって行われることは少なくなっている。このような分業制には明確な利点があるが、一方で、元の設計に望ましくない変更を加えるリスクもはらんでいる。例えば、セキュリティに関連する製品の場合、機密データの紛失につながりかねない。このような操作は、「ハードウェア・トロイの木馬」とも呼ばれ、ほとんどすべての開発・製造工程で実装される可能性がある。

 

・[PDF] Prüfung von Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen

20240617-60353

 

目次...

1  Introduction 1 序文
2  WP2: Design and Manufacturing steps from the initial idea to the final product 2 WP2: 最初のアイデアから最終製品までの設計と製造のステップ
2.1  Selecting IP blocks 2.1 IPブロックの選択
2.1.1  Selection criteria 2.1.1 選択基準
2.1.2  Actors and responsibilities 2.1.2 アクターと責任
2.1.3  Tools 2.1.3 ツール
2.2  ASIC Design 2.2 ASIC設計
2.2.1  Actors and responsibilities 2.2.1 アクターと責任
2.2.2  Tools 2.2.2 ツール
2.3  Mask Production 2.3 マスク製造
2.3.1  Actors and responsibilities 2.3.1 アクターと責任
2.3.2  Tools 2.3.2 ツール
2.4  Manufacturing 2.4 製造事業者
2.4.1  Actors and responsibilities 2.4.1 役者と責任
2.4.2  Tools 2.4.2 ツール
2.4.3  Available Information 2.4.3 利用可能な情報
2.5  Test 2.5 試験
2.5.1  Actors and responsibilities 2.5.1 アクターと責任
2.5.2  Tools 2.5.2 ツール
2.5.3  Available Information 2.5.3 利用可能な情報
2.6  PCB Design 2.6 PCB設計
2.6.1  Actors and responsibilities 2.6.1 アクターと責任
2.6.2  Tools 2.6.2 ツール
2.6.3  Available Information 2.6.3 利用可能な情報
2.7  Production and assembly of PCBs 2.7 PCBの製造と組み立て
2.7.1  Actors and responsibilities 2.7.1 アクターと責任
2.7.2  Tools 2.7.2 ツール
2.7.3  Available Information 2.7.3 利用可能な情報
2.8  Software/firmware development or use of existing ones 2.8 ソフトウェア/ファームウェアの開発または既存のものの使用
2.8.1  Actors and responsibilities 2.8.1 アクターと責任
2.8.2  Tools 2.8.2 ツール
2.8.3  Available Information 2.8.3 利用可能な情報
2.9  Summary 2.9 まとめ
3  WP3: Identification of potential vulnerabilities and attack scenarios including a detailed elaboration of selected attack scenarios 3 WP3: 選択された攻撃シナリオの詳細な説明を含む、潜在的脆弱性と攻撃シナリオの特定
3.1 Introduction 3.1 序文
3.1.1  Motivating Example 3.1.1 動機となる例
 3.1.2  Structure of this chapter 3.1.2 本章の構成
 3.2  Supply Chain Attack Literature Review 3.2 サプライチェーン攻撃に関する文献レビュー
 3.2.1  Attack scenarios selected from the MITRE report 3.2.1 MITRE レポートから選択した攻撃シナリオ
 3.3  Evaluation of Attack Scenarios 3.3 攻撃シナリオの評価
 3.3.1  Determining the Attack Probability 3.3.1 攻撃確率の決定
 3.4  Attack costs 3.4 攻撃コスト
4 WP4: Prevention and detection options, risk assessment and recommendations 4 WP4: 防止と検知のオプション、リスクアセスメントと提言
4.1 Hardware Trojan Detection 4.1 ハードウェア・トロイの木馬検知
4.1.1 Trojan detection power analysis  4.1.1 トロイの木馬検知能力の分析
4.1.2 Timing-based analysis 4.1.2 タイミングベースの分析
4.1.3 Trojan activation  4.1.3 トロイの木馬の起動
4.1.4 Runtime monitoring  4.1.4 ランタイムの監視
4.2 Prevention  4.2 予防 
4.2.1 Split manufacturing 4.2.1 分割製造
4.3 Hardware Trojan Defense: A resume 4.3 ハードウェア・トロイの木馬防御: レジュメ
4.4 Implanting a Hardware Trojan into a cryptographic design 4.4 暗号設計へのハードウェア・トロイの木馬の埋め込み
4.4.1 Trojan implementation: Performed Controller modifications 4.4.1 トロイの木馬の実装: コントローラ改造の実施
4.4.2 Designs ported to FPGA Spartan-7 . 4.4.2 FPGA Spartan-7 に移植したデザイン
4.4.3 Investigation of the influence of the implanted Trojan on the design resistance to SCA 4.4.3 SCAに対するトロイの木馬の影響調査
4.5 PCB-Experiments 4.5 PCB 実験
4.5.1 Experiments with Coil 1: Hiding chips in the compound . 4.5.1 コイル 1 の実験:コンパウンドにチップを隠す .
4.5.2 Experiments with Coil 2: Hiding chips under the housing . 4.5.2 コイル2の実験:筐体の下にチップを隠す .
4.5.3 Cost Issues 4.5.3 コスト問題
5 Conclusion . 5 結論
Bibliography 参考文献
List of abbreviations 略語リスト
Appendix 1: Examples of selecting IP Cores (IHP experience) 附属書1:IPコアの選定例(IHPの経験)
Appendix 2: Examples of pins and pads . 附属書2:ピンとパッドの例 .
Appendix 3: Overview of MITRE hardware attack scenarios . 附属書3:MITREのハードウェア攻撃シナリオの概要 .
Appendix 4: Interview with IHP designers . 附属書4:IHP設計者へのインタビュー .
Appendix 5: Interview with IHP PCB experts . 附属書5:IHP PCBエキスパートへのインタビュー .
Appendix 6: Attack scenario evaluations . 附属書6:攻撃シナリオの評価 .
Appendix 7: Implemented Trojan code 附属書7:実装されたトロイの木馬コード.
Appendix 8: PCB experiment Additional details 附属書8:PCB 実験 追加詳細.

 

序文...

1 Introduction  1 序文 
Today, the development and implementation of complex IT systems is very often no longer carried out by a single manufacturer, who performs and controls all development and production steps completely himself. This division of labour has clear advantages such as shorter “time-to-market” and reduced costs. It also has the advantage that the necessary competences and tools/machines are focused on core areas. However, the clear disadvantage is that there are risks associated with the division of labour in terms of product quality (reliability/safety). This also holds true for all aspects of security, leading to the loss of confidentiality, privacy etc. Changes in the product can be made at almost all stages of development and production. The aim of this study is to analyse the potential risk in all the development steps from the initial design down to the final product.  今日、複雑なITシステムの開発・実装は、もはや製造事業者1社で行われることは少なくなりつつある。このようなディビジョンには、「市場投入までの時間」の短縮やコストの削減といった明確な利点がある。また、必要なコンピテンシーやツール/マシンをコア領域に集中させることができるという利点もある。しかし、明確なデメリットは、製品の品質(信頼性/安全性)の面で、分業に伴うリスクが存在することである。これはセキュリティのあらゆる面にも当てはまり、機密性やプライバシーなどの喪失につながる。製品の変更は、開発・生産のほぼすべての段階で行われる可能性がある。この研究の目的は、初期設計から最終製品に至るまでのすべての開発段階における潜在的リスクを分析することである。
In 2018 Bloomberg published an article that discussed potential manipulations of Supermicro motherboards that were “extended” by an additional Integrated Circuit (IC) during manufacturing [1]. Supermicro customers are amongst others companies like Amazon and Apple who use the mainboards e.g. in their cloud servers. According to Bloomberg the alleged manipulations were discovered during routine reviews during an acquisition of Elemental by Amazon (AWS) as well as by Apple in their data centres. The involved companies denied the reports. Bloomberg on the other hand insisted on the factual correctness of their reporting. They state that “investigators determined that the chips allowed the attackers to create a stealth doorway into any network that included the altered machines” and cite several independent anonymous sources from within the allegedly involved companies as well as from the U.S. government [1]. In addition, Bloomberg published another article in 2021, where a manipulation of software i.e. of the Basic Input/Output System (BIOS) of Supermicro motherboards was mentioned [2].  2018年、ブルームバーグは、製造中に追加集積回路(IC)によって「拡張」されたSupermicroマザーボードの潜在的な操作について論じた記事を掲載した[1]。Supermicroの顧客には、クラウドサーバーなどでメインボードを使用しているアマゾンやアップルなどの企業が名を連ねている。Bloombergによると、この不正操作の疑惑は、アマゾン(AWS)によるエレメンタルの買収時、およびアップルによるデータセンターでの定期的なレビュー時に発見されたという。関係各社はこの報道を否定している。一方、ブルームバーグは報道の事実の正しさを主張した。彼らは、「ガバナンスは、攻撃者が変更されたマシンを含む任意のネットワークへのステルス入り口を作成することができたチップを決定した」と述べ、米国政府だけでなく、関与したとされる企業内の複数の独立した匿名の情報源を引用している[1]。さらにBloombergは2021年に別の記事を発表しており、そこではSupermicroのマザーボードのBIOS(Basic Input/Output System:基本入出力システム)のソフトウェア操作が言及されている[2]。
Whether the reported attacks really happened or not is still an open discussion. Supermicro claims that such attacks did not happen and that they were not informed by any governmental agency. On the other hand, Bloomberg insists on the reports.  報告された攻撃が本当に起こったかどうかは、まだ未解決の議論である。Supermicro社は、そのような攻撃は起きておらず、政府機関からも知らされていないと主張している。一方、Bloombergは報道を主張している。
Even though it is not clear whether this attack really happened as described by Bloomberg, their reports clearly indicates that Information technology (IT) products compiled by many companies scattered all over the world are to a certain extent vulnerable to malicious manipulations run by one of these different suppliers.  この攻撃が本当にブルームバーグの言うとおりに起こったかどうかは定かでないにせよ、彼らの報道は、世界中に散らばる多くの企業がまとめた情報技術(IT)製品は、これらの異なるサプライヤーのいずれかによって実行される悪意ある操作に対してある程度脆弱であることを明確に示している。
Since there is little to no information available about the functionality of the aforementioned additional ICs and the changes in the BIOS, there is also no information about the goals of the attack and the attacker. In principle an attacker can pursue the following goals with hardware-related attacks:  前述の追加ICの機能やBIOSの変更に関する情報はほとんどないため、攻撃の目的や攻撃者に関する情報もない。原則として、攻撃者はハードウェア関連の攻撃で以下の目標を追求することができる: 
•      Damage to the reputation of a supplier by deliberately manufacturing low-quality Application-Specific Integrated Circuits (ASICs), this attack then targets a specific victim.   ・低品質の特定用途向け集積回路(ASIC)を意図的に製造することで、製造事業者の評判を落とす。 
•      Espionage to obtain know-how, company secrets and/or secret information such as cryptographic keys. This can be achieved, among other things, through the use of backdoors. Such attacks can target both the manufacturer and its customers, and can have a “broad” effect.   ・ノウハウ、企業秘密、暗号鍵などの秘密情報を入手するためのスパイ行為。これは、特にバックドアの使用によって達成される。このような攻撃は、製造事業者とその顧客の両方を標的にすることができ、「広範な」影響を及ぼす可能性がある。
•      “Kill switch”: Here, the attacker tries to manipulate the system in such a way that he can switch off its functionality. This attack also targets many rather than one specific victim, at least in preparation. If the “kill switch” is activated, this may be done very selectively.   ・キルスイッチ」: この攻撃では、攻撃者はシステムの機能を停止させるようにシステムを操作しようとする。この攻撃も、少なくとも準備段階では、特定の被害者一人ではなく、多数の被害者をターゲットにする。もし「キル・スイッチ」が作動すれば、これは非常に選択的に行われる可能性がある。
We focus on these attack scenarios, since they are widely discussed in the literature[1],[2]. Of course each scenario comes with certain risks for the attacker as well, e.g. damaging the reputation of a supplier by deliberately manufacturing low-quality ASICs[3] must be carried out respectively concealed in such a way that the reputation damage does not spread to the attacker, or that such reputation damage is willingly taken into account.  これらの攻撃シナリオは文献[1]、[2]で広く議論されているため、ここではこれらの攻撃シナリオに焦点を当てる。例えば、意図的に低品質の ASIC[3]を製造することでサプライヤの評判を落とすような場合、その評判へのダメージが攻撃者に波及しないように、あるいはそのような評判へのダメージが進んで考慮されるように、それぞれを隠蔽して実行しなければならない。
The type of attack and its complexity depend greatly on the target of the attacker. The possible points of attack in the value chain are discussed in this report. The analyses in this report are based on the assumption that the “system developer” i.e. the company that aims at implementing a certain functionality and that starts the development process has no malicious insiders. This is due to the fact that in the core of the design process all essential information are available. We are aware of the fact that also a team member of the “system development entity” might be malicious. But since the focus of this study is on the threats that arise from a global supply chain, we assume in this document that the “system development entity” is benign. A reflection of malicious insiders in the “system development entity” will be given in the conclusion to ensure that this threat is not overlooked.  攻撃の種類とその複雑さは、攻撃者のターゲットに大きく依存する。本レポートでは、バリュー・チェーンにおける攻撃の可能性について論じる。本レポートの分析は、「システム開発者」、すなわちある機能の実装を目的とし、開発プロセスを開始する企業には、悪意のある内部関係者がいないという前提に基づいている。これは、設計プロセスの中核において、すべての重要な情報が利用可能であるという事実によるものである。我々は、「システム開発事業体」のチームメンバーも悪意を持っている可能性があるという事実を認識している。しかし、この研究の焦点はグローバルなサプライチェーンから生じる脅威であるため、この文書では「システム開発事業体」は良性であると仮定する。システム開発事業体」における悪意のある内部者についての考察は、この脅威が見落とされないように、結論において行う。
The focus of the work packages is on development steps not executed by “system development entity”. So, mainly the “interfaces” between the manufacturing steps are considered potentially dangerous as information exchanged is the basis for a potential attacker to mount his attack. The external subcontractors are considered no trustworthy i.e. there may be malicious insiders or the whole company may be malicious.   作業パッケージの焦点は、「システム開発主体」が実行しない開発ステップにある。そのため、主に製造事業者間の「インターフェイス」は、潜在的な攻撃者が攻撃を仕掛けるための基礎となる情報交換が行われるため、潜在的に危険であると考えられる。外部の下請け業者は信用できないと考えられる。つまり、悪意のある内部関係者がいるかもしれないし、会社全体が悪意を持っているかもしれない。 
This report is structured corresponding to the work packages (WP) of the project PANDA, i.e. each chapter of this reports represents the results of one of the following work packages:   本報告書は、PANDAプロジェクトの作業パッケージ(WP)に対応した構成となっている。つまり、本報告書の各章は、以下の作業パッケージの1つの結果を表している:  
•      WP2: Design and Manufacturing steps from the initial idea to the final product  ・WP2:最初のアイデアから最終製品までの設計・製造ステップ
•      WP3: Identification of potential vulnerabilities and attack scenarios including a detailed elaboration of selected attack scenarios  ・WP3:潜在的脆弱性と攻撃シナリオの特定(選択した攻撃シナリオの詳細な推敲を含む 
•      WP4: Prevention and detection options, risk assessment and recommendations  ・WP4 : 防止と検知のオプション、リスクアセスメントと提言
We present conclusions and recommendations in Chapter 5.   第5章では、結論と提言を示す。 
This document includes in addition 8 appendixes which present details e.g. on the experiments and expert interviews etc.  本書には、実験や専門家へのインタビューなどの詳細を示す 8 つの附属書が追加されている。

[1] Cf. e.g. https://www.tandfonline.com/doi/full/10.1080/15228053.2020.1824878  

[2] Cf. e.g. https://www.amida.com/enabling-hardware-trojan-detection-and-prevention-through-emulation/   

[3] Cf. e.g. https://doi.org/10.1007/978-3-319-68511-3_3

----

[1] Robertson, Jordan. Riley, Michael. 2018. The Big Hack: How China Used a Tiny Chip to Infiltrate U.S.

Companies. In Bloomberg Businessweek, Feature. https://www.bloomberg.com/news/features/2018-1004/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies#xj4y7vzkg

[2] Robertson, Jordan. Riley, Michael. 2021. Supermicro Hack: How China Exploited a U.S. Tech Supplier Over Years. Bloomberg, https://www.bloomberg.com/features/2021supermicro/?leadSource=uverify%20wall.

 

 

結論...

5 Conclusion  5 結論 
In this project we analysed the different steps in the development of a complex IT system covering all steps from the initial idea via design and manufacturing of an ASIC to the design and production of the PCB with respect to the probability of a successful attack. This probability depends on the knowledge and capabilities of a certain attacker and the effort such an attacker has. In order to determine this information, we gathered data from a thorough literature review, expert interviews and own experiments.   このプロジェクトでは、複雑な IT システムの開発における様々なステップを分析した。最初の アイデアから、ASIC の設計と製造、PCB の設計と製造に至るすべてのステップを、攻撃が 成功する確率に関して分析した。この確率は、ある攻撃者の知識と能力、そしてそのような攻撃者が持つ努力に依存する。この情報を決定するために、徹底的な文献調査、専門家へのインタビュー、独自の実験からデータを収集した。 
The result is that in each of the development stages successful attacks are possible. In which of the stages an attacker targets the design under development highly depends on the intentions of the attacker. The more targeted the attack shall be the higher is the probability that a later stage will be attacked. In these stages a potential victim can be defined more exactly. If an attacker is willing to spend some effort in order to “reach” many victims without a clear picture who they are, earlier development stages are more likely to be attacked.  その結果、各開発段階において成功する攻撃が可能であることがわかった。攻撃者がどの段階で開発中の設計を狙うかは、攻撃者の意図に大きく依存する。攻撃対象が多ければ多いほど、後の段階が攻撃される確率は高くなる。これらの段階では、潜在的な犠牲者をより正確に定義することができる。攻撃者が、被害者が誰なのかはっきりしないまま、多くの被害者に「接触」するために労力を費やすことを厭わないのであれば、より早い発展段階が攻撃される可能性が高くなる。
The analysis of the literature as well as the expert interviews clearly showed that:  専門家へのインタビューだけでなく、文献の分析からも、以下のことが明らかになった: 
•      Means to detect hardware Trojans are not easy to apply, as they require normally a “golden” device or at least a “golden” simulation which usually are not available except in scientific settings. The fact that it is normally unclear how to activate the Trojan makes its detection even harder. So, relying on hardware Trojan detection alone seems not to be sufficient. Nevertheless, for selected cases with a limited scope (e.g. trust anchor chips), Trojan detection methods can give at least a hint about potential manipulations. Therefore, it is important to invest in and have advanced chip analysis and detection capabilities available.  ・ハードウェアのトロイの木馬を検知する手段は、通常「ゴールデン」デバイスまたは少なくとも「ゴールデン」シミュレーションを必要とするため、適用するのは容易ではない。トロイの木馬を起動させる方法が不明確であることが、トロイの木馬の検知をさらに難しくしている。そのため、ハードウェアのトロイの木馬検知に頼るだけでは十分ではないようだ。とはいえ、限定された範囲(例えばトラスト・アンカー・チップ)の場合、トロイの木馬検出方法は、少なくとも潜在的な操作についてのヒントを与えることができる。したがって、高度なチップ分析・検知能力に投資し、利用できるようにすることが重要である。
•      Means to prevent hardware Trojans are limited. On the one hand such means are not easy to apply and will lead to significant overhead in terms of area and power consumption. On the other hand they cannot be applied to the whole design so an attack may still be capable to integrate a hardware Trojan in the non-protected parts.   ・ハードウェアのトロイの木馬を防ぐ手段は限られている。一方では、そのような手段を適用するのは容易ではなく、面積や消費電力の面で大きなオーバーヘッドをもたらす。一方では、設計全体に適用することができないため、保護されていない部分にハードウェア・トロイの木馬を組み込む攻撃も可能である。
•      The most promising approach is split manufacturing as it limits the information available to a manufacturer about a certain design significantly. But the process of organising an appropriate manufacturing process including finding compatible manufacturers that are willing to support such a process is very complex.   ・最も有望なアプローチは、製造事業者が特定の設計について入手できる情報を大幅に制限できる分割製造である。しかし、そのようなプロセスをサポートしてくれる互換性のある製造事業者を見つけることを含め、適切な製造プロセスを組織するプロセスは非常に複雑である。
Our experiments showed that a hardware Trojan can be integrated with rather limited effort and confirmed that such a Trojan can hardly be detected. The additional area and energy consumption are negligible. Also the integration of an additional IC in a complex motherboard was researched. The effort to accomplish this is rather negligible. Also in this case, the experiments showed that detecting the implemented chip is extremely difficult. Even x-raying the PCB does not guarantee to detect such a manipulation.  我々の実験は、ハードウェアのトロイの木馬が、むしろ限られた労力で統合できることを示し、そのようなトロイの木馬はほとんど検知できないことを確認した。追加の面積とエネルギー消費はごくわずかである。また、複雑なマザーボードに追加ICを組み込むことも研究された。このための労力はごくわずかである。この場合も、実装されたチップを検出するのは極めて困難であることが実験で示された。PCBをX線検査しても、このような操作を検出できる保証はない。
So, the main take home messages are:  つまり、主な留意点は以下の通りである: 
•      Attacks such as the manipulation of a motherboard as described by Bloomberg in 2018 [1] are feasible and most probably will go undetected. However, whether Bloomberg’s claim is correct or not remains open.  ・2018年にブルームバーグが説明したようなマザーボードの操作のような攻撃は実現可能であり、おそらく発見されないだろう。ただし、ブルームバーグの主張が正しいかどうかは未解決である。
•      The insertion of hardware Trojans is also feasible and it is very difficult to detect such a manipulation. It is especially difficult if the manipulation is integrated in an open hardware core, or if the design house is malicious. This means that purchasing equipment from a manufacturer that is not considered fully trustworthy always comes with a certain risk, as it will never be 100% assured that there is no malicious manipulation present.  ・ハードウェアのトロイの木馬を挿入することも可能であり、そのような操作を検知するのは非常に困難である。オープンなハードウェア・コアに組み込まれている場合や、設計会社が悪意を持っている場合は特に難しい。つまり、完全に信頼できるとは言えない製造事業者から機器を購入することは、常に一定のリスクを伴うということである。
•      To limit scope and make this analysis feasible in terms of effort, we excluded insider attacks in our analysis. Yet, they need to be considered carefully. Bribing or blackmailing employees of a design house is a cost efficient way to get the expertise, knowledge and access to a certain design to mount a stealth attack.   ・分析範囲を限定し、労力的に実現可能な分析にするため、インサイダー攻撃は分析から除外した。しかし、これらは慎重に検討する必要がある。デザイン・ハウスの従業員に賄賂を贈ったり、脅迫したりすることは、ステルス攻撃を仕掛けるための専門知識、知識、特定のデザインへのアクセス権を得るためのコスト効率の良い方法である。
Based on the results of this project our main recommendations from a business administration point of view are:  このプロジェクトの結果に基づき、経営管理の観点から私たちが推奨する主な方法は以下の通りである: 
•      Trustworthy personnel: Invest in personnel to set-up a trust relationship and avoid that employees are turned into malicious agents of an opponent.  ・信頼できる人材を確保する: 信頼関係を構築し、従業員が敵の悪意あるエージェントと化すことを避けるために、人材に投資する。
•      Trustworthy IT infrastructure: In case a corporate network gets hacked, an external attacker has the same means to manipulate designs. State of the art IDS, appropriate site-audits etc. are a must, and must in particular take this attack vector into consideration.  ・信頼できるITインフラ: 企業ネットワークがハッキングされた場合、外部の攻撃者は同じ手段で設計を操作することができる。最新のIDS、適切なサイト監査などが必須であり、特にこの攻撃ベクトルを考慮しなければならない。
•      Trustworthy suppliers: Trusted relationships with suppliers, ideally along the complete supply chain, are the best means to avoid stealthy manipulations.  ・信頼できるサプライヤー: サプライヤーとの信頼関係、理想的には完全なサプライチェーンに沿った信頼関係が、ステルス的な操作を回避する最善の手段である。
•      Use Reliable suppliers - even if it means higher cost - instead of subcontracting new partners every now and then.  ・時々新しいパートナーと下請け契約を結ぶのではなく、たとえコストが高くなったとしても、信頼できるサプライヤーを利用すること。
But the results of this project are also of importance from a national economical point of view. The fact that attacks may be successful in different development steps means that:  しかし、このプロジェクトの結果は、国家経済の観点からも重要である。さまざまな開発ステップで攻撃が成功する可能性があるということは、次のようなことを意味する: 
•      Own Production Facilities: Providing own production facilities does not necessarily prevent manipulation of products; nevertheless it reduces certain risks and political dependencies while increasing availability in case of a global supply shortage. Ensuring design capabilities along the complete supply chain is essential to detect and prevent manipulations, despite this is not sufficient.   ・独自の生産設備: 自社生産施設:自社生産施設をプロバイダとして提供することは、必ずしも製品の不正操作を防ぐことにはならない。しかし、それにもかかわらず、一定のリスクと政治的依存を軽減し、同時に世界的な供給不足の場合の可用性を高めることになる。しかし、それだけでは十分ではなく、サプライチェーン全体における設計能力を確保することが、不正操作の検知と防止には不可欠である。
•      Advanced Detection Capabilities: Detection of manipulations can only be done on an individual case-by-case scenario for high-value circuits, e.g. trust anchors. Invest in advanced detection capabilities in order to handle such cases, to deter attackers in the first place, and in order to increase the cost and effort required for an attacker as trivial manipulations do not go undetected.  ・高度な検知能力: 操作の検知は、トラスト・アンカーなど高価値の回路については、個別のケース・バイ・ケースでしか行えない。このようなケースに対応し、攻撃者を抑止するため、また、些細な操作では検知されないため、攻撃者に必要なコストと労力を増加させるために、高度な検知能力に投資する。
•      R&D in the field of detecting manipulations. Several approaches seem to be promising and may increase the abilities of a user to detect manipulations significantly.  ・操作の検知分野における研究開発。いくつかのアプローチは有望であり、ユーザーの検知能力を大幅に向上させる可能性がある。
In any case the complete supply chain needs a thorough and individual assessment for all sensitive developments or products.   いずれにせよ、サプライチェーン全体において、すべての機密性の高い開発品や製品について、徹底的かつ個別的なアセスメントが必要である。 

 

 

| | Comments (0)

米国 White House ファクトシート:2024年 イタリアのプーリアでのG7サミット

こんにちは、丸山満彦です。

イタリアで行われているG7も終了しましたが、会合の米国としてのまとめ?が6月14日のホワイトハウスのウェブページに掲載されていますね...

ポイントは次のような感じ...

ヨーロッパの目先の脅威、課題であるウクライナ問題で始まり、平和(安全保障)、経済的安全保障(Economic Security)、途上国の巻き込み、気候変動、病気・食糧、女性、移民、人工知能という感じですね...

 

Supporting Ukraine’s Fight for Freedom ウクライナの自由への戦いを支援する
Unlocking $50 billion for Ukraine: ウクライナに500億ドルを提供する:
Driving Up Costs for the Russian War Machine: ロシアの戦争コストを押し上げる:
Supporting Ukraine Now and in the Future: 現在と将来のウクライナを支援する:
Advancing International Peace, Security, and Prosperity 国際平和、安全保障、繁栄の促進
Calling for a Comprehensive Deal in Gaza:  ガザにおける包括的合意を求める:
Standing with Allies and Partners in the Indo-Pacific:  インド太平洋における同盟国およびパートナーとの協力:
Deepening Cooperation with Partners in Africa:   アフリカのパートナーとの協力を深める:
Promoting Economic Resilience and Economic Security 経済的強靭性と経済的安全保障の促進
Working Together to Level the Playing Field and Protect Economic Security:   競争条件を公平にし、経済的安全を守るために協力する:
Building Partnerships to Promote Resilient Supply Chains and Reduce Critical Dependencies:   強靭なサプライチェーンを促進し、重要な依存を削減するためのパートナーシップを構築する: 
Protecting Critical and Sensitive Technologies:   重要かつ機密性の高い技術を保護する: 
Partnering with Developing Countries to Invest in their Future 発展途上国の未来に投資するために協力する
Breaking the Global Debt Impasse:   世界的な債務の行き詰まりを打破する:
Boosting the Financial Power of the International Financial Institutions:  国際金融機関の資金力を高める: 
Delivering on the Partnership for Global Infrastructure and Investment (PGI):   世界インフラ投資パートナーシップ(PGI)の実現: 
Accelerating the Clean Energy Transition to Address Climate Change 気候変動に対処するためのクリーン・エネルギー転換を加速する
Phasing Out Unabated Coal Power and Increasing Energy Storage:   止まらない石炭発電の廃止とエネルギー貯蔵の増加: 
Building Clean and Resilient Supply Chains:  クリーンで強靭なサプライチェーンを構築する:
Promoting International Collaboration on Nuclear and Fusion Energy:   原子力および核融合エネルギーに関する国際協力の促進:
Promoting Health and Food Security 健康と食料安全保障の促進
Launching the Apulia Food Security Initiative:  プーリア食料安全保障イニシアティブの立ち上げ:
Transforming Global Health Security Financing:  世界的な医療安全保障のための資金調達を変革する:
Expanding Immunization Coverage:  予防接種範囲の拡大:  
Addressing antimicrobial resistance (AMR): 抗菌薬耐性(AMR)への対応:
Investing in Childcare to Support Women’s Economic Participation 女性の経済参加を支援するための育児への投資
Enhancing Our Partnership on Migration 移民に関するパートナーシップの強化
Deepening Cooperation on Artificial Intelligence 人工知能に関する協力の深化
Bridging Technology Divides and Addressing AI’s Impact on Workers: 技術の隔たりを埋め、AIが労働者に与える影響に対処する:  
Increasing Coordination to Promote AI Safety: AIの安全性を促進するための協調を強化する:
Promoting Resilient Technology Supply Chains: 強靭な技術サプライチェーンの促進:

 

U.S. The White House

・2024.06.14 FACT SHEET: The 2024 G7 Summit in Apulia, Italy

 

FACT SHEET: The 2024 G7 Summit in Apulia, Italy ファクトシート:イタリアのプーリアでの2024年G7サミット
President Biden and G7 leaders stood united at the G7 Summit in Apulia, Italy, taking bold action to meet the tests of our time:  supporting Ukraine’s fight for freedom and driving up the costs of Russia’s war, pushing back on unfair economic practices, tackling the climate crisis and food and health insecurity, harnessing critical technologies for the benefit of all, and working with partners around the world to support developing countries investing in their futures. バイデン大統領とG7首脳は、イタリアのプーリア州で開催されたG7サミットで結束し、ウクライナの自由への戦いを支援し、ロシアの戦争コストを引き上げ、不公正な経済慣行を押し返し、気候危機と食糧・健康不安に取り組み、すべての人々の利益のために重要な技術を活用し、世界中のパートナーと協力して途上国の未来への投資を支援するという、現代の試練に立ち向かうための大胆な行動をとった。
Supporting Ukraine’s Fight for Freedom ウクライナの自由への戦いを支援する
Joined by Ukrainian President Zelenskyy, G7 leaders reaffirmed their unwavering support for Ukraine for as long as it takes – sending an unmistakable signal to Putin that he will not outlast our resolve.  G7首脳は、ウクライナのゼレンスキー大統領とともに、ウクライナへの揺るぎない支援を必要な限り続けることを再確認した。
Unlocking $50 billion for Ukraine:  G7 leaders announced a plan to provide Ukraine with $50 billion in new financing by bringing forward the interest earned on immobilized Russian sovereign assets held in the European Union and other jurisdictions.  Leaders reaffirmed their commitment that Russia’s sovereign assets within G7 jurisdictions will remain immobilized until Russia ends its aggression and pays for the damage it has caused to Ukraine.  This new financing will provide critically needed support for Ukraine’s military, budget, and reconstruction needs.  The United States will work with Ukraine and G7 partners in the coming months to finalize the details of the financing arrangement and issue the loan by the end of the year. ウクライナに500億ドルを提供する:  G7首脳は、欧州連合(EU)やその他の管轄区域に保有されるロシアの固定化されたソブリン資産から得られる利息を前倒しすることにより、ウクライナに500億ドルの新たな資金を提供する計画を発表した。 首脳は、ロシアが侵略をやめ、ウクライナに与えた損害の代償を支払うまで、G7の管轄区域内にあるロシアのソブリン資産は固定化されたままであるとのコミットメントを再確認した。 この新たな資金調達は、ウクライナの軍事、予算、復興のニーズに対して、決定的に必要な支援を提供する。 米国は今後数ヶ月間、ウクライナおよびG7のパートナーと協力し、融資の詳細を決定し、年内に融資を実行する予定である。
Driving Up Costs for the Russian War Machine: The Biden Administration this week issued a sweeping set of new sanctions and export control measures, guided by G7 commitments to intensify the pressure on Russia for its war against Ukraine.  Foreign banks now face increased sanctions risk when they deal with Russia’s war economy.  New sanctions on more than 300 individuals and entities in Russia, the People’s Republic of China (PRC), and globally target Russia’s financial infrastructure; over a dozen international evasion and procurement networks; Russia’s future energy, metals, and mining revenues; and Russian elites involved in the deportation or so-called re-education of Ukrainian children.  The Administration also announced steps to restrict access to certain U.S. software and information technology services, to crack down on diversion of goods through shell companies, and to more extensively restrict exports to entities that supply Russia with U.S.-branded items produced overseas. ロシアの戦争コストを押し上げる:バイデン政権は今週、対ウクライナ戦争に対するロシアへの圧力を強化するため、G7の公約に導かれる形で、新たな制裁措置と輸出規制措置を大々的に発表した。 外国の銀行がロシアの戦争経済と取引する際には、制裁リスクが高まることになる。 ロシア、中華人民共和国(PRC)、そして全世界の300以上の個人と団体に対する新たな制裁は、ロシアの金融インフラ、10以上の国際的な脱税・調達ネットワーク、ロシアの将来のエネルギー、金属、鉱業収入、ウクライナの子どもたちの国外追放やいわゆる再教育に関与するロシアのエリートたちを標的としている。 また同政権は、特定の米国製ソフトウェアや情報技術サービスへのアクセスを制限し、ペーパーカンパニーを通じた商品の横流しを取り締まり、海外で生産された米国ブランドの商品をロシアに供給する企業への輸出をより広範囲に制限する措置も発表した。
Supporting Ukraine Now and in the Future.  In Puglia, President Biden and President Zelensky signed the U.S.-Ukraine Bilateral Security Agreement as a demonstration of enduring U.S. support for Ukraine, including through binding commitments to deepen our security and defense cooperation and to consult in the event of a future armed attack . 現在と将来のウクライナを支援する:プーリアにおいて、バイデン大統領とゼレンスキー大統領は、米国とウクライナの二国間安全保障協定に署名した。これは、安全保障・防衛協力の深化や、将来の武力攻撃時の協議を含む、ウクライナに対する米国の永続的な支援を示すものである。
Advancing International Peace, Security, and Prosperity 国際平和、安全保障、繁栄の促進
The G7’s work is grounded in a shared commitment to respect the UN Charter, promote international peace and security, and uphold the free and open rules-based international order. G7の活動は、国連憲章を尊重し、国際の平和と安全を促進し、自由で開かれたルールに基づく国際秩序を維持するという共通のコミットメントに基づいている。
Calling for a Comprehensive Deal in Gaza: The G7 was united in supporting the comprehensive deal outlined by President Biden that would lead to an immediate ceasefire in Gaza, the release of all hostages, a significant and sustained increase in the flow of humanitarian assistance throughout Gaza, and an enduring end to the crisis, with Israel’s security interests and safety for Palestinian civilians in Gaza assured. ガザにおける包括的合意を求める: G7は、イスラエルの安全保障上の利益とガザのパレスチナ市民の安全を確保した上で、ガザにおける即時停戦、全人質の解放、ガザ全域における人道支援の大幅かつ持続的な増加、危機の永続的な終結につながるバイデン大統領が概説した包括的な取り決めを支持することで一致した。
Standing with Allies and Partners in the Indo-Pacific:  President Biden discussed robust U.S. engagement in the Indo-Pacific to strengthen our alliances and partnerships, and welcomed the increasing connectivity between European and Indo-Pacific partners.  He joined with other leaders in stressing the importance of peace and stability across the Taiwan Strait, and in raising concerns regarding the PRC’s dangerous actions in the South China Sea. インド太平洋における同盟国およびパートナーとの協力:  バイデン大統領は、同盟とパートナーシップを強化するため、インド太平洋地域における米国の強固な関与について述べ、欧州とインド太平洋地域のパートナー間の結びつきが強まっていることを歓迎した。 また、他の首脳とともに、台湾海峡の平和と安定の重要性を強調し、南シナ海における中国の危険な行動について懸念を表明した。
Deepening Cooperation with Partners in Africa:  The G7 is working together with African partners to contribute to global stability and prosperity, and have endorsed African countries’ call for greater voice in international bodies. アフリカのパートナーとの協力を深める: G7は、世界の安定と繁栄に貢献するため、アフリカのパートナーと協力しており、アフリカ諸国が国際機関においてより大きな発言力を求めていることを支持した。
Promoting Economic Resilience and Economic Security 経済的強靭性と経済的安全保障の促進
President Biden rallied the G7 to take further steps to protect our workers, industries, and the investments we are making from begin undermined by the PRC’s unfair practices.  The PRC’s policies are creating global spillovers, including harmful overcapacity, that undercut market firms and lead to supply chain dependencies in sectors such as solar, wind, electric vehicles, lithium-ion batteries, medical devices, mature-node semiconductors, steel, aluminum, and others.  バイデン大統領は、中国の不公正な慣行によって損なわれることのないよう、我々の労働者、産業、投資を保護するための更なる措置を講じるよう、G7に呼びかけた。 中国の政策は、太陽光、風力、電気自動車、リチウムイオン電池、医療機器、成熟ノード半導体、鉄鋼、アルミニウムなどの分野において、市場企業を弱体化させ、サプライチェーン依存につながる有害な過剰生産能力を含む、グローバルな波及効果を生み出している。
Working Together to Level the Playing Field and Protect Economic Security:  The G7 pledged to work together to confront non-market policies and practices and efforts to dominate strategic sectors.  The G7 will undertake new monitoring and information-sharing efforts, update our respective toolkits to counter harmful practices, and coordinate efforts to deter and respond to economic coercion.  競争条件を公平にし、経済的安全を守るために協力する:  G7は、非市場的な政策や慣行、戦略的セクターを支配しようとする努力に立ち向かうために協力することを約束した。 G7は、新たな監視と情報共有の努力を行い、有害な慣行に対抗するためのそれぞれのツールキットを更新し、経済的強制を抑止し、これに対応するための努力を調整する。
Building Partnerships to Promote Resilient Supply Chains and Reduce Critical Dependencies:  The G7 will work with partners in developing countries and emerging markets to increase their participation in global supply chains while promoting high standards. 強靭なサプライチェーンを促進し、重要な依存を削減するためのパートナーシップを構築する:  G7 は、開発途上国や新興市場のパートナーと協力し、高い基準を推進しつつ、グローバル・ サプライ・チェーンへの参加を拡大する。
Protecting Critical and Sensitive Technologies:  We are updating our respective tools to protect certain critical and sensitive technologies from being used to undermine international peace and security, while avoiding broader restrictions on international trade and investment.  The G7 is also strengthening cooperation on research security, data security, and investment screening efforts, and coordinating to streamline the implementation of export controls. 重要かつ機密性の高い技術を保護する:  我々は、国際貿易及び投資に対する広範な制限を回避しつつ、特定の重要かつ機微な技術が国際的な平和と安全を損なうために使用されることを防止するため、それぞれの手段を更新している。 G7はまた、研究セキュリティ、データ・セキュリティ、投資スクリーニングの取り組みに関する協力を強化し、輸出規制の実施を合理化するための調整を行っている。
Partnering with Developing Countries to Invest in their Future 発展途上国の未来に投資するために協力する
The G7 is taking ambitious steps to scale up support to developing countries and accelerate progress toward the Sustainable Development Goals. G7は、途上国への支援を拡大し、持続可能な開発目標に向けた進捗を加速させるため、野心的な措置を講じている。
Breaking the Global Debt Impasse:  Recognizing that mounting debt burdens are putting developing countries’ ability to make such critical investments out of reach, President Biden – alongside Kenyan President Ruto – championed and garnered G7 support for the Nairobi-Washington Vision that calls on the international community to step up support for developing countries to make critical investments and reforms.  The G7 committed to work with the IMF, World Bank, and other stakeholders to bring this plan forward, with a view to realizing it for pilot countries this year. 世界的な債務の行き詰まりを打破する:バイデン大統領は、ケニアのルト大統領とともに、債務負担の増大が途上国の重要な投資を手の届かないものにしていることを認識し、重要な投資と改革を行う途上国への支援を強化するよう国際社会に求めるナイロビ・ワシントン・ビジョンを提唱し、G7の支持を集めた。 G7は、IMF、世界銀行、その他の利害関係者と協力し、今年中にパイロット国向けにこの計画を実現することを視野に入れ、この計画を前進させることを約束した。
Boosting the Financial Power of the International Financial Institutions: President Biden further championed efforts to deliver better, bigger, more effective multilateral development banks (MDBs).  The G7 rallied together to announce planned contributions which, once approved domestically, would make it possible for the World Bank to boost lending by $70 billion over the next decade.  This is on top of efforts from the United States and other MDB shareholders to unlock over $250 billion in new lending capacity at these institutions.  国際金融機関の資金力を高める: バイデン大統領はさらに、より良く、より大きく、より効果的な多国間開発銀行(MDBs)を実現するための努力を支持した。 G7が結集して拠出計画を発表し、それが国内で承認されれば、世界銀行は今後10年間で700億ドルの融資増額が可能になる。 これは、米国と他のMDB株主による、MDBにおける2500億ドル以上の新規融資能力を引き出すための努力に加えてのことである。
Delivering on the Partnership for Global Infrastructure and Investment (PGI):  President Biden and Italian Prime Minister Meloni co-hosted a PGI side event that included participation by BlackRock Chairman and CEO Larry Fink and Microsoft Chairman and CEO Satya Nadella.  G7 leaders and private sector executives reaffirmed their commitment to unlocking public and private capital for investments in partner countries, demonstrated by BlackRock’s announcement that a group of investors plan to invest at least $4 billion in alignment with PGI priorities and Microsoft’s announcement of $5 billion in recent digital infrastructure investments in emerging markets.  President Biden announced new projects and highlighted progress on PGI economic corridors, including the Lobito Corridor in Sub-Saharan Africa and the Luzon Corridor in the Philippines.  The United States has mobilized more than $60 billion to date towards PGI. 世界インフラ投資パートナーシップ(PGI)の実現: バイデン大統領とメローニ伊首相は、ブラックロックのラリー・フィンク会長兼CEOとマイクロソフトのサティア・ナデラ会長兼CEOが参加するPGIサイドイベントを共催した。 G7首脳と民間企業幹部は、パートナー国への投資のために公的・民間資本を開放することへのコミットメントを再確認した。これは、ブラックロック社がPGIの優先事項に沿って少なくとも40億ドルの投資を計画していると発表したことや、マイクロソフト社が新興国市場における最近のデジタル・インフラ投資で50億ドルを拠出すると発表したことで実証された。 バイデン大統領は新たなプロジェクトを発表し、サハラ以南のアフリカのロビト回廊やフィリピンのルソン回廊など、PGI経済回廊の進展を強調した。 米国はこれまでに600億ドル以上をPGIに動員している。
Accelerating the Clean Energy Transition to Address Climate Change 気候変動に対処するためのクリーン・エネルギー転換を加速する
The G7 is accelerating its work to address the challenges of climate change, pollution, and biodiversity loss.  G7 members reaffirmed ambitious COP28 commitments to triple renewable energy capacity, double global energy efficiency by 2030, and strengthen energy security. G7は、気候変動、汚染、生物多様性の損失という課題に対処するための活動を加速させている。 G7メンバーは、2030年までに再生可能エネルギー容量を3倍にし、世界のエネルギー効率を2倍にし、エネルギー安全保障を強化するという野心的なCOP28の約束を再確認した。
Phasing Out Unabated Coal Power and Increasing Energy Storage:  The G7 has committed for the first time to phase out unabated coal power generation in energy systems during the first half of the 2030s.  The G7 has also further set a target to deploy 1,500 GW of long-duration energy storage by 2030, building on top of the COP28 pledge to triple globally installed renewable energy by 2030. 止まらない石炭発電の廃止とエネルギー貯蔵の増加: G7は、2030年代前半のエネルギーシステムにおいて、停止していない石炭発電を段階的に廃止することを初めて約束した。 G7はさらに、2030年までに再生可能エネルギーの導入量を世界全体で3倍にするというCOP28の公約に基づき、2030年までに150万kWの長期エネルギー貯蔵を導入するという目標を設定した。
Building Clean and Resilient Supply Chains:  Working with Congress, President Biden announced that the United States intends to contribute $5 million to the Partnership for Resilient and Inclusive Supply-Chain Enhancement (RISE), launched by the G7 last year.  RISE supports low- and middle-income countries to invest in their economies and strengthen their engagement throughout critical minerals supply chains, helping to drive the clean energy transition and promote resilient supply chains. クリーンで強靭なサプライチェーンを構築する:  バイデン大統領は議会と協力し、昨年G7が立ち上げた「レジリエントで包括的なサプライチェーン強化のためのパートナーシップ(RISE)」に米国が500万ドルを拠出する意向であることを発表した。 RISEは、低・中所得国が自国の経済に投資し、重要な鉱物のサプライチェーン全体への関与を強化することを支援し、クリーンエネルギーへの移行を促進し、弾力的なサプライチェーンを促進する。
Promoting International Collaboration on Nuclear and Fusion Energy:  The G7 recognized nuclear energy as a clean/zero emissions energy source that can reduce dependence on fossil fuels to address the climate crisis and improve global energy security, and pledged to support multilateral efforts to strengthen the resilience of nuclear supply chains.  Recognizing the potential for fusion energy to serve as a breakthrough energy solution, the G7 is establishing a Working Group on Fusion Energy to share best practices and promote cooperation on research and development. 原子力および核融合エネルギーに関する国際協力の促進:  G7は、原子力を、気候危機に対処し、世界のエネルギー安全保障を向上させるために化石燃料への依存を減らすことができるクリーン/ゼロエミッションのエネルギー源として認識し、原子力サプライチェーンの強靭性を強化するための多国間努力を支援することを約束した。 核融合エネルギーが画期的なエネルギー解決策となる可能性を認識し、G7は、ベストプラクティスを共有し、研究開発に関する協力を促進するため、核融合エネルギーに関する作業部会を設置する。
Promoting Health and Food Security 健康と食料安全保障の促進
The G7 continues to lead global efforts to address the food security crisis and support strong, resilient and responsive health systems around the world. G7は、食料安全保障の危機に対処し、世界中の強く、弾力的で、対応力のある保健システムを支援するための世界的な取り組みを引き続き主導する。
Launching the Apulia Food Security Initiative:  G7 leaders joined Italy in launching the Apulia Food Security Initiative to address structural barriers to food security and nutrition and build more resilient, sustainable, and productive agriculture and food systems.  Aligned with the United States’ signature food security initiative, The Feed the Future Initiative, as well as the Vision for Adapted Crops and Soils, the G7 recommitted to investing in sustainable and resilient food systems and in healthy, fertile soil management and climate-adapted crop varieties. プーリア食料安全保障イニシアティブの立ち上げ: G7 の指導者たちは、食料安全保障と栄養に対する構造的な障壁に取り組み、より強靭で持続可能、かつ生産的な農業と食料システムを構築するため、イタリアとともにプーリア食料安全保障イニシアティブを立ち上げた。 米国の代表的な食料安全保障イニシアチブである「フィード・ザ・フューチャー・イニシアチブ」や「適応作物と土壌のためのビジョン」と連携し、G7は、持続可能で強靭な食料システム、健康的で肥沃な土壌管理と気候に適応した作物品種への投資を約束した。
Transforming Global Health Security Financing:  President Biden and G7 leaders called for at least $2 billion in new pledges for the Pandemic Fund, and pledges equal to or greater than that for catalytic financing, which helps developing countries build pandemic prevention, preparedness, and response capacities.  They additionally committed to achieve concrete progress to boost surge financing for medical countermeasure (MCM) to enable countries to quickly procure, produce, and deliver MCMs during future pandemics. 世界的な医療安全保障のための資金調達を変革する:  バイデン大統領とG7首脳は、パンデミック基金への少なくとも20億ドルの新規拠出と、開発途上国のパンデミック予防、準備、対応能力の構築を支援する触媒的資金への同額以上の拠出を求めた。 さらに、将来のパンデミック時に各国が迅速にMCMを調達、生産、提供できるよう、医療対策(MCM)のためのサージ資金を強化するための具体的な進展を約束した。
Expanding Immunization Coverage:  President Biden and G7 leaders expressed support for a sustainable replenishment of Gavi, the Vaccine Alliance, this year, with the goal of significantly expanding immunization coverage globally.  President Biden committed to making a robust and multi-year pledge to Gavi, the Vaccine Alliance, in support of this year’s replenishment and urged other G7 leaders to step up with ambitious pledges of their own. 予防接種範囲の拡大:  バイデン大統領とG7首脳は、予防接種の普及率を世界的に大幅に拡大することを目標に、ワクチン同盟であるGaviの持続可能な補充を今年行うことへの支持を表明した。 バイデン大統領は、今年の補充を支援するため、ワクチンアライアンスであるGaviに対し、強固で複数年にわたる誓約を行うことを約束し、他のG7首脳に対し、野心的な誓約を自ら行うよう促した。
Addressing antimicrobial resistance (AMR):  G7 Leaders committed to take action to address the emergence, spread, and impact of AMR, including through ensuring a successful High-Level Meeting on AMR in September 2024 that galvanizes action on this critical health, economic, and security threat. 抗菌薬耐性(AMR)への対応:  G7首脳は、2024年9月に開催されるAMRに関するハイレベル会合を成功させ、この重大な保健、経済、安全保障上の脅威に対する行動を喚起することを含め、AMRの出現、拡散、影響に対処するための行動をとることを約束した。
Investing in Childcare to Support Women’s Economic Participation 女性の経済参加を支援するための育児への投資
The G7 is tackling the unequal gender distribution of care work, which contributes to gender inequality.  The G7 committed to support, by 2035, at least 200 million more women to join the workforce by investing in efforts to close the global gap in the availability of childcare – including through the World Bank Invest in Childcare Initiative announced by First Lady Dr. Jill Biden in 2022 to help promote women’s economic opportunity.  G7 partners have contributed more than $100 million to the World Bank to support more high-quality investments in childcare globally. G7は、ジェンダー不平等の一因となっている介護労働の不平等な男女分配に取り組んでいる。 G7は、2022年にジル・バイデン大統領夫人が発表した、女性の経済的機会を促進するための世界銀行による保育への投資イニシアティブを含め、保育の利用可能性における世界的格差を解消する取り組みに投資することにより、2035年までに少なくとも2億人以上の女性の労働参加を支援することを約束した。 G7のパートナーは、世界の保育へのより質の高い投資を支援するため、世界銀行に1億ドル以上を拠出している。
Enhancing Our Partnership on Migration 移民に関するパートナーシップの強化
Drawn from the principles of the Los Angeles Declaration on Migration and Protection that President Biden launched at the Summit of the Americas in 2022, the G7 affirmed a collective commitment to addressing migration in ways that reflect both the challenges and opportunities it presents.  Leaders endorsed a three-pronged approach focused on addressing root causes of irregular migration, strengthening safe and regular migration pathways, and enhancing border management and enforcement and curbing transnational organized crime. 2022年の米州サミットでバイデン大統領が発表した「移住と保護に関するロサンゼルス宣言」の原則に基づき、G7は、移住がもたらす課題と機会の双方を反映する形で移住に取り組むという集団的なコミットメントを確認した。 首脳は、非正規移民の根本原因への取り組み、安全で正規の移民経路の強化、国境管理と執行の強化、国際組織犯罪の抑制に焦点を当てた3つの側面からのアプローチを支持した。
Deepening Cooperation on Artificial Intelligence 人工知能に関する協力の深化
In line with the Biden Administration’s vision laid out in the October 2023 Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence, the G7 is building partnerships around the world to ensure the benefits of artificial intelligence and other technologies are widely shared while mitigating risks. バイデン政権が2023年10月に発表した「人工知能の安全、安心かつ信頼できる開発と利用に関する大統領令」に示されたビジョンに沿って、G7は人工知能やその他の技術の恩恵を広く共有する一方で、リスクを軽減するためのパートナーシップを世界中で構築している。
Bridging Technology Divides and Addressing AI’s Impact on Workers:  G7 leaders affirmed the importance of international partnerships to bridge the digital divide and ensure people everywhere access the benefits of AI and other technologies in order to make scientific advancements, promote sustainable development, improve public health, accelerate the clean energy transition, and more. G7 labor ministers will develop an action plan to leverage AI’s potential to increase quality jobs and empower workers while addressing its potential challenges and risks to workers and labor markets. 技術の隔たりを埋め、AIが労働者に与える影響に対処する:  G7首脳は、科学の進歩、持続可能な開発の促進、公衆衛生の向上、クリーン・エネルギーへの転換の加速などを実現するため、デジタル・デバイドを解消し、あらゆる人々がAIやその他の技術の恩恵にアクセスできるようにするための国際的パートナーシップの重要性を確認した。G7労働大臣は、労働者と労働市場に対する潜在的な課題とリスクに対処しつつ、質の高い雇用を増やし、労働者に力を与えるAIの潜在力を活用するための行動計画を策定する。
Increasing Coordination to Promote AI Safety:  G7 leaders committed to step up efforts to enhance interoperability between our respective approaches to AI governance and risk management.  This includes deepening cooperation between the U.S. AI Safety Institute and similar bodies in other G7 countries to advance international standards for AI development and deployment. AIの安全性を促進するための協調を強化する:  G7首脳は、AIガバナンスとリスク管理に対するそれぞれのアプローチ間の相互運用性を高める努力を強化することを約束した。 これには、米国のAI安全性研究所と他のG7諸国の同様の組織との協力を深め、AIの開発と展開に関する国際基準を推進することが含まれる。
Promoting Resilient Technology Supply Chains: The G7 welcomed the establishment of a Semiconductors G7 Point of Contact Group to bolster our coordination on issues impacting this critical sector underpinning the AI ecosystem. 強靭な技術サプライチェーンの促進: G7は、AIのエコシステムを支えるこの重要なセクターに影響を与える問題についての協調を強化するため、半導体G7コンタクト・ポイント・グループの設立を歓迎した。

 

Fig1_20210802074601

 

 


 

ちなみに、日本の外務省のウェブページ

外務省 

2024 G7サミット

 

 


 

| | Comments (0)

2024.06.16

カナダ サイバーセキュリティセンター (CCCS) 中華人民共和国のサイバー脅威活動に対する認識と防御を促す(2024.06.03最終更新)

こんにちは、丸山満彦です。

カナダのサイバーセキュリティセンター(Canadian Centre for Cyber Security; CCCS) が、中華人民共和国 (People's Repabilic of CHina; PRC)  によるサイバー脅威活動について、認識をもち、防御をしなさいよ...と警告しています...

 

Canadian Centre for Cyber Security; CCCS

・2024.06.03 Cyber threat bulletin: Cyber Centre urges Canadians to be aware of and protect against PRC cyber threat activity

Cyber threat bulletin: Cyber Centre urges Canadians to be aware of and protect against PRC cyber threat activity サイバー脅威速報:サイバーセンターはカナダ国民に対し、PRCのサイバー脅威活動に対する認識と防御を促す。
Introduction はじめに
The Canadian Centre for Cyber Security  (Cyber Centre) is warning that the People’s Republic of China (PRC) is increasingly targeting Canadians and Canadian organizations through the scale and scope of its cyber operations. This cyber bulletin aims to raise awareness among both individuals and organizations and urges all Canadians to be vigilant of this threat. カナダ・サイバーセキュリティセンター(サイバーセンター)は、中華人民共和国(PRC)がそのサイバー活動の規模と範囲を通じて、カナダ人およびカナダの組織を標的とする傾向を強めていることを警告する。このサイバー速報は、個人と組織の両方の意識を高めることを目的とし、すべてのカナダ人にこの脅威に対する警戒を促すものである。
PRC cyber threat  activity outpaces other nation state cyber threats in volume, sophistication and the breadth of targeting. The Cyber Centre has observed widespread targeting by the PRC and this activity poses a serious threat to Canadian entities across a range of sectors. The activity has targeted: PRCのサイバー脅威活動は、その量、巧妙さ、標的の広さにおいて、他の国家によるサイバー脅威を凌駕している。サイバーセンターは、PRCによる広範な標的を観察しており、この活動は、さまざまな分野のカナダの事業体に深刻な脅威をもたらしている。その標的は以下の通りである:
・all levels of government ・すべての政府機関
・critical infrastructure ・重要インフラ
・industry, including the Canadian research and development sector ・カナダの研究開発部門を含む産業
It’s important to note that if the Cyber Centre is aware of cyber threat activity targeting an entity, we alert the target to that threat. 重要なことは、サイバーセンターがある企業をターゲットとしたサイバー脅威活動を認識した場合、そのターゲットにその脅威を警告することである。
“The threat from China [to Canadian organizations] is very likely the most significant by volume, capability, and assessed intent.” (カナダの組織に対する)中国からの脅威は、量、能力、そして評価された意図において、最も重大である可能性が非常に高い。
National Cyber Threat Assessment 2023-2024 国家サイバー脅威評価 2023-2024
Cyberespionage スパイ活動
PRC cyber threat actors often serve direct or indirect requirements of the PRC intelligence services. Their targets frequently reflect the national policy objectives of the PRC. These cyber threat actors routinely seek information that will provide an economic and diplomatic advantage in the PRC-Canada bilateral relationship, as well as information related to technologies prioritized in the PRC’s central planning. 中国のサイバー脅威勢力は、多くの場合、中国情報機関の直接的または間接的な要求に対応している。彼らの標的は、しばしば中国の国策目的を反映している。これらのサイバー脅威者は、中国とカナダの二国間関係において経済的・外交的な優位性をもたらす情報や、中国の中央計画において優先される技術に関連する情報を日常的に求めている。
Networks of Government of Canada agencies and departments have been compromised by PRC cyber threat actors multiple times over the past few years. All known compromises have been addressed. The Cyber Centre observes near constant reconnaissance  activity by the PRC against Government of Canada systems. However, federal government networks are not the only networks that are used to store and communicate information that could provide valuable intelligence to the PRC. In particular, all levels of government in Canada should be aware of the espionage threat posed by PRC cyber threat actors. カナダ政府機関や部局のネットワークは、過去数年間に何度もPRCのサイバー脅威行為者によって侵害されてきた。既知の侵害はすべて対処済みである。サイバー・センターは、カナダ政府のシステムに対するPRCの偵察活動をほぼ常時観測している。しかし、PRCに貴重な情報を提供する可能性のある情報の保存や通信に使用されているネットワークは、連邦政府のネットワークだけではない。特に、カナダのすべてのレベルの政府は、PRCのサイバー脅威者がもたらすスパイの脅威を認識すべきである。
PRC cyber threat actors also frequently aim to collect large datasets containing personal information, likely for the purposes of bulk data analysis and target profiling. PRCのサイバー脅威関係者は、個人情報を含む大規模なデータセットの収集も頻繁に狙っており、その目的は、データの一括分析や標的のプロファイリングにあると思われる。
Example targets of concern 懸念対象の例
・Federal, provincial, territorial, municipal and Indigenous government entities; ・連邦政府、州政府、準州政府、地方自治体、先住民族政府機関;
・Any organization or individual in close partnership with government entities; ・政府機関と緊密な協力関係にある組織または個人;
・Universities, labs and science and technology companies engaged in research and development of technologies prioritized in PRC central planning; and ・中国の中央計画で優先された技術の研究開発に従事する大学、研究所、科学技術企業。
・Individuals or organizations that the PRC deems a threat – particularly those individuals advocating for Taiwan and Hong Kong independence and Chinese democracy. ・中華人民共和国が脅威とみなす個人または組織、特に台湾や香港の独立、中国の民主化を主張する個人。
Computer network attack コンピュータ・ネットワーク攻撃
We echo the concerns made by U.S. partners about PRC cyber threat groups prepositioning network access for potential computer network attack against North American critical infrastructure  in the event of conflict in the Indo-Pacific. Computer network attacks designed to damage, disrupt or destroy critical infrastructure networks and IT systems during heightened geopolitical tensions, military conflicts or both would cause societal panic and delay the deployment of the U.S. military. 我々は、中国のサイバー脅威グループが、インド太平洋で紛争が発生した場合、北米の重要インフラに対する潜在的なコンピューターネットワーク攻撃のために、ネットワークアクセスを準備していることについて、米国のパートナーから出された懸念を支持する。地政学的緊張の高まりや軍事衝突、あるいはその両方において、重要インフラ・ネットワークやITシステムに損害を与え、混乱させ、あるいは破壊することを目的としたコンピューター・ネットワーク攻撃は、社会的パニックを引き起こし、米軍の展開を遅らせるだろう。
Energy, telecommunications and transportation are the sectors of greatest concern. However, critical infrastructure owners and operators should be aware of the potential for computer network attacks against their organizations in the event of potential geopolitical tensions or military conflicts. エネルギー、電気通信、輸送が最も懸念される分野である。しかし、重要インフラの所有者や運営者は、地政学的な緊張や軍事衝突の可能性がある場合、組織に対するコンピュータ・ネットワーク攻撃の可能性を認識しておく必要がある。
This is not just a concern for American owners and operators. The Cyber Centre assesses that the direct threat to Canada’s critical infrastructure from PRC state-sponsored actors is likely lower than that to U.S. infrastructure, but should U.S. infrastructure be disrupted, Canada would likely be affected as well due to interoperability and interdependence in the sectors of greatest concern. これは米国の所有者やオペレーターだけの懸念ではない。サイバーセンターは、カナダの重要インフラに対するPRCの国家支援者による直接的な脅威は、米国のインフラに対するそれよりも低い可能性が高いが、米国のインフラが中断された場合、最も懸念される分野における相互運用性と相互依存性により、カナダも影響を受ける可能性が高いと評価している。
Concerning trends in PRC cyber threat activity 中国のサイバー脅威活動の動向について
It is difficult to generalize our technical concerns due to the scale and diversity of PRC cyber threat actors. That said, the following observations drawn from prior advisories and statements reflect some of our most serious concerns. These should be taken into consideration when defending against and mitigating PRC cyber threat activity: 中国のサイバー脅威行為者の規模と多様性のため、我々の技術的懸念を一般化することは困難である。とはいえ、過去の勧告や声明から導き出された以下の見解は、我々の最も深刻な懸念のいくつかを反映している。これらは、PRCのサイバー脅威活動に対する防御と軽減の際に考慮されるべきである:
・PRC cyber threat actors frequently co-opt compromised small office and home office (SOHO) routers to conduct cyber threat activity and avoid detection. ・中国のサイバー脅威者は、侵害された小規模オフィスやホームオフィス(SOHO)のルーターを共用してサイバー脅威活動を行い、検知を回避することが多い。
・PRC cyber threat actors frequently “live off the land” using the built-in network administration tools of a system rather than specialized malware to conduct malicious activity. This technique helps cyber threat actors blend into normal system traffic and avoid detection by network defenders. This activity demonstrates a degree of sophistication and agility and shows that PRC cyber threat actors are not limited to a particular technique. ・中国のサイバー脅威者は、悪意のある活動を行うために特殊なマルウェアを使用するのではなく、システムに内蔵されているネットワーク管理ツールを使用して「陸の上で生活する」ことがよくあります。この手法は、サイバー脅威行為者が通常のシステムトラフィックに紛れ込み、ネットワーク防御者による検知を回避するのに役立ちます。この活動は、高度で機敏であることを示し、中国のサイバー脅威者が特定の手法に限定されていないことを示しています。
・PRC cyber threat actors frequently attempt to compromise trusted service providers (such as telecommunications, managed service providers and cloud service providers) to access client information or networks. ・中国のサイバー脅威者は、信頼できるサービスプロバイダー(電気通信、マネージドサービスプロバイダー、クラウドサービスプロバイダーなど)を侵害し、顧客の情報やネットワークにアクセスしようとすることが多い。
・PRC cyber threat actors rapidly weaponize and proliferate exploits for newly revealed vulnerabilities. This suggests an ongoing risk of indiscriminate exploitation of vulnerable systems. It is therefore essential that system owners apply all critical security updates as quickly as possible. ・中国のサイバー脅威勢力は、新たに明らかになった脆弱性の悪用を迅速に武器化し、拡散させている。このことは、脆弱なシステムを無差別に悪用するリスクが継続的に存在することを示唆している。したがって、システム所有者は、重要なセキュリティ・アップデートを可能な限り迅速に適用することが不可欠である。
Mitigation guidance 緩和ガイダンス
The Cyber Centre encourages the Canadian cyber security community, especially provincial, territorial and municipal governments, to bolster their awareness of and protection against PRC state-sponsored cyber threats. We join our partners in the U.S. and the UK in recommending proactive network monitoring and mitigations. サイバーセンターは、カナダのサイバーセキュリティ・コミュニティ、特に州政府、準州政府、市町村政府に対し、中国国家によるサイバー脅威に対する認識と防御を強化するよう奨励している。我々は、米国と英国のパートナーとともに、積極的なネットワーク監視と緩和策を推奨する。
The Cyber Centre urges provincial, territorial and municipal governments as well as critical infrastructure network defenders to adopt the following measures: サイバーセンターは、州政府、準州政府、市町村政府、および重要インフラネットワーク防衛者に対し、以下の対策を講じるよう要請する:
・Be prepared to isolate critical infrastructure components and services from the Internet and corporate or internal networks, should they be considered attractive to a hostile threat actor to disrupt. When using industrial control systems or operational technology, conduct a test of manual controls to ensure that critical functions remain operable if the organization’s network is unavailable or untrusted. ・敵対的な脅威行為者にとって、重要なインフラストラクチャコンポーネントやサービスが、混乱させる魅力があると考えられる場合には、インターネットや企業内・内部ネットワークから分離する準備をする。産業用制御システムや運用技術を使用する場合は、手動制御のテストを実施し、組織のネットワークが利用できない場合や信頼されていない場合でも、重要な機能が動作可能であることを確認する。
・Increase organizational vigilance. Monitor your networks with a focus on the tactics, techniques and procedures (TTPs) reported by the Cyber Centre and its partners. Ensure that cyber security and IT personnel are focused on identifying and quickly assessing any unexpected or unusual network behaviour. Enable logging in order to better investigate issues or events. ・組織の警戒態勢を強化する。サイバーセンターとそのパートナーから報告された戦術、技術、手順(TTP)に重点を置いてネットワークを監視する。サイバーセキュリティ担当者とIT担当者が、予期しない、または異常なネットワーク動作を特定し、迅速に評価することに集中するようにする。問題やイベントをよりよく調査するために、ロギングを有効にする。
Restrict intruders’ ability to move freely around your systems and networks. Pay particular attention to potentially vulnerable entry points (such as third-party systems with onward access to your core network). During an incident, disable remote access from third-party systems until you are sure they are clean. Consult the National Cyber Security Centre’s publications on preventing lateral movement and assessing supply chain security to learn more. ・侵入者がシステムやネットワークを自由に動き回れるように制限する。特に、潜在的に脆弱なエントリー・ポイント(コア・ネットワークへのオンワード・アクセスを持つサードパーティ・システムなど)に注意を払う。インシデント発生時には、サードパーティシステムからのリモートアクセスを、それらがクリーンであることを確認するまで無効にする。詳細については、横方向の移動の防止と サプライチェーンのセキュリティ評価に関するNational Cyber Security Centreの出版物を参照してください。
Enhance your security posture. Patch your systems with a focus on the vulnerabilities outlined in the Cybersecurity and Infrastructure Security Agency’s advisory on PRC state-sponsored actors compromising and maintaining persistent access to U.S. critical Infrastructure and enable logging around backup. Deploy network and endpoint monitoring (such as anti-virus software), and implement multi-factor authentication where appropriate. Create and test offline backups. ・セキュリティ体制の強化米国の重要インフラへの持続的なアクセスを侵害し、維持している中国国家支援行為者に関するサイバーセキュリティおよびインフラセキュリティ庁の勧告に概説されている脆弱性に重点を置いてシステムにパッチを適用し、バックアップに関連するロギングを有効にする。ネットワークとエンドポイントの監視(アンチウイルス・ソフトウェアなど)を導入し、必要に応じて多要素認証を導入する。オフライン・バックアップを作成し、テストする。
・Have a cyber incident response plan, as well as continuity of operations and communications plans. Be prepared to use them. ・サイバーインシデント対応計画、事業継続計画、通信計画を立てる。それらを使用する準備をすること。
Contact the Cyber Centre to inform us of suspicious or malicious cyber activity. ・疑わしい、または悪質なサイバー活動については、サイバーセンターまでご連絡ください。
Useful resources 有用なリソース
Refer to the following online resources for more information and useful advice and guidance. より詳細な情報や有用なアドバイス、ガイダンスについては、以下のオンラインリソースを参照してください。
Reports and advisories レポートと勧告
Canada’s threat assessments カナダの脅威評価
National Cyber Threat Assessment 2023-2024 国家サイバー脅威評価 2023-2024
Cyber Threats to the Democratic Process: 2023 update 民主的プロセスに対するサイバー脅威2023年更新
Cyber Threat Bulletin: The Cyber Threat to Operational Technology サイバー脅威速報運用技術に対するサイバー脅威
Cyber Threat Bulletin: The Cyber Threat to Canada's Electricity Sector サイバー脅威速報カナダの電力セクターに対するサイバー脅威
Joint advisories and partner publications 共同勧告およびパートナーの出版物
Joint guidance for executives and leaders of critical infrastructure organizations on protecting against PRC cyber activity 重要インフラ組織の幹部およびリーダーを対象とした、中国のサイバー活動からの保護に関する共同ガイダンス
UK calls out China state-affiliated actors for malicious cyber targeting of UK democratic institutions and parliamentarians 英国、英国の民主的機関および国会議員を標的とした悪意あるサイバー行為について中国国家関連行為者を非難
Joint cyber security advisory on PRC state-sponsored cyber threat 中国国家によるサイバー脅威に関する共同サイバーセキュリティ勧告
Joint advisory on PRC state-sponsored actors compromising and maintaining persistent access to U.S. critical infrastructure and joint guidance on identifying and mitigating living off the land 米国の重要インフラを侵害し、持続的なアクセスを維持する中国国家支援行為者に関する共同勧告と、土地に依存しない生活の特定と軽減に関する共同ガイダンス
Technical Approaches to Uncovering and Remediating Malicious Activity 悪意のある活動の発見と修復のための技術的アプローチ
Advice and guidance アドバイスとガイダンス
Secure your accounts and devices with multi-factor authentication (ITSAP.30.030) 多要素認証でアカウントとデバイスを保護する (ITSAP.30.030)
Security considerations for your website (ITSM.60.005) ウェブサイトのセキュリティに関する考慮事項 (ITSM.60.005)
Security considerations for industrial control systems (ITSAP.00.050) 産業用制御システムのセキュリティに関する考慮事項 (ITSAP.00.050)
Top 10 IT security actions to protect Internet connected networks and information (ITSM.10.089) インターネットに接続されたネットワークと情報を保護するためのITセキュリティ対策トップ10 (ITSM.10.089)
Top 10 IT security action items: No. 2 patch operating systems and applications (ITSM.10.096) ITセキュリティ対策項目トップ10第2位 OSとアプリケーションにパッチを当てる(ITSM.10.096)
Planning プランニング
Fundamentals of Cyber Security for Canada's CI Community カナダのCIコミュニティのためのサイバーセキュリティの基礎

 

1_20240615054901

| | Comments (0)

2024.06.15

Five eyes 進化する脅威への対応 - 重要インフラのセキュリティとレジリエンス

こんにちは、丸山満彦です。

クリティカル5(オーストラリア、カナダ、ニュージーランド、英国、米国)が、進化する脅威への対応 - 重要インフラのセキュリティとレジリエンスという文書を公表していますね...

ファイブ・アイズ各国がどのようにサイバー空間に関連する安全保障を考えているのかが分かりやすくまとまっているように思いました。



しかし、この報告書はオーストラリア以外(例えば、CCCSNCSC-NZNCSCCISA)では、見つけられていないです...探すところをまちがっているかな?

附属書で重要インフラ、基幹インフラの定義や比較ができて、なんとなくお国柄(産業構造など)がわかりますよね...

 

オーストラリア

Cyber and Infrastructure Security Centre

・2024.06.11 Critical 5: Adapting to Evolving Threats - Critical Infrastructure Security and Resilience

Critical 5: Adapting to Evolving Threats - Critical Infrastructure Security and Resilience クリティカル5:進化する脅威への対応 - 重要インフラのセキュリティとレジリエンス
The Critical 5 member nations (Australia, Canada, New Zealand, the United Kingdom, and the United States) have collectively provided a high-level overview of the meaning and importance of critical infrastructure and how Critical 5 nations are modernising their regulatory and non-regulatory approaches to address the evolving risks facing critical infrastructure. クリティカル5加盟国(オーストラリア、カナダ、ニュージーランド、英国、米国)は、重要インフラの意味と重要性、そしてクリティカル5加盟国が重要インフラが直面する進化するリスクに対処するために、規制および非規制のアプローチをどのように近代化しているかについて、全体としてハイレベルな概要を提供した。
Mutual interests and interconnections among the Critical 5 member nations lay the foundation for ongoing collaboration to ensure a collective approach to enhancing the resilience of critical infrastructure through shared knowledge, experience and expertise. The 2024 Critical 5 Shared Narrative delves into the definition of critical infrastructure, each member nations’ key sectors and policy approaches, as well as engagement and support strategies. クリティカル5加盟国間の相互利益と相互関係は、知識、経験、専門知識の共有を通じて、重要インフラのレジリエンスを強化するための集団的アプローチを確保するための継続的協力の基礎を築くものである。2024年クリティカル5共有ナラティブ」は、重要インフラの定義、各メンバー国の主要セクターと政策アプローチ、関与と支援戦略について掘り下げている。


・[PDF

20240614-85541

・[DOCX][PDF] 仮訳

 

 

| | Comments (0)

2024.06.14

NATO CCDCOE タリン文書第14号は、サイバー外交とその実践に焦点を当てている

こんにちは、丸山満彦です。

NATOのCCDCOEが、タリン文書第14号:サイバー外交:概念から実践へという文書を公表していますね...

日本もいきなりサイバー攻撃の話にいく前に、サイバー外交という観点で整理しておくのが重要かもしれませんね...

フィジカル世界でも、外務省、防衛省、警察庁、海上保安庁などの役割分担があるわけですから、サイバー空間でもそのような役割分担は必要でしょうね...

詳細は、会議に出席した?高橋郁夫弁護士に確認するのがよいかもですが...

 

NATO CCDCOE

・2024.06.11 New Tallinn Paper focuses on Cyber Diplomacy Concepts and Practices

 

New Tallinn Paper focuses on Cyber Diplomacy Concepts and Practices 新たなタリン文書はサイバー外交の概念と実践に焦点を当てる
NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) has published the 14th Tallinn Paper on Cyber Diplomacy: From Concept to Practice. The author George Christou provides an overview of how cyber diplomacy has evolved, its definition, how it has developed and how it has been performed in relation to critical issues of cyber security and cyber defence. NATOサイバー防衛センター・オブ・エクセレンス(CCDCOE)は、サイバー外交に関する第14回タリン・ペーパーを発表した: コンセプトから実践まで」と題する論文を発表した。認可者のGeorge Christouはサイバー外交がどのように発展してきたか、その定義、どのように発展してきたか、サイバーセキュリティとサイバー防衛の重要な問題に関連してどのように実行されてきたかを概観している。
The paper concludes that the central debates and trends underscore the need for further government and governance adaptation to develop, integrate and constitute cyber diplomatic practices within the foreign policies of governments and ROs and towards the increasing importance of the role of cyber diplomats in times of war and peace whether related to preventative, cooperative, restrictive or reactive measures in response to the increased sophistication and complexity of incidents and the use of new technologies. It has also pointed to the need for cyber diplomacy to build coalitions and alliances to bridge the ideological gap that exists over important issues of cyber security. 本稿は、中心的な議論と傾向から、サイバー外交を政府や国際機関の外交政策の中で発展させ、統合し、構成するための政府とガバナンスの更なる適応の必要性を強調し、インシデントの高度化と複雑化、新技術の使用に対応する予防的、協力的、制限的、あるいは反応的な措置のいずれにせよ、戦争と平和の時代におけるサイバー外交官の役割の重要性が増していることを強調している。また、サイバーセキュリティの重要な問題をめぐって存在するイデオロギーのギャップを埋めるために連合や同盟を構築するサイバー外交の必要性も指摘されている。
The NATO CCDCOE’s Tallinn Papers are designed to inform strategic dialogue regarding cyber security within the Alliance and beyond. They address cyber security from a multidisciplinary perspective by examining a wide range of issues, including cyber threat assessment, domestic and international legal dilemmas, governance matters, assignment of roles and responsibilities for the cyber domain, the militarization of cyberspace, and technical. Focusing on the most pressing cyber security debates, the Tallinn Papers aim to support the creation of a legal and policy architecture that is responsive to the peculiar challenges of cyberspace. With their future-looking approach, they seek to raise awareness and to provoke the critical thinking that is required for well-informed decision-making on the political and strategic levels. NATO CCDCOEのタリン文書は同盟内外のサイバーセキュリティに関する戦略的対話に情報を提供することを目的としている。サイバー脅威のアセスメント、国内および国際的な法的ジレンマ、ガバナンス問題、サイバー空間における役割と責任の分担、サイバー空間の軍事化、技術的な問題など、幅広い問題を検討することにより、学際的な観点からサイバーセキュリティに取り組んでいる。最も差し迫ったサイバーセキュリティの議論に焦点を当てたタリン文書は、サイバー空間特有の課題に対応する法的・政策的アーキテクチャの構築を支援することを目的としている。将来を見据えたアプローチにより、意識を高め、政治的・戦略的レベルでの十分な情報に基づく意思決定に必要な批判的思考を喚起することを目指している。

 

・[PDF]

20240613-180514

 ・[DOCX][PDF] 仮訳

 

 

| | Comments (0)

2024.06.13

世界経済フォーラム (WEF) グローバル・ジェンダーギャップ報告書 2024 (昨年よりも7つも順位を上げる!)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)がグローバル・ジェンダーギャップ報告書の2024年版を公表していますね。。。

日本は総合で、118位(146カ国中)という状況ですが、昨年は。。。125位(146カ国中)ということだったので、7つも順位を上げています。

上昇に貢献したのが、政治。113位(146カ国中)は昨年の138位(146カ国中)から大きく順位を上げています!

 

Fig1_20240613010101

 

Fig2_20240613010101

 

指数をみると日本はほぼ同じ。。。でも、順位は下がっている。。。

日本が停滞しているのは、世界がかわっていっているのに、日本が変わっていっていないからかもしれませんね。。。取り残される日本...

 

 

World Economic Forum - Whitepaper

・2023.06.11 Global Gender Gap Report 2024

 

Global Gender Gap Report 2024 グローバル・ジェンダーギャップ報告書 2024
The Global Gender Gap Index annually benchmarks the current state and evolution of gender parity across four key dimensions (Economic Participation and Opportunity, Educational Attainment, Health and Survival, and Political Empowerment). It is the longest-standing index tracking the progress of numerous countries’ efforts towards closing these gaps over time since its inception in 2006. グローバル・ジェンダー・ギャップ指数は毎年、4つの主要な次元(経済参加と機会、教育達成、健康と生存、政治的エンパワーメント)におけるジェンダー平等の現状と進展をベンチマークしている。この指標は、2006年の開始以来、長期にわたってこれらの格差の解消に向けた多くの国々の努力の進捗状況を追跡している、最も長い歴史を持つ指標である。

 

・[PDF] Global Gender Gap Report 2024

20240612-235059

 

日本についてはP219, P220に詳細なものがありますね。。。

 

これは私がまとめた日本の推移...

経済参画 教育 健康 政治参画 経済参画 教育 健康 政治参画 総合 国数
2006年 0.545 0.986 0.980 0.067 0.645 83 60 1 83 80 115
2007年 0.549 0.986 0.979 0.067 0.645 97 69 37 94 91 128
2008年 0.544 0.985 0.979 0.065 0.643 102 82 38 107 98 130
2009年 0.550 0.985 0.979 0.065 0.645 108 84 41 110 101 134
2010年 0.572 0.986 0.980 0.072 0.652 101 82 1 101 94 134
2011年 0.567 0.986 0.980 0.072 0.651 100 80 1 101 98 135
2012年 0.576 0.987 0.979 0.070 0.653 102 81 34 110 101 135
2013年 0.584 0.976 0.979 0.060 0.650 104 91 34 118 105 136
2014年 0.618 0.978 0.979 0.058 0.658 102 93 37 129 104 142
2015年 0.611 0.988 0.979 0.103 0.670 106 84 42 104 101 145
2016年 0.569 0.990 0.979 0.103 0.660 118 76 40 103 111 144
2017年 0.580 0.991 0.98 0.078 0.657 114 74 1 123 114 144
2018年 0.595 0.994 0.979 0.081 0.662 117 65 41 125 110 149
2020年 0.598 0.983 0.979 0.049 0.652 115 91 40 144 121 153
2021年 0.604 0.983 0.973 0.061 0.656 117 92 65 147 120 156
2022年 0.564 1.000 0.973 0.061 0.650 121 1 63 139 116 146
2023年 0.561 0.997 0.973 0.057 0.647 123 47 59 138 125 146
2024年 0.568 0.993 0.973 0.118 0.663 120 72 58 113 118 146

 

Key Findings

Full Report

User Guide

Economy Profiles

Shareables

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.23 世界経済フォーラム (WEF) グローバル・ジェンダーギャップ報告書 2023 (政治参画は146カ国中138位)

・2023.06.15 経団連 「男性の家事・育児」に関するアンケ―ト調査結果 (2023.06.05)

・2023.04.03 米国 米サイバー軍 科学・技術・サイバースペースの未来に図らずも挑戦した女性たち

・2023.03.14 CISA より多くの若い女性をサイバーセキュリティに導くためにガールスカウトUSAと連携を強化

・2023.03.14 CISAとWomen in CyberSecurityがパートナーシップを強化し、サイバーと技術におけるジェンダーギャップを解消へ

 

| | Comments (0)

世界経済フォーラム (WEF) 製造事業者がサイバーレジリエンス文化を構築する3つの方法

こんにちは、丸山満彦です。

世界経済フォーラム (WEF) が、製造事業者がサイバーレジリエンス文化を構築する3つの方法という記事を載せていますね。。。

1. Make cyber resilience a business priority.  1. サイバーレジリエンスをビジネスの優先事項とする。
2. Drive cyber resilience by design.  2. 設計によってサイバーレジリエンスを推進する。
3. Engage and manage the ecosystem. 3. エコシステムを関与させ、管理する。

 

企業文化をつくる、変えるという意味では、経営者が率先して言葉にして、行動しないといけませんよね...

COSOの内部統制の報告書では、Tone the Top [wikipedia] という表現を使っていますね。。。

 

・2024.06.07 3 ways manufacturers can build a culture of cyber resilience

3 ways manufacturers can build a culture of cyber resilience 製造事業者がサイバーレジリエンス文化を構築する3つの方法
This article is part of: Centre for Advanced Manufacturing and Supply Chains この記事は先進製造・サプライチェーンセンターの一部である。
・A cyberattack on a manufacturer can have significant knock-on effects that can even spread beyond the industry to other organisations along the supply chain. ・製造事業者がサイバー攻撃を受けると、その影響は大きく、業界を超えてサプライチェーン上の他の組織にまで波及する可能性がある。
・The expense and business impact of pausing production makes it difficult for manufacturers to make system changes or upgrades to address cybersecurity, but this also makes them a prime target for cyberattacks. ・製造事業者がサイバーセキュリティに対応するためにシステムの変更やアップグレードを行うことは、生産を一時停止することによる費用やビジネスへの影響を考えると難しい。
・By following three key principles, manufacturers can integrate cyber resilience into their organizational culture to help boost their own security – and that of the other organisations in their business networks. ・製造事業者は、3 つの主要原則に従うことで、サイバーレジリエンスを組織文化に統合し、自組織のセキュリ ティを高めることができる。
The manufacturing sector, an essential element of the global economy, encompasses diverse industries such as consumer goods, electronics, automotive, energy and healthcare. Due to its global reach and impact, it plays a significant role in exports, innovation and productivity growth, fuelling economic development worldwide. グローバル経済に不可欠な製造事業者は、消費財、エレクトロニクス、自動車、エネルギー、ヘルスケアなど多様な業界を包含している。その世界的な広がりと影響力により、製造業は輸出、技術革新、生産性向上において重要な役割を果たし、世界中の経済発展を促進している。
The global spread of manufacturing production facilities creates complex supply chains in which producers are also often consumers. Manufacturing is also inherently intertwined with other sectors such as logistics, energy and information technology. And so, any disruption to the manufacturing process can cascade throughout many other sectors – and around the world. 製造業の生産拠点が世界各地に広がることで、複雑なサプライチェーンが形成され、そこでは生産者が消費者でもあることが多い。製造事業者はまた、ロジスティクス、エネルギー、情報技術といった他のセクターとも本質的に絡み合っている。そのため、製造工程に何らかの混乱が生じると、他の多くの部門に、そして世界中に連鎖する可能性がある。
Over the past decade, the manufacturing sector has undergone rapid digital transformation, embracing innovations such as digital twins, robotics, artificial intelligence, cloud computing and the industrial internet of things (IIoT). While these advances drive growth and efficiency, they also expose the sector to cyber threats. 過去10年間、製造事業者は急速なデジタル変革を遂げ、デジタル・ツイン、ロボット工学、人工知能、クラウド・コンピューティング、モノの産業用インターネット(IIoT)などのイノベーションを取り入れてきた。こうした進歩は、成長と効率化を促進する一方で、製造業をサイバー脅威にさらしている。
 Fig1_20240612172301
The rise of cybersecurity attacks サイバーセキュリティ攻撃の増加
The transition from isolated systems to interconnected ones alongside the rise of the internet and then cloud computing has heightened cybersecurity challenges for industrial organisations – especially since different organisations don't always put the same emphasis on investing in cybersecurity. Increased data exchange throughout the entire supply chain only amplifies these risks. The result is that cyber risk is systemic, contagious and often beyond the understanding or control of any single entity. インターネット、そしてクラウド・コンピューティングの台頭とともに、孤立したシステムから相互接続されたシステムへの移行は、産業組織にとってのサイバーセキュリティの課題を高めている。サプライチェーン全体でのデータ交換の増加は、こうしたリスクを増幅させるだけである。その結果、サイバーリスクはシステム化され、伝染し、しばしば単一の事業体の理解や制御を超えることになる。
20240612-173103
In fact, heightened connectivity and data transparency has made manufacturing the most targeted sector for cyberattacks for three years in a row. It now accounts for 25.7% of attacks, with ransomware involved in 71% of these incidents. Manufacturing organizations are a particularly lucrative and accessible target for ransomware due to their low tolerance for downtime and relatively low level of cyber maturity compared to other sectors. 実際、接続性とデータの透明性が高まったことで、製造事業者は3年連続でサイバー攻撃の最も標的とされる部門となっている。現在、攻撃の25.7%を占めており、その71%にランサムウェアが関与している。製造事業者は、ダウンタイムに対する耐性が低く、サイバー成熟度が他のセクターと比べて比較的低いため、ランサムウェアにとって特に有利でアクセスしやすいターゲットとなっている。
Manufacturing companies also often lag behind when it comes to investment in cyber resilience because of their extended production cycles and the hefty investments needed to redesign manufacturing lines. In February 2024, for example, a German battery manufacturer had to halt production at 5 plants for over 2 weeks due to a cyberattack on its IT system. また、製造事業者は、生産サイクルが長く、製造ラインの再設計に多額の投資が必要なため、サイバーレジリエンスへの投資が遅れがちである。たとえば、2024 年 2 月には、ドイツの電池製造事業者が、IT システムへのサイバー攻撃により、5 つの工場で 2 週間以上にわたって生産を停止せざるを得なくなった。
With the costs of attacks on this sector increasing by 125% each year, cyber risk is now seen as the third biggest external risk to manufacturers. この分野への攻撃コストは毎年125%増加しており、サイバーリスクは現在、製造事業者にとって3番目に大きな外部リスクと見なされている。
Fig2_20240612172401
Building a cyber resilient culture サイバーレジリエンス文化の構築
The manufacturing sector faces challenges building cyber resilience across five dimensions. Chief among these is the cultural mindset gap between enterprise (or office-based) and industrial environments, with the latter often prioritizing physical safety over cyber safety. This gap poses a significant hurdle to cyber resilience efforts. 製造事業者は、5つの側面からサイバーレジリエンスを構築するという課題に直面している。その最たるものが、エンタープライズ環境(またはオフィス環境)と産業環境との間の文化的な考え方のギャップであり、後者ではサイバーセーフティよりも物理的な安全性が優先されることが多い。このギャップは、サイバーレジリエンスへの取り組みに大きな障害となっている。
Technical challenges are also a major barrier. Outdated legacy systems combined with the number of connected assets within industrial control systems has left many manufacturing organizations unprepared to fend off sophisticated cyber threats. 技術的な課題も大きな障壁である。時代遅れのレガシーシステムと、産業用制御システムに接続された資産の数とが相まって、多くの製造事業者は、高度なサイバー脅威を撃退する準備ができていない。
Manufacturers are also often reluctant to take factories offline to make upgrades in security or deal with cyberattacks. Along with the industry’s extended ecosystem dependencies, this also makes maintaining cyber resilience difficult. Additionally, strategic challenges arise from dynamic tensions between economic factors, market forces and geopolitical issues. For example, manufacturing is influenced by external forces such as the global inflation and rising energy costs. In a recent report, Rockwell highlighted cyber risks as the third biggest obstacle for manufacturers behind these other factors. 製造事業者はまた、セキュリティのアップグレードやサイバー攻撃への対処のために工場をオフラインにすることに消極的な場合が多い。エコシステムへの依存度が高いことも、サイバーレジリエンスを維持することを困難にしている。さらに、戦略的な課題は、経済的要因、市場の力、および地政学的問題の間の動的な緊張関係 から生じる。例えば、製造事業者は、世界的なインフレやエネルギーコストの上昇といった外的要因の影響を受けている。ロックウェル社は最近の報告書で、製造事業者にとってサイバーリスクは、こうした他の要因に次いで3番目に大きな障害であると強調している。
Another complication is that manufacturers must navigate various regulations and industry standards concerning human and product safety, data protection and cybersecurity. This is made even more difficult if companies have decentralized operations – most manufacturers have factories around the world, as well as working with subsidiaries that may have their own decision-making practices and priorities. Operating across diverse regulatory landscapes only adds more complexity. もうひとつ複雑なのは、製造事業者が人的安全や製品安全、データ保護、サイバーセキュリティに関するさまざまな規制や業界標準を乗り越えなければならないことだ。製造事業者の多くが世界中に工場を持ち、独自の意思決定や優先順位を持つ子会社と連携しているためだ。多様な規制環境にまたがって事業を行うことは、さらに複雑さを増すだけである。

3 ways to make manufacturing cyber resilient 製造業のサイバーレジリエンスを高める3つの方法
Regardless of these complexities, the manufacturing sector must deal with cyber challenges so it can explore new technologies in a secure manner. In this context, the World Economic Forum’s Centre for Cybersecurity and the Centre for Advanced Manufacturing and Supply Chains recently convened a community of cyber leaders across manufacturing to discuss the key challenges and identify best practices. このような複雑さにかかわらず、製造事業者は、安全な方法で新技術を探求できるよう、サイバー上の課題に対処しなければならない。このような背景から、世界経済フォーラムのサイバーセキュリティ・センターと先進製造業・サプライチェーン・センターは最近、製造業全体のサイバーリーダーたちのコミュニティを招集し、主要な課題について議論し、ベストプラクティスを特定した。
The resulting playbook, Building a Culture of Cyber Resilience in Manufacturing, outlines three cyber resilience principles: その結果作成されたプレイブック「製造業におけるサイバーレジリエンス文化の構築」では、3つのサイバーレジリエンス原則が概説されている:
1. Make cyber resilience a business priority. This principle emphasizes the need for cultural change and a comprehensive cybersecurity governance. It also covers the importance of securing budget and resources, while also creating incentives to ensure that cybersecurity is an objective embraced by all stakeholders. 1. サイバーレジリエンスをビジネスの優先事項とする。この原則は、企業文化の変革と包括的なサイバーセキュリティガバナンスの必要性を強調している。また、予算とリソースを確保することの重要性を取り上げると同時に、サイバーセキュリティがすべての利害関係者に受け入れ られる目標であることを確実にするためのインセンティブを生み出すことも示している。
2. Drive cyber resilience by design. This means integrating cyber resilience into every aspect of processes and systems. A risk-based approach must be used to incorporate cyber resilience into the development of new products, processes, systems and technologies. 2. 設計によってサイバーレジリエンスを推進する。これは、プロセスとシステムのあらゆる側面にサイバーレジリエンスを組み込むことを意味する。リスクベースのアプローチを用いて、新製品、プロセス、システム、および技術の開発にサイバーレジリエンスを組み込む必要がある。
3. Engage and manage the ecosystem. 3. エコシステムを関与させ、管理する。
This principle underlines the importance of fostering trusted partnerships and raising security awareness among stakeholders. Rather than having one organization exert control over a supply chain of other actors, an ecosystem approach involves encouraging all entities in a business network to collaborate to address issues like cybercrime. この原則は、信頼できるパートナーシップを醸成し、利害関係者のセキュリティ意識を高めることの重要性を強調するものである。エコシステム・アプローチでは、1つの組織が他の関係者のサプライチェーンを管理するのではなく、事業ネットワーク内のすべての事業体が協力してサイバー犯罪などの問題に対処することを奨励する。
This kind of increased connectivity should not mean more risk, in fact it can actually help to shift or even gradually improve the risk exposure of an organization. As such, connectivity can provide tremendous benefits to an organization’s cybersecurity programme. It means that systems that were once isolated, providing companies with little visibility, can be managed more effectively at a larger scale. このようなコネクティビティの向上は、リスクの増大を意味すべきではなく、むしろ組織のリスク・エクスポージャーをシフトさせたり、徐々に改善させたりするのに役立つ。このように、接続性は組織のサイバーセキュリティ・プログラムに多大なメリットをもたらす。それは、かつては孤立し、企業にほとんど可視性を提供しなかったシステムを、より大規模に、より効果的に管理できるようになることを意味する。
Fig3_20240612172501
These three principles are interlinked and mutually supportive. They are supported by 17 real-world manufacturing use cases and so are applicable across any manufacturing industry and location. And as digitalization progresses, organizations in the manufacturing sector must use these principles to prioritize building a robust cyber resilience culture. This will help the industry navigate the growing cyber threat landscape more effectively. これら3つの原則は相互にリンクしており、相互に支え合っている。これらの原則は、実際の製造事業者における 17 のユースケースによって裏付けられているため、どのような製造業 界や場所にも適用可能である。そして、デジタル化の進展に伴い、製造部門の組織は、これらの原則を活用して、強固なサイバーレジリエンス文化を構築することを優先しなければならない。そうすることで、拡大するサイバー脅威の状況をより効果的に乗り切ることができるようになる。

 


 

| | Comments (0)

米国 White House サイバーセキュリティの強化を通じたアメリカ人の医療へのアクセスの保護の強化 (2024.06.10)

こんにちは、丸山満彦です。

ホワイトハウスからサイバーセキュリティの強化を通じたアメリカ人の医療へのアクセスの保護の強化に関するファクトシートが公表されていますね。。。

日本でも、医療機関へのランサム攻撃により、病院の診療に影響が出ていますね。。。ITがなくてもできる医療はできるという側面もあるのですが、ITが使えなければできない治療や、ITがあればより多くの治療ができるという面もあるし、今後はますますそうなっていくでしょうね...

¥マイクロソフト、グーグルがいろいろと支援しているようですね...クラウド事業者がある国は選択肢が広いですね...

 

日本の場合は、大きめの病院グループであっても、企業規模的には中小企業のようなもので、十分なリソース(予算、人、ツール)等をサイバーセキュリティに使えていないのが、より課題かもしれませんね...

 

U.S. White House

・2024.06.10 ACT SHEET: Biden-⁠Harris Administration Bolsters Protections for Americans’ Access to Healthcare Through Strengthening Cybersecurity

FACT SHEET: Biden-⁠Harris Administration Bolsters Protections for Americans’ Access to Healthcare Through Strengthening Cybersecurity ファクトシート:バイデン-ハリス政権は、サイバーセキュリティの強化を通じて、米国人の医療へのアクセスの防御を強化する。
Recent cyberattacks targeting the nation’s healthcare system have demonstrated the vulnerability of our hospitals and payment systems.  Providers across the health system had to scramble for funding after one attack on a key payment system. And some hospitals had to redirect care after another.  These disruptions can take too long to resolve before full access to needed health care services or payment systems is restored.  Cyberattacks against the American healthcare system rose 128% from 2022 to 2023.  米国の医療システムを標的とした最近のサイバー攻撃は、病院と支払いシステムの脆弱性を実証した。 医療システム全体のプロバイダは、ある重要な支払いシステムへの攻撃の後、資金繰りに奔走しなければならなかった。また、ある病院では、別の攻撃を受けて、診療の方向転換を余儀なくされた。 このような混乱は、必要な医療サービスや支払いシステムへの完全なアクセスが回復するまでに、解決に時間がかかりすぎることがある。 アメリカの医療システムに対するサイバー攻撃は、2022年から2023年にかけて128%増加した。
In February and March of 2024 alone, the United States experienced one of the most significant healthcare-related cyberattacks to date. During the attack, providers reported that one out of every three health care claims in the United States were impacted, leading to disruptions in timely payment to healthcare providers. 2024年の2月と3月だけで、米国はこれまでで最も重大な医療関連のサイバー攻撃を経験した。この攻撃でプロバイダは、米国内の医療費請求の3件に1件が影響を受け、医療提供者へのタイムリーな支払いに支障が出たと報告した。
Recognizing that effective cybersecurity is critical to Americans accessing the care they need, the Biden-Harris Administration is working relentlessly to improve the resilience of the healthcare sector to cyberattacks. Many healthcare companies are private sector owned and operated, so private sector uptake and partnership is key to meaningful improvements in the sector’s ability to withstand attacks.  効果的なサイバーセキュリティが、米国人が必要な医療を受けるために不可欠であることを認識し、バイデン-ハリス政権は、医療部門のサイバー攻撃に対するレジリエンスを改善するために、たゆまぬ努力を続けている。ヘルスケア企業の多くは民間企業であるため、民間企業の参加と協力が、同部門の攻撃に対する耐性を有意義に改善する鍵となる。
In January of 2024, the Department of Health and Human Services launched a healthcare cybersecurity gateway website to simplify access to the Department’s healthcare-specific cybersecurity information and resources and published voluntary Healthcare and Public Health Cybersecurity Performance Goals designed to help healthcare institutions plan and prioritize high-impact cybersecurity practices. ・2024年1月、保健社会福祉省は、同省の医療に特化したサイバーセキュリティ情報とリソースへのアクセスを簡素化するための医療サイバーセキュリティ・ゲートウェイ・ウェブサイトを開設し、医療機関が影響力の高いサイバーセキュリティの実践を計画し、優先順位をつけるのに役立つよう設計された自主的な医療・公衆衛生サイバーセキュリティ・パフォーマンス目標を発表した。
・In May of 2024, the White House convened Chief Information Security Officers and other high-level executives from across the healthcare sector – spanning care delivery organizations, medical technology companies, and industry associations – to advance cybersecurity solutions across the industry. Participants shared their organization’s views on cybersecurity challenges and the need to work together with government to better share threat intelligence and adopt secure-by-design solutions for the technologies underpinning the healthcare system.    ・2024年5月、ホワイトハウスは、医療提供機関、医療技術企業、業界団体など、ヘルスケア・セクター全体から最高情報セキュリティ責任者(CIO)をはじめとするハイレベルの幹部を招集し、業界全体のサイバーセキュリティ・ソリューションの推進を図った。参加者は、サイバーセキュリティの課題に対する各組織の見解や、脅威インテリジェンスをよりよく共有し、医療システムを支える技術にセキュア・バイ・デザインのソリューションを採用するために政府と協力する必要性を共有した。  
・In May of 2024, the Advanced Research Projects Agency for Health (ARPA-H) announced the launch of the Universal Patching and Remediation for Autonomous Defense (UPGRADE) program, a cybersecurity effort that will invest more than $50 million to create tools for information technology (IT) teams to better defend the hospital environments they are tasked with securing. ・2024年5月、国防高等研究計画局(ARPA-H)は、情報技術(IT)チームが病院環境をより安全に守るためのツールを作成するために5,000万ドル以上を投資するサイバーセキュリティの取り組み、Universal Patching and Remediation for Autonomous Defense(UPGRADE)プログラムの開始を発表した。
Healthcare-related cyber disruptions can be particularly disruptive to rural hospitals, which serve over 60 million Americans. Most rural hospitals are critical access hospitals, meaning they are located more than 35 miles from another hospital, which makes diversions of patients and staffing-intensive manual workarounds in response to attacks more difficult. Recognizing the critical role these hospitals play in the communities they serve, the White House worked with and received commitments from leading U.S. technology providers to provide free and low-cost resources for all 1,800-2,100 rural hospitals across the nation. 医療関連のサイバー攻撃は、6,000万人以上のアメリカ人にサービスを提供している地方の病院にとって、特に大きな打撃となる可能性がある。ほとんどの地方病院はクリティカル・アクセス病院であり、他の病院から35マイル以上離れているため、攻撃に対応するための患者の転換やスタッフの負担が大きい手作業による回避策が難しくなる。こうした病院が地域社会で果たしている重要な役割を認識し、ホワイトハウスは米国の大手技術プロバイダと協力し、全米の1,800~2,100の地方病院すべてに無料または低コストのリソースを提供することを約束した。
As part of this initiative to improve security and resilience of our rural hospital system, our private sector partners have committed to the following: 地方の病院システムのセキュリティとレジリエンスを改善するこのイニシアチブの一環として、民間セクターのパートナーは以下のことを約束した:
・For independent Critical Access Hospitals and Rural Emergency Hospitals, Microsoft is extending its nonprofit program to provide grants and up to a 75% discount on security products optimized for smaller organizations. For participating larger rural hospitals already using eligible Microsoft solutions, Microsoft is providing its most advanced security suite at no additional cost for one year. Microsoft will also provide free cybersecurity assessments by qualified technology security providers and free training for frontline and IT staff at eligible rural hospitals throughout the country to deepen our resiliency to malicious cyberattacks.  Additionally, Microsoft will extend security updates for Window 10 to participating hospitals for one year at no cost. ・独立したクリティカル・アクセス病院と地方の救急病院に対して、マイクロソフトは非営利プログラムを拡張し、小規模な組織向けに最適化されたセキュリティ製品に補助金を提供し、最大75%の割引を行う。すでにマイクロソフトの適格なソリューションを使用している地方の大規模病院に対しては、マイクロソフトは最先端のセキュリティ・スイートを1年間追加費用なしでプロバイダとして提供する。マイクロソフトはまた、悪質なサイバー攻撃に対するレジリエンスを高めるため、資格を有するテクノロジーセキュリティプロバイダによる無料のサイバーセキュリティアセスメントと、全国の対象となる地方病院の現場スタッフおよびITスタッフ向けの無料トレーニングも提供する。 さらにマイクロソフトは、参加病院に対し、ウィンドウズ10のセキュリティ更新プログラムを1年間無償で提供する。
・Google will provide endpoint security advice to rural hospitals and non-profit organizations at no cost, and eligible customers can get discounted pricing for communication and collaboration tools and security support and a pool of funding to support software migration. In addition, Google is committing to launch a pilot program with rural hospitals to develop a packaging of security capabilities that fit these hospitals’ unique needs.  ・グーグルは、地方の病院や非営利団体にエンドポイントセキュリティのアドバイスを無償で提供し、対象となる顧客は、コミュニケーション・コラボレーションツールやセキュリティサポートの割引価格や、ソフトウェアの移行を支援するための資金プールを得ることができる。さらにグーグルは、地方の病院を対象としたパイロット・プログラムを開始し、これらの病院独自のニーズに合ったセキュリティ機能のパッケージを開発することを約束している。

 

 

Fig1_20210802074601

 

 

| | Comments (0)

2024.06.12

個人情報保護委員会 令和5年度年次報告

こんにちは、丸山満彦です。

個人情報保護委員会は、法律に基づき毎年、年次報告書を作成し、国会に提出しています。その結果は、ウェブにも公開されています...(でも、私のブログでは取り上げていませんでした...気まぐれにも程があるやろ...)

ということで、報告書自体は2024.03.30に公表されているのですが、今回、「概要版が公表されたよ」というアナウンスがあったので、備忘録的にブログに載せておきます...

 

個人情報保護委員会 - 年次報告・上半期報告

・2024.06.11 令和5年度個人情報保護委員会年次報告の概要等を公表しました。

令和5年度

・・[PDF] 【概要】令和5年度個人情報保護委員会年次報告

20240612-83736

 

・・[HTML] 令和5年度個人情報保護委員会年次報告 

・・[PDF] 令和5年度個人情報保護委員会年次報告 

20240612-84206

 

目次...


第1章 委員会の組織等及び所掌事務
第1節 委員会の組織等

1 組織
2 予算
3 組織理念
第2節 委員会の所掌事務の概要
1 個人情報保護法に関する事務
2 マイナンバー法に関する事務
3 個人情報保護法及びマイナンバー法に共通する事務

第2章 委員会の所掌事務の処理状況
Ⅰ 個人情報保護法等に関する事務
第1節 個人情報保護制度の一元化

1 地方公共団体等への取組
2 個人情報の保護に関する法律についてのQ&A(行政機関等編)の改正
第2節 個人情報保護制度の見直し
1 いわゆる3年ごと見直し規定に基づく検討
2 個人情報の保護に関する法律施行規則の一部を改正する規則等の公布
第3節 個人情報保護法に基づく監視・監督
1 個人情報取扱事業者等に対する監督
2 行政機関等に対する監視
3 情報セキュリティ関係機関との連携
4 外国執行当局との連携
第4節 個人情報保護法等に基づく個人情報等の利活用等
1 個人情報等の適正かつ効果的な活用の促進
2 オプトアウト手続に関する取組
3 認定団体に関する取組
4 民間の自主的取組の推進
5 関係府省庁等の多様な関係者との連携

Ⅱ マイナンバー法に関する事務
第1節 マイナンバー法に基づく監督等

1 特定個人情報の適正な取扱いに関するガイドラインの改正
2 特定個人情報の漏えい等事案に関する報告の処理状況等
3 報告徴収、立入検査、指導及び助言の状況
4 監視・監督システムを用いた情報連携の監視状況
5 地方公共団体等の特定個人情報の取扱いに関する定期的な報告の状況
6 その他の監督活動
第2節 特定個人情報保護評価
1 特定個人情報保護評価書の承認等
2 評価実施機関の特定個人情報保護評価書の公表状況
3 特定個人情報保護評価と立入検査の連動によるリスク評価・検証の精度向上
4 特定個人情報保護評価指針の3年ごとの再検討
5 マイナンバー法改正を踏まえた特定個人情報保護評価の実施に関する周知
第3節 マイナンバー法第 19条第9号規則に基づく届出の受付
1 届出の受付状況
2 独自利用事務の情報連携に係る利活用
3 マイナンバー法第 19条第9号規則の改正

国際協力
第1節 DFFT推進の観点から個人情報を安全・円滑に越境移転できる国際環境の構築

1 G7におけるDFFTの重要性の発信
2 グローバルな企業認証制度の構築
3 十分性認定・28条指定等の活用を通じたDFFTの推進
4 DFFTを脅かすリスク等に対応した国際的なスタンダードの形成
5 個別国とのDFFTに関する関係の強化
第2節 国際動向の把握と情報発信
1 国際的な情報の収集と我が国の取組の積極的な発信
2 諸外国の個人情報保護法制の情報提供を通じたビジネス支援
第3節 国境を越えた執行協力体制の強化
1 国際会議を通じた関係の構築
2 二国間の執行協力の枠組みを通じた連携の推進

個人情報保護法、マイナンバー法等に共通する事務
第1節 相談受付

1 個人情報保護法関係
2 マイナンバー法関係
第2節 広報及び啓発
1 個人情報保護法関係
2 マイナンバー法関係
第3節 人材育成

付表 活動実績
1 個人情報の取扱いに関する監視又は監督の状況
2 特定個人情報の取扱いに関する監視又は監督の状況
3 特定個人情報保護評価書の承認日
4 評価実施機関の特定個人情報保護評価書の公表状況
5 主な国際会議への参加
6 外国機関との対話実績
7 個人情報保護法相談ダイヤル(民間部門)における受付件数
8 個人情報保護法相談ダイヤル(公的部門)における受付件数
9 マイナンバー苦情あっせん相談窓口における受付件数
10 個人情報保護法に関する説明会の実施状況
11 特定個人情報の安全管理措置等についての説明会の実施状況
12 職員研修

 


 

・・[PDF] 【概要】令和5年度上半期における個人情報保護委員会の活動実績について

・・[PDF] 令和5年度上半期における個人情報保護委員会の活動実績について 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

世界のコミッショナー等の情報についても気まぐれ(^^)

・2024.06.09 カナダ プライバシー・コミッショナー 年次報告書 2023-2024

・2024.04.28 フランス CNIL 年次報告書;2023年

・2021.07.09 英国 データ保護局 (ICO) 年次報告書を公開していますね。。。

・2021.06.04 欧州データ保護委員会 (EDPB) 2020年次報告書

・2021.04.22 欧州データ保護監督官 (EDPS) 2020年次報告 - COVID-19状況下のデータ保護

 

 

| | Comments (0)

OECD 「競争とデータ・プライバシーの交差点」

こんにちは、丸山満彦です。

OECDが、「競争とデータ・プライバシーの交差点」についての報告書を公表していますね...

「競争とデータ・プライバシーの関連性、それぞれの目的、そして一方の政策分野に関連する考慮事項が、他方の政策分野にどのように盛り込まれてきたか、あるいは盛り込まれうるかを探る。」となっていますね...

そして、

・相乗効果を促進する、あるいは潜在的な課題につながる可能性のある執行介入や規制措置について調査し、

例えば、

・データ保護当局の判断に競争を考慮すべきなのか、

・もしそうだとすれば、2つの政策分野の相乗効果を高め、緊張を克服するにはどうすればよいのか。

など...

そして、

・競争当局とデータ保護当局の協力モデル

を検討していますね。。。

 

余談ですが...

プラットフォーマについていえば、競争法制、プライバシー法制、に加えて、安全保障法制も関わって、三すくみの議論になるかもですね...

 

OECD

・2024.06.13 The Intersection between Competition and Data Privacy

The Intersection between Competition and Data Privacy 競争とデータ・プライバシーの交差点
With the development of the digital economy, data has assumed an increasingly important role for online platforms and the majority of digital business models, often becoming central to competition and the conduct of actors in digital markets. At the same time, there has been an increase in data privacy regulations and enforcement worldwide. デジタル経済の発展に伴い、データはオンライン・プラットフォームや大半のデジタル・ビジネスモデルにとってますます重要な役割を担うようになり、しばしばデジタル市場における競争や行為者の行動の中心となっている。同時に、データ・プライバシーに関する規制や施行も世界的に増加している。
The interplay between competition and data privacy has prompted questions about whether data privacy and the collection of consumers’ data constitute an antitrust issue, whether competition considerations should be factored into decisions by data privacy regulators, and, if so, how synergies can be enhanced between the two policy areas and the points of tension overcome. 競争とデータ・プライバシーの相互作用は、データ・プライバシーと消費者データの収集が反トラスト法上の問題を構成するかどうか、データ・プライバシー規制当局による決定に競争への配慮が織り込まれるべきかどうか、また、もしそうであれば、この2つの政策分野間の相乗効果をどのように高め、緊張点を克服することができるかという疑問を促している。
In June 2024, the OECD Competition Committee and the OECD Working Party on Data Governance and Privacy will hold a joint roundtable to explores the links between competition and data privacy, their respective objectives, and how considerations pertaining to one policy area have been, or could be, included into the other. Furthermore, the discussion will investigate enforcement interventions and regulatory measures that could foster synergies or lead to potential challenges, and offer insights on models for co-operation between competition and data privacy regulators. 2024年6月、OECD競争委員会とOECDデータ・ガバナンス・プライバシーワーキングパーティは、競争とデータ・プライバシーの関連性、それぞれの目的、そして一方の政策分野に関連する考慮事項が、他方の政策分野にどのように組み込まれてきたか、あるいは組み込まれうるかを探るため、合同ラウンドテーブルを開催する。さらに、この討論会では、相乗効果を促進しうる、あるいは潜在的な課題につながりうる執行介入や規制措置について調査し、競争とデータ・プライバシー規制当局間の協力モデルに関する洞察を提供する。

 

 

・2024.06.07 The intersection between competition and data privacy

The intersection between competition and data privacy 競争とデータ・プライバシーの交差点
Data plays an increasingly important role for online platforms and the majority of digital business models. Along with data becoming central to competition and the conduct of actors in digital markets, there has been an increase in data privacy regulations and enforcement worldwide. The interplay between competition and data privacy has prompted questions about whether data privacy and the collection of consumers’ data constitute an antitrust issue. Should competition considerations be factored into decisions by data protection authorities, and, if so, how can synergies between the two policy areas be enhanced and tensions overcome? This paper explores the links between competition and data privacy, their respective objectives, and how considerations pertaining to one policy area have been, or could be, included into the other. It investigates enforcement interventions and regulatory measures that could foster synergies or lead to potential challenges, and offers insights into models for co-operation between competition and data protection authorities. This is a joint working paper from the OECD Competition and Digital Economy Policy Secretariat. オンライン・プラットフォームや大半のデジタル・ビジネスモデルにおいて、データの果たす役割はますます重要になっている。データが競争やデジタル市場における行為者の行動の中心となるのに伴い、データ・プライバシーに関する規制や執行も世界的に増加している。競争とデータ・プライバシーの相互作用は、データ・プライバシーと消費者データの収集が反トラスト法上の問題を構成するかどうかについての疑問を促している。データ保護当局の判断に競争を考慮すべきなのか、もしそうであれば、2つの政策分野の相乗効果をどのように高め、緊張を克服できるのか。本稿では、競争とデータ・プライバシーの関連性、それぞれの目的、そして一方の政策分野に関連する考慮事項が、他方の政策分野にどのように盛り込まれてきたか、あるいは盛り込まれうるかを探る。また、相乗効果を促進する、あるいは潜在的な課題につながる可能性のある執行介入や規制措置について調査し、競争当局とデータ保護当局の協力モデルについての洞察を提供する。本書は OECD 競争・デジタル経済政策事務局の共同ワーキングペーパーである。

 

 

・[PDF

20240611-185258

 

目次....

Foreword まえがき
Table of contents 目次
1. Introduction 1. 序文
2. The growing linkages between competition and data privacy 2. 競争とデータ・プライバシーの関連性の高まり
2.1. The goals of competition law and data privacy law 2.1. 競争法とデータ・プライバシー法の目的
2.1.1. Competition law 2.1.1. 競争法
2.1.2. Privacy and data protection laws 2.1.2. プライバシー・データ保護法
2.1.3. Digital ecosystems: an intersecting area to regulate 2.1.3. デジタルエコシステム:規制すべき交差領域
2.2. Is data privacy an antitrust concern? 2.2. データ・プライバシーは独占禁止法の懸念事項か?
2.2.1. Theories of harm 2.2.1. 危害の理論
2.3. Is competition a data privacy law concern? 2.3. 競争はデータ・プライバシー法の懸念事項か?
2.3.1. Integrating competition analysis into data privacy enforcement 2.3.1. データ・プライバシー法の施行に競争分析を組み込む
2.3.2. Leveraging competition policy concepts to support and enhance data privacy regulatory outcomes 2.3.2. データ・プライバシー規制の成果を支援し強化するために競争政策の概念を活用する。
3. Complementarities and potential challenges 3. 補完性と潜在的課題
3.1. Data-related measures 3.1. データ関連の措置
3.2. Data privacy defence 3.2. データ・プライバシーの保護
3.3. Compliance issues and overlapping investigations 3.3. コンプライアンスの問題と重複調査
4. Co-operation between authorities 4. 認可当局間の協力
5. Conclusion 5. 結論
References 参考文献

 

 

 

 

 

 

| | Comments (0)

2024.06.11

OECD 「人工知能、データ、競争」

こんにちは、丸山満彦です。

OECDが、「人工知能、データ、競争」についての報告書を公表していますね...

 

OECD

・2024.06.12 Artificial Intelligence, Data and Competition

Artificial Intelligence, Data and Competition 人工知能、データ、競争
Recent developments in generative artificial intelligence (AI) have drawn widespread attention to the broader disruptive potential of AI as a technology. With its increasing capabilities, and the prospect of more in the future, AI has the potential to have a significant impact on economies, and humanity in general, across the globe. These developments have led to many speculating on the future prominent place AI will take in many, if not all, aspects of human lives in the coming years and decades. 生成的人工知能(AI)の最近の発展は、テクノロジーとしてのAIの広範な破壊的可能性に広く注目を集めている。AIはその能力を高めつつあり、将来的にはさらにその能力を高めることが予想されるため、世界中の経済や人類全般に大きな影響を与える可能性を秘めている。こうした動きから、今後数年、数十年の間に、人間の生活のすべてではないにせよ、多くの側面でAIが将来的に重要な位置を占めるようになるだろうと、多くの人が推測している。
Given the spotlight on its potential as a transformative technology, policy makers are already considering how to manage risks from AI, including those relating to privacy, ethics and disruption. Competition policy has not been immune from such considerations, with many commentators, and competition authorities themselves, already considering if there may be risks to the state of competition in the provision of AI services. Given the potential importance of continued innovation and equitable access to AI technology, and the potential time required for authorities to understand the relevant issues, now is an opportune time to discuss AI and competition. 変革的技術としてのAIの可能性が注目される中、政策立案者たちはすでに、プライバシー、倫理、混乱など、AIがもたらすリスクをどのようにマネジメントすべきかを検討している。競争政策もこのような検討から免れておらず、多くの論者や競争当局自身が、AIサービスの提供における競争状態にリスクがあるかどうかをすでに検討している。継続的なイノベーションとAI技術への公平なアクセスが潜在的に重要であり、関連する問題を当局が理解するのに時間がかかる可能性があることを考えると、今はAIと競争について議論する好機である。
In June 2024, the OECD will hold a discussion on Artificial Intelligence, Data and Competition to discuss the recent developments in AI, explore potential concerns about future competition and consider what actions are available for authorities to take. To understand such issues, an understanding of the key mechanics of AI technology is important, and a panel of invited experts will discuss the main aspects of emerging business models of the main players and the key parts of the production process. 2024年6月、OECDは「人工知能、データ、競争」に関するディスカッションを開催し、AIの最近の発展について議論し、将来の競争に関する潜在的な懸念を探り、当局がどのような行動を取ることが可能かを検討する。このような問題を理解するためには、AI技術の重要な仕組みを理解することが重要であり、招聘された専門家パネルが、主要プレイヤーの新興ビジネスモデルの主要な側面と、生産プロセスの主要な部分について議論する。
The discussion will try to address: 議論では、以下のような点を取り上げている:
・The emergence of AI and its business models: What is AI and the key parts of the valuechain? What is required to successfully develop AI models and deploy them? What are/willbe the business models underpinning the development of AI? ・AIの出現とそのビジネスモデル: AIとバリューチェーンの主要部分とは何か?AIモデルの開発を成功させ、それを展開するためには何が必要か?AIの発展を支えるビジネスモデルとは何か?
・Competition in the supply of AI: How do/will firms compete at different stages of the value chain? Are there risks to effective competition in the supply of AI, for example through the availability of key inputs? Are there parallels to be drawn with digital markets? ・AIの供給における競争:バリューチェーンの様々な段階において、企業はどのように競争するのか/するのか。例えば重要なインプットの入手可能性などを通じて、AIの供給における効果的な競争に対するリスクはあるか。デジタル市場との類似点はあるか。
・Competition policy and enforcement in AI: What could competition authorities do in the face of AI developments? What are the practical options for enforcement or advocacy of competition law from AI? ・AIにおける競争政策と執行:AIの発展に直面して競争当局は何ができるか?AIから競争法を執行または提唱するための実際的な選択肢は何か。

 

・20204.06.12 Artificial intelligence, data and competition



Artificial intelligence, data and competition< 人工知能、データ、競争
This paper discusses recent developments in Artificial Intelligence (AI), particularly generative AI, which could positively impact many markets. While it is important that markets remain competitive to ensure their benefits are widely felt, the lifecycle for generative AI is still developing. This paper focuses on three stages: training foundation models, fine-tuning and deployment. It is too early to say how competition will develop in generative AI, but there appear to be some risks to competition that warrant attention, such as linkages across the generative AI value chain, including from existing markets, and potential barriers to accessing key inputs such as quality data and computing power. Several competition authorities and policy makers are taking actions to monitor market developments and may need to use the various advocacy and enforcement tools at their disposal. Furthermore, co-operation could play an important role in allowing authorities to efficiently maintain their knowledge and expertise. 本稿では、人工知能(AI)、特に多くの市場にポジティブな影響を与える可能性のある生成的AIの最近の発展について論じる。その恩恵を広く享受するためには、市場が競争力を維持することが重要であるが、生成的AIのライフサイクルはまだ発展途上である。本稿では、基礎モデルの訓練、微調整、展開の3段階に焦点を当てる。生成的AIにおいて競争がどのように発展していくかを語るのは時期尚早であるが、既存市場も含めた生成的AIのバリューチェーン全体における連関や、質の高いデータやコンピューティング・パワーといった重要なインプットへのアクセスにおける潜在的な障壁など、注意を要する競争リスクがいくつか存在するように思われる。いくつかの競争当局と政策立案者は、市場の発展を監視するための行動をとっており、自由に使える様々な認可・執行手段を利用する必要があるかもしれない。さらに、当局がその知識と専門性を効率的に維持できるようにするためには、輸入事業者が重要な役割を果たす可能性がある。

 

・[PDF]

20240611-63218

 

目次...

Table of contents  目次 
Foreword  まえがき 
1 Introduction 1 序文
2 What is AI? 2 AIとは何か?
What is Artificial intelligence? 人工知能とは何か?
Generative AI 生成的AI
Potential economic impact of generative AI 生成的AIの潜在的経済効果
Generative AI lifecycle and value chain 生成的AIのライフサイクルとバリューチェーン
Generative AI lifecycle and different levels of the value chain 生成的AIのライフサイクルとバリューチェーンのさまざまなレベル
Foundation Models 基礎モデル
Data requirements データ要件
Computing power 計算能力
Other factors required to develop foundation models 基盤モデルの開発に必要なその他の要素
Fine-tuning / refining 微調整/精錬
Deployment of generative AI 生成的AIの展開
Overview 概要
3 Competition in the supply of AI 3 AI供給における競争
Why care about competition in the supply of AI? なぜAIの供給における競争を気にするのか?
What types of competition issues could emerge in the supply of generative AI? 生成的AIの供給においてどのような競争問題が生じうるか?
Structural factors 構造的要因
Economies of scale and first-mover advantages 規模の経済と先行者利益
Acquisitions and partnerships 買収と提携
Availability of data データの入手可能性
Access to data at the foundation level 基礎レベルでのデータへのアクセス
Access to data for fine-tuning and deployment 微調整と展開のためのデータへのアクセス
Access to compute コンピュートへのアクセス
Bundles, switching costs and ecosystems in the deployment of generative AI 生成的AIの展開におけるバンドル、スイッチングコスト、エコシステム
Access to individual consumers 個人消費者へのアクセス
Access to organisation customers 組織顧客へのアクセス
Access to other key factors その他の重要な要素へのアクセス
Access to foundation models 基盤モデルへのアクセス
Labour markets and entrepreneur entry 労働市場と起業家の参入
Access to other key factors その他の主要要因へのアクセス
Access to foundation models 基盤モデルへのアクセス
Labour markets and entrepreneur entry 労働市場と起業家参入
Summary and interrelation of factors 要因のまとめと相互関係
4 Tools available to competition authorities 4 競争当局が利用できるツール
Monitoring, advocacy and information gathering 監視、提言、情報収集
Market studies, Market Investigations or sectoral studies 市場調査、市場調査または分野別調査
Merger control 合併管理
Enforcement 強制執行
Remedial action 是正措置
Regulation 規制
Co-operation 協力
5 Future areas of interest for competition policy and AI 5 競争政策とAIの今後の関心分野
Effects of AI on competition in other markets AIが他市場の競争に及ぼす影響
Potential risks to competition across markets 市場全体の競争に対する潜在的リスク
Potential benefits for competition across markets 市場全体の競争にとっての潜在的利益
Use of AI for competition authorities 競争当局におけるAIの利用
Managing information and assessment 情報とアセスメントの管理
Improving intelligence and case selection 情報と案件選択の改善
6 Conclusion 6 まとめ
References 参考文献

 

 

| | Comments (0)

2024.06.10

内閣官房 サイバー安全保障分野での対応能力の向上に向けた有識者会議

こんにちは、丸山満彦です。

内閣官房で、サイバー安全保障分野での対応能力の向上に向けた有識者会議が開催され、資料が公表されていますね...

ここでいう(サイバー)対応能力というのは、何を示すのでしょうかね...資料3から見ると

脅威情報・脆弱性情報の共有

・ネット上の情報収集・分析

・攻撃元サーバ等の無害化

・これらを統括指揮する能力

という感じですかね...

大きくわけると、

・実行能力の問題(技術(製品、サービス、人材))

・実行環境の問題(法制度)

の2つがあると思います。実行能力の問題は、有識者会議で議論するというよりも、実際に対処するメンバー(実行部隊)で議論するのがよいと思います。もちろん、それがしやすくする前さばきとして、有識者会議で議論をしてもよいのですが...本質は実行力なので、実行部隊が関係者と連携してする話だろうと思います。

で、有識者会議で議論すべきものは、実行環境の整備すなわち、法制度の問題だろうと思います。安全保障上の課題に対して想定される運用に対して、どのような法整備が必要なのか?

これは、国家の安全保障と個人の権利利益のバランスをどのように図るべきかという高度な問題が本質的にはあるはずです。通信の秘密についてもそうですし、プライバシー保護についてもそうですし...

国家の安全保障を確保するための政府の権限を強化する一方で、その濫用に制限をかけるための監視機関をどうするか? 国のあり方にも関わる問題だと思うんですよね...

なので、本質的には憲法学者が有識者にはいっているべきなのですが、そうはなっていないように感じるんですよね。。。インターネットの特質的な話は前提知識として必要ではあるので、参考人として有識者会議でインプットするのは重要とは思いますが、本質はインターネットではないですよね...本質は安全保障であり、それは、国民と政府の関係ですよね...

このあたりは、資料3のP11にまとめられている論点として議論されていくのでしょうね...(ただ、ここに個人情報保護法が関係法律にはいっていないのが、少し気になります...)

 

と、思いながら...

 

内閣官房

・2024.06.07 サイバー安全保障分野での対応能力の向上に向けた有識者会議

第1回

20240609-130219

 

原稿制度上の課題...

20240609-130331

 

どういう社会を目指す上での課題か???といことが重要かもですね...

 

 

 

 

| | Comments (0)

中国 インターネット政府アプリケーションセキュリティ管理規定 (2024.05.22)

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局がインターネット政府アプリケーションセキュリティ管理規定を公表していました。。。

日本政府においても参考になる部分は多いと思います...ほんと...

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2024.05.22 互联网政务应用安全管理规定

互联网政务应用安全管理规定 インターネット政府アプリケーションセキュリティ管理規定
(2024年2月19日中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定 2024年5月15日发布) (ネットワーク安全情報化中央委員会弁公室、制度準備中央委員会弁公室、工業情報化部、公安部が2024年2月19日に制定し、2024年5月15日に公布した。)
第一章 总则 第一章 総則
第一条 为保障互联网政务应用安全,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《党委(党组)网络安全工作责任制实施办法》等,制定本规定。 第1条 本規定は、インターネット政府アプリケーションのセキュリティを保護するため、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法および党委員会(党組)ネットワークセキュリティ業務責任体制実施弁法に基づき制定する。
第二条 各级党政机关和事业单位(简称机关事业单位)建设运行互联网政务应用,应当遵守本规定。 第2条 各レベルの党・政府機関および機構(以下、機関および機構という)がインターネット政府アプリケーションを構築・運用する場合、本規定を遵守しなければならない。
本规定所称互联网政务应用,是指机关事业单位在互联网上设立的门户网站,通过互联网提供公共服务的移动应用程序(含小程序)、公众账号等,以及互联网电子邮件系统。 本規定でいうインターネット政府アプリケーションとは、各機関および機構がインターネット上に開設するポータルサイト、モバイルアプリケーション(アプレットを含む)、インターネットを通じて公共サービスを提供するためのパブリックアカウント、およびインターネット電子メールシステムを指す。
第三条 建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求,落实网络安全与互联网政务应用“同步规划、同步建设、同步使用”原则,采取技术措施和其他必要措施,防范内容篡改、攻击致瘫、数据窃取等风险,保障互联网政务应用安全稳定运行和数据安全。 第3条 インターネット政府アプリケーションの構築と運用は、関連法律と行政法規の規定および標準の必須要件に従い、ネットワークセキュリティとインターネット政府アプリケーションの「同時計画、同時構築、同時利用」の原則を実施し、コンテンツの改ざん、麻痺への攻撃、データの盗難などのリスクを防止し、インターネット政府アプリケーションを保護するための技術的措置およびその他の必要な措置を講じなければならない。 コンテンツの改ざん、麻痺を引き起こす攻撃、データの盗難、その他のリスクを防止し、インターネット政府アプリケーションの安全で安定した運用とデータセキュリティを保証するために、技術的措置およびその他の必要な措置を講じる。
第二章 开办和建设 第二章 公開と構築
第四条 机关事业单位开办网站应当按程序完成开办审核和备案工作。一个党政机关最多开设一个门户网站。 第4条 各機関がウェブサイトを開設する場合、手続きに従って開設監査と届出作業を行わなければならない。 党と政府機関は、最大1つのポータルサイトを開設しなければならない。
中央机构编制管理部门、国务院电信部门、国务院公安部门加强数据共享,优化工作流程,减少填报材料,缩短开办周期。 中央組織管理部門、国務院傘下の電信部門、国務院傘下の公安部門は、データの共有を強化し、ワークフローを最適化し、提出資料の数を減らし、開設サイクルを短縮しなければならない。
机关事业单位开办网站,应当将运维和安全保障经费纳入预算。 ウェブサイトを開設する機関や組織は、運用・保守資金を予算に計上しなければならない。
第五条 一个党政机关网站原则上只注册一个中文域名和一个英文域名,域名应当以“.gov.cn”或“.政务”为后缀。非党政机关网站不得注册使用“.gov.cn”或“.政务”的域名。 第5条 党と政府機関は、原則として中国語のドメイン名と英語のドメイン名のみを登録し、ドメイン名は「.gov.cn」または「. government」を接尾辞とする。 非党および政府機関は、「.gov.cn」または「.government」ドメイン名の使用を登録してはならない。 government "ドメイン名の使用を登録してはならない。
事业单位网站的域名应当以“.cn”或“.公益”为后缀。 機関は、ウェブサイトのドメイン名「.cn」または「. .公共福祉」を接尾辞とする。
机关事业单位不得将已注册的网站域名擅自转让给其他单位或个人使用。 組織および機構は、登録したウェブサイトのドメイン名を許可なく他の単位または個人に譲渡してはならない。
第六条 机关事业单位移动应用程序应当在已备案的应用程序分发平台或机关事业单位网站分发。 第6条 組織・機関のモバイルアプリケーションは、記録用アプリケーション配布プラットフォームまたは組織・機関のウェブサイトで配布しなければならない。
第七条 机构编制管理部门为机关事业单位制发专属电子证书或纸质证书。机关事业单位通过应用程序分发平台分发移动应用程序,应当向平台运营者提供电子证书或纸质证书用于身份核验;开办微博、公众号、视频号、直播号等公众账号,应当向平台运营者提供电子证书或纸质证书用于身份核验。 第7条 設立管理部門は、組織・機関専用の電子証明書または紙の証明書を発行する。 また、マイクロブログ、公開番号、動画番号、生放送番号およびその他の公開アカウントを開設する際には、本人確認のために電子証明書または紙の証明書をプラットフォーム運営者に提供しなければならない。
第八条 互联网政务应用的名称优先使用实体机构名称、规范简称,使用其他名称的,原则上采取区域名加职责名的命名方式,并在显著位置标明实体机构名称。具体命名规范由中央机构编制管理部门制定。 第8条 インターネット政府アプリケーションの名称は、原則として、実体のある機関の名称、標準化された略称、その他の名称の使用を優先し、地域の名称に命名方法の責任の名称を加え、実体のある機関の名称を目立つ位置に表示する。 具体的な命名仕様は、中央機関設立管理部門が策定した。
第九条 中央机构编制管理部门为机关事业单位设置专属网上标识,非机关事业单位不得使用。 第9条 機関や機関が排他的なオンラインロゴを設定するための中央組織管理部門は、非機関を使用してはならない。
机关事业单位网站应当在首页底部中间位置加注网上标识。中央网络安全和信息化委员会办公室会同中央机构编制管理部门协调应用程序分发平台以及公众账号信息服务平台,在移动应用程序下载页面、公众账号显著位置加注网上标识。 機関および機構のウェブサイトは、ホームページの中央下部にオンラインロゴを追加しなければならない。 ネットワーク安全情報化中央委員会弁公室は、機関設立中央管理局と連携し、アプリケーション配信プラットフォームや公的口座情報サービスプラットフォームと調整し、モバイルアプリケーションのダウンロードページや公的口座の目立つ位置にオンラインロゴを追加する。
第十条 各地区、各部门应当对本地区、本部门党政机关网站建设进行整体规划,推进集约化建设。 第10条 各地方・各部門は、各地方・各部門の党・政府機関のウェブサイト構築の全体的な計画を行い、集中的な構築を推進しなければならない。
县级党政机关各部门以及乡镇党政机关原则上不单独建设网站,可利用上级党政机关网站平台开设网页、栏目、发布信息。 原則として、県レベルの党・政府部門と郷鎮の党・政府機関は、それぞれ別のウェブサイトを構築するのではなく、上位の党・政府機関のウェブサイトのプラットフォームを利用して、ウェブページを開設し、コラムを掲載し、情報を公開することができる。
第十一条 互联网政务应用应当支持开放标准,充分考虑对用户端的兼容性,不得要求用户使用特定浏览器、办公软件等用户端软硬件系统访问。 第11条 インターネット政府アプリケーションは、オープン標準をサポートし、利用者側の互換性を十分に考慮すべきであり、利用者がアクセスするために特定のブラウザ、オフィスソフトウェア、その他の利用者側のハードウェアおよびソフトウェアシステムを使用することを義務付けてはならない。
机关事业单位通过互联网提供公共服务,不得绑定单一互联网平台,不得将用户下载安装、注册使用特定互联网平台作为获取服务的前提条件。 インターネットを通じて公共サービスを提供する機関は、単一のインターネットプラットフォームにバインドされてはならない、ユーザーがダウンロードしてインストールし、サービスへのアクセスの前提として、特定のインターネットプラットフォームを使用するように登録してはならない。
第十二条 互联网政务应用因机构调整等原因需变更开办主体的,应当及时变更域名或注册备案信息。不再使用的,应当及时关闭服务,完成数据归档和删除,注销域名和注册备案信息。 第12条 制度調整およびその他の理由のためのインターネット政府のアプリケーションは、起動の本体を変更する必要がある、タイムリーな方法でドメイン名または登録レコード情報を変更する必要がある。 もはや使用して、サービスは、タイムリーに、完全なデータのアーカイブと削除、ドメイン名と登録情報のキャンセルを閉じる必要がある。
第三章 信息安全 第三章 情報セキュリティ
第十三条 机关事业单位通过互联网政务应用发布信息,应当健全信息发布审核制度,明确审核程序,指定机构和在编人员负责审核工作,建立审核记录档案;应当确保发布信息内容的权威性、真实性、准确性、及时性和严肃性,严禁发布违法和不良信息。 第13条 機関および機構は、インターネット政府の申請を通じて情報を公開し、情報公開監査制度を整備し、監査手続きを明確にし、監査業務を担当する機関および職員を指定し、監査記録ファイルを設けなければならない。また、公開された情報の内容の権威性、真実性、正確性、適時性、重大性を確保しなければならず、違法で望ましくない情報を公開することを厳禁する。
第十四条 机关事业单位通过互联网政务应用转载信息,应当与政务等履行职能的活动相关,并评估内容的真实性和客观性。转载页面上要准确清晰标注转载来源网站、转载时间、转载链接等,充分考虑图片、内容等知识产权保护问题。 第14条 機関および機構がインターネット政府アプリケーションを通じて情報を複製するのは、政府の事務とその他の機能発揮のための活動に関連するものでなければならず、内容の信憑性と客観性をアセスメントしなければならない。 転載ページには、転載元サイト、転載時期、転載リンクなどを正確かつ明確に表示し、画像やコンテンツなどの知的財産権の保護に十分配慮しなければならない。
第十五条 机关事业单位发布信息内容需要链接非互联网政务应用的,应当确认链接的资源与政务等履行职能的活动相关,或属于便民服务的范围;应当定期检查链接的有效性和适用性,及时处置异常链接。党政机关门户网站应当采取技术措施,做到在用户点击链接跳转到非党政机关网站时,予以明确提示。 第15条 機関および機構は、インターネット政府アプリケーション以外へのリンクを必要とする情報コンテンツを公開する場合、リンク先の資源が行政などの機能遂行活動に関連するものであること、または人民サービスの範囲に属するものであることを確認し、定期的にリンクの有効性と適用性をチェックし、適時に異常なリンクを廃棄しなければならない。党・政府機関のポータルサイトは、利用者がリンクをクリックして党・政府機関以外のウェブサイトにジャンプする際、明確に促すよう技術的措置を講じなければならない。
第十六条 机关事业单位应当采取安全保密防控措施,严禁发布国家秘密、工作秘密,防范互联网政务应用数据汇聚、关联引发的泄密风险。应当加强对互联网政务应用存储、处理、传输工作秘密的保密管理。 第16条 機関および機構は、セキュリティおよび機密の予防・管理措置を採用し、国家機密および業務機密の漏洩を厳禁し、インターネット政府アプリケーションのデータ集計・相関に起因する機密漏洩リスクを防止しなければならない。 インターネット政府アプリケーションの業務秘密の保存、処理、伝送の秘密管理を強化する。
第四章 网络和数据安全 第四章 ネットワーク及びデータセキュリティ
第十七条 建设互联网政务应用应当落实网络安全等级保护制度和国家密码应用管理要求,按照有关标准规范开展定级备案、等级测评工作,落实安全建设整改加固措施,防范网络和数据安全风险。 第17条 インターネット政府アプリケーションの構築は、関連標準と規範に基づき、ネットワークセキュリティレベル保護システムと国家パスワードアプリケーション管理要求を実施し、分類申告、レベル評価作業、セキュリティ構築の是正と強化措置を実施し、ネットワークとデータのセキュリティリスクを防止しなければならない。
中央和国家机关、地市级以上地方党政机关门户网站,以及承载重要业务应用的机关事业单位网站、互联网电子邮件系统等,应当符合网络安全等级保护第三级安全保护要求。 中央・国家機関、都道府県・市町村レベル以上の地方党・政府機関のポータルサイト、重要な業務アプリケーションを提供する機関および機構のウェブサイト、インターネット電子メールシステムなどは、第三段階のネットワークセキュリティレベル保護の要求に従わなければならない。
第十八条 机关事业单位应当自行或者委托具有相应资质的第三方网络安全服务机构,对互联网政务应用网络和数据安全每年至少进行一次安全检测评估。 第18条 機関および機構は、自ら、または相応の資格を有する第三者のネットワークセキュリティサービス機関に委託して、インターネット政府アプリケーションのネットワークおよびデータセキュリティのセキュリティテストおよび評価を少なくとも年1回実施しなければならない。
互联网政务应用系统升级、新增功能以及引入新技术新应用,应当在上线前进行安全检测评估。 インターネット政府アプリケーションシステムのアップグレード、新機能の追加、新技術および新アプリケーションの導入は、セキュリティテストおよび評価の前にオンラインで行うべきである。
第十九条 互联网政务应用应当设置访问控制策略。对于面向机关事业单位工作人员使用的功能和互联网电子邮箱系统,应当对接入的IP地址段或设备实施访问限制,确需境外访问的,按照白名单方式开通特定时段、特定设备或账号的访问权限。 第19条 インターネット政府アプリケーションは、アクセス制御ポリシーを設定しなければならない。 機関や機関のスタッフの使用のための機能とインターネット電子メールシステムの使用については、アクセス制限を実装するためにIPアドレスのセグメントまたはデバイスにアクセスする必要があります、本当に特定の期間、特定のデバイスまたはアカウントのアクセス権を開くには、ホワイトリスト方式に従って、外にアクセスする必要がある。
第二十条 机关事业单位应当留存互联网政务应用相关的防火墙、主机等设备的运行日志,以及应用系统的访问日志、数据库的操作日志,留存时间不少于1年,并定期对日志进行备份,确保日志的完整性、可用性。 第20条 機関および機構は、ファイアウォール、ホスト及びインターネット政府アプリケーションに関連するその他の機器の操作ログ、アプリケーションシステムのアクセスログ及びデータベースの操作ログを、1年以上の期間保存し、その完全性及び有用性を確保するために、定期的にバックアップを取らなければならない。
第二十一条 机关事业单位应当按照国家、行业领域有关数据安全和个人信息保护的要求,对互联网政务应用数据进行分类分级管理,对重要数据、个人信息、商业秘密进行重点保护。 第21条 機関および機構は、国家および業界のデータセキュリティおよび個人情報保護に関する要求に従い、インターネット政府アプリケーションのデータを分類・管理し、重要データ、個人情報および商業秘密の保護に重点を置かなければならない。
第二十二条 机关事业单位通过互联网政务应用收集的个人信息、商业秘密和其他未公开资料,未经信息提供方同意不得向第三方提供或公开,不得用于履行法定职责以外的目的。 第22条 機関および機構がインターネット政府アプリケーションを通じて収集した個人情報、商業秘密およびその他の非公開情報は、情報提供者の同意なく第三者に提供または開示してはならず、法定義務の履行以外の目的に使用してはならない。
第二十三条 为互联网政务应用提供服务的数据中心、云计算服务平台等应当设在境内。 第23条 インターネット政府アプリケーションのサービスを提供するデータセンター及びクラウドコンピューティングサービスプラットフォームは、国内に設置しなければならない。
第二十四条 党政机关建设互联网政务应用采购云计算服务,应当选取通过国家云计算服务安全评估的云平台,并加强对所采购云计算服务的使用管理。 第24条 党と政府の機関は、インターネット政府アプリケーション構築のためにクラウドコンピューティングサービスを調達する場合、クラウドコンピューティングサービスの国家セキュリティ評価に合格したクラウドプラットフォームを選択し、調達したクラウドコンピューティングサービスの利用管理を強化しなければならない。
第二十五条 机关事业单位委托外包单位开展互联网政务应用开发和运维时,应当以合同等手段明确外包单位网络和数据安全责任,并加强日常监督管理和考核问责;督促外包单位严格按照约定使用、存储、处理数据。未经委托的机关事业单位同意,外包单位不得转包、分包合同任务,不得访问、修改、披露、利用、转让、销毁数据。 第25条 機関および機構は、インターネット政府アプリケーションの開発・運用・保守を外部委託先に委託する場合、契約書等により外部委託先のネットワーク・データセキュリティ責任を明確にし、日常的な監督・管理・説明責任評価を強化し、外部委託先が契約に厳格に従ってデータを使用・保存・処理するよう監督しなければならない。 委託部門は、委託を受けた機関・団体の同意がない限り、契約業務を外注・再委託してはならず、データへのアクセス、修正、開示、利用、譲渡、破棄をしてはならない。
机关事业单位应当建立严格的授权访问机制,操作系统、数据库、机房等最高管理员权限必须由本单位在编人员专人负责,不得擅自委托外包单位人员管理使用;应当按照最小必要原则对外包单位人员进行精细化授权,在授权期满后及时收回权限。 機関および機構は、厳格な権限アクセスメカニズムを構築しなければならず、オペレーティングシステム、データベースおよび機械室の最高管理者権限は、ユニット内の人員の責任とし、無権限で管理および使用するよう外部委託ユニットの人員に委託してはならず、必要最小限の原則に従い、外部委託ユニットの人員に対して精緻な権限付与を行い、権限付与期間の満了後、適時に権限を取り消さなければならない。
第二十六条 机关事业单位应当合理建设或利用社会化专业灾备设施,对互联网政务应用重要数据和信息系统等进行容灾备份。 第26条 機関および機構は、インターネット政府応用の重要なデータ及び情報システムの災害復旧及びバックアップのために、社会化された専門の災害復旧施設を合理的に建設し、または利用しなければならない。
第二十七条 机关事业单位应当加强互联网政务应用开发安全管理,使用外部代码应当经过安全检测。建立业务连续性计划,防范因供应商服务变更等对升级改造、运维保障等带来的风险。 第27条 機関および機構は、インターネット政府アプリケーションの開発におけるセキュリティ管理を強化し、外部コードの使用については、セキュリティテストを実施しなければならない。 第28条 インターネット政府アプリケーションの利用は、インターネット政府アプリケーションの開発、運用、保守に伴うリスクを防止するため、事業継続計画を策定する。
第二十八条 互联网政务应用使用内容分发网络(CDN)服务的,应当要求服务商将境内用户的域名解析地址指向其境内节点,不得指向境外节点。 第28条 インターネット政府アプリケーションのコンテンツ配信ネットワーク(CDN)サービスの使用は、サービスプロバイダは、その国内ノードの国内ユーザのドメイン名解決アドレスを指すように要求されるべきであるが、外国のノードを指すことはできない。
第二十九条 互联网政务应用应当使用安全连接方式访问,涉及的电子认证服务应当由依法设立的电子政务电子认证服务机构提供。 第29 条 インターネット政府アプリケーションは、安全な接続を使用してアクセスされるべきであり、関連する電子認証サービスは、法律に従って設立された電子政府電子認証サービス機関によって提供されるべきである。
第三十条 互联网政务应用应当对注册用户进行真实身份信息认证。国家鼓励互联网政务应用支持用户使用国家网络身份认证公共服务进行真实身份信息注册。 第30条 インターネット政府アプリケーションは、登録ユーザーの実際の身元情報を認証しなければならない。 国は、インターネット政府アプリケーションに対して、利用者が全国ネットワ ーク身元認証公共サービスを利用して身元情報を登録することを支援するよう奨励する。
对与人身财产安全、社会公共利益等相关的互联网政务应用和电子邮件系统,应当采取多因素鉴别提高安全性,采取超时退出、限制登录失败次数、账号与终端绑定等技术手段防范账号被盗用风险,鼓励采用电子证书等身份认证措施。 個人と財産の安全、社会と公共の利益などに関連するインターネット政府アプリケーショ ンおよび電子メールシステムは、セキュリティを向上させるために多要素識別を採用し、タイムアウトを採用し、ログイン失敗の回数を制限し、アカウントと端末の結合およびその他の 技術的手段を講じてアカウント盗難のリスクを防止し、電子証明書およびその他の身元認証手段の 使用を奨励する。
第五章 电子邮件安全 第五章 電子メールのセキュリティ
第三十一条 鼓励各地区、各部门通过统一建设、共享使用的模式,建设机关事业单位专用互联网电子邮件系统,作为工作邮箱,为本地区、本行业机关事业单位提供电子邮件服务。党政机关自建的互联网电子邮件系统的域名应当以“.gov.cn”或“.政务”为后缀,事业单位自建的互联网电子邮件系统的域名应当以“.cn”或“.公益”为后缀。 第31条 各地域と各部門に対し、統一的な構築と作業用メールボックスとしての共用という方式により、臓器・機関のための特別なインターネット電子メールシステムを構築し、地域と業界の臓器・機関に電子メールサービスを提供するよう奨励する。 党と政府機関が自主的に構築するインターネット電子メールシステムのドメイン名は「.gov.cn」または「.Government」とする。 .government "を接尾辞とし、各機関の自作インターネット電子メールシステムのドメイン名は".cn "または". .cn "または "公共福祉 "を接尾辞とする。
机关事业单位工作人员不得使用工作邮箱违规存储、处理、传输、转发国家秘密。 組織や機関の職員は、業務用の電子メールアドレスを、法律に違反して国家機密を保存、処理、送信、転送するために使用してはならない。
第三十二条 机关事业单位应当建立工作邮箱账号的申请、发放、变更、注销等流程,严格账号审批登记,定期开展账号清理。 第32条 機関および機構は、業務用電子メールアカウントの申請、発行、変更、抹消のプロセスを定め、厳格に承認、登録し、定期的にアカウントのクリーニングを行わなければならない。
第三十三条 机关事业单位互联网电子邮件系统应当关闭邮件自动转发、自动下载附件功能。 第33条 機関および機構のインターネット電子メールシステムは、電子メールの自動転送機能及び添付ファイルの自動ダウンロード機能を停止しなければならない。
第三十四条 机关事业单位互联网电子邮件系统应当具备恶意邮件(含本单位内部发送的邮件)检测拦截功能,对恶意邮箱账号、恶意邮件服务器IP以及恶意邮件主题、正文、链接、附件等进行检测和拦截。应当支持钓鱼邮件威胁情报共享,将发现的钓鱼邮件信息报送至主管部门和属地网信部门,按照有关部门下发的钓鱼邮件威胁情报,配置相应防护策略预置拦截钓鱼邮件。 第34条 機関および機構のインターネット電子メールシステムは、悪意のある電子メール(機関内で送信された電子メールを含む)を検知・遮断する機能を有し、悪意のあるメールボックスアカウント、悪意のあるメールサーバーIP、および悪意のある電子メールの件名、本文、リンク、添付ファイルなどを検知・遮断する。 システムはフィッシングメールの脅威情報の共有をサポートし、発見されたフィッシングメール情報を主管部門と現地のネット情報部門に報告し、関連部門が発表したフィッシングメールの脅威情報に従い、フィッシングメールをブロックするための対応する保護戦略を事前に設定しなければならない。
第三十五条 鼓励机关事业单位基于商用密码技术对电子邮件数据的存储进行安全保护。 第35条 各機関に対し、商業的な暗号技術に基づいて電子メールデータを安全に保管するよう奨励する。
第六章 监测预警和应急处置 第六章 監視、早期警報および緊急対応
第三十六条 中央网络安全和信息化委员会办公室会同国务院电信主管部门、公安部门和其他有关部门,组织对地市级以上党政机关互联网政务应用开展安全监测。 第36条 中央ネットワーク安全情報化委員会弁公室は、国務院通信部門、公安部門およびその他の関連部門と協力し、都道府県および市町村レベル以上の党・政府機関のインターネット政府アプリケーションの安全監視を組織する。
各地区、各部门应当对本地区、本行业机关事业单位互联网政务应用开展日常监测和安全检查。 地域と部門は、それぞれの地域と業界において、各機関および機構のインターネット政府アプリケーションの日常的な監視とセキュリティ検査を実施する。
机关事业单位应当建立完善互联网政务应用安全监测能力,实时监测互联网政务应用运行状态和网络安全事件情况。 機関および機構は、インターネット政府アプリケーションのセキュリティ監視能力を確立・向上させ、インターネット政府アプリケーションの運用状況およびネットワークセキュリティイベントをリアルタイムで監視しなければならない。
第三十七条 互联网政务应用发生网络安全事件时,机关事业单位应当按照有关规定向相关部门报告。 第37条 インターネット政府アプリケーションでサイバーセキュリティ事故が発生した場合、各機関および機構は関連規定に基づいて関連部門に報告しなければならない。
第三十八条 中央网络安全和信息化委员会办公室统筹协调重大网络安全事件的应急处置。 第38条 中央ネットワーク安全情報化委員会弁公室は、重大なネットワークセキュリティインシデントの緊急対応を調整する。
互联网政务应用发生或可能发生网络安全事件时,机关事业单位应当立即启动本单位网络安全应急预案,及时处置网络安全事件,消除安全隐患,防止危害扩大。 インターネット政府アプリケーションにおいてネットワークセキュリティインシデントが発生した場合、または発生する可能性がある場合、当該組織は直ちに自らのネットワークセキュリティ緊急対応計画を発動し、ネットワークセキュリティインシデントを適時に処理し、セキュリティリスクを排除し、被害の拡大を防止しなければならない。
第三十九条 机构编制管理部门会同网信部门开展针对假冒仿冒互联网政务应用的扫描监测,受理相关投诉举报。网信部门会同电信主管部门,及时对监测发现或网民举报的假冒仿冒互联网政务应用采取停止域名解析、阻断互联网连接和下线处理等措施。公安部门负责打击假冒仿冒互联网政务应用相关违法犯罪活动。 第39条 組織設置管理部門は、ネット信用部門と連携して、偽造・模倣インターネット政府アプリケーションのスキャンおよび監視を行い、関連する苦情および報告を受理する。 ネット信用部門は、主管電信部門と連携し、監視により発見された、またはネットユーザーから通報された偽造・模倣ネット行政申請に対し、速やかにドメイン名解決停止、インターネット接続遮断、オフライン処理などの措置を講じなければならない。 公安部門は、偽造・模倣インターネット政府申請に関する違法・犯罪行為を取り締まる責任を負う。
第七章 监督管理 第七章 監督管理
第四十条 中央网络安全和信息化委员会办公室负责统筹协调互联网政务应用安全管理工作。中央机构编制管理部门负责互联网政务应用开办主体身份核验、名称管理和标识管理工作。国务院电信主管部门负责互联网政务应用域名监督管理和互联网信息服务(ICP)备案工作。国务院公安部门负责监督检查指导互联网政务应用网络安全等级保护和相关安全管理工作。 第40条 中央ネットワーク安全情報化委員会事務局は、インターネット政府アプリケーションの安全管理を調整する責任を負う。 中央組織設立管理部門は、インターネット政府申請本体の身元確認、名称管理、ロゴ管理を担当する。 国務院傘下の電信部門は、インターネット政府申請ドメイン名の監督管理およびインターネット情報サービス(ICP)の申告を担当する。 国務院傘下の公安部門は、インターネット政府申請におけるネットワークセキュリティレベルの保護と関連セキュリティ管理を監督、検査、指導する責任を負う。
各地区、各部门承担本地区、本行业机关事业单位互联网政务应用安全管理责任,指定一名负责人分管相关工作,加强对互联网政务应用安全工作的组织领导。 各地域と各部門は、地域と業界内の機関および機構のインターネット政府アプリケーションのセキュリティ管理責任を負い、関連業務の責任者を指名し、インターネット政府アプリケーションのセキュリティ業務の組織的指導を強化する。
第四十一条 对违反或者未能正确履行本规定相关要求的,按照《党委(党组)网络安全工作责任制实施办法》等文件,依规依纪追究当事人和有关领导的责任。 第41条 本規定に違反し、または関連する要求事項を適切に履行しなかった場合、「党委員会(党グループ)ネットワークセキュリティ作業責任実施弁法」およびその他の文書に基づき、規則および規律に従って、当事者および関連指導者の責任を追及する。
第八章 附则 第八章附則
第四十二条 列入关键信息基础设施的互联网门户网站、移动应用程序、公众账号,以及电子邮件系统的安全管理工作,参照本规定有关内容执行。 第42条 重要情報インフラに含まれるインターネットポータル、モバイルアプリケーション、パブリックアカウント、電子メールシステムのセキュリティ管理は、本規定の関連内容を参考にして実施するものとする。
第四十三条 本规定由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部负责解释。 第43条 本規定は、ネットワーク安全情報化中央委員会弁公室、制度準備中央委員会弁公室、工業情報化部、公安部が解釈する。
第四十四条 本规定自2024年7月1日起施行。 第44条 本規定は、2024年7月1日から施行する。

 

1_20210612030101

 

| | Comments (0)

2024.06.09

米国 国家情報長官室(ODNI)が、IC情報環境のビジョンとロードマップを発表 (2024.05.30)

こんにちは、丸山満彦です。

米国の国家情報長官室(ODNI)が、IC情報環境のビジョンとロードマップを発表していますね...

AIにも言及していますが、情報機関がどのようにITを活用しようとしているかというのは興味深いですね...

情報活動というと政府や軍のイメージが強いですが、競争という意味では企業でも同じで、企業でもさまざまな情報活動(スパイという意味ではなく...)に力をいれている会社も多くなってきていますね。そういう組織にとっても参考になる部分はあるかもですね...

5つの重点領域が取り上げられています。

Focus Area 1.0: Fortify the Mission with a Reliable and Resilient Digital Foundation 重点分野1.0:信頼性とレジリエンスを備えたデジタル基盤でミッションを強化する 
Focus Area 2.0: Assure the Mission with Robust Cybersecurity 重点分野2.0:強固なサイバーセキュリティでミッションを確実にする
Focus Area 3.0: Enable the Mission with Modern Practices and Partnerships 重点分野3.0:最新の実践とパートナーシップでミッションを果たす
Focus Area 4.0: Enhance the Mission with Data-Centricity 重点分野4.0:データタ中心主義でミッションを強化する
Focus Area 5.0: Accelerate the Mission with Advanced Technologies and Workforce Readiness 重点分野5.0:先端技術と労働力の準備でミッションを加速する

 

  1. サービス継続=>レジリエンス
  2. 守秘=>セキュリティ
  3. 実践力=>最新技術・パートナーシップ
  4. 客観性=>データ中心
  5. 将来=>先端技術・人材

って感じですかね...

 

Office of the Director of National Intelligence; ODNI

・2024.05.30 ODNI Releases IC Information Technology Roadmap

ODNI Releases IC Information Technology Roadmap ODNI が IC 情報技術ロードマップを発表
WASHINGTON, D.C. – The Office of the Director of National Intelligence (ODNI) today released its inaugural Vision for the IC Information Environment: An Information Technology Roadmap. ワシントンD.C.-国家情報長官室(ODNI)は本日、IC情報環境のビジョンを発表した: 情報技術ロードマップである。
The roadmap provides technological foresight to guide the Intelligence Community (IC) to make transformative decisions about the cloud environment, cybersecurity, advanced computing, data analysis, and artificial intelligence among an array of other information technology (IT) issues. More than 100 technical leaders across the IC developed the roadmap's recommendations, and all 18 intelligence elements unanimously endorsed this vision. このロードマップは、クラウド環境、サイバーセキュリティ、高度なコンピューティング、データ分析、人工知能など、情報技術(IT)に関するさまざまな問題の中で、インテリジェンス・コミュニティ(IC)が変革的な意思決定を行うための指針となる技術的な先見性を提供する。IC全体の100人以上の技術指導者がロードマップの提言を作成し、18の情報部門すべてが満場一致でこのビジョンを承認した。
"The roadmap presents a unified vision for investments the IC must make to continue to provide the United States with unmatched decision advantage at a time of unprecedented technological change," said IC Chief Information Officer Dr. Adele Merritt. "Adversaries are not standing still and neither are we. The time is now for strategic and substantial investment in the core IT infrastructure of the IC." 「ICの最高情報責任者であるアデル・メリット博士は、「このロードマップは、前例のない技術革新の時代に、米国に比類ない意思決定の優位性を提供し続けるために、ICが行うべき投資の統一的なビジョンを示している。「敵も我々も立ち止まってはいない。今こそ、ICの中核的なITインフラに戦略的かつ大規模な投資を行う時である。
ODNI will update this roadmap annually using a collaborative process with IC stakeholders and outside experts to position the IC to evolve with technological changes and stay ahead of threats. ODNIは、ICの関係者や外部の専門家との協力プロセスを用いて、このロードマップを毎年更新していく。

 

・[PDF] Vision for the IC Inofrmation Environment - An Information Technology Roadmap

20240609-115508

・[DOCX][PDF] 仮訳

 

目次...

Introduction 序文
Focus Area 1.0: Fortify the Mission with a Reliable and Resilient Digital Foundation 重点分野1.0:信頼性とレジリエンスを備えたデジタル基盤でミッションを強化する 
Key Initiatives 主な取り組み
1.1 Make More World-Class Capabilities Available to Mission by Optimizing the IC’s Cloud Environment 1.1 ICのクラウド環境を最適化し、より多くのワールドクラスの能力をミッションに提供する 
1.2 Meet the Demands of Tomorrow by Advancing and Scaling Compute, Storage, and Transport 1.2 コンピュート、ストレージ、トランスポートの進化と拡張し、明日の需要に応える 
1.3 Enable the Intelligence Mission Anywhere by Empowering the Edge 1.3エッジを強化し、どこでもインテリジェンス・ミッションを可能にする
Focus Area 2.0: Assure the Mission with Robust Cybersecurity 重点分野2.0:強固なサイバーセキュリティでミッションを確実にする
Key Initiatives 主な取り組み.
2.1 Protect Our Mission from the Inside Out by Achieving Zero Trust 2.1ゼロトラストを実現し、内部からミッションを守る
2.2 Deliver the Right IT at the Right Time through Modernized Enterprise Risk Management 2.2 エンタープライズ・リスクマネジメントの近代化し、適切なタイミングで適切なITを提供する
2.3 Strengthen the IC’s Collective Defenses by Maturing and Integrating Security Coordination 2.3 安全保障調整の成熟化と統合し、ICの集団的防衛力を強化する
2.4 Increase Security and Speed of Software Delivery through Development, Security, and Operations (DevSecOps) 2.4 開発・セキュリティ・運用(DevSecOps)により、ソフトウェアのセキュリティと提供スピードを向上させる
2.5 Keep Our Most Sensitive Intelligence Safe by Realizing Quantum Resistant (QR) Cryptography 2.5 耐量子暗号(QR)の実現により、最も機密性の高いインテリジェンスを安全に保つ 
2.6 Batten Down the Hatches by Securing/Hardening Cross Domain Solutions (CDS) 2.6 クロスドメイン・ソリューション(CDS)を確保/強化し、ハッチを閉める
Focus Area 3.0: Enable the Mission with Modern Practices and Partnerships 重点分野3.0:最新の実践とパートナーシップでミッションを果たす
Key Initiatives 主な取り組み
3.1 Connect Our People by Enhancing and Extending Collaboration 3.1コラボレーションを強化・拡大し、職員をつなげる
3.2 Enable Dynamic Information Sharing by Cultivating Agile and Non-Traditional Partnerships 3.2 アジャイルで非伝統的なパートナーシップの育成により、ダイナミックな情報共有を可能にする
3.3 Tap into the Full Power of the IC Talent Pool by Achieving Ubiquitous IT Accessibility 3.3ユビキタスITアクセシビリティの実現により、IC人材プールの力をフル活用する
3.4 Put the Multi-INT in Intelligence by Advancing Interoperability Among IC Elements 3.4 IC要素間の相互運用性を高めることにより、インテリジェンスにマルチインテリジェンスを導入する
Focus Area 4.0: Enhance the Mission with Data-Centricity 重点分野4.0:データタ中心主義でミッションを強化する
Key Initiatives 主な取り組み
4.1 Expedite Mission Outcomes by Realizing End-to-End Data Management 4.1 エンドツーエンドのデータ管理を実現し、ミッションの成果を促進する
4.2 Maximize Intelligence Value by Implementing a Data-Centric Architecture 4.2 データ中心のアーキテクチャを実装し、インテリジェンスの価値を最大化する
4.3 Empower the Analyst by Transitioning Sensitive Data Siloes to Data-Centric Enclaves 4.3 機密データのサイロ化からデータ中心のエンクレーブへ移行し、分析官に力を与える
Focus Area 5.0: Accelerate the Mission with Advanced Technologies and Workforce Readiness 重点分野5.0:先端技術と労働力の準備でミッションを加速する
Key Initiatives 主な取り組み
5.1 Unleash More, Better, Faster by Advancing AI at Scale 5.1 AI をスケールアップし、より多く、より良く、より速く解き放つ 
5.2 Meet the Future When It Arrives by Preparing Now for Over-the-Horizon Capabilities 5.2 オーバー・ザ・ホライズン能力に今から備えることで、到来する未来に対応する 
5.3 Capitalize on Tomorrow’s Capabilities by Priming the Future Workforce 5.3 将来の労働力を準備し、明日の能力を活かす
Appendix A: References 附属書A:参考文献 

 

 

 

 

 

| | Comments (0)

カナダ プライバシー・コミッショナー 年次報告書 2023-2024

こんにちは、丸山満彦です。

カナダのプライバシー・コミッショナーが年次報告書を公表しています。

その中で、3つの戦略を発表しているのですが、子供のプライバシーの保護についても1つとして入っていますね...もちろん、AIとかも...

カナダは民間部門に対する法律、The Personal Information Protection and Electronic Documents Act (PIPEDA)と政府・地方自治体に対する法律、The Privacy Actの2つがありますね...

カナダの個人情報保護制度については日本の個人情報保護委員会のカナダのページが参考になります...

 

さて、この報告書では5つのトレンド3つの戦略項目が挙げられていますが、一つは子供の個人情報保護ですね...もちろんAIもありますが...

日本でも個人情報保護法の見直しが行われていますが、参考になると思います...

 

5つのトレンド

Privacy concerns amidst the ongoing rise of digital connectivity デジタルの相互接続が進む中でのプライバシーの懸念
Greater concerns related to children's privacy rights 子どものプライバシー権への関心が高まる
Rising threat and severity of cyberbreaches サイバー侵害の脅威と深刻さの増加
Increased development in, use of, and concern about AI AIの発展、利用、懸念の増大
Strengthening fundamental rights with an expansion of privacy laws プライバシー法の拡大による基本的権利の強化

 

3つの戦略目標

Protecting and promoting privacy with maximum impact 最大限の効果をもたらすプライバシーの防御と促進
Addressing and advocating for privacy in this time of technological change 技術革新の時代におけるプライバシーへの対応と擁護
Championing children’s privacy 子どものプライバシーの保護

 

 

Office of the Privacy Commissioner of Canada

プレス...

・2024.06.06 Annual report highlights OPC work in context of global privacy trends

Annual report highlights OPC work in context of global privacy trends 年次報告書では、世界的なプライバシー動向の中でOPCの業務が強調されている
GATINEAU, QC, June 6, 2024 – The Privacy Commissioner of Canada’s annual report, tabled today in Parliament, highlights global trends in privacy that are reflected in the Office’s work and strategic priorities. カナダ・プライバシー・コミッショナーの年次報告書が本日、国会に提出され、プライバシー・コミッショナーの活動と戦略的優先事項に反映されているプライバシーの世界的な動向に焦点を当てた。
The Commissioner’s 2023-2024 annual report, Trust, innovation, and protecting the fundamental right to privacy in the digital age, describes key activities and achievements of the Office of the Privacy Commissioner of Canada (OPC) to protect and promote Canadians’ fundamental right to privacy. プライバシー・コミッショナーの2023-2024年年次報告書「信頼、革新、デジタル時代におけるプライバシーの基本的権利の保護」は、カナダ人のプライバシーの基本的権利を保護・促進するためのカナダ・プライバシー・コミッショナー事務局(OPC)の主な活動と成果を記述している。
The report also shines a spotlight on the Commissioner’s strategic priorities that will guide the work of the OPC over the next three years. These priorities focus on issues where the OPC can have the greatest impact, and where the greatest risks lie if they are not addressed – protecting and promoting privacy with maximum impact; addressing and advocating for privacy in this time of technological change; and championing children’s rights. また、今後3年間のOPCの活動の指針となる、コミッショナーの戦略的優先事項にもスポットライトが当てられている。これらの優先事項は、OPCが最も大きな影響を与えることができる問題、そして、もしそれが対処されなければ最も大きなリスクが潜む問題、すなわち、最大限の影響力を持つプライバシーの防御と促進、技術革新の時代におけるプライバシーへの対処と提唱、そして子供の権利の擁護に焦点を当てている。
Global trends demonstrate growing privacy concerns amidst the rise of digital connectivity, greater concerns related to children’s privacy rights, the rising threat and severity of cyberbreaches, and the increased development in, use of and concern about artificial intelligence, as well as the strengthening of fundamental rights with an expansion of privacy laws. 世界的な傾向として、デジタルコネクティビティの高まり、子どものプライバシー権に関する懸念の増大、サイバー侵害の脅威と深刻さの増大、人工知能の開発・使用・懸念の増大の中で、プライバシーに関する懸念が高まっていること、また、プライバシー法の拡大により基本的権利が強化されていることが示されている。
“Personal information is increasingly sought after in the digital age and protecting privacy has become one of the paramount challenges of our time,” says Privacy Commissioner Philippe Dufresne. 「プライバシー・コミッショナーのフィリップ・デュフレーヌは、「デジタル時代において、個人情報はますます求められるようになり、プライバシーの保護は現代における最重要課題のひとつとなっている。
“Just as data is used to fuel innovation, innovation must also be used to protect data. As the world embraces the digital age and opportunities, we must ensure that it does so in a privacy-protective way.” 「データが技術革新の原動力となるように、技術革新もまたデータを保護するために利用されなければならない。世界がデジタルの時代と機会を受け入れるように、我々はプライバシーを保護する方法でそれを確実にしなければならない。
The investigations that are detailed in the annual report exemplify the risks and the importance of protecting the fundamental right to privacy in the digital era. 年次報告書に詳述されている調査は、デジタル時代におけるリスクとプライバシーの基本的権利を保護することの重要性を例証している。
For example, the Commissioner’s investigation into Aylo, which operates Pornhub and other pornographic websites, found significant problems that allowed highly sensitive and intimate content to be posted online without the direct knowledge or consent of those depicted. This led to devastating consequences for the woman at the centre of the investigation and other victims. 例えば、Pornhubをはじめとするポルノサイトを運営するAylo社に対するコミッショナーの調査では、非常にデリケートで親密なコンテンツが、描写された人物の直接的な知識や同意なしにオンラインに投稿されることを許してしまう重大な問題が見つかった。これは、調査の中心となった女性や他の被害者に壊滅的な結果をもたらした。
Other points of interest: その他の注目点
・In 2023-2024 the OPC accepted 1,113 complaints related to the Privacy Act. ・2023年から2024年にかけて、OPCはプライバシー法に関する苦情を1,113件受理した。
・The OPC received 561 privacy breach reports from federal institutions, of which 68% related to lost or misplaced records containing personal information. ・OPCは連邦政府機構から561件のプライバシー侵害報告を受け、うち68%が個人情報を含む記録の紛失または置き忘れに関連していた。
・Under PIPEDA, the OPC accepted 446 complaints and 693 data breach reports. ・PIPEDAの下では、OPCは446件の苦情と693件のデータ漏洩報告を受理した。
・Twice as many Canadian accounts were affected by breaches in 2023-2024 (693 breaches affecting 25 million accounts), but for a similar number of reported incidents as the previous year (681 breaches in 2022-2023 affecting approximately 12 million accounts). ・2023-2024年に情報漏えいの影響を受けたカナダのアカウント数は2倍(2,500万アカウントに影響する693件)であったが、報告されたインシデント数は前年と同程度(2022-2023年に約1,200万アカウントに影響する681件)であった。
・25% of all complaints accepted under PIPEDA were against businesses in the financial sector, while the online/digital services sector accounted for 16%. ・PIPEDAに基づき受理された苦情の25%は金融セクターの企業に対するもので、オンライン/デジタルサービスセクターは16%であった。
・Breach reports showed that third-party service providers, particularly IT and software providers, were targeted more frequently by threat actors. ・侵害報告書によると、サードパーティーのサービスプロバイダー、特にITプロバイダーやソフトウェアプロバイダーが脅威行為者に狙われる頻度が高い。

 

 

・20204.06.06 [PDF] 2023-2024 Trust, innovation, and protecting the fundamental right to privacy in the digital age - Annual Report to Parliament on the Privacy Act and the Personal Information Protection and Electronic Documents Act

20240608-55201

 

目次...

Table of contents 目次
Commissioner’s message コミッショナーメッセージ
Timeline タイムライン
Top trends in privacy プライバシーのトップトレンド
Spotlight on strategic priorities 戦略的優先事項のスポットライト
Privacy Act: A year in review プライバシー法 1年を振り返って
Government advisory work 政府によるアドバイザリー業務
Privacy Act compliance actions プライバシー法の遵守行動
Privacy Act breaches プライバシー法違反事件
Compliance monitoring unit activities コンプライアンス・モニタリング・ユニットの活動
PIPEDA: A year in review PIPEDA:1年を振り返って
PIPEDA compliance actions PIPEDAコンプライアンス・アクション
PIPEDA breaches PIPEDA違反
Compliance monitoring unit activities コンプライアンス・モニタリング・ユニットの活動
PIPEDA advice and outreach to businesses 企業へのPIPEDAアドバイスおよびアウトリーチ
Highlights of other OPC work その他のOPC業務のハイライト
Advice to Parliament 国会への助言
International and domestic cooperation 国際協力および国内協力
Contributions Program 寄付プログラム
Outreach to Canadians カナダ人へのアウトリーチ
Before the Courts 法廷での活動
Appendices 附属書
Appendix 1: Definitions 附属書1:定義
Appendix 2: Statistical tables 附属書2:統計表
Appendix 3: Substantially similar legislation 附属書3:実質的に類似した法律
Appendix 4: Report of the Privacy Commissioner, Ad Hoc 附属書4:プライバシー・コミッショナー特別報告書

 

 

5つのトレンド...

Top trends in privacy プライバシーのトップトレンド
Technology and digital interconnectivity continue to transform the lives of individuals and have also brought forth an era of new privacy issues. Here are five pivotal trends that are shaping the privacy landscape in Canada and beyond. テクノロジーとデジタルの相互接続性は、個人の生活を変容させ続け、また新たなプライバシー問題の時代をもたらした。ここでは、カナダとそれ以外の国におけるプライバシーの状況を形成している5つの極めて重要なトレンドを紹介する。
Privacy concerns amidst the ongoing rise of digital connectivity デジタルの相互接続が進む中でのプライバシーの懸念
Greater volumes of data are being shared, used, and stored online than ever before. Despite a heavy reliance on digital platforms, there is limited trust, particularly when it comes to social media companies, and growing concern about how personal information is protected in the digital age.  かつてないほど大量のデータがオンラインで共有され、利用され、保存されている。デジタル・プラットフォームへの依存度が高いにもかかわらず、特にソーシャルメディア企業に対する信頼は限定的であり、デジタル時代における個人情報の保護に対する懸念が高まっている。
• Digital connectivity has doubled in 10 years, with more than 5.35 billion Internet users worldwide and 5.6 billion mobile device users. Canada boasts a high Internet penetration rate of approximately 95%.1, 2  ・デジタル接続は10年間で倍増し、世界のインターネット・ユーザーは53億5、000万人以上、モバイル・デバイス・ユーザーは56億人を超えている。カナダのインターネット普及率は約95%と高い。
• Canadians spend an average of 6 hours and 18 minutes online per day.1, 2  ・カナダ人は1日平均6時間18分インターネットを利用している。
• 91% of Canadians believe that at least some of what they do online or on their smartphones is being tracked by companies or organizations.3  ・91%のカナダ人が、オンラインやスマートフォンでの行動の少なくとも一部は、企業や組織によって追跡されていると考えている3。
• Only 1 in 10 Canadians say that they trust social media to protect their privacy.3  ・カナダ人の10人に1人しか、自分のプライバシーを保護してくれるソーシャルメディアを信頼していないと答えている3。
• Primary motivations for using social media include staying connected with friends and family (58.2%), passing leisure time (43.3%), and accessing news content (31%).2 ・ソーシャルメディアを利用する主な動機は、友人や家族とのつながりを保つ(58.2%)、余暇を過ごす(43.3%)、ニュースコンテンツにアクセスする(31%)などである2。
Greater concerns related to children's privacy rights 子どものプライバシー権への関心が高まる
A global trend toward greater concern for the privacy of young people is driving the development of new laws, regulations, guidelines, and initiatives that are aimed at protecting children’s privacy by governments and data protection authorities around the world. This includes, for example, legislative initiatives in the UK and elsewhere to introduce age-appropriate design requirements, as well as large fines against companies like TikTok and Meta following investigations related to children’s privacy. 若者のプライバシーに対する関心が高まる世界的な傾向を受けて、世界中の政府やデータ保護当局が子どものプライバシー保護を目的とした新たな法律、規制、ガイドライン、イニシアチブを策定している。これには、例えば、年齢相応の設計要件を導入するための英国やその他の地域での法的イニシアティブや、子どものプライバシーに関連する調査後のTikTokやMetaのような企業に対する多額の罰金が含まれる。
• 59% of young people worldwide report spending more than two hours of their average day on social media.4 ・世界の若者の59%が、平均1日のうち2時間以上をソーシャル・メディアに費やしていると報告している4。
• 75% of young people find that the technical language of social media terms of service is hard to understand and feel that a take-it-or-leave-it approach forces them to choose between social exclusion or signing up at the cost of their privacy.4 ・75%の若者は、ソーシャルメディアの利用規約の専門的な言葉は理解しにくく、取るか取られるかのアプローチによって、社会的排除か、プライバシーを犠牲にして登録するかの選択を迫られていると感じている4。
• 78% of Canadian youth use YouTube and social media for the most popular online activity, watching videos. Messaging ranks second at 70%. 5 ・カナダの若者の78%が、最も人気のあるオンライン活動であるビデオ視聴のためにYouTubeやソーシャルメディアを利用している。メッセージングは70%で2位である。5
• TikTok is the top social media platform for Canadian youth, ahead of Snapchat and Instagram, with 53% using TikTok in the past month.5 ・TikTokはカナダの若者にとって、SnapchatやInstagramを抑えてトップのソーシャルメディア・プラットフォームであり、53%が過去1ヶ月にTikTokを利用している5。
• 12% of Canadian businesses report collecting personal information from minors; 73% say that they use age-appropriate language to explain their privacy policies and 27% say that they carry out PIAs before offering tools or products that are aimed at young people. 6 ・カナダの企業の12%は、未成年者から個人情報を収集していると報告している。73%は、プライバシーポリシーの説明に年齢に適した言葉を使用していると回答しており、27%は、若者を対象としたツールや製品を提供する前にPIAを実施していると回答している。6
Rising threat and severity of cyberbreaches サイバー侵害の脅威と深刻さの増加
Data breaches have surged over the past decade. In particular, ransomware and malware attacks are sharply rising. This risk of cyberattacks and data exfiltration from a variety of threat actors is of great concern to private and public sector organizations, and the majority of individuals are concerned about identity theft.  データ侵害は過去10年間で急増した。特に、ランサムウェアやマルウェアによる攻撃が急増している。さまざまな脅威行為者からのサイバー攻撃やデータ流出のリスクは、民間企業や公的機関にとって大きな関心事であり、個人の大多数は個人情報の盗難を懸念している。
• Data breaches have more than tripled between 2013 and 2022. More than 2.6 billion personal records were exposed worldwide in the past two years alone.7 ・データ漏洩は2013年から2022年にかけて3倍以上に増加している。過去2年間だけでも、世界中で26億件以上の個人記録が流出した7。
• 94% of organizations around the world experienced a cyberattack of some form in the last year; 28% were targeted by a ransomware attack, and 41% by malware.8, 9  ・世界の組織の94%が、昨年何らかのサイバー攻撃を経験している。ランサムウェア攻撃の標的は28%、マルウェアの標的は41%だった8,  9。
• Since 2020 the frequency of ransomware attacks worldwide has increased, surging by 50% year-on-year during the first half of 2023 alone.10 ・2020年以降、世界中でランサムウェア攻撃の頻度が増加しており、2023年上半期だけで前年同期比50%増と急増している10。
• Business leaders and privacy professionals around the world believe that a cyberattack or data breach is the #1 risk facing their organizations.11, 12 ・世界中のビジネスリーダーやプライバシーの専門家は、サイバー攻撃やデータ・漏洩が組織が直面する1番のリスクであると考えている11,  12。
• In 2023-2024, private-sector organizations reported 693 breaches to the OPC, affecting approximately 25 million Canadian accounts, compared with 681 breaches the previous year, affecting approximately 12 million accounts.  ・2023年から2024年にかけて、民間組織は693件の情報漏えいをOPCに報告し、カナダの約2,500万アカウントに影響を与えた。
• 90% of Canadians are at least somewhat concerned about identity theft, and around half are extremely concerned.3 ・カナダ人の 90%が ID 窃盗について少なくともいくらか懸念しており、約半数が非常に懸念している3。
Increased development in, use of, and concern about AI AIの発展、利用、懸念の増大
The proliferation of artificial intelligence and generative AI technologies, in Canada and around the world, is generating privacy concerns.  カナダだけでなく世界中で人工知能や生成的AI技術が普及し、プライバシーへの懸念が高まっている。
• AI is expected to see an annual global growth rate of 37.3% from 2023 to 2030.13 ・AIは2023年から2030年にかけて、世界的に年間37.3%の成長が見込まれている13。
• 42% of enterprise-scale businesses around the world say they have already integrated AI into their operations; 40% are considering doing so.14 ・世界中のエンタープライズ規模の企業の42%が、すでにAIを自社の業務に組み込んでいると回答しており、40%はその導入を検討している14。
• 6% of Canadian businesses say that they use AI for business operations; of those not using AI, nearly 25% say that they intend to do so in the next five years.6 ・カナダ企業の6%がAIを業務に活用していると回答しており、AIを活用していない企業のうち、25%近くが今後5年以内に活用する意向を示している6。
•91% of organizations say that they need to do more to reassure customers about how their data is being used with AI. 15 -91%の企業が、自社のデータがAIでどのように利用されているかについて、顧客を安心させるためにもっと努力する必要があると回答している。15
• The number of Canadians who believe that AI tools are bad for society is increasing, from 25% in 2023 to 32% in 2024 and 81% have privacy concerns about AI.16  ・AIツールは社会に悪影響を及ぼすと考えるカナダ人は、2023年の25%から2024年には32%に増加し、81%がAIについてプライバシーに懸念を抱いている16。
• Over 90% of Canadians say that AI development should be guided by ethical principles and 78% believe its use should be regulated.17 ・90%以上のカナダ人が、AIの開発は倫理原則によって導かれるべきであり、78%がその利用は規制されるべきであると考えている17。
Strengthening fundamental rights with an expansion of privacy laws プライバシー法の拡大による基本的権利の強化
Influenced by the EU’s experience with the General Data Protection Regulation (GDPR), a new generation of privacy laws are being enacted and applied in many parts of the world. There are likewise efforts to modernize Canada’s federal private-sector privacy law with stronger rules, regulatory powers, and incentives to enhance individuals’ right  to privacy.  EUの一般データ保護規則(GDPR)の経験に影響され、新世代のプライバシー法が世界各地で制定・適用されている。同様に、個人のプライバシー権を強化するためのより強力なルール、規制権限、インセンティブを備えたカナダの連邦民間プライバシー法を近代化する取り組みも行われている。
• 137 countries have national data privacy laws, a 14.2% increase since 2017, with the result that 6.3 billion people in the world (79.3%) are now covered by privacy laws.18  ・137カ国が国内データ・プライバシー法を制定しており、2017年から14.2%増加し、その結果、世界の63億人(79.3%)がプライバシー法の対象となっている18。
• In 2023, violations of the GDPR cost companies over $2 billion euros (more than 2019, 2020 and 2021 combined), impacting companies beyond EU borders.19 ・2023年、GDPR違反による企業の損害は20億ユーロを超え(2019年、2020年、2021年の合計よりも多い)、EUの国境を越えた企業に影響を与える19。
• Commissioner Dufresne has made 15 key recommendations to improve and strengthen Bill C-27, which would update Canada’s private-sector privacy law, including recognizing privacy as a fundamental right.20 ・デュフレン委員は、プライバシーを基本的権利として認めることを含め、カナダの民間プライバシー法を更新する法案C-27を改善・強化するための15の重要な提言を行っている20。
• Dozens of countries have already enacted AI laws and policies, such as the EU AI Act, which is the first comprehensive legal framework on AI and may have the same effect globally as the GDPR, and others are actively drafting and debating privacy issues in connection to AI laws.21 ・AIに関する初の包括的な法的枠組みであり、GDPRと同様の効果を世界的にもたらす可能性があるEUのAI法など、すでに数十カ国がAIに関する法律や政策を制定しており、他の国もAI法に関連したプライバシー問題の草案作成や議論を積極的に行っている21。

1: DataReportal, Digital 2024: Global Overview Report;

2: DataReportal, Digital 2024: Canada, 2024;

3: OPC, Survey of Canadians on Privacy-Related Issues, 2022-23;

4: Amnesty International, Global Survey, 2023;

5: MTM JR, What’s new and what’s next? Kids, teens and social media, 2023;

6: OPC, Survey of Canadian Businesses on Privacy-Related Issues, 2023-2024;

7: MIT/Apple, The Continued Threat to Personal Data: Key Factors Behind the 2023 Increase, 2023;

8: Sophos, The State of Cybersecurity, 2023;

9: Thales, Global Data Threat Report, 2024;

10: Canadian Centre for Cyber Security, National Cyber Threat Assessment, 2023-2024;

11: Aon, Global Risk Management Survey, 2023;

12: IAPP/KPMG, Privacy Risk Study, 2023;

13: Grandview Research, Artificial intelligence Market Size and Trends, 2023;

14: IBM, Global AI Adoption Index, 2023;

15: CISCO 2024 Data privacy benchmark study;

16: Leger, Use of AI Tools, 2024;

17: Telus, AI Report, 2024;

18: IAPP, Identifying global privacy laws, relevant DPAs, 2024;

19: Statista, EU Data Protection Fines Hit Record High in 2023, 2024;

20: OPC, 15 Key Recommendations on Bill C-27, 2023;

21: IAPP, Global AI Law and Policy Tracker, 2024.

 

3つの戦略

Spotlight on strategic priorities 戦略的優先課題にスポットライトを当てる
In January 2024, Commissioner Dufresne launched his Strategic Plan for the OPC: A roadmap for trust, innovation and protecting the fundamental right to privacy in the digital age. The Strategic Plan will guide the work of the Office of the Privacy Commissioner of Canada (OPC) over the next three years, focusing on three priority areas: 2024年1月、デュフレン委員はOPCの戦略計画を発表した: デジタル時代における信頼、革新、プライバシーの基本的権利の保護のためのロードマップである。この戦略計画は、今後3年間のカナダ・プライバシー・コミッショナー事務局(OPC)の活動の指針となるもので、3つの優先分野に焦点を当てている:
1. Protecting and promoting privacy with maximum impact by using business intelligence to identify trends that need attention, producing focused guidance and outreach, leveraging strategic partnerships, and preparing for the implementation of potential new privacy legislation; 1. ビジネスインテリジェンスを活用して注意を要する傾向を特定し、焦点を絞ったガイダンスとアウトリーチを作成し、戦略的パートナーシップを活用し、潜在的な新しいプライバシー法の施行に備えることにより、最大限の影響力をもってプライバシーを防御・促進する;
2. Addressing and advocating for privacy in this time of technological change with a focus on artificial intelligence (AI) and generative AI, the proliferation of which brings both potential benefits, and increased risks to privacy; and 2. 人工知能(AI)と生成的AIに焦点を当て、技術革新の時代におけるプライバシーに取り組み、提唱する。その普及は、潜在的な利益とプライバシーに対する増大するリスクの両方をもたらす。
3. Championing children’s privacy rights to ensure that their unique privacy needs are met, and that they can exercise their rights. 3. 子どものプライバシーの権利を擁護し、子ども特有のプライバシーニーズが満たされ、子どもが権利を行使できるようにする。
These strategic priorities focus on issues where the OPC can have the greatest impact, and where the greatest risks lie if they are not addressed. They build on the vision for privacy that the Commissioner has articulated since taking on his role in 2022: that privacy is a fundamental right; that privacy supports the public interest and Canada’s innovation and competitiveness; and that privacy accelerates Canadians’ trust in their institutions and in their participation as digital citizens.  これらの戦略的優先事項は、OPCが最も大きな影響を与えることができ、また、対処しなければ最も大きなリスクが潜む問題に焦点を当てている。プライバシーは基本的権利であり、プライバシーは公共の利益とカナダの技術革新と競争力を支えるものであり、プライバシーはカナダ人の機構に対する信頼とデジタル市民としての参加を促進するものである。
The Strategic Plan offers an overview of the kinds of initiatives that the OPC is undertaking for each priority and the outcomes that the Commissioner intends to achieve. All three strategic priorities include the themes of engagement, partnerships, collaboration, and continued learning. 戦略計画では、各優先事項に対してOPCがどのような取り組みを行うのか、またOPCが達成しようとする成果についての概要が示されている。つの戦略的優先事項すべてに、関与、パートナーシップ、協力、継続的学習というテーマが含まれている。
Strategic priority 1:  戦略的優先事項 1: 
Protecting and promoting privacy with maximum impact 最大限の効果をもたらすプライバシーの防御と促進
This priority serves as the bedrock for fulfilling the OPC’s existing mandate, applying existing laws to new and emerging challenges, and preparing for potential changes to federal privacy laws. It commits the OPC to strengthen governance and capacity, foster internal communications and collaboration, and nurture partnerships and networks, at home and abroad, optimizing programs and services that respond to the needs of Canada and Canadians.  この優先順位は、OPCの既存の任務を果たし、既存の法律を新たな課題に適用し、連邦プライバシー法の潜在的な変更に備えるための基礎となる。OPCはガバナンスと能力を強化し、内部コミュニケーションとコラボレーションを促進し、国内外でのパートナーシップとネットワークを育成し、カナダとカナダ人のニーズに応えるプログラムとサービスを最適化する。
In 2023-2024, activities to advance these objectives included:  2023年から2024年にかけて、これらの目標を推進するための活動には以下が含まれる: 
• Issuing 15 key recommendations to Parliament to strengthen Bill C-27 as part of the Commissioner’s submission on the Bill, and preparing for its potential implementation; ・法案C-27に関する委員会提出資料の一部として、法案C-27を強化するための15の重要勧告を議会に提出し、その実施の可能性に備える;
• Creating a new Directorate of International, Provincial, and Territorial Relations to bolster engagements with other regulators and privacy organizations; ・国際・州・地域関係局を新設し、他の規制当局やプライバシー団体との連携を強化する;
• Issuing an investigation report into Pornhub operator Aylo, reiterating that the non-consensual sharing of intimate images is a serious privacy violation; ・Pornhubを運営するAyloに対する調査報告書を発表し、親密な画像の非合意的な共有は深刻なプライバシー侵害であることを改めて強調する;
• Creating two new positions; first, the position of Deputy Commissioner and Senior General Counsel, to address increased legal activity, and second, a Chief Services and Digital Officer, to guide the implementation of a digital vision and agenda; and ・2つの役職を新設した。1つ目は、法的活動の増加に対応するための副委員長兼上級法律顧問の役職、2つ目は、デジタルビジョンとアジェンダの実施を指導するためのチーフサービス&デジタルオフィサーの役職である。
• Continuing modernization efforts to improve document and data management practices as a foundation for datainformed decisions. ・データに基づいた意思決定の基盤として、文書およびデータ管理慣行を改善するための近代化努力を継続する。
Strategic priority 2:  戦略的優先事項2:
Addressing and advocating for privacy in this time of technological change 技術革新の時代におけるプライバシーへの対応と擁護
Rapidly evolving and transformative technological advancements, such as AI offer potential opportunities and benefits, but they can also increase risks to privacy.  AI のような急速な進化と変革を遂げる技術の進歩は、潜在的な機会と利益をもたらすが、同時にプライバシーのリスクを増大させる可能性もある。
To advance this priority, the OPC is focusing on enhancing internal capacity, forging strategic partnerships, fostering a culture of privacy, and encouraging the use of privacy-bydesign principles for existing and emerging technologies that support innovation while protecting privacy rights. この優先事項を推進するために、OPCは内部能力の向上、戦略的パートナーシップの構築、プライバシー文化の醸成、プライバシー権を保護しながらイノベーションを支援する既存および新興技術のプライバシー設計原則の使用を奨励することに注力している。
In 2023-2024, the OPC undertook several activities in connection with this priority, including: 2023年から2024年にかけて、OPCはこの優先事項に関連して以下のような活動を行った:
• Hosting an international symposium on privacy and AI; ・プライバシーとAIに関する国際シンポジウムを開催する;
• Issuing a joint statement on AI with G7 authorities and adopting a resolution on responsible generative AI with other members of the Global Privacy Assembly; ・G7当局とAIに関する共同声明を発表し、グローバル・プライバシー総会の他のメンバーとともに、責任ある生成的AIに関する決議を採択する;
• Launching joint principles for responsible generative AI with provincial and territorial counterparts; ・責任ある生成的AIのための共同原則を、州や準州の担当者と立ち上げる;
• Conducting stakeholder consultations on draft guidance on biometric technologies; ・バイオメトリクス技術に関するガイダンスのドラフトに関する関係者協議を実施する;
• Launching an investigation into OpenAI, the company behind ChatGPT, with Quebec, British Columbia, and Alberta counterparts; ・ケベック州、ブリティッシュコロンビア州、アルバータ州の担当者とともに、ChatGPTの背後にあるOpenAIの調査を開始する;
• Inviting research proposals through the OPC Contributions Program on the privacy impacts of immersive and embeddable technologies; ・OPC貢献プログラムを通じて、没入型・埋め込み型技術のプライバシーへの影響に関する研究提案を募集する;
• Forming a multi-disciplinary team within the OPC to work collaboratively to tackle the impact of AI on the public and private sectors; and  ・OPC内に学際的なチームを結成し、AIが公共部門や民間部門に与える影響に共同で取り組む。
• Establishing an environment for the OPC’s Technology Analysis Directorate for testing, research, and analysis on generative AI. ・OPCの技術分析部門に生成的AIに関する試験、研究、分析のための環境を整備する。
Strategic priority 3:  戦略的優先事項3: 
Championing children’s privacy 子どものプライバシーの保護
This strategic priority recognizes the unique sensitivities around children’s privacy and the need to ensure that their rights are protected so that they can benefit from technology without compromising their privacy and well-being. The OPC is deepening its expertise and understanding of children’s privacy issues, engaging with young people and those who advocate for them for informed education and outreach, expanding partnerships to increase the uptake of OPC resources, and applying a children’s privacy lens to compliance work.  この戦略的優先事項は、子どものプライバシーをめぐる独特の敏感さと、プライバシーと幸福を損なうことなく技術から利益を得られるよう、子どもの権利が確実に保護される必要性を認識するものである。OPCは、子どもたちのプライバシー問題に関する専門知識と理解を深め、子どもたちや子どもたちを擁護する人たちに情報を提供するための教育やアウトリーチを行い、OPCのリソースの利用を増やすためにパートナーシップを拡大し、コンプライアンス業務に子どもたちのプライバシー・レンズを適用している。
During 2023-2024, OPC activities related to children’s privacy included: 2023年から2024年にかけて、子どものプライバシーに関連するOPCの活動には以下が含まれる:
• A joint investigation into TikTok’s privacy practices as they relate to young users in collaboration with Quebec, British Columbia, and Alberta counterparts; ・ケベック州、ブリティッシュコロンビア州、アルバータ州のカウンターパートと共同で、若年ユーザに関連するTikTokのプライバシー慣行を調査した;
• Recommending to Parliament that Bill C-27's preamble recognize that the processing of children’s personal data should respect the best interests of the child; ・法案C-27の前文で、子どもの個人データの処理は子どもの最善の利益を尊重すべきであると認識するよう議会に提言する;
• Adopting a resolution with provincial and territorial colleagues calling on governments and organizations to improve privacy protections for children, and producing a child-friendly version of the resolution and a companion guide for organizations;  ・州や準州の同僚とともに、政府や組織に子どものプライバシー保護の改善を求める決議を採択し、子ども向けの決議と組織向けのガイドを作成する; 
• Holding a series of roundtable discussions on the best interests of the child in the processing of their personal data;  ・個人データ処理における子どもの最善の利益に関する一連の円卓会議を開催する; 
• Participating in a meeting of the Young Canadians’ Parliament to hear from youth about their views on privacy; ・ヤング・カナディアン・パーラメントの会合に参加し、プライバシーに関する若者の意見を聞く;
• Inviting research proposals for the OPC Contributions Program on the theme of ensuring children’s privacy in the digital era; and ・デジタル時代における子どものプライバシーの確保をテーマとするOPC貢献プログラムへの研究提案を募る。
• Participating in the Global Privacy Assembly’s Age Assurance Working Group on efforts to promote harmonization in the approach to age assurance. ・グローバル・プライバシー総会(Global Privacy Assembly)の「年齢保証ワーキンググループ(Age Assurance Working Group)」に参加し、年齢保証のアプローチにおける調和を促進する取り組みに参加する。
The OPC invited feedback on the Strategic Plan for 2024-2027 when the plan was published, to help inform the implementation of the priorities and generate ideas on how it can most effectively advance each of the three interconnected priority areas. Recognizing the dynamic nature of the priorities selected, the OPC intends to remain agile, so that it may adapt to changing circumstances, effectively report on progress, and best collaborate with its many partners and stakeholders on the important work  ahead. OPCは、2024~2027年の戦略計画の発表時に、優先事項の実施に役立て、相互に関連する3つの優先分野のそれぞれを最も効果的に推進する方法についてアイデアを生み出すため、この戦略計画に対する意見を募集した。選択された優先事項のダイナミックな性質を認識し、OPCは、状況の変化に適応し、進捗状況を効果的に報告し、多くのパートナーや輸入事業者と最善の協力関係を築きながら、今後の重要な業務に取り組むことができるよう、機敏な動きを維持することを意図している。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.06.05 欧州データ保護監察機関 (EDPS) 生成的AIを使用するEU組織のための最初のEDPSオリエンテーション

・2024.06.04 個人情報保護委員会 個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中... (2)

・2024.04.25 個人情報保護委員会 個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中...

・2024.01.06 個人情報保護委員会 個人情報保護法の3年ごとの見直しに関する意見をヒアリング中...

 

 

» Continue reading

| | Comments (0)

金融庁 コーポレートガバナンス改革の実践に向けたアクション・プログラム 2024

こんにちは、丸山満彦です。

金融庁の「スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議」が、コーポレートガバナンス改革の実践に向けたアクション・プログラム2024(「スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議」意見書(7))を公表していますね...

日本企業あるあるの形式的にやったことにしている、、、みたいなことはダメだよという感じですね。

企業がレジリエンスを意識することが重要という観点で、サイバーセキュリティリスクについても言及がありますね...

 

金融庁

・2024.06.07 コーポレートガバナンス改革の実践に向けたアクション・プログラム2024(「スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議」意見書(7))の公表について

 


本意見書においては、企業の持続的な成長と中長期的な企業価値向上という目的に立ち返り、具体的な取組みの検証や共有を通じた、企業と投資家の自律的な意識改革に基づくコーポレートガバナンス改革の「実践」に向け、フォローアップ会議としての提言が示されています。


 

・[PDF] コーポレートガバナンス改革の実践に向けたアクション・プログラム2024(「スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議」意見書(7))

20240608-43647

ちょっときになった点...

株主総会前に有価証券報告書を開示する...


情報開示については、タイムリーかつ効果的・効率的に提供されることが必要であり、有価証券報告書の開示が株主総会前のタイミングになるよう、環境整備について検討すべきである。


 

レジリエンスについての記載...


企業経営が、パンデミックやサイバーセキュリティリスク、地政学リスクなどの様々なリスクに、サプライチェーン全体を通じてさらされる中、有事における「復元力」の発揮など、「レジリエンス」を意識することが重要である。


 

そして、サステナビリティ関係の保証...


国際的な比較可能性を確保したサステナビリティ情報の開示・保証のあり方を検討するとともに、サステナビリティを意識した経営に関する具体的な事例を関係者間において共有すべきである。


 

 

・[PDF] (別添)アクション・プログラム2024概要

20240608-51817

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.06.03 金融庁 スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議(第29回)議事録

 

 

| | Comments (0)

2024.06.08

米国 NIST SP 1800-36 (初期公開ドラフト) 信頼できるIoT機器のネットワーク層の実装とライフサイクル管理:インターネットプロトコルベースのIoT機器とネットワークのセキュリティ強化

こんにちは、丸山満彦です。

NISTがIPベースのIoTデバイスとネットワークのセキュリティ強化のための実践ガイドの初期ドラフトを公表、意見募集をしていますね。。。

2022年12月にA(エグゼクティブサマリー)が、2023年5月にBからEが、そして、2023年9月末はAとDの改訂ドラフト、2022年10月に残りのB, C, Eの改訂ドラフトを出していましたが、今回は全部揃えて、公開し、意見募集ですね...

 

NIST - ITL

・2024.05.30 NIST SP 1800-36 (Initial Public Draft) Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management: Enhancing Internet Protocol-Based IoT Device and Network Security

NIST SP 1800-36 (Initial Public Draft) Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management: Enhancing Internet Protocol-Based IoT Device and Network Security NIST SP 1800-36 (初期公開ドラフト) 信頼できるIoT機器のネットワーク層の実装とライフサイクル管理:インターネットプロトコルベースのIoT機器とネットワークのセキュリティ強化
Announcement 発表
About the Project プロジェクトについて
Provisioning network credentials to IoT devices in an untrusted manner leaves networks vulnerable to having unauthorized IoT devices connect to them. It also leaves IoT devices vulnerable to being taken over by unauthorized networks. Instead, trusted, scalable, and automatic mechanisms are needed to safely manage IoT devices throughout their lifecycles, beginning with secure ways to provision devices with their network credentials—a process known as trusted network-layer onboarding. Trusted network-layer onboarding, in combination with additional device security capabilities, such as device attestation, application-layer onboarding, secure lifecycle management, and device intent enforcement, could improve the security of networks and IoT devices. 信頼されていない方法でIoTデバイスにネットワーク・クレデンシャルをプロビジョニングすると、ネットワークは無許可のIoTデバイスが接続する脆弱性を残す。また、IoTデバイスが不正なネットワークに乗っ取られる脆弱性も残る。その代わりに、IoTデバイスのライフサイクル全体を安全に管理するために、信頼され、スケーラブルで、自動的なメカニズムが必要とされ、そのためにはまず、デバイスにネットワーク・クレデンシャルをプロビジョニングする安全な方法(信頼されたネットワーク層のオンボーディングとして知られるプロセス)が必要である。信頼されたネットワーク・レイヤのオンボーディングは、デバイス認証、アプリケーション・レイヤのオンボーディング、セキュアなライフサイクル管理、デバイス・インテント実施などの追加のデバイス・セキュリティ機能と組み合わせることで、ネットワークと IoT デバイスのセキュリティを改善することができる。
To help organizations protect both their IoT devices and their networks, the NCCoE collaborated with 11 IoT product and service providers. This joint effort resulted in the development of five functional technology solutions for trusted network-layer onboarding, as well as two factory provisioning builds, which are detailed in the practice guide. 組織が IoT デバイスとネットワークの両方を保護できるよう、NCCoE は 11 社の IoT 製品およびサービス・プロバイダと協力した。この共同作業の結果、信頼できるネットワーク層のオンボーディングのための5つの機能的な技術ソリューションと、2つのファクトリー・プロビジョニングの構築が開発され、プラクティス・ガイドで詳述されている。
Abstract 概要
Establishing trust between a network and an Internet of Things (IoT) device (as defined in NIST Internal Report 8425) prior to providing the device with the credentials it needs to join the network is crucial for mitigating the risk of potential attacks. There are two possibilities for attack. One happens when a device is convinced to join an unauthorized network, which would take control of the device. The other occurs when a network is infiltrated by a malicious device. Trust is achieved by attesting and verifying the identity and posture of the device and the network before providing the device with its network credentials—a process known as network-layer onboarding. In addition, scalable, automated mechanisms are needed to safely manage IoT devices throughout their lifecycles, such as safeguards that verify the security posture of a device before the device is permitted to execute certain operations. In this practice guide, the National Cybersecurity Center of Excellence (NCCoE) applies standards, best practices, and commercially available technology to demonstrate various mechanisms for trusted network-layer onboarding of IoT devices in Internet Protocol based environments. This guide shows how to provide network credentials to IoT devices in a trusted manner and maintain a secure device posture throughout the device lifecycle, thereby enhancing IoT security in alignment with the IoT Cybersecurity Improvement Act of 2020. ネットワークに参加するために必要な認証情報をデバイスにプロバイダする前に、ネットワークとモノのインターネット(IoT)デバイス(NIST 内部報告IR 8425で定義)の間の信頼を確立することは、潜在的な攻撃のリスクを低減するために極めて重要である。攻撃には2つの可能性がある。1つは、デバイスが不正なネットワークに参加するよう説得され、デバイスを制御される場合である。もうひとつは、悪意のあるデバイスによってネットワークに侵入された場合である。信頼は、デバイスにネットワーク・クレデンシャルをプロバイダダとして提供する前に、デバイスとネットワークのアイデンティティとポスチャを認証・検証することで達成される。さらに、デバイスが特定の操作を実行することを許可される前にデバイスのセキュリティ・ポスチャを検証するセーフガードなど、IoT デバイスをそのライフサイクル全体を通じて安全に管理するための拡張可能で自動化されたメカニズムが必要である。この実践ガイドでは、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)が標準、ベストプラクティス、および商用利用可能な技術を適用して、インターネット・プロトコル・ベースの環境における IoT デバイスの信頼できるネットワーク層オンボーディングのためのさまざまなメカニズムを実証する。このガイドでは、信頼できる方法で IoT デバイスにネットワーク認証情報を提供し、デバイスのライフサイクル全体を通じて安全なデバイスの姿勢を維持する方法を示し、2020 年の IoT サイバーセキュリティ改善法に沿って IoT セキュリティを強化する。

 

20240607-90036 1800-36A ipd  Executive Summary エグゼクティブサマリー
20240607-90046 1800-36B ipd  Approach, Architecture, and Security Characteristics アプローチ、アーキテクチャ、セキュリティの特徴
20240607-90052 1800-36C ipd  How-To Guides ハウツーガイド
20240607-90058 1800-36D ipd Functional Demonstrations 機能デモンストレーション
20240607-90103 1800-36E ipd  Risk and Compliance Management リスク・コンプライアンス・マネジメント

 

 


 

1800-36A ipd  Executive Summary エグゼクティブサマリー

 

Executive Summary  エグゼクティブサマリー
Establishing trust between a network and an Internet of Things (IoT) device (as defined in NIST Internal Report 8425) prior to providing the device with the credentials it needs to join the network is crucial for mitigating the risk of potential attacks. There are two possibilities for attack. One happens when a device is convinced to join an unauthorized network, which would take control of the device. The other occurs when a network is infiltrated by a malicious device. Trust is achieved by attesting and verifying the identity and posture of the device and the network before providing the device with its network credentials—a process known as network-layer onboarding. In addition, scalable, automated mechanisms are needed to safely manage IoT devices throughout their lifecycles, such as safeguards that verify the security posture of a device before the device is permitted to execute certain operations. In this practice guide, the National Cybersecurity Center of Excellence (NCCoE) applies standards, best practices, and commercially available technology to demonstrate various mechanisms for trusted network-layer onboarding of IoT devices in Internet Protocol based environments. This guide shows how to provide network credentials to IoT devices in a trusted manner and maintain a secure device posture throughout the device lifecycle, thereby enhancing IoT security in alignment with the IoT Cybersecurity Improvement Act of 2020.   ネットワークに参加するために必要な認証情報をデバイスにプロバイダする前に、ネットワークとモノのインターネット(IoT)デバイス(NIST Internal Report 8425で定義)の間の信頼を確立することは、潜在的な攻撃のリスクを低減するために極めて重要である。攻撃には2つの可能性がある。1つは、デバイスが不正なネットワークに参加するよう説得され、デバイスを制御される場合である。もうひとつは、悪意のあるデバイスによってネットワークに侵入された場合である。信頼は、デバイスにネットワーク・クレデンシャルをプロバイダダとして提供する前に、デバイスとネットワークのアイデンティティとポスチャを認証・検証することで達成される。さらに、デバイスが特定の操作を実行することを許可される前にデバイスのセキュリティ・ポスチャを検証するセーフガードなど、IoT デバイスをそのライフサイクル全体を通じて安全に管理するための拡張可能で自動化されたメカニズムが必要である。この実践ガイドでは、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)が標準、ベストプラクティス、および商用利用可能な技術を適用して、インターネット・プロトコル・ベースの環境における IoT デバイスの信頼できるネットワーク層オンボーディングのためのさまざまなメカニズムを実証する。このガイドでは、信頼できる方法で IoT デバイスにネットワーク認証情報を提供し、デバイスのライフサイクル全体を通じて安全なデバイスの姿勢を維持する方法を示し、それによって 2020 年 IoT サイバーセキュリティ改善法に沿った IoT セキュリティを強化する。 
CHALLENGE  課題 
With 40 billion IoT devices expected to be connected worldwide by 2025, it is unrealistic to onboard or manage these devices by manually interacting with each device. In addition, providing local network credentials at the time of manufacture requires the manufacturer to customize network-layer onboarding on a build-to-order basis, which prevents the manufacturer from taking full advantage of the economies of scale that could result from building identical devices for its customers.  2025年までに世界中で400億台のIoTデバイスが接続されると予想される中、各デバイスと手作業でやり取りしてこれらのデバイスをオンボードしたり管理したりするのは非現実的だ。さらに、製造時にローカル・ネットワーク認証情報をプロバイダが提供する場合、製造事業者は受注生産ベースでネットワーク層のオンボーディングをカスタマイズする必要がある。
There is a need to have a scalable, automated mechanism to securely manage IoT devices throughout their lifecycles and, in particular, a trusted mechanism for providing IoT devices with their network credentials and access policy at the time of deployment on the network. It is easy for a network to falsely identify itself, yet many IoT devices onboard to networks without verifying the network’s identity and ensuring that it is their intended target network. Also, many IoT devices lack user interfaces, making it cumbersome to manually input network credentials. Wi-Fi is sometimes used to provide credentials over an open (i.e., unencrypted) network, but this onboarding method risks credential disclosure. Most home networks use a single password shared among all devices, so access is controlled only by the device’s possession of the password and does not consider a unique device identity or whether the device belongs on the network. This method also increases the risk of exposing credentials to unauthorized parties. Providing unique credentials to each device is more secure, but providing unique credentials manually would be resource-intensive and error-prone, would risk credential disclosure, and cannot be performed at scale.   IoT デバイスをライフサイクルを通じて安全に管理するためのスケーラブルで自動化されたメカニズムが必要であり、特に、IoT デバイスにネットワーク認証情報とアクセス・ポリシーをネットワークへの展開時に提供するための信頼できるメカニズムが必要である。ネットワークがそれ自身を偽って識別するのは簡単だが、多くのIoTデバイスはネットワークの識別を検証せず、それが意図したターゲット・ネットワークであることを確認せずにネットワークにオンボードしている。また、多くのIoTデバイスにはユーザー・インターフェースがないため、ネットワークの認証情報を手動で入力するのが面倒である。オープンな(つまり暗号化されていない)ネットワーク上でクレデンシャルをプロバイダとして提供するためにWi-Fiが使用されることがあるが、このオンボーディング方法はクレデンシャル漏洩のリスクがある。ほとんどのホーム・ネットワークでは、すべてのデバイス間で共有される単一のパスワー ドを使用するため、アクセスはデバイスがパスワードを所有しているかどうかだけで管理さ れ、固有のデバイス ID やデバイスがネットワークに属しているかどうかは考慮されない。この方法はまた、認証情報を無許可の当事者にさらすリスクを増大させる。各デバイスに一意のクレデンシャルを提供することはより安全であるが、一意のクレデンシャルを手動で提供することは、リソース集約的でエラーが発生しやすく、クレデンシャル漏えいのリスクがあり、大規模に実行できない。 
Once a device is connected to the network, if it becomes compromised, it can pose a security risk to both the network and other connected devices. Not keeping such a device current with the most recent software and firmware updates may make it more susceptible to compromise. The device could also be attacked through receipt of malicious payloads. Once compromised, it may be used to attack other devices on the network.   いったんデバイスがネットワークに接続されると、それが侵害された場合、ネットワークと他の接続デバイスの両方にセキュリティリスクをもたらす可能性がある。そのようなデバイスを最新のソフトウェアとファームウェア・アップデートに更新しておかないと、侵害を受けやすくなる可能性がある。デバイスはまた、悪意のあるペイロードを受信することで攻撃される可能性もある。いったん侵害されると、ネットワーク上の他のデバイスを攻撃するために使用される可能性がある。 
OUTCOME  成果 
The outcome of this project is development of example trusted onboarding solutions, demonstration that they support various scenarios, and publication of the findings in this practice guide, a NIST Special Publication (SP) 1800 that is composed of multiple volumes targeting different audiences.  このプロジェクトの成果は、信頼されるオンボーディング・ソリューションの例を開発し、それらが様々なシナリオをサポートすることを実証し、その結果をこの実践ガイド(NIST 特別刊行物(SP)1800 で公表することである。
This practice guide can help IoT device users:  このプラクティス・ガイドは、IoT デバイス・ユーザーを支援する: 
Understand how to onboard their IoT devices in a trusted manner to:  IoT デバイスを信頼できる方法で搭載する方法を理解する: 
▪ Ensure that their network is not put at risk as new IoT devices are added to it 新しい IoT デバイスがネットワークに追加されても、ネットワークがリスクにさらされないようにする。
▪ Safeguard their IoT devices from being taken over by unauthorized networks IoT デバイスが不正なネットワークに乗っ取られないように保護する。
▪ Provide IoT devices with unique credentials for network access IoT デバイスにネットワークアクセス用の固有の認証情報をプロバイダとして提供する。
▪ Provide, renew, and replace device network credentials in a secure manner デバイスのネットワーク認証情報を安全な方法でプロバイダ、更新、交換する。
▪ Support ongoing protection of IoT devices throughout their lifecycles IoT デバイスのライフサイクルを通じて継続的な保護をサポートする。
This practice guide can help manufacturers and vendors of semiconductors, secure storage components, IoT devices, and network onboarding equipment:  この実践ガイドは、半導体、セキュア・ストレージ・コンポーネント、IoT デバイス、ネットワーク・オンボーディング機器の製造事業者やベンダーに役立つ: 
Understand the desired security properties for supporting trusted network-layer onboarding and explore their options with respect to recommended practices for:  信頼されたネットワーク層のオンボーディングをサポートするために望ましいセキュリティ特性を理解し、以下の推奨プラクティスに関する選択肢を検討する: 
▪ Providing unique credentials into secure storage on IoT devices at the time of manufacture to mitigate supply chain risks (i.e., device credentials) サプライチェーンリスクを軽減するために、製造事業者の製造時に、IoT デバイスのセキュア ストレージに一意のクレデンシャルをプロバイダする(すなわち、デバイスクレデンシャル)。
▪ Installing onboarding software onto IoT devices IoT 機器にオンボーディング・ソフトウェアをインストールする。
▪ Providing IoT device purchasers with information needed to onboard the IoT devices to their networks (i.e., device bootstrapping information) IoT デバイスの購入者に、IoT デバイスをネットワークに組み込むために必要な情報(デ バイスのブートストラップ情報)を提供する。
▪ Integrating support for network-layer onboarding with additional security capabilities to provide ongoing protection throughout the device lifecycle ネットワーク層のオンボーディングのサポートを追加のセキュリティ機能と統合し、デバイスのライフサイクル全体を通じて継続的な保護を提供する。
SOLUTION  解決策 
The NCCoE recommends the use of trusted network-layer onboarding to provide scalable, automated, trusted ways to provide IoT devices with unique network credentials and manage devices throughout their lifecycles to ensure that they remain secure. The NCCoE is collaborating with technology providers and other stakeholders to implement example trusted network-layer onboarding solutions for IoT devices that:  NCCoE は、IoT デバイスに固有のネットワーク認証情報を提供し、デバイスのライフサイクル全体を通じてデバイスを管理し、デバイスの安全性を確実に維持するためのスケーラブルで自動化された信頼できる方法を提供するために、信頼できるネットワーク層オンボーディングの使用を推奨する。NCCoE は、テクノロジー・プロバイダやその他の利害関係者と協力して、以下のような IoT デバイス向けの信頼されたネットワーク・レイヤ・オンボーディング・ソリューションの例を実装している: 
▪ provide each device with unique network credentials, 各デバイスに固有のネットワーク認証情報を提供する、
▪ enable the device and the network to mutually authenticate, デバイスとネットワークの相互認証を可能にする、
▪ send devices their credentials over an encrypted channel, 各デバイスに固有のネットワーク認証情報を提供する、
▪ do not provide any person with access to the credentials, and 認証情報へのアクセスを誰にも提供しない。
▪ can be performed repeatedly throughout the device lifecycle.   デバイスのライフサイクルを通じて繰り返し実行できる。 
The capabilities demonstrated include:  実証された機能は以下の通りである: 
▪ trusted network-layer onboarding of IoT devices,  IoTデバイスの信頼されたネットワークレイヤーのオンボーディング、 
▪ repeated trusted network-layer onboarding of devices to the same or a different network,  IoTデバイスの信頼されたネットワークレイヤー・オンボーディング、▽同一または異なるネットワークへのデバイスの信頼されたネットワークレイヤー・オンボーディングの繰り返し、 
▪ trusted application-layer onboarding (i.e., automatic establishment of an encrypted connection between an IoT device and a trusted application service after the IoT device has performed trusted network-layer onboarding and used its credentials to connect to the network), and  信頼されたアプリケーション層のオンボーディング(IoTデバイスが信頼されたネットワーク層のオンボーディングを実行し、その認証情報を使用してネットワークに接続した後に、IoTデバイスとトラストアプリケーションサービスとの間で暗号化された接続を自動的に確立すること)。
▪ software-based methods to provide device credentials in the factory and transfer device bootstrapping information from device manufacturer to device purchaser.   工場でデバイス認証情報を提供し、デバイスブートストラップ情報をデバイス製造事業者から デバイス購入者に転送する、ソフトウェアベースの方法。 
Future capabilities may include demonstrating the integration of trusted network-layer onboarding with zero trust-inspired [Note: See NIST SP 800-207] mechanisms such as ongoing device authorization, renewal of device network credentials, device attestation to ensure that only trusted IoT devices are permitted to be onboarded, device lifecycle management, and enforcement of device communications intent.  将来の機能には、継続的なデバイス認可、デバイス・ネットワーク認証情報の更新、信頼された IoT デバイスのみがオンボードされることを保証するためのデバイス認証、デバイス・ライフサイクル管理、およびデバイス・コミュニケーション・インテントの実施など、ゼロトラストに触発された [注:NIST SP 800-207 を参照] メカニズムと信頼されたネットワーク層オンボーディングの統合の実証が含まれる可能性がある。
This demonstration follows an agile methodology of building implementations (i.e., builds) iteratively and incrementally, starting with network-layer onboarding and gradually integrating additional capabilities that improve device and network security throughout a managed device lifecycle. This includes factory builds that simulate activities performed to securely provide device credentials during the manufacturing process, and five network-layer onboarding builds that demonstrate the Wi-Fi Easy Connect, Bootstrapping Remote Secure Key Infrastructure (BRSKI), and Thread Commissioning protocols. These builds also demonstrate both streamlined and independent trusted application-layer onboarding approaches, along with policy-based continuous assurance and authorization. The example implementations use technologies and capabilities from our project collaborators (listed below).   このデモは、実装(すなわちビルド)を反復的かつ段階的に構築するアジャイル手法に従っており、ネットワーク層のオンボーディングから始まり、管理されたデバイスのライフサイクル全体を通じてデバイスとネットワークのセキュリティを改善する追加機能を徐々に統合していく。これには、製造プロセス中にデバイス認証情報を安全に提供するために実行される活動をシミュレートする工場ビルドと、Wi-Fi Easy Connect、Bootstrapping Remote Secure Key Infrastructure(BRSKI)、Thread Commissioningプロトコルを実証する5つのネットワークレイヤ・オンボーディング・ビルドが含まれる。また、これらのビルドは、ポリシー・ベースの継続的な保証と認可とともに、合理的で独立した信頼できるアプリケーション層のオンボーディング・アプローチも実証している。実装例では、プロジェクトの共同研究者(以下にリストアップ)の技術と機能を使用している。 
Collaborators  協力者 
Aruba, a Hewlett Packard Enterprise company  ヒューレット・パッカード・エンタープライズ傘下のAruba社 
CableLabs  ケーブルラボ 
Cisco  シスコ 
Foundries.io  Foundries.io 
Kudelski IoT  クデルスキーIoT 
NquiringMinds  NquiringMinds 
NXP Semiconductors  NXPセミコンダクターズ 
Open Connectivity  オープン・コネクティビティ 
Foundation (OCF) 財団(OCF)
Sandelman Software Works  サンデルマン・ソフトウェア・ワークス 
SEALSQ, a subsidiary of  子会社SEALSQ 
WISeKey  WISeKey 
Silicon Labs  シリコン・ラボ 
While the NCCoE uses a suite of commercial products, services, and proof-of-concept technologies to address this challenge, this guide does not endorse these particular products, services, and technologies, nor does it guarantee compliance with any regulatory initiatives. Your organization's information security experts should identify the products and services that will best integrate with your existing tools, IT and IoT system infrastructure, and operations. Your organization can adopt these solutions or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution.  NCCoEは、この課題に対処するために一連の商用製品、サービス、および概念実証技術を使用しているが、本ガイドは、これらの特定の製品、サービス、および技術を推奨するものではなく、また、規制イニシアチブへの準拠を保証するものでもない。組織の情報セキュリティ専門家は、既存のツール、IT、IoT システムのインフラ、および運用と最もよく統合できる製品やサービスを特定する必要がある。あなたの組織は、これらのソリューションまたはこれらのガイドラインに準拠したソリューションを全面的に採用することもできるし、このガイドを出発点として、ソリューションの一部をカスタマイズして導入することもできる。
HOW TO USE THIS GUIDE  このガイドの使い方 
Depending on your role in your organization, you might use this guide in different ways:  組織におけるあなたの役割によって、このガイドの使い方は異なる: 
Business decision makers, such as chief information security, product security, and technology officers, can use this part of the guide, NIST SP 1800-36A: Executive Summary, to understand the project’s challenges and outcomes, as well as our solution approach.  最高情報セキュリティ責任者、製品セキュリティ責任者、技術責任者などのビジネス意思決定者は、本ガイドのこの部分「NIST SP 1800-36A:エグゼクティブサマリー」を使用して、プロジェクトの課題と成果、および当社のソリューションアプローチを理解することができる。
Technology, security, and privacy program managers who are concerned with how to identify, understand, assess, and mitigate risk can use NIST SP 1800-36B: Approach, Architecture, and Security Characteristics. This part of the guide describes the architecture and different implementations. Also, NIST SP 1800-36E: Risk and Compliance Management, maps components of the trusted onboarding eference architecture to security characteristics in broadly applicable, well-known cybersecurity guidelines and practices.  リスクを特定、理解、評価、緩和する方法に関心のある技術、セキュリティ、プライバシーのプログラム管理者は、NIST SP 1800-36B: アプローチ、アーキテクチャ、セキュリティ特性を使用することができる。このパートでは、アーキテクチャとさまざまな実装について説明している。また、NIST SP 1800-36E: リスクおよびコンプライアンスマネジメントでは、信頼されるオンボーディングの参照アーキテクチャのコンポーネントを、広く適用可能な周知のサイバーセキュリティガイドラインおよびプラクティスにおけるセキュリティ特性にマッピングしている。
IT professionals who want to implement an approach like this can make use of NIST SP 1800-36C: How-To Guides. It provides product installation, configuration, and integration instructions for building example implementations, allowing them to be replicated in whole or in part. They can also use NIST SP 1800-36D: Functional Demonstrations, which provides the use cases that have been defined to showcase trusted network-layer onboarding and lifecycle management security capabilities and the results of demonstrating these capabilities with each of the example implementations. These use cases may be helpful when developing requirements for systems being developed.  このようなアプローチを実装したいIT専門家は、NIST SP 1800-36C: How-To Guidesを活用することができる。これは、実装例を構築するための製品のインストール、構成、統合の手順を提供するものであり、その全部または一部を複製することができる。また、NIST SP 1800-36D: Functional Demonstrations を使用することもできる。これは、信頼されたネットワーク層のオンボーディングとライフサイクル管理のセキュリティ機能を示すために定義されたユースケースと、各実装例でこれらの機能を実証した結果を提供するものである。これらのユースケースは、開発中のシステムの要件を策定する際に役立つ可能性がある。

 

 


 

B

1800-36B ipd  Approach, Architecture, and Security Characteristics アプローチ、アーキテクチャ、セキュリティの特徴

目次...

1 Summary 1 概要
1.1 Challenge 1.1 課題
1.2 Solution 1.2 ソリューション
1.3 Benefits 1.3 利点
2 How to Use This Guide 2 このガイドの使い方
2.1 Typographic Conventions 2.1 タイポグラフィの規則
3 Approach 3 アプローチ
3.1 Audience 3.1 対象者
3.2 Scope 3.2 範囲
3.3 Assumptions and Definitions 3.3 前提条件および定義
3.3.1 Credential Types 3.3.1 クレデンシャルタイプ
3.3.2 Integrating Security Enhancements 3.3.2 セキュリティ強化の統合
3.3.3 Device Limitations 3.3.3 デバイスの制限
3.3.4 Specifications Are Still Improving 3.3.4 仕様はまだ改善中である。
3.4 Collaborators and Their Contributions 3.4 協力者とその貢献
3.4.1 Aruba, a Hewlett Packard Enterprise Company 3.4.1 ヒューレット・パッカード・エンタープライズ傘下の Aruba
3.4.2 CableLabs 3.4.2 ケーブルラボ
3.4.3 Cisco 3.4.3 シスコ
3.4.4 Foundries.io 3.4.4 Foundries.io
3.4.5 Kudelski IoT 3.4.5 クデルスキーIoT
3.4.6 NquiringMinds 3.4.6 NquiringMinds
3.4.7 NXP Semiconductors 3.4.7 NXPセミコンダクターズ
3.4.8 Open Connectivity Foundation (OCF) 3.4.8 オープン・コネクティビティ・ファンデーション(OCF)
3.4.9 Sandelman Software Works 3.4.9 サンデルマンソフトウェアワークス
3.4.10 SEALSQ, a subsidiary of WISeKey 3.4.10 SEALSQ、WISeKeyの子会社
3.4.11 VaultIC408 3.4.11 VaultIC408
3.4.12 Silicon Labs 3.4.12 シリコンラボ
4 Reference Architecture 4 リファレンス・アーキテクチャ
4.1 Device Manufacture and Factory Provisioning Process 4.1 デバイスの製造と工場でのプロビジョニング・プロセス
4.2 Device Ownership and Bootstrapping Information Transfer Process 4.2 デバイスの所有権とブートストラップ情報転送プロセス
4.3 Trusted Network-Layer Onboarding Process 4.3 信頼されたネットワーク層のオンボーディング・プロセス
4.4 Trusted Application-Layer Onboarding Process 4.4 信頼されたアプリケーション層のオンボーディング・プロセス
4.5 Continuous Verification 4.5 継続的検証
5 Laboratory Physical Architecture 5 ラボ物理アーキテクチャ
5.1 Shared Environment 5.1 共有環境
5.1.1 Domain Controller 5.1.1 ドメインコントローラ
5.1.2 Jumpbox 5.1.2 ジャンプボックス
5.2 Build 1 (Wi-Fi Easy Connect, Aruba/HPE) Physical Architecture 5.2 ビルド1(Wi-Fi Easy Connect、Aruba/HPE)の物理アーキテクチャ
5.2.1 Wi-Fi Easy Connect Factory Provisioning Build Physical Architecture 5.2.1 Wi-Fi Easy Connectファクトリー・プロビジョニング・ビルド物理アーキテクチャ
5.3 Build 2 (Wi-Fi Easy Connect, CableLabs, OCF) Physical Architecture 5.3 ビルド2(Wi-Fi Easy Connect、CableLabs、OCF)物理アーキテクチャ
5.4 Build 3 (BRSKI, Sandelman Software Works) Physical Architecture 5.4 ビルド3(BRSKI、Sandelman Software Works)物理アーキテクチャ
5.5 Build 4 (Thread, Silicon Labs, Kudelski IoT) Physical Architecture 5.5 ビルド 4 (Thread、Silicon Labs、Kudelski IoT) 物理アーキテクチャ
5.6 Build 5 (BRSKI, NquiringMinds) Physical Architecture 5.6 Build 5 (BRSKI, NquiringMinds) 物理アーキテクチャ
5.6.1 BRSKI Factory Provisioning Build Physical Architecture 5.6.1 BRSKI Factory Provisioning Build 物理アーキテクチャ
6 General Findings 6 一般的な調査結果
6.1 Wi-Fi Easy Connect 6.1 Wi-Fi Easy Connect
6.1.1 Mutual Authentication 6.1.1 相互認証
6.1.2 Mutual Authorization 6.1.2 相互認可
6.1.3 Secure Storage 6.1.3 安全なストレージ
6.2 BRSKI 6.2 BRSKI
6.2.1 Reliance on the Device Manufacturer 6.2.1 デバイス製造事業者への依存
6.2.2 Mutual Authentication 6.2.2 相互認証
6.2.3 Mutual Authorization 6.2.3 相互認可
6.2.4 Secure Storage 6.2.4 安全なストレージ
6.3 Thread 6.3 スレッド
6.4 Application-Layer Onboarding 6.4 アプリケーション層のオンボーディング
6.4.1 Independent Application-Layer Onboarding 6.4.1 独立したアプリケーション層のオンボーディング
6.4.2 Streamline Application-Layer Onboarding 6.4.2 アプリケーション・レイヤー・オンボーディングの合理化
7 Additional Build Considerations 7 追加の構築に関する考慮事項
7.1 Network Authentication 7.1 ネットワーク認証
7.2 Device Communications Intent 7.2 デバイス・コミュニケーションの意図
7.3 Network Segmentation 7.3 ネットワーク・セグメンテーション
7.4 Integration with a Lifecycle Management Service 7.4 ライフサイクル管理サービスとの統合
7.5 Network Credential Renewal 7.5 ネットワーク・クレデンシャルの更新
7.6 Integration with Supply Chain Management Tools 7.6 サプライチェーン管理ツールとの統合
7.7 Attestation 7.7 認証
7.8 Mutual Attestation 7.8 相互認証
7.9 Behavioral Analysis 7.9 行動分析
7.10 Device Trustworthiness Scale 7.10 デバイス信頼性尺度
7.11 Resource Constrained Systems 7.11 資源制約のあるシステム
Appendix A List of Acronyms 附属書A 略語一覧
Appendix B Glossary 附属書B 用語集
Appendix C Build 1 (Wi-Fi Easy Connect, Aruba/HPE) 附属書C 構築1(Wi-Fi Easy Connect、Aruba/HPE)
C.1 Technologies C.1 テクノロジー
C.2 Build 1 Architecture C.2 Build 1アーキテクチャ
C.2.1 Build 1 Logical Architecture C.2.1 ビルド1の論理アーキテクチャ
C.2.2 Build 1 Physical Architecture C.2.2 Build 1 物理アーキテクチャ
Appendix D Build 2 (Wi-Fi Easy Connect, CableLabs, OCF) 附属書D ビルド2(Wi-Fi Easy Connect、CableLabs、OCF)
D.1 Technologies D.1 テクノロジ
D.2 Build 2 Architecture D.2 ビルド2アーキテクチャ
D.2.1 Build 2 Logical Architecture D.2.1 ビルド2の論理アーキテクチャ
D.2.2 Build 2 Physical Architecture D.2.2 ビルド 2 物理アーキテクチャ
Appendix E Build 3 (BRSKI, Sandelman Software Works) 附属書E ビルド3(BRSKI、Sandelman Software Works)
E.1 Technologies E.1 テクノロジー
E.2 Build 3 Architecture E.2 ビルド 3 アーキテクチャ
E.2.1 Build 3 Logical Architecture E.2.1 ビルド 3 論理アーキテクチャ
E.2.2 Build 3 Physical Architecture E.2.2 ビルド 3 物理アーキテクチャ
Appendix F Build 4 (Thread, Silicon Labs-Thread, Kudelski KeySTREAM) 附属書 F ビルド 4 (Thread、Silicon Labs-Thread、Kudelski KeySTREAM)
F.1 Technologies F.1 テクノロジー
F.2 Build 4 Architecture F.2 ビルド 4 アーキテクチャ
F.2.1 Build 4 Logical Architecture F.2.1 ビルド 4 論理アーキテクチャ
F.2.2 Build 4 Physical Architecture F.2.2 ビルド 4 物理アーキテクチャ
Appendix G Build 5 (BRSKI over Wi-Fi, NquiringMinds) 附属書 G ビルド 5(BRSKI over Wi-Fi、NquiringMinds)
G.1 Technologies G.1 技術
G.2 Build 5 Architecture G.2 ビルド5アーキテクチャ
G.2.1 Build 5 Logical Architecture G.2.1 ビルド 5 論理アーキテクチャ
G.2.2 Build 5 Physical Architecture G.2.2 ビルド 5 物理アーキテクチャ
Appendix H Factory Provisioning Process 附属書 H 工場でのプロビジョニングプロセス
H.1 Factory Provisioning Process H.1 工場でのプロビジョニングプロセス
H.1.1 Device Birth Credential Provisioning Methods H.1.1 デバイスの誕生クレデンシャルのプロビジョニング方法
H.2 Factory Provisioning Builds – General Provisioning Process H.2 工場でのプロビジョニングビルド - 一般規定プロビジョニングプロセス
H.3 BRSKI Factory Provisioning Builds (NquiringMinds and SEALSQ) H.3 BRSKI 工場でのプロビジョニングビルド(NquiringMinds および SEALSQ)
H.3.1 BRSKI Factory Provisioning Build Technologies H.3.1 BRSKI 工場でのプロビジョニング構築技術
H.3.2 BRSKI Factory Provisioning Build Logical Architectures H.3.2 BRSKI 工場でのプロビジョニング構築論理アーキテクチャ
H.3.3 BRSKI Factory Provisioning Build Physical Architectures H.3.3 BRSKI 工場でのプロビジョニング物理的アーキテクチャ
H.4 Wi-Fi Easy Connect Factory Provisioning Build (SEALSQ and Aruba/HPE) H.4 Wi-Fi Easy Connect工場出荷時プロビジョニング構築(SEALSQおよびAruba/HPE)
H.4.1 Wi-Fi Easy Connect Factory Provisioning Build Technologies H.4.1 Wi-Fi イージーコネクト工場でのプロビジョニング構築技術
H.4.2 Wi-Fi Easy Connect Factory Provisioning Build Logical Architecture H.4.2 Wi-Fi イージーコネクト工場でのプロビジョニング構築論理アーキテクチャ
H.4.3 Wi-Fi Easy Connect Factory Provisioning Build Physical Architecture H.4.3 Wi-Fi イージーコネクト工場でのプロビジョニング物理アーキテクチャ
Appendix I References 附属書 I 参考文献

 

 


 

C

1800-36C ipd  How-To Guides ハウツーガイド

 

1 Introduction 1 序文
1.1 How to Use This Guide … 1.1 このガイドの使用方法 ...
1.2 Build Overview 1.2 ビルドの概要
1.2.1 Reference Architecture Summary 1.2.1 リファレンスアーキテクチャの概要
1.2.2 Physical Architecture Summary 1.2.2 物理アーキテクチャの概要
1.3 Typographic Conventions 1.3 タイポグラフィの規則
2 Build 1 (Wi-Fi Easy Connect, Aruba/HPE) 2 ビルド 1 (Wi-Fi イージーコネクト、Aruba/HPE)
2.1 Aruba Central/Hewlett Packard Enterprise (HPE) Cloud 2.1 Aruba Central/Hewlett Packard Enterprise(HPE)クラウド
2.2 Aruba Wireless Access Point 2.2 Arubaワイヤレス・アクセス・ポイント
2.2.1 Wi-Fi Network Setup and Configuration 2.2.1 Wi-Fi ネットワークのセットアップと構成
2.2.2 Wi-Fi Easy Connect Configuration 2.2.2 Wi-Fi イージーコネクトの設定
2.3 Cisco Catalyst 3850-S Switch 2.3 Cisco Catalyst 3850-Sスイッチ
2.3.1 Configuration 2.3.1 構成
2.4 Aruba User Experience Insight (UXI) Sensor 2.4 Aruba User Experience Insight (UXI) センサー
2.4.1 Configuration 2.4.1 構成
2.5 Raspberry Pi 2.5 Raspberry Pi
2.5.1 Configuration 2.5.1 構成
2.5.2 DPP Onboarding 2.5.2 DPP オンボーディング
2.6 Certificate Authority 2.6 認証局
2.6.1 Private Certificate Authority 2.6.1 プライベート認証局
2.6.2 SEALSQ INeS 2.6.2 SEALSQ INeS
2.7 UXI Cloud 2.7 UXIクラウド
2.8 Wi-Fi Easy Connect Factory Provisioning Build 2.8 Wi-Fi イージーコネクト工場でのプロビジョニング構築
2.8.1 SEALSQ VaultiC Secure Element 2.8.1 SEALSQ VaultiC セキュアエレメント
3 Build 2 (Wi-Fi Easy Connect, CableLabs, OCF) 3 ビルド2(Wi-Fi イージーコネクト、CableLabs、OCF)
3.1 CableLabs Platform Controller 3.1 CableLabsプラットフォーム・コントローラ
3.1.1 Operation and Demonstration 3.1.1 操作とデモ
3.2 CableLabs Custom Connectivity Gateway 3.2 CableLabsカスタム接続ゲートウェイ
3.2.1 Installation and Configuration 3.2.1 インストールと設定
3.2.2 Integration with CableLabs Platform Controller 3.2.2 ケーブルラボプラットフォームコントローラーとの統合
3.2.3 Operation and Demonstration 3.2.3 操作とデモ
3.3 Reference Clients/loT Devices 3.3 リファレンスクライアント/loTデバイス
3.3.1 Installation and Configuration 3.3.1 インストールと設定
3.3.2 Operation and Demonstration 3.3.2 操作とデモ
4 Build 3 (BRSKI, Sandelman Software Works) 4 ビルド3(BRSKI、サンデルマンソフトウェアワークス)
4.1 Onboarding Router/Join Proxy 4.1 オンボーディング・ルータ/ジョイン・プロキシ
4.1.1 Setup and Configuration 4.1.1 セットアップと設定
4.2 Minerva Join Registrar Coordinator 4.2 Minerva Joinレジストラコーディネータ
4.2.1 Setup and Configuration 4.2.1 セットアップと設定
4.3 Reach Pledge Simulator 4.3 リーチ誓約シミュレーター
4.3.1 Setup and Configuration 4.3.1 セットアップと設定
4.4 Serial Console Server 4.4 シリアルコンソールサーバー
4.5 Minerva Highway MASA Server 4.5 Minerva Highway MASAサーバー
4.5.1 Setup and Configuration 4.5.1 セットアップと設定
5 Build 4 (Thread, Silicon Labs, Kudelski loT) 5 ビルド4(スレッド、シリコンラボ、クデルスキーloT)
5.1 Open Thread Border Router 5.1 オープンスレッドボーダールーター
5.1.1 Installation and Configuration 5.1.1 インストールと設定
5.1.2 Operation and Demonstration 5.1.2 動作とデモ
5.2 Silicon Labs Dev Kit (BRD2601A) … 5.2 Silicon Labs Dev Kit (BRD2601A) ...
5.2.1 Setup and Configuration 5.2.1 セットアップと設定
5.3 Kudelski keySTREAM Service 5.3 Kudelski keySTREAMサービス
5.3.1 Setup and Configuration 5.3.1 セットアップと構成
5.4 AWS IoT Core 5.4 AWS IoTコア
5.4.1 Setup and Configuration 5.4.1 セットアップと構成
5.4.2 Testing 5.4.2 テスト
6 Build 5 (BRSKI over Wi-Fi, NquiringMinds) 6 ビルド5(BRSKI over Wi-Fi、NquiringMinds)
6.1 Pledge 6.1 誓約
6.1.1 Installation and Configuration 6.1.1 インストールと設定
6.1.2 Operation and Demonstration 6.1.2 操作とデモ
6.2 Router and Logical Services 6.2 ルータと論理サービス
6.2.1 Installation and Configuration 6.2.1 設置と設定
6.2.2 Logical services 6.2.2 論理サービス
6.3 Onboarding Demonstration
 6.3 オンボーディング・デモンストレーション

6.3.1 Prerequisites 6.3.1 前提条件
6.3.2 Onboarding Demonstration 6.3.2 オンボーディング・デモンストレーション
6.3.3 Continuous Assurance Demonstration 6.3.3 継続的保証のデモンストレーション
6.4 BRSKI Factory Provisioning Build
 6.4 BRSKIファクトリープロビジョニング構築

6.4.1
Pledge  6.4.1 誓約 
6.4.2
Installation and Configuration
 6.4.2 インストールと構成

6.4.3
Operation and Demonstration 6.4.3 運用とデモンストレーション
List of Figures 図一覧
Figure 1-1 NCCoE loT Onboarding Laboratory Physical Architecture 図 1-1 NCCoE loT Onboarding Laboratory 物理アーキテクチャ
Figure 6-1 Logical Services for Build 5 図 6-1 構築 5 の論理サービス
Figure 6-2 Diagram of Physical/Logical Components Used to Demonstrate BRSKI Flow 図 6-2 BRSKI フローのデモに使用される物理/論理コンポーネント図

 


 

D

1800-36D ipd Functional Demonstrations 機能デモンストレーション

 

1 Introduction 1 序文
1.1  How to Use This Guide 1.1 本ガイドの使用方法
2 Functional Demonstration Playbook 2 機能デモプレイブック
2.1  Scenario 0: Factory Provisioning 2.1 シナリオ 0:工場でのプロビジョニング
2.2  Scenario 1: Trusted Network-Layer Onboarding 2.2 シナリオ1:信頼できるネットワークレイヤーのオンボーディング
2.3  Scenario 2: Trusted Application-Layer Onboarding 2.3 シナリオ 2:信頼できるアプリケーションレイヤーのオンボーディング
2.4  Scenario 3: Re-Onboarding a Device 2.4 シナリオ 3:デバイスの再オンボーディング
2.5  Scenario 4: Ongoing Device Validation 2.5 シナリオ 4:継続的なデバイス検証
2.6  Scenario 5: Establishment and Maintenance of Credential and Device Security Posture Throughout the Lifecycle 2.6 シナリオ 5:ライフサイクルを通してのクレデンシャルおよびデバイスのセキュリティ態勢の確立と保守
3 Functional Demonstration Results 3 機能実証結果
3.1  Build 1 Demonstration Results 3.1 ビルド 1 の実証結果
3.2  Build 2 Demonstration Results 3.2 ビルド 2 の実証結果
3.3  Build 3 Demonstration Results 3.3 ビルド 3 の実証結果
3.4  Build 4 Demonstration Results 3.4 ビルド4の実証結果
3.5  Build 5 Demonstration Results 3.5 ビルド5 実証結果
Appendix A References 附属書A 参考文献
List of Tables  表一覧 
Table 2-1 Scenario 0 Factory Provisioning Capabilities That May Be Demonstrated 表 2-1 シナリオ 0 工場出荷時のプロビジョニング機能
Table 2-2 Scenario 1 Trusted Network-Layer Onboarding Capabilities That May Be Demonstrated 表2-2 実証可能なシナリオ1 信頼されたネットワークレイヤーのオンボーディング機能
Table 2-3 Scenario 2 Trusted Application-Layer Onboarding Capabilities That May Be Demonstrated 表2-3 実証可能なシナリオ2 信頼されたアプリケーション層のオンボーディング能力
Table 2-4 Scenario 3 Re-Onboarding Capabilities That May Be Demonstrated 表2-4 シナリオ3 実証可能な再オンボーディング能力
Table 2-5 Scenario 4 Ongoing Device Validation Capabilities That May Be Demonstrated 表 2-5 実証可能なシナリオ 4 継続的デバイス検証機能
Table 2-6 Scenario 5 Credential and Device Posture Establishment and Maintenance Capabilities That May Be Demonstrated 表 2-6 実証される可能性のあるシナリオ 5 クレデンシャルおよびデバイス姿勢の確立と保守機能
Table 3-1 Build 1 Capabilities Demonstrated  9 Table 3-2 Build 2 Capabilities Demonstrated 表 3-1 実証された構築 1 能力 9 表 3-2 実証された構築 2 能力
Table 3-3 Build 3 Capabilities Demonstrated 表 3-3 実証されたビルド 3 能力

 


 

E

1800-36E ipd  Risk and Compliance Management リスク・コンプライアンス・マネジメント

 

1 Introduction 1 序文
1.1 How to Use This Guide 1.1 本ガイドの使用方法
2 Risks Addressed by Trusted Network-Layer Onboarding and Lifecycle Management
2 信頼されるネットワーク層のオンボーディングとライフサイクル管理によって対処されるリスク管理
2.1  Risks to the Network 2.1 ネットワークに対するリスク
2.1.1  Risks to the Network Due to Device Limitations 2.1.1 デバイスの制限によるネットワークへのリスク
2.1.2  Risks to the Network Due to Use of Shared Network Credentials 2.1.2 共有ネットワーククレデンシャルの使用によるネットワークへのリスク
2.1.3  Risks to the Network Due to Insecure Network Credential Provisioning 2.1.3 安全でないネットワーククレデンシャルプロビジョニングによるネットワークへのリスク
2.1.4  Risks to the Network Due to Supply Chain Attacks 2.1.4 サプライチェーン攻撃によるネットワークへのリスク
2.2  Risks to the Device 2.2 デバイスへのリスク
2.3  Risks to Secure Lifecycle Management 2.3 安全なライフサイクルマネジメントに対するリスク
2.4  Limitations and Dependencies of Trusted Onboarding 2.4 信頼されたオンボーディングの限界と依存関係
3  Mapping Use Cases, Approach, and Terminology 3 ユースケース、アプローチ、用語のマッピング
3.1  Use Cases 3.1 ユースケース
3.2  Mapping Producers 3.2 生産者のマッピング
3.3  Mapping Approach 3.3 マッピングのアプローチ
3.3.1 Mapping Terminology 3.3.1 マッピング用語
3.3.2 Mapping Process 3.3.2 マッピングプロセス
4  Mappings 4 マッピング
4.1  NIST CSF Subcategory Mappings 4.1 NIST CSF サブカテゴリーのマッピング
4.1.1  Mappings Between Reference Design Functions and NIST CSF Subcategories 4.1.1 参照設計機能と NIST CSF サブカテゴリーとの間のマッピング
4.1.2  Mappings Between Specific Onboarding Protocols and NIST CSF Subcategories 4.1.2 特定のオンボーディング・プロトコルと NIST CSF サブカテゴリーとの間のマッピング
4.1.3  Mappings Between Specific Builds and NIST CSF Subcategories 4.1.3 特定の構築物と NIST CSF サブカテゴリーとの間のマッピング
4.2  NIST SP 800-53 Control Mappings 4.2 NIST SP 800-53 コントロールマッピング
4.2.1  Mappings Between Reference Design Functions and NIST SP 800-53 Controls 4.2.1 参照設計機能と NIST SP 800-53 コントロールとの間のマッピング
4.2.2  Mappings Between Specific Onboarding Protocols and NIST SP 800-53 Controls 4.2.2 特定のオンボーディング・プロトコルと NIST SP 800-53 コントロールとのマッピング
4.2.3  Mappings Between Specific Builds and NIST SP 800-53 Controls 4.2.3 特定のビルドと NIST SP 800-53 コントロールとの間のマッピング
Appendix A References 附属書 A 参考文献

 

 

 


 

 まるちゃんの情報セキュリティ気まぐれ日記

 

米国のサイバーセキュリティラベル

・2024.04.19 米国 NIST NIST IR 8425A(初期公開ドラフト)消費者向けルータ製品に推奨されるサイバーセキュリティ要件

・2024.04.05 米国 意見募集 NIST CSWP 33(初公開ドラフト) 製品開発サイバーセキュリティハンドブック: IoT製品製造者のための概念と考慮事項

・2024.03.20 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14)

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2023.05.10 米国 ホワイトハウス 重要新興技術に関する国家標準化戦略を発表 (2023.05.04)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2023.05.07 米国 NIST SP 1800-36 (ドラフト) 信頼できるIoTデバイスのネットワーク層オンボーディングとライフサイクル管理:インターネットプロトコルベースのIoTデバイスとネットワークのセキュリティ強化(初期ドラフト)(2023.05.03)

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

 

英国 PTSI

・2024.04.30 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法が施行されました...

・2024.01.29 英国 2022年製品セキュリティ・通信インフラ制度のウェブページ(Product Security and Telecommunications Infrastructure Act 2022 関係)

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 

EU CRA...

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.04.21 欧州委員会 マネージド・セキュリティサービスの認証にむけたサイバーセキュリティ法の改正案 (2023.04.18)

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.01.29 欧州 サイバーレジリエンス法案に対するポジションペーパー by 欧州消費者機構

・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...

 

ドイツのセキュリティ製品の認証

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

中国

・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

 

日本...

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

| | Comments (0)

米国 連邦通信委員会 (FCC) インターネット・ルーティングのセキュリティ報告要件を提案

こんにちは、丸山満彦です。

連邦通信委員会 (FCC)が、インターネット・ルーティング・セキュリティの改善を目的とした報告要件を提案していますね。。。

 

Federal Communications Commission; FCC

・2024.06.06 FCC Proposes Internet Routing Security Reporting Requirements

・・[DOCX] [PDF][TXT]

FCC Proposes Internet Routing Security Reporting Requirements FCC、インターネット・ルーティングのセキュリティ報告要件を提案
FCC PROPOSES REPORTING REQUIREMENTS TARGETED TO IMPROVING INTERNET ROUTING SECURITY  FCCはインターネット・ルーティング・セキュリティの改善を目的とした報告要件を提案する。
Broadband Providers Would Create BGP Security Plans and  ブロードバンドプロバイダはBGPセキュリティ計画を作成し 
Largest Providers Would Also File Quarterly Reports on BGP Risk Mitigation Progress 最大プロバイダはBGPリスク低減の進捗状況を四半期ごとに報告する。
  --    --
WASHINGTON, June 6, 2024—The Federal Communications Commission today proposed action to help protect America’s communications networks against cyberattacks by improving internet routing security.  The Commission’s proposal would require broadband providers to create confidential reports on the steps they have taken, and plan to undertake, to mitigate vulnerabilities in the Border Gateway Protocol (BGP), the technical protocol used to route information across the internet.  The nation’s largest broadband providers would also be required to file specific public data on a quarterly basis demonstrating their BGP risk mitigation progress. Today’s proposal would promote more secure internet routing and provide the Commission and its national security partners with up-to-date information on this critical issue.  2024年6月6日、ワシントン-連邦通信委員会は本日、インターネット・ルーティング・セキュリティの改善を通じて、米国の通信ネットワークをサイバー攻撃から保護するための措置を提案した。 同委員会の提案は、ブロードバンド・プロバイダーに対し、インターネット上で情報をルーティングするための技術プロトコルであるBGP(Border Gateway Protocol)の脆弱性を低減するために講じた措置および講じる予定の措置に関する極秘報告書の作成を義務付けるものである。 また、全米最大のブロードバンド・プロバイダーは、BGPリスク低減の進捗状況を示す特定の公開データを四半期ごとに提出することが義務付けられる。本日の提案は、より安全なインターネット・ルーティングを促進し、欧州委員会とその国家安全保障上のパートナーに、この重要な問題に関する最新情報を提供するものである。
BGP’s initial decades-old design, which remains widely deployed today, does not include intrinsic security features to ensure trust in the information that is relied upon to exchange traffic among independently managed networks on the internet.  BGP national security experts have raised concerns that a bad network actor may deliberately falsify BGP reachability information to redirect traffic.  These “BGP hijacks” can expose Americans’ personal information; enable theft, extortion, and state-level espionage; and disrupt services upon which the public or critical infrastructure sectors rely.    数十年前に設計され、現在も広く導入されているBGPには、インターネット上で独立に管理されるネットワーク間でトラフィックを交換する際に信頼される情報の信頼性を確保するための本質的なセキュリティ機能は含まれていない。 BGPの国家安全保障の専門家は、悪質なネットワーク・アクターがトラフィックをリダイレクトするために意図的にBGP到達可能性情報を改ざんする可能性があるという懸念を表明している。 このような「BGPハイジャック」は、アメリカ人の個人情報を暴露したり、窃盗、恐喝、国家レベルのスパイ活動を可能にしたり、公共部門や重要インフラ部門が依存するサービスを妨害したりする可能性がある。  
To help address these vulnerabilities, the Commission today adopted a Notice of Proposed Rulemaking proposing that:  このような脆弱性に対処するため、欧州委員会は本日、以下の事項を提案する提案通知を採択した: 
· Broadband internet access service providers prepare and update confidential BGP security risk management plans at least annually.  These plans would detail their progress and plans for implementing BGP security measures that utilize the Resource Public Key Infrastructure (RPKI), a critical component of BGP security.  ・ブロードバンド・インターネットアクセス・サービス・プロバイダは、少なくとも年1回、極秘のBGPセキュリティ・リスクマネジメント計画を作成し、更新する。 これらの計画には、BGPセキュリティの重要な要素であるリソース公開鍵基盤(RPKI)を利用したBGPセキュリティ対策の実施に関する進捗状況と計画が詳細に記載される。
· The nine largest broadband providers file their BGP plans confidentially with the Commission as well as file quarterly data available to the public that would allow the Commission to measure progress in the implementation of RPKI-based security measures and assess the reasonableness of the BGP plans.  These large providers would not have to file subsequent detailed plans with the Commission if they met a certain security threshold.  ・大手ブロードバンドプロバイダー9社は、BGP計画を秘密裏に欧州委員会に提出し、また、欧州委員会がRPKIベースのセキュリティ対策の進捗状況を測定し、BGP計画の妥当性を評価できるように、四半期ごとに一般公開されるデータを提出する。 これらの大規模プロバイダは、一定のセキュリティ基準を満たせば、その後の詳細な計画を委員会に提出する必要はない。
· Smaller broadband providers would not be required to file their plans with the Commission but rather make them available to the Commission upon request.  ・小規模のブロードバンドプロバイダーは、委員会に計画を提出する必要はなく、委員会の要求に応じて、計画を提出することになる。
The Commission is seeking public comment on these proposals and other measures related to implementing RPKI-based security.  In taking today’s action, the Commission recognized the efforts of multiple stakeholders over the past twenty years to address BGP vulnerabilities but noted that more work needs to be done to secure internet routing, which is critical to public safety and national security.  欧州委員会は、これらの提案およびRPKIベースのセキュリティ導入に関するその他の措置について、パブリックコメントを求めている。 欧州委員会は、本日の措置において、BGPの脆弱性に対処するための過去20年間にわたる複数の利害関係者の努力を認めつつも、公共の安全と国家の安全保障に不可欠なインターネット・ルーティングの安全性を確保するためには、さらなる取り組みが必要であることを指摘した。
Action by the Commission June 6, 2024 by Notice of Proposed Rulemaking (FCC 24-62).  Chairwoman Rosenworcel, Commissioners Carr, Starks, Simington, and Gomez approving.  Chairwoman Rosenworcel and Commissioner Starks issuing separate statements. 2024年6月6日、提案された規則作成通知(FCC 24-62)による委員会の措置。 Rosenworcel委員長、Carr委員、Starks委員、Simington委員、Gomez委員が承認する。 Rosenworcel委員長とStarks委員はそれぞれ声明を発表している。

 

 


ジェシカ・ローゼンウォーセル委員長の声明

・2024.06.06 FCC Proposes Internet Routing Security Reporting Requirements

・・[DOCX][PDF][TXT]

FCC Proposes Internet Routing Security Reporting Requirements FCC、インターネット・ルーティングのセキュリティ報告要件を提案
STATEMENT OF 声明
CHAIRWOMAN JESSICA ROSENWORCEL ジェシカ・ローゼンウォーセル委員長
Re:     Reporting on Border Gateway Protocol Risk Mitigation Progress, PS Docket No. 24-146; Secure Internet Routing, PS Docket No. 22-90, Notice of Proposed Rulemaking (June 6, 2024). Re:     ボーダー・ゲートウェイ・プロトコルのリスク低減進捗状況の報告、PS Docket No.24-146; Secure Internet Routing、PS Docket No.22-90、 Notice of Proposed Rulemaking (June 6、 2024).
A few months ago I hosted a conversation with Vint Cerf, one half of the team that developed the protocol that allows computers to talk to one another.  For this he is often described as the “Father of the Internet.”  We had a joyous back-and-forth about the origins and open architecture of the internet.  So I asked him to reflect for a moment.  What was it that he wished he had known back then when it all started?  He responded without skipping a beat.  He told me he wished he had known that the internet would need more security.   数ヶ月前、私はヴィント・サーフ氏との対談を催した。サーフ氏は、コンピューターが互いに会話するためのプロトコルを開発したチームの片割れである。 彼はしばしば "インターネットの父 "と称される。 私たちは、インターネットの起源とオープン・アーキテクチャについて、楽しいやりとりをした。 そこで、私は彼に少し考えるように頼んだ。 インターネットが始まった当時に知っておきたかったことは何だろう? 彼は寸分の狂いもなく答えた。 インターネットにはもっとセキュリティーが必要だと知っていればよかったと。 
Amen.  We have come to rely on the internet for nearly everything in our lives.  Ensuring that internet traffic is secure is essential.   アーメン。 私たちは生活のほとんどすべてをインターネットに頼るようになった。 インターネット・トラフィックの安全性を確保することは不可欠である。 
That is where Border Gateway Protocol comes in.  BGP manages how packets of data get transmitted between networks.  It is central to the global routing system of the internet because it is the protocol that allows independently managed networks to send traffic to one another.   そこで登場するのがボーダー・ゲートウェイ・プロトコルだ。 BGPは、データのパケットがネットワーク間でどのように転送されるかを管理する。 BGPはインターネットのグローバル・ルーティング・システムの中心であり、独立に管理されたネットワークが相互にトラフィックを送信するためのプロトコルだからだ。 
That means we all rely on BGP.  Every one of us, every day.  That is true if you are running a small business and using connections to engage with customers and suppliers, banking online, having a telemedicine session with a healthcare provider, helping the kids with their digital age schoolwork, staying in touch with family, or keeping up to date on the news.  BGP is in the background, helping connect our critical infrastructure, support emergency services, keep the financial sector running, shore up manufacturing, and more. つまり、私たちは皆BGPに依存している。 私たち全員が、毎日。 それは、あなたが中小企業を経営し、顧客やサプライヤとのエンゲージメント、オンラインバンキング、医療プロバイダとの遠隔医療セッション、子供たちのデジタル時代の学校の勉強の手伝い、家族との連絡、ニュースの最新情報を得るために接続を使用している場合にも当てはまる。 BGPは、私たちの重要なインフラを接続し、緊急サービスをサポートし、金融セクターを稼働させ、製造事業者を補強するなど、さまざまな場面で活躍している。
You might be surprised to learn that something so critical in the modern economy has pretty humble origins.  This history is why BGP is sometimes called the “three napkin protocol.”  As the story goes, back in 1989, the internet, then a novelty for computer scientists like Vint Cerf, was expanding—fast.  But the internet’s basic protocols at the time could not handle this growth.  So on their lunch break from an Internet Engineering Task Force meeting in Austin, Texas, a pair of engineers sketched out the ideas for BGP on three ketchup-stained paper napkins.  What was meant to be a short-term solution developed on the sidelines of an internet engineering conference is still with us today. 現代経済において非常に重要なものが、かなり地味な起源を持っていることに驚くかもしれない。 BGPが "スリーナプキン・プロトコル "と呼ばれる所以である。 1989年当時、インターネットはヴィント・サーフのようなコンピューター科学者にとって目新しく、急速に拡大していた。 しかし、当時のインターネットの基本プロトコルはこの成長に対応できなかった。 そこで、テキサス州オースティンで開催されたインターネット技術タスクフォースの会議の昼休みに、2人組のエンジニアがケチャップで汚れた紙ナプキン3枚にBGPのアイデアをスケッチした。 インターネット・エンジニアリング・カンファレンスの傍らで開発された短期的なソリューションのつもりが、今日でも私たちの手元にある。
While BGP has allowed network operators to grow and evolve the modern internet, it was not designed with explicit security features to ensure trust in exchanged information.  That means bad actors can use this protocol to maliciously misdirect and exploit internet traffic.  I want to thank the Cybersecurity and Infrastructure Security Agency at the Department of Homeland Security for working with my office and jointly holding a BGP public forum to discuss this problem.  I also want to thank the Department of Defense and Department of Justice for publicly disclosing in our record that China Telecom used BGP vulnerabilities to misroute United States internet traffic on at least six occasions.  These “BGP hijacks” can expose personal information, enable theft, extortion, and state-level espionage.  They can also disrupt sensitive transactions that require security, like those in the financial sector.    BGPのおかげでネットワーク・オペレーターは現代のインターネットを成長させ、進化させることができたが、交換された情報の信頼性を保証する明確なセキュリティ機能は設計されていなかった。 つまり、悪意ある行為者がこのプロトコルを使って、インターネット・トラフィックを悪意を持って誘導し、悪用することができるのだ。 国土安全保障省のサイバーセキュリティ・インフラセキュリティ保障庁が私のオフィスと協力し、この問題を議論するためにBGP公開フォーラムを共同で開催してくれたことに感謝したい。 また、国防総省と司法省が、チャイナテレコムがBGPの脆弱性を利用して少なくとも6回にわたり米国のインターネットトラフィックをミスルートしていたことを我々の記録で公表してくれたことにも感謝したい。 こうした「BGPハイジャック」は、個人情報を暴露し、窃盗、恐喝、国家レベルのスパイ活動を可能にする。 また、金融セクターのようなセキュリティを必要とする重要な取引を妨害する可能性もある。  
For all of these reasons, today we begin a rulemaking to help make our internet routing more secure.  We propose that all providers of broadband internet access service prepare and update confidential BGP security risk management plans.  These plans would describe and attest to their efforts to follow existing best practices with respect to Route Origin Authorizations and Route Origin Validation using the Resource Public Key Infrastructure.  In addition, we propose quarterly reporting for the largest providers to ensure we are making progress addressing this well-known vulnerability.   これらの理由から、我々は本日、インターネット・ルーティングの安全性を高めるためのルール作りを開始する。 ブロードバンドインターネットアクセスサービスを提供するすべてのプロバイダが、機密のBGPセキュリティリスク管理計画を作成し、更新することを提案する。 これらの計画は、Resource Public Key Infrastructureを使用したRoute Origin AuthorizationsおよびRoute Origin Validationに関して、既存のベストプラクティスに従う努力を説明し、証明するものである。 さらに、このよく知られた脆弱性への対処が進んでいることを確認するため、最大手のプロバイダに対して四半期ごとの報告を提案する。 
... ...

 

 


ジェフリー・スタークス委員の声明

・2024.06.06 FCC Proposes Internet Routing Security Reporting Requirements

・・[DOCX][PDF][TXT]

 

FCC Proposes Internet Routing Security Reporting Requirements FCC、インターネット・ルーティング・セキュリティ報告要件を提案
STATEMENT OF 声明
COMMISSIONER GEOFFREY STARKS ジェフリー・スタークス委員
Re:     Reporting on Border Gateway Protocol Risk Mitigation Progress, Notice of Proposed Rulemaking, PS Docket No. 24-146; Secure Internet Routing, PS Docket No. 22-90. Re:     ボーダー・ゲートウェイ・プロトコルのリスク低減の進捗状況の報告、規則制定提案公告、PS Docket No.24-146、セキュア・インターネット・ルーティング、PS Docket No.22-90。
Border Gateway Protocol is the mechanism that enables our Internet service providers (ISPs) to route traffic throughout the variety of networks that, when combined, make up the Internet.  I’ve been focused on this since 2022, when I sat down with a group of the largest ISPs in America to discuss the challenges surrounding Internet routing.  So, trust me when I tell you that it is vitally important that BGP is secure and we get it right.  ボーダー・ゲートウェイ・プロトコルは、インターネット・サービス・プロバイダ(ISP)が、インターネットを構成するさまざまなネットワークを通じてトラフィックをルーティングするための仕組みである。 私は、2022年にアメリカ最大のISPのグループとインターネット・ルーティングをめぐる課題について議論して以来、この問題に注目してきた。 だから、BGPが安全であることが極めて重要であり、私たちがそれを正しく理解することが重要だと言ったら、私を信頼してほしい。
As with most of the underlying protocols that make the Internet work, it was unfortunately not designed with security in mind.  Accidental or malicious actions that send erroneous routing traffic information can make networks unavailable, or worse, can be used to redirect traffic to allow for cyberattacks, data theft, or espionage.  For example, in 2008, YouTube was rendered inaccessible for much of the world after Pakistan attempted to block access to it within its borders by modifying YouTube’s BGP routes.  Russia took advantage of BGP vulnerabilities to limit access to Twitter as part of its invasion of Ukraine.  And China Telecom misdirected 15% of the world’s Internet traffic, and routed domestic United States Internet traffic through China, by hijacking BGP.  インターネットを機能させる基礎となるプロトコルのほとんどがそうであるように、残念ながらBGPはセキュリティを念頭に置いて設計されていない。 誤ったルーティング・トラフィック情報を送信する事故や悪意のある行為によって、ネットワークが利用できなくなったり、最悪の場合、トラフィックをリダイレクトしてサイバー攻撃やデータ窃盗、スパイ行為に利用されたりする可能性がある。 例えば、2008年、パキスタンがYouTubeのBGPルートを変更することで、国境内でのアクセスをブロックしよう