中国 通信院 クラウドコンピューティング白書

こんにちは、丸山満彦です。

中国のクラウドコンピューティングに関する白書です。。。

● 中国信息通信研究院

・2021.07.27 云计算白皮书

 

【摘要】	【概要】
白皮书对2020年云计算产业发展的六大变革趋势进行深入剖析。	このホワイトペーパーでは、2020年のクラウドコンピューティング業界の発展に向けた6つの変革トレンドを詳細に分析しています。
【目录】	【目次】
一、过去一年，云计算产业呈现七大特点	１　昨年、クラウドコンピューティング業界は7つの大きな特徴を示しました。
（一）市场方面，全球增速首放缓，我国逆势上扬	（１）市場：世界の成長率は鈍化したが、中国は逆の傾向であった
（二）技术方面，云原生持续落地，行业应用加速	（２）テクノロジー：クラウドネイティブが続々登場し、業務アプリケーションが加速した
（三）架构方面，云网融合需求强，边缘侧潜力大	（３）アーキテクチャー：クラウドネットワークの融合への要求が強まり、エッジの可能性が高まった
（四）安全方面，能力提升受关注，信任体系兴起	（４）セキュリティ：能力向上が注目され、トラスト・システムが登場した
（五）管理方面，用云面临新挑战，优化需求凸显	（５）管理：クラウド利用の新たな課題として、最適化の必要性を指摘された
（六）软件方面，研发流程重定义，新格局渐形成	（６）ソフトウェア：R&Dプロセスの再定義、新しいパターンが徐々に形成された
（七）赋能方面，助力数字化转型，成熟度待提升	（７）エンパワーメント：デジタルトランスフォーメーションの支援、成熟度の向上が必要となった
二、云原生技术生态完备市场活跃，进入黄金发展期	２　クラウド・ネイティブ技術のエコシステムが完成し、市場が活性化し、黄金の発展期を迎えている
（一）云原生生态持续完善，向体系化应用演进	（１）クラウドネイティブなエコシステムは進化し続け、体系的な適用に向けて進化している
（二）云原生技术采纳率攀升，用户侧需求旺盛	（２）クラウド・ネイティブ技術の導入率が上昇し、ユーザ側の需要が高まる
（三）云原生虹吸效应初现，融合应用时代已来	（３）クラウド・ネイティブ・サイフォン効果が現れ、融合したアプリケーションの時代が到来
三、云网边一体化不断加深，重新定义算力服务方式	３　クラウド、ネットワーク、エッジの統合が深まり、演算サービスのあり方が再定義される
（一）5G、物联网等推动云网边一体化加深	（１）5G、IoTなどにより、クラウドとネットワーク側の連携が深まる
（二）云边协同提供更广泛的算力基础设施	（２）クラウドとエッジの連携により、より幅広いコンピューティングパワーのインフラを提供する
（三）云网融合提供更便捷的算力调度方式	（３）クラウド・ネットワークの統合により、より便利なコンピューティング・パワーの配分が可能になる
四、云计算打破安全边界，新一代信任体系亟待建设	４　クラウドコンピューティングはセキュリティの境界を壊し、新世代の信頼システムを構築する必要がある
（一）云计算基础设施面临更多的信任危机	（１）クラウド・コンピューティング・インフラはさらなる信頼の危機に直面している
（二）应对云计算信任危机的安全理念兴起	（２）クラウド・コンピューティングの信頼性の危機に対処するためのセキュリティコンセプトの台頭
（三）新兴安全理念助力企业信任体系建设	（３）企業の信頼システム構築に役立つ新たなセキュリティコンセプト
五、深度用云加速优化需求，云管理服务迎来新窗口	５　ディープ・クラウドの利用で最適化の要求が加速し、クラウド管理サービスが新たなウィンドウを開く
（一）企业用云持续加深，云管理面临新的挑战	（１）企業のクラウド利用はますます深まり、クラウド管理は新たな課題に直面している
（二）云优化服务应运而生，提升企业用云效率	（２）クラウドを利用する企業の効率を高めるために登場したクラウド最適化サービス
（三）多方布局云优化市场，工具能力有待提升	（３）複数の当事者のレイアウトの雲の最適化市場は、ツールの能力を向上させるために
六、云模式变革软件工程新业态，打造云软件新格局	６　クラウドモデルは、ソフトウェアエンジニアリングの新産業を変更し、クラウドソフトウェアの新しいパターンを作成するには
（一）云软件架构全新升级，重构开发和运维模式	（１）クラウドソフトウェアアーキテクチャの新しいアップグレード、開発と運用保守モデルの再構築
（二）云测试打破效能瓶颈，助力软件工程高质量	（２）クラウドテストは、パフォーマンスのボトルネックを打破するために、ソフトウェアエンジニアリングの高品質を支援する
（三）云上系统稳定性遭挑战，混沌工程应运而生	（３）クラウド上のシステムの安定性が問われ、カオスエンジニアリングが誕生する
七、云平台成数字化底座，能力成熟度为企业量体裁衣	７　クラウドプラットフォームは、デジタルベースになり、企業のテーラーリングのための能力の成熟度
（一）多方力量汇聚，企业数字化转型已成必然	（１）複数の力が集結し、企業のデジタルトランスフォーメーションは避けられないものとなっている
（二）云平台全面赋能企业业务单元数字化转型	（２）企業のビジネスユニットのデジタルトランスフォーメーションを可能にするクラウドプラットフォーム
（三）IOMM双曲线方法论加速企业拥抱数字化	（３）企業のデジタル化を加速させるIOMMのダブルカーブ手法
八、总结与展望	８　まとめと展望

・[PDF]

個人情報保護委員会 「個人情報の保護に関する法律についてのガイドライン」の更新他

こんにちは、丸山満彦です。

個人情報保護委員会が、以下の発表をしていますね。。。

個人情報保護法のガイドラインの第一号（経産省と厚労省合同）の作成に関与し、主に安全管理措置の部分を作文していたのですが、当時と同じ構造ですね。技術的対策については、簡易になっているように感じたりもします。。。

あと、中小企業については議論はあったものの明確に分けていなかったのですが、今のバージョンは分けていますね。。。同じ個人データであっても大企業が持っている時は厳重な管理がされているが、中小企業に移るとそれなりの管理でもよくなるというのはよくないようにも思うんですよね。。。そんなことを言ったら扱えないでしょう。。。という意見があるので、妥協的に軽くしているんですかね。。。

 

・2021.08.02 「個人情報の保護に関する法律についてのガイドライン」を更新しました。

[通則編]

 ・2021.08.02 [PDF] 個人情報の保護に関する法律についてのガイドライン（通則編）未施行

 ・2021.08.02 [PDF] 通則編新旧対照表 （未施行）

[外国にある第三者への提供編]

 ・2021.08.02 [PDF] 外国にある第三者への提供編 （未施行）

 ・2021.08.02 [PDF] 外国にある第三者への提供編新旧対照表（未施行）

 [第三者提供時の確認・記録義務編]

 ・2021.08.02 [PDF] 第三者提供時の確認・記録義務編 （未施行）

 ・2021.08.02 [PDF] 第三者提供時の確認・記録義務編新旧対照表 （未施行）

[匿名加工情報編]

 ・2021.08.02 [PDF] 仮名加工情報・匿名加工情報編 （未施行）

 ・2021.08.02 [PDF] 匿名加工情報編新旧対照表 （未施行）

 [認定個人情報保護団体編]（新設）

 ・2021.08.02 [PDF] 個人情報保護に関する法律についてのガイドライン（認定個人情報保護団体編）（未施行）

 

・2021.08.02 令和２年 改正個人情報保護法についてを更新しました。

 

・2021.08.02 「個人情報の保護に関する法律についてのガイドライン（通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編）の一部を改正する告示」等に関する意見募集について、結果を公表しました。

 

中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

 こんにちは、丸山満彦です。

中国の人工知能ガバナンスですね。。。政府から下の政策は一生懸命考えてやっているように感じます。。。

● 中国信息通信研究院

・2021.07.09 可信人工智能白皮书

【摘要】	【概要】
白皮书从如何落实全球人工智能治理共识的角度出发，聚焦于可信人工智能技术、产业和行业实践等层面，分析了实现可控可靠、透明可释、隐私保护、明确责任及多元包容的可信人工智能路径，并对可信人工智能的未来发展提出了建议。	この白書では、AIガバナンスに関するグローバルなコンセンサスをどのように実現するかという観点から、信頼できるAI技術、業界、業界の実践のレベルに焦点を当て、統制された信頼できる、透明で説明可能な、プライバシー保護、明確な責任、多元的で包括的な信頼できるAIを実現するための道筋を分析し、信頼できるAIの今後の発展に向けた提言を行っています。
【目录】	【目次】
一、 可信人工智能发展背景	１　信頼性の高い人工知能開発の背景
（一） 人工智能技术风险引发信任危机	（１）AI技術のリスクが信頼の危機を招いている
（二） 全球各界高度重视可信人工智能	（２）国際社会では、信頼できるAIが重要視されている
（三） 可信人工智能需要系统方法指引	（３）信頼性の高いAIには体系的なアプローチが必要
二、 可信人工智能框架	２　信頼性の高いAIのフレームワーク
三、 可信人工智能支撑技术	３　信頼性の高いAIを支える技術
（一） 人工智能系统稳定性技术	（１）人工知能システムの安定化技術
（二） 人工智能可解释性增强技术	（２）AIの解釈性向上技術
（三） 人工智能隐私保护技术	（３）AIのプライバシー保護技術
（四） 人工智能公平性技术	（４）AIの公平性技術
四、 可信人工智能实践路径	４　信頼のおけるAI実践の道
（一） 企业层面	（１）企業レベル
（二） 行业层面	（２）産業レベル
五、 可信人工智能发展建议	５　信頼性の高いAI開発への提言
（一） 政府层面加快推动我国人工智能监管及立法进程	（１）政府レベルで、中国におけるAIの規制・立法化のプロセスを加速すること
（二） 学术研究层面需全面做好体系化前瞻性布局	（２）学術研究は、体系的かつ未来志向で行われる必要がある
（三） 企业实践层面需匹配业务发展实现敏捷可信	（３）企業の実務は、ビジネスの発展に合わせて、俊敏性と信頼性を実現する必要がある。
（四） 行业组织层面需搭建交流合作平台打造可信生态	（４）業界団体は、信頼できる生態系を作るために、コミュニケーションと協力の基盤を構築する必要がある。

 

・[PDF] 

---

日本のAI原則

● 経済産業省

・2021.07.09 [PDF] AI 原則実践のためのガバナンス・ガイドライン ver. 1.0

● 内閣府

・2019.03.29 [PDF] 人間中心のAI社会原則

社会がAIを受け入れ適正に利用するため、社会が留意すべき基本原則（７原則）

原則
1. 人間中心の原則
2. 教育・リテラシーの原則
3. プライバシー確保の原則
4. セキュリティ確保の原則
5. 公正競争確保の原則
6. 公平性、説明責任、及び透明性（FAT）の原則
7. イノベーションの原則

 

OECDのAI原則

● OECD

・2019.05.22 Recommendation of the Council on Artificial Intelligence

翻訳版

● 総務省

・[PDF] 人工知能に関する理事会勧告

信頼できるＡＩの責任あるスチュワードシップのための原則

1. 包摂的な成長、持続可能な開発及び幸福
2. 人間中心の価値観及び公平性
3. 透明性及び説明可能性
4. 頑健性、セキュリティ及び安全性
5. アカウンタビリティ

 

● Europa Commission

・A European approach to Artificial intelligence

 

---

まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

1. Governance	1. ガバナンス
Governance at the Organizational Level	組織レベルのガバナンス
Governance at the Systems Level	システムレベルのガバナンス
2. Data	2. データ
Data used for Model Development (Data Used to Develop an AI Model)	モデル開発に使用されるデータ（AIモデルの構築に使用するデータ）
Data Used for System Operation (Data Used to Operate an AI System)	システム運用に使用されるデータ（AIシステムの運用に使用されるデータ）
3. Performance	3. パフォーマンス
Performance at the Component Level	コンポーネントレベルでのパフォーマンス
Performance at the System-Level	システムレベルでの性能
4. Monitoring	4. モニタリング
Continuous Monitoring of Performance	パフォーマンスの継続的なモニタリング
Assessing Sustainment and Expanded Use	持続可能性及び使用拡大の評価

・2021.07.21 中国 意見募集「深圳経済特区における人工知能産業振興条例（案）」

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.05.10 米国連邦政府 人工知能イニシアティブ

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC（連邦取引委員会） のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ　AIの保証についての3つの記事

・2021.01.16 スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」に記載されている統制目標と統制活動（144項目）をとりあえず日本語にしてみた。。。

・2021.01.15 スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」というガイダンスを公表していますね。

・2020.12.02 U.S. GAO 医療における人工知能：患者ケアを強化する技術の利点と課題

・2020.11.30 米国 OMBが「人工知能アプリケーション規制のためのガイダンス」を発行

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

こんにちは、丸山満彦です。

中国の最高人民法院が「民事案件における顔識別技術の使用に関する司法解釈」を公表していますね、8月1日にすでに適用開始されています。。。

顔認識、顔認証、顔識別、どれが一番、日本語として適切なんでしょうかね、、、

 

● 最高人民法院

・2021.07.28 相关民事案件适用法律若干问题的规定

最高人民法院	最高人民法院
关于审理使用人脸识别技术处理个人信息	顔識別技術を用いた個人情報処理について
相关民事案件适用法律若干问题的规定	民事案件における顔識別技術の使用に関する司法解釈
（2021年6月8日最高人民法院审判委员会第1841次会议通过，自2021年8月1日起施行）	（2021年6月8日最高人民法院の司法委員会第1841回会議で採択、2021年8月1日より適用）
为正确审理使用人脸识别技术处理个人信息相关民事案件，保护当事人合法权益，促进数字经济健康发展，根据《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》《中华人民共和国电子商务法》《中华人民共和国民事诉讼法》等法律的规定，结合审判实践，制定本规定。	個人情報の取扱いにおける顔識別技術の使用に関連する民事案件を適切に裁き、関係者の正当な権利と利益を保護し、デジタル経済の健全な発展を促進するため、中華人民共和国民法、中華人民共和国ネットワークセキュリティ法、中華人民共和国消費者権益保護法、中華人民共和国電子商取引法、中華人民共和国民事訴訟法などの法律の規定に基づき、以下の点を考慮する。 裁判実務では、これらの規定が制定される。
第一条  因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件，适用本规定。	第1条 この規定は、情報処理業者が法令・行政法規の規定または当事者の合意に違反して顔識別技術を利用して顔情報を処理したこと、および顔識別技術に基づいて生成された顔情報を処理したことに起因する民事案件に適用する。
人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。	顔情報の処理には、顔情報の収集、保管、使用、処理、送信、提供および開示が含まれる。
本规定所称人脸信息属于民法典第一千零三十四条规定的“生物识别信息”。	この規定でいう顔情報とは、民法第104条に規定されている「生体情報」のことである。
第二条  信息处理者处理人脸信息有下列情形之一的，人民法院应当认定属于侵害自然人人格权益的行为：	第2条 人民法院は、以下のいずれかの状況における情報処理者による顔情報の処理を、自然人の人格権および利益の侵害に当たると判断する。
（一）在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析；	(一) ホテル、ショッピングモール、銀行、駅、空港、スタジアム、娯楽施設、その他の事業所や公共の場所で、法律や行政規則の規定に違反して、顔識別技術を顔照合、識別、分析に使用した場合
（二）未公开处理人脸信息的规则或者未明示处理的目的、方式、范围；	(二) 顔情報の処理ルールが開示されていないこと、または処理の目的、方法、範囲が明示されていない場合。
（三）基于个人同意处理人脸信息的，未征得自然人或者其监护人的单独同意，或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意；	(三) 本人の同意に基づいて顔情報を処理するために、自然人またはその保護者の個別の同意を得られなかった場合、または自然人またはその保護者の書面による同意を、法律および行政規則の規定に従って得られなかった場合。
（四）违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等；	(四) 情報処理者が表明し、または両者が合意した顔情報の処理の目的、方法および範囲に違反した場合。
（五）未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全，致使人脸信息泄露、篡改、丢失；	(五) 収集または保管する顔情報のセキュリティを確保するための適切な技術的措置またはその他の必要な措置を講じず、顔情報が漏洩、改ざんまたは紛失した場合。
（六）违反法律、行政法规的规定或者双方的约定，向他人提供人脸信息；	(六) 法令や行政規則の規定または両者の合意に反して、他人に顔情報を提供した場合。
（七）违背公序良俗处理人脸信息；	(七）公序良俗に反して顔情報の取り扱った場合。
（八）违反合法、正当、必要原则处理人脸信息的其他情形。	(八) その他、適法性、妥当性、必要性の原則に反して顔情報が取り扱われている場合。
第三条  人民法院认定信息处理者承担侵害自然人人格权益的民事责任，应当适用民法典第九百九十八条的规定，并结合案件具体情况综合考量受害人是否为未成年人、告知同意情况以及信息处理的必要程度等因素。	第3条 人民裁判所は、情報処理者が自然人の人格権・利益の侵害について民事責任を負うと判断するにあたっては、民法第998条の規定を適用し、事案の具体的状況に照らして、被害者が未成年者であるかどうか、同意の通知、情報処理の必要な程度などの要素を考慮しなければならない。
第四条  有下列情形之一，信息处理者以已征得自然人或者其监护人同意为由抗辩的，人民法院不予支持：	第4条 人民法院は、以下のいずれかの状況において、情報処理者が自然人またはその保護者の同意を得たという抗弁を支持しない。
（一）信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的，但是处理人脸信息属于提供产品或者服务所必需的除外；	(一) 情報処理者が、製品またはサービスを提供する前に、自然人の顔情報を処理することについて、自然人の同意を必要とする場合。ただし、顔情報の処理が製品またはサービスの提供に必要な場合を除く。
（二）信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的；	(二) 情報処理者が、他の許可等との抱き合わせにより、自然人の顔情報の処理への同意を求める場合。
（三）强迫或者变相强迫自然人同意处理其人脸信息的其他情形。	(三) その他、自然人が自分の顔情報の処理に同意することを強制されたり、偽装されたりした場合。
第五条  有下列情形之一，信息处理者主张其不承担民事责任的，人民法院依法予以支持：	第5条 情報処理業者が以下のいずれかの状況下で民事責任を負わないと主張する場合、人民法院は法律に基づきこれを支持する。
（一）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的；	(一) 顔情報の処理が、公衆衛生上の緊急事態に対応するため、または緊急事態において自然人の生命、健康、財産を保護するために必要な場合。
（二）为维护公共安全，依据国家有关规定在公共场所使用人脸识别技术的；	(二) 公共の安全を維持する目的で、関連する州の規制に従って公共の場所で顔識別技術を使用する場合。
（三）为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的；	(三) 報道、世論の監視、その他の公共の利益のための行為を実施するために、合理的な範囲で顔情報を処理する場合。
（四）在自然人或者其监护人同意的范围内合理处理人脸信息的；	(四) 自然人またはその保護者の同意を得て、合理的な範囲内で顔情報を処理する場合。
（五）符合法律、行政法规规定的其他情形。	(五) その他、法律および行政法規に従った場合。
第六条  当事人请求信息处理者承担民事责任的，人民法院应当依据民事诉讼法第六十四条及《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第九十条、第九十一条，《最高人民法院关于民事诉讼证据的若干规定》的相关规定确定双方当事人的举证责任。	第6条 当事者が情報処理者に民事責任の負担を求める場合、人民法院は、民事訴訟法第64条、中華人民共和国民事訴訟法の適用に関する最高人民法院の解釈第90条及び第91条、並びに民事訴訟の証拠に関する最高人民法院の規定の関連規定に基づき、当事者の立証責任を決定する。
信息处理者主张其行为符合民法典第一千零三十五条第一款规定情形的，应当就此所依据的事实承担举证责任。	情報処理者は、自らの行為が民法第105条第1項に規定される事情に適合すると主張する場合、その根拠となる事実について立証責任を負うものとする。
信息处理者主张其不承担民事责任的，应当就其行为符合本规定第五条规定的情形承担举证责任。	情報処理者が民事責任を負わないと主張する場合、その行為が本規則の第5条に規定された状況に準拠していることを証明する責任を負うものとする。
第七条  多个信息处理者处理人脸信息侵害自然人人格权益，该自然人主张多个信息处理者按照过错程度和造成损害结果的大小承担侵权责任的，人民法院依法予以支持；符合民法典第一千一百六十八条、第一千一百六十九条第一款、第一千一百七十条、第一千一百七十一条等规定的相应情形，该自然人主张多个信息处理者承担连带责任的，人民法院依法予以支持。	第7条 複数の情報処理者が自然人の個人的な権利利益を侵害する顔情報を取り扱った場合、自然人が過失の程度と発生した損害の程度に応じて複数の情報処理者が不法行為責任を負うと主張する場合、人民法院は法律に基づいてその主張を支持し、民法第1168条、第1169条第1項、第1170条及び第1171条に規定されている対応状況に応じて 自然人が複数の情報処理者が連帯して責任を負うと主張する場合、人民法院は法律に基づいてその主張を支持します。
信息处理者利用网络服务处理人脸信息侵害自然人人格权益的，适用民法典第一千一百九十五条、第一千一百九十六条、第一千一百九十七条等规定。	情報処理業者がネットワークサービスを利用して、自然人の人格権や利益を侵害する顔情報を処理する場合、民法第1,195条、第1196条および第1197条の規定が適用される。
第八条  信息处理者处理人脸信息侵害自然人人格权益造成财产损失，该自然人依据民法典第一千一百八十二条主张财产损害赔偿的，人民法院依法予以支持。	第8条 情報処理者による顔情報の処理が自然人の個人的な権利・利益を侵害して財産上の損害を生じさせ、その自然人が民法第182条に基づき財産上の損害の賠償を請求する場合、人民裁判所は法律に基づきその請求を支持する。
自然人为制止侵权行为所支付的合理开支，可以认定为民法典第一千一百八十二条规定的财产损失。合理开支包括该自然人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情，可以将合理的律师费用计算在赔偿范围内。	侵害行為を止めるために自然人が支払った合理的な費用は、民法第 182 条に基づき財産的損害として認められる場合がある。 合理的な費用とは、侵害に関連する調査や証拠収集を委託された自然人または代理人が負担する合理的な費用をいう。 人民裁判所は、関係当事者の要求に応じて、事案の具体的な状況に応じて、合理的な弁護士費用を補償の範囲に算出することができる。
第九条  自然人有证据证明信息处理者使用人脸识别技术正在实施或者即将实施侵害其隐私权或者其他人格权益的行为，不及时制止将使其合法权益受到难以弥补的损害，向人民法院申请采取责令信息处理者停止有关行为的措施的，人民法院可以根据案件具体情况依法作出人格权侵害禁令。	第9条 自然人が、情報処理業者が顔識別技術を利用して、自分のプライバシーその他の人格権利益を侵害する行為を行っているか、行おうとしていること、およびそれを時間内に止めないと、自分の合法的な権利利益に回復不能な損害を与えることを示す証拠を持ち、人民裁判所に情報処理業者に当該行為の停止を命じる措置を申請した場合、人民裁判所は、事件の具体的な状況に応じて、法律に基づいて人格権侵害の差止命令を出すことができる。
第十条  物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式，不同意的业主或者物业使用人请求其提供其他合理验证方式的，人民法院依法予以支持。	第10条 財産サービス企業またはその他の建物管理者が、所有者または財産利用者が財産サービスエリアに出入りする際の唯一の確認手段として顔識別を使用し、それに同意しない所有者または財産利用者が他の合理的な確認手段を提供するよう要求した場合、人民法院は法律に基づいてこれを支持しなければならない。
物业服务企业或者其他建筑物管理人存在本规定第二条规定的情形，当事人请求物业服务企业或者其他建筑物管理人承担侵权责任的，人民法院依法予以支持。	不動産サービス企業またはその他の建物管理者が本規定第2条に定める事情を有し、当事者が不動産サービス企業またはその他の建物管理者に侵害責任の負担を要求する場合、人民裁判所は法律に基づきその要求を支持するものとする。
第十一条  信息处理者采用格式条款与自然人订立合同，要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利，该自然人依据民法典第四百九十七条请求确认格式条款无效的，人民法院依法予以支持。	第11条 情報処理者が自然人との間で、自然人に顔情報を処理する権利を期限なく、取消不能かつ任意に委譲することを要求する形式条項を用いて契約を締結し、自然人が民法第497条に基づき形式条項の無効確認を請求した場合、人民法院は法律に基づいてその請求を支持する。
第十二条  信息处理者违反约定处理自然人的人脸信息，该自然人请求其承担违约责任的，人民法院依法予以支持。该自然人请求信息处理者承担违约责任时，请求删除人脸信息的，人民法院依法予以支持；信息处理者以双方未对人脸信息的删除作出约定为由抗辩的，人民法院不予支持。	第12条 情報処理者が契約に違反して自然人の顔情報を処理した場合に、自然人が契約違反の責任を負うことを情報処理者に要求する場合、人民裁判所は法律に基づいてその要求を支持する。 自然人が情報処理業者に契約違反の責任を負わせるために顔情報の削除を要求した場合、人民法院は法律に従ってその要求を支持しなければならず、情報処理業者が顔情報の削除が双方の合意を得ていないことを理由に抗弁した場合、人民法院はその要求を支持してはならない。
第十三条  基于同一信息处理者处理人脸信息侵害自然人人格权益发生的纠纷，多个受害人分别向同一人民法院起诉的，经当事人同意，人民法院可以合并审理。	第13条 自然人の人格権及び利益を侵害する同一の情報処理者による顔情報の処理に基づいて紛争が発生し、複数の被害者が同一の人民法院に別々に訴えた場合、人民法院は、当事者の同意を得て、一緒に審理することができる。
第十四条  信息处理者处理人脸信息的行为符合民事诉讼法第五十五条、消费者权益保护法第四十七条或者其他法律关于民事公益诉讼的相关规定，法律规定的机关和有关组织提起民事公益诉讼的，人民法院应予受理。	第14条 情報処理業者による顔情報の処理が、民事訴訟法第55条、消費者権益保護法第47条、または民事公益訴訟に関する法律のその他の関連規定に準拠している場合、人民裁判所は、法律の定めるところにより、当局および関連団体が提起した民事公益訴訟を受理しなければならない。
第十五条  自然人死亡后，信息处理者违反法律、行政法规的规定或者双方的约定处理人脸信息，死者的近亲属依据民法典第九百九十四条请求信息处理者承担民事责任的，适用本规定。	第15条 この規定は、自然人の死後、情報処理者が法律若しくは行政法規の規定又は両者の合意に違反して顔情報を取り扱った場合であって、故人の近親者が民法第994条の規定に基づき情報処理者に民事責任を求める場合に適用する。
第十六条  本规定自2021年8月1日起施行。	第16条 この規定は、2021年8月1日から施行する。
信息处理者使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息的行为发生在本规定施行前的，不适用本规定。	この規定は、情報処理装置が顔識別技術を用いて顔情報を処理する場合、またはこの規定の施行前に顔識別技術に基づいて生成された顔情報を処理する場合には適用されない。

 

---

顔識別技術に関して

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.17 米国上院・下院　顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC（連邦取引委員会） のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 （人工知能 AI）ブラックボックスの検証：アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2005年

・2005.08.11 外務省　IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

ISO 37002 内部告発マネジメントシステム–ガイドラインが公表されていますね。。。

こんにちは、丸山満彦です。

ISO 37002 内部告発マネジメントシステム–ガイドラインが公表されていますね。。。

経営者、管理者の不正等の抑止、発見対応の手段として、内部告発制度というのは期待されていますね。。。

● ISO

・2021.07.28 (news) BEATING BRIBERY AND CORRUPTION - International guidance on whistleblowing.

BEATING BRIBERY AND CORRUPTION	贈収賄と汚職の撲滅
International guidance on whistleblowing.	内部告発に関する国際的なガイダンス
Good governance in any organization involves demonstrating accountability and fostering a “speak up” culture. To address the importance of having a secure and effective way that employees can report concerns about wrongdoing, a new ISO standard for whistleblowing has just been published.	どのような組織においても、優れたガバナンスを実現するためには、説明責任を果たし、「声を上げる」文化を醸成することが必要です。従業員が不正行為に関する懸念を報告するための安全で効果的な方法の重要性に対処するために、内部告発に関する新しいISO規格が発行されました。
ISO 37002, Whistleblowing management systems – Guidelines, provides guidance for implementing, managing, evaluating, maintaining and improving a robust and effective management system for whistleblowing. It is non-sector-specific and can be used by organizations of all sizes, including SMEs, as well as those with international operations.	ISO 37002「内部告発マネジメントシステム-ガイドライン」は、内部告発のための強固で効果的なマネジメントシステムを実施、管理、評価、維持、改善するための指針を示しています。ISO 37002は、セクターにとらわれず、中小企業を含むあらゆる規模の組織や、国際的に事業を展開している組織でも活用できる内容となっています。
Following the three principles of trust, impartiality and protection, the standard covers the identification and reporting of such concerns and how they are assessed and addressed. Its use will not only minimize or prevent potential losses but also ensure compliance with organizational policies and legal and social obligations.	本基準は、信頼、公平性、保護の3つの原則に則り、このような懸念事項の特定と報告、およびそれらの評価と対処方法を網羅しています。この基準を使用することで、潜在的な損失を最小限に抑えたり、防止したりするだけでなく、組織の方針や法的・社会的な義務を確実に遵守することができます。

 

・2021.07.28 ISO 37002:2021 Whistleblowing management systems — Guidelines

ForewordIntroduction	序文
1 Scope	1 適用範囲
2 Normative references	2 引用規格
3 Terms and definitions	3 用語及び定義
4 Context of the organization	4 組織の状況
4.1 Understanding the organization and its context	4.1 組織とその状況の理解
4.2 Understanding the needs and expectations of interested parties	4.2 利害関係者のニーズ及び期待の理解
4.3 Determining the scope of the whistleblowing management system	4.3 内部告発マネジメントシステムの範囲の決定
4.4 Whistleblowing management system	4.4 内部告発マネジメントシステム
5 Leadership	5 リーダーシップ
5.1 Leadership and commitment	5.1 リーダーシップ及びコミットメント
5.2 Whistleblowing policy	5.2 内部告発の方針
5.3 Roles, responsibilities and authorities	5.3 組織の役割、責任及び権限
6 Planning	6 計画
6.1 Actions to address risks and opportunities	6.1 リスク及び機会に対処する活動
6.2 Whistleblowing management system objectives and planning to achieve them	6.2 内部告発マネジメントシステムの目的及びその達成のための計画
6.3 Planning of changes	6.3 変更の計画
7 Support	7 支援
7.1 Resources	7.1 資源
7.2 Competence	7.2 力量
7.3 Awareness	7.3 認識
7.4 Communication	7.4 コミュニケーション
7.5 Documented information	7.5 文書化した情報
8 Operation	8 運用
8.1 Operational planning and control	8.1 運用計の画及び管理
8.2 Receiving reports of wrongdoing	8.2 不正行為の報告の受領
8.3 Assessing reports of wrongdoing	8.3 不正行為に関する報告書の評価
8.4 Addressing reports of wrongdoing	8.4 不正行為の報告への対処
8.5 Concluding whistleblowing cases	8.5 内部告発事件の終結
9 Performance evaluation	9 パフォーマンス評価
9.1 Monitoring, measurement, analysis and evaluation	9.1 監視、測定、分析及び評価
9.2 Internal audit	9.2 内部監査
9.3 Management review	9.3 マネジメントレビュー
10 Improvement	10 改善
10.1 Continual improvement	10.1 継続的改善
10.2 Nonconformity and corrective action	10.2 不適合及び是正措置
Bibliography	参考文献

ENISA サプライチェーン・セキュリティ攻撃の増加を理解する

こんにちは、丸山満彦です。

ENISAがサプライチェーン・セキュリティ攻撃の増加についてのプレス発表をしていますね。。。ENISAは、サプライチェーン攻撃が2021年は昨年と比べて4倍になると予測しているようです。。。それで緊急プレスという感じですかね。。。

● ENISA

・2021.07.29 (press) Understanding the increase in Supply Chain Security Attacks

Understanding the increase in Supply Chain Security Attacks	サプライチェーン・セキュリティ攻撃の増加を理解する
The European Union Agency for Cybersecurity mapping on emerging supply chain attacks finds 66% of attacks focus on the supplier’s code.	欧州連合（EU）サイバーセキュリティ機関がサプライチェーンへの新たな攻撃についてマッピングしたところ、攻撃の66％がサプライヤーのコードに焦点を当てていることがわかりました。
Supply chain attacks have been a concern for cybersecurity experts for many years because the chain reaction triggered by one attack on a single supplier can compromise a network of providers. Malware is the attack technique that attackers resort to in 62% of attacks.	サプライチェーンへの攻撃は、1社のサプライヤーへの攻撃が引き起こす連鎖反応が、複数のプロバイダーのネットワークを危険にさらす可能性があることから、長年にわたりサイバーセキュリティ専門家の関心事となっています。攻撃者が62％の攻撃で利用している攻撃手法はマルウェアです。
According to the new ENISA report - Threat Landscape for Supply Chain Attacks, which analysed 24 recent attacks, strong security protection is no longer enough for organisations when attackers have already shifted their attention to suppliers.	最近の24件の攻撃を分析したENISAの新しい報告書「Threat Landscape for Supply Chain Attacks」によると、攻撃者の関心がすでにサプライヤーに移っている場合、組織にとって強力なセキュリティ保護はもはや十分ではありません。
This is evidenced by the increasing impact of these attacks such as downtime of systems, monetary loss and reputational damage.	このことは、システムのダウンタイム、金銭的損失、風評被害など、これらの攻撃の影響が増大していることからも明らかです。
Supply chain attacks are now expected to multiply by 4 in 2021 compared to last year. Such new trend stresses the need for policymakers and the cybersecurity community to act now. This is why novel protective measures to prevent and respond to potential supply chain attacks in the future while mitigating their impact need to be introduced urgently.	2021年には、サプライチェーンを狙った攻撃が、昨年に比べて4倍になると予想されています。このような新しい傾向は、政策立案者とサイバーセキュリティ・コミュニティが今すぐ行動を起こす必要性を強調しています。そのため、将来起こりうるサプライチェーン攻撃を防ぎ、その影響を軽減しながら対応するための斬新な防御策を早急に導入する必要があるのです。
Juhan Lepassaar, EU Agency for Cybersecurity Executive Director said: “Due to the cascading effect of supply chain attacks, threat actors can cause widespread damage affecting businesses and their customers all at once. With good practices and coordinated actions at EU level, Member States will be able to reach a similar level of capabilities raising the common level of cybersecurity in the EU.”	EUサイバーセキュリティ庁のジュハン・レパッサール事務局長は次のように述べています。「サプライチェーン攻撃の連鎖効果により、脅威の担い手は、企業やその顧客に一斉に影響を与える広範な被害を引き起こすことができます。EUレベルでの優れた実践と調整された行動により、加盟国は同程度の能力に到達し、EUのサイバーセキュリティの共通レベルを高めることができるでしょう。」
What is a supply chain?	サプライチェーンとは何ですか？
A supply chain is the combination of the ecosystem of resources needed to design, manufacture and distribute a product. In cybersecurity, a supply chain includes hardware and software, cloud or local storage and distribution mechanisms.	サプライチェーンとは、製品の設計、製造、流通に必要なリソースのエコシステムの組み合わせです。サイバーセキュリティでは、サプライチェーンには、ハードウェアやソフトウェア、クラウドやローカルのストレージ、流通機構などが含まれます。
Why is a good level of cybersecurity not good enough?	なぜ、適切なレベルのサイバーセキュリティでは不十分なのでしょうか？
Composed of an attack on one or more suppliers with a later attack on the final target, namely the customer, supply chain attacks may take months to succeed. In many instances, such an attack may even go undetected for a long time. Similarly to Advanced Persistence Threat (APT) attacks, supply chain attacks are usually targeted, quite complex and costly with attackers probably planning them well in advance. All such aspects reveal the degree of sophistication of the adversaries and the persistence in seeking to succeed.	サプライチェーン攻撃は、1社または複数のサプライヤーへの攻撃と、その後の最終ターゲットである顧客への攻撃で構成されており、成功までに数ヶ月を要する場合があります。多くの場合、このような攻撃は長い間発見されないこともあります。APT（Advanced Persistence Threat）攻撃と同様に、サプライチェーン攻撃は通常、標的が絞られており、非常に複雑でコストがかかり、攻撃者はおそらく事前に十分な計画を立てています。このような点から、敵対者の高度な技術と、成功を目指す執念がうかがえます。
The report reveals that an organisation could be vulnerable to a supply chain attack even when its own defences are quite good. The attackers explore new potential highways to infiltrate organisations by targeting their suppliers. Moreover, with the almost limitless potential of the impact of supply chain attacks on numerous customers, these types of attacks are becoming increasingly common.	本報告書では、組織の防御力が十分であっても、サプライチェーン攻撃にさらされる可能性があることを明らかにしています。攻撃者は、サプライヤーを標的とすることで、組織に侵入するための新たな可能性を探ります。さらに、サプライチェーン攻撃が多数の顧客に与える影響の可能性はほぼ無限大であるため、この種の攻撃はますます一般的になっています。
In order to compromise the targeted customers, attackers focused on the suppliers’ code in about 66% of the reported incidents. This shows that organisations should focus their efforts on validating third-party code and software before using them to ensure these were not tampered with or manipulated.	報告されたインシデントのうち、約66%において、攻撃者は標的となる顧客を侵害するために、サプライヤーのコードに着目していました。このことから、組織は、第三者のコードやソフトウェアを使用する前に、これらが改ざんされたり操作されたりしていないことを確認するための検証に力を入れるべきであることがわかります。
For about 58% of the supply chain incidents analysed, the customer assets targeted were predominantly customer data, including Personally Identifiable Information (PII) data and intellectual property.	分析対象となったサプライチェーン事件の約58%において、標的となった顧客資産は、個人識別情報（PII）データや知的財産を含む顧客データが主なものでした。
For 66% of the supply chain attacks analysed, suppliers did not know, or failed to report on how they were compromised. However, less than 9% of the customers compromised through supply chain attacks did not know how the attacks occurred. This highlights the gap in terms of maturity in cybersecurity incident reporting between suppliers and end-users.	分析されたサプライチェーン攻撃の66%において、サプライヤーは、どのように侵害されたかを知らないか、報告していませんでした。しかし、サプライチェーン攻撃によって被害を受けた顧客のうち、攻撃の発生原因を知らなかったのは9％未満でした。このことは、サプライヤーとエンドユーザの間に、サイバーセキュリティのインシデント報告に関する成熟度のギャップがあることを示しています。
The recommendations, in a nutshell:	簡潔な提言
Apply good practices and engage in coordinated actions at EU level.	グッドプラクティスを適用し、EUレベルで協調した行動をとること。
The impact of attacks on suppliers may have far reaching consequences because of the increased interdependencies and complexities of the techniques used. Beyond the damages on affected organisations and third parties, there is a deeper cause for concern when classified information is exfiltrated and national security is at stake or when consequences of a geopolitical nature could emerge as a result.	サプライヤーへの攻撃は、相互依存性が高く、使用される技術が複雑であるため、その影響は広範囲に及ぶ可能性があります。被害を受けた組織や第三者への損害だけでなく、機密情報が流出して国家の安全が脅かされたり、その結果、地政学的な性質の影響が現れたりする場合には、より深い懸念が生じます。
In this complex environment for supply chains, establishing good practices and getting involved in coordinated actions at EU level are both important to support all Member States in developing similar capabilities – to reach a common level of security.	このような複雑なサプライチェーンの環境においては、すべての加盟国が同様の能力を開発し、共通のセキュリティレベルに到達することを支援するために、グッドプラクティスを確立し、EUレベルで調整された行動に関与することが重要です。
The report issues an extensive number of recommendations for customers to manage the supply chain cybersecurity risk and to manage the relationship with the suppliers.	本報告書では、サプライチェーンのサイバーセキュリティ・リスクを管理し、サプライヤーとの関係を管理するために、顧客に対して幅広い提言を行っています。
Recommendations for customers include:	顧客に対する推奨事項は以下の通りです。
• identifying and documenting suppliers and service providers;	・ サプライヤーとサービスプロバイダーの特定と文書化
• defining risk criteria for different types of suppliers and services such as supplier & customer dependencies, critical software dependencies, single points of failure;	・ サプライヤーと顧客の依存関係、重要なソフトウェアの依存関係、単一障害点など、さまざまなタイプのサプライヤーやサービスのリスク基準の定義
• monitoring of supply chain risks and threats;	・ サプライチェーンのリスクと脅威の監視
• managing suppliers over the whole lifecycle of a product or service, including procedures to handle end-of-life products or components;	・ 製品やサービスのライフサイクル全体を通じたサプライヤーの管理（使用済み製品や部品の取り扱い手順を含む）
• classifying of assets and information shared with or accessible to suppliers, and defining relevant procedures for accessing and handling them.	・ サプライヤーと共有している、あるいはサプライヤーがアクセスできる資産や情報の分類、およびそれらへのアクセスと取り扱いに関する関連手順の定義
The report also suggests possible actions to ensure that the development of products and services complies with security practices. Suppliers are advised to implement good practices for vulnerability and patch management for instance.	また、製品やサービスの開発がセキュリティ慣行に準拠していることを確認するために可能な措置を提案しています。サプライヤーは、例えば、脆弱性管理およびパッチ管理のためのグッドプラクティスを実施するようアドバイスされています。
Recommendations for suppliers include:	サプライヤーに対する推奨事項は以下の通りです。
• ensuring that the infrastructure used to design, develop, manufacture, and deliver products, components and services follows cybersecurity practices;	・ 製品、コンポーネント、サービスの設計、開発、製造、提供に使用されるインフラが、サイバーセキュリティの慣行に従っていることの確認
• implementing a product development, maintenance and support process that is consistent with commonly accepted product development processes;	・ 一般的に認められている製品開発プロセスと整合性のある製品開発、保守、サポートのプロセスの実施
• monitoring of security vulnerabilities reported by internal and external sources that includes used third-party components;	・ 使用されているサードパーティ製コンポーネントを含む、社内外の情報源から報告されるセキュリティ脆弱性の監視
• maintaining an inventory of assets that includes patch-relevant information.	・ パッチに関連する情報を含む資産のインベントリの維持
Background	背景
The cyber threat landscape is constantly evolving. Both policy makers and practitioners need to have access to up-to-date and accurate information on the current threat landscape, supported by threat intelligence. To respond to this need, the ENISA Threat Landscape has been published on an annual basis since 2012. These reports are based on publicly available data and provides an independent view on observed threats, threat agents, threat trends and attack vectors.	サイバー脅威の状況は常に変化しています。政策立案者も実務者も、脅威インテリジェンスに裏付けられた現在の脅威の状況に関する最新かつ正確な情報にアクセスする必要があります。このニーズに応えるため、ENISA Threat Landscapeは2012年から毎年発行されています。これらの報告書は、一般に公開されているデータに基づいており、観測された脅威、脅威エージェント、脅威の傾向、攻撃ベクターに関する独立した見解を提供しています。
ENISA set up an Ad-Hoc Working Group on Cyber Threat Landscapes in order to interact with a broad range of stakeholders and to receive advice in designing, updating and reviewing the methodology needed to draw cyber threat landscapes, including the annual ENISA Threat Landscape.  The Agency provides threat analysis on a range of emerging technologies and challenges including recent threat landscapes on Artificial Intelligence and 5G.	ENISAは、毎年発行されるENISA Threat Landscapeを含むサイバー脅威のランドスケープを描くために必要な手法の設計、更新、見直しについて、幅広い関係者と交流し、助言を得るために、Ad-Hoc Working Group on Cyber Threat Landscapesを設立しました。 ENISAは、人工知能や5Gに関する最近の脅威のランドスケープなど、さまざまな新興技術や課題に関する脅威分析を提供しています。
On the issue of supply chain attacks, ENISA released the Supply Chain Integrity Report in 2012 (and updated in 2015) which identifies the nature of these threats and examines the possible strategies to counter them.	サプライチェーンへの攻撃については、ENISAが2012年に発表した「Supply Chain Integrity Report」（2015年に更新）で、これらの脅威の性質を明らかにし、それに対抗するための可能な戦略を検討しています。

 

・2021.07.29 Threat Landscape for Supply Chain Attacks

Threat Landscape for Supply Chain Attacks

サプライチェーン攻撃の脅威の状況

This report aims at mapping and studying the supply chain attacks that were discovered from January 2020 to early July 2021. Based on the trends and patterns observed, supply chain attacks increased in number and sophistication in the year 2020 and this trend is continuing in 2021, posing an increasing risk for organizations. It is estimated that there will be four times more supply chain attacks in 2021 than in 2020. With half of the attacks being attributed to Advanced Persistence Threat (APT) actors, their complexity and resources greatly exceed the more common non-targeted attacks, and, therefore, there is an increasing need for new protective methods that incorporate suppliers in order to guarantee that organizations remain secure.

本報告書は、2020年1月から2021年7月初旬までに発見されたサプライチェーン攻撃のマッピングと調査を目的としています。観察された傾向とパターンによると、サプライチェーン攻撃は2020年にその数と巧妙さを増し、この傾向は2021年も続いており、組織にとってのリスクが増大しています。2021年には、2020年の4倍のサプライチェーン攻撃が発生すると推定されています。攻撃の半分はAPT（Advanced Persistence Threat）アクターによるもので、その複雑さとリソースは、より一般的な非標的型攻撃を大きく上回っています。したがって、組織の安全性を保証するために、サプライヤーを組み込んだ新たな防御方法の必要性が高まっています。

・[PDF] 

1. INTRODUCTION	1. イントロダクション
2. WHAT IS A SUPPLY CHAIN ATTACK?	2. サプライチェーン攻撃とは？
2.1. TAXONOMY OF SUPPLY CHAIN ATTACKS	2.1. サプライチェーン攻撃の分類法
2.2. ATTACK TECHNIQUES USED TO COMPROMISE A SUPPLY CHAIN	2.2. サプライチェーンを危険にさらすための攻撃手法
2.3. SUPPLIER ASSETS TARGETED BY A SUPPLY CHAIN ATTACK	2.3. サプライチェーン攻撃の対象となるサプライヤー資産
2.4. ATTACK TECHNIQUES USED TO COMPROMISE A CUSTOMER	2.4. 顧客を危険にさらす攻撃手法
2.5. CUSTOMER ASSETS TARGETED BY A SUPPLY CHAIN ATTACK	2.5. サプライチェーン攻撃の対象となる顧客の資産
2.6. HOW TO MAKE USE OF THE TAXONOMY	2.6. 分類法の活用方法
2.7. SUPPLY CHAIN TAXONOMY AND OTHER FRAMEWORKS	2.7. サプライチェーン・タキソノミーと他のフレームワーク
2.7.1. MITRE ATT&CK® Knowledge Base	2.7.1. MITRE ATT&CK® ナレッジベース
2.7.2. Lockheed Martin Cyber Kill Chain® Framework	2.7.2. ロッキードマーチン サイバーキルチェーン®フレームワーク
3. THE LIFECYCLE OF A SUPPLY CHAIN ATTACK	3. サプライチェーン攻撃のライフサイクル
4. PROMINENT SUPPLY CHAIN ATTACKS	4. 著名なサプライチェーン攻撃
4.1. SOLARWINDS ORION: IT MANAGEMENT AND REMOTE MONITORING	4.1. SOLARWINDS ORION : IT管理とリモートモニタリング
4.2. MIMECAST: CLOUD CYBERSECURITY SERVICES	4.2. MIMECAST: クラウド・サイバーセキュリティ・サービス
4.3. LEDGER: HARDWARE WALLET	4.3. LEDGER：ハードウェアウォレット
4.4. KASEYA: IT MANAGEMENT SERVICES COMPROMISED WITH RANSOMWARE	4.4. KASEYA：ランサムウェアに感染したITマネジメントサービス
4.5. AN EXAMPLE OF MANY UNKNOWNS: SITA PASSENGER SERVICE SYSTEM	4.5. 不明点が多い例：SITAの旅客サービスシステム
5. ANALYSIS OF SUPPLY CHAIN INCIDENTS	5. サプライチェーンにおけるインシデントの分析
5.1. TIMELINE OF SUPPLY CHAIN ATTACKS	5.1. サプライチェーン攻撃のタイムライン
5.2. UNDERSTANDING THE FLOW OF ATTACKS	5.2. 攻撃の流れの把握
5.3. GOAL ORIENTED ATTACKERS	5.3. 目的を持った攻撃者
5.4. MOST ATTACK VECTORS TO COMPROMISE SUPPLIERS REMAIN UNKNOWN	5.4. サプライヤーを危険にさらす攻撃ベクトルのほとんどは未知である
5.5. SOPHISTICATED ATTACKS ATTRIBUTED TO APT GROUPS	5.5.  APTグループによる高度な攻撃
6. NOT EVERYTHING IS A SUPPLY CHAIN ATTACK	6. 全てがサプライチェーン攻撃ではない
7. RECOMMENDATIONS	7. 推奨事項
8. CONCLUSIONS	8. 結論
ANNEX A: SUMMARY OF SUPPLY CHAIN ATTACKS	附属書A：サプライチェーン攻撃の概要

 

EXECUTIVE SUMMARY	エグゼクティブ・サマリー
Supply chain attacks have been a security concern for many years, but the community seems to have been facing a greater number of more organized attacks since early 2020. It may be that, due to the more robust security protection that organizations have put in place, attackers successfully shifted towards suppliers. They managed to have significant impacts in terms of the downtime of systems, monetary losses and reputational damages, to name but a few. The importance of supply chains is attributed to the fact that successful attacks may impact a large amount number of customers who make use of the affected supplier. Therefore, the cascading effects from a single attack may have a widely propagated impact.	サプライチェーンへの攻撃は、長年にわたってセキュリティ上の懸念事項となっていましたが、2020年初頭から、より組織的な攻撃が増えているようです。組織がより強固なセキュリティ保護を導入したことで、攻撃者がサプライヤーにシフトすることに成功したのかもしれません。彼らは、システムのダウンタイム、金銭的損失、風評被害などの面で大きな影響を与えることに成功しました。サプライチェーンの重要性は、攻撃が成功すると、被害を受けたサプライヤーを利用している多数の顧客に影響を与える可能性があるという事実に起因しています。したがって、単一の攻撃による連鎖的な影響は、広範囲に影響を及ぼすことになります。
This report aims at mapping and studying the supply chain attacks that were discovered from January 2020 to early July 2021. Based on the trends and patterns observed, supply chain attacks increased in number and sophistication in the year 2020 and this trend is continuing in 2021, posing an increasing risk for organizations. It is estimated that there will be four times more supply chain attacks in 2021 than in 2020. With half of the attacks being attributed to Advanced Persistence Threat (APT) actors, their complexity and resources greatly exceed the more common nontargeted attacks, and, therefore, there is an increasing need for new protective methods that incorporate suppliers in order to guarantee that organizations remain secure.	本報告書は、2020年1月から2021年7月初旬までに発見されたサプライチェーン攻撃をマッピングし、調査することを目的としています。観察された傾向とパターンによると、サプライチェーン攻撃は2020年にその数と巧妙さを増し、この傾向は2021年も続いており、組織にとってのリスクが高まっています。2021年には、2020年の4倍のサプライチェーン攻撃が発生すると推定されています。攻撃の半分はAdvanced Persistence Threat（APT）アクターによるものとされており、その複雑さとリソースは、より一般的な非標的型攻撃を大きく上回っています。したがって、組織の安全性を保証するためには、サプライヤーを組み込んだ新たな防御方法の必要性が高まっています。
This report presents the Agency’s Threat Landscape concerning supply chain attacks, produced with the support of the Ad-Hoc Working Group on Cyber Threat Landscapes.	本報告書は、Ad-Hoc Working Group on Cyber Threat Landscapesの支援を受けて作成された、サプライチェーン攻撃に関する米国政府機関の脅威の状況を示したものです。
The main highlights of the report include the following:	本報告書の主な内容は以下の通りです。
· A taxonomy to classify supply chain attacks in order to better analyse them in a systematic manner and understand the way they manifest is described.	・ サプライチェーン攻撃をより体系的に分析し、その現れ方を理解するために、サプライチェーン攻撃を分類するための分類法について説明しています。
· 24 supply chain attacks were reported from January 2020 to early July 2021, and have been studied in this report.	・ 2020年1月から2021年7月初旬までに、24件のサプライチェーン攻撃が報告され、本報告書で調査されました。
· Around 50% of the attacks were attributed to well-known APT groups by the security community.	・ 攻撃の約50%は、セキュリティコミュニティによって有名なAPTグループによるものとされています。
· Around 42% of the analysed attacks have not yet been attributed to a particular group.	・ 分析された攻撃のうち約42%は、まだ特定のグループに帰属していません。
· Around 62% of the attacks on customers took advantage of their trust in their supplier.	・ 顧客に対する攻撃の約62％は、顧客のサプライヤーに対する信頼を利用したものでした。
· In 62% of the cases, malware was the attack technique employed.	・ 62%のケースでは、マルウェアが攻撃手法として採用されています。
· When considering targeted assets, in 66% of the incidents attackers focused on the suppliers’ code in order to further compromise targeted customers.	・ 標的となった資産について考えると、攻撃者は、標的となった顧客をさらに危険にさらすために、サプライヤーのコードに焦点を当てたケースが66％ありました。
· Around 58% of the supply chain attacks aimed at gaining access to data (predominantly customer data, including personal data and intellectual property) and around 16% at gaining access to people.	・ また、サプライチェーンにおける攻撃のうち、約58％がデータ（主に個人情報や知的財産を含む顧客情報）へのアクセスを目的としており、約16％が人へのアクセスを目的としていました。
· Not all attacks should be denoted as supply chain attacks, but due to their nature many of them are potential vectors for new supply chain attacks in the future.	・ すべての攻撃がサプライチェーン攻撃と呼ばれるわけではありませんが、その性質上、これらの攻撃の多くは、将来的に新たなサプライチェーン攻撃を引き起こす可能性があります。
· Organizations need to update their cybersecurity methodology with supply chain attacks in mind and to incorporate all their suppliers in their protection and security verification.	・ 企業は、サプライチェーン攻撃を念頭に置いてサイバーセキュリティの手法を更新し、すべてのサプライヤーを保護とセキュリティの検証に組み込む必要があります。

 

 

米国 連邦政府 重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障に関する覚書

こんにちは、丸山満彦です。

バイデン米大統領が重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障に関する覚書に署名をしていますね。。。また、これを受けて国土安全保障省と商務省が声明を発表し、NISTがそれを受けて

● U.S. White House

・2021.07.28 (press) Background Press Call on Improving Cybersecurity of U.S. Critical Infrastructure

・2021.07.28  FACT SHEET: Biden Administration Announces Further Actions to Protect U.S. Critical Infrastructure

・2021.07.28 National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems

第2条で、「産業用制御システム・サイバーセキュリティ・イニシアティブ」の設立に触れられていますね。これは、連邦政府と重要なインフラコミュニティ間の自発的な共同作業ということですかね。。。

このイニシアチブの主な目的は、脅威の可視性、兆候、検出、警告を提供し、重要な制御システムと運用におけるサイバーセキュリティの対応機能を促進するテクノロジーとシステムの展開を促進および促進することにより、米国の重要なインフラストラクチャを防御することのようです。また、この覚書では、すべての重要なインフラストラクチャセクターで一貫したベースラインのサイバーセキュリティ目標の必要性、および制御システムに依存する選択された重要なインフラストラクチャのセキュリティ制御の必要性が強調されていますね。。。

 

National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems	重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障に関する覚書
STATEMENTS AND RELEASES	声明およびリリース
Protection of our Nation’s critical infrastructure is a responsibility of the government at the Federal, State, local, Tribal, and territorial levels and of the owners and operators of that infrastructure.  The cybersecurity threats posed to the systems that control and operate the critical infrastructure on which we all depend are among the most significant and growing issues confronting our Nation.  The degradation, destruction, or malfunction of systems that control this infrastructure could cause significant harm to the national and economic security of the United States.	わが国の重要インフラの保護は、連邦、州、地方、部族、地域レベルの政府、およびインフラの所有者と運営者の責任です。 私たち全員が依存している重要インフラを制御・運用するシステムにもたらされるサイバーセキュリティの脅威は、我が国が直面している最も重要かつ拡大しつつある問題の一つです。 このインフラを制御するシステムの劣化、破壊、誤作動は、米国の国家安全保障および経済安全保障に重大な損害を与える可能性があります。
Section 1.  Policy.  It is the policy of my Administration to safeguard the critical infrastructure of the Nation, with a particular focus on the cybersecurity and resilience of systems supporting National Critical Functions, defined as the functions of Government and the private sector so vital to the United States that their disruption, corruption, or dysfunction would have a debilitating effect on national security, economic security, public health or safety, or any combination thereof.	第1条  方針：わが国の重要インフラを保護することは、わが政権の政策であり、特に国家重要機能を支えるシステムのサイバーセキュリティと回復力に重点を置く。国家重要機能とは、政府および民間企業の機能であって、米国にとって極めて重要であり、その破壊、腐敗、機能不全は、国家安全保障、経済安全保障、公衆衛生、安全、またはそれらの組み合わせに衰退的な影響を与えると定義される。
Sec. 2.  Industrial Control Systems Cybersecurity Initiative.  Accordingly, I have established an Industrial Control Systems Cybersecurity Initiative (Initiative), a voluntary, collaborative effort between the Federal Government and the critical infrastructure community to significantly improve the cybersecurity of these critical systems.  The primary objective of this Initiative is to defend the United States’ critical infrastructure by encouraging and facilitating deployment of technologies and systems that provide threat visibility, indications, detection, and warnings, and that facilitate response capabilities for cybersecurity in essential control system and operational technology networks.  The goal of the Initiative is to greatly expand deployment of these technologies across priority critical infrastructure.	第2条  産業用制御システム・サイバーセキュリティ・イニシアチブ： したがって、私は、これらの重要なシステムのサイバーセキュリティを大幅に向上させるために、連邦政府と重要なインフラコミュニティの間で自発的かつ協力的な取り組みである産業用制御システム・サイバーセキュリティ・イニシアチブ（イニシアチブ）を設立した。 このイニシアティブの主な目的は、脅威の可視化、兆候、検知、警告を提供し、基幹制御システムおよび運用技術ネットワークにおけるサイバーセキュリティのための対応能力を促進する技術およびシステムの展開を奨励、促進することにより、米国の基幹インフラを防御することです。 このイニシアティブの目標は、優先度の高い重要インフラへのこれらの技術の導入を大幅に拡大することである。
Sec. 3.  Furthering the Industrial Control Systems Cybersecurity Initiative.  The Initiative creates a path for Government and industry to collaborate to take immediate action, within their respective spheres of control, to address these serious threats.  The Initiative builds on, expands, and accelerates ongoing cybersecurity efforts in critical infrastructure sectors and is an important step in addressing these threats.  We cannot address threats we cannot see; therefore, deploying systems and technologies that can monitor control systems to detect malicious activity and facilitate response actions to cyber threats is central to ensuring the safe operations of these critical systems.  The Federal Government will work with industry to share threat information for priority control system critical infrastructure throughout the country.	第3条  産業用制御システム・サイバーセキュリティ・イニシアティブの推進：このイニシアティブは、政府と産業界が協力して、それぞれの支配領域内で、これらの深刻な脅威に対処するための迅速な行動をとるための道筋を作るものである。 このイニシアティブは、重要なインフラ分野で現在行われているサイバーセキュリティの取り組みを基礎とし、それを拡大、加速させるものであり、これらの脅威に対処するための重要な一歩となる。 目に見えない脅威に対処することはできない。したがって、制御システムを監視して悪意のある活動を検知し、サイバー脅威への対応行動を促進することができるシステムや技術を展開することは、これらの重要なシステムの安全な運用を確保するための中心となる。 連邦政府は産業界と協力して、国内の優先制御システム重要インフラの脅威情報を共有する。
(a)  The Initiative began with a pilot effort with the Electricity Subsector, and is now followed by a similar effort for natural gas pipelines.  Efforts for the Water and Wastewater Sector Systems and Chemical Sector will follow later this year.	(a）本イニシアティブは、電力サブセクターでの試験的な取り組みから始まり、現在では天然ガスパイプラインについても同様の取り組みを行っている。 今年後半には、上下水道部門のシステムと化学部門の取り組みが予定されている。
(b)  Sector Risk Management Agencies, as defined in section 9002(a)(7) of Public Law 116-283, and other executive departments and agencies (agencies), as appropriate and consistent with applicable law, shall work with critical infrastructure stakeholders and owners and operators to implement the principles and policy outlined in this memorandum.	(b) 公法116-283の第9002条(a)(7)項で定義されているセクターリスク管理機関、およびその他の行政省庁(機関)は、適切かつ適用法に沿って、重要インフラの利害関係者および所有者・運営者と協力して、本覚書に記載されている原則および方針を実施するものとする。
Sec. 4.  Critical Infrastructure Cybersecurity Performance Goals.  Cybersecurity needs vary among critical infrastructure sectors, as do cybersecurity practices.  However, there is a need for baseline cybersecurity goals that are consistent across all critical infrastructure sectors, as well as a need for security controls for select critical infrastructure that is dependent on control systems.	第4条  重要インフラのサイバーセキュリティ・パフォーマンス目標 ：サイバーセキュリティのニーズは、サイバーセキュリティの慣行と同様に、重要インフラ部門によって異なる。 しかし、すべての重要インフラ部門で一貫したベースラインのサイバーセキュリティ目標が必要であり、また、制御システムに依存している厳選された重要インフラのセキュリティ管理も必要である。
(a)  Pursuant to section 7(d) of Executive Order 13636 of February 12, 2013 (Improving Critical Infrastructure Cybersecurity), the Secretary of Homeland Security, in coordination with the Secretary of Commerce (through the Director of the National Institute of Standards and Technology) and other agencies, as appropriate, shall develop and issue cybersecurity performance goals for critical infrastructure to further a common understanding of the baseline security practices that critical infrastructure owners and operators should follow to protect national and economic security, as well as public health and safety.	(a) 2013年2月12日付の大統領令第13636号（重要インフラのサイバーセキュリティの向上）の第7(d)節に従い、国土安全保障長官は、商務長官（国立標準技術研究所所長を通じて）および必要に応じて他の機関と連携し、国家および経済の安全、ならびに公衆衛生と安全を守るために重要インフラの所有者および運営者が従うべき基本的なセキュリティ慣行についての共通理解を深めるために、重要インフラのサイバーセキュリティのパフォーマンス目標を策定し、発行する。
(b)  This effort shall begin with the Secretary of Homeland Security issuing preliminary goals for control systems across critical infrastructure sectors no later than September 22, 2021, followed by the issuance of final cross-sector control system goals within 1 year of the date of this memorandum.  Additionally, following consultations with relevant agencies, the Secretary of Homeland Security shall issue sector-specific critical infrastructure cybersecurity performance goals within 1 year of the date of this memorandum.  These performance goals should serve as clear guidance to owners and operators about cybersecurity practices and postures that the American people can trust and should expect for such essential services.  That effort may also include an examination of whether additional legal authorities would be beneficial to enhancing the cybersecurity of critical infrastructure, which is vital to the American people and the security of our Nation.	(b) この取り組みは、国土安全保障省長官が2021年9月22日までに重要インフラ部門全体の制御システムに関する暫定的な目標を発表することから始まり、その後、この覚書の日付から1年以内に部門横断的な制御システムの最終目標を発表するものとする。 さらに、関連機関との協議を経て、国土安全保障省長官は、本覚書の日付から1年以内に、セクター別の重要インフラのサイバーセキュリティのパフォーマンス目標を発表するものとする。 これらのパフォーマンス目標は、米国民が信頼でき、そのような重要なサービスに対して期待すべきサイバーセキュリティの実践と姿勢について、所有者と運営者に対する明確なガイダンスとなるべきである。 この取り組みには、米国民と国家の安全に不可欠な重要インフラのサイバーセキュリティを強化するために、追加の法的権限が有益であるかどうかの検討も含まれる。
Sec. 5.  General Provisions.  (a)  Nothing in this memorandum shall be construed to impair or otherwise affect:	第5条  一般規定：  (a) この覚書のいかなる部分も、以下に影響を与えるものとは解釈されない。
(i)   the authority granted by law to an executive department or agency, or the head thereof; or	(i) 法律によって行政省庁やその長に与えられた権限、または
(ii)  the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals.	(ii) 予算案、行政案、立法案に関連する行政管理予算局長官の機能。
(b)  This memorandum shall be implemented consistent with applicable law and subject to the availability of appropriations, where funding assistance may be required to implement control system cybersecurity recommendations.	(b) 本覚書は、制御システムのサイバーセキュリティに関する提言を実施するために資金援助が必要な場合には、適用される法律と一致し、かつ予算の有無に応じて実施されるものとする。
(c)  This memorandum is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person.	(c) 本覚書は、米国、その省庁、機関、事業体、その役員、従業員、代理人、またはその他の者に対して、法律上または衡平法上の強制力のある、実質的または手続き上のいかなる権利または利益も創出することを意図したものではなく、また創出するものでもない。
JOSEPH R. BIDEN JR.	ジョセフ・R・バイデン・Jr.

 

---

商務省の声明

● U.S. Department of Commerce

・ 2021.07.28 Joint Statement by Secretaries Mayorkas and Raimondo on President Biden’s New National Security Memorandum

 

---

● NIST

・2021.07.29 White House National Security Memo Issued | NIST & DHS Developing Cybersecurity Performance Goals for Critical Infrastructure Control Systems

 

White House National Security Memo Issued | NIST & DHS Developing Cybersecurity Performance Goals for Critical Infrastructure Control Systems	ホワイトハウスの国家安全保障メモが発行されました｜NISTとDHSが重要インフラ制御システムのサイバーセキュリティパフォーマンス目標を策定中
President Biden on July 28, 2021, signed a new National Security Memorandum, “Improving Cybersecurity for Critical Infrastructure Control Systems which directs the Department of Homeland Security (DHS) to work with the Department of Commerce (DOC) in developing cybersecurity performance goals that will drive adoption of effective practices and controls. NIST will play a role in that collaboration.	バイデン大統領は2021年7月28日、新しい国家安全保障メモ「Improving Cybersecurity for Critical Infrastructure Control Systems」に署名しました。このメモは、国土安全保障省（DHS）が商務省（DOC）と協力して、効果的な実践と管理の採用を促進するサイバーセキュリティのパフォーマンス目標を策定するよう指示しています。NISTはその協力の一翼を担うことになります。
NIST conducts research and provides resources to improve the cybersecurity of Operational Technology. Among activities that will contribute to implementing the National Security Memorandum, NIST is revising its Guide to Industrial Control Systems (ICS) Security (SP 800-82).	NISTは、運用技術のサイバーセキュリティを向上させるための研究とリソースの提供を行っています。国家安全保障メモランダムの実施に貢献する活動として、NISTは産業用制御システム（ICS）セキュリティガイド（SP 800-82）の改訂を行っています。
See: Joint Statement by Secretary Mayorkas and Secretary Raimondo on President Biden’s New National Security Memorandum	参照：バイデン大統領の新「国家安全保障に関する覚書」に対するマヨルカズ長官とライモンド長官の共同声明

 

 

米国 上院商務・科学・運輸委員会 公聴会 パイプラインサイバーセキュリティ：重要インフラストラクチャの保護

こんにちは、丸山満彦です。

米国の上院商務・科学・運輸委員会で「パイプラインサイバーセキュリティ：重要インフラストラクチャの保護」についての公聴会が開かれ、運輸省の副長官、GAOの重要インフラ担当のディレクター、運輸保安局 (TSA) が証人として発言していますね。。。

● U.S. Senate - Committee on Commerce, Science, and Transportation 

・2021.07.27 Pipeline Cybersecurity: Protecting Critical Infrastructure

Hon. Polly Trottenberg
Deputy Secretary
Department of Transportation
・[PDF] Polly Trottenberg (DOT) Testimony

Leslie Gordon
Acting Director of Homeland Security and Justice
Government Accountability Office
・[PDF] Leslie Gordon (GAO) Testimony

Hon. David Pekoske
Administrator
Transportation Security Administration
・[PDF] David Pekoske (TSA) Testimony)

GAOのページ

● GAO

・2021.07.28 Our Testimony to Congress on Efforts to Secure Oil and Gas Pipelines Against Cyberattacks (video)

・2021.07.27 Critical Infrastructure Protection:TSA Is Taking Steps to Address Some Pipeline Security Program Weaknesses

Fast Facts	速報
The U.S. depends on pipelines to deliver the natural gas, oil, and other hazardous liquids that power vehicles, heat homes, and more. But cyberattacks, such as an attack on Colonial Pipeline's IT networks in May 2021, threaten pipeline security. We testified that TSA—which is primarily responsible for pipeline security—is making new requirements for pipeline owners to improve their cybersecurity and prevent attacks. We also testified about previous recommendations that TSA has and has not fully addressed. Cybersecurity has been on our High Risk List since 1997.	米国では、自動車の動力源や家庭の暖房などに必要な天然ガス、石油、その他の危険な液体を運ぶパイプラインに依存しています。しかし、2021年5月にコロニアルパイプラインのITネットワークが攻撃されたように、サイバー攻撃はパイプラインのセキュリティを脅かしています。私たちは、パイプラインのセキュリティを主に担当しているTSAが、パイプラインの所有者に対して、サイバーセキュリティを向上させ、攻撃を防ぐための新たな要件を設けていることを証言しました。また、TSAがこれまでに実施した提言と、実施していない提言についても説明しました。サイバーセキュリティは、1997年以来、当社のハイリスクリストに掲載されています。
Highlights	ハイライト
What GAO Found	GAOの調査結果
Protecting the nation's pipeline systems from security threats is a responsibility shared by both the Transportation Security Administration (TSA) and private industry stakeholders. Prior to issuing a cybersecurity directive in May 2021, TSA's efforts included issuing voluntary security guidelines and security reviews of privately owned and operated pipelines. GAO reports in 2018 and 2019 identified some weaknesses in the agency's oversight and guidance, and made 15 recommendations to address these weaknesses. TSA concurred with GAO's recommendations and has addressed most of them, such as clarifying portions of its Pipeline Security Guidelines improving its monitoring of security review performance, and assessing staffing needs.	国内のパイプラインシステムをセキュリティの脅威から守ることは、運輸保安局（TSA）と民間業界の利害関係者の両方が共有する責任です。2021年5月にサイバーセキュリティ指令を発行する前のTSAの取り組みは、自主的なセキュリティガイドラインの発行や、民間で所有・運営されているパイプラインのセキュリティレビューなどでした。2018年と2019年のGAOの報告書では、同機関の監督と指導にいくつかの弱点があることが指摘され、これらの弱点に対処するために15の提言がなされました。TSAはGAOの提言に同意し、パイプラインセキュリティガイドラインの一部を明確にすることや、セキュリティレビューのパフォーマンスのモニタリングを改善すること、スタッフのニーズを評価することなど、ほとんどの提言に対処しました。
As of June 2021, TSA had not fully addressed two pipeline cybersecurity-related weaknesses that GAO previously identified. These weaknesses correspond to three of the 15 recommendations from GAO's 2018 and 2019 reports.	2021年6月時点で、TSAはGAOが以前に指摘したパイプラインのサイバーセキュリティ関連の2つの弱点に完全には対処していませんでした。これらの弱点は、GAOの2018年および2019年の報告書の15件の提言のうち3件に対応しています。
Incomplete information for pipeline risk assessments. GAO identified factors that likely limit the usefulness of TSA's risk assessment methodology for prioritizing pipeline security reviews. For example, TSA's risk assessment did not include information consistent with critical infrastructure risk mitigation, such as information on natural hazards and cybersecurity risks. GAO recommended that TSA develop data sources relevant to pipeline threats, vulnerabilities, and consequences of disruptions. As of June 2021, TSA had not fully addressed this recommendation.	パイプラインのリスク評価のための不完全な情報。GAOは、パイプラインのセキュリティレビューを優先するためのTSAのリスク評価手法の有用性を制限する可能性が高い要因を特定しました。例えば、TSAのリスク評価には、自然災害やサイバーセキュリティリスクに関する情報など、重要インフラのリスク軽減に合致する情報が含まれていませんでした。GAOは、TSAがパイプラインの脅威、脆弱性、破壊の結果に関連するデータソースを開発するよう勧告しました。2021年6月現在、TSAはこの勧告に完全には対応していません。
Aged protocols for responding to pipeline security incidents. GAO reported in June 2019 that TSA had not revised its 2010 Pipeline Security and Incident Recovery Protocol Plan to reflect changes in pipeline security threats, including those related to cybersecurity. GAO recommended that TSA periodically review, and update its 2010 plan. TSA has begun taking action in response to this recommendation, but has not fully addressed it, as of June 2021.	パイプラインのセキュリティインシデントに対応するプロトコルの老朽化。GAOは2019年6月に、TSAが2010年に策定した「パイプラインセキュリティおよびインシデントリカバリープロトコルプラン」を、サイバーセキュリティ関連を含むパイプラインセキュリティの脅威の変化を反映して改訂していないことを報告しました。GAOは、TSAが定期的に見直しを行い、2010年の計画を更新するよう勧告しました。TSAはこの勧告に対応して行動を開始しましたが、2021年6月時点では完全には対応していません。
TSA's May 2021 cybersecurity directive requires that certain pipeline owner/operators assess whether their current operations are consistent with TSA's Guidelines on cybersecurity, identify any gaps and remediation measures, and report the results to TSA and others. TSA's July 2021 cybersecurity directive mandates that certain pipeline owner/operators implement cybersecurity mitigation measures; develop a Cybersecurity Contingency Response Plan in the event of an incident; and undergo an annual cybersecurity architecture design review, among other things. These recent security directives are important requirements for pipeline owner/operators because TSA's Guidelines do not include key mitigation strategies for owner/operators to reference when reviewing their cyber assets. TSA officials told GAO that a timely update to address current cyber threats is appropriate and that they anticipate updating the Guidelines over the next year.	TSAの2021年5月のサイバーセキュリティ指令では、特定のパイプライン所有者と運営者に対し、現在のオペレーションがTSAのサイバーセキュリティに関するガイドラインと一致しているかどうかを評価し、ギャップや改善策を特定し、その結果をTSAなどに報告することを求めています。TSAの2021年7月のサイバーセキュリティ指令は、特定のパイプライン所有者と運営者に対して、サイバーセキュリティ緩和策の実施、インシデント発生時のサイバーセキュリティ・コンティンジェンシー対応計画の策定、年1回のサイバーセキュリティ・アーキテクチャ・デザイン・レビューの実施などを義務付けています。TSAのガイドラインには、所有者や運営者がサイバー資産を見直す際に参照すべき重要な緩和策が含まれていないため、これらの最近のセキュリティ指令はパイプラインの所有者や運営者にとって重要な要件となります。TSAの担当者はGAOに対し、現在のサイバー脅威に対応するためのタイムリーな更新が適切であり、来年中にガイドラインを更新する予定であると述べました。
Why GAO Did This Study	GAOがこの調査を行った理由
The nation's pipelines are vulnerable to cyber-based attacks due to increased reliance on computerized systems. In May 2021 malicious cyber actors deployed ransomware against Colonial Pipeline's business systems. The company subsequently disconnected certain systems that monitor and control physical pipeline functions so that they would not be compromised.	米国のパイプラインは、コンピュータ化されたシステムへの依存度が高まっているため、サイバーベースの攻撃に対して脆弱です。2021年5月、悪意のあるサイバーアクターがColonial Pipeline社の業務システムにランサムウェアを導入しました。同社はその後、物理的なパイプラインの機能を監視・制御する一部のシステムを切断し、危険が及ばないようにしました。
This statement discusses TSA's actions to address previous GAO findings related to weaknesses in its pipeline security program and TSA's guidance to pipeline owner/operators. It is based on prior GAO products issued in December 2018, June 2019, and March 2021, along with updates on actions TSA has taken to address GAO's recommendations as of June 2021. To conduct the prior work, GAO analyzed TSA documents; interviewed TSA officials, industry association representatives, and a sample of pipeline operators selected based on type of commodity transported and other factors; and observed TSA security reviews. GAO also reviewed TSA's May and July 2021 Pipeline Security Directives, TSA's Pipeline Security Guidelines, and three federal security alerts issued in July 2020, May 2021, and June 2021.	この声明では、パイプラインセキュリティプログラムの弱点に関連する過去のGAO調査結果に対処するためのTSAの行動と、パイプラインの所有者と運営者に対するTSAのガイダンスについて説明しています。2018年12月、2019年6月、2021年3月に発行された事前のGAO成果物に加え、2021年6月時点でTSAがGAOの提言に対応するために取った行動の更新を行っています。先行作業を行うため、GAOはTSAの文書を分析し、TSAの職員、業界団体の代表者、輸送する商品の種類などに基づいて選んだパイプライン事業者のサンプルにインタビューを行い、TSAのセキュリティレビューを視察した。GAOはまた、TSAの2021年5月と7月のパイプラインセキュリティ指令、TSAのパイプラインセキュリティガイドライン、2020年7月、2021年5月、2021年6月に発行された3つの連邦セキュリティアラートをレビューしました。

・[PDF] Highlights Page

・[PDF] Full Report

・[PDF] Accessible

米国 CISA 米国、英国、オーストラリアが共同サイバーセキュリティアドバイザリを発行

こんにちは、丸山満彦です。

CISAは米国、英国、オーストラリアが共同サイバーセキュリティアドバイザリ（アラート（AA21-209A）日常的に悪用される脆弱性）を発行したと発表していますね。。。

 

● CISA

・2021.07.28 U.S., U.K., AND AUSTRALIA ISSUE JOINT CYBERSECURITY ADVISORY

アラートはこちら、、、

・2021.07.28 Alert (AA21-209A) Top Routinely Exploited Vulnerabilities

2020年、2021年に広く悪用された脆弱性として、

Table 1:Top Routinely Exploited CVEs in 2020
Vendor	CVE	Type
Citrix	CVE-2019-19781	arbitrary code execution
Pulse	CVE 2019-11510	arbitrary file reading
Fortinet	CVE 2018-13379	path traversal
F5- Big IP	CVE 2020-5902	remote code execution (RCE)
MobileIron	CVE 2020-15505	RCE
Microsoft	CVE-2017-11882	RCE
Atlassian	CVE-2019-11580	RCE
Drupal	CVE-2018-7600	RCE
Telerik	CVE 2019-18935	RCE
Microsoft	CVE-2019-0604	RCE
Microsoft	CVE-2020-0787	elevation of privilege
Netlogon	CVE-2020-1472	elevation of privilege

 

総務省 「ICTサイバーセキュリティ総合対策2021」（案）に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2021」の公表

こんにちは、丸山満彦です。

総務省が「ICTサイバーセキュリティ総合対策2021」（案）に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2021」を公表していますね。。。

パブコメが出たとき (2021.06.10) に紹介をするのを忘れていました。。。

● 総務省

・2021.07.29 「ICTサイバーセキュリティ総合対策2021」（案）に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2021」の公表

・[PDF] ICTサイバーセキュリティ総合対策2021

目次は、

はじめに
Ⅰ 改定に当たっての主要な政策課題
（１）昨年の「IoT・5G セキュリティ総合対策 2020」以降の状況変化
（２）状況変化等を踏まえた主要な政策課題
（３）主要な政策課題への対処のための施策の整理・分類
（４）施策の推進・実施に当たっての基本的な考え方・主な留意点

Ⅱ 情報通信サービス・ネットワークの個別分野に関する具体的施策
１ 電気通信事業者における安全かつ信頼性の高いネットワークの確保のためのセキュリティ対策の推進
（１）安全かつ信頼性の高いネットワークの確保
（２）サイバー攻撃に対する電気通信事業者の積極的な対策の実現
（３）5G の本格的な普及に向けたセキュリティ対策の強化
２ COVID-19 への対応を受けたセキュリティ対策の推進
（１）テレワークセキュリティの確保
（２）トラストサービスの制度化と普及促進
３ デジタル改革・DX 推進の基盤となるサービス等のセキュリティ対策の推進
（１）IoT のセキュリティ対策
　① IoT 機器の設計・製造・販売段階での対策
　② IoT 機器の運用段階での対策（脆弱性等のある IoT 機器の調査・注意喚起）
（２）クラウドサービスの利用の進展を踏まえた対応
（３）スマートシティのセキュリティ対策
４ 分野別の具体的施策
（１）無線 LAN のセキュリティ対策
（２）放送分野のセキュリティ対策
（３）地域の情報通信サービスのセキュリティの確保

Ⅲ 横断的施策
１ サイバーセキュリティ情報に関する産学官での連携・共有等の促進
（１）我が国のサイバーセキュリティ情報の収集・分析能力の向上に向けた産学官連携の加速
（２）サイバー攻撃被害情報の適切な共有及び公表の促進
（３）その他の情報共有・情報開示の促進
　① 事業者間での情報共有を促進するための基盤の構築
　② サイバーセキュリティ対策に係る情報開示の促進
２ ICT サイバーセキュリティに係る横断的施策
（１）国際連携の推進
　① ASEAN 各国をはじめとするインド太平洋地域等との連携
　② 国際的な ISAC 間連携
　③ 国際標準化の推進
　④ サイバー空間における国際ルールを巡る議論への積極的参画
（２）研究開発の推進
　① 基礎的・基盤的な研究開発等の推進
　② IoT 機器のセキュリティ対策技術の研究開発の推進
　③ 脆弱性の検証手法等の確立と体制整備
　④ 衛星通信におけるセキュリティ技術の研究開発
　⑤ 暗号技術に関する安全性評価と研究開発の推進
　⑥ IoT 社会に対応したサイバー・フィジカル・セキュリティ対策
（３）人材育成・普及啓発の推進
　① 人材育成オープンプラットフォームの構築
　② 実践的サイバー防御演習（CYDER）の実施
　③ 若手セキュリティ人材の育成の促進
　④ 地域におけるセキュリティ人材育成
　⑤ 利用者への普及啓発

Ⅳ 今後の進め方
別添 プログレスレポート 2021

 

・[PDF] 提出された意見及びその意見に対する同タスクフォースの考え方

 

意見を出したのは、

1 一般社団法人情報処理安全確保支援士会
2 ＫＤＤＩ株式会社
3 華為技術日本株式会社
4 ヴイエムウェア株式会社
5 BSA ザ・ソフトウェア・アライアンス
に、個人が4名のようですね。。。

 

Cloud Security Alliance がクラウド脅威モデリングを促進するためのガイドを公表していますね。。。

こんにちは、丸山満彦です。

Cloud Security Alliance がクラウド脅威モデリングを促進するためのガイドを公表していますね。。。

クラウドの普及により、従来の脅威モデルでは十分に対応できない部分も増えてきたので、クラウドを利用する際の脅威モデルを作成することの重要性を強調し、各企業が独自にそれができるようにするために開発されたようですね。このガイドでは、クラウドの脅威モデルを作成するためのカード（脅威、脆弱性、資産、統制）と参照モデルを掲載しており、企業が独自のクラウドの脅威モデルを作成することで、リスク管理プロセスに磨きをかけ、その過程でサイバーセキュリティプログラム全体を成熟させることができるということのようです。

ユニークな取り組みと思いました。。。

● Cloud Security Alliance

・2021.07.29 Cloud Security Alliance Releases Guide to Facilitate Cloud Threat Modeling - Document provides tangible exercise for organizations to create their own cloud threat model

 

SEATTLE – July 29, 2021 – The Cloud Security Alliance (CSA), the world’s leading organization dedicated to defining standards, certifications and best practices to help ensure a secure cloud computing environment, today released its latest guide, Cloud Threat Modeling. Written by the CSA Top Threats Working Group, the document provides cloud and security practitioners responsible for system preparedness with critical guidance on conducting threat modeling for cloud applications, their services, and surrounding security decisions. To facilitate the exercise, the guide features cloud threat modeling cards (Threat, Vulnerability, Asset, and Control) and a reference model that organizations can use to create their own cloud threat model, thereby honing their risk management process and maturing their overall cybersecurity program in the process.	2021年7月29日、シアトル発 - 安全なクラウドコンピューティング環境を実現するための標準規格、認証、ベストプラクティスの策定に取り組む世界有数の組織であるクラウドセキュリティアライアンス（CSA）は、本日、最新のガイド「Cloud Threat Modeling」を発表しました。CSA Top Threats Working Groupによって作成された本ガイドは、システムの準備を担当するクラウドおよびセキュリティの実務者に、クラウドアプリケーションやそのサービス、周辺のセキュリティに関する意思決定のための脅威モデルの実施に関する重要なガイダンスを提供します。本ガイドでは、クラウドの脅威モデルを作成するためのカード（脅威、脆弱性、資産、統制）と参照モデルを掲載しており、企業が独自のクラウドの脅威モデルを作成することで、リスク管理プロセスに磨きをかけ、その過程でサイバーセキュリティプログラム全体を成熟させることができます。
Threat modeling is an essential practice for software and systems security — doubly so for cloud software, systems, and services — and it’s imperative that organizations develop a structured and repeatable approach for modeling threats in order to successfully anticipate and mitigate cyberattacks.	脅威のモデル化は、ソフトウェアやシステムのセキュリティに不可欠な手法であり、クラウドのソフトウェア、システム、サービスにおいては特に重要です。サイバー攻撃を予測し、軽減するためには、脅威をモデル化するための構造的で反復可能なアプローチを開発することが不可欠です。
“The fast pace of cloud adoption has surpassed some security methodologies that were honed over the course of 40 years of information technology development. Threat modeling is one of those security methodologies that, unfortunately, hasn’t kept pace with the rate of cloud adoption. As such, there is a great deal of benefit to be had in aligning the critical practice of threat modeling with cloud services, technologies, and models. This guide serves to close the gap and set enterprises off on their own threat modeling journey,” said Alex Getsin, co-chair, Top Threats Working Group and the paper’s lead author.	「クラウドの急速な普及に伴い、40年以上にわたる情報技術の発展の中で培われてきたいくつかのセキュリティ方法論は、もはや通用しなくなっています。脅威のモデル化は、残念ながら、クラウドの導入速度に追いついていないセキュリティ手法の一つです。そのため、脅威モデルの重要な実践を、クラウドのサービス、テクノロジー、モデルに合わせることで、大きなメリットを得ることができます。このガイドは、このギャップを解消し、企業が独自の脅威モデリングの道を歩むためのものです」と、トップスレットワーキンググループの共同議長であり、本文書の主執筆者であるAlex Getsinは述べています。

 

 ・[PDF] Cloud Threat Modeling

目次

Introduction	はじめに
Purpose	目的
Target Audience	想定読者
Key Takeaways	主な論点
Threat Modeling	脅威モデリング
Cloud Threat Modeling	クラウド脅威モデリング
Is the Purpose of Cloud Threat Modeling Different?	クラウド脅威モデリングの目的は異なるのか？
Cloud Threat Modeling Process	クラウド脅威モデリングのプロセス
Creating a Cloud Threat Model	クラウド脅威モデルの作成
Conclusions	おわりに
References	参考文献
Appendix 1: Threat Modeling Reporting Detailed Guidance	附属書1：脅威モデル報告書詳細ガイダンス
Appendix 2: Cloud Threat Modeling Cards	附属書2：クラウド脅威モデリングカード

 

Core Threat Modeling Activities:	主要な脅威モデリング活動
1. Identify threat modeling security objectives for the threat modeling exercise, focusing on critical aspects such as confidentiality, integrity, availability, and privacy, e.g.,	1. 機密性、完全性、可用性、プライバシーなどの重要な側面に着目して、脅威モデル演習のセキュリティ目標を特定する。例えば、以下の事項。
a. protect the company’s databases containing customer or regulated information from external attackers;	a. 顧客情報や規制された情報を含む会社のデータベースを、外部の攻撃者から保護する。
b. ensure high availability for the e-commerce web application; and	b. E コマース用 Web アプリケーションの高可用性を確保する。
c. select a cloud application model with the least attack surface or customer security responsibility.	c. 攻撃対象や顧客のセキュリティ責任が最も少ないクラウドアプリケーションモデルを選択する。
2. Set the scope of the assessment with respect to the systems and/or cloud infrastructure under consideration by providing an overview of the system or cloud application. This typically covers areas such as the various organizational assets, including technology stack used, existing security controls, deployment scenario, type of users, and any specific security or regulatory requirement which needs to be addressed in the threat modeling.	2. システムまたはクラウドアプリケーションの概要を説明することにより、検討中のシステムやクラウドインフラストラクチャに関する評価の範囲を設定する。一般的には、使用されている技術スタックを含む様々な組織資産、既存のセキュリティ管理、展開シナリオ、ユーザの種類、脅威モデルで対処する必要のある特定のセキュリティ要件または規制要件などの分野をカバーする。
3. System/application decomposition covers breaking down the system into subsystems and examining the interaction among the various components. The key activities done in this phase are:	3. システム／アプリケーションの分解では、システムをサブシステムに分解し、さまざまなコンポーネント間の相互作用を検証する。このフェーズで行われる主な活動は以下のとおりである。
a. Understand trust boundaries (external and internal facing, privileged, unauthenticated, etc.).	a. 信頼の境界を理解する（外部と内部の境界、特権、未認証など）。
b. Identify input and egress to the system (input and output), as well as data format.	b. システムへの入力と出力、およびデータフォーマットを特定する。
c. Map the data flows in the system/s.	c. システムにおけるデータフローをマッピングする。
4. Identify and rate the potential threats; that is, identify the threats, type of attacks, and how the given system or its functionalities can be misused by a malicious user. Some of the common threats are related to unauthorized access, denial of service, information disclosure, etc. The severity of the threat can be rated by using a framework such as DREAD3 .	4. 潜在的な脅威を特定し、評価する。すなわち、脅威、攻撃の種類、および悪意のあるユーザーによ って与えられたシステムまたはその機能がどのように悪用されるかを特定する。一般的な脅威には、不正アクセス、サービス拒否、情報開示などに関するものがある。脅威の深刻度は、DREAD3のようなフレームワークを使用して評価することができる。
5. Identify weaknesses and gaps in the system design and components to aid the security decisions and define the scope and nature of security testing.	5. セキュリティに関する意思決定を支援するために、システム設計やコンポーネントの弱点やギャップを特定し、セキュリティテストの範囲や性質を定義する。
6. Design and prioritize mitigations and controls applicable to the predetermined threats and reflect on how those controls would reduce the threat or risk level.	6. 事前に設定した脅威に適用可能な緩和策および管理策を設計して優先順位をつけ、それらの管理策がどのように脅威またはリスクレベルを低減するかを反映する。
7. Communicate and create call to action: Communicate the identified threats, their potential impact and severity, as well as the applicable and proposed controls. Make the modeling data and insights available and call to the action of threat mitigation by design or effect.	7. 伝達と行動喚起を行う。識別された脅威、その潜在的な影響および重大性、ならびに適用可能な対策および提案された対策を伝えること。モデル化されたデータと洞察を利用可能にし、設計または効果による脅威の緩和という行動を呼びかける。

国連 地域間犯罪司法研究所 人工知能によるオンラインテロ対策 at 2021.06.30

こんにちは、丸山満彦です。

国連の地域間犯罪司法研究所が人工知能によるオンラインテロ対策を2021.06.30に公開していましたね。。。

 

● United Nations Interregional Crime and Justice Research Institute

・2021.06.30 Countering Terrorism Online with Artificial Intelligence - An Overview for Law Enforcement and Counter-Terrorism Agencies in South Asia and South-East Asia

・[PDF] COUNTERING TERRORISM ONLINE WITH ARTIFICIAL INTELLIGENCE - AN OVERVIEW FOR LAW ENFORCEMENT AND COUNTER-TERRORISM AGENCIES IN SOUTH ASIA AND SOUTH-EAST ASIA

 

・[DOCX] 仮訳

 

 

FOREWORD	序文
Artificial intelligence (AI) can have, and already is having, a profound impact on our society, from healthcare, agriculture and industry to financial services and education. However, as the United Nations Secretary-General António Guterres stated in his 2018 Strategy on New Technologies, “while these technologies hold great promise, they are not risk-free, and some inspire anxiety and even fear. They can be used to malicious ends or have unintended negative consequences”. AI embodies this duality perhaps more than any other emerging technology today. While it can bring improvements to many sectors, it also has the potential to obstruct the enjoyment of human rights and fundamental freedoms – in particular, the rights to privacy, freedom of thought and expression, and non-discrimination. Thus, any exploration of the use of AI-enabled technologies must always go hand-in-hand with efforts to prevent potential infringement upon human rights. In this context, we have observed many international and regional organizations, national authorities and civil society organizations working on initiatives aimed at putting in place ethical guidelines regarding the use of AI, as well as the emergence of proto-legal frameworks.	人工知能（AI）は、医療、農業、産業から金融サービス、教育に至るまで、私たちの社会に大きな影響を与える可能性があり、また、すでに影響を与えている。しかし、国連のグテーレス事務総長が「2018年新技術戦略」で述べているように、「これらの技術は大きな可能性を秘めているが、リスクがないわけではなく、不安や恐怖を抱かせるものもある。悪意のある目的に使われたり、意図しない悪い結果をもたらしたりする可能性がある」。AIは、おそらく今日の他のどの新興技術よりも、この二面性を体現している。AIは多くの分野に改善をもたらす一方で、人権や基本的自由、特にプライバシー、思想・表現の自由、無差別の権利の享受を妨げる可能性がある。したがって、AI技術の利用を検討する際には、人権侵害の可能性を防止するための取り組みと常に密接に関連していなければならない。このような観点から、私たちは、多くの国際・地域機関、国家機関、市民社会組織が、AIの使用に関する倫理的ガイドラインの策定を目指した取り組みや、暫定的な法的枠組みの出現を確認している。
This duality is most obviously prevalent online, where increased terrorist activity is a growing challenge that is becoming almost synonymous with modern terrorism. Consider that as part of 2020 Referral Action Day, Europol and 17 Member States identified and assessed for removal as many as 1,906 URLs linking to terrorist content on 180 platforms and websites in one day. Facebook has indicated that over the course of two years, it removed more than 26 million pieces of content from groups such as the Islamic State of Iraq and the Levant (ISIL) and Al-Qaida. The Internet and social media are proving to be powerful tools in the hands of such groups, enabling them to communicate, spread their messages, raise funds, recruit supporters, inspire and coordinate attacks, and target vulnerable persons.	このような二面性が最も顕著に表れているのがオンラインであり、テロ活動の活発化は、現代のテロとほぼ同義語になりつつある課題である。2020 Referral Action Dayの一環として、Europolと17の加盟国は、1日で180のプラットフォームとウェブサイト上のテロリストコンテンツにリンクする1,906のURLを特定し、削除するよう評価したことを考えてみてください。フェイスブックは、イラク・レバントのイスラム国（ISIL）やアルカイダなどのグループからのコンテンツを2年間で2,600万件以上削除したと発表している。インターネットとソーシャルメディアは、これらのグループにとって強力なツールであり、コミュニケーション、メッセージの拡散、資金調達、支援者の募集、攻撃の鼓舞と調整、弱者の標的となることを可能にしている。
In the United Nations Global-Counter Terrorism Strategy (A/RES/60/288), Member States resolved to work with the United Nations with due regard to confidentiality, respecting human rights and in compliance with other obligations under international law, to explore ways to coordinate efforts at the international and regional levels to counter-terrorism in all its forms and manifestations on the Internet and use the Internet as a tool for countering the spread of terrorism. At the same time, the Strategy recognizes that Member States may require assistance to meet these commitments.	国連グローバル・カウンター・テロリズム戦略」（A/RES/60/288）において、加盟国は、機密性に十分配慮し、人権を尊重し、国際法上のその他の義務を遵守して、国際レベルおよび地域レベルでの努力を調整する方法を模索し、インターネット上のあらゆる形態および症状のテロリズムに対抗し、インターネットをテロリズムの拡散に対抗するためのツールとして使用するために、国連と協力することを決議した。同時に、本戦略は、加盟国がこれらのコミットメントを果たすために支援を必要とする可能性があることを認識している。
Through the present report – a product of the partnership between the United Nations Counter-Terrorism Centre in the United Nations Office of Counter-Terrorism and the United Nations Interregional Crime and Justice Research Institute through its Centre for Artificial Intelligence and Robotics – we seek to explore how AI can be used to combat the threat of terrorism online.	本報告書は、国連テロ対策局の国連テロ対策センターと、国連地域間犯罪司法研究所の人工知能・ロボットセンターとの連携による成果であり、オンライン上のテロの脅威に対抗するためにAIをどのように活用できるかを模索している。
Recognizing the threat of terrorism, growing rates of digitalization and burgeoning young, vulnerable and online populations in South Asia and South-East Asia, this report provides guidance to law enforcement and counter-terrorism agencies in South Asia and South-East Asia on the potential application of AI to counter terrorism online, as well as on the many human rights, technical and political challenges they will need to consider, and address should they opt to do so.	本報告書は、南アジア・東南アジアにおけるテロの脅威、デジタル化の進展、若年層・脆弱層・オンライン人口の急増を認識し、南アジア・東南アジアの法執行機関やテロ対策機関に対し、オンラインでのテロ対策にAIを適用する可能性、また適用する場合に検討・対処すべき多くの人権的・技術的・政治的課題についてガイダンスを提供している。
Our work does not end here. Addressing the challenges identified in this report and unlocking the potential for using AI to counter terrorism will require further in-depth analysis. Our Offices stand ready to support Member States and other counter-terrorism partners to prevent and combat terrorism, in all its forms and manifestations, and to explore innovative and human rights-compliant approaches to do so.	私たちの仕事はここで終わらない。本報告書で明らかになった課題に対処し、テロ対策にAIを活用する可能性を引き出すには、さらなる詳細な分析が必要である。我々のオフィスは、加盟国やその他のテロ対策パートナーが、あらゆる形態や症状のテロリズムを防止し、闘うことを支援し、そのための革新的で人権に準拠したアプローチを模索する用意がある。

EXECUTIVE SUMMARY	エグゼクティブ・サマリー
The integration of digital technologies into everyday life has increased at an extraordinary pace in South Asia and South-East Asia in recent years, with the use of social media by the regions’ notably young population surpassing the global average. While this trend offers a wide range of opportunities for development, the freedom of expression, political participation, and civic action, it also increases the risk of potentially vulnerable youths being exposed to terrorist online content produced by terrorist and violent extremist groups online. Additionally, given an established terrorist and violent extremist presence in South Asia and South-East Asia, law enforcement and counter-terrorism agencies in these regions are increasingly pressed to adapt to transformations in criminal and terrorist activities, as well as to how investigations into these activities are carried out.	近年、南アジア・東南アジアでは、日常生活へのデジタル技術の導入が驚異的なスピードで進んでおり、特に若年層のソーシャルメディアの利用率は世界平均を上回っている。この傾向は、開発、表現の自由、政治参加、市民活動などの幅広い機会を提供する一方で、潜在的に脆弱な若者が、テロリストや暴力的過激派グループがネット上で制作したテロリストのコンテンツにさらされるリスクを高めている。さらに、南アジアや東南アジアでは、テロリストや暴力的過激派の存在が確立されているため、これらの地域の法執行機関やテロ対策機関は、犯罪やテロリストの活動の変化や、これらの活動の捜査方法への対応をますます迫られている。
Artificial intelligence (AI) has received considerable attention globally as a tool that can process vast quantities of data and discover patterns and correlations in the data unseen to the human eye, which can enhance effectiveness and efficiency in the analysis of complex information. As a general-purpose technology, such benefits can also be leveraged in the field of counter-terrorism. In light of this, there is growing interest amongst law enforcement and counter-terrorism agencies globally in exploring how the transformative potential of AI can be unlocked.	人工知能（AI）は、膨大な量のデータを処理し、人間の目には見えないデータのパターンや相関関係を発見し、複雑な情報の分析の有効性や効率性を高めることができるツールとして、世界的に大きな注目を集めている。また、汎用的な技術であるため、テロ対策の分野でも活用することができる。このような背景から、世界の法執行機関やテロ対策機関の間では、AIの持つ変革の可能性をどのようにして引き出すことができるかについて関心が高まっている。
Considering the aforementioned trends and developments, this report serves as an introduction to the use of AI to counter terrorism online for law enforcement and counter-terrorism agencies in the regions of South Asia and SouthEast Asia. This report is introductory in nature as a result of the limited publicly available information on the degree of technological readiness of law enforcement and counter-terrorism agencies in these regions, which is considered likely to be indicative of limited experience with this technology. In this regard, the report provides a broad assessment of different use cases of AI, demonstrating the opportunities of the technology, as well as curbing out the challenges. The report is intended to serve as an initial mapping of AI, contextualizing possible use cases of the technology that could theoretically be deployed in the regions, whilst juxtaposing this with the key challenges that authorities must overcome to ensure the use of AI is responsible and human rights compliant. Give its introductory nature, this report is by no means intended to be an exhaustive overview of the application of AI to counter terrorism online.	本報告書は、前述の傾向と発展を考慮し、南アジアおよび東南アジア地域の法執行機関およびテロ対策機関を対象に、オンラインでのテロ対策のためのAIの使用について紹介するものである。本報告書は、これらの地域の法執行機関やテロ対策機関の技術的な準備状況に関する公開情報が限られており、この技術の経験が少ないことを示していると考えられるため、入門的な内容となっている。本報告書では、AIのさまざまな使用例を幅広く評価し、この技術の可能性を示すと同時に、課題も明らかにしている。本報告書は、AIの最初のマッピングとしての役割を果たすことを目的としており、理論的には地域で展開される可能性のあるAIの使用事例を文脈に沿って説明するとともに、AIの使用が責任あるものであり、人権を遵守したものであることを保証するために当局が克服しなければならない主要な課題を並置している。本報告書は、入門編という性格上、オンライン・テロ対策のためのAI活用を網羅的に紹介することを意図したものではない。
The report is divided into five chapters. The first chapter provides a general introduction to the context of terrorism, Internet usage in South Asia and South-East Asia and AI. The second chapter introduces and explains some key terms, technologies, and processes relevant for this report from a technical perspective. The third chapter maps applications of AI in the context of countering the terrorist use of the Internet and social media, focusing on six identified use cases, namely: i) Predictive analytics for terrorist activities; ii) Identifying red flags of radicalization; iii) Detecting mis- and disinformation spread by terrorists for strategic purposes; iv) Automated content moderation and takedown; v) Countering terrorist and violent extremist narratives; and vi) Managing heavy data analysis demands. The fourth chapter examines the challenges that law enforcement and counter-terrorism agencies must be prepared to address in their exploration of the technology, in particular specific political and legal challenges, as well as technical issues. The report concludes with the fifth and final chapter, which provides high-level recommendations for law enforcement and counter-terrorism agencies in South Asia and South-East Asia to take onboard to support them to navigate the challenges described in terms of the use of AI to counter terrorism online.	本報告書は5つの章で構成されている。第1章では、テロリズムの背景、南アジア・東南アジアのインターネット利用状況、AIについて一般的に紹介している。第2章では、本報告書に関連する主要な用語、技術、プロセスを技術的な観点から紹介・解説している。第3章では、テロリストによるインターネットやソーシャルメディアの利用に対抗するためのAIの応用例を、次の6つのユースケースに焦点を当ててマッピングしている。すなわち、i) テロ活動の予測分析、ii) 急進化のレッドフラッグの特定、iii) 戦略的な目的でテロリストが流す誤情報や偽情報の検出、iv) コンテンツの自動調整とテイクダウン、v) テロリストや暴力的過激派のナラティブへの対抗、vi) 重いデータ分析要求の管理、である。第4章では、法執行機関やテロ対策機関がこの技術を探求する際に覚悟しなければならない課題、特に技術的な問題だけでなく、政治的・法的な課題について考察している。最後の第5章では、南アジアおよび東南アジアの法執行機関やテロ対策機関が、オンライン・テロ対策のためのAIの利用という観点から、これらの課題を解決するために必要なハイレベルな提言を行っている。

 

目次は、

↓↓↓↓↓↓↓↓↓↓

» Continue reading

バイデン大統領は国家情報長官室での演説でサイバー攻撃が「本当の射撃戦争につながる可能性がある」と発言？

こんにちは、丸山満彦です。

演説を聴けていないのですが、バイデン大統領が国家情報長官室での演説で、「サイバー攻撃が実弾を伴う本当の戦争につながる可能性がある」と発言したようなニュースがありました。あとで演説を聴きます。。。

● C-SPAN

・2021.07.27 President Biden Remarks to the Intelligence Community

President Biden Remarks to the Intelligence Community

情報機関に対するバイデン大統領の発言

President Biden delivered remarks at the Office of the Director of National Intelligence in McLean, Virginia. He made a commitment to the intelligence community workforce that he will not politicize their work. After completing remarks, he responded to two pandemic related questions from reporters. President Biden defended the new CDC mask guidance for vaccinated individuals and said they are considering requiring all federal employees to get the COVID-19 vaccine.

バイデン大統領は、バージニア州マクリーンにある国家情報長官室で演説を行いました。バイデン大統領は、情報機関の従業員に対して、彼らの仕事を政治的に利用しないことを約束しました。挨拶を終えた後、記者からのパンデミックに関する2つの質問に答えました。バイデン大統領は、ワクチン接種者に対するCDCの新しいマスクガイダンスを擁護し、連邦政府職員全員にCOVID-19ワクチンの接種を義務付けることを検討していると述べました。

 

● NEWSMAX

・2021.07.28 Biden Warns Cyber Attacks Can Lead 'to Real Shooting War'

こちらの記事に発言の抜き出しがありますね。。。

"I think it's more than likely we're going to end up, if we end up in a war – a real shooting war with a major power – it's going to be as a consequence of a cyber breach of great consequence and it's increasing exponentially, the capabilities,"

要は、大国との実弾を伴う本当の戦争は、サイバー攻撃の結果によることがあり得て、その可能性は指数関数的に増加している、という感じですかね。。。

 

 

ISACA サイバーセキュリティ調査報告2021 Part1 & Part2

こんにちは、丸山満彦です。

ITガバナンスに関するグローバルな団体として有名なISACA [wikipedia] から、サイバーセキュリティについての調査報告の2021年度版が公表されています。。。約20年前に大阪支部の会長をし、その後東京支部の副会長もし、10年ほど前から御隠居状態になっています(^^)。

2部構成になっていて、「第1部：人材育成の取り組み、リソース、予算に関するグローバルな最新情報」は5月に、そして「第2部：脅威の状況、セキュリティオペレーション、サイバーセキュリティの成熟度」が7月に公表されていますね。。

 

 

● ISACA

Part1: Global Update on Workforce Efforts, Resources and Budgets

・2021.05.04 (press) New ISACA Study Finds Cybersecurity Workforce Minimally Impacted by Pandemic, but Still Grappling with Persistent Hiring Challenges

• 61%：自社のサイバーセキュリティチームの人員が不足していると回答している
• 55%：サイバーセキュリティ関連の職種に未充足のものがあると回答している
• 50%：サイバーセキュリティ分野の応募者が十分な資格を持っていないと回答している
• 31%：人事部がサイバーセキュリティの採用ニーズを定期的に把握していると回答している

・(resources) Infographic - STATE OF CYBERSECURITY 2021

 ・[PDF] infographic

・(booksotre) State of Cybersecurity 2021, Part 1: Global Update on Workforce Efforts, Resources and Budgets

 ・[PDF] white paper (Downloaded)

 

Part2: Threat Landscape, Security Operations and Cybersecurity Maturity

・2021.07.27 (press) More than One in Three Organizations Say That They Are Experiencing More Cyberattacks in New Research from ISACA

最も頻繁に発生する攻撃のタイプは、前年と同様。

• 14%：ソーシャルエンジニアリング
• 10%：APT（Advanced persistent threat）
• 09%：ランサムウェア 
• 09%：パッチが適用されていないシステム
  
  

・State of Cybersecurity 2021, Part 2: Threat Landscape, Security Operations and Cybersecurity Maturity

・(resources) Infographic STATE OF CYBERSECURITY 2021, PART 2

 ・[PDF] infografic

・(bookstore) State of Cybersecurity 2021 Part 2: Threat Landscape, Security Operations and Cybersecurity Maturity

 ・[PDF] white paper (Downloaded)

---

白書の目次

Part1: Global Update on Workforce Efforts, Resources and Budgets	Part1: 人材育成の取り組み、リソース、予算に関するグローバルな最新情報
Executive Summary	調査の概要
Survey Methodology	調査方法
Uncertainty Amid a Global Pandemic	世界的なパンデミックの中での不確実性
Vacancies	ポジションの空き率
Pipeline Challenges	パイプラインの課題
Employer Actions	企業の対応
Education vs. Training	教育 vs トレーニング
Retention Positivity	リテンションの積極性
Has Cybersecurity Funding Reached an Apex?	サイバーセキュリティのリソースは頂点に達したのか？
What Now?	これからどうする？
National Initiative for Cybersecurity Education	サイバーセキュリティ教育のための国家イニシアティブ
European Union Agency for Cybersecurity	欧州連合のサイバーセキュリティ担当機関
Workforce Development Perspective	人材開発の視点
Industry Perspective	産業界の視点
Conclusion—Business as Usual Is Not Working	結論-普通にやっていてもうまくいかない
Acknowledgments	謝辞
Part2: Threat Landscape, Security Operations and Cybersecurity Maturity	Part2: 脅威の状況、セキュリティオペレーション、サイバーセキュリティの成熟度
Executive Summary	エグゼクティブサマリー
Survey Methodology	調査方法
Rate of Increase in Cyberattacks Jumps After Slowing in Recent Years	サイバー攻撃の増加率はここ数年鈍化していたが急上昇
Confidence and Awareness Improve	自信と意識の向上
Perseverance Rises Amid Pandemic	パンデミックの中、忍耐力が向上
Threat Actors, Attacks Change Little	脅威の主体や攻撃方法はほとんど変化なし
A Snapshot of Security Operations 21 CISO or CIO—Does It Really Matter?	セキュリティオペレーションのスナップショット 21 CISOかCIOか、それは本当に重要なのか？
Cybersecurity Maturity Is a Business Imperative	サイバーセキュリティの成熟はビジネスの必須条件である
Conclusion—Business as Usual Is Not Working	結論-普通にやっていてもうまくいかない
Acknowledgments	謝辞

NISTのNCCoEがゼロトラスト・アーキテクチャ・プロジェクトの実装に参加する18社を指名していますね。。。

こんにちは、丸山満彦です。

NISTのNCCoEがゼロトラスト・アーキテクチャ・プロジェクトの実装に参加するベンダーを18社指名しています。。。このプロジェクトは、サイバーセキュリティの参照できる設計を実装するための実践的な手順を示した、一般に公開できるNISTのサイバーセキュリティ実践ガイドを作成することが目標ですね。。。

● NIST - NCCoE

・2021.07.23 NCCoE Names 18 Firms for Zero Trust Collaboration Project

 

18社は、

1. Amazon Web Services, Inc.
2. Appgate
3. Cisco Systems, Inc.
4. F5 Networks, Inc.
5. FireEye, Inc.
6. Forescout Technologies, Inc.
7. International Business Machines Corporation (IBM)
8. McAfee Corp.
9. Microsoft Corporation
10. MobileIron, Inc. an Ivanti Company
11. Okta, Inc.
12. Palo Alto Networks
13. PC Matic, Inc.
14. Radiant Logic, Inc.
15. SailPoint Technologies, Inc.
16. Symantec, a Division of Broadcom
17. Tenable, Inc.
18. Zscaler, Inc.

ですね。。。

 

Europol、オランダ警察、 Kaspersky、McAfee - NO MORE RANSOM (NMR) 復号ツール取り揃えています...

こんにちは、丸山満彦です。

EUでNO MORE RANSOMのウェブページがありますね。。。NO MORE RANSOMはオランダ警察ハイテク犯罪ユニット、Europolの欧州サイバー犯罪センター、Kaspersky、McAfeeによるイニシアチブですね。。。

取り組みとしては面白いですね。。。

 

● NO MORE RANSOM

・復号ツール

2021.07.26で、149種類ありますね。。。

 

EuropolがNO MORE RANSOM (NMR)のリーフレットを作っています。。。

● Europol

・2021.07.23 NO MORE RANSOM (NMR)

Need help unlocking your digital life?	デジタルライフを充実させるためのサポートが必要ですか？
No More Ransom (NMR) showcases the value of public-private cooperation in disrupting criminal businesses with ransomware connections. Victims should no longer be forced to either pay a ransom or lose their files. By restoring access to their infected systems free of charge, we provide users with a third choice they did not have before.	No More Ransom（NMR）は、ランサムウェアと関係のある犯罪者のビジネスを中断させるための官民協力の価値を紹介しています。被害者はもはや、身代金を支払うか、ファイルを失うかのどちらかを迫られるべきではありません。感染したシステムへのアクセスを無料で復元することで、ユーザーにこれまでなかった第3の選択肢を提供します。

 

・[PDF] No More Ransom leaflet

How can you avoid becoming infected with ransomware?	ランサムウェアに感染しないためには？
› Regularly back up data stored on your computer. Keep at least one copy offline.	・コンピュータに保存されているデータを定期的にバックアップする。少なくとも1つのコピーをオフラインにしておく。
› Do not click on links in unexpected or suspicious emails.	・知らないメールや不審なメールのリンクをクリックしない。
› Browse and download only official versions of software and always from trusted websites.	・ソフトウェアの閲覧やダウンロードは、常に信頼できるウェブサイトから、正式なバージョンのみを行う。
› Use robust security products to protect your system from all threats, including ransomware.	・堅牢なセキュリティ製品を使用して、ランサムウェアを含むあらゆる脅威からシステムを保護する。
› Ensure that your security software and operating system are up-todate.	・セキュリティソフトウェアとオペレーティングシステムを最新の状態にしておく。
› Be wary while browsing the internet and do not click on suspicious links, pop-ups or dialogue boxes.	・インターネットを閲覧する際には注意を払い、疑わしいリンク、ポップアップ、ダイアログボックスをクリックしないこと。
› Do not use high privilege accounts (accounts with administrator rights) for daily business.	・高い権限を持つアカウント（管理者権限を持つアカウント）を日常業務で使用しない。
Infected?	感染したら？
› Always visit www.nomoreransom.org to check whether you have been infected with one of the ransomware variants for which there are decryption tools available free of charge.	・必ずwww.nomoreransom.org にアクセスして、無料で利用できる復号化ツールがあるランサムウェアの亜種に感染していないかどうかを確認する。
› Don’t pay the ransom. You will be financing criminals and encouraging them to continue their illegal activities.	・身代金を払わない。犯罪者に資金を提供することになり、違法行為の継続を促すことになる。
› Report it to your national police. The more information you provide, the more effectively law enforcement can disrupt the criminal enterprise.	・あなたの国の警察に報告する。より多くの情報を提供することで、法執行機関はより効果的に犯罪行為を阻止することができる。
› Disconnect your device from the internet or other network connections (such as home WiFi) as soon as possible in order to prevent the infection from spreading.	・感染の拡大を防ぐために、できるだけ早くデバイスをインターネットやその他のネットワーク接続（自宅のWiFiなど）から切断する。
› Format the hard drive of the infected device, reinstall the operating system and apps, run any available updates and restore the locked files from your backup device (if you have one).	・感染したデバイスのハードドライブをフォーマットし、OSとアプリを再インストールし、利用可能なアップデートを実行し、ロックされたファイルをバックアップデバイス（あれば）から復元する。

 

中国 CNCERT / CCが2020年のインターネットセキュリティ報告書を公開

こんにちは、丸山満彦です。

中国のCNCERT / CCが2020年のインターネットセキュリティ報告書を公開していますね。。。

 

● 中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

・2021.07.21 国家互联网应急中心（CNCERT）发布《2020年中国互联网网络安全报告》

国家互联网应急中心（CNCERT）发布《2020年中国互联网网络安全报告》	中国インターネット緊急対応センター（CNCERT）が「中国インターネットセキュリティ報告書2020」を発表
2021年07月21日 18:16来源： “国家互联网应急中心CNCERT”微信公众号	2021年7月21日 18:16 出典：「CNCERT」WeChat公開番号
2021年7月20日，国家计算机网络应急技术处理协调中心（CNCERT/CC）编写的《2020年中国互联网网络安全报告》正式发布。自2008年起，CNCERT持续编写发布中国互联网网络安全年度报告，依托CNCERT多年来从事网络安全监测、预警和应急处置等工作的实际情况，对我国互联网网络安全状况进行总体判断和趋势分析，具有重要的参考价值。该系列报告为政府部门提供监管支撑，为互联网企业提供运行管理技术支持，向社会公众普及互联网网络安全知识，对提高全社会、全民的网络安全意识发挥积极作用。	2021年7月20日、国家コンピュータ緊急対応技術・調整センター（CNCERT/CC）が作成した「2020年中国インターネットセキュリティ報告書」が正式に発表されました。 2008 年以降、CNCERT は、中国のインターネットセキュリティに関する年次報告書の編集・発行を継続しており、ネットワークセキュリティの監視、早期警告及び緊急対応における CNCERT の長年の実務経験に依拠して、中国のインターネットセキュリティの状況に関する一般的な判断及び傾向分析を行っており、重要な 参考価値を有している。 一連の報告書は、政府部門に対する規制面でのサポート、インターネット企業の運用・管理面での技術サポート、インターネットセキュリティに関する知識の一般への普及、そして社会全体、国民全体のネットワークセキュリティに対する意識向上に積極的な役割を果たしています。
《2020年中国互联网网络安全报告》汇总分析了CNCERT自有网络安全监测数据和CNCERT网络安全应急服务支撑单位报送的数据，具有重要的参考价值，内容涵盖我国互联网网络安全态势分析、网络安全监测数据分析、网络安全事件案例详解、网络安全政策和技术动态等多个方面。其中，报告对计算机恶意程序传播和活动、移动互联网恶意程序传播和活动、网站安全监测、DDoS攻击监测、信息安全漏洞通报与处置、网络安全事件接收与处置等情况进行深入细致的分析，并对 2020年的典型网络安全事件进行了专题介绍。此外，本报告还对网络安全组织发展情况和CNCERT举办的重要网络安全会议和活动等情况进行了阶段性总结，并对2021年网络安全关注方向进行预测。	中国インターネットセキュリティ報告書2020」は、CNCERTが独自に収集したネットセキュリティ・モニタリング・データと、CNCERTのネットワークセキュリティ緊急サービス支援部隊から報告されたデータをまとめ、分析したもので、中国のセキュリティ状況の分析、ネットワークセキュリティ・モニタリング・データの分析、ネットワークセキュリティ・インシデント事例の詳細分析、ネットワークセキュリティ政策や技術開発など、様々な側面を網羅した、参考価値の高いものです。 中でも、コンピュータの悪意あるプログラムの拡散・活動、モバイルインターネットの悪意あるプログラムの拡散・活動、Webサイトのセキュリティ監視、DDoS攻撃の監視、情報セキュリティ脆弱性の通知・処理、ネットワークセキュリティインシデントの受付・処理について、詳細かつ詳細な分析を行い、2020年の代表的なネットワークセキュリティインシデントを特集しています。 さらに、本レポートでは、CNCERTが主催するネットワークセキュリティ組織や重要なネットワークセキュリティ会議・イベントの発展を段階ごとにまとめ、2021年のネットワークセキュリティに関する関心事の方向性を予測しています。

報告書は中国書です。。。

・[PDF] 中国互联网 网络安全报告 2020年

目次は

01 2020 年网络安全状况综述	01 2020年のネットワークセキュリティ事情の概要
1.1　2020 年我国互联网网络安全状况	1.1 2020年における中国のネットワークセキュリティの状況
1.2　2020 年我国互联网网络安全监测数据分析	1.2 2020年の中国におけるネットワークセキュリティ・モニタリング・データの分析
02 网络安全专题分析	02 サイバーセキュリティのテーマ別分析
2.1　2020 年我国境内云网络安全态势专题分析	2.1 2020年の中国におけるクラウドネットワークのセキュリティ態勢に関するテーマ別分析
2.2　2020 年我国境内联网智能设备安全态势专题分析	2.2 2020年の中国におけるコネクテッド・スマートデバイスのセキュリティ態勢に関するテーマ別分析
2.3　2020 年我国网络生物安全态势专题分析	2.3 2020年の中国のネットワークバイオセキュリティの態勢に関するテーマ別分析
2.4　SolarWinds 供应链攻击事件专题分析	2.4 SolarWindsのサプライチェーン攻撃のテーマ別分析
2.5　2020 年网络安全漏洞影响情况分析	2.5 2020年におけるネットワークセキュリティの脆弱性がもたらす影響の分析
2.6　2020 年勒索病毒专题分析	2.6 2020年におけるランサムウェアのテーマ別分析
2.7　新冠肺炎疫情相关网络攻击事件专题分析	2.7 新型冠動脈性肺炎の発生に関連するネットワーク攻撃のテーマ別分析
03 计算机恶意程序传播和活动情况	03 コンピュータ・マルウェアの配布と活動
3.1　木马或僵尸网络监测情况	3.1 トロイの木馬やボットネットの監視状況
3.2　恶意程序传播活动监测情况	3.2 悪意のあるプログラム配布活動の監視状況
3.3　支撑单位的监测情况	3.3 サポートユニットによる監視状況
04 移动互联网恶意程序传播和活动情况	04 モバイルインターネット上での悪意のあるプログラムの配布と活動
4.1　移动互联网恶意程序监测情况	4.1 モバイルインターネット上の悪意のあるプログラムの監視状況
4.2　支撑单位的监测情况	4.2 サポートユニットによる監視状況
05 网站安全监测情况	05 ウェブサイトのセキュリティ監視状況
5.1　网页篡改情况	5.1 ウェブページの改竄状況
5.2　网站后门情况	5.2 ウェブサイトのバックドアの状況
5.3　网页仿冒情况	5.3 偽サイトの状況
5.4　支撑单位的监测情况	5.4 サポートユニットによる監視の状況
06 DDoS 攻击监测情况	06 DDoS攻撃の監視状況
6.1　DDoS 攻击资源监测分析情况	6.1 DDoS攻撃リソース監視の分析状況
6.2　主流 DDoS 攻击平台和僵尸网络活动监测情况	6.2 主なDDoS攻撃プラットフォームとボットネット活動の監視状況
6.3　支撑单位的监测情况	6.3 サポートユニットによる監視状況
07 信息安全漏洞通报与处置情况	07 情報セキュリティの脆弱性の通知と対応状況
7.1　CNVD 漏洞收录情况	7.1 CNVD 脆弱性の収集状況
7.2　CNVD 行业漏洞库收录情况	7.2 CNVD業界の脆弱性データベースへの登録状況
7.3　漏洞报送和通报处置情况	7.3 脆弱性の報告と対応の通知状況
7.4　高危漏洞典型案例	7.4 リスクなの高い脆弱性の代表例
08 网络安全事件接收与处置情况	08 ネットワークセキュリティ・インシデント報告と対応
8.1　事件接收情况	8.1 インシデント報告状況
8.2　事件处置情况	8.2 インシデント対応状況
09 网络安全组织发展情况	09 ネットワークセキュリティ組織の開発状況
9.1　CNCERT/CC 应急服务支撑单位	9.1 CNCERT/CC 緊急サービス支援ユニット
9.2　CNVD 支撑单位发展情况	9.2 CNVDサポートユニットの開発状況
9.3　ANVA 成员发展情况	9.3 ANVAメンバーの開発状況
9.4　CCTGA 成员发展情况	9.4 CCTGAメンバーの育成状況
10 CNCERT/CC 举办的重要网络安全会议和活动	10 CNCERT/CCが主催する重要な　ネットワークセキュリティ・カンファレンスとイベント
11 2021 年网络安全关注方向预测	11 2021年のネットワークセキュリティに関する懸念の予測
附录：网络安全术语解释	附属書：ネットワークセキュリティ用語の解説

 

 

ロシア 通信・IT・マスメディア監督連邦サービス (Roskomnadzor) が個人データ保護委員会を設立する計画を発表していますね。。。

こんにちは、丸山満彦です。

ロシア 通信・IT・マスメディア監督連邦サービス (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) )  [wikipedia EN]が個人データを保護するための委員会と有害コンテンツから子供を保護するための委員会を設立する計画を発表していますね。。。

詳細はわかりませんが、これから発表されてくるんでしょうかね。。。

● Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 

・2021.07.23 Общественный совет при Роскомнадзоре провел очередное заседание

Общественный совет при Роскомнадзоре провел очередное заседание	Roskomnadzor傘下の公開評議会が定例会議を開催
22 июля состоялось второе заседание Общественного совета (ОС) при Роскомнадзоре. Его участники утвердили план работы, график заседаний на 2021 год и Кодекс этики члена ОС при Роскомнадзоре, обсудили публичную декларацию целей и задач РКН на 2021 год.	7月22日、Roskomnadzorの公開評議会の第2回セッションが行われました。会議の参加者は、2021年の作業計画、会議のスケジュール、ロスコムナゾル傘下の公開評議会のメンバーの倫理規定を承認し、2021年のRCNの目標と目的の公開宣言について議論しました。
В ходе заседания было принято решение о создании двух постоянных комиссий в составе совета: комиссии по защите детей от деструктивного и опасного контента и комиссии по защите персональных данных.	この会議では、破壊的で危険なコンテンツからの子どもの保護に関する委員会と、個人情報の保護に関する委員会の2つの常設委員会を評議会内に設置することが決定されました。

 

NISTIR 8319 Advanced Encryption Standardのレビュー

こんにちは、丸山満彦です。

NISTが、NNISTIR 8319 Advanced Encryption Standardのレビュー を公開していますね。。。

● NIST - ITL

・2021.07.23 NISTIR 8319 Review of the Advanced Encryption Standard 

・[PDF]  NISTIR 8319 (DOI)

 

Abstract

概要

The field of cryptography continues to advance at a very rapid pace, leading to new insights that may impact the security properties of cryptographic algorithms. The Crypto Publication Review Board ("the Board") has been established to identify publications to be reviewed. This report subjects the first standard to the review process: Federal Information Processing Standard (FIPS) 197, which defines the Advanced Encryption Standard (AES).

暗号の分野は、非常に速いペースで進歩を続けており、暗号アルゴリズムのセキュリティ特性に影響を与える可能性のある新しい洞察が得られています。審査対象となる出版物を特定するために、Crypto Publication Review Board（以下、「審査会」）が設立された。本報告書では、最初の規格をレビューの対象としています。本報告書では、最初の規格であるAdvanced Encryption Standard (AES)を定義したFederal Information Processing Standard (FIPS) 197を審査対象としています。

U.K. 国立監査院 (National Audit Office: NAO) が「デジタル変革を実施する上での課題」を公表していますね。。。

こんにちは、丸山満彦です。

英国の国立監査院 (National Audit Office: NAO) が「デジタル変革を実施する上での課題」という報告書を公表していますね。。。

● U.K. National Audit Office: NAO

・2021.07.21 (Press) The challenges in implementing digital change

 

・2021.07.21 The challenges in implementing digital change

 

The challenges in implementing digital change	デジタル変革を実施する上での課題
This report sets out the lessons for government and departments to learn from the experience of implementing digital change.	本報告書は、デジタル変革を実施した経験から、政府や各省庁が学ぶべきことをまとめたものです。
Background to the report	本報告書の背景
Our way of life is now increasingly digital, and technology is almost always a feature of large-scale government business change programmes. Current and future public services are dominated by digital change. This is clear in much of government’s thinking about how to build back public services following the COVID-19 pandemic, as well as in longer-term policies and strategies. In addition, the public increasingly expects the government to make effective use of technology, so public bodies have little choice but to deliver high-quality digital services.	現在、私たちの生活はますますデジタル化が進んでおり、政府の大規模な事業変革プログラムでは、ほとんどの場合、テクノロジーが特徴となっています。現在および将来の公共サービスは、デジタル変革に支配されています。このことは、COVID-19パンデミック後の公共サービスの再建方法に関する政府の考え方の多くや、より長期的な政策や戦略を見れば明らかです。さらに、国民は政府がテクノロジーを効果的に活用することをますます期待するようになっているため、公共機関は高品質のデジタルサービスを提供する以外に選択肢はありません。
When large digital business change programmes run into difficulty, the technology solution is often cast as the primary reason for failure. There is rarely a single, isolated reason which causes critical programmes to fail. Many of these programmes face intrinsic business challenges as well as technical challenges. Pressures on public finances mean there is an urgent imperative for those designing and delivering digital business change programmes to learn from the mistakes and experiences of their predecessors. If they do not do so, these programmes will continue to fail.	大規模なデジタルビジネス変革プログラムが困難に陥った場合、テクノロジーソリューションが失敗の主な理由として挙げられることがしばしばあります。しかし、重要なプログラムが失敗する原因が単一であることはほとんどありません。これらのプログラムの多くは、技術的な課題だけでなく、本質的なビジネス上の課題に直面しています。公的財政へのプレッシャーから、デジタルビジネス変革プログラムを設計・実施する者は、先人の失敗や経験から学ぶことが急務となっています。それができなければ、これらのプログラムは失敗し続けるでしょう。
Scope of the report	報告書の範囲
This report sets out the lessons for the centre of government and departments to learn from the experience of implementing digital change. It sets out these lessons in six categories, which are essential to get right at the outset:	本報告書は、政府の中枢や各省庁が、デジタル変革の実施経験から学ぶべき教訓をまとめたものです。これらの教訓は6つのカテゴリーに分類されており、最初から正しく理解することが重要です。
・understanding aims, ambition and risk;	・目的、狙い、リスクの理解
・engaging commercial partners;	・民間のパートナーとの連携
・legacy systems and data;	・レガシーのシステムとデータ
・capability;	・能力
・delivery methods; and	・提供方法、そして
・funding mechanisms.	・資金調達の仕組み
In pulling together these lessons, the NAO has reviewed previously published reports and interviewed senior digital leaders across government and the private sector. This report assesses good practice, following consultation with experts from industry, academia and think tanks to highlight the nature of the challenges and understand why government has found it hard to apply the lessons of experience.	NAOは、これらの教訓をまとめるにあたり、過去に発表されたレポートを検討し、政府や民間企業のデジタル分野のリーダーにインタビューを行いました。本レポートでは、産業界、学界、シンクタンクの専門家との協議を経て、課題の本質を明らかにし、なぜ政府が経験の教訓を適用することが難しいのかを理解するために、優れた実践を評価しています。
Report conclusions	報告書の結論
Initiating digital change involves taking a difficult set of decisions about risk and opportunity, but these decisions often do not reflect the reality of the legacy environment and do not fit comfortably into government’s standard mechanisms for approval, procurement, funding and assurance. This report found that digital leaders understand these issues well and bring much needed expertise to the public sector, but they often struggle to get the attention, understanding and support they need from senior decision-makers who lack sufficient digital expertise.	デジタル変革に着手するには、リスクと機会に関する難しい決断が必要となりますが、これらの決断は、レガシー環境の現実を反映していないことが多く、承認、調達、資金調達、保証に関する政府の標準的なメカニズムにはうまく適合しません。本報告書によると、デジタルリーダーはこれらの問題をよく理解しており、公共部門に必要な専門知識をもたらしているが、デジタルに関する十分な専門知識を持たない上級意思決定者から、必要な注目、理解、支援を得るのに苦労していることが多い。
Despite 25 years of government strategies and countless attempts to deliver digital business change successfully, the findings of this report show a consistent pattern of underperformance. This underperformance can often be the result of programmes not being sufficiently thought through before key decisions on technology solutions are made. This means that there is a gap between what government intends to achieve and what it delivers to citizens and service users, which wastes taxpayers’ money and delays improvements in public services. If government is to improve its track record in delivering digital business change, it must learn the hard-won lessons of experience and equip its leaders to act effectively.	25年間にわたって政府の戦略が策定され、デジタルビジネスの変革を成功させるために数多くのことが試みられてきたにもかかわらず、本報告書の調査結果は、一貫してパフォーマンスの低下というパターンを示しています。このようなパフォーマンスの低下は、テクノロジーソリューションに関する重要な決定がなされる前に、プログラムが十分に検討されていないことが原因であることがしばしばです。つまり、政府が達成しようとしていることと、市民やサービス利用者に提供していることとの間にギャップがあり、納税者の資金を無駄にし、公共サービスの改善を遅らせることになるのです。政府がデジタルビジネスの変革における実績を向上させるためには、これまでの経験から得られた教訓を学び、リーダーが効果的に行動できるようにしなければなりません。

 

・[PDF] Report - The challenges in implementing digital change

 目次です。。。

• Summary
• Part One Introduction
• Part Two Initiating for success
• Part Three Setting up for effective delivery
• Appendix One Our scope and evidence base

 

・[PDF] Summary - The challenges in implementing digital change

Recommendations: Actions for government	提言：政府の行動
We do not underestimate the challenge involved in digital change, particularly given government’s vast legacy IT estate and the need for government to deliver services where there is no counterpart model in the private sector from which government can draw. But there is widespread support from stakeholders for the centre of government to learn from the lessons we have identified in this report and make the required changes. The new Central Digital and Data Office, along with the Government Digital Service and the Cabinet Office, should work to provide clear leadership for this agenda, in particular:	特に、政府が膨大なレガシーIT資産を抱えていることや、政府が参考にできる民間企業のモデルがない場合に政府がサービスを提供する必要があることを考えると、デジタル変革に伴う課題を過小評価することはできません。しかし、本報告書で明らかにした教訓から学び、必要な変革を行うために、政府の中枢部を担うべきだという関係者の支持は広く浸透しています。新設された「中央デジタル・データ室 (Central Digital and Data Office) 」は、「政府デジタルサービス」や「内閣事務局」とともに、このアジェンダに対して明確なリーダーシップを発揮するために、特に以下のような取り組みを行うべきです。
a. revise existing training programmes to better equip and train all decision‑makers with responsibility for digital transformation programmes. This should include education on legacy systems, the importance of data and the risks of ‘build before buy’ and of opting for unproven technology;	a. 既存のトレーニングプログラムを改訂し、デジタル変革プログラムに責任を持つすべての意思決定者に、より良い装備とトレーニングを提供する。これには、レガシーシステム、データの重要性、「買う前に作る」ことや実績のない技術を選択することのリスクについての教育が含まれます。
b. work with HM Treasury to review existing business case funding and approval processes for digital programmes to: remove the incentives to state with full confidence those things which are still unknown; ensure that uncertainties associated with assumptions are made clear, together with when these uncertainties will be better understood; understand what the final product should look like, and the path to get there; be clear on what risks represent ‘unknown unknowns’; and ensure professional independent technical assurance mechanisms are in place, to support those responsible for approving programmes; and	b. 財務省と協力して、デジタルプログラムの既存のビジネスケースの資金調達と承認プロセスを見直し、次のような対策を講じる：まだ不明な点を自信を持って表明する動機を取り除く、仮定に関連する不確実性を明確にし、その不確実性がいつ理解されるかを明確にする、最終製品がどのようなものであるべきか、そこに到達するための道筋を理解する、「未知の未知」を表すリスクを明確にする、プログラムの承認責任者をサポートするために、専門的な独立した技術保証メカニズムを確保する。
c. disseminate and apply lessons learned from the successes and failures of the past and seek to understand why digital strategies have made poor progress.	c. 過去の成功と失敗から学んだ教訓を広め、適用し、デジタル戦略がうまく進まなかった理由を理解するよう努める。
Individual departments and public bodies should:	個々の省庁や公共団体は
d. carry out proper evaluation and assurance in the early stages of a digital programme to understand its complexity and scope, assess how realistic the chance of success is and reflect this in the programme approach;	d. デジタルプログラムの初期段階で適切な評価と保証を行い、その複雑さと範囲を理解し、成功の可能性がどれだけ現実的かを評価し、プログラムのアプローチに反映させる。
e. ensure senior digital, data and technology colleagues have wider influence on all change programmes with digital components, by providing strategic direction and oversight at key decision points in the process;	e. 上級のデジタル、データ、技術担当者が、プロセスの重要な意思決定ポイントで戦略的な方向性と監督を提供することにより、デジタル要素を含むすべての変革プログラムに幅広い影響力を持つようにする。
f. strengthen their intelligent client function for digital change including identifying and developing key requirements before tenders and bid processes commence and taking the lead on supplier engagement;	f. 入札プロセスが始まる前に主要な要件を特定・開発し、サプライヤーとのエンゲージメントを主導するなど、デジタル変革のためのインテリジェントクライアント機能を強化する。
g. maximise the chances of effective digital delivery by ensuring that business leaders have sufficient skills, commitment and time to engage in all aspects of governance and decision-making;	g. ビジネスリーダーが、ガバナンスと意思決定のあらゆる側面に関与するための十分なスキル、コミットメント、時間を確保することで、効果的なデジタル配信の可能性を最大化する。
h. produce departmental strategies and plans for how to manage the legacy IT estate so that maintenance, support and decommissioning are systematically addressed and required funding is ringfenced; and	h. レガシーITエステートの管理方法に関する部門戦略と計画を作成し、メンテナンス、サポート、廃炉に体系的に取り組み、必要な資金を確保する。
i. ensure that agile principles and approaches are appropriately applied within the context of significant business programme change, for example by developing interim and target operating models, and having appropriate business and technical architecture in place.	i. 大幅なビジネスプログラムの変更の際には、暫定的および目標とするオペレーションモデルを策定し、適切なビジネスおよび技術アーキテクチャを導入するなどして、アジャイルの原則およびアプローチを適切に適用するようにする。

 

U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

こんにちは、丸山満彦です。

U.S. GAOが「人工知能のための新しい枠組み」を2021.06.30に発表していましたね。。。

これなかなか興味深く、日本の会計検査院もこれをベースに作ったら良いようにも思えます。。。。

監査人や第三者評価者が聞くべきポイントと、それを確認するための監査手続きまで記載がありますね。。。

● U.S. GAO

・2021.06.30 Artificial Intelligence:An Accountability Framework for Federal Agencies and Other Entities

ハイライト

What GAO Found	GAOの見解
To help managers ensure accountability and responsible use of artificial intelligence (AI) in government programs and processes, GAO developed an AI accountability framework. This framework is organized around four complementary principles, which address governance, data, performance, and monitoring. For each principle, the framework describes key practices for federal agencies and other entities that are considering, selecting, and implementing AI systems. Each practice includes a set of questions for entities, auditors, and third-party assessors to consider, as well as procedures for auditors and third- party assessors.	政府のプログラムやプロセスにおける人工知能（AI）の説明責任と責任ある利用を管理者が確保できるように、GAOはAI説明責任枠組みを開発しました。この枠組みは、ガバナンス、データ、パフォーマンス、モニタリングの4つの補完的な原則を中心に構成されています。 この枠組みでは、各原則について、AIシステムを検討・選定・導入している連邦政府機関やその他の団体のための重要なプラクティスが記載されています。各プラクティスには、企業、監査人、第三者評価者が検討すべき質問事項と、監査人や第三者評価者のための手順が含まれています。
Why GAO Developed This Framework	GAOがこの枠組みを開発した理由
AI is a transformative technology with applications in medicine, agriculture, manufacturing, transportation, defense, and many other areas. It also holds substantial promise for improving government operations. Federal guidance has focused on ensuring AI is responsible, equitable, traceable, reliable, and governable. Third-party assessments and audits are important to achieving these goals. However, AI systems pose unique challenges to such oversight because their inputs and operations are not always visible.	AIは、医療、農業、製造、輸送、防衛、その他多くの分野で応用されている、変革をもたらす技術です。また、政府業務の改善にも大きな期待が寄せられています。連邦政府のガイダンスは、AIが責任を持って、公平に、追跡可能に、信頼性を持って、統治可能であることを保証することに重点を置いています。これらの目標を達成するためには、第三者による評価や監査が重要です。しかし、AIシステムは、その入力や操作が常に可視化されているわけではないため、このような監視には特有の課題があります。
GAO's objective was to identify key practices to help ensure accountability and responsible AI use by federal agencies and other entities involved in the design, development, deployment, and continuous monitoring of AI systems. To develop this framework, GAO convened a Comptroller General Forum with AI experts from across the federal government, industry, and nonprofit sectors. It also conducted an extensive literature review and obtained independent validation of key practices from program officials and subject matter experts. In addition, GAO interviewed AI subject matter experts representing industry, state audit associations, nonprofit entities, and other organizations, as well as officials from federal agencies and Offices of Inspector General.	GAOの目的は、AIシステムの設計、開発、展開、継続的なモニタリングに携わる連邦政府機関やその他の団体が、説明責任を果たし、責任を持ってAIを使用できるようにするための重要なプラクティスを特定することです。この枠組みを開発するために、GAOは連邦政府、産業界、非営利団体のAI専門家を集めた会計検査院フォーラムを開催しました。また、広範な文献調査を行い、プログラム関係者や対象分野の専門家から主要な実践方法について独立した検証を得ました。さらにGAOは、産業界、州の監査協会、非営利団体、その他の組織を代表するAIの専門家や、連邦政府機関や監察総監室の職員にインタビューを行いました。

・[PDF] Full Report

 

・[PDF] Highlights Page

 

そのフレームワークに関する開発者の簡単なビデオメッセージがブログで2021.07.21に公開されていました。。。

● U.S. GAO - blog

・2021.07.21 Our New Framework for Artificial Intelligence (video)

 

 

1. Governance	1. ガバナンス
Promote accountability by establishing processes to manage, operate, and oversee implementation.	管理・運営・監督するプロセスを確立することで、説明責任を果たす。
To help entities promote accountability and responsible use of AI systems, GAO identified key practices for establishing governance structures and processes to manage, operate, and oversee the implementation of these systems.	AIシステムの説明責任と責任ある利用を促進するために、GAOは、AIシステムの導入を管理・運営・監督するためのガバナンス構造とプロセスを確立するための主要なプラクティスを特定する。
Governance at the Organizational Level	組織レベルのガバナンス
Entities should define clear goals, roles, and responsibilities, demonstrate values and principles to foster trust, develop a competent workforce, engage stakeholders with diverse perspectives to mitigate risks, and implement an Al-specific risk management plan.	事業体は、明確な目標、役割、責任を定め、信頼を醸成するための価値観や原則を示し、有能な人材を育成し、リスクを軽減するために多様な視点を持つステークホルダーを関与させ、AI固有のリスク管理計画を実施しなければならない。
1.1 Clear goals: Define clear goals and objectives for the AI system to ensure intended outcomes are achieved.	1.1 明確な目標：意図した結果を確実に達成するために、AIシステムの明確な目標と目的を定義する。
1.2 Roles and responsibilities: Define clear roles, responsibilities, and delegation of authority for the AI system to ensure effective operations, timely corrections, and sustained oversight.	1.2 役割と責任：効果的な運用、タイムリーな修正、継続的な監視を確実にするために、AIシステムの明確な役割、責任、権限の委譲を定義する。
1.3 Values: Demonstrate a commitment to values and principles established by the entity to foster public trust in responsible use of the AI system.	1.3 価値観：AIシステムの責任ある使用に対する国民の信頼を醸成するために、事業者が確立した価値と原則へのコミットメントを示す。
1.4 Workforce: Recruit, develop, and retain personnel with multidisciplinary skills and experiences in design, development, deployment, assessment, and monitoring of AI systems.	1.4 労働力：AIシステムの設計、開発、展開、評価、および監視において、学際的なスキルと経験を有する人材を採用、開発、および保持する。
1.5 Stakeholder involvement: Include diverse perspectives from a community of stakeholders throughout the AI life cycle to mitigate risks.	1.5 利害関係者の関与：リスクを軽減するために、AIのライフサイクルを通じて、利害関係者のコミュニティから多様な視点を取り入れる。
1.6 Risk management: Implement an AI-specific risk management plan to systematically identify, analyze, and mitigate risks.	1.6 リスク管理：AIに特化したリスク管理計画を実施し、リスクを体系的に特定、分析、軽減する。
Governance at the Systems Level	システムレベルのガバナンス
Entities should establish technical specifications to ensure the Al system meets its intended purpose and complies with relevant laws, regulations, standards, and guidance. Entities should promote transparency by enabling external stakeholders to access information on the Al system.1.7 Specifications: Establish and document technical specifications to ensure the AI system meets its intended purpose.	企業は、Alシステムが意図された目的を満たし、関連する法律、規制、基準、ガイダンスに準拠することを保証するための技術仕様を確立すべきである。事業者は、外部の利害関係者が Al システムに関する情報にアクセスできるようにすることで、透明性を促進すべきである。AIシステムが意図された目的を満たすことを確実にするために、技術仕様を確立し、文書化する。
1.8 Compliance: Ensure the AI system complies with relevant laws, regulations, standards, and guidance.	1.8 コンプライアンス：AIシステムが、関連する法律、規制、基準、及びガイダンスに確実に準拠する。
1.9 Transparency: Promote transparency by enabling external stakeholders to access information on the design, operation, and limitations of the AI system.	1.9 透明性：外部のステークホルダーがAIシステムの設計、運用、および制限に関する情報にアクセスできるようにすることで、透明性を促進する。
2. Data	2. データ
Ensure quality, reliability, and representativeness of data sources and processing.	データソースおよび処理の品質、信頼性、および代表性を確保する。
To help entities use data that are appropriate for the intended use of each AI system, GAO identified key practices to ensure data are of high quality, reliable, and representative.	各AIシステムの使用目的に適したデータをエンティティが使用するために、GAOはデータが高品質で、信頼性があり、代表性があることを保証するための重要なプラクティスを特定する。
Data used for Model Development (Data Used to Develop an AI Model)	モデル開発に使用されるデータ（AIモデルの構築に使用するデータ）
Entities should document sources and origins of data, ensure the reliability of data, and assess data attributes, variables, and augmentation/enhancement for appropriateness.	事業者は、データのソースと起源を文書化し、データの信頼性を確保し、データの属性、変数、増強・強化が適切であるかどうかを評価しなければならない。
2.1 Sources: Document sources and origins of data used to develop the models underpinning the AI system.	2.1 ソース：AIシステムの基礎となるモデルを開発するために使用されるデータの出所および起源を文書化する。
2.2 Reliability: Assess reliability of data used to develop the models.	2.2 信頼性：モデルの開発に使用したデータの信頼性を評価する。
2.3 Categorization: Assess attributes used to categorize data.	2.3 カテゴリー化：データを分類するための属性を評価する。
2.4 Variable selection: Assess data variables used in the AI component models.	2.4 変数の選択：AIコンポーネントモデルに使用されるデータの変数を評価する。
2.5 Enhancement: Assess the use of synthetic, imputed, and/or augmented data.	2.5 エンハンスメント：合成データ、入力データ、および／または拡張データの使用を評価する。
Data Used for System Operation (Data Used to Operate an AI System)	システム運用に使用されるデータ（AIシステムの運用に使用されるデータ）
Entities should assess the interconnectivities and dependencies of data streams that operationalize an Al system, identify potential biases, and assess data security and privacy.	事業者は、AIシステムを運用するデータストリームの相互関連性と依存性を評価し、潜在的なバイアスを特定し、データセキュリティとプライバシーを評価しなければならない。
2.6 Dependency: Assess interconnectivities and dependencies of data streams that operationalize the AI system.	2.6 依存性：AI システムを運用するデータストリームの相互接続性および依存性を評価する。
2.7 Bias: Assess reliability, quality, and representativeness of all the data used in the system’s operation, including any potential biases, inequities, and other societal concerns associated with the AI system’s data.	2.7 偏り：AIシステムのデータに関連する潜在的な偏り、不公平、およびその他の社会的関心事を含め、システムの運用に使用されるすべてのデータの信頼性、品質、および代表性を評価する。
2.8 Security and privacy: Assess data security and privacy for the AI system.	2.8 セキュリティとプライバシー：AIシステムのデータセキュリティとプライバシーを評価する。
3. Performance	3. パフォーマンス
Produce results that are consistent with program objectives.	プログラムの目的に合致した結果を出すこと。
To help entities ensure AI systems produce results that are consistent with program objectives, GAO identified key practices for ensuring that systems meets their intended purposes.	AIシステムがプログラムの目的に合致した結果を生み出すことを確実にするために、GAOはシステムが意図された目的を満たすことを確実にするための主要なプラクティスを特定した。
Performance at the Component Level	コンポーネントレベルでのパフォーマンス
Entities should catalog model and non-model components that make up the Al system, define metrics, and assess performance and outputs of each component.	事業体は、AIシステムを構成するモデルおよび非モデルのコンポーネントを分類し、評価基準を定め、各コンポーネントのパフォーマンスとアウトプットを評価しなければならない。
3.1 Documentation: Catalog model and non-model components, along with operating specifications and parameters.	3.1 文書化：モデルおよび非モデルのコンポーネントを、動作仕様およびパラメータとともにカタログ化する。
3.2 Metrics: Define performance metrics that are precise, consistent, and reproducible.	3.2 メトリクス：正確で、一貫性があり、再現性のある性能評価指標を定義する。
3.3 Assessment: Assess the performance of each component against defined metrics to ensure it functions as intended and is consistent with program goals and objectives.	3.3 評価：意図したとおりに機能し、プログラムの目標と目的に合致していることを確認するため、定義された測定基準に照らして各コンポーネントの性能を評価する。
3.4 Outputs: Assess whether outputs of each component are appropriate for the operational context of the AI system.	3.4 出力：各コンポーネントの出力が、AIシステムの運用状況に適しているかどうかを評価する。
Performance at the System-Level	システムレベルでの性能
Entities should define metrics and assess performance of the AI system. In addition, entities should document methods for assessment, performance metrics, and outcomes; identify potential biases; and define and develop procedures for human supervision of the Al system.	事業体は、AIシステムのパフォーマンスを評価するための指標を定義しなければならない。加えて、評価方法、性能指標、結果を文書化し、潜在的なバイアスを特定し、AIシステムを人間が監督するための手順を定義・策定する。
3.5 Documentation: Document the methods for assessment, performance metrics, and outcomes of the AI system to provide transparency over its performance.	3.5 文書化：AIシステムの性能に関する透明性を確保するために、AIシステムの評価方法、性能指標、および結果を文書化する。
3.6 Metrics: Define performance metrics that are precise, consistent, and reproducible.	3.6 メトリクス：正確で、一貫性があり、再現性のある性能評価指標を定義する。
3.7 Assessment: Assess performance against defined metrics to ensure the AI system functions as intended and is sufficiently robust.	3.7 評価：AIシステムが意図された通りに機能し、十分に堅牢であることを確認するために、定義されたメトリクスに対するパフォーマンスを評価する。
3.8 Bias: Identify potential biases, inequities, and other societal concerns resulting from the AI system.	3.8 バイアス：AIシステムに起因する潜在的なバイアス、不公平、およびその他の社会的懸念を特定する。
3.9 Human supervision: Define and develop procedures for human supervision of the AI system to ensure accountability.	3.9 人間による監督：説明責任を果たすために、AIシステムを人間が監督するための手順を定義し、開発する。
4. Monitoring	4. モニタリング
Ensure reliability and relevance over time.	時間をかけて信頼性と関連性を確保する。
To help entities ensure reliability and relevance of AI systems over time, GAO identified key practices for monitoring performance and assessing sustainment and expanded use.	長期的にAIシステムの信頼性と妥当性を確保するために、GAOは、パフォーマンスのモニタリング、持続性と使用拡大の評価に関する重要なプラクティスを特定する。
Continuous Monitoring of Performance	パフォーマンスの継続的なモニタリング
Entities should develop plans for continuous or routine monitoring of the Al system and document results and corrective actions taken to ensure the system produces desired results.	事業体は、AIシステムの継続的または定期的なモニタリングのための計画を策定し、システムが望ましい結果を生み出すことを保証するために実施された結果と是正措置を文書化しなければならない。
4.1 Planning: Develop plans for continuous or routine monitoring of the AI system to ensure it performs as intended.	4.1 計画：AI システムが意図したとおりに動作することを確実にするために、AI システムの継続的 または定期的なモニタリングのための計画を策定する。
4.2 Drift: Establish the range of data and model drift that is acceptable to ensure the AI system produces desired results.	4.2 ドリフト：AIシステムが望ましい結果を得るために許容可能なデータおよびモデルのドリフトの範囲を設定する。
4.3 Traceability: Document results of monitoring activities and any corrective actions taken to promote traceability and transparency.	4.3 トレーサビリティー：モニタリング活動の結果および是正措置を文書化し、トレーサビリティーと透明性を確保する。
Assessing Sustainment and Expanded Use	持続可能性及び使用拡大の評価
Entities should assess the utility of the Al system to ensure its relevance and identify conditions under which the Al system may or may not be scaled or expanded beyond its current use.	企業は、AI システムの有用性を評価して、その妥当性を確認し、AI システムを現在の使用を超えて拡張または拡大してもよい、またはしなくてもよい条件を特定しなければならない。
4.4 Ongoing assessment: Assess the utility of the AI system to ensure its relevance to the current context.	4.4 継続的な評価：現在の状況との関連性を確保するために、AI システムの有用性を評価する。
4.5 Scaling: Identify conditions, if any, under which the AI system may be scaled or expanded beyond its current use.	4.5 スケーリング：AIシステムが現在の使用を超えて拡大または拡張される可能性がある条件があれば、それを特定する。

日本銀行金融研究所 金融研究 スマートフォン等のスマート・デバイスにおけるセキュリティ：プラットフォーム化によるリスクの現状と展望

こんにちは、丸山満彦です。

日本銀行金融研究所 金融研究第40巻第3号に「スマートフォン等のスマート・デバイスにおけるセキュリティ：プラットフォーム化によるリスクの現状と展望」という論文が掲載されていますね。。。

宇根さんですね。。。

---

近年、プラットフォームのセキュリティに関する問題を示唆する研究成果が報告されている。アプリケーション・ソフトウェアのセキュリティを確保して安全なサービスを提供しつづけるためには、こうした研究動向をフォローしつつ、リスクの所在や影響について検討することが重要である。本稿では、スマート・デバイスのプラットフォームのセキュリティに関する最近の主な研究成果を紹介するとともに、アプリケーション・ソフトウェアの提供者の立場から、問題への対応のあり方について考察する。

---

頭の整理によいですね。。。

● 日本銀行金融研究所

・2021.07.20 金融研究第40巻第3号 スマートフォン等のスマート・デバイスにおけるセキュリティ：プラットフォーム化によるリスクの現状と展望

・[PDF] 

日本銀行金融研究所 金融研究 機械学習システムの脆弱性とセキュリティ・リスク：「障害モード」による分類と今後へのインプリケーション

こんにちは、丸山満彦です。

日本銀行金融研究所 金融研究第40巻第3号に「機械学習システムの脆弱性とセキュリティ・リスク：「障害モード」による分類と今後へのインプリケーション」という論文が掲載されていますね。。。

---

まず、機械学習システムとそのセキュリティ・リスクの特徴について考察する。次に、最近のサーベイ論文を参照しつつ、同システムの主な脆弱性やそれへの攻撃手法を「障害モード（failure mode）」の観点から、（1）外部からの攻撃の有無、（2）脆弱性の所在領域、（3）喪失する機能特性の3つの軸をもとに分類・整理する。最後に、今後の機械学習システムの活用に向けた留意点を述べる。

---

頭の整理にはよいですね。。。

● 日本銀行金融研究所

・2021.07.20 金融研究第40巻第3号 機械学習システムの脆弱性とセキュリティ・リスク：「障害モード」による分類と今後へのインプリケーション

・[PDF] 

NISTIR 8369 NIST軽量暗号化標準化プロセスの第2ラウンドに関するステータスレポート

こんにちは、丸山満彦です。

NISTが、NISTIR 8369 NIST軽量暗号化標準化プロセスの第2ラウンドに関するステータスレポートを公開していますね。。。

● NIST - ITL

・2021.07.21 NISTIR 8369 Status Report on the Second Round of the NIST Lightweight Cryptography Standardization Process

・[PDF] NISTIR 8369

Supplemental Material:

・ Lightweight Cryptography Project

Related NIST Publications:

・NISTIR 8268 Status Report on the First Round of the NIST Lightweight Cryptography Standardization Process

 

 

 

NIST SP 800-47 Rev.1 情報交換におけるセキュリティ管理 Managing the Security of Information Exchanges

こんにちは、丸山満彦です。

今年の1月にドラフトが発表され、意見募集がされていたNIST SP 800-47 Managing the Security of Information Exchangesが確定していますね。。。18年ぶりの改訂で、名称が「ITシステム相互接続セキュリティガイド」から「情報交換におけるセキュリティ管理」に変わっていますね。。。

日本もこういうガイドをつくればよいのにね。。。とか。。。

● NIST - ITL

・2021.07.20 SP 800-47 Rev. 1 Managing the Security of Information Exchanges

・[PDF] SP 800-47 Rev. 1

Abstract	概要
An organization often has mission and business-based needs to exchange (share) information with one or more other internal or external organizations via various information exchange channels; however, it is recognized that the information being exchanged also requires the same or similar level of protection as it moves from one organization to another (protection commensurate with risk).	組織は、さまざまな情報交換チャネルを介して、社内外の複数の組織と情報交換（共有）したいと いうミッションや事業上の必要性がしばしばあり、その場合、交換される情報は、ある組織から別の組織に移る際には、同程度の保護 （リスクに見合った保護）が必要であると理解されている。
This publication focuses managing the protection of the information being exchanged or accessed before, during, and after the exchange rather than on any particular type of technology-based connection or information access or exchange method and thus provides guidance on identifying information exchanges, considerations for protecting exchanged information, and the agreement(s) needed to help manage protection of the exchanged information. Organizations are expected to tailor the guidance to meet specific organizational needs and requirements regarding the information exchange.	本書では、技術ベースの特定の接続や情報アクセス、交換方法ではなく、交換前、交換中、交換後の情報の保護管理に焦点を当て、情報交換の特定、交換された情報を保護するための考慮事項、および交換された情報の保護管理を支援するために必要な契約についてのガイダンスを提供する。組織は、情報交換に関する特定の組織の必要性や要求事項を満たすために、ガイダンスを適宜修正して利用するべきと考えている。

 

概要は、

Executive Summary	エグゼクティブサマリー
Managing the Security of Information Exchanges provides guidance for planning, establishing, maintaining, and discontinuing information exchange and access between systems that are owned and operated by different organizations (internal or external) or that cross authorization boundaries. The guidance is consistent with the requirements specified in the Office of Management and Budget (OMB) Circular A-130 for the secure management of information exchanges.	「情報交換のセキュリティ管理」は、異なる組織（内部または外部）が所有・運営するシステム間の情報交換やアクセスを計画、確立、維持、中止するためのガイダンスです。このガイダンスは、情報交換を安全に管理するために、行政管理予算局（OMB）のCircular A-130に規定されている要件と一致しています。
This guidance defines the scope of information exchange, describes the benefits of the secure management of information exchange, identifies types of information exchanges, discusses potential security risks associated with information exchange, and discusses several types of agreements that may be applied by organizations with a mission or business need to exchange information.	このガイダンスでは、情報交換の範囲を定義し、情報交換を安全に管理することの利点を説明し、情報交換の種類を特定し、情報交換に関連する潜在的なセキュリティリスクを議論し、情報交換のミッションやビジネスニーズを持つ組織が適用できるいくつかのタイプの契約について説明しています。
An approach for securely managing information exchange between systems and organizations is presented. The following four phases of information exchange management are addressed:	システムや組織間の情報交換を安全に管理するためのアプローチが示されています。情報交換管理の以下の4つのフェーズを取り上げています。
1. Planning the information exchange: The participating organizations perform preliminary activities; examine all relevant technical, security, and administrative issues; and develop an appropriate agreement to govern the management and use of the information and how it is to be exchanged (e.g., via a dedicated circuit or virtual private network, database sharing, cloud- or web-based services, or simple file exchange).	1. 情報交換の計画：参加組織は、予備活動を行い、関連するすべての技術、セキュリティ、および管理上の問題を検討し、情報の管理と使用、および情報交換の方法（専用回線や仮想プライベートネットワーク、データベースの共有、クラウドやウェブベースのサービス、または単純なファイル交換など）を管理するための適切な契約を締結する。
2. Establishing the information exchange: The organizations develop and execute a plan for establishing the information exchange, including implementing or configuring appropriate security controls and developing and signing appropriate agreements.	2. 情報交換の確立：組織は、情報交換を確立するための計画を策定し、実行する。この計画には、適切なセキュリティ管理の実施または設定、および適切な契約の作成と締結が含まれる。
3. Maintaining the exchange and associated agreements: The organizations actively maintain the security of the information exchange after it is established and ensure that the terms of the associated agreements are met and remain relevant, including reviewing and renewing the agreements at an agreed-upon frequency.	3. 情報交換および関連契約の維持：情報交換が確立された後、組織は積極的にそのセキュリティを維持し、合意された頻度で契約を見直し、更新することを含め、関連する契約の条件が満たされ、適切であり続けることを保証する。
4. Discontinuing the information exchange: Information exchange may be temporary, or at some point, the organizations may need to discontinue the information exchange. Whether the exchange was temporary or long-term, the conclusion of an information exchange is conducted in a manner that avoids disrupting any other party’s system. In response to an incident or other emergency, however, the organizations may decide to discontinue the information exchange immediately.	4. 情報交換の中止：情報交換は一時的な場合もあれば、ある時点で組織が情報交換を中止しなければならない場合もあります。情報交換が一時的なものであっても長期的なものであっても、情報交換の終了は、他の当事者のシステムを混乱させない方法で行われる。しかし、事件やその他の緊急事態に対応するために、組織は情報交換を直ちに中止することを決定する場合がある。
This publication provides recommended steps for completing each phase with an emphasis on the security measures necessary to protect the shared data.	本書では、共有データを保護するために必要なセキュリティ対策に重点を置いて、各フェーズを完了するための推奨手順を説明しています。
Also included is information for selecting and developing appropriate information exchange agreements and agreement templates. Agreements specify the responsibilities of participating organizations and the technical and security requirements for the information exchange.	また、適切な情報交換契約書および契約書テンプレートの選択と作成に関する情報も含まれています。契約書には、参加組織の責任、情報交換のための技術的およびセキュリティ上の要件が明記されています。

 

目次は、、、

Executive Summary	エグゼクティブ・サマリー
1  Introduction	1 はじめに
1.1  Purpose and Applicability	1.1 目的と適用性
1.2 Target Audience	1.2 想定読者
1.3 Organization of this Publication	1.3 本書の構成
2  The Fundamentals	2 基本的事項
2.1 Information Exchange	2.1 情報交換
2.1.1 System Interconnections	2.1.1 システムの相互接続
2.1.2 Methods of Information Exchange	2.1.2 情報交換の方法
2.2 Information Exchange: Accessing or Transferring the Information	2.2 情報交換：情報へのアクセスまたは情報の転送
3  Information Exchange Security Management	3 情報交換のセキュリティ管理
3.1. Planning an Information Exchange	3.1. 情報交換の計画
3.1.1 Step 1: Establish a Joint Planning Team	3.1.1 ステップ1：共同企画チームの設立
3.1.2  Step 2: Define the Business Case	3.1.2 ステップ2: ビジネスケースの定義
3.1.3  Step 3: Apply the NIST Risk Management Framework	3.1.3 ステップ3: NISTリスクマネジメントフレームワークの適用
3.1.4  Step 4: Identify Specific Protection Requirements	3.1.4 ステップ4：特定保護要件の特定
3.1.5  Step 5: Document Appropriate Agreements	3.1.5 ステップ5: 適切な合意の文書化
3.1.6 Step 6: Approve or Reject the Information Exchange	3.1.6 ステップ6：情報交換の承認または否認
3.1.7 Emergency Information Exchange	3.1.7 緊急時の情報交換
3.2 Establishing the Information Exchange	3.2 情報交換の確立
3.2.1 Step 1: Develop an Implementation Plan	3.2.1 ステップ1：実施計画の策定
3.2.2 Step 2: Execute the Implementation Plan	3.2.2 ステップ2：実施計画の実行
3.2.3 Step 3: Activate the Information Exchange	3.2.3 ステップ3：情報交換の有効化
3.3 Maintaining the Information Exchange	3.3 情報交換の維持
3.3.1 Maintain Clear Lines of Communication	3.3.1 明確なコミュニケーションラインの維持
3.3.2 Maintain Systems and System Components	3.3.2 システムおよびシステムコンポーネントの維持
3.3.3 Manage User Accounts	3.3.3 ユーザーアカウントの管理
3.3.4 Conduct Security Assessments	3.3.4 セキュリティ評価の実施
3.3.5 Analyze Event Logs	3.3.5 イベントログの分析
3.3.6 Report and Respond to Security Incidents	3.3.6 セキュリティインシデントの報告と対応
3.3.7 Coordinate Contingency Planning Activities	3.3.7 緊急時計画活動の調整
3.3.8 Manage Configuration Changes	3.3.8 設定変更の管理
3.3.9 Review and Maintain System Security Plans and Applicable Agreements	3.3.9 システムセキュリティ計画および適用協定の見直しと維持
3.3.10 Review the Continued Need for the Information Exchange	3.3.10 情報交換を継続する必要性の見直し
3.4 Discontinuing the Information Exchange	3.4 情報交換の中止
3.4.1 Planned Discontinuance	3.4.1 計画的中止
3.4.2 Emergency Discontinuance	3.4.2 緊急中止
3.4.3 Resumption of Interconnection	3.4.3 相互接続の再開
References	参考文献