2022.05.23

ハンガリー AIを利用したコールセンターでの顧客対応がGDPR違反と判定された事例(ハンガリー銀行)

こんにちは、丸山満彦です。

欧州データ保護委員会 (EDPB)が、ハンガリーの個人データ保護委員会が、AIを利用したコールセンターでの顧客対応がGDPR違反と判定された事例(ハンガリー銀行)を紹介しています。。。

興味深いがハンガリー語...

AIを使った処理をする場合は、慎重な対応が必要という感じは伝わってきます。。。

 

European Data Protection Board: EDPB

・2022.05.20 Data protection issues arising in connection with the use of Artificial Intelligence

Data protection issues arising in connection with the use of Artificial Intelligence 人工知能の活用に伴うデータ保護の問題点
Background information 背景情報
Date of final decision: 8 February 2022 最終決定日:2022年2月8日
Cross-border case or national case: National case 国境を越えたケースか、国内のケースか:国内ケース
Controller: Budapest Bank Zrt. コントローラー:ブダペスト銀行.
Legal Reference: Lawfulness of Processing (Article 5(1)(a), Article 6(1), Article 6(4)), Purpose Limitation (Article 5(1)(b)) Transparency (Article 12(1), Article 13), Right to Object (Article 21(1), Article 21(2)), Appropriate Measures (Article 24(1)), Data protection by design and by default (Article 25(1), Article 25(2) 法的参照 処理の合法性(5条1項(a)、6条1項、6条4項)、目的の制限(5条1項(b)) 透明性(12条1項、13条)、異議申し立ての権利(21条1項、21条2項)、適切な措置(24条1項)、デザインによるデータ保護とデフォルトによるデータ保護(25条1項、25条2項
Decision: Infringement of Articles 5(1)(a), 6(1), 6(4), 5(1)(b), 12(1), 13, 21(1), 21(2), 24(1), 25(1), and 25(2) of the GDPR, Order to comply with the above Articles, Imposing administrative fine in connection with the above infringements 決定 GDPR5条1項a号,6条1項,6条4項,5条1項b号,12条1項,13条,21条1項,21条2項,24条1項,25条1項,25条2項違反,上記条文の遵守命令,上記違反に伴う行政罰賦課決定
Key words: artificial intelligence, new technologies, analysis of phone audio recording, analysis of emotions, bank, legitimate interest assessment, transparent information, right to object, privacy by design and by default, administrative fine キーワード:人工知能、新技術、電話の音声録音の分析、感情の分析、銀行、正当な利益評価、透明な情報、異議を唱える権利、デザインによるプライバシーとデフォルトによるプライバシー、行政処分による罰金
Summary of the Decision 判決の概要
Origin of the case   事件の発端  
In another procedure, the Hungarian SA became aware of the fact that the data controller performs automated analysis on the customer service phone calls. Due to the fact that this data processing was not clearly specified in the information provided to data subjects, the Hungarian SA started an ex officio investigation against the data controller in 2021 to review the general data processing practice of data controller regarding the automated analysis. 別の手続きにおいて、ハンガリーSAは、データ管理者が顧客サービスの電話について自動分析を行っている事実を知った。このデータ処理がデータ対象者に提供される情報に明確に規定されていなかったため、ハンガリーSAは2021年にデータ管理者に対して職権調査を開始し、自動分析に関するデータ管理者の一般的なデータ処理慣行を見直した。
Key Findings 主な調査結果
The data controller records all customer service phone calls. Each night, a software automatically analyses all new audio recordings. The software uses artificial intelligence to find keywords, and guesses the emotional state of the client at the time of the call. The result of the analysis is stored connected to the phone call within the system of the software for 45 days, along with the voice call. The result of the analysis is a list of persons sorted by the likelihood of dissatisfaction, anger based on the audio recording of the customer service phone call. Based on the result of the analysis, designated employees mark clients to be called by customer service trying to assess their reasons for dissatisfaction. No information on this particular data processing was provided to data subjects and no right of objection is technically possible, and the data processing was planned and carried on aware of this. データ管理者は、すべての顧客サービスの電話を記録している。毎晩、ソフトウェアがすべての新しい音声記録を自動的に分析する。このソフトウェアは、人工知能を使用してキーワードを見つけ、通話時の顧客の感情状態を推測する。分析結果は、音声通話とともに45日間、ソフトウェアのシステム内に電話機と関連付けて保存される。分析結果は、接客電話の音声記録をもとに、不満の可能性が高い順に並べられた怒りの人物リストとなる。分析結果に基づいて、指定された従業員は、不満の理由を評価しようとする顧客サービスによって呼び出されるように顧客をマークする。この特定のデータ処理に関する情報はデータ対象者に提供されておらず、技術的に異議の申し立ては不可能であり、データ処理はこのことを認識した上で計画・実施された。
The impact assessment of the data controller also confirmed that the reviewed data processing uses artificial intelligence and causes high risk to the fundamental rights of data subjects. Neither the impact assessment, nor the legitimate interest assessment provided any actual risk mitigation, and the measures only on paper (information, right of objection) were insufficient and non-existent. Artificial intelligence is by nature difficult to deploy in a transparent and safe manner, additional safeguards are necessary. Due to its internal working, it is difficult to confirm the results of personal data processing by artificial intelligence, and it may be biased. データ管理者の影響評価では、見直されたデータ処理には人工知能が使用されており、データ主体の基本的権利に高いリスクをもたらすことも確認された。影響評価も正当な利益評価も、実際のリスク軽減策を何ら提供しておらず、紙面上だけの対策(情報、異議申し立ての権利)は不十分であり、存在しないものであった。人工知能は本来、透明で安全な方法で展開することが難しく、追加のセーフガードが必要である。人工知能による個人データの処理結果は、その内部的な働きにより、確認が困難であり、偏りがある可能性がある。
Decision 決定事項
The Hungarian SA determined the serious infringement of numerous articles of the GDPR for a long period, ordered the data controller to stop processing emotional state of the clients, only continue the data processing if made compliant with the GDPR, and issued an administrative fine in HUF equal to approximately EUR 650,000. ハンガリーSAは、GDPRの多数の条文に長期間にわたり重大な違反があったと判断し、データ管理者に対して、顧客の感情状態の処理を停止し、GDPRに準拠した場合にのみデータ処理を継続するよう命じ、約65万ユーロに相当するHUFの行政罰金を発した。

 

ハンガリーのデータ保護機関(データ保護と情報公開のための国家機関)

Nemzeti Adatvédelmi és Információszabadság Hatóság

・2022.02.08 Mesterséges intelligencia alkalmazásának adatvédelmi kérdései

・[PDF] [downloaded]

20220523-02449

・[DOCX] 仮訳

 

 

| | Comments (0)

2022.05.22

経済産業省 「令和3年度中小企業サイバーセキュリティ対策促進事業(サイバーセキュリティ及び情報セキュリティに関する地域コミュニティ形成事業)」報告書

こんにちは、丸山満彦です。

経済産業省が、「令和3年度中小企業サイバーセキュリティ対策促進事業(サイバーセキュリティ及び情報セキュリティに関する地域コミュニティ形成事業)」報告書を公表していますね。

経済産業省

・2022.05.19 「令和3年度中小企業サイバーセキュリティ対策促進事業(サイバーセキュリティ及び情報セキュリティに関する地域コミュニティ形成事業)」報告書を公開しました

関東経済産業局での、中小企業の実態やニーズに合致した、持続可能なセキュリティ対策支援体制の構築(地域の支援機関等と連携したセキュリティコミュニティの形成)に取り組みについての報告書という感じですかね。。。


報告書概要

令和3年度は茨城県、千葉県、長野県をモデル地域とし、地域の支援機関や金融機関等と連携して、以下の内容にて、セキュリティコミュニティ形成に向けた支援を実施しました。引き続き、企業のサイバーセキュリティ対策強化に資する取組を推進してまいります。

事業実施内容

1. 地域コミュニティ形成に向けた活動の実施

  • 令和2年度のモデル地域(千葉県)におけるコミュニティの継続と積極展開
  • 新たなモデル地域(茨城県、長野県)におけるコミュニティの立ち上げ

2. 普及啓発セミナーの開催

  • モデル3地域の中小企業を対象としたサイバーセキュリティ等に関する普及啓発セミナーの開催(令和3年10月27日、令和4年2月14日)

3. ワークショップの開催

  • 千葉県内の中小企業を対象としたサイバーセキュリティ等に関するワークショップの開催(令和4年1月27日)

4. 企業向けフォローアップ(課題解決支援)および事例の取りまとめ

  • モデル3地域のコミュニティ委員(団体)から推薦された企業に対して、セキュリティ対策等の課題解決を地域のITコーディネータ専門家が訪問支援により実施(3地域で計7社)
  • 今回の7社がセキュリティ対策を実践した理由や内容、成果等を事例集として作成(別添参照)

5. 成果報告会の開催

  • オンライン形式による成果報告会の開催(フォローアップ企業の成果発表等を実施)(令和4年3月14日)

報告書

20220521-220638

 

| | Comments (0)

2022.05.21

CISA, FBI, NSA, ACSC, CCCS, NZ NCSC, NCSC-UK 初期アクセスを可能にする脆弱性

こんにちは、丸山満彦です。

米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、カナダ・サイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)およびコンピュータ緊急対応チーム(CERT NZ)、オランダ国家サイバーセキュリティセンター(NCSC-NL)、英国国家サイバーセキュリティセンター(NCSC-UK)が共同で、初期アクセスを可能にする脆弱性を公表していますね。。。 。。。

数あるセキュリティ対策を検討する際の優先順位付けに活用してくださいということですかね。。。

最近このメンバーでちょいちょい発表していますね。。。今回はオランダが入っていますね。。。

 

● NSA

・2022.05.17 NSA, Allies Issue Cybersecurity Advisory on Weaknesses that Allow Initial Access

NSA, Allies Issue Cybersecurity Advisory on Weaknesses that Allow Initial Access NSAと同盟国、初期アクセスを可能にする脆弱性に関するサイバーセキュリティアドバイザリーを発行
FORT MEADE, Md. — The Cybersecurity and Infrastructure Security Agency (CISA), the National Security Agency (NSA) and the FBI, along with allied nations, published a Cybersecurity Advisory today to raise awareness about the poor security configurations, weak controls and other poor network hygiene practices malicious cyber actors use to gain initial access to a victim’s system. メリーランド州フォートミード - サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、FBIは、同盟国とともに、悪意のあるサイバー行為者が被害者のシステムへの初期アクセスを得るために使用する、不十分なセキュリティ設定、弱い制御、その他のネットワーク衛生の不備に関する注意を喚起するサイバーセキュリティアドバイザリーを本日発表しました。
“Weak Security Controls and Practices Routinely Exploited for Initial Access” also includes best practices that can help organizations strengthen their defenses against this malicious activity. また、「初期アクセスのために日常的に悪用される脆弱なセキュリティ制御と慣行」には、このような悪意のある行為に対する組織の防御を強化するのに役立つベストプラクティスも含まれています。
“As long as these security holes exist, malicious cyber actors will continue to exploit them,” said NSA Cybersecurity Director Rob Joyce. “We encourage everyone to mitigate these weaknesses by implementing the recommended best practices.” NSAのサイバーセキュリティディレクターであるロブ・ジョイスは、以下のように述べています。「このようなセキュリティホールが存在する限り、悪意のあるサイバーアクターはそれを悪用し続けるでしょう。我々は、推奨されるベストプラクティスを実施することにより、これらの弱点を軽減するよう、すべての人に呼びかけます。」
Some of the most common weaknesses include not enforcing multifactor authentication, incorrectly applying privileges or permissions and errors within access control lists and not keeping software up to date. The advisory recommends mitigations that control access, harden credentials, establish centralized log management and more. 最も一般的な弱点としては、多要素認証の未実施、特権や許可の不正な適用、アクセス制御リスト内の誤り、ソフトウェアを最新に保っていないことなどが挙げられます。この勧告では、アクセスの制御、認証情報の強化、ログの集中管理などの緩和策を推奨しています。
CISA produced the advisory with help from NSA and other partners. That includes the FBI, the Canadian Centre for Cyber Security (CCCS), the New Zealand National Cyber Security Centre (NCSC-NZ) and Computer Emergency Response Team (CERT NZ), the Netherlands National Cyber Security Centre (NCSC-NL), and the United Kingdom National Cyber Security Centre (NCSC-UK) on the advisory. Many of the same cybersecurity authorities collaborated to release a complementary advisory on 27 April, which highlighted the top routinely exploited vulnerabilities from 2021. CISAは、NSAや他のパートナーの協力を得て、この勧告を作成しました。その中には、FBI、カナダ・サイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)およびコンピュータ緊急対応チーム(CERT NZ)、オランダ国家サイバーセキュリティセンター(NCSC-NL)、英国国家サイバーセキュリティセンター(NCSC-UK)が勧告に参加しています。同じサイバーセキュリティ当局の多くが協力して4月27日に補足勧告を発表し、2021年から日常的に悪用される脆弱性の上位を取り上げました。
Read the full report here. レポートの全文はこちらから確認ください。
Visit our full library for more cybersecurity information and technical guidance. その他のサイバーセキュリティ情報および技術ガイダンスについては、当庁のライブラリを確認ください。

 

・[PDF] Weak Security Controls and Practices Routinely Exploited for Initial Access

20220521-00743

Best Practices to Protect Your Systems システムを保護するためのベストプラクティス
· Control access. ・アクセス制御
· Harden credentials. ・クレデンシャルの強化
· Establish centralized log management. ・ログの一元管理
· Use antivirus. ・アンチウイルスの利用
· Employ detection tools. ・検知ツールの導入
· Operate services exposed on internet-accessible hosts with secure configurations. ・インターネットに接続可能なホストで公開されているサービスの安全な設定での運用
· Keep software updated. ・ソフトウェアの最新化

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.05.13 CISA、NSA、FBI、NCSC~UK、ACSC、CCCS、NCSC-NZ:マネージドサービスプロバイダー(MSP)と顧客を保護するためのサイバーセキュリティアドバイザリー

・2022.05.04 CISA, FBI, NSA, ACSC, CCCS, NZ NCSC, NCSC-UK 2021年に頻繁に悪用された脆弱性 (2022.04.27)

| | Comments (0)

2022.05.20

欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

こんにちは、丸山満彦です。

EDPBが「法執行分野における顔認識技術の使用に関するガイドライン」の案を公表し、意見募集をしていますね。。。

すごく便利なツールというのは、悪用されるとすごく影響が大きいということですので、

その利用について、良いこと悪いことは明確にしておくことが良いでしょうね。。。

 

European Data Protection Board: EDPB

プレス

・2022.05.16 EDPB adopts Guidelines on calculation of fines & Guidelines on the use of facial recognition technology in the area of law enforcement

EDPB adopts Guidelines on calculation of fines & Guidelines on the use of facial recognition technology in the area of law enforcement EDPB、罰金計算に関するガイドラインと法執行分野における顔認識技術の使用に関するガイドラインを採択
..... .....
The EDPB also adopted Guidelines on the use of facial recognition technology in the area of law enforcement. The guidelines provide guidance to EU and national law makers, as well as to law enforcement authorities, on implementing and using facial recognition technology systems. EDPBはまた、法執行の分野における顔認識技術の利用に関するガイドラインを採択しました。同ガイドラインは、EUおよび各国の法律制定者や法執行機関に対し、顔認識技術システムの導入と使用に関するガイダンスを提供します。
EDPB Chair Andrea Jelinek said: “While modern technologies offer benefits to law enforcement, such as the swift identification of suspects of serious crimes, they have to satisfy the requirements of necessity and proportionality. Facial recognition technology is intrinsically linked to processing personal data, including biometric data, and poses serious risks to individual rights and freedoms.” EDPB議長のAndrea Jelinekは次のように述べています。「最新の技術は、重大犯罪の容疑者を迅速に特定できるなど、法執行機関に利益をもたらす一方で、必要性と比例性の要件を満たさなければなりません。顔認識技術は、生体情報を含む個人情報の処理と本質的に結びついており、個人の権利と自由に対して深刻なリスクをもたらすものです。」
The EDPB stresses that facial recognition tools should only be used in strict compliance with the Law Enforcement Directive (LED). Moreover, such tools should only be used if necessary and proportionate, as laid down in the Charter of Fundamental Rights. 顔認識ツールは法執行指令(LED)を厳密に遵守してのみ使用されるべきであると、EDPBは強調しています。さらに、このようなツールは、基本的権利憲章に規定されているように、必要かつ適切な場合にのみ使用されるべきであると述べています。
In the guidelines, the EDPB repeats its call for a ban on the use of facial recognition technology in certain cases, as it had requested in the EDPB-EDPS joint opinion on the proposal for an Artificial Intelligence Act. More specifically, the EDPB considers there should be a ban on: このガイドラインにおいて、EDPBは、人工知能 (AI) 法に関するEDPB-EDPS共同意見で要求したように、特定のケースにおける顔認識技術の使用禁止を繰り返し要求しています。具体的には、以下を禁止する必要があると考えています。
・remote biometric identification of individuals in publicly accessible spaces; ・公共の場で個人の遠隔生体認証を行うこと。
・facial recognition systems categorising individuals based on their biometrics into clusters according to ethnicity, gender, as well as political or sexual orientation or other grounds for discrimination; ・顔認識システムが、民族、性別、政治的・性的指向、その他の差別的理由に基づき、個人を分類すること。
・facial recognition or similar technologies to infer emotions of a natural person; ・自然人の感情を推論するための顔認識または類似の技術。
・processing of personal data in a law enforcement context that would rely on a database populated by collection of personal data on a mass-scale and in an indiscriminate way, e.g. by "scraping" photographs and facial pictures accessible online. ・法執行の文脈における個人データの処理で、大規模かつ無差別な個人データの収集(例:オンラインでアクセス可能な写真や顔写真の「スクレイピング」)によって構築されたデータベースに依存するような場合。
The guidelines will be subject to public consultation for a period of 6 weeks. 本ガイドラインは、6週間のパブリックコンサルテーションの対象となります。

 

・[PDF] Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement Version 1.0

20220519-164905

目次

Executive summary エグゼクティブサマリー
1  Introduction 1 はじめに
2  Technology 2 技術
2.1  One biometric technology, two distinct functions 2.1 1つの生体認証技術、2つの異なる機能
2.2  A wide variety of purposes and applications 2.2 多彩な目的とアプリケーション
2.3  Reliability, accuracy and risks for data subjects 2.3 信頼性、正確性、データ対象者のリスク
3  Applicable legal framework 3 適用される法的枠組み
3.1  General legal framework – The EU Charter of Fundamental Rights (hereinafter “the Charter”) and the European Convention on Human Rights (ECHR) 3.1 一般的な法的枠組み - EU基本権憲章(以下、「憲章」)および欧州人権条約(ECHR)。
3.1.1  Applicability of the Charter 3.1.1 憲章の適用性
3.1.2  Interference with the rights laid down in the Charter 3.1.2 憲章に規定された権利の侵害
3.1.3  Justification for the interference 3.1.3 妨害の正当性
3.2  Specific legal framework – the Law Enforcement Directive 3.2 具体的な法的枠組み - 法執行指令
3.2.1  Processing of special categories of data for law enforcement purposes 3.2.1 法執行を目的とした特殊なデータの処理
3.2.2  Automated individual decision-making, including profiling 3.2.2 プロファイリングを含む、自動化された個人の意思決定
3.2.3  Categories of the data subjects 3.2.3 データ対象者のカテゴリー
3.2.4  Rights of the data subject 3.2.4 データ対象者の権利
3.2.5  Other legal requirements and safeguards 3.2.5 その他の法的要件および保護措置
4  CONCLUSION 4 結論
5  Annexes 5 附属書
Annex I - Template for description of scenarios 附属書 I - シナリオの記述のためのテンプレート
Annex II- Practical guidance for managing FRT projects in LEAs 附属書Ⅱ- LEAにおけるFRTプロジェクト管理のための実践的ガイダンス
Annex III - Practical examples 附属書III - 実践的な例

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  要旨 
More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person’s movements in the public space.  顔認識技術(FRT)を適用する、あるいは適用しようとする法執行機関(LEA)がますます増えています。顔認識技術は、人物の認証や識別に使用され、ビデオ(例:CCTV)や写真に適用することができます。顔認識技術は、警察の監視リストにある人物の捜索や、公共の場での人物の動きの監視など、様々な目的で使用される可能性があります。
FRT is built on the processing of biometric data, therefore, it encompasses the processing of special categories of personal data. Often, FRT uses components of artificial intelligence (AI) or machine learning (ML). While this enables large scale data processing, it also induces the risk of discrimination and false results. FRT may be used in controlled 1:1 situations, but also on huge crowds and important transport hubs.   顔認識技術 は、バイオメトリクス・データの処理に基づいて構築されているため、特別なカテゴリの個人情報を処理することを含んでいます。多くの場合、顔認識技術は人工知能(AI)または機械学習(ML)のコンポーネントを使用しています。これは、大規模なデータ処理を可能にする一方で、差別や誤った結果を招く危険性があります。顔認識技術は、1対1の管理された状況で使用されるだけでなく、大規模な群衆や重要な交通の要所でも使用されることがあります。 
FRT is a sensitive tool for LEAs. LEAs are executive authorities and have sovereign powers. FRT is prone to interfere with fundamental rights – also beyond the right to protection of personal data – and is able to affect our social and democratic political stability.   顔認識技術は法執行機関にとって繊細なツールです。法執行機関は行政当局であり、主権的な権限を持っています。顔認識技術は基本的権利に干渉しやすく、個人データ保護の権利以外でも、社会的、民主的な政治の安定に影響を与える可能性があります。 
For personal data protection in the law enforcement context, the requirements of the LED have to be met. A certain framework regarding the use of FRT is provided for in the LED, in particular Article 3(13) LED (term “biometric data”), Article 4 (principles relating to processing of personal data), Article 8 (lawfulness of processing), Article 10 (processing of special categories of personal data) and Article 11 LED (automated individual decision-making).   法執行における個人情報保護のためには、法執行指令の要件を満たさなければなりません。顔認識技術の使用に関する一定の枠組みが法執行指令、特に法執行指令第3条第13項(「バイオメトリック・データ」という用語)、第4条(個人データの処理に関する原則)、第8条(処理の合法性)、第10条(特別カテゴリーの個人データの処理)、第11条(自動的な個人の意思決定)で規定されています。 
Several other fundamental rights may be affected by the application of FRT, as well. Hence, the EU Charter of Fundamental Rights (“the Charter”) is essential for the interpretation of the LED, in particular the right to protection of personal data of Article 8 of the Charter, but also the right to privacy laid down by Article 7 of the Charter.  他のいくつかの基本的な権利も、顔認識技術の適用によって影響を受ける可能性があります。したがって、EU基本権憲章(以下、「憲章」)は、法執行指令の解釈、特に憲章第8条の個人情報保護の権利、さらに憲章第7条のプライバシーの権利に不可欠です。
Legislative measures that serve as a legal basis for the processing of personal data directly interfere with the rights guaranteed by Articles 7 and 8 of the Charter. The processing of biometric data under all circumstances constitutes a serious interference in itself. This does not depend on the outcome, e.g. a positive matching. Any limitation to the exercise of fundamental rights and freedoms must be provided for by law and respect the essence of those rights and freedoms.  個人データの処理の法的根拠となる立法措置は、憲章の第7条と第8条が保証する権利を直接的に妨害するものです。あらゆる状況下でのバイオメトリクス・データの処理は、それ自体重大な干渉を構成する。これは、例えば、照合が肯定的であったというような結果には依存しません。基本的な権利と自由の行使に対するいかなる制限も、法律によって規定され、それらの権利と自由の本質を尊重するものでなければなりません。
The legal basis must be sufficiently clear in its terms to give citizens an adequate indication of conditions and circumstances in which authorities are empowered to resort to any measures of collection of data and secret surveillance. A mere transposition into domestic law of the general clause in Article 10 LED would lack precision and foreseeability.  法的根拠は、当局がデータ収集や秘密監視のあらゆる手段に訴える権限を与えられている条件や状況を市民に適切に示すために、その条件が十分に明確でなければなりません。第10条LEDの一般条項の単なる国内法への置き換えは、正確さと予見可能性を欠くことになります。
Before the national legislator creates a new legal basis for any form of processing of biometric data using facial recognition, the competent data protection supervisory authority should be consulted.  国内法制者が顔認識を使った生体データのあらゆる形態の処理について新しい法的根拠を設ける前に、管轄のデータ保護監督当局に相談すべきです。
Legislative measures have to be appropriate for attaining the legitimate objectives pursued by the legislation at issue. An objective of general interest – however fundamental it may be – does not, in itself, justify a limitation to a fundamental right. Legislative measures should differentiate and target those persons covered by it in the light of the objective, e.g. fighting specific serious crime. If the measure covers all persons in a general manner without such differentiation, limitation or exception, it intensifies the interference. It also intensifies the interference if the data processing covers a significant part of the population.  立法措置は、問題となる法律が追求する正当な目的を達成するために適切でなければなりません。一般的な利益という目的は、それがどんなに基本的なものであっても、それ自体で基本的な権利の制限を正当化することはできない。立法措置は、例えば、特定の重大犯罪との戦いといった目的に照らして、その対象となる者を区別し、対象とすべきです。もしそのような差別化、制限、例外なしに一般的な方法ですべての人を対象とするのであれば、それは干渉を強めることになります。また、データ処理が人口のかなりの部分を対象としている場合にも、干渉が強まります。
The data has to be processed in a way that ensures the applicability and effectiveness of the EU data protection rules and principles. Based on each situation, the assessment of necessity and proportionality has to also identify and consider all possible implications for other fundamental rights. If the data is systematically processed without the knowledge of the data subjects, it is likely to generate a general conception of constant surveillance. This may lead to chilling effects in regard of some or all of the fundamental rights concerned such as human dignity under Article 1 of the Charter, freedom of thought, conscience and religion under Article 10 of the Charter, freedom of expression under Article 11 of the Charter as well as freedom of assembly and association under Article 12 of the Charter.  データは、EUデータ保護規則および原則の適用性と有効性を保証する方法で処理されなければなりません。それぞれの状況に基づいて、必要性と比例性を評価し、他の基本的権利に及ぼす可能性のあるすべての影響を特定し、考慮しなければなりません。データ対象者が知らないうちにデータが体系的に処理されている場合、常に監視されているという一般的な観念が生じる可能性があります。このような事態が発生した場合、憲章の第1条に基づく人間の尊厳、第10条に基づく思想、良心および宗教の自由、第11条に基づく表現の自由、第12条に基づく集会および結社の自由などの基本権の一部または全部が阻害される可能性があります。
Processing of special categories of data, such as biometric data can only be regarded as "strictly necessary" (Art. 10 LED) if the interference to the protection of personal data and its restrictions is limited to what is absolutely necessary, i.e. indispensable, and excluding any processing of a general or systematic nature.  バイオメトリックデータなどの特別なカテゴリのデータの処理は、個人データの保護とその制限に対する干渉が、絶対に必要なもの、すなわち不可欠なものに限られ、一般的または体系的な性質の処理を除く場合にのみ「厳密に必要」(法執行指令第10条)と見なすことができます。
The fact that a photograph has been manifestly made public (Art. 10 LED) by the data subject does not entail that the related biometric data, which can be retrieved from the photograph by specific technical means, is considered as having been manifestly made public. Default settings of a service, e.g. making templates publicly available, or absence of choice, e.g. templates are made public without the user to be able to change this setting, should not in any way be construed as data manifestly made public.  データ対象者が写真を公表した場合(法執行指令第10条)、その写真から特定の技術的手段により取得できる生体情報は、公表されたとはみなされません。サービスのデフォルト設定(例:テンプレートを一般に公開する)、または選択肢の欠如(例:ユーザーがこの設定を変更することができないままテンプレートが公開される)は、いかなる意味においても、データが明白に公開されたと解釈されるべきではないでしょう。
Article 11 LED establishes a framework for automated individual decision-making. The use of FRT entails the use of special categories of data and may lead to profiling, depending on the way and purpose FRT is applied for. In any case, in accordance with Union law and Article 11(3) LED, profiling that results in discrimination against natural persons on the basis of special categories of personal data shall be prohibited.  LED第11条は、自動化された個人の意思決定のための枠組みを確立しています。顔認識技術の使用は、特別な種類のデータの使用を伴い、顔認識技術が適用される方法と目的によっては、プロファイリングにつながる可能性があります。いかなる場合においても、EU法および法執行指令第11条3項に従い、特殊な個人情報に基づく自然人に対する差別をもたらすプロファイリングは禁止されています。
Article 6 LED regards the necessity to distinguish between different categories of data subjects. With regard to data subjects for whom there is no evidence capable of suggesting that their conduct might have a link, even an indirect or remote one, with the legitimate aim according to the LED, there is most likely no justification of an interference.   法執行指令第6条は、データ対象者の異なるカテゴリーを区別する必要性について述べています。データ対象者の行為が法執行指令に基づく正当な目的に間接的または遠隔的にでも関連する可能性を示唆する証拠がない場合、干渉を正当化することはできない可能性が高くなります。 
The data minimisation principle (Article 4(1)(e) LED) also requires that any video material not relevant to the purpose of the processing should always be removed or anonymised (e.g. by blurring with no retroactive ability to recover the data) before deployment.  データ最小化の原則(法執行指令第4条第1項(e))により、処理の目的に関連しないビデオ素材は、配備前に必ず削除するか、匿名化(例えば、データを復元する遡及能力のないぼかし処理)することが要求されます。
The controller must carefully consider how to (or if it can) meet the requirements for data subject’s rights before any FRT processing is launched since FRT often involves processing of special categories of personal data without any apparent interaction with the data subject.  顔認識技術 はしばしばデータ対象者との明白な相互作用なしに特殊な個人データの処理を伴うため、管理者は 顔認識技術 処理を開始する前にデータ対象者の権利に関する要件を満たす方法(または満たすことができるか)を慎重に検討しなければなりません。
The effective exercise of data subject’s rights is dependent on the controller fulfilling its information obligations (Article 13 LED). When assessing whether a “specific case” according to Article 13(2) LED exists, several factors need to be taken into consideration, including if personal data is collected without the knowledge of the data subject as this would be the only way to enable data subjects to effectively exercise their rights. Should decision-making be done solely based on FRT, then the data subjects need to be informed about the features of the automated decision making.  データ主体の権利の効果的な行使は、管理者がその情報提供義務を果たすかどうかにかかっています(法執行指令第13条)。法執行指令第13条2項に従った「特定のケース」が存在するかどうかを評価する際には、データ対象者がその権利を効果的に行使できる唯一の方法であるとして、データ対象者が知らないうちに個人データが収集されている場合を含め、いくつかの要因を考慮する必要があります。意思決定が 顔認識技術 にのみ基づいて行われる場合、データ対象者は自動化された意思決定の特徴について知らされる必要があります。
As regards access requests, when biometric data is stored and connected to an identity also by alphanumerical data, in line with the principle of data minimization, this should allow for the competent authority to give confirmation to an access request based on a search by those alpha-numerical data and without launching any further processing of biometric data of others (i.e. by searching with FRT in a database).  アクセス要求に関して、バイオメトリクス・データが英数字データによっても保存され、 ID に接続されている場合、データ最小化の原則に従って、管轄機関は、それらの英数字データによる 検索に基づいてアクセス要求に確認を与えることができ、他の人のバイオメトリクス・データの 追加処理を開始しない(つまり、データベース内の 顔認識技術 による検索)ようにしなければなりません。
The risks for the data subjects are particularly serious if inaccurate data is stored in a police database and/or shared with other entities. The controller must correct stored data and FRT systems accordingly, see recital 47 LED.  不正確なデータが警察のデータベースに保存され、および/または他の組織と共有される場合、データ対象者のリスクは特に深刻です。管理者は、それに応じて保存されたデータと 顔認識技術システムを修正しなければなりません(説明 47 法執行指令を参照)。
The right to restriction becomes especially important when it comes to facial recognition technology (based on algorithm(s) and thereby never showing a definitive result) in situations where large quantities of data are gathered and the accuracy and quality of the identification may vary.  顔認識技術(アルゴリズムに基づくため、決定的な結果を示すことはない)に関しては、大量のデータが収集され、識別の正確さと質が異なる可能性がある状況で、制限する権利が特に重要になります。
A data protection impact assessment (DPIA) before the use of FRT is a mandatory requirement, cf. Article 27 LED. The EDPB recommends making public the results of such assessments, or at least the main findings and conclusions of the DPIA, as a trust and transparency enhancing measure.  顔認識技術の使用前のデータ保護影響評価(DPIA)は、法執行指令第27条を参照し、必須要件です。EDPB は、信頼性と透明性を高める方策として、そのような評価の結果、あるいは少なく とも データ保護影響評価の主な所見と結論を公表することを推奨しています。
Most cases of deployment and use of FRT contain intrinsic high risk to the rights and freedoms of data subjects. Therefore, the authority deploying the FRT should consult the competent supervisory authority prior to the deployment of the system.  顔認識技術 の導入と使用のほとんどのケースは、データ主体の権利と自由に対する本質的な高リ スクを含んでいます。したがって、顔認識技術 を配備する当局は、システムの配備に先立って管轄の監督当局に相談する必要がある。
Given the unique nature of biometric data, the authority, implementing and/or using FRT should pay special attention to the security of processing, in line with Article 29 LED. In particular, the law enforcement authority should ensure the system complies with the relevant standards and implement biometric template protection measures. Data protection principles and safeguards must be embedded in the technology before the start of the processing of personal data. Therefore, even when a LEA intends to apply and use FRT from external providers, it has to ensure, e.g. through the procurement procedure, that only FRT built upon the principles of data protection by design and by default are deployed.  バイオメトリック・データのユニークな性質を考えると、顔認識技術 を導入・使用する当局は、法執行指令第29 条 に沿って処理のセキュリティに特別な注意を払うべきです。特に、法執行機関は、システムが関連基準に準拠していることを確認し、バイオメトリクスのテンプレート保護対策を実施しなければなりません。データ保護の原則と保護措置は、個人データの処理を開始する前に技術に組み込まれなければなりません。したがって、法執行機関が外部のプロバイダーからの顔認識技術を適用し使用することを意図している場合でも、例えば調達手続きを通じて、設計およびデフォルトによるデータ保護の原則に基づいた顔認識技術 のみが配備されていることを確認しなければなりません。
Logging (cf. Article 25 LED) is an important safeguard for verification of the lawfulness of the processing, both internally (i.e. self-monitoring by the concerned controller/processor) and by external supervisory authorities. In the context of facial recognition systems, logging is recommended also for changes of the reference database and for identification or verification attempts including user, outcome and confidence score.   ログ記録(法執行指令第25条参照)は、内部(関係する管理者/処理者による自己監視)および外部の監督当局による処理の合法性の検証のための重要な保護手段です。顔認識システムにおいては、参照データベースの変更、ユーザー、結果、信頼性スコアを含む識別または検証の試行についてもログを取ることが推奨されます。 
The EDPB recalls its and the EDPS’ joint call for a ban of certain kinds of processing in relation to (1) remote biometric identification of individuals in publicly accessible spaces, (2) AI-supported facial recognition systems categorising individuals based on their biometrics into clusters according to ethnicity, gender, as well as political or sexual orientation or other grounds for discrimination (3) use of facial recognition or similar technologies, to infer emotions of a natural person and (4) processing of personal data in a law enforcement context that would rely on a database populated by collection of personal data on a mass-scale and in an indiscriminate way, e.g. by "scraping" photographs and facial pictures accessible online.  EDPBは、EDPSと共同で、以下のような処理を禁止するように求めている。(1) 公共の場で個人の遠隔生体認証を行うこと、(2) AIによる顔認証システムで、生体情報に基づき個人を民族、性別、政治的・性的指向、または個人を分類することに関する特定の種類の処理をすること、(3) 自然人の感情を推測するための顔認識または類似の技術を使用すること、 (4) 法執行の文脈における個人データの処理で、大量かつ無差別な方法での個人データを収集すること(例えばオンラインでアクセス可能な写真や顔写真を「スクレイピング」することによって構築されたデータベースに依存するような処理)
These guidelines address law makers at EU and national level, as well as LEAs and their officers at implementing and using FRT-systems. Individuals are addressed as far as they are interested generally or as data subjects, in particular as regards data subjects’ rights.   このガイドラインは、EU 及び国家レベルの法律制定者、顔認識技術 システムを導入し使用する法執行機関及びその担当者を対象としています。個人については、一般的に関心がある限り、またはデータ対象者として、特にデータ対象者の権利に関して言及されています。 
The guidelines intend to inform about certain properties of FRT and the applicable legal framework in the context of law enforcement (in particular the LED).  本ガイドラインは、顔認識技術の特定の特性および法執行(特に 法執行指令)の文脈で適用される法的枠組みについて通知することを意図しています。
・ In addition, they provide a tool to support a first classification of the sensitivity of a given use case (Annex I).   ・ さらに、与えられたユースケースの機密性の最初の分類を支援するツールも提供します(附属書 I)。 
・ They also contain practical guidance for LEAs that wish to procure and run a FRT-system (Annex II). ・ また、顔認識技術システムの調達と運用を希望する法執行機関のための実用的なガイダンスも含んでいます(附属書 II)。
・ The guidelines also depict several typical use cases and list numerous considerations relevant, especially with regard to the necessity and proportionality test (Annex III).  ・ また、ガイドラインはいくつかの典型的なユースケースを描き、特に必要性と比例性のテストに関する多くの検討事項を列挙しています(附属書 III)。

 

 


● まるちゃんの情報セキュリティ気まぐれ日記

日本での検討

・2022.04.17 個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

AI規制法案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念


欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)

・2021.01.30 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。

Faicial Recognition

・2022.05.15 カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

2022.05.19

欧州データ保護委員会 (EDPB) 意見募集「課徴金計算に関するガイドライン」

こんにちは、丸山満彦です。

EDPBが「課徴金計算に関するガイドライン」の案を公表し、意見募集をしていますね。。。

金額が大きくなりますからね、、、

 

European Data Protection Board: EDPB

プレス

・2022.05.16 EDPB adopts Guidelines on calculation of fines & Guidelines on the use of facial recognition technology in the area of law enforcement

EDPB adopts Guidelines on calculation of fines & Guidelines on the use of facial recognition technology in the area of law enforcement EDPB、課徴金計算に関するガイドラインと法執行分野における顔認識技術の使用に関するガイドラインを採択
Brussels, 16 May - The EDPB adopted new Guidelines on the calculation of administrative fines, harmonising the methodology data protection authorities (DPAs) use. The guidelines also include harmonised ‘starting points’ for the calculation of a fine. Hereby, three elements are considered: the categorisation of infringements by nature, the seriousness of the infringement and the turnover of a business. ブリュッセル、5月16日 - EDPBは、データ保護当局(DPA)が使用する方法を調和させた、行政罰の計算に関する新しいガイドラインを採択した。同ガイドラインには、罰金計算のための「出発点」の調和も含まれています。このガイドラインでは、侵害の性質による分類、侵害の重大性、企業の売上高の3つの要素が考慮されています。
EDPB Chair, Andrea Jelinek said: “From now on, DPAs across the EEA will follow the same methodology to calculate fines. This will boost further harmonisation and transparency of the fining practice of DPAs. The individual circumstances of a case must always be a determining factor and DPAs have an important role in ensuring that each fine is effective, proportionate and dissuasive.” EDPB議長のAndrea Jelinekは次のように述べています。「今後、EEA全域のDPAは、同じ方法論に従って制裁金を算出することになります。これにより、DPAの制裁金実務の調和と透明性がさらに高まるでしょう。案件の個々の状況は常に決定要因でなければならず、DPAは、各罰金額が効果的、比例的、かつ抑制的であることを保証する重要な役割を担っています」。
The guidelines set out a 5-step calculation methodology. First, DPAs have to establish whether the case at stake concerns one or more instances of sanctionable conduct and if they have led to one or multiple infringements. The purpose is to clarify if all the infringements or only some of them can be fined. ガイドラインは、5段階の計算方法を定めています。第一に、DPAは、問題となっているケースが制裁対象となる1つまたは複数の事例に関するものかどうか、また、それらが1つまたは複数の違反行為につながったものかどうかを確定しなければなりません。その目的は、すべての違反行為に罰金を科すことができるのか、それとも一部の違反行為にのみ罰金を科すことができるのかを明確にすることにあります。
Second, DPAs have to rely on a starting point for the calculation of the fine for which the EDPB provides a harmonised method. 第二に、DPAは、EDPBが調和された方法を提供する罰金の計算の出発点に依存しなければならなりません。
Third, DPAs have to consider aggravating or mitigating factors that can increase or decrease the amount of the fine, for which the EDPB provides a consistent interpretation. 第三に、DPAは、罰金額を増減させうる加重または減軽要素を考慮しなければなりませんが、これについてはEDPBが一貫した解釈を示します。
The fourth step is to determine the legal maximums of fines as set out in Art. 83 (4)-(6) GDPR and to ensure that these amounts are not exceeded. 第四段階は、第83条(4)~(6)に規定されている罰金の法的上限を決定することです。GDPRの第83条(4)~(6) に規定されている罰金の法的上限を決定し、これらの金額を超えないようにします。
In the fifth and last step, DPAs need to analyse whether the calculated final amount meets the requirements of effectiveness, dissuasiveness and proportionality or whether further adjustments to the amount are necessary. 最後の第五段階では、DPAは、算出された最終金額が有効性、抑制性、比例性の要件を満たしているか、あるいは金額に対するさらなる調整が必要かを分析する必要があります。
The guidelines are an important addition to the framework the EDPB is building for more efficient cooperation among DPAs on cross-border cases, a strategic priority for the EDPB. 本ガイドラインは、EDPBの戦略的優先事項であるクロスボーダー案件に関するDPA間のより効率的な協力のために、EDPBが構築中のフレームワークに追加される重要なものです。
The guidelines will be submitted for public consultation for a period of 6 weeks. Following public consultation, a final version of the guidelines will be adopted, taking into account stakeholder feedback, and will include a reference table with a range of starting points for the calculation of a fine, correlating the seriousness of an infringement with the turnover of an undertaking. 本ガイドラインは、6週間のパブリックコンサルテーションに付される予定です。パブリックコンサルテーションの後、利害関係者からのフィードバックを考慮した最終版が採択され、違反行為の重大性と事業者の売上高を関連付ける、罰金計算の出発点の範囲を示す参照表が含まれる予定です。
... ...

 

・2022.05.16 Guidelines 04/2022 on the calculation of administrative fines under the GDPR

・[PDF] Guidelines 04/2022 on the calculation of administrative fines under the GDPR Version 1.0

20220519-83835

 

CHAPTER 1 – INTRODUCTION 第1章 導入
1.1 - Legal framework 1.1 法的枠組み
1.2 - Objective 1.2 目的
1.3 - Scope 1.3 適用範囲
1.4 - Applicability 1.4 適合性
CHAPTER 2 – METHODOLOGY FOR CALCULATING THE AMOUNT OF THE FINE 第2章 課徴金の額の算定方法
2.1 - General considerations 2.1 一般的な考慮事項
2.2 - Overview of the methodology 2.2 方法論の概要
2.3 - Infringements with fixed amounts 2.3 金額が確定している違反行為
CHAPTER 3 – CONCURRENT INFRINGEMENTS AND THE APPLICATION OF ARTICLE 83(3) GDPR 第3章 同時の侵害と GDRP 第 83 条(3)の適用
3.1- One sanctionable conduct 3.1 制裁の対象となる 1 つの行為
3.1.1 - Concurrence of Offences 3.1.1 違反行為の同時発生
Principle of specialty 専門性の原則
Principle of subsidiarity 補完性の原則
Principle of consumption 消費の原則
3.1.2 - Unity of action - Article 83(3) GDPR 3.1.2 行為の統一性 - GDPR第83条(3)
3.2 - Multiple sanctionable conducts 3.2 複数の制裁対象行為
CHAPTER 4 – STARTING POINT FOR CALCULATION 第4章 計算の出発点
4.1 - Categorisation of infringements under Articles 83(4)–(6) GDPR 4.1 GDPR第83条(4)~(6)項に基づく侵害の分類
4.2 - Seriousness of the infringement in each individual case 4.2 個々のケースにおける侵害の深刻度
4.2.1 - Nature, gravity and duration of the infringement 4.2.1 侵害の性質、重大性及び期間
4.2.2 - Intentional or negligent character of the infringement 4.2.2 侵害の故意または過失の性質
4.2.3 - Categories of personal data affected 4.2.3 影響を受ける個人データのカテゴリー
4.2.4 - Classifying the seriousness of the infringement and identifying the appropriate starting amount 4.2.4 侵害の重大性の分類と適切な開始金額の特定
4.3 - Turnover of the undertaking with a view to imposing an effective, dissuasive and proportionate fine 4.3 効果的、抑制的かつ適切な罰金を課すための事業者の売上高
CHAPTER 5 – AGGRAVATING AND MITIGATING CIRCUMSTANCES 第5章 加重および緩和状況
5.1 - Identification of aggravating and mitigating factors 5.1 悪化要因及び緩和要因の特定
5.2 - Actions taken by controller or processor to mitigate damage suffered by data subjects 5.2 データ対象者が被った損害を軽減するために管理者または処理者がとった措置
5.3 - Degree of responsibility of the controller or processor 5.3 管理者または処理者の責任の度合い
5.4 - Previous infringements by the controller or processor 5.4 管理者又は処理者による以前の侵害
5.4.1 - Time frame 5.4.1 時間枠
5.4.2 - Subject matter 5.4.2 対象者
5.4.3 - Other considerations 5.4.3 その他の考慮事項
5.5 - Degree of cooperation with the supervisory authority in order to remedy the infringement and mitigate the possible adverse effects of the infringement 5.5 侵害を是正し、侵害の起こり得る悪影響を軽減するための監督当局との協力の度合い
5.6 - The manner in which the infringement became known to the supervisory authority 5.6 侵害が監督当局に知られるようになった方法
5.7 - Compliance with measures previously ordered with regard to the same subject matter 5.7 同一対象に関して過去に命じられた措置の遵守状況
5.8 - Adherence to approved codes of conduct or approved certification mechanisms 5.8 承認された行動規範又は承認された認証メカニズムへの遵守
5.9 - Other aggravating and mitigating circumstances 5.9 その他の加重および緩和的な状況
CHAPTER 6 – LEGAL MAXIMUM AND CORPORATE LIABILITY 第6章 法的上限と企業責任
6.1 - Determining the Legal Maximum 6.1 法的上限額の決定
6.1.1 - Static maximum amounts 6.1.1 静的な最大量
6.1.2 - Dynamic maximum amounts 6.1.2 動的な最大量
6.2 - Determining the undertaking’s turnover and corporate liability 6.2 事業の売上高および企業責任の決定
6.2.1 - Determining an undertaking and corporate liability 6.2.1 事業と企業責任の決定
6.2.2 - Determining the turnover 6.2.2 売上高の決定
CHAPTER 7 – EFFECTIVENESS, PROPORTIONALITY AND DISSUASIVENESS 第7章 - 有効性、比例性、抑止性
7.1 - Effectiveness 7.1節 有効性
7.2 - Proportionality 7.2節 比例性
7.3 - Dissuasiveness 7.3節 抑止性
CHAPTER 8 – FLEXIBILITY AND REGULAR EVALUATION 第8章 柔軟性と定期的な評価

 

 

 

| | Comments (0)

NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

こんにちは、丸山満彦です。

IoTが世の中に広まるに従い、IoTセキュリティの重要性も増していくわけで、NISTもそれを意識して2018年頃からIoTセキュリティの文書等を公表し始めていますが、これまでの流れと今後の動きについてブログで簡単に紹介していますね。。。

 

NIST - ITL - CYBERSECURITY INSIGHTS a NIST blog

・2022.05.16 Cybersecurity for IoT: The Road We’ve Traveled, The Road Ahead by Michael Fagan

この図がわかりやすいかもですね。。。

Iot-publication-image

出典:https://www.nist.gov/blogs/cybersecurity-insights/cybersecurity-iot-road-weve-traveled-road-ahead

 

 

2019.06.25 NISTIR 8228 Final Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risk IoTサイバーセキュリティとプライバシーのリスクを管理するための考察 PDF
2020.05.29 NISTIR 8259 Final Foundational Cybersecurity Activities for IoT Device Manufacturers IoTデバイス製造事業者向け 基本的なサイバーセキュリティ活動 PDF
2022.05.05 NIST SP800-161r1 Final Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations Revision 1  システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践 PDF
2022.04.26 NIST SP800-82r3 Draft Guide to Industrial Control Systems (ICS) Security Revision 3 運用技術(OT)セキュリティの手引き PDF
2022.02.04 White Paper Final Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products 消費者向けIoT製品のサイバーセキュリティラベリングに関する推奨規準 PDF
2022.01.11 NISTIR 8349 Draft Methodology for Characterizing Network Behavior of Internet of Things Devices IoTデバイスのネットワーク動作を特徴づける方法論 PDF
2021.11.29 NIST SP800-213 Final IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements 連邦政府のためのIoTデバイス・サイバーセキュリティ・ガイダンス:IoTデバイスのサイバーセキュリティ要件の確立 PDF
2021.11.29 NIST SP800-213A Final IoT Device Cybersecurity Guidance for the Federal Government: IoT Device Cybersecurity Requirement Catalog IoTデバイスメーカーのための基礎的なサイバーセキュリティ活動とNISTIR PDF
2021.09.09 NISTIR 8379 Final Summary Report for the Virtual Workshop Addressing Public Comment on NIST Cybersecurity for IoT Guidance 「NIST Cybersecurity for IoT Guidanceに対するパブリックコメント」に関するオンラインワークショップの概要レポート PDF
2021.08.25 NISTIR 8259B Final IoT Non-Technical Supporting Capability Core Baseline IoT非技術的支援能力コアベースライン PDF
2021.03.29 NISTIR 8333 Final Workshop Summary Report for “Cybersecurity Risks in Consumer Home Internet of Things (IoT) Products” Virtual Worksho 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの概要レポート PDF
2021.01.07 NISTIR 8322 Final Workshop Summary Report for “Building the Federal Profile For IoT Device Cybersecurity” Virtual Workshop 「IoTデバイスサイバーセキュリティのための連邦政府プロファイルの構築」に関するオンラインワークショップの概要レポート PDF
2020.05.29 NISTIR 8259A Final IoT Device Cybersecurity Capability Core Baseline IoTデバイスのサイバーセキュリティ機能のコアベースライン PDF

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.04.28 NIST SP 800-82 第3版 OTセキュリティガイド(ドラフト)

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2022.01.21 NISTIR 8349(ドラフト)IoTデバイスのネットワーク動作を特徴づける方法論 at 2022.01.11

・2021.11.30 NIST SP 800-213 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイスのサイバーセキュリティ要件の確立、SP 800-213A 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイス・サイバーセキュリティ要件カタログ

・2021.09.13 NISTIR 8379 NIST Cybersecurity for IoT Guidanceに対するパブリックコメントを受けて開催したオンラインワークショップの要約

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.15 NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか?

・2021.03.31 NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

.....

・2011.06.10 NIST Special Publication 800-82, Guide to Industrial Control System (ICS) Security.

 

 

| | Comments (0)

米国 司法省 ランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことでハッカーかつランサムウェア設計者を起訴

こんにちは、丸山満彦です。

米国の司法省が、ランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことでハッカーかつランサムウェア設計者を起訴したと公表していますね。。。

米国司法省のランサムウェアに対する対応は、本気ですよね。。。それでもなかなか追いつかない。。。

 

U.S. Department of JusticeU.S. Attorney’s Office for the Eastern District of New York

・2022.05.16 Hacker and Ransomware Designer Charged for Use and Sale of Ransomware, and Profit Sharing Arrangements with Cybercriminals

Hacker and Ransomware Designer Charged for Use and Sale of Ransomware, and Profit Sharing Arrangements with Cybercriminals ハッカーかつランサムウェア設計者がランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことで起訴される
Defendant, a Doctor, Designed Software With “Doomsday Counter,” Shared in Profits from Ransomware Attacks, and Bragged about Use by Iranian State-Sponsored Hacking Group 医師である被告は、「Doomsdayカウンター」を搭載したソフトウェアを設計し、ランサムウェア攻撃による利益を共有し、イランの国家支援ハッキンググループによる利用を自慢していました。
A criminal complaint was unsealed today in federal court in Brooklyn, New York, charging Moises Luis Zagala Gonzalez (Zagala), also known as “Nosophoros,” “Aesculapius” and “Nebuchadnezzar,” a citizen of France and Venezuela who resides in Venezuela, with attempted computer intrusions and conspiracy to commit computer intrusions.  The charges stem from Zagala’s use and sale of ransomware, as well as his extensive support of, and profit sharing arrangements with, the cybercriminals who used his ransomware programs.   ニューヨーク州ブルックリンの連邦裁判所で本日、「Nosophoros」、「Aesculapius」、「Nebuchadnezzar」としても知られる、フランスおよびベネズエラ在住のMoises Luis Zagala Gonzalez(Zagala)を、コンピュータ侵入の試みおよびコンピュータ侵入の陰謀で告訴する刑事訴状が公開されました。  この容疑は、Zagalaがランサムウェアを使用・販売したことに加え、彼のランサムウェア・プログラムを使用したサイバー犯罪者を大規模に支援し、利益分配の取り決めを行ったことに起因しています。 
Breon Peace, United States Attorney for the Eastern District of New York, and Michael J. Driscoll, Assistant Director-in-Charge, Federal Bureau of Investigation, New York Field Office (FBI), announced the charges. ニューヨーク東地区連邦検事のBreon Peace氏と連邦捜査局 (FBI) ニューヨーク支局副局長のMichael J. Driscoll氏が、今回の起訴を発表しました。
“As alleged, the multi-tasking doctor treated patients, created and named his cyber tool after death, profited from a global ransomware ecosystem in which he sold the tools for conducting ransomware attacks, trained the attackers about how to extort victims, and then boasted about successful attacks, including by malicious actors associated with the government of Iran,” stated United States Attorney Peace.  “Combating ransomware is a top priority of the Department of Justice and of this Office.  If you profit from ransomware, we will find you and disrupt your malicious operations.” Peace米国連邦検事は、次のように述べています。「兼業もしているこの医師は、患者の治療を行い、患者の死後、サイバーツールを作成して命名し、ランサムウェア攻撃を行うためのツールを販売し、攻撃者に被害者からの恐喝方法について訓練し、そしてイラン政府に関連する悪質な行為者による攻撃も含めて成功したと自慢することでグローバルなランサムウェアエコシステムから利益を得ていました。ランサムウェアとの戦いは、司法省と当庁の最優先事項です。  もしあなたがランサムウェアで利益を得ているなら、私たちはあなたを見つけ出し、あなたの悪意ある活動を崩壊させるでしょう。」
"We allege Zagala not only created and sold ransomware products to hackers, but also trained them in their use. Our actions today will prevent Zagala from further victimizing users. However, many other malicious criminals are searching for businesses and organizations that haven't taken steps to protect their systems - which is an incredibly vital step in stopping the next ransomware attack," stated Assistant Director-in-Charge Driscoll. Driscoll副所長は次のように述べています。「我々は、Zagalaがランサムウェア製品を作成し、ハッカーに販売しただけでなく、その使用方法をトレーニングしたと申し立てています。今日の我々の行動により、Zagalaがこれ以上ユーザーを犠牲にすることを防ぐことができます。しかし、他の多くの悪質な犯罪者は、システムを保護する手段を講じていない企業や組織を探しています。これは、次のランサムウェア攻撃を阻止するために非常に重要なステップです。」
As charged in the criminal complaint, Zagala, a 55-year-old cardiologist who resides in Ciudad Bolivar, Venezuela, has designed multiple ransomware tools—malicious software that cybercriminals use to extort money from companies, nonprofits and other institutions, by encrypting those files and then demanding a ransom for the decryption keys.  Zagala sold or rented out his software to hackers who used it to attack computer networks.  Zagalaは、ベネズエラのシウダー・ボリバルに住む55歳の心臓専門医で、複数のランサムウェア・ツールを設計しました。この不正なソフトウェアは、サイバー犯罪者が企業や非営利団体などからお金をゆすり取るために使用し、ファイルを暗号化した上で復号化キーの身代金を要求します。  Zagalaは、自分のソフトウェアをハッカーに販売または貸与し、それを使ってコンピューター・ネットワークを攻撃していた。 
One of Zagala’s early products, a ransomware tool called “Jigsaw v. 2,” had, in Zagala’s description, a “Doomsday” counter that kept track of how many times the user had attempted to eradicate the ransomware.  Zagala wrote: “If the user kills the ransomware too many times, then its clear he won’t pay so better erase the whole hard drive.” Zagalaの初期の製品の1つである「Jigsaw v.2」というランサムウェア・ツールは、Zagalaの説明では、ユーザーがランサムウェアを根絶しようとした回数を記録する「Doomsday」カウンターを備えていたそうです。  Zagalaは、「もしユーザーがランサムウェアを何度も退治したら、彼がお金を払わないことは明らかなので、ハードディスク全体を消去した方がいい」と書いています。
Beginning in late 2019, Zagala began advertising a new tool online—a “Private Ransomware Builder” he called “Thanos.”  The name of the software appears to be a reference to a fictional cartoon villain named Thanos, who is responsible for destroying half of all life in the universe, as well as a reference to the figure “Thanatos” from Greek mythology, who is associated with death.  The Thanos software allowed its users to create their own unique ransomware software, which they could then use or rent for use by other cybercriminals.  The user interface for the Thanos software is shown below:[1] 2019年後半から、Zagalaは新しいツール、彼が "Thanos "と呼ぶ「プライベート・ランサムウェア・ビルダー」をオンラインで宣伝し始めました。  このソフトウェアの名前は、宇宙の全生命の半分を破壊した架空の漫画の悪役「Thanos」にちなんでいるようで、また、死を連想させるギリシャ神話の人物「Thanatos」にもちなんでいるようです。  Thanosは、ユーザーが独自のランサムウェアソフトウェアを作成し、他のサイバー犯罪者に使用させたり、貸し出すことができるソフトウェアでした。  Thanosソフトウェアのユーザー・インターフェースは、以下のとおりです[1]。
Zagala_screenshot
The screenshot shows, on the right-hand side, an area for “Recovery Information,” in which the user can create a customized ransom note.  Other options include a “data stealer” that specifies the types of files that the ransomware program should steal from the victim computer, an “anti-VM” option to defeat the testing enviornments used by security researchers, and an option, as advertised, to make the ransomware program “self-delete.”  このスクリーンショットでは、右側に「リカバリー情報」のエリアがあり、ここでユーザーはカスタマイズされた身代金メモを作成することができます。  その他のオプションとしては、ランサムウェア・プログラムが被害者のコンピュータから盗むべきファイルの種類を指定する「データステアラー」、セキュリティ研究者が使用するテスト環境を無効にする「アンチVM」オプション、および宣伝されているようにランサムウェア・プログラムを「自己削除」するオプションが含まれています。 
Rather than simply sell the Thanos software, Zagala allowed individuals to pay for it in two ways.  First, a criminal could buy a “license” to use the software for a certain period of time.  The Thanos software was designed to make periodic contact with a server in Charlotte, North Carolina that Zagala controlled for the purpose of confirming that the user had an active license.[2]  Alternatively, a Thanos customer could join what Zagala called an “affiliate program,” in which he provided a user access to the Thanos builder in exchange for a share of the profits from Ransomware attacks.  Zagala received payment both in fiat currency and cryptocurrency, including Monero and Bitcoin. Zagalaは、Thanosソフトウェアを単に販売するのではなく、個人が2つの方法で代金を支払うことを可能にしました。  1つ目は、一定期間ソフトウェアを使用するための「ライセンス」を購入する方法です。  Thanosのソフトウェアは、ユーザーが有効なライセンスを持っていることを確認する目的で、Zagalaが管理するノースカロライナ州シャーロットのサーバーと定期的に連絡を取るように設計されていました[2]。 あるいは、Thanosの顧客は、Zagalaが「アフィリエイトプログラム」と呼ぶ、ランサムウェア攻撃からの利益を分配する代わりにユーザーにThanosビルダーを利用させるものに加わることもできました。  Zagalaは、不換通貨とMoneroやBitcoinを含む暗号通貨の両方で支払いを受けました。
Zagala advertised the Thanos software on various online forums frequented by cybercriminals, using screennames that referred to Greek mythology.  His two preferred nicknames were “Aesculapius,” referring to the ancient Greek god of medicine, and “Nosophoros,” meaning “disease-bearing” in Greek.  In public advertisements for the program, Zagala bragged that ransomware made using Thanos was nearly undetectable by antivirus programs, and that “once encryption is done,” the ransomware would “delete itself,” making detection and recovery “almost impossible” for the victim.  Zagalaは、サイバー犯罪者が頻繁に訪れるさまざまなオンラインフォーラムで、ギリシャ神話にちなんだスクリーンネームを使用してThanosソフトウェアを宣伝していました。  彼の好みのニックネームは、古代ギリシャの医療の神を意味する「Aesculapius」と、ギリシャ語で「病気をもたらす」という意味の「Nosophoros」の2つでした。  Zagalaはプログラムの公開広告で、Thanosを使って作られたランサムウェアはウイルス対策プログラムではほとんど検出できないこと、また「暗号化が完了すると」ランサムウェアは「自身を削除」し、被害者にとって検出と復元が「ほとんど不可能」になることを自慢げに語っています。 
In private chats with customers, Zagala explained to them how to deploy his ransomware products—how to design a ransom note, steal passwords from victim computers, and set a Bitcoin address for ransom payments.  As Zagala explained to one customer, discussing Jigsaw: “Victim 1 pays at the given btc [Bitcoin] address and decrypts his files.”  Zagala also noted that “there is a punishment… [i]f user reboots.  For every rerun it will punish you with 1000 files deleted.”  After Zagala explained all the features of the software, the customer replied: “Sir, I really need to say this . . . You are the best developer ever.”  Zagala responded: “Thank you that is nice to hear[.]  Im very flattered and proud.”  Zagala had only one request: “If you have time and its not too much trouble to you please describe your experience with me” in an online review. Zagalaは顧客とのプライベートなチャットで、ランサムウェア製品の導入方法として、身代金請求書のデザイン、被害者のコンピューターからのパスワードの盗み出し、身代金支払い用のビットコインアドレスを設定する方法などを説明しています。  Zagalaは、ある顧客に対して、ジグソーについて説明しました。「被害者1は、指定されたbtc(ビットコイン)アドレスに支払い、ファイルを復号化する"。  Zagalaはまた、「罰がある... [i]ユーザーが再起動した場合。  再起動のたびに1000ファイル削除される罰がある "と述べた。  Zagalaがソフトウェアの機能をすべて説明した後、その顧客はこう答えた。「先生、これだけはどうしても言いたいのですが.あなたは最高の開発者です」。  Zagalaはこう答えました。「ありがとうございます、うれしいです。  Zagalaの要望はただ1つ。「もし時間があれば、そして迷惑でなければ、私との経験をオンライン・レビューに書いてください」。
On or about May 1, 2020, a confidential human source of the FBI (CHS-1) discussed joining Zagala’s “affiliate program.”  Zagala responded: “Not for now.  Don’t have spots.”  But Zagala offered to license the software to CHS-1 for $500 a month with “basic options,” or $800 with “full options.”  2020年5月1日頃、FBIの機密情報源(CHS-1)は、Zagalaの「アフィリエイト・プログラム」に参加することを検討しました。  Zagalaはこう答えた。「今はダメだ。  スポットはない "と答えた。  しかしZagalaは、CHS-1に対して、「基本オプション」なら月500ドル、「フルオプション」なら800ドルでソフトウェアをライセンスすることを提案しました。 
On or about October 7, 2020, CHS-1 asked Zagala how to establish an affiliate program of his own using Thanos.  Zagala responded with a short tutorial on how to set up a ransomware crew.  He explained that CHS-1 should find people “versed…in LAN hacking” and supply them with a version of the Thanos ransomware that was programmed to expire after a given period of time.[3]  Zagala said that he personally had “a maximum of between 10-20” affiliates at a given time, and “sometimes only 5.”  He added that hackers approached him for his software after they had gained access to a victim network:  “they come with access to [b]ig LAN, I check and then I accept[.]  they lock several big networks and we wait…If you lock networks without tape or cloud (backups)[,] almost all pay[.]”  2020年10月7日頃、CHS-1はZagalaに、Thanosを使って自分のアフィリエイト・プログラムを確立する方法を尋ねた。  Zagalaは、ランサムウェアのクルーを設定する方法に関する短いチュートリアルで応えました。  彼は、CHS-1が「LANハッキングに精通している」人々を見つけ、一定期間後に期限切れになるようにプログラムされたThanosランサムウェアのバージョンを提供すべきだと説明しました[3] Zagalaは、彼自身がある時点で「最大10-20」、「時には5」のアフィリエイトを持っていると述べました。  彼は、ハッカーが被害者のネットワークにアクセスした後、彼のソフトウェアのために彼に近づいたと付け加えました。  「彼らはLANにアクセスするためにやってきて、私はそれを確認し、そして受け入れるのです...彼らはいくつかの大きなネットワークをロックし、私たちは待ちます...テープやクラウド(バックアップ)なしでネットワークをロックすれば、ほとんどすべてが支払われます...」。 
Zagala further explained that, sometimes, a victim network turned out to have an unexpected backup: “so no point in locking because they have backups, so in that case we only exfiltrate data,” referring to stealing victim information.  Zagala further added that he had an associate who “knows how to corrupt tapes,” meaning backups, and how to “disable[] AV,” meaning antivirus software.  Finally, Zagala offered to give CHS-1 an additional two weeks free after CHS-1’s one-month license expired, explaining “because 1 month is too little for this business…sometimes you need to work a lot to get good profit.” Zagalaはさらに、被害者のネットワークに予期せぬバックアップがあることが判明することがあると説明しています。「バックアップがあるからロックする意味がない。だから、その場合はデータを流出させるだけだ」と、被害者の情報を盗むことに言及しています。  さらにZagalaは、バックアップを意味する「テープを破損させる方法」と、アンチウイルス・ソフトウェアを意味する「AVを無効化する方法」を知っている仲間がいると付け加えました。  最後に、ZagalaはCHS-1の1ヶ月のライセンスが切れた後、さらに2週間無料で提供すると申し出ました。「このビジネスでは1ヶ月では少なすぎるからだ。良い利益を得るためには、時にはたくさん働かなければならない」と説明しています。
Zagala’s customers favorably reviewed his products.  One individual posted a message praising Thanos in July 2020, writing “i bought the ransomware from nosophoros and it is very powerful,” and claiming that he had used Zagala’s ransomware to infect a network of approximately 3000 computers.  And, in December 2020, another user wrote a post in Russian: “We have been working with this product for over a month now, we have a good profit!  Best support I’ve met.”  Zagala has publicly discussed his knowledge that his clients used his software to commit ransomware attacks, including by linking to a news story about an Iranian state-sponsored hacking group’s use of Thanos to attack Israeli companies. Zagalaの顧客は、彼の製品を好意的に評価しました。  ある個人は2020年7月にThanosを賞賛するメッセージを投稿し、「私はnosophorosからランサムウェアを購入しましたが、非常に強力です」と書き、Zagalaのランサムウェアを使って約3000台のコンピュータのネットワークに感染させたと主張しています。  また、2020年12月には、別のユーザーがロシア語で「この製品を使い始めて1カ月以上経ちますが、良い利益を得ています!」という書き込みをしています。  最高のサポートに出会えた"  Zagalaは、イランの国家に支援されたハッキンググループがThanosを使ってイスラエルの企業を攻撃したというニュース記事にリンクするなどして、クライアントが彼のソフトウェアを使ってランサムウェア攻撃を行ったという知識を公に語っている。
In or around November 2021, Zagala began using a third screenname – “Nebuchadnezzar.”  In chats with a second confidential source of the FBI (CHS-2), Zagala stated that he had switched aliases to preserve “OPSEC… operational security” because “malware analysts are all over me.”  2021年11月頃、Zagalaは3つ目のスクリーンネームである "Nebuchadnezzar "を使い始めています。  FBIの第2の機密情報源(CHS-2)とのチャットで、Zagalaは、「マルウェア・アナリストが私の上にいる」ため、「OPSEC...作戦上の安全」を保つために別名を切り替えたと述べています。 
On or about May 3, 2022, law enforcement agents conducted a voluntary interview of a relative of Zagala who resides in Florida and whose PayPal account was used by Zagala to receive illicit proceeds.  The individual confirmed that Zagala resides in Venezuela and had taught himself computer programming.  The individual also showed agents contact information for Zagala in his phone that matched the registered email for malicious infrastructure associated with the Thanos malware. 2022年5月3日頃、法執行機関は、フロリダに居住するZagalaの親族で、Zagalaが不正な収益を受け取るためにそのPayPalアカウントを使用していた人物に任意の聞き取り調査を実施しました。  この人物は、Zagalaがベネズエラに居住し、コンピュータ・プログラミングを独学で習得していることを確認しました。  また、この人物は、捜査官に、自分の携帯電話にあるZagalaの連絡先が、マルウェア「Thanos」に関連する悪質なインフラの登録メールと一致することを示しました。
If convicted, the defendant faces up to five years’ imprisonment for attempted computer intrusion, and five years’ imprisonment for conspiracy to commit computer intrusions.  有罪判決を受けた場合、同被告はコンピュータ侵入未遂で最長5年の禁固刑、コンピュータ侵入の共謀で5年の禁固刑に処されます。 
The government’s case is being handled by the Office’s National Security and Cybercrime Section.  Assistant United States Attorneys David K. Kessler and Alexander F. Mindlin are in charge of the prosecution.  政府の案件は、同事務所の国家安全保障・サイバー犯罪課が担当しています。  米国弁護士助手のDavid K. KesslerとAlexander F. Mindlinが起訴を担当しています。 
[1] On September 14, 2020, an FBI agent surreptitiously purchased a license for Thanos from Zagala, and downloaded the software.  [1] 2020年9月14日、FBI捜査官がZagalaからThanosのライセンスを密かに購入し、ソフトウェアをダウンロードした。
[2] This server has been taken offline. [2] このサーバーはオフラインになっています
[3] “LAN” stands for “local area network” and refers to a computer network that interconnects computers within a limited area such as an office building. [3] LANとは、ローカルエリアネットワークの略で、オフィスビルなどの限られたエリア内のコンピュータを相互に接続するコンピュータネットワークを指します

 

逮捕状

・[PDF] AMENDED AFFIDAVIT AND COMPLAINT IN SUPPORT OF AN APPLICATION FOR AN ARREST WARRANT

20220519-42835

 

-----

ちなみに、Doomsday [wikipedia] はスーパーマンを倒したクリプト星人が作り出したもののようです。。。運命の日...

 

 

| | Comments (0)

2022.05.18

経済産業省 産業構造審議会 知的財産分科会 不正競争防止小委員会 中間報告書、秘密情報の保護ハンドブック等

こんにちは、丸山満彦です。

経済産業省の産業構造審議会 知的財産分科会 不正競争防止小委員会が、2022.05.17に [PDF] デジタル社会における不正競争防止法の将来課題に関する中間整理報告、[PDF] 限定提供データに関する指針改訂、[PDF] 秘密情報の保護ハンドブックを公表していますね。。。

法律家が多数関与していることもあり、法的な面での情報量が非常に多く、大変参考になるものと思います。。。

セキュリティ面においては、秘密保護に関するものですので、(参考資料1)情報漏えい対策一覧にある対策は、セキュリティのCIAのCを強調したものになりますね。。。できたら、 JISQ 27002(または、ISO/IEC 27002)との関係でがApendixであればよかったかもですね、、、

また、技術情報管理認証制度にもコラムで触れていますね。。。

 

ちなみに、秘密情報の保護ハンドブックは300ページ弱もあります。。。

 

経済産業省審議会・研究会 - 産業構造審議会 - 知的財産分科会 - 不正競争防止小委員会

・2022.05.17 産業構造審議会 知的財産分科会 不正競争防止小委員会 中間報告書等

20220517-220213

目次です。。。

第1章   目的及び全体構成
1-1 目的及び留意点等
1-2 本書の全体構成
1-3 本書の使い方
コラム① 本書をどのように使えばいいの

第2章   保有する情報の把握評価、秘密情報の決定
2-1 企業が保有する情報の評価
(1)   企業が保有する情報の全体像の把握
(2)   保有する情報の評価

2-2 秘密情報の決定
(1)秘密情報の決定に当たって考慮すべき観点のイメージ

第3章   秘密情報の分類、情報漏えい対策の選択及びそのルール化
3-1 秘密情報の分類
3-2 分類に応じた情報漏えい対策の選択
3-3 秘密情報の取扱い方法等に関するルール化
(1)   ルール化の必要性とその方法
(2)   秘密情報の取扱い等に関する社内の規程の策定
コラム② こんなに怖い、秘密情報の漏えい
コラム③ 外国から狙われる企業の秘密情報

3-4 具体的な情報漏えい対策例
(1)   従業員等に向けた対策
(2)   退職者等に向けた対策
(3)   取引先に向けた対策
(4)   外部者に向けた対策
コラム④ 標的型攻撃メールってどんなもの?
コラム⑤ 最低限のサイバーセキュリティって?

第4章   秘密情報の管理に係る社内体制のあり方
4-1 社内体制構築に当たっての基本的な考え方
4-2 各部門の役割分担の例
コラム⑥ 技術情報管理認証制度について

第5章   他社の秘密情報に係る紛争への備え
5-1 自社情報の独自性の立証
5-2 他社の秘密情報の意図しない侵害の防止
(1)   転職者の受入れ
(2)   共同受託研究開発
(3)   取引の中での秘密情報の授受
(4)   技術情報営業情報の売込み

5-3 営業秘密侵害品に係る紛争の未然防止

第6章   漏えい事案への対応
6-1 漏えいの兆候の把握及び疑いの確認方法
(1)   漏えいの兆候の把握
(2)   漏えいの疑いの確認

6-2 初動対応
(1)   社内調査状況の正確な把握原因究明
(2)   被害の検証
(3)   初動対応の観点
(4)   初動対応の体制

6-3 責任追及
(1)   刑事的措置
(2)   民事的措置
(3)   社内処分

6-4 証拠の保全収集
(1)   証拠の保全
(2)   証拠の収集

参考資料
・参考資料1 秘密情報漏えい対策一覧
・参考資料2 各種契約書等の参考例
・参考資料3 各種窓口一覧
・参考資料4 秘密情報管理に関する各種ガイドライン等について
・参考資料5 競業避止義務契約の有効性について
・参考資料6 営業秘密侵害罪に係る刑事訴訟手続における被害企業の対応のあり方について

その他
・産業構造審議会知的財産分科会不正競争防止小委員会委員名簿
・産業構造審議会知的財産分科会営業秘密の保護活用に関する小委員会委員名簿
・企業の機密情報の管理手法等に係るマニュアルの策定に向けた研究会委員名簿
・秘密情報の保護ハンドブック ~企業価値向上に向けて~(概要説明資料)


 

まるちゃんの情報セキュリティ気まぐれ日記

技術情報管理認証精度関係...

・2022.05.03 経済産業省 技術情報管理認証制度 技術等情報漏えい防止措置認証業務の実施の方法及び技術等情報漏えい防止措置の実施の促進に関する指針の改正告示案

 

経営ガイドライン関係...

・2022.04.12 経済産業省 「産業サイバーセキュリティ研究会」から「産業界へのメッセージ」

・2022.03.30 IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

・2021.08.18 経済産業省 / IPA サイバーセキュリティ経営可視化ツールWeb版(V1.0版)

・2021.04.27 経済産業省 「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)

・2021.04.06 IPA 「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書

・2020.09.30 経済産業省からサイバーセキュリティ経営ガイドラインVer2.0の付録として「サイバーセキュリティ体制構築・人材確保の手引き」が公開されていますね。。。

・2020.07.01 経済産業省 第5回 産業サイバーセキュリティ研究会

・2020.06.04 IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

・2020.03.26 IPA サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版

 

ISO/IEC 27002:2022関係

・2022.02.17 ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

 

 

| | Comments (0)

2022.05.17

AIサプライチェーンリスク (米国下院 科学・宇宙・技術委員会での証言から)(2022.05.11)

こんにちは、丸山満彦です。

米国下院のHouse Committee on Science, Space and Technology(科学・宇宙・技術委員会)で、オープンソースソフトウェアのサイバーセキュリティについての公聴会があり、そこでAIサプライチェーンリスクについての発表もあったようですね。。。

販売されているAIを利用しようとする場合、AIサプライチェーンリスクは通常のプログラムより深刻かも知れませんね。。。

機械学習によるアプリケーションはデータがある意味プログラムの一部であるわけで、そのAIがどのような学習をしてきたか(あるいは教育を受けてきたか)によって、意図的な判断を組み込むことができそうですし、かといって、その意図的な判断が組み込まれていることを見つけ出すことは難しいように思います。

例えば、マルウェア検出を人工知能で行うアプリケーションを考えてみても、特定のパターンのマルウェアについてはマルウェアと判別しないようにしていても、それに気づくことは難しいですよね。。。考えられる対策としては、アンドリュー氏は、政府による信頼できるAIのバージョンが提供される仕組みを作ることを提唱していますね。。。(政府に何ができるのかと言うことを考える場ですから、、、)

それ以外にも、ユーザサイドの対策としては、複数の同種のプログラムを利用して、その結果を利用することも考えられると思います。。。(多数決な感じ...)

いずれにしても、これからはアプリケーション等の作成に関わった主体の信頼性などの要素が重要となってくるように感じます。

米国の公聴会の議論も踏まえて政策を考えたら良いのでしょうね。。。(議論の質が高いものが多いように感じるし。。。)

しかし、下院の科学・宇宙・技術委員会の投資・監視小委員会の議長Bill Fosterさんは、フェルミ研究所出身なんですね。。。

Fig1_20220517041101

 

House Committee on Science, Space and Technology

・2022.05.11 SECURING THE DIGITAL COMMONS: OPEN-SOURCE SOFTWARE CYBERSECURITY

・[PDF] Dr. Andrew Lohn, Senior Fellow, Center for Security and Emerging Technology, Georgetown University

20220517-42029

ビデオは、

44:50くらいから始まります。。。

本文...

Chairman Foster, Chairwoman Stevens, Ranking Member Obernolte, Ranking Member Feenstra, and members of the Subcommittees, thank you for the opportunity to testify before you today. I am Andrew Lohn, Senior Fellow in the CyberAI Project of the Center for Security and Emerging Technology at Georgetown University. It is an honor to be here. During the next few minutes, I would like to discuss risks related to the artificial intelligence supply chain.  フォスター委員長、スティーブンス委員長、オバーノルテ委員、フィーンストラ委員、そして各小委員会の皆様、本日は証言の機会をいただき、ありがとうございます。私は、ジョージタウン大学安全保障・新技術センターのサイバーAIプロジェクトのシニアフェロー、アンドリュー・ローンと申します。この場にいることを光栄に思います。これから数分間、人工知能のサプライチェーンに関連するリスクについてお話したいと思います。
A Culture of Sharing  共有の文化 
The AI community has been particularly open to sharing. For example, it cost $500,000 and two and a half years to build the famous ImageNet dataset, but the professor who built it released it to everyone. Then Google and Facebook both released their powerful AI engines. Now thousands of the most powerful AI models are a quick download away. It is truly incredible given that these models often range from thousands to millions of dollars to build – and that’s in computing cost alone, without even considering the expertise to design them.  AIコミュニティは、特に共有に対してオープンです。例えば、有名なImageNetデータセットの構築には50万ドルと2年半の時間がかかりましたが、構築した教授はそれを皆に公開しました。その後、GoogleとFacebookが強力なAIエンジンを公開しました。今では、何千もの最も強力なAIモデルが、すぐにダウンロードできるようになりました。これらのモデルの構築には数千ドルから数百万ドルの費用がかかることが多く、しかもそれは設計の専門知識を考慮しない計算コストだけであることを考えると、本当に驚くべきことです。
The AI Supply Chain  AIサプライチェーン 
These datasets, models, and AI programming resources are the building blocks of today’s AI systems. In the same way that few bakers today grow their own grain and raise their own hens, most AI developers simply combine ready-made components and tweak them for their new applications. Sometimes the whole process only needs a few lines of code and surprisingly little expertise. This approach allowed Google Translate to improve performance in 2016 while trimming from 500,000 lines of code down to just 500.  これらのデータセット、モデル、AIプログラミングリソースは、今日のAIシステムの構成要素となっています。パン職人が自分で穀物を育てたり、鶏を飼ったりすることがほとんどないのと同じように、AI開発者の多くは既製の部品を組み合わせ、新しい用途に合わせて手を加えるだけです。その際、必要なのは数行のコードと驚くほど少ない専門知識だけだったりします。このアプローチにより、Google翻訳は2016年、50万行のコードをわずか500行に削減しながら、パフォーマンスを向上させることができました。
Sharing has driven both scientific and economic progress, but it has also created an alluring target for attackers.   共有は、科学と経済の両方の進歩を推進しましたが、攻撃者にとって魅力的なターゲットも生み出しています。 
Supply Chain Vulnerability  サプライチェーンの脆弱性 
For one, an attacker can subvert an AI system by altering the data. That could happen, for instance, by a nefarious online worker while they label the datasets or by a hacker who sneaks into the victim’s networks. Alternatively, if the attacker provides a fully trained model, then it can be very hard to find their manipulations.   一つは、攻撃者がデータを改ざんすることで、AIシステムを破壊できることです。例えば、データセットにラベルを貼る際に悪意のあるオンラインワーカーによって、あるいは被害者のネットワークに忍び込むハッカーによって、そのようなことが起こる可能性があります。また、攻撃者が完全に訓練されたモデルを提供した場合、その操作を発見することは非常に困難です。 
There is no good way to know if a downloaded model has a backdoor, and it turns out that those backdoors can survive even after the system has been adapted for a new task. A poisoned computer vision system might mistakenly identify objects, or a poisoned language model might not detect terrorist messages or disinformation campaigns that use the attacker’s secret codewords.  ダウンロードしたモデルにバックドアがあるかどうかを知る良い方法はなく、バックドアはシステムが新しいタスクに適応された後でも生き残ることができます。毒されたコンピュータビジョンシステムが誤って物体を識別したり、毒された言語モデルが攻撃者の秘密のコードネームを使用したテロリストのメッセージや偽情報キャンペーンを検出しないかもしれません。
The programming resources for building AI systems are also vulnerable. Such systems can have thousands of contributors from around the globe writing millions of lines of code. Some of that code has been exploitable in the past. And some of it prioritizes speed or efficiency over security. For example, vision systems need images at a specific size, but the code to resize images allows attackers to swap out one image for another.  AIシステムを構築するためのプログラミング資源もまた脆弱です。このようなシステムには、世界中から何千人もの貢献者が集まり、何百万行ものコードを書いていることがあります。その中には、過去に悪用されたことのあるコードもあります。また、セキュリティよりもスピードや効率を優先するコードもあります。例えば、画像処理システムは特定のサイズの画像を必要としますが、画像のサイズを変更するコードによって、攻撃者はある画像を別の画像に交換することができます。
And lastly, these resources are only as secure as the organization or system that provides them. Today, the vast majority are hosted in the United States or its allies, but China is making a push to create state-of-the-art resources and the network infrastructure to provide them. If adversaries make the most capable models – or if they simply host them for download – then developers in the United States would face an unwelcome choice between capability and security.   そして最後に、これらのリソースは、それを提供する組織やシステムの安全性と同じだけ安全です。現在、その大半は米国やその同盟国でホストされていますが、中国は最先端のリソースとそれを提供するネットワーク・インフラを構築することを推進しています。もし敵対国が最も高性能なモデルを作成し、あるいは単にダウンロードできるようにホストするのであれば、米国内の開発者は性能とセキュリティの間で好ましくない選択に直面することになります。 
Recommendations  提言 
There are a few things Congress can do now to help maximize the benefits of this sharing culture while limiting the security risks that come with it. One step is supporting efforts to provide trusted versions of these AI resources, such as through NIST or the National AI Research Resource. Funding is also needed to do the basic hygiene, cleanup, and audits that are important for security, but that attract few volunteers.  このような共有文化のメリットを最大限に生かしつつ、それに伴うセキュリティリスクを抑えるために、議会が今できることがいくつかあります。その一歩は、NISTやNational AI Research Resourceなどを通じて、これらのAIリソースの信頼できるバージョンを提供する取り組みを支援することです。また、セキュリティにとって重要でありながら、ボランティアがほとんど集まらない基本的な衛生管理、クリーンアップ、監査を行うための資金も必要です。
Congress should consider requesting that organizations across the U.S. government create a prioritized list of AI systems and the resources used to build them. This list may be easier to create and maintain if these organizations are incentivized to collect a software bill of materials that lists the components in the software that the government buys or builds.  議会は、米国政府全体の組織に対して、AIシステムとその構築に使用されるリソースの優先順位付けされたリストを作成するよう要請することを検討すべきです。もしこれらの組織が、政府が購入または構築するソフトウェアのコンポーネントをリストアップしたソフトウェア部品表を収集するよう奨励されれば、このリストの作成と維持はより容易になるかもしれません。
And lastly, many of these AI systems are new, and so are the attacks on them. The government would benefit from augmenting their red and blue teams of defensive hackers and security specialists with AI expertise to help them discover security holes in our most important systems while also thinking of new, creative ways to subvert them before our adversaries do.  最後に、これらのAIシステムの多くは新しいものであり、それに対する攻撃もまた新しいものです。政府は、防御的なハッカーやセキュリティの専門家からなるレッドチームとブルーチームにAIの専門知識を補強することで、最も重要なシステムのセキュリティホールを発見し、敵より先にそれを破壊する新しい創造的な方法を考えるのに役立つと思われます。
Thank you for the opportunity to testify today, and I look forward to your questions.   本日は証言の機会をいただき、ありがとうございました。 

 

オープンソフトのセキュリティと言う意味では、他の証言も大変参考になるので、、、

 

» Continue reading

| | Comments (0)

2022.05.16

英国 NCSC 組織体向けコネクテッド・デバイスの組織的利用 (2022.05.10)

こんにちは、丸山満彦です。

英国政府が、Organisational use of Enterprise Connected Devices(組織体向けコネクテッド・デバイスの組織的利用)に関する報告書を公開していますね。。。

 

National Cyber Security Centre (NCSC)

・2022.05.10 Organisational use of Enterprise Connected Devices

・2022.05.10 [PDF] Organisational use of Enterprise Connected Devices

20220515-63408

 

Organisational use of Enterprise Connected Devices 組織体向けコネクテッド・デバイスの組織的利用
Assessing the cyber security threat to UK organisations using Enterprise Connected Devices. 組織体向けコネクテッド・デバイスを使用する英国組織体のサイバーセキュリティ脅威の評価
Introduction はじめに
This paper aims to provide an assessment of the current cyber security threat to Enterprise Connected Devices. This information will be of interest to industry and any person using a connected device. 本文書の目的は、組織体向けコネクテッド・デバイスに対する現在のサイバーセキュリティの脅威を評価することです。この情報は、産業界および接続デバイスを使用するすべての人の関心を引くものです。
Devices used and deployed by organisations have changed dramatically in recent years. From enabling remote and flexible working to improving efficiency and productivity, these devices are broad in scope and frequently rely on their ability to be connected; with this comes increased risk. 組織が使用・導入するデバイスは、近年劇的に変化しています。リモートワークやフレキシブルワークの実現から、効率性や生産性の向上まで、これらのデバイスは幅広い範囲に及び、頻繁に接続する能力に依存しています。
In collaboration with DCMS, the NCSC have begun the process of assessing the landscape of these Enterprise Connected Devices and we have launched the Device Security Principles (Beta) as a framework to help drive forward security in this area. DCMSと共同で、NCSCはこれらの組織体向けコネクテッド・デバイスの状況を評価するプロセスを開始し、この分野のセキュリティを推進するための枠組みとして、Device Security Principles (ベータ)を立ち上げました。
Key judgements 主要意見
・It is highly likely that the growing number of Enterprise Connected Devices (ECDs) being adopted by enterprises presents an expanding attack surface, with many of these devices being accessible over the public internet, and with cyber security often being an afterthought. ・組織体によって採用される組織体向けコネクテッド・デバイス(ECD)の数は増加しており、これらのデバイスの多くが公共のインターネットを介してアクセス可能で、サイバーセキュリティが後回しにされることが多いため、攻撃対象が拡大している可能性が高い。
・Following initial compromise, it is highly likely that ECDs will be used as an attack vector or pivot point to enable cyber actors to gain access to an enterprise's corporate network for espionage purposes, disruption, or financial gain. ・ECDは、最初の侵害の後、サイバー攻撃者がスパイ活動や破壊活動、金銭的な利益を得るために組織体のネットワークにアクセスするための攻撃のベクトルや基点として使用される可能性が高い。
・Deployments of ECDs within large UK organisations are likely to present a different threat profile from typical consumer use. Organisations often have more knowledge, responsibility and control of networks and cyber security, compared with a typical consumer. ・英国の大規模な組織における ECD の導入は、一般的な消費者の使用とは異なる脅威のプロフィールを示する可能性があります。組織は、一般的な消費者と比較して、ネットワークやサイバーセキュリティについてより多くの知識、責任、管理を持っている場合が多いからです。
How likely is a 'realistic possibility'? 「現実的な可能性」とはどの程度の可能性か?
NCSC Assessment uses the PHIA probability yardstick every time we make an assessment, judgement, or prediction. The terms used correspond to the likelihood ranges below. NCSCアセスメントでは、評価、判断、予測を行うたびに、PHIAの確率基準を使用しています。使用される用語は、以下の可能性の範囲に対応しています。
Ecdyardlarge
What are Enterprise Connected Devices? 組織体向けコネクテッド・デバイスとは何ですか?
Enterprise Connected Devices (ECDs) are any devices that interact with, hold, or process an organisation’s data. ECD is making the fabric of the world around us smarter and more responsive, merging the digital and physical worlds. 組織体向けコネクテッド・デバイス (ECD) は、組織のデータと相互作用し、データを保持し、処理するあらゆるデバイスです。ECDは、私たちを取り巻く世界の構造をよりスマートで応答性の高いものにし、デジタル世界と物理世界を融合させています。
Enterprise Connected Devices (ECDs) refer to any device which interacts with, holds, or processes an organisation's data. As a result of the broad range of devices, ECDs can encompass other categories of devices depending on their use and can cross over to multiple other device classes, including: 組織体向けコネクテッド・デバイス (ECD) は、組織のデータと相互作用し、データを保持し、処理するあらゆるデバイスを指します。ECDには幅広いデバイスが含まれるため、用途に応じて他のデバイスのカテゴリを包含し、以下のような他の複数のデバイスクラスとクロスオーバーする可能性があります。
・End user devices: Devices such as laptops and smartphones. Although these are devices designed for both consumers and organisations, if used in the context outlined above, they are classed as ECDs. If a personal device is also used for work purposes (e.g. Bring Your Own Device (BYOD)) or is able to interact with organisation data, for example by being able to connect to an enterprise network, as classed above, it is viewed as an ECD. ・エンドユーザーデバイス: エンドユーザーデバイス:ノートパソコンやスマートフォンなどのデバイス。エンドユーザーデバイス:ノートパソコンやスマートフォンなどのデバイス。これらは消費者と組織の両方のために設計されたデバイスですが、上記の文脈で使用される場合、それらはECDとして分類されます。個人所有のデバイスが業務目的でも使用される場合(例:BYOD(Bring Your Own Device))、または、上記のように組織体ネットワークに接続できるなど、組織のデータとやり取りできる場合は、ECDとみなされる。
・Internet of Things (IoT): IoT refers to the billions of physical devices around the world that are now connected to the internet, all collecting and sharing data. Connecting all these different devices to the internet and adding sensors and mechanisms to interact with their surrounding environment adds a level of digital intelligence to devices, enabling them to communicate real-time data without involving a human being. ・IoT:IoTとは、インターネットに接続され、データを収集・共有する世界中の何十億もの物理デバイスを指します。これらの機器をインターネットに接続し、センサーや周辺環境と相互作用する仕組みを追加することで、機器にデジタルインテリジェンスのレベルが加わり、人間が介在しなくてもリアルタイムのデータ通信が可能になります。
・Distinct ECDs: These are devices that are primarily designed for use in an enterprise setting. Whilst they may be available to purchase by consumers, they usually require some form of additional infrastructure or have limited use by the public. ・専用ECD:主に組織体での利用を想定して設計された機器です。一般消費者が購入できる場合もありますが、通常は何らかの追加インフラを必要とするか、一般消費者の利用が限定されます。
Consumer IoT is now embedded in every part of our lives, with more and more devices becoming connected to the internet each day. Examples include smart kettles, watches, refrigerators, and televisions. As we connect more devices in our homes to the internet, products and appliances that have traditionally been offline are now becoming part of the IoT. 消費者向けIoTは、今や私たちの生活のあらゆる部分に組み込まれており、日々、より多くの機器がインターネットに接続されるようになっています。例えば、スマート電気ポット、時計、冷蔵庫、テレビなどです。家庭内の多くの機器をインターネットに接続することで、従来はオフラインであった製品や家電がIoTの一部となりつつあるのです。
For the purpose of this paper, Enterprise IoT devices and distinct ECDs are defined as devices that are industry-agnostic and are typically not available or intended for consumers to purchase. Operational Technology (OT) is not within scope. 本文書では、組織体向けIoTデバイスと明確なECDを、業界にとらわれず、通常、消費者が購入することができない、または購入することが意図されているデバイスと定義しています。オペレーショナルテクノロジー(OT)は範囲外です。
Enterprise IoT is the advancement in technology that enables physical 'things' with embedded computing devices to participate in business processes for reducing manual work and increasing overall business efficiency. Taking advantage of a combination of technologies ranging from embedded devices with sensors and actuators to internet-based communication and cloud platforms, enterprise IoT applications can now automate business processes that depend on contextual information provided by programmed devices such as machines, vehicles, and other equipment. エンタープライズIoTは、コンピューティングデバイスが組み込まれた物理的な「モノ」をビジネスプロセスに参加させ、手作業を減らしてビジネス全体の効率を向上させる技術の進歩です。センサーやアクチュエーターを備えた組み込みデバイスから、インターネットベースの通信やクラウドプラットフォームまで、さまざまな技術を組み合わせて活用することで、エンタープライズIoTアプリケーションは、機械、自動車、その他の機器など、プログラムされたデバイスから得られるコンテキスト情報に依存するビジネスプロセスを自動化できるようになりました。
ECDs, both consumer and enterprise, are used within the daily operation of thousands of organisations around the UK. However, vulnerable devices can provide a route for hostile actors to attack enterprise systems. ECDは、消費者向け、エンタープライズ向けを問わず、英国内の何千もの組織の日常業務の中で使用されています。しかし、脆弱なデバイスは、敵対行為者が組織体システムを攻撃するための経路を提供する可能性があります。
Why target Enterprise Connected Devices? なぜ組織体向けコネクテッド・デバイスを標的にするのか?
ECDs are a hugely attractive target for different types of threat actor as they can hold and process valuable, sensitive, or personal data. Many categories of ECDs (particularly IoT devices) present an easy target to compromise due to typically limited security efforts by vendors, a large attack surface (multiple endpoints for access to wider networks) and attack base for lateral movement. ECDは、貴重な機密データや個人データを保持し処理することができるため、さまざまなタイプの脅威者にとって非常に魅力的なターゲットです。多くの種類のECD(特にIoTデバイス)は、ベンダーによるセキュリティ対策が一般的に限られており、攻撃対象領域(より広いネットワークにアクセスするための複数のエンドポイント)および横移動のための攻撃基盤が広いため、容易に侵害されるターゲットとなり得ます。
The COVID-19 pandemic has driven a surge in remote working, and ECDs have played a vital role in supporting business continuity. ECD usage has boosted operational efficiency, as seen in the retail industry where some ECDs are used to monitor entire supply chains, from manufacturing to the store. This has improved production quality and ensures that distribution matches demand across retail outlets. Not only has it enabled some tasks to be automated and work to be carried out remotely, but it has also helped prioritise manual work to cope with reduced labour, and protect those employees doing vital work. For example, energy providers can remotely check an organisation’s utility installations from a distance rather than going into the field themselves. COVID-19の流行により、リモートワークが急増し、ECDは事業継続を支援する上で重要な役割を担っています。小売業では、製造から店舗までのサプライチェーン全体を監視するためにECDが使用されるなど、ECDの使用は業務効率を向上させました。これにより、生産品質が向上し、小売店での需要に見合った流通が可能になりました。また、一部の作業を自動化し、リモートで作業を行うことが可能になっただけでなく、労働力の減少に対応するために手作業に優先順位をつけ、重要な作業を行っている従業員を保護することにも役立っています。例えば、エネルギー供給会社は、自ら現場に行くのではなく、離れた場所から組織のユーティリティ設備をリモートでチェックすることができます。
This has presented opportunities for organisations to work innovatively but has also created new opportunities for threat actors. The increase in the number of connected services globally and their dependency on ECDs to run and facilitate such services raises concerns over threats like Distributed Denial of Service (DDoS) attacks to potentially cause nationwide failures for businesses and critical systems. これは、組織が革新的な仕事をする機会を提供する一方で、脅威要因に新たな機会を与えることにもなりました。世界的に接続されたサービスの数が増加し、そのようなサービスを実行し促進するためにECDに依存しているため、分散型サービス拒否(DDoS)攻撃などの脅威が懸念され、組織体や重要システムに全国規模の障害を引き起こす可能性があります。
Case Study: Hacking group compromise of VoIP networks ケーススタディ:ハッキンググループによるVoIPネットワークへの侵害
Cyber security researchers have detailed how one hacking group compromised the VoIP networks of almost 1,200 organisations in over 20 countries, with over half the victims in the UK. Industries including government, military, insurance, finance, and manufacturing are believed to have fallen victim to the campaign. The attackers exploited CVE-2019-19006, a critical vulnerability in Sangoma and Asterisk VoIP phone systems that allows outsiders to remotely gain access without any form of authentication. A security patch to fix the vulnerability had been released, but many organisations were yet to apply it, at the time of reporting – and cyber criminals are taking advantage of this by scanning for unpatched systems. サイバーセキュリティ研究者は、あるハッキンググループが20カ国以上の約1,200の組織のVoIPネットワークを侵害し、その半数以上が英国で被害を受けていたことを明らかにしました。政府、軍、保険、金融、製造業など、さまざまな業種がこのキャンペーンの犠牲になったと考えられています。攻撃者は、SangomaおよびAsterisk VoIP電話システムの重大な脆弱性であるCVE-2019-19006を悪用して、部外者が何の認証もなしにリモートでアクセスできるようにした。この脆弱性を修正するセキュリティパッチがリリースされましたが、報告時点では多くの組織がまだ適用しておらず、サイバー犯罪者はパッチが適用されていないシステムをスキャンすることでこの状況を利用しているのです。
Lateral movement  横方向の移動 
A single exposed ECD has the potential to enable a cyber actor to gain access to an enterprise's corporate network. While the security postures of many ECDs make them easy targets, it is highly likely devices are used as stepping stones in lateral movement to compromise other systems on a network. ECDが1つでも露出すると、サイバー犯罪者は組織体のネットワークにアクセスできるようになる可能性があります。多くのECDは、そのセキュリティポーズから容易に標的となりますが、ネットワーク上の他のシステムを侵害するための横移動の足がかりとしてデバイスが使用される可能性が非常に高いのです。
Case Study: Internet-connected fish tank ケーススタディ:インターネットに接続された水槽
In 2017, cyber actors acquired data from a North American casino by compromising an internet-connected fish tank. The fish tank had sensors connected to a computer, which monitored the temperature, food, and cleanliness of the fish tank. The cyber actor was able to compromise the fish tank, gain access to other areas of the network through lateral movement, and steal data. 2017年、サイバーアクターは、インターネットに接続された水槽を侵害することで、北米のカジノからデータを取得しました。水槽にはコンピュータに接続されたセンサーがあり、水槽の温度、餌、清潔さを監視していました。サイバーアクターは、水槽を侵害し、横移動によってネットワークの他の領域にアクセスし、データを盗むことができました。
Data theft データの窃取
An ECD can store, process, or stream an abundance of information that can be critical, private, or sensitive, depending on the environment or industry. One of the main ECD challenges is that the devices often record, have access to, and stream sensitive data. Security systems such as cameras and doorbells are increasingly a part of small business networks and can quickly create major issues if compromised by a cyber actor. Office equipment, such as printers, are also potential access points - a compromised printer could easily mean that the attacker can view everything that is printed or scanned in an office. ECDは、環境や産業によって、重要、私的、または機密となりうる情報を大量に保存、処理、または流すことができます。ECDの主な課題の1つは、デバイスが機密データを記録し、アクセスし、ストリームすることが多いということです。カメラやドアベルなどのセキュリティシステムは、中小組織体のネットワークの一部となりつつあり、サイバー行為者によって侵害された場合、すぐに大きな問題を引き起こす可能性があります。プリンターなどのオフィス機器も潜在的なアクセスポイントであり、侵害されたプリンターは、攻撃者がオフィスで印刷またはスキャンされたすべてのデータを見ることができることを意味する可能性があります。
Monetary gain 金銭的利益
ECD attacks can prove profitable for threat actors. Vulnerable ECDs can enable ransomware attacks against victim networks, providing attackers with the ability to seek payment to relinquish control of compromised assets. ECD攻撃は、脅威者にとって利益をもたらす可能性があります。脆弱な ECD は、被害者のネットワークに対するランサムウェア攻撃を可能にし、攻撃者に、侵害された資産の制御を放棄するための支払いを要求する能力を提供することができます。
Attack base/positioning 攻撃拠点/配置
Cyber actors can weaponise ECDs so attacks can be spread outwards or deeper into the main infrastructure. ECDs are also ideal targets to turn into bots for use in further campaigns. A botnet is a collection of internet-connected 'bots' under remote control from malicious actors. サイバー攻撃者は、ECDを武器として、攻撃を外部に広げたり、主要なインフラストラクチャの奥深くに侵入させたりすることができます。また、ECDは、さらなるキャンペーンに使用するためにボット化するための理想的なターゲットでもあります。ボットネットとは、インターネットに接続された「ボット」の集合体で、悪意のある行為者から遠隔操作されるものです。
Case Study: VPNFilter malware ケーススタディ:VPNFilter マルウェア
VPNFilter is a malware type that affects routers and storage devices by using backdoor accounts and exploits of several known vendors, likely to have been developed by a nation state. The botnet, referred to by the FBI and cyber security researchers as VPNFilter, targets small office/home office routers and network-access storage (NAS) devices, which are hardware devices made up of several hard drives used to store data in a single location that can be accessed by multiple users. VPNFilter operates in multiple stages that include initial infection, command-and-control communications, and the third stage, in which the payloads are deployed. VPNFilterは、複数の既知のベンダーのバックドアアカウントとエクスプロイトを使用してルータやストレージデバイスに影響を与えるマルウェアの一種で、国家によって開発された可能性が高いとされています。このボットネットは、FBIやサイバーセキュリティ研究者によってVPNFilterと呼ばれ、小規模オフィス/ホームオフィスのルーターや、複数のユーザーがアクセスできる1つの場所にデータを保存するために使用される複数のハードディスクからなるハードウェアデバイスであるネットワークアクセスストレージ(NAS)デバイスをターゲットにしています。VPNFilterは、初期感染、コマンド&コントロール通信、ペイロードが展開される第3ステージなど、複数のステージで動作します。
Who targets Enterprise Connected Devices? 組織体向けコネクテッド・デバイスを狙うのは誰か?
Nation state actors 国家背景の攻撃者
Nation state cyber actors have reportedly targeted ECDs for espionage purposes. Nation state cyber actors have highly likely taken notice of such ECD vulnerabilities such as default passwords, outdated protocols, the absence of encryption, incorrect configurations, and unpatched devices, to get in the backdoor of enterprise networks. 国家のサイバー攻撃者は、諜報活動のためにECDを標的としていると報告されています。国家レベルのサイバー攻撃者は、デフォルトのパスワード、古いプロトコル、暗号化の欠如、不正な設定、パッチが適用されていないデバイスなど、ECDの脆弱性に着目し、組織体ネットワークのバックドアに侵入している可能性が高いのです。
Case Study: APT group compromising popular IoT devices ケーススタディ:一般的なIoTデバイスを侵害するAPTグループ
In April 2020, Microsoft security researchers observed the Russian-backed hacking group STRONTIUM (also known as Fancy Bear or APT28) compromising popular IoT devices (a VOIP phone, an office printer, and a video decoder) across multiple customer locations. Microsoft had more widely observed the group’s attacks targeting a range of sectors, including defence, education, engineering, government, IT, medicine, and military. 2020年4月、マイクロソフトのセキュリティ研究者は、ロシアに支援されたハッキンググループSTRONTIUM(別名Fancy BearまたはAPT28)が、複数の顧客拠点で人気のあるIoTデバイス(VOIP電話、オフィスプリンター、ビデオデコーダー)を侵害しているのを観測しました。マイクロソフトは、防衛、教育、エンジニアリング、政府、IT、医療、軍事など、さまざまな分野を標的とした同グループの攻撃をより広く観測していました。
The goals for cyber espionage campaigns may differ but are often focused on theft of information without the target becoming aware. It is a realistic possibility that nation state actors target the supply chain of ECDs, due to the wide range of ECDs, the access they have, and the size of the user base. Nation states compromising supply chains is nothing new - the 2017 NotPetya attack and the 2020 SolarWinds compromise are both supply chain attacks that have been attributed by the UK to a nation state. サイバースパイ活動の目的は様々ですが、多くの場合、ターゲットに気付かれることなく情報を盗むことに重点が置かれています。ECDの種類やアクセス権、ユーザー数の多さから、国家権力がECDのサプライチェーンを狙うことは現実的な可能性です。国家がサプライチェーンを侵害することは目新しいことではなく、2017年のNotPetya攻撃と2020年のSolarWindsの侵害は、いずれも英国が国家に起因するサプライチェーン攻撃であると発表しています。
Case Study: Ransomware and smart TVs ケーススタディ:ランサムウェアとスマートテレビ
In 2016, there were instances reported of Android malware infecting phones, tablets, and other Android-powered devices, such as smart TVs. LG smart TVs were infected with ransomware, and victims were required to pay the cyber actors to unlock their smart TV. A 2016 report detailed that smart TVs were regularly targeted by ransomware, with the most active threat being Cyber. Police (FLocker). 2016年、Androidマルウェアがスマホやタブレット、スマートテレビなどのAndroid搭載端末に感染する事例が報告されました。LGのスマートテレビがランサムウェアに感染し、被害者はスマートテレビのロックを解除するためにサイバーアクターにお金を支払うことを要求されました。2016年のレポートでは、スマートテレビが定期的にランサムウェアの標的になっており、最も活発な脅威はCyber.FLocker(FLocker)です。
Cyber criminals サイバー犯罪者
Cyber criminals are financially motivated, and their capabilities vary. They often attempt to disrupt services via DDoS attacks or encrypt data through ransomware and demand payment. Cyber criminals will likely attempt to gain access to insecure ECDs by openly scanning for vulnerabilities that can be exploited. サイバー犯罪者は金銭的な動機があり、その能力もさまざまです。彼らはしばしば、DDoS攻撃によってサービスを妨害しようとしたり、ランサムウェアによってデータを暗号化し、支払いを要求したりします。サイバー犯罪者は、悪用可能な脆弱性を公然とスキャンして、安全でないECDにアクセスしようとすることが多いでしょう。
Case Study: Mirai malware being used by cyber criminals ケーススタディ:サイバー犯罪者に利用されるMiraiマルウェア
In 2016, IP cameras and basic home routers were infected with the Mirai malware, creating a botnet that was subsequently abused to take out Domain Name System (DNS) provider Dyn, in an attack that left many high-profile websites inaccessible. Despite first appearing in 2016, the Mirai malware has continued to be dominant, and a worrying new trend has seen criminals develop variations that are specifically engineered to infect enterprise IoT devices. Digital signage monitors, wireless presentation systems and other such devices present attackers with access to greater bandwidth connections than can be achieved through consumer devices, which enables them to launch stronger DDoS attacks. 2016年、IPカメラと基本的な家庭用ルーターがマルウェア「Mirai」に感染し、ボットネットを作成し、その後、ドメインネームシステム(DNS)プロバイダーのDynを悪用し、多くの著名なウェブサイトをアクセス不能にする攻撃で、Dynを破壊しました。2016年に初めて出現したにもかかわらず、Miraiマルウェアは支配的であり続け、心配な新しい傾向として、犯罪者が組織体のIoTデバイスに感染するように特別に設計されたバリエーションを開発していることが挙げられます。デジタルサイネージモニター、ワイヤレスプレゼンテーションシステム、その他のデバイスは、攻撃者が消費者向けデバイスよりも大きな帯域幅の接続にアクセスできるようにし、より強力なDDoS攻撃を可能にします。
The Mirai malware targets IoT devices to turn them into botnets capable of launching DDoS attacks. Once infected with Mirai, computers continually search the internet for vulnerable IoT devices and then use known default usernames and passwords to log in, infecting them with malware. マルウェア「Mirai」は、IoTデバイスを標的とし、DDoS攻撃を行うことができるボットネットに変貌させます。Miraiに感染すると、コンピュータはインターネット上で脆弱なIoTデバイスを継続的に検索し、既知のデフォルトのユーザー名とパスワードを使用してログインし、マルウェアに感染させます。
How threat actors target Enterprise Connected Devices 組織体向け接続デバイスを狙う脅威の手口
ECDs bring great opportunities for organisations but a significant number of devices on the market today have been found to lack basic security measures. Threat actors will seek to take advantage of technical vulnerabilities and poor cyber security to compromise ECDs. This is problematic if manufacturers do not seek to fix the issue, and if users do not apply updates. ECDは組織に大きなチャンスをもたらしますが、現在市場に出回っているデバイスの中には、基本的なセキュリティ対策が施されていないものが相当数あることが判明しています。脅威者は、技術的な脆弱性や不十分なサイバーセキュリティを利用して、ECDを侵害しようとします。メーカーが問題を解決しようとせず、ユーザーがアップデートを適用しない場合、これは問題となります。
Most IoT devices possess fewer processing and storage capabilities than traditional enterprise computing platforms. This makes it difficult to employ security applications that could help protect them, such as antivirus software. Additionally, whilst patches are made available for IoT devices, many older IoT devices were not built with security in mind and do not have capacity to receive remote patches. Some organisations also do not have processes in place to monitor and manage if an ECD is supported or not. At the same time, it has become steadily easier and cheaper for criminals to acquire tools that enable them to launch high-volume, low-sophistication attacks that are ideally suited for compromising large numbers of poorly secured devices. ほとんどのIoTデバイスは、従来のエンタープライズコンピューティングプラットフォームに比べて、処理能力やストレージ能力が低くなっています。そのため、ウイルス対策ソフトウェアなど、IoTデバイスの保護に役立つセキュリティ・アプリケーションを採用することが難しくなっています。さらに、IoTデバイスにはパッチが提供されていますが、多くの古いIoTデバイスはセキュリティを考慮して作られていないため、リモートパッチを受信する能力を備えていません。また、ECDがサポートされているかどうかを監視・管理するためのプロセスを備えていない組織もあります。同時に、犯罪者は、セキュリティが不十分な大量のデバイスを危険にさらすのに最適な、大量かつ低精巧な攻撃を行うことができるツールを、着実に容易かつ安価に入手できるようになってきています。
ECD attack surface areas or areas in ECD systems and applications where threats and vulnerabilities may exist include: ECD の攻撃対象領域、または ECD システムやアプリケーションにおいて脅威や脆弱性が存在する可能性のある領域は以下の通りです。
・Devices - devices can be the primary means by which attacks are initiated. Parts of a device where vulnerabilities may exist include its storage firmware and application software, physical interface, web interface, and network services. Attackers can also take advantage of insecure default settings, outdated components, and insecure update mechanisms, among others. Vulnerabilities that exist in hardware sometimes cannot be patched, like with software, and would need a complete physical replacement to secure. ・デバイス - デバイスは、攻撃が開始される主要な手段となり得ます。デバイスの脆弱性が存在する可能性のある部分には、ストレージファームウェアやアプリケーションソフトウェア、物理的なインターフェース、ウェブインターフェース、ネットワークサービスなどがあります。また、攻撃者は、安全でないデフォルト設定、古いコンポーネント、安全でないアップデートメカニズムなどを利用することができます。ハードウェアに存在する脆弱性は、ソフトウェアのようにパッチを当てることができない場合があり、安全を確保するためには物理的に完全に交換する必要があります。
・Communication channels - attacks can originate from the communication channels that connect ECD components with one another. Protocols used in a range of ECD systems can have security issues that can affect the entire system. Many ECD systems are also susceptible to known network attacks such as denial of service and spoofing. ・通信チャネル - 攻撃は、ECDコンポーネント同士を接続する通信チャネルから発生する可能性があります。様々なECDシステムで使用されているプロトコルは、システム全体に影響を与える可能性のあるセキュリティ問題を抱えている場合があります。また、多くのECDシステムは、サービス拒否やスプーフィングなどの既知のネットワーク攻撃の影響を受けやすいです。
・Applications and software - vulnerabilities in network services and related software for ECDs can lead to compromised systems. Network services can, for example, be exploited to steal user credentials or push malicious firmware updates. ・アプリケーションとソフトウェア - ECD のネットワークサービスおよび関連ソフトウェアの脆弱性は、システムの侵害につながる可能性があります。例えば、ネットワークサービスが悪用されると、ユーザーの認証情報を盗んだり、悪意のあるファームウェアのアップデートを押しつけたりすることができます。
Case Study: Ripple20 ケーススタディ:Ripple20
In June 2020, researchers announced 19 zero-day vulnerabilities impacting millions of devices, affecting the Treck embedded IP stack. Treck is used by over 50 vendors and millions of devices, including mission-critical devices for healthcare, data centres, and critical infrastructure. This group of vulnerabilities has been named "Ripple20" to reflect the widespread impact the exploitation of these flaws could have on a wide range of products from various industries. 2020年6月、研究者は、数百万台のデバイスに影響を与える19のゼロデイ脆弱性を発表し、Treck組み込みIPスタックに影響を及ぼしました。Treckは、医療、データセンター、重要インフラ向けのミッションクリティカルなデバイスを含む、50以上のベンダーと数百万台のデバイスで使用されています。この脆弱性グループは、これらの欠陥が悪用された場合、様々な業界の幅広い製品に影響を及ぼす可能性があることから、「Ripple20」と命名されました。
Ripple20 impacts critical IoT devices, including printers, networking equipment, IP cameras, video conferencing systems and building automation devices. By exploiting the software library flaws, attackers could remotely execute code and gain access to sensitive information. The impact of these vulnerabilities is exacerbated by the fact that Ripple20 is a supply chain vulnerability, meaning it is hard to track all the devices that make use of this library. Ripple20は、プリンター、ネットワーク機器、IPカメラ、ビデオ会議システム、ビルオートメーション機器など、重要なIoT機器に影響を与えます。ソフトウェアライブラリの欠陥を悪用することで、攻撃者はリモートでコードを実行し、機密情報にアクセスすることができます。Ripple20はサプライチェーンの脆弱性であるため、このライブラリを利用するすべてのデバイスを追跡することは困難であるため、これらの脆弱性の影響はさらに大きくなります。
Supply chain サプライチェーン
ECDs exacerbate supply chain vulnerabilities. Supply chain attacks typically occur before devices are deployed onto organisations' networks. However, as seen in the SolarWinds supply chain attack, compromised software updates to devices deployed onto a network can also be a vector. Supply chain attacks on ECDs often involve compromised software being installed in a certain ECD, such as a router or a camera. However, an ECD supply chain attack can also refer to a piece of hardware that has been implanted or modified to change a device's behaviour. ECDは、サプライチェーンの脆弱性を悪化させます。サプライチェーンの攻撃は、通常、デバイスが組織のネットワークに展開される前に発生します。しかし、SolarWinds社のサプライチェーン攻撃で見られたように、ネットワークに展開されたデバイスのソフトウェアアップデートが侵害されることも、その媒体となり得ます。ECDに対するサプライチェーン攻撃では、ルータやカメラなど、特定のECDに危険なソフトウェアがインストールされることがよくあります。しかし、ECD のサプライチェーン攻撃は、デバイスの動作を変更するために埋め込まれた、または変更された ハードウェアを指すこともあります。
Shodansearchresults
Figure 1: Shodan search results for vulnerable device models, split between printer, IP cameras and video conferencing, networking, and ICS. 図 1: Shodan による脆弱なデバイスモデルの検索結果。プリンタ、IP カメラとビデオ会議、ネットワーキング、ICS に分かれています。
Supply chain attacks have a significant impact since the compromised software or device can present a single point of failure for the security of several entities. 侵害されたソフトウェアやデバイスは、複数の事業体のセキュリティにとって単一障害点となり得るため、サプライチェーン攻撃は大きな影響を及ぼします。
In 2020, a series of Shodan* searches for 37 specific device models from 18 vendors (including printers, IP cameras, video conferencing systems and networking equipment) revealed that there were around 15,000 internet-connected instances of these affected devices that could potentially be compromised by anybody on the internet. 2020年、18のベンダーの37の特定機器モデル(プリンター、IPカメラ、ビデオ会議システム、ネットワーク機器など)をShodan*で検索した結果、これらの影響を受ける機器のインターネット接続例は約15,000件あり、インターネット上の誰でもが侵害できる可能性があることが判明しました。
*Shodan is a search engine that lets users search for internet-connected devices *Shodanは、インターネットに接続された機器を検索することができる検索エンジンです。
Bots ボット
While threat actors still make ready use of compromised traditional computers, their bot armies are now increasingly composed of IoT. The majority of IoT botnets have been used for coordinated DDoS attacks, although there are also IoT botnets that have the ability to exfiltrate sensitive information, as seen in the example of the Torri botnet. With the large, and rapidly increasing, number of ECDs, IoT botnets will continue to pose a unique challenge and noteworthy threat. 脅威者は、感染した従来のコンピュータを依然として利用していますが、そのボット軍団は、現在、ますますIoTで構成されるようになっています。IoTボットネットの大半は、協調的なDDoS攻撃に使用されていますが、Torriボットネットの例に見られるように、機密情報を流出させる能力を持つIoTボットネットも存在します。ECDの数が多く、かつ急速に増加していることから、IoTボットネットは今後も独自の課題と注目すべき脅威をもたらし続けるでしょう。
Case Study: Mirai-inspired IoT botnet ケーススタディ:MiraiにインスパイアされたIoTボットネット
In 2020, a Russian hacking group, dubbed Digital Revolution, leaked documents claimed to be taken from a subcontractor to a company building cyber tools for the FSB, the Russian domestic intelligence agency. According to the documents, the project began in 2017 and looks to create an IoT botnet inspired by the notorious Mirai botnet of 2016. The plans showed that its main targets would be security cameras and network video recorders. Each infected device in the botnet would be reprogrammed to carry out password attacks on other devices in order to keep the botnet alive and growing. With a large enough botnet, attackers can launch powerful DDoS attacks. Both state and non-state actors are likely to exploit vulnerabilities in the IoT, including CCTV cameras, to form botnets for malicious ends including attack infrastructure and DDoS attacks 2020年、ロシアのハッキンググループ「Digital Revolution」が、ロシア国内情報機関であるFSBのサイバーツールを構築する組織体の下請け会社から持ち出されたとする文書を流出させました。その文書によると、プロジェクトは2017年に始まり、2016年の悪名高いMiraiボットネットに触発されたIoTボットネットを作成するようです。計画では、主なターゲットは防犯カメラやネットワークビデオレコーダーであることが示されていました。ボットネット内の感染した各デバイスは、ボットネットを存続させ、成長させるために、他のデバイスにパスワード攻撃を行うように再プログラム化されるます。十分な規模のボットネットがあれば、攻撃者は強力なDDoS攻撃を仕掛けることができます。国家・非国家問わず、CCTVカメラなどのIoTの脆弱性を悪用してボットネットを形成し、攻撃インフラやDDoS攻撃などの悪意のある目的のために利用する可能性があります。
Unpatched IoT devices on enterprise networks 組織体ネットワーク上のパッチ未適用のIoTデバイス
The security of common enterprise infrastructure devices such as desktops and laptops has advanced over the years through incremental improvements in operating systems and endpoint security. However, security controls for network devices such as enterprise printers are often ignored and thus present a greater potential for exploitation and compromise by threat actors seeking to gain a persistent foothold on target organisations. デスクトップやノートパソコンなどの一般的な組織体インフラ機器のセキュリティは、OSやエンドポイントセキュリティの段階的な改善により、長年にわたって進歩してきました。しかし、組織体向けプリンターなどのネットワークデバイスのセキュリティ管理は無視されがちであるため、標的の組織に永続的な足がかりを得ようとする脅威行為者による搾取や侵害の可能性が大きくなっています。
Cyber actors will try to locate any vulnerable ECD to compromise enterprise systems. The use of unpatched devices is a common risk - since they lack the latest security updates, threat actors can use older known vulnerabilities to compromise such devices and gain privileged access to corporate networks. Ultimately, unpatched devices can then lead to data breaches or exposed information, manipulation of other assets, access to servers and systems, deployment of malware, or even physical disruption of operations. サイバー攻撃者は、組織体システムを侵害するために、あらゆる脆弱なECDを見つけようとします。パッチの適用されていないデバイスの使用は、一般的なリスクです。デバイスには最新のセキュリティアップデートがないため、脅威者は古い既知の脆弱性を利用してそのデバイスを侵害し、組織体ネットワークへの特権的アクセスを獲得することができます。最終的に、パッチの適用されていないデバイスは、データ漏洩や情報の流出、他の資産の操作、サーバーやシステムへのアクセス、マルウェアの展開、あるいは業務の物理的な妨害につながる可能性があります。
Case Study: Enterprise printer vulnerabilities ケーススタディ:組織体向けプリンターの脆弱性
In 2019, researchers conducted a six-month project to identify vulnerabilities and exploitations relating to devices made by six of the largest enterprise printer makers in the world. The researchers uncovered weaknesses that opened devices to DDoS attacks, but of much more concern is the potential for those devices to be used as entry points into corporate networks, with remote code execution (RCE) and the bypassing of security layers. According to a leading printer manufacturer, cyber crime represents a $445 billion global crisis for printers, PCs, and other mission-critical IoT endpoints. 2019年、研究者は、世界最大の組織体向けプリンターメーカー6社が製造するデバイスに関する脆弱性とエクスプロイトを特定する6カ月間のプロジェクトを実施しました。研究者は、デバイスをDDoS攻撃に開放する弱点を発見しましたが、より懸念されることは、それらのデバイスが組織体ネットワークへの侵入口として利用され、リモートコード実行(RCE)やセキュリティ層の迂回が可能であることです。大手プリンターメーカーによると、サイバー犯罪は、プリンター、PC、その他のミッションクリティカルなIoTエンドポイントにとって、世界的に4,450億ドルの危機を意味するそうです。
Personal connected devices on enterprise networks 組織体ネットワーク上の個人向けコネクテッド・デバイス
Personal IoT devices which are brought into the office environment may be allowed to connect to some enterprise networks. Due to the increased number of personal devices connected to enterprise networks, it is likely these devices will be targeted to gain access to the enterprise network. オフィス環境に持ち込まれた個人のIoTデバイスは、一部の組織体ネットワークへの接続を許可される場合があります。組織体ネットワークに接続される個人所有のデバイスの増加により、これらのデバイスが組織体ネットワークにアクセスするための標的となる可能性があります。
Deployments of ECDs within large UK organisations are likely to present a different threat profile from personal consumer-use devices. Organisations often have more knowledge, responsibility and control for networks and cyber security, compared with a typical consumer. On the consumer side, DCMS has been conducting extensive work to improve the security of consumer connected products and brought legislation into Parliament to support this goal in 2021. 英国の大規模な組織における ECD の導入は、個人の消費者用デバイスとは異なる脅威のプロ ファイルを提示する可能性があります。組織は、一般的な消費者と比較して、ネットワークやサイバーセキュリティについてより多くの知識、責任、管理を持っている場合が多いからです。消費者側では、DCMSが消費者向け接続製品のセキュリティを向上させるための広範な作業を実施し、2021年にこの目標を支援するための法律を議会に提出しました。
Conclusion 結論
ECDs are a hugely attractive target for different types of threat actors as they can hold valuable, sensitive, or personal data. They present an easy target to compromise due to typically limited security efforts by vendors, a large attack surface (multiple endpoints for access to wider networks) and attack base for lateral movement. With the huge scale of ECDs connected to the internet comes a wave of products that are potential targets for both espionage and financially-motivated cyber actors. ECDは、貴重なデータや機密情報、個人情報を保持している可能性があるため、さまざまなタイプの脅威者にとって非常に魅力的なターゲットです。ECDは、ベンダーによるセキュリティ対策が限定的であること、攻撃対象領域が広いこと(複数のエンドポイントからより広いネットワークにアクセスできる)、横方向に移動できる攻撃基盤があることなどから、容易に侵害できる標的となっています。インターネットに接続されたECDの大規模化に伴い、諜報活動や金銭的動機のあるサイバー行為者の潜在的なターゲットとなる製品が次々と登場しています。
The COVID-19 pandemic has driven a surge in remote working, and ECDs have played a vital role in supporting business continuity as the COVID-19 crisis affected companies across the globe. This has presented opportunities for organisations to work innovatively but has also created new opportunities for threat actors. COVID-19の大流行により、リモートワークが急増し、COVID-19危機が世界中の組織体に影響を与えたため、ECDは事業継続を支援する上で重要な役割を果たしました。これは、組織が革新的な仕事をする機会を提供しましたが、同時に脅威を与える側にも新たな機会を生み出しました。
Organisations increasingly rely on ECDs. Many of these devices are built with poor security which could result in these devices being used as part of DDoS attacks, such as against large organisations and critical national infrastructure. 組織はますますECDに依存するようになっています。これらのデバイスの多くは、セキュリティが不十分な状態で構築されているため、大規模な組織や重要な国家インフラに対するDDoS攻撃などの一部として、これらのデバイスが使用される可能性があります。
It is likely that malware which creates IoT botnets poses the greatest threat to ECDs and therefore the wider enterprise. The majority of IoT botnets have been used for coordinated DDoS attacks; however, there are also IoT botnets that have the ability to exfiltrate sensitive information. IoTボットネットを作成するマルウェアは、ECD、ひいてはより広範な組織体にとって最大の脅威となる可能性があります。IoTボットネットの大半は、協調的なDDoS攻撃に使用されていますが、機密情報を流出させる能力を持つIoTボットネットも存在します。
Following initial compromise, ECDs can be used as an attack vector or pivot point to enable cyber actors to gain access to an enterprise's corporate network for espionage purposes, disruption, or financial gain. A single exposed ECD has the possibility of enabling a cyber actor to gain access to an enterprise's corporate network and potentially put their supply chain at risk. ECDは、最初の侵害の後、サイバーアクターが諜報活動や破壊活動、金銭的な利益を得るために組織体のネットワークにアクセスするための攻撃ベクトルまたはピボットポイントとして使用されることがあります。ECDが1つでも露出すると、サイバー攻撃者は組織体のネットワークにアクセスできるようになり、サプライチェーンが危険にさらされる可能性があります。
All sectors deploying ECDs will be at risk, if these devices are found to be insecure, particularly due to the common uptake of particular devices that help enterprises to run on a day-to-day basis. The growing number of IoT devices being adopted by enterprises presents an expanding attack surface, with many of these devices being accessible over the public internet, and with cyber security often being an afterthought. ECDが安全でないことが判明した場合、ECDを導入しているすべての部門が危険にさらされます。特に、組織体の日常業務を支援する特定のデバイスが一般的に普及していることが原因です。組織体で採用されるIoTデバイスの数は増加しており、これらのデバイスの多くは公共のインターネットを介してアクセス可能で、サイバーセキュリティはしばしば後回しにされるため、攻撃対象が拡大することになります。
   
Assessment - what it is アセスメント - その内容
NCSC Assessment products are drawn from all-source information. We fuse government, industry, media and open source material with unique classified intelligence to provide assessment on cyber threats to the UK. They are commissioned by NCSC’s ‘customers’, including government and industry, to inform their work. Assessment includes Key Judgements (KJs) and a Probability Yardstick. The purpose of these devices is to provide the reader with the key takeaways from the paper and ensure that the reader interprets any judgements in the way that the analyst intended. NCSCのアセスメント製品は、あらゆる情報源から抽出されています。政府、産業界、メディア、オープンソースを独自の機密情報と融合させ、英国へのサイバー脅威に関するアセスメントを提供します。これらは、政府や産業界を含むNCSCの「顧客」から依頼され、その業務に役立てられます。評価には、Key Judgements (KJ)とProbability Yardstickが含まれる。これらの装置の目的は、読者に論文の主要な論点を提供し、読者が分析者の意図する方法ですべての判断を解釈することを保証することです。
Key judgements 主要意見
Key Judgements provide answers to the specific questions agreed between NCSC and the sponsor of the paper when it was commissioned. KJs are the most important judgements that an NCSC analyst wants a reader to absorb. KJs relate only to a specific issue and are not a summary of the paper's overall assessment or a summary of all the judgements within a paper. Typically, a paper will contain no more than six or seven KJs and each will be approximately three or four lines long. KJs will generally correspond closely to the language in the main body of the paper. 主要意見は、論文の委託を受けた際に NCSC と論文のスポンサーとの間で合意された特定の質問に対する回答を提供するものです。主要意見は、NCSC のアナリストが読者に理解してもらいたいと考える最も重要な意見です。主要意見は特定の問題にのみ関連するものであり、論文全体の評価や論文内の全判断を要約したものではありません。一般に、1つの論文に含まれる「主要意見」は6~7個以下で、それぞれ3~4行程度の長さです。主要は、一般的に論文本文の表現と密接に対応します。
PHIA probability yardstick PHIAの確率基準
Most judgements have some degree of uncertainty associated with them. The assessment community use terms like unlikely or probable to convey this. These terms are used instead of numerical probabilities (e.g., 55%) to avoid interpretation of judgements as being overly precise, as most judgements are not based on quantitative data. A Yardstick establishes what these terms approximately correspond to in numerical probability. This ensures that readers understand a judgement as the analyst intends. The rigorous use of a Yardstick also ensures that analysts themselves make clear judgements and avoid the inappropriate use of terms that imply a judgement without being clear what it is (e.g., "if X were to occur then Y might happen"). ほとんどの判断は、ある程度の不確実性を伴います。アセスメント業界では、これを伝えるために、ありそうもない、あるいは、ありそうだ という言葉を使います。これらの用語は、ほとんどの判断が定量的データに基づかないため、判断が過度に正確であるとの解釈を避けるために、数値による確率(例:55%)の代わりに使用されています。ヤードスティックは、これらの用語が数値的な確率にほぼ対応するものを定めています。これにより、読者は分析者が意図したとおりに判断を理解することができます。また、ヤードスティックを厳密に使用することにより、分析者自身が明確な判断を下し、判断が何であるかを明確にしないまま判断を暗示するような不適切な用語(例えば、「もしXが起これば、Yが起こるかもしれない」等)を使用しないようにすることができます。
The Professional Head of Intelligence Assessment (PHIA) Probability Yardstick splits the probability scale into seven ranges. Terms are assigned to each probability range. The choice of terms and ranges was informed by academic research, and they align with an average reader's understanding of the terms in the context of what they are reading. プロフェッショナル・ヘッド・オブ・インテリジェンス・アセスメント(PHIA)の確率基準では、確率の尺度を7つの範囲に分割しています。各確率の範囲には用語が割り当てられています。用語と範囲の選択は、学術的な研究に基づいており、平均的な読者が読んでいる内容の文脈でその用語を理解できるように配慮されています。

 

参考

National Cyber Security Centre (NCSC)

Cyber security in enterprise connected devices

・2021.03.25 [PDF] Literature review on connected devices within enterprise networks

20220516-53415

 

・2021.10.19 [PDF] Enterprise connected devices: procurement, usage and management among UK businesses

20220516-53509

 

| | Comments (0)

2022.05.15

カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解

こんにちは、丸山満彦です。

カナダのプライバシーコミッショナー室がプライバシーに関する戦略的優先事項とそこから生まれたテーマと見解を公表していますね。。。

これを読むと、欧州を中心としたプライバシーに関する法制度のそもそもの意図についての理解が進むかもしれませんね。。。

たとえば、こんな部分とか...

また、カナダのプライバシー法制のリンク集としても有益ですね(^^)

 

Fig_20220515053201

 

● Office of the Privacy Commissioner of Canada; OPC

発表

OPC News - News and announcements

・2022.05.12 OPC publishes analysis of themes and observations that emerged from strategic privacy priorities exercise

内容

About the OPC - OPC strategic privacy priorities

・2022.05.12 Strategic Privacy Priorities and the themes and observations that emerged: 2015-2022

 

Strategic Privacy Priorities and the themes and observations that emerged: 2015-2022 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解:2015-2022年
Introduction はじめに
In 2015, following significant public consultations, the Office of the Privacy Commissioner of Canada (OPC) identified four strategic priorities: 2015年、大規模な公開協議を経て、カナダ・プライバシーコミッショナー室(OPC)は4つの戦略的優先事項を特定しました。
Economics of personal information; ・個人情報の経済性
Government surveillance; ・政府の監視
Reputation and privacy; and ・レピュテーションとプライバシー
The body as information. ・情報としての身体
The priorities selected reflect the values and concerns of Canadians, as well as the views of numerous stakeholders in civil society and consumer advocacy groups, industry, legal service, academia and government. 選択された優先順位は、カナダ人の価値観と懸念、および市民社会と消費者擁護団体、産業界、法律事務所、学界、政府の多くの利害関係者の意見を反映しています。
The OPC’s aim was to hone its focus to make best use of its limited resources, to further its ability to inform Parliamentarians, organizations and the public of the issues at stake, to influence behaviour and to use the office’s regulatory powers most effectively. OPCの目的は、限られた資源を最大限に活用するために焦点を絞り、国会議員や団体、一般市民に問題点を伝え、行動に影響を与え、オフィスの規制権限を最も効果的に活用する能力をさらに高めることです。
The OPC sought to achieve its goals through a variety of strategic approaches that included public education, better addressing the privacy needs of vulnerable groups, and protecting Canadians’ privacy in a borderless world. OPCは、一般市民への教育、社会的弱者のプライバシーニーズへの対応、国境のない世界におけるカナダ人のプライバシー保護など、さまざまな戦略的アプローチによって目標達成を目指しています。
The strategic priorities have guided and helped focus the OPC’s work during Commissioner Daniel Therrien’s term, as he sought to restore Canadians’ trust in government and the digital economy. ダニエル・セリエン委員が、政府とデジタル経済に対するカナダ人の信頼を回復するために努めている間、戦略的優先事項は、OPCの活動の指針となり、焦点を合わせるのに役立ちました。
Priorities: setting goals, exploring themes and reporting outcomes 優先事項:目標の設定、テーマの探求、成果の報告
For each strategic priority, the OPC began with a stated goal. What emerged in subsequent policy work, stakeholder interactions and investigations was a series of important themes. OPCは、戦略的優先事項のそれぞれについて、まず目標を設定しました。その後の政策活動、ステークホルダーとの交流、調査の中で浮かび上がったのは、一連の重要なテーマでした。
It is these themes that, combined, have led to the conclusion that effective privacy protection demands immediate rights-based law reform. Below is an exploration of the OPC’s original goals, the themes that emerged and the key initiatives that support its position. これらのテーマが組み合わさって、効果的なプライバシー保護には権利に基づく法改正が直ちに必要であるという結論に至ったのです。以下、OPCの当初の目標、浮かび上がったテーマ、そしてその立場を支える主要な取り組みについて紹介します。
The economics of personal information 個人情報の経済性
Initial goal: To enhance the privacy protection and trust of individuals so that they may confidently participate in the digital economy. 当初の目標:個人のプライバシー保護と信頼を強化し、デジタル経済に安心して参加できるようにする。
Emerging theme: Technology and new business models that rely on complex data practices are challenging the current consent model and raising questions about the relationship between privacy and other fundamental rights. 新たなテーマ:複雑なデータ処理に依存するテクノロジーと新しいビジネスモデルは、現在の同意モデルに挑戦し、プライバシーと他の基本的権利の関係について疑問を投げかけています。
During an extensive consultation with stakeholders following its publication in 2016 of a discussion paper on how to improve the consent model, the OPC heard from and agreed with many who argued the increasingly complex digital environment poses challenges for the protection of privacy and the role of consent. 2016年に発表した同意モデルの改善方法に関するディスカッションペーパーに続く関係者との広範な協議において、OPCは、ますます複雑化するデジタル環境がプライバシー保護と同意の役割に課題をもたらすと主張する多くの人々からの意見を聞き、同意しました。
There was recognition that while consent can be meaningfully given in some situations, with better information, there were other circumstances where consent may be impracticable. This may be so, for instance, in some uses of big data or artificial intelligence, where it is no longer entirely clear to consumers who is processing their information and for what purposes. In fact, at times consent can be used to legitimize uses that, objectively, are completely unreasonable. より良い情報があれば、ある状況下では同意が有意義に与えられる一方で、同意が実行不可能な状況も存在することが認識されました。例えば、ビッグデータや人工知能の利用では、誰がどのような目的で自分の情報を処理しているのかが、消費者にとってもはや完全に明確ではなくなっている場合がそうです。実際、客観的に見ればまったく合理性のない利用を正当化するために、同意が利用されることもあります。
The OPC sought to address these challenges through various means discussed in its 2017 consent report, notably by clarifying in its Guidelines for obtaining meaningful consent the key elements to be conveyed to consumers to ensure consent is meaningful. However, where consent is not practicable, the OPC put forward the idea that alternatives to consent may need to be considered to maintain effective privacy protections. OPCは、2017年の同意報告書で議論された様々な手段を通じてこれらの課題に対処しようとし、特に、意味のある同意を得るためのガイドラインにおいて、同意が意味のあるものとなるために消費者に伝えるべき主要な要素を明確にしました。しかし、同意が現実的でない場合、OPCは、効果的なプライバシー保護を維持するために、同意に代わる選択肢を検討する必要がある場合があるという考えを打ち出しました。
At the same time, the OPC published guidance on “no go zones” for the collection, use and disclosure of personal information. It outlines practices that would be considered “inappropriate” by a reasonable person, even with consent, and therefore contrary to subsection 5(3) of Canada’s federal private sector privacy law, the Personal Information Protection and Electronic Documents Act (PIPEDA). The guidance included as inappropriate personal information practices that involve profiling or categorization that leads to unfair, unethical or discriminatory treatment, contrary to human rights law. 同時に、OPCは個人情報の収集、使用、開示の「禁止区域」についてのガイダンスを発表しました。これは、たとえ同意があったとしても、合理的な人からは「不適切」とみなされ、したがってカナダの連邦民間部門プライバシー法である個人情報保護および電子文書法(PIPEDA)の第5項(3)に反すると思われる慣行を概説したものです。このガイダンスでは、人権法に反して不当、非倫理的、または差別的な扱いにつながるプロファイリングや分類を伴う個人情報の取り扱いは不適切であるとしています。
Some time later, a joint investigation into the Facebook/Cambridge Analytica scandal starkly illustrated how Canada had reached a critical tipping point and that privacy rights and democratic values were at stake. その後、FacebookとCambridge Analyticaのスキャンダルに関する共同調査が行われ、カナダがいかに重大な転換点を迎え、プライバシーの権利と民主主義の価値が危機にさらされているかが明確に示されました。
That case underscored how privacy rights and data protection are not just a set of technical or procedural rules, settings, controls and administrative safeguards. Instead, privacy is a fundamental right and a necessary precondition for the exercise of other fundamental rights, including freedom, equality and democracy. この事件は、プライバシーの権利とデータ保護が、単なる技術的・手続き的な規則、設定、制御、管理上のセーフガードではないことを強調しました。むしろ、プライバシーは基本的な権利であり、自由、平等、民主主義を含む他の基本的な権利の行使に必要な前提条件なのです。
Most recently, global developments in machine learning and the increasingly widespread use of artificial intelligence have led to the parallel realizations that privacy and equality (non-discrimination) are also vitally linked. 最近では、機械学習や人工知能の普及が世界的に進み、プライバシーと平等(無差別)が極めて密接に関連していることが並行して認識されるようになりました。
Such examples informed the OPC’s views on law reform, as set out in its 2018-2019 Annual Report to Parliament, which described the urgent need for a rights-based law framework, and its subsequent submission to Parliament on Bill C-11, the Digital Charter Implementation Act, 2020. こうした事例は、権利に基づく法の枠組みの緊急な必要性を述べた2018-2019年の国会への年次報告書や、それに続く2020年のデジタル憲章実施法である法案C-11に関する国会への提出文書で示された、法改革に関するOPCの見解に反映されています。
In this submission, the OPC agreed with the intention behind Bill C-11 to give organizations greater flexibility to use personal information, even without consent, for legitimate commercial and socially beneficial purposes. But this should be done within a rights based framework that recognizes privacy as a human right and as a prior condition to the exercise of other fundamental rights. This, it argued, would promote responsible innovation. この提出書類の中で、OPCは、商業的・社会的に有益な正当な目的のために、同意がなくても個人情報を利用する柔軟性を組織に与えるという法案C-11の背後にある意図に同意しました。しかし、これは、プライバシーを人権として、また他の基本的権利の行使の前提条件として認識する、権利に基づく枠組みの中で行われるべきものです。そうすることで、責任ある技術革新が促進されると主張しました。
While the government’s bill died on the order paper when the election was called in 2021, the government said it would table new legislation in 2022. 2021年に選挙が行われた際、政府の法案は法案段階で廃案になりましたが、政府は2022年に新しい法案を提出するとしています。
The OPC is not alone in this position, which is held by many international partners. In 2019, for instance, the OPC sponsored a resolution, adopted by the Global Privacy Assembly, a forum which brings together data regulators from around the world, to recognize privacy as a fundamental human right and vital to the protection of other democratic rights. The resolution called on governments to reaffirm a strong commitment to privacy as a human right and to review and update privacy and data protection laws. このような立場は、多くの国際的なパートナーが持っているもので、OPCだけではありません。例えば2019年、OPCは決議を後援し、世界中のデータ規制当局が集まるフォーラム「グローバル・プライバシー・アセンブリ」で、プライバシーを基本的人権と認め、他の民主的権利の保護に不可欠であるとする決議が採択されました。この決議は、各国政府に対し、プライバシーを人権として尊重することを再確認し、プライバシーおよびデータ保護に関する法律を見直し、更新するよう求めています。
Other OPC work: その他のOPCの活動
・Privacy breaches (or personal data leaks) remain a perennial problem that forever threatens consumer confidence in the digital economy. The OPC has investigated a number of significant breaches that underscore deficiencies with the security safeguards adopted by organizations: ・プライバシー侵害(または個人情報漏洩)は、デジタル経済における消費者の信頼を永遠に脅かす永遠の問題であり続けています。OPCは、組織が採用するセキュリティ対策の不備を浮き彫りにするような重大な違反事件を数多く調査してきました。
・・An investigation into the Fédération des caisses Desjardins du Québec following a breach of security safeguards that ultimately affected close to 9.7 million individuals in Canada and abroad; ・・Fédération des caisses Desjardins du Québec に対する調査は、カナダ国内および海外の約970万人の個人を危険にさらしたセキュリティ保護措置の違反に続いて行われました。
・・An investigation into Equifax that occurred when hackers gained access to the credit reporting agency’s systems through a security vulnerability the company had known about for more than two months, but had not fixed; and ・・Equifaxが2ヶ月以上前から知っていながら修正しなかったセキュリティの脆弱性により、ハッカーが信用調査会社のシステムにアクセスした際に発生した調査。
・・An investigation into a breach of the World Anti-Doping Agency’s database that resulted in the disclosure of sensitive health and location information about more than 100 athletes who had competed in the 2016 Rio Olympic Games.
・・世界アンチ・ドーピング機構のデータベースが侵害され、2016年のリオ・オリンピックに出場した100人以上のアスリートの健康状態や位置情報などの機密情報が流出した事件に関する調査。
Government surveillance 政府による監視
Initial goal: To contribute to the adoption and implementation of laws and other measures that demonstrably protect both national security and privacy. 当初の目標:国家の安全保障とプライバシーの両方を明らかに保護する法律やその他の措置の採択と実施に貢献すること。
Emerging theme: Public safety and national security institutions require effective oversight and stronger legal thresholds are needed to ensure their activities are not just lawful, but also necessary and proportional to the outcomes they are seeking to achieve. 新たなテーマ:公共安全および国家安全保障機関は、その活動が単に合法的であるだけでなく、必要かつ達成しようとする結果に比例していることを保証するために、効果的な監視とより強力な法的閾値を必要とする。
After 9/11, Canada and its allies enacted many laws and initiatives that broadened the authorities for government data collection in the name of national security, some of which adversely affected privacy. The OPC was called upon to comment on a number of these issues. In general, its advice stressed the importance of strict standards to limit the sharing of personal information to what is necessary for public safety purposes, and the importance of oversight to ensure the activities of law enforcement and national security agencies are conducted lawfully. 9.11以降、カナダとその同盟国は、国家安全保障の名の下に政府のデータ収集の権限を拡大する多くの法律や施策を制定し、その中にはプライバシーに悪影響を及ぼすものもありました。OPCは、これらの問題の多くについてコメントを求められていました。一般に、OPCの助言は、個人情報の共有を公共の安全のために必要なものに限定するための厳格な基準の重要性と、法執行機関や国家安全保障機関の活動が合法的に行われることを保証するための監視の重要性を強調しています。
By and large, the recommendations were reflected in the bills that were passed, notably Bill C-51, the Anti-Terrorism Act, 2015 and Bill C-13, on cyber-criminality. 大体において、この提言は、可決された法案、特に2015年の反テロ法である法案C-51と、サイバー犯罪に関する法案C-13に反映されました。
On the former, the OPC recognized the important work of national security agencies but stressed that collection thresholds should be sufficiently high in order to protect the privacy of law abiding citizens. 前者についてOPCは、国家安全保障機関の重要な活動を認めながらも、法を守る市民のプライバシーを保護するために、収集の閾値を十分に高くするべきだと強調しました。
The investigation into the Canada Border Services Agency’s examination of digital devices was a good example of the OPC’s work to improve thresholds. The investigation raised a number of concerns with the CBSA’s practices and argued the Customs Act should be updated to recognize that digital devices contain sensitive personal information and are not mere “goods” that should be subject to border searches without legal grounds. This outdated notion does not reflect the realities of modern technology. カナダ国境サービス庁のデジタル機器検査に関する調査は、OPCが閾値の改善に取り組んだ良い例でしました。この調査では、CBSAの慣行について多くの懸念が示され、デジタル機器には機密性の高い個人情報が含まれており、法的根拠なく国境で検査されるべき単なる「物品」ではないことを認識するために関税法を更新すべきであると主張しました。この時代遅れの考え方は、現代のテクノロジーの現実を反映していません。
The OPC called for a clear legal framework for the examination of digital devices and the threshold for examinations of digital devices to be elevated to “reasonable grounds to suspect” a legal contravention. As early as 2017 in an appearance on border privacy, the OPC expressed the view that Canadian courts would find groundless searches of electronic devices to be unconstitutional, even at the border. OPCは、デジタル機器の検査に関する明確な法的枠組みと、デジタル機器の検査の閾値を、法律違反を疑う「合理的な根拠」にまで引き上げることを求めました。早くも2017年に国境のプライバシーに関する出演で、OPCは、カナダの裁判所は国境であっても電子機器の根拠のない捜査を違憲と判断するだろうとの見解を示しました。
In 2020, the Alberta Court of Appeal ruled the Customs Act provisions that permitted warrantless searches of devices by CBSA officers were in fact unconstitutional and suspended its declaration of invalidity to give the government time to amend the legislation. On March 31, 2022, the government tabled Bill S-7 in response to the ruling. 2020年、アルバータ州控訴裁判所は、CBSA職員による令状なしの機器検索を認めた関税法の規定を事実上違憲と判断し、政府に法改正の時間を与えるため無効宣言を一時停止しました。2022年3月31日、政府はこの判決を受け、法案S-7を提出しました。
The importance of robust collection thresholds was also highlighted in the OPC’s 2016 submissions on Privacy Act reform. Given the relative ease with which government institutions can collect personal information with today’s digital technologies, the Office recommended that the collection of personal information be subject to the international standard of necessity and proportionality. 堅牢な収集閾値の重要性は、プライバシー法改革に関するOPCの2016年の提出文書でも強調されています。今日のデジタル技術により政府機関が比較的容易に個人情報を収集できることを踏まえ、同局は、個人情報の収集は必要性と比例性という国際基準の対象とするよう勧告しました。
The investigation of Statistics Canada’s collection of personal information from a credit bureau and financial institutions offered a practical example of the tension between broad government data collection and the public’s expectation of privacy. Although the investigation found the Statistics Act authorizes broad data collection, it also found significant privacy concerns regarding the initiative, which led the OPC to recommend that the agency adopt a standard of necessity and proportionality into all its collection activities. The OPC concluded: カナダ統計局による信用調査機関や金融機関からの個人情報収集に関する調査は、政府の広範なデータ収集と国民のプライバシーへの期待との間の緊張関係を示す実例となりました。この調査は、統計法が広範なデータ収集を許可していることを明らかにしたものの、この取り組みに関してプライバシーに関する重大な懸念があることも明らかにしたため、OPCは、すべての収集活動に必要性と比例性の基準を採用するよう勧告しました。OPCは次のように結論づけました。
We consider a complete record of financial transactions to be extremely sensitive personal information. Indeed, this line-by-line collection of information relating to individuals’ banking activities by a government institution could be considered akin to total state surveillance. It is doubtful that any public objective can be so compelling (pressing and substantial) as to justify this level of intrusiveness. 私たちは、金融取引の完全な記録は、極めて機密性の高い個人情報であると考えています。実際、政府機関が個人の銀行業務に関する情報を一行ごとに収集することは、国家の全面的な監視に近いと考えられます。このレベルの侵入を正当化するほど切実な(pressing and substantial)公的目的があるかは疑問です。
Beyond stronger thresholds and standards for the collection and sharing of personal information, the OPC also called for greater accountability and oversight over national security agencies. To that end, Bill C-22 introduced the National Security and Intelligence Committee of Parliamentarians and Bill C-59 created a new expert national security oversight body, the National Security and Intelligence Review Agency (NSIRA), which consolidated national security review under one roof. OPCは、個人情報の収集と共有の基準値を強化するだけでなく、国家安全保障機関に対する説明責任と監視を強化するよう求めました。そのために、法案C-22は国会議員による国家安全保障・情報委員会を導入し、法案C-59は国家安全保障の専門的な監視機関である国家安全保障・情報審査局(NSIRA)を新設して、国家安全保障の審査を一元化しました。
In order to ensure that both privacy and national security expertise are brought to bear upon oversight activities, the OPC has developed strong partnerships with NSIRA, resulting in a collaborative review under the Security of Canada Information Disclosure Act (SCIDA) and issuance of the first joint report in February 2022. プライバシーと国家安全保障の両方の専門性を監視活動に生かすため、OPCはNSIRAと強いパートナーシップを築き、カナダ情報公開安全法(SCIDA)に基づく共同審査を実現し、2022年2月に初の共同報告書を発行しています。
Other OPC work: その他のOPCの活動
・In 2016, the OPC raised the issue of warrantless access to personal information by law enforcement. During a committee appearance and subsequent submission on Public Safety Canada’s National Security Green Paper, the OPC stressed the importance of maintaining the role of judges in the authorization of warrants for the collection of metadata by police. It also emphasized the need for technical solutions that might support discrete, lawfully authorized access to specific encrypted devices, as opposed to imposing new legislative requirements. ・2016年、OPCは法執行機関による個人情報への令状なしのアクセスについて問題を提起しました。カナダ公共安全省の国家安全保障グリーンペーパーに関する委員会への出席とその後の提出書類の中で、OPCは、警察によるメタデータ収集のための令状承認において、裁判官の役割を維持することの重要性を強調しました。また、新たな法的要件を課すのではなく、暗号化された特定のデバイスへの合法的なアクセスを個別にサポートするような技術的ソリューションの必要性も強調しています。
・The OPC has made the inclusion of necessity and proportionality a key principle in the frameworks, guidance, joint statements and international resolutions it has put forward with provincial, territorial and international data protection colleagues. For example: ・OPC は、必要性と比例性を、州、地域、国際的なデータ保護の仲間とともに提出した枠組み、ガイダンス、共同声明、国際決議の主要な原則に盛り込んでいます。例えば
・・It is included in the Framework for the Government of Canada to Assess Privacy-Impactful Initiatives in Response to COVID-19 and the Regulatory Framework for AI: Recommendations for PIPEDA Reform; ・・COVID-19に対応した「カナダ政府がプライバシーに配慮した取り組みを評価するための枠組み」や「AIに関する規制の枠組み:PIPEDA改革のための提言」に盛り込まれています。
・・The updated Guidance for the use of body-worn cameras by law enforcement authorities and the Privacy guidance on facial recognition for police agencies; ・・法執行機関による身体装着型カメラの使用に関するガイダンスの更新と、警察機関の顔認識に関するプライバシーガイダンス。
・・The joint FPT statements on Privacy and COVID-19 Vaccine Passports and Privacy principles for contract tracing apps; and ・・プライバシーとCOVID-19ワクチンパスポートに関するFPT共同声明、および契約追跡アプリのプライバシー原則。
・・The Global Privacy Assembly Resolution on Government Access to Data, Privacy and the Rule of Law which the OPC sponsored and signed along with 18 other DPAs. ・・OPCがスポンサーとなり、他の18のDPAとともに署名した「政府によるデータへのアクセス、プライバシー、法の支配に関する世界プライバシー総会決議」。
Reputation and privacy 評判とプライバシー
Initial goal: To help create an environment where individuals can use the Internet to explore their interests and develop as people without fear that their digital trace will lead to unfair treatment. 当初の目標:個人がインターネットを利用して自分の興味を探求し、デジタルトレースによって不当な扱いを受けることを恐れることなく人間として成長できるような環境作りを支援すること。
Emerging theme: Canadians deserve privacy laws that provide them with some measure of protection of their reputation, while respecting freedom of expression. 新たなテーマ:カナダ人には、表現の自由を尊重しつつ、自分の評判をある程度保護するプライバシー法がふさわしい。
Central to the OPC’s work on reputation and privacy is the Draft Position on Online Reputation. Developed after a consultation and call for essays from various stakeholders, it highlighted the OPC’s preliminary views on existing protections in Canada’s federal private-sector privacy law, which includes the right to ask search engines to de-list web pages that contain inaccurate, incomplete or outdated information and remove information at the source. The Draft Position also emphasized the importance of education to help develop responsible, informed online citizens. 評判とプライバシーに関するOPCの活動の中心は、「オンライン上の評判に関する意見書ドラフト(Draft Position on Online Reputation)」です。様々なステークホルダーからのコンサルテーションとエッセイの募集を経て作成されたこのドラフトは、カナダの連邦民間部門プライバシー法における既存の保護について、OPCの予備的見解を強調しています。この保護には、不正確、不完全または古い情報を含むウェブページのリスト解除とソースでの情報削除を検索エンジンに要求する権利が含まれています。また、Draft Positionでは、責任ある情報通のオンライン市民を育成するための教育の重要性が強調されました。
In 2018, the OPC filed a Reference with the Federal Court seeking clarity on whether Google’s search engine service is subject to federal privacy law when it indexes web pages and presents results in response to a search for a person’s name. The Court was asked to consider the issue in the context of a complaint involving an individual who alleged Google was contravening PIPEDA by prominently displaying links to online news articles about him when his name was searched. 2018年、OPCは、Googleの検索エンジンサービスが、人名の検索に応じてウェブページをインデックス化し結果を提示する際に、連邦プライバシー法の適用を受けるかどうかについて、連邦裁判所にReferenceを提出し、明確化を求めました。同裁判所は、Googleが自分の名前を検索した際に、自分に関するオンラインニュース記事へのリンクを目立つように表示し、PIPEDAに違反していると主張する個人に関する苦情との関連でこの問題を検討するよう要請されたのです。
The Federal Court issued its decision on the merits of the reference questions in July 2021. The OPC welcomed the Court’s decision, which aligned with its position that Google’s search engine service is collecting, using, and disclosing personal information in the course of commercial activities, and is not exempt from PIPEDA under the journalistic exemption. Google is appealing the decision. The OPC’s Draft Position will remain in draft until the conclusion of this litigation and the underlying investigation. 連邦裁判所は、2021年7月に付託された質問の是非について判決を下しました。OPCは、Googleの検索エンジンサービスは商業活動の過程で個人情報を収集、使用、開示しており、ジャーナリズムの免責によりPIPEDAから免除されないという立場と一致した裁判所の決定を歓迎しました。Googleはこの決定を不服として控訴しています。OPCの意見書ドラフトは、この訴訟とその基礎となる調査が終了するまで、ドラフトとして残されます。
Since it is ultimately up to elected officials to confirm the right balance between privacy and freedom of expression, the OPC has stated that its preference would be for Parliament to clarify the law with regard to a right to request de-listing by search engines, as Quebec did through Bill 64. プライバシーと表現の自由の適切なバランスを確認するのは、最終的には選挙で選ばれた議員に委ねられるため、OPCは、ケベック州が法案64を通じて行ったように、検索エンジンによるリスト解除を要求する権利に関して、議会が法律を明確にすることを望むと表明しています。
Other OPC work: その他のOPCの活動
・The OPC launched an investigation into Romanian website Globe24h which was republishing court and tribunal decisions, including Canadian decisions available through legal websites like CanLII. Unlike CanLII, which uses the web’s robot exclusion standard to limit indexing of decisions by name and thereby minimize the privacy impact on individuals, the Globe24h site indexed decisions and made them searchable by name. It also charged a fee to individuals who wanted their personal information be removed. The investigation found the company did not obtain consent to collect, use and disclose the personal information found in the tribunal decisions and that its actions were not ones a reasonable person would consider appropriate in the circumstances. ・OPCは、ルーマニアのウェブサイトGlobe24hの調査を開始しました。このサイトは、CanLIIなどの法律サイトで利用できるカナダの判決を含む裁判所や法廷の判決を再掲載していました。CanLIIは、ウェブ上のロボット排除基準を用いて、名前による判決のインデックス作成を制限し、それにより個人へのプライバシーへの影響を最小限に抑えていますが、Globe24hのサイトは判決をインデックス化し、名前による検索ができるようにしています。また、個人情報の削除を希望する個人には料金を請求していた。調査の結果、同社は判決文にある個人情報を収集、使用、開示することに同意を得ておらず、その行為は合理的な人がその状況下で適切と考えるものではないことが判明しました。
 After the release of the OPC’s investigation report, a complainant pursued the matter further in Federal Court, seeking damages from the company as well as an enforceable order for the operator of the site to delete all Canadian court and tribunal decisions on its servers. Given the precedent-setting nature of the issues at play, the OPC intervened in the litigation and in January 2017, the Federal Court confirmed the findings of the OPC investigation and ordered Globe24h to remove Canadian court and tribunal decisions containing personal information from its website, and to refrain from further copying and republishing Canadian decisions in a manner that contravened PIPEDA. It also ordered the organization to pay for nominal damages incurred as a result of its offside practices. Shortly after the Court’s decision was issued, the website ceased to operate.  OPCの調査報告書の発表後、原告は連邦裁判所でこの問題をさらに追及し、同社に損害賠償を求めるとともに、サイトの運営会社に対して、サーバーにあるすべてのカナダの裁判所および裁判の判決を削除するよう強制力を持った命令を下しました。問題の先例性を考慮し、OPCはこの訴訟に介入し、2017年1月、連邦裁判所はOPCの調査結果を確認し、Globe24hに対し、個人情報を含むカナダの裁判所および法廷の判決をウェブサイトから削除し、PIPEDAに反する方法でカナダの判決をさらにコピーして再出版しないよう命じました。また、同裁判所は、同団体の違反行為により発生した名目上の損害の賠償を命じました。裁判所の決定が出された直後、同ウェブサイトの運営は停止されました。
・An investigation into the website RateMDs.com was initiated following a complaint that anonymous users of the site were posting reviews and ratings concerning her work as a dentist. ・RateMDs.comの匿名ユーザーが、歯科医としての仕事に関するレビューや評価を投稿しているという苦情を受け、同サイトの調査が開始されました。
・Several complaints about the RCMP’s use of non-conviction information in vulnerable sector checks led to an investigation that found the RCMP’s policy of reporting non-conviction information, including mental health incidents, in vulnerable sector checks was neither proportional nor minimally intrusive. ・RCMPによる弱者部門チェックにおける前科者以外の情報の使用に関するいくつかの苦情を受けて、弱者部門チェックにおいて精神衛生事件を含む前科者以外の情報を報告するというRCMPの方針が、比例的でも最小限の押しつけでもないことが判明し、調査が実施されました。
The body as information 情報としての身体
Initial goal: To promote respect for the privacy and integrity of the human body as the vessel of our most intimate personal information. 当初の目標:最も親密な個人情報の容器である人体のプライバシーと完全性の尊重を促進すること。
Emerging theme: Because they rely on permanent characteristics that are so intimately personal, the collection, use and disclosure of biometrics and genetic information can lead to very significant privacy risks and must accordingly be protected under the highest possible privacy standards. 新たなテーマ:バイオメトリクスと遺伝情報の収集、使用、開示は、個人と密接に関係する永久的な特徴に依存しているため、非常に重大なプライバシー・リスクにつながる可能性があり、それゆえ、可能な限り最高のプライバシー基準の下で保護されなければなりません。
Canada’s privacy laws were designed to be technology neutral, which is positive, given the pace of technological change compared to that of legislative modernization. カナダのプライバシー法は技術的に中立であるように設計されており、法制の近代化と比較して技術的変化のペースが速いことを考えると、これは好ましいことです。
However, the use of facial recognition technology (FRT) by both the private and public sectors has raised questions about whether specific rules may be warranted. しかし、民間と公的セクターの両方による顔認識技術(FRT)の使用は、特定の規則が正当化されるかどうかについての疑問を提起しています。
This is already the case for other forms of biometrics collected by law enforcement such as fingerprints and DNA profiles, and Quebec recently became the first jurisdiction in Canada to actually enact a law that specifically addresses biometrics, which encompasses FRT. これは、指紋やDNAプロファイルなど、法執行機関によって収集される他の形態のバイオメトリクスについては既にそうなっており、ケベック州は最近、FRTを含むバイオメトリクスを特に扱う法律を実際に制定したカナダで最初の司法当局となりました。
The OPC’s investigations into Clearview AI and the RCMP’s use of the company’s facial recognition technology thrust the issue into the spotlight, making it a key initiative under this priority. クリアビューAIとRCMPによる同社の顔認識技術の使用に関するOPCの調査は、この問題にスポットライトを当て、この優先事項における重要な取り組みとしました。
The investigations found Clearview AI violated Canada’s federal private sector privacy law by creating a databank of more than three billion images scraped from internet websites without the express knowledge or consent of individuals. Clearview users, such as the RCMP, could match photographs of people against the photographs in the databank. The result was that billions of people essentially found themselves in a police line-up. We concluded this represented mass surveillance and was a clear violation of privacy. この調査により、クリアビューAIは、個人の明示的な認識や同意なしにインターネットウェブサイトからかき集めた30億枚以上の画像のデータバンクを作成し、カナダの連邦民間企業プライバシー法に違反したことが判明しました。RCMPのようなクリアビューのユーザーは、データバンク内の写真と人物の写真を照合することができました。その結果、何十億人もの人々が、実質的に警察に並ばされることになりました。これは大規模な監視であり、明らかにプライバシーの侵害であると結論づけました。
Separately, the OPC concluded the RCMP violated the Privacy Act when it collected personal information from Clearview AI as a government institution cannot collect personal information from a third party agent if that third party agent collected the information unlawfully. これとは別に、OPCは、RCMPがクリアビューAIから個人情報を収集した際、プライバシー法に違反したと結論付けました。政府機関は、第三者のエージェントが違法に情報を収集した場合、そのエージェントから個人情報を収集することはできないからです。
The investigations demonstrate that significant gaps remain in appropriately protecting this highly sensitive biometric information and highlight some of the risks that can arise when the public and private sectors interact. It’s another reason why the OPC has called for greater interoperability between the two federal privacy laws to prevent gaps in accountability where the sectors interact. 今回の調査は、この機密性の高い生体情報の適切な保護に大きなギャップがあることを示すとともに、公共部門と民間部門が相互作用する際に発生し得るリスクの一部を浮き彫りにするものです。これは、OPCが2つの連邦個人情報保護法間の相互運用性を高め、部門間の相互作用による説明責任の欠如を防ぐよう求めたもう一つの理由でもあります。
At present, the use of FRT is regulated through a patchwork of statutes and case law that, for the most part, do not specifically address the risks posed by the technology. This creates room for uncertainty concerning what uses of facial recognition may be acceptable, and under what circumstances. 現在、FRTの利用は、法令や判例法のパッチワークによって規制されており、そのほとんどは、この技術がもたらすリスクを具体的に取り上げていない。このため、どのような状況下で、どのような顔認証の利用が許容されるかについて、不確実性が生じています。
At the same time as the OPC released its investigative findings into the RCMP’s use of Clearview’s services, it commenced an extensive consultation on draft guidance on the use of facial recognition technology by police services across Canada in cooperation with its provincial and territorial counterparts. OPCは、RCMPによるクリアビュー社のサービス利用に関する調査結果を発表すると同時に、州・準州のカウンターパートと協力して、カナダ全土の警察による顔認識技術の利用に関する指針案に関する広範な協議を開始しました。
In May 2022, the OPC, working jointly with its provincial and territorial counterparts, finalized and released its guidance on the use of FRT by police services across Canada. The guidance sets out the legal responsibilities of police agencies under the current legal framework with a view to ensuring any use of facial recognition complies with the law, minimizes privacy risks, and respects the fundamental human right to privacy. 2022年5月、OPCは州・準州のカウンターパートと共同で、カナダ全土の警察によるFRTの使用に関するガイダンスを完成させ、発表しました。このガイダンスは、顔認証の利用が法律を遵守し、プライバシーリスクを最小化し、プライバシーに対する基本的人権を尊重することを目的として、現在の法的枠組みの下での警察機関の法的責任を定めています。
The OPC and other privacy guardians also called on legislators to develop a new legal framework that would define clearly and explicitly the circumstances in which police use of facial recognition may be acceptable. The framework, they agreed, should include a list of prohibited uses of FRT, strict necessity and proportionality requirements as well as explicit oversight and retention requirements. OPCと他のプライバシー保護団体は、立法者に対し、警察が顔認識を使用することが許容される状況を明確かつ明白に定義する新しい法的枠組みを開発するよう求めました。その枠組みは、FRTの禁止された用途のリスト、厳格な必要性と比例性の要件、そして明確な監視と保存の要件を含むべきであるというのが、彼らの合意事項です。
Another important issue that emerged under this priority is the OPC’s work on genetic testing. In conjunction with its Alberta and B.C. counterparts, the OPC released guidance on direct-to-consumer genetic testing and privacy. It outlined key privacy risks associated with these tests and aimed to inform individuals of their rights. この優先事項の下で浮上したもう一つの重要な問題は、遺伝子検査に関するOPCの活動です。OPCは、アルバータ州およびBC州のカウンターパートと共同で、消費者向けの遺伝子検査とプライバシーに関するガイダンスを発表しました。これは、これらの検査に関連する主要なプライバシーリスクを概説し、個人の権利について知らせることを目的としています。
The OPC also testified before the Standing Senate Committee on Human Rights in support of Bill S-201, an Act to Prohibit and Prevent Genetic Discrimination. It later released a policy statement on the collection, use and disclosure of genetic test results following the implementation of the federal Genetic Non-Discrimination Act. And when the constitutionality of the law was challenged before the Supreme Court of Canada, the OPC intervened to defend the position that individuals should not be compelled to disclose their genetic test results to an employer or insurance company or any other business. The OPC welcomed the Court’s decision to uphold the constitutionality of the Genetic Non-Discrimination Act. また、OPCは、上院人権委員会において、法案S-201「遺伝的差別の禁止及び防止に関する法律」を支持する証言を行いました。その後、連邦遺伝的差別禁止法の施行に伴い、遺伝子検査結果の収集、利用、開示に関する方針声明を発表しました。そして、この法律の合憲性がカナダ最高裁判所で争われた際、OPCは、個人が雇用主や保険会社、その他の企業に遺伝子検査結果を開示することを強制されるべきではないという立場を守るために介入したのです。OPCは、「遺伝的無差別法」の合憲性を支持する裁判所の決定を歓迎しました。
Other OPC work: その他のOPCの活動
・The COVID-19 pandemic raised numerous issues for the protection of personal information. As a result, the OPC engaged on a range of files, including initiatives related to COVID-19 infection tracking and tracing and border controls. Some of those specific initiatives include: ・COVID-19の大流行により、個人情報の保護について多くの問題が提起されました。その結果、OPCはCOVID-19感染追跡や国境管理に関連するイニシアチブなど、様々なファイルに関与しました。その具体的な取り組みの一部を紹介します。
・・Working with the Government of Canada and its provincial counterparts to perform a review of the privacy implications of the COVID Alert exposure notification application. ・・カナダ政府およびその州当局と協力し、COVIDアラート暴露通知アプリケーションのプライバシーへの影響についてレビューを行う。
・・Releasing a joint statement in conjunction with provincial and territorial counterparts about the use of vaccine passports. It called for any use of such credentials to be time limited and developed and implemented in compliance with applicable privacy principles such as necessity and proportionality. ・・ワクチンパスポートの使用について、州・準州の関係者とともに共同声明を発表。この声明では、このようなクレデンシャルを使用する場合は時間を限定し、必要性や比例性など適用されるプライバシー原則を遵守して開発・実施するよう求めている。
・・Releasing a framework early on in the pandemic to assess privacy-impactful initiatives in response to COVID-19. The aim was to ensure greater flexibility to use personal information in an emergency while still respecting privacy as a fundamental right; and ・・COVID-19に対応したプライバシーに影響を与えるイニシアチブを評価するために、パンデミックの早い段階でフレームワークをリリースしました。その目的は、基本的権利としてのプライバシーを尊重しつつ、緊急時に個人情報をより柔軟に利用できるようにすることであった。
・・Publishing guidance to help organizations subject to federal privacy laws understand their privacy-related obligations during the pandemic. In May 2020, the OPC and its provincial and territorial counterparts also issued a joint statement outlining key privacy principles to consider as contact tracing and similar digital applications were being developed. ・・連邦プライバシー法の適用を受ける組織が、パンデミック時のプライバシー関連の義務を理解するためのガイダンスを発行すること。2020年5月、OPCとその州・準州のカウンターパートは、コンタクトトレースや同様のデジタルアプリケーションが開発される際に考慮すべき主要なプライバシー原則をまとめた共同声明も発表しています。
・The OPC participated in a Global Privacy Enforcement Network Privacy Sweep of health and wellness devices, as well as their associated applications and websites. The sweep, which looked at 21 devices including smart scales, blood pressure monitors and fitness trackers, raised a number of questions about the amount of data collected and how privacy practices are explained, among other things. ・OPCは、グローバル・プライバシー・エンフォースメント・ネットワークによる健康機器とその関連アプリケーション、ウェブサイトに関するプライバシー監査に参加しました。スマート体重計、血圧計、フィットネストラッカーなど21の機器を対象としたこの調査では、収集されるデータ量やプライバシー保護に関する説明の仕方など、多くの疑問点が指摘されました。
Conclusion まとめ
The issues and goals of the strategic priority initiative set out some fairly encompassing categories of privacy concern, right from the outset in 2015, that have proven both suitable and adaptable as trends and events across the data protection landscape evolved. 戦略的優先事項イニシアチブの課題と目標は、2015年の当初から、プライバシーに関する懸念事項をかなり包括的に分類しており、データ保護の状況全体の傾向や事象が進化するにつれ、適切かつ適応的であることが証明されています。
From intelligence oversight and border security, to online electioneering and the role of social media in democracy; from smart cities and machine learning, to public health surveillance and medical profiling, many privacy issues have emerged since we launched our priorities. 情報監視や国境警備から、オンラインでの選挙活動や民主主義におけるソーシャルメディアの役割まで、スマートシティや機械学習から公衆衛生監視や医療プロファイリングまで、私たちが優先事項を開始して以来、多くのプライバシー問題が浮かび上がってきています。
And from these priorities came new questions that led to broader themes that now form the core of the OPC’s advisory, compliance and parliamentary work. These themes highlight a range of trends that have fuelled the appetite for personal information playing out across all organizations. そして、これらの優先事項から新たな疑問が生まれ、それが現在OPCの諮問、遵守、議会活動の中核をなすより広範なテーマへとつながっています。これらのテーマは、あらゆる組織で繰り広げられている個人情報に対する欲求を加速させる様々な傾向を浮き彫りにしています。
Both the OPC’s economics of personal information and government surveillance work underscores how advanced the collection, analysis, sharing and leveraging of personal information have become. These practices are now axiomatic in both public-sector service delivery and private sector commercial offerings. This is just as evident in Canada as it is elsewhere around the world. OPCの個人情報の経済学と政府の監視の仕事は、個人情報の収集、分析、共有、活用がいかに高度になったかを強調している。これらの慣行は、公共部門のサービス提供においても、民間部門の商業的な提供においても、今や当然のものとなっています。このことは、世界の他の地域と同様、カナダでも明らかです。
Similarly, the OPC’s research and compliance work on the protection of reputation and the sensitivities of the body as information reveal an entire ecosystem of businesses, governments and intermediaries that remain – even today – unclear on the ethics, legalities and future implications of many of the technologies they are deploying. 同様に、レピュテーションの保護と情報としての身体の機密性に関するOPCの調査とコンプライアンス活動により、企業、政府、仲介者のエコシステム全体が、現在もなお、導入している多くのテクノロジーの倫理、合法性、将来の影響について不明確なままであることが明らかになりました。
The strategic priorities that helped guide the OPC’s work remain extremely relevant today. They have contributed significantly to the conclusion that effective privacy protection for Canadians requires the adoption of federal public and private sector privacy laws that are rights-based, interoperable and confer appropriate powers to the regulator to ensure compliance. OPCの活動の指針となった戦略的優先事項は、今日でも極めて重要な意味をもっています。カナダ人のプライバシーを効果的に保護するには、権利に基づき、相互運用性があり、規制当局に適切な権限を与えて遵守を確保する、連邦政府と民間部門のプライバシー法の採用が必要であるという結論に大きく寄与しています。

| | Comments (0)

2022.05.14

NIST SP 800-140B Rev.1 (Draft) CMVP セキュリティポリシー要件:ISO/IEC 24759 及び ISO/IEC 19790 附属書Bに対する CMVP検証権限の更新

こんにちは、丸山満彦です。

NISTが、SP 800-140B CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B (Draft)
を公表し、意見募集をしていますね。。。

NIST - ITL

・2022.05.12 SP 800-140F Rev. 1 (Draft) CMVP Approved Non-Invasive Attack Mitigation Test Metrics: CMVP Validation Authority Updates to ISO/IEC 24759

SP 800-140B Rev. 1 (Draft) CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B SP 800-140B Rev.1 (Draft) CMVP セキュリティポリシー要件:ISO/IEC 24759 及び ISO/IEC 19790 附属書 B に対する CMVP 検証権限の更新
Announcement 発表
This draft introduces four significant changes to NIST SP 800-140B: このドラフトでは、NIST SP 800-140B に 4 つの重要な変更が加えられています。
1. Defines a more detailed structure and organization for the Security Policy 1. セキュリティポリシーのより詳細な構造と組織を定義している。
2. Captures Security Policy requirements that are defined outside of ISO/IEC 19790 and ISO/IEC 24759 2. ISO/IEC 19790及びISO/IEC 24759以外で定義されたセキュリティポリシーの要求事項を取り入れる。
3. Builds the Security Policy document as a combination of the subsection information 3. サブセクションの情報を組み合わせて、セキュリティポリシー文書を作成する。
4. Generates the approved algorithm table based on lab/vendor selections from the algorithm tests 4. アルゴリズムテストによるラボ/ベンダーの選択に基づいて、承認されたアルゴリズム表を生成する。
The NIST SP 800-140x series supports Federal Information Processing Standards (FIPS) Publication 140-3, Security Requirements for Cryptographic Modules, and its associated validation testing program, the Cryptographic Module Validation Program (CMVP). The series specifies modifications to ISO/IEC 19790 Annexes and ISO/IEC 24759 as permitted by the validation authority. NIST SP 800-140x シリーズは、連邦情報処理規格(FIPS)Publication 140-3「暗号モジュールに対するセキュリティ要件」と、それに関連する検証テストプログラム「暗号モジュール検証プログラム(CMVP)」をサポートしています。このシリーズは、検証機関の許可に基づく ISO/IEC 19790 Annexes と ISO/IEC 24759 の修正について規定しています。
Abstract 概要
NIST Special Publication (SP) 800-140Br1 is to be used in conjunction with ISO/IEC 19790 Annex B and ISO/IEC 24759 section 6.14. The special publication modifies only those requirements identified in this document. SP 800-140Br1 also specifies the content of the information required in ISO/IEC 19790 Annex B. As a validation authority, the Cryptographic Module Validation Program (CMVP) may modify, add, or delete Vendor Evidence (VE) and/or Test Evidence (TE) specified under paragraph 6.14 of the ISO/IEC 24759 and specify the order of the security policy as specified in ISO/IEC 19790:2012 B.1. NIST Special Publication (SP) 800-140Br1 は、ISO/IEC 19790 Annex B および ISO/IEC 24759 のセクション 6.14 と共に使用されるものである。この特別刊行物は、この文書で特定された要件のみを変更する。SP 800-140Br1 は、ISO/IEC 19790 Annex B で要求される情報の内容も規定する。暗号モジュール検証プログラム(CMVP)は、検証機関として、ISO/IEC 24759 6.14 項で規定されたベンダエビデンス(VE)及び/又はテストエビデンス(TE)を修正、追加、削除し、ISO/IEC 19790:2012 B.1 で規定するセキュリティポリシーの順序を指定することができる。

 

・[PDF] SP 800-140B Rev. 1 (Draft)

20220513-223938

 

SP 800-140シリーズがどのような状況か...

SP 800-140 Final 2020.03.20 FIPS 140-3 Derived Test Requirements (DTR): CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140A Final 2020.03.20 CMVP Documentation Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140B Final 2020.03.20 CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B [PDF]
SP 800-140B Rev. 1 Draft 2022.05.12 CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B [PDF]
SP 800-140C Final 2020.03.20 CMVP Approved Security Functions: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140C Rev. 1 Draft 2022.02.10 CMVP Approved Security Functions: CMVP Validation Authority Updates to ISO/IEC 24759 (2nd Draft) [PDF]
SP 800-140D Final 2020.03.20 CMVP Approved Sensitive Parameter Generation and Establishment Methods: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140D Rev. 1 Draft 2022.02.10 CMVP Approved Sensitive Parameter Generation and Establishment Methods: CMVP Validation Authority Updates to ISO/IEC 24759 (2nd Draft) [PDF]
SP 800-140E Final 2020.03.20 CMVP Approved Authentication Mechanisms: CMVP Validation Authority Requirements for ISO/IEC 19790 Annex E and ISO/IEC 24579 Section 6.17 [PDF]
SP 800-140F Final 2020.03.20 CMVP Approved Non-Invasive Attack Mitigation Test Metrics: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140F Rev. 1 Draft 2021.08.20 CMVP Approved Non-Invasive Attack Mitigation Test Metrics: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]

 

【参考】

● FIPS140-3 Security Requirements for Cryptographic Modules [PDF]

● ISO/IEC 19790:2012 Information technology — Security techniques — Security requirements for cryptographic modules

● ISO/IEC 24759:2017 Information technology — Security techniques — Test requirements for cryptographic modules

  

【参考 日本】

● IPA 暗号モジュール試験及び認証制度(JCMVP):規程集

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.12 NIST SP 800-140D Rev.1(ドラフト)CMVP認定済みのセンシティブパラメータ生成・確立方法:ISO/IEC 24759に対するCMVP検証機関のアップデート(第2稿)

・2022.02.12 NIST SP 800-140C Rev.1(ドラフト)CMVP認定済みのセキュリティ機能: ISO/IEC 24759に対するCMVP検証機関の更新(第2稿)

・2020.03.21 NIST SP 800-140 FIPS 140-3 Derived Test Requirements (DTR): CMVP Validation Authority Updates to ISO/IEC 24759

 

 

 

 

| | Comments (0)

2022.05.13

Cloud Security Alliance: ヘルスケアサプライチェーンのサイバーセキュリティリスク管理

こんにちは、丸山満彦です。

Cloud Security Allianceが、ヘルスケアサプライチェーンのサイバーセキュリティリスク管理についての文書を公表していますね。。。医療関係は命にも関係する関係で、バリデーション等の規制もありますから、このような取り組みは重要でしょうね。。。

Cloud Security Alliance (CSA)

・2022.05.11 Healthcare Supply Chain Cybersecurity Risk Management


Healthcare Supply Chain Cybersecurity Risk Management ヘルスケアサプライチェーンのサイバーセキュリティリスク管理
It is essential for Healthcare Delivery Organizations to conduct proper risk management practices and risk assessments of suppliers and third-party service partners to minimize the risk of a supply chain exploitation. Internal security policies of a HDO need to be upheld to include external supply chain risk and vendor assessments, as a compromised network can put systems at risk. Many global factors may potentially disrupt a supply chain, so risk monitoring and response are critical for an HDO to mitigate vulnerability exposure threats across their supply chain infrastructure. A formal risk rating process for suppliers provides an effective way to evaluate the risk tolerance and appetite of its supply chain. ヘルスケアデリバリーオーガニゼーションは、サプライチェーンが悪用されるリスクを最小限に抑えるために、供給先や委託先に対して適切なリスク管理の実践とリスクアセスメントを行うことが必要不可欠です。ネットワークが侵害されるとシステムが危険にさらされる可能性があるため、HDOの内部セキュリティポリシーは、外部のサプライチェーンのリスクとベンダーの評価を含めて維持される必要があります。多くのグローバルな要因がサプライチェーンを混乱させる可能性があるため、HDOがサプライチェーン・インフラ全体の脆弱性暴露の脅威を軽減するためには、リスクの監視と対応が重要である。サプライヤーを対象とした正式なリスク評価プロセスは、サプライチェーンのリスク許容度とリスク選好度を評価する効果的な方法となります。

 

・[PDF] 簡単な質問に答えるとダウンロードできます

20220513-42429

目次...

Acknowledgments 謝辞
Abstract 概要
Introduction はじめに
Risks リスク
Risk Assessment リスクアセスメント
Risk Treatment リスクの処置
Risk Monitoring and Risk Response リスクモニタリングとリスク対応
Recommendations 推奨事項
Conclusion 結論
References 参考文献

 

 

| | Comments (0)

Cloud Security Alliance: Software-Defined Perimeter (SDP) 仕様書 V2 - 日本語版です...(2022.05.04)

こんにちは、丸山満彦です。

Cloud Security Allianceが、Software-Defined Perimeter (SDP) 仕様書 V2 の日本語版を公表していますね。。。これから重要となってくる概念ですから、日本語版があると理解が進みやすくなり、助かりますね。。。

 

Cloud Security Alliance (CSA)

・2022.05.04 Software-Defined Perimeter (SDP) Specification v2.0 - Japanese Translation

・[PDF] 簡単な質問に答えるとダウンロードできます

20220513-51214

 

目次...

はじめに
目的
スコープ
想定する読者

SDPのデザイン
SDP
のコンセプト
SDP
のアーキテクチャと構成要素
 SDP
コントローラ
 SDP Initiating Host (SDPクライアント
)
 SDP Accepting Host  (AH)
SDP
の配備モデル
SDP
のワークフロー
 コントローラのオンボーディングワークフロー
 Accepting Host (AH) のオンボーディングワークフロー
 Initiating Host (IH)のオンボーディングワークフロー
 アクセスワークフロー

IH
オンボーディングのワークフロー例
Single Packet Authorization
SPA
 SPA
メッセージのフォーマット
 安全な自己完結型コネクションレス型メッセージ伝送プロトコルとしてのSPA
 SPAの代替品

コンポーネント間のトランスポートレイヤの相互認証
デバイスの検証
SDP
IoTデバイス
アクセスポリシー

SDPプロトコル
AH-
コントローラプロトコル
 AH to
コントローラシーケンス図
 a. SPA
 b. TCPコネクションと相互認証された通信路(mTLS)の確立
 c. ログイン(SDP参加)要求メッセージ
 d. ログイン(SDP参加)応答メッセージ
 e. ログアウト要求メッセージ
 f. キープアライブメッセージ
 g. AHサービスメッセージ
 h. ユーザ定義メッセージ

IH-
コントローラプロトコル
 IH to Controller
シーケンス図
 a. SPA
 b. TCP
コネクションと相互認証された通信路(mTLS)の確立
 c. ログイン(SDP参加)要求メッセージ
 d. ログイン応答メッセージ
 e. キープアライブメッセージ
 f. IHサービスメッセージ
 g. IH認証メッセージ
 h. ログアウト要求メッセージ
 z. ユーザ定義メッセージ

IH-AH
プロトコル
 IH
からAHへのシーケンス図
 a. SPA
 b. コネクションを開き、相互に認証された通信を確立
 c. オープン接続リクエストメッセージ
 d. 適切なコネクションタイプを開く
 e. オープンコネクションレスポンスメッセージ
 f. データメッセージ
 g. 接続終了メッセージ
 z.ユーザー定義メッセージ

ロギング
 ログメッセージのフィールド
 オペレーションログ
 セキュリティ/接続ログ

まとめ

参考文献

付録ASDPSDNNFV
付録BOSI/SDP コンポーネントマッピング

 


 

まるちゃんの情報セキュリティ気まぐれ日記

SDPについて...

・2022.04.19 Cloud Security Alliance ソフトウェア定義境界 (SDP) とドメインネームシステム (DNS) の統合:強化されたゼロトラストポリシーの適用 (2022.04.12)

・2020.05.28 CSAがソフトウェア定義の境界(SDP)を使用してゼロトラストを実装する方法に関する報告書を公開していますね。。。

| | Comments (0)

Cloud Security Alliance: IoT Controls Matrix v3とそのガイド (2022.04.25)

こんにちは、丸山満彦です。

Cloud Security Allianceが IoT Controls Matrix v3そのガイドを発表していますね。。。

IoT Controls Matrix v3自体は、エクセルです。。。

 

Cloud Security Alliance (CSA)

IoT Controls Matrix自体はこちらから...

・2022.04.25 IoT Controls Matrix v3

・[ELSX] 簡単な質問に答えるとダウンロードできます

 

で、そのガイドはこちらから...

・2022.04.25 Guide to the IoT Controls Matrix v3

・[PDF] 簡単な質問に答えるとダウンロードできます

20220513-42500

Acknowledgments 謝辞
Introduction はじめに
Tailoring the Matrix マトリックスの調整
Industry Profiles 産業別プロファイル
Goal 目標
Audience 視聴者層
Versioning バージョン管理
Using the IoT Security Controls Framework IoTセキュリティコントロールフレームワークの使用
 Security Control Objectives (Columns A, B, C, D, E, F)  セキュリティコントロールの目的(A、B、C、D、E、F列)
 IoT System Risk Impact Levels (Columns G, H, I)  IoTシステムリスク影響度(G、H、I列)
 Supplemental Control Guidance (Columns J, K)  補足的なコントロールのガイダンス(J、K列)
 Implementation Guidance (Columns L, M, N)  実装ガイダンス(L、M、N列)
  Types of Security Controls (Column L)   セキュリティコントロールの種類(L列)
  Control Implementation Guidance (Column M)   コントロールの実装ガイダンス(M列)
  Control Frequency (Column N)   コントロールの頻度(N列)
 Device, Network, Gateway, and Cloud Services (O, P, Q, R)  デバイス、ネットワーク、ゲートウェイ、クラウドサービス(O、P、Q、R列)
  Device (Column O)   デバイス(O列)
  Network (Column P)   ネットワーク(P列)
  Gateway (Column Q)   ゲートウェイ(Q列)
  Cloud Services (Column R)   クラウドサービス(R列)
Additional Resources 追加参考情報

 

 

| | Comments (0)

Cloud Security Alliance: サーバーレスアーキテクチャの安全性を確保するためのCレベル向けガイダンス (2022.04.19)

こんにちは、丸山満彦です。

色々とバタバタしている中で、Cloud Security Allianceのウェブページの確認を忘れてました。。。

この、C-Level Guidance to Securing Serverless Architecturesは利点と課題のポイントがよくまとまっていて良いのかもですね。。。

CSA-JAPANは、色々と翻訳版も出しているので、ぜひこれも翻訳されると良いですね。。。

 

Cloud Security Alliance (CSA)

・2022.04.13 C-Level Guidance to Securing Serverless Architectures

・[PDF] 簡単な質問に答えるとダウンロードできます

20220513-43813

 

目次

Acknowledgments 謝辞
1. Introduction - Executive Summary 1. はじめに - エグゼクティブサマリー
Purpose and Scope 目的と範囲
Audience 想定読者
2.  Business benefit 2.  ビジネス上の利点
2.1 Innovation 2.1 革新
2.2 Agility 2.2 俊敏性
2.3 CapEx/OpEx 2.3 設備投資/運用コスト
2.4 Speed to Market 2.4 市場投入までのスピード
2.5 Automation 2.5 自動化
3. Security and risk management for serverless 3. サーバーレスのためのセキュリティとリスク管理
3.1 Elevation of inherited security with Serverless 3.1 サーバーレスで継承されるセキュリティの高度化
3.2 Serverless on the CIA security Triad 3.2 CIAのセキュリティトライアドにおけるサーバーレス
3.3 Reshaping the CIO and CISO relationship 3.3 CIOとCISOの関係の再構築
3.4 Threat Model and Serverless Best Practices 3.4 脅威モデルとサーバーレスのベストプラクティス
4. Conclusion 4. 結論
5. References 5. 参考文献
Appendix: Acronyms 附属書 頭字語
Appendix 2: Glossary 附属書 2: 用語解説

 

エグゼクティブサマリーの部分...

1. Introduction - Executive Summary 1. はじめに - エグゼクティブサマリー
Serverless computing enables developers to develop and deploy faster, allowing a more effective way to move to Cloud-native services without managing infrastructures like container clusters or virtual machines. As businesses work to bring technology value to market faster, serverless platforms are gaining adoption with developers.  サーバーレスコンピューティングは、コンテナクラスタや仮想マシンのようなインフラを管理することなく、開発者がより迅速に開発・実装し、より効率的にクラウドネイティブサービスに移行することを可能にします。企業が技術的価値をより早く市場に投入するために、サーバーレス・プラットフォームは開発者の間で採用が進んでいます。
Like any emerging technology, Serverless brings with it a variety of cyber risks. This paper in its first part covers the business benefits of Serverless architecture like agility, cost, speed to market etc. which are all correlated. The second part of the paper focuses on security for serverless applications, describing the industry-wide best practices and recommendations. In its conclusion, it summarizes how executive management should look at serverless architectures and what factors they should consider when adopting them.  他の新興技術と同様に、サーバーレスにはさまざまなサイバーリスクが伴います。本文書の第1部では、俊敏性、コスト、市場投入までのスピードなど、サーバーレスアーキテクチャのビジネス上の利点について説明します。第2部では、サーバーレスアプリケーションのセキュリティに焦点を当て、業界全体のベストプラクティスや推奨事項を解説しています。結論では、経営幹部がサーバーレスアーキテクチャをどのように見るべきか、採用する際にどのような要因を考慮すべきかをまとめています。
The information is intended for readers who are getting introduced to  serverless computing and need to understand its business and security implications. この情報は、サーバーレスコンピューティングを導入し、そのビジネスとセキュリティの意味を理解する必要がある読者を対象としています。
Purpose and Scope 目的と範囲
The purpose of this document is to provide a high level business overview of Serverless computing, along with the risks and the security concerns when implementing a secure serverless computing solution.  本書の目的は、サーバーレス・コンピューティングのハイレベルなビジネス概要を、安全なサーバーレス・コンピューティング・ソリューションを実装する際のリスクとセキュリティの懸念事項とともに提供することです。
Two players are involved in a Serverless service:  サーバーレス・サービスには、2つのプレーヤーが関与しています。
・The Service/Platform Provider - the provider of the serverless platform on which serverless applications are built.  サービス/プラットフォーム・プロバイダ - サーバーレスアプリケーションを構築するサーバーレス・プラットフォームのプロバイダ 
・The Application Owner - the user of the serverless solution/service whose applications run on the platform.  アプリケーションオーナー:サーバーレスソリューション/サービスのユーザーで、そのプラットフォーム上でアプリケーションを実行する。
Under a serverless solution/service (or serverless platform), a service provider offers compute resources that are elastically auto-allocated to serve the needs of different customers. This way, customers are charged based on usage and not on a fixed amount of bandwidth or number of servers.  サーバーレスソリューション/サービス(またはサーバーレスプラットフォーム)の下では、サービスプロバイダは、異なる顧客のニーズに合わせて弾力的に自動割り当てされたコンピューティングリソースを提供します。この方法では、顧客は固定量の帯域幅やサーバーの数ではなく、使用量に基づいて課金されます。
The designation ‘serverless’ reflects the fact that although physical servers are still used, a customer does not need to be in charge or aware of them, as they are only the provider’s responsibility. In other words, although there are technical executions on server hardware, only the cloud service provider is responsible for the compilation of the functions or the successful delivery of the service provided.  サーバーレス」という呼称は、物理的なサーバーは依然として使用されているものの、それらはあくまでプロバイダーの責任であるため、顧客はそれを担当したり意識したりする必要がないことを反映している。つまり、サーバーハードウェア上での技術的な実行はあるものの、機能の取りまとめや提供するサービスの正常な提供については、クラウドサービス提供者のみが責任を負うということである。
Examples of serverless services include Functions as a Service and Database as a Service. サーバーレス・サービスの例としては、Functions as a ServiceやDatabase as a Serviceなどがあります。
The scope of this document is limited at the perspective of implemented workloads on top of Serverless platforms offered by platform providers.  本文書の範囲は、プラットフォームプロバイダーが提供するサーバーレスプラットフォームの上に実装されたワークロードの観点に限定されています。
The primary goal is to present and promote serverless computing as a secure cloud computing execution model. 主な目的は、安全なクラウドコンピューティングの実行モデルとして、サーバーレスコンピューティングを提示し、推進することです。
For a more detailed overview of Serverless Computing, the paper “How to design a Secure Serverless architecture”  by Cloud Security Alliance is recommended. サーバーレスコンピューティングの詳細な概要については、Cloud Security Allianceによる論文「How to design a Secure Serverless architecture」が推奨されます。
Audience 想定読者
The intended audience of this document are Chief Information Security Officers (CISOs), Chief Information Officers (CIOs), Security Professionals, application and Security Engineers, risk management professionals, and other security business functions like product managers, marketing managers and business development managers, interested in serverless computing and its security.  本書の対象者は、サーバーレスコンピューティングとそのセキュリティに関心のある、最高情報セキュリティ責任者(CISO)、最高情報責任者(CIO)、セキュリティ専門家、アプリケーションおよびセキュリティエンジニア、リスク管理専門家、プロダクトマネージャー、マーケティングマネージャー、事業開発マネージャーなどのセキュリティビジネス部門です。
Owing to the constantly changing nature of technologies in the serverless space, readers are encouraged to take advantage of the other resources, including those listed in this document, for current and more detailed information.  サーバーレス分野の技術は常に変化しているため、読者の皆様には、最新の、より詳細な情報を得るために、本書に記載されているものを含む他のリソースを活用されることをお勧めします。

 

 

 

| | Comments (0)

CISA、NSA、FBI、NCSC~UK、ACSC、CCCS、NCSC-NZ:マネージドサービスプロバイダー(MSP)と顧客を保護するためのサイバーセキュリティアドバイザリー

こんにちは、米国のCISA、NSA、FBI、UKのNCSC~UK、オーストラリアのACSC、カナダのCCCS、ニュージランドのNCSC-NZが共同でマネージドサービスプロバイダー(MSP)と顧客を保護するためのサイバーセキュリティアドバイザリーを発表していますね。。。

CISA, NSA, FBI AND INTERNATIONAL CYBER AUTHORITIES ISSUE CYBERSECURITY ADVISORY TO PROTECT MANAGED SERVICE PROVIDERS (MSP) AND CUSTOMERS CISA、NSA、FBI、国際サイバー当局がマネージドサービスプロバイダー(MSP)と顧客を保護するためのサイバーセキュリティアドバイザリーを発表
MSPs and customers recommended to adopt a shared commitment to security and implement baseline measures and controls  MSPと顧客は、セキュリティに対する共通のコミットメントを採用し、基本的な対策とコントロールを実施するよう推奨される    
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA), in partnership with the United Kingdom’s National Cyber Security Centre (NCSC-UK), Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security (CCCS), New Zealand National Cyber Security Centre (NZ NCSC), National Security Agency (NSA), and Federal Bureau of Investigation (FBI) released an advisory today with cybersecurity best practices for information and communications technology (ICT), focusing on enabling transparent discussions between managed service providers (MSPs) and their customers on securing sensitive data. CISA, NCSC-UK, ACSC, CCCS, NZ-NCSC, NSA, and FBI expect state-sponsored advanced persistent threat (APT) groups and other malicious cyber actors to increase their targeting of MSPs against both provider and customer networks.  ワシントン - サイバーセキュリティ・インフラセキュリティ局(CISA)は、英国国家サイバーセキュリティセンター(NCSC-UK)、オーストラリア・サイバーセキュリティセンター(ACSC)、カナダのサイバーセキュリティセンター(CCCS)、ニュージーランド・国家サイバーセキュリティセンター(NZ NCSC)、国家セキュリティ局(NSA)、連邦捜査局(FBI)と共同で、情報通信技術(ICT)に関するサイバーセキュリティのベストプラクティスとして、機密データの安全性について管理事業者(MSP)とその顧客の間で透過的に議論できることに焦点を当てた勧告を今日発表します。CISA、NCSC-UK、ACSC、CCCS、NZ-NCSC、NSA、FBIは、国家が支援する高度持続的脅威(APT)グループやその他の悪質なサイバー行為者が、プロバイダーと顧客の両方のネットワークに対してMSPを標的とすることを増加させると予測しています。 
The advisory provides several actions that organizations can take to reduce their risk of becoming a victim to malicious cyber activity. Additionally, MSP customers should ensure their contractual arrangements specify that their MSP implements the measures and controls in this advisory, such as:   この勧告では、悪意のあるサイバー活動の犠牲になるリスクを低減するために組織が取るべき行動をいくつか提示しています。さらに、MSP の顧客は、契約上の取り決めにより、MSP がこの勧告にある次のような対策や制御を実施するよう明記する必要があります。 
・Prevent initial compromise by implementing mitigation resources to protect initial compromise attack methods from vulnerable devices, internet-facing services, brute force and password spraying, and phishing.   ・脆弱なデバイス、インターネット向けサービス、ブルートフォースおよびパスワードの散布、フィッシングなどの初期侵害の攻撃手法を保護するための緩和リソースを実装することにより、初期侵害を防止する。  
・Enable monitoring and logging, including storage of most important logs for at least six months, and implement endpoint detection and network defense monitoring capabilities in addition to using application allowlisting/denylisting.   ・アプリケーションの許可リスト/拒否リストの使用に加え、最重要ログの最低 6 カ月保存を含む監視とログ記録、およびエンドポイント検出とネットワーク防御の監視機能を実装する。  
・Secure remote access applications and enforce multifactor authentication (MFA) where possible to harden the infrastructure that enables access to networks and systems.  ・リモートアクセスアプリケーションを保護し、可能な限り多要素認証(MFA)を実施し、ネットワークやシステムへのアクセスを可能にするインフラストラクチャを強化する。 
・Develop and exercise incident response and recovery plans, which should include roles and responsibilities for all organizational stakeholders, including executives, technical leads, and procurement officers.  ・インシデントレスポンスと復旧計画を策定し、実施します。この計画には、経営幹部、技術責任者、調達担当者など、組織のすべての利害関係者の役割と責任を含めるべきである。 
・Understand and proactively manage supply chain risk across security, legal, and procurement groups, using risk assessments to identify and prioritize the allocation of resources.   ・セキュリティ、法務、調達の各部門にまたがるサプライチェーンのリスクを理解し、積極的に管理し、リスク評価を用いてリソースの割り当てを特定し、優先順位をつける。  
 “As this joint advisory makes clear, malicious cyber actors continue to target managed service providers, which can significantly increase downstream risk to the businesses and organizations they support – why it’s critical that MSPs and their customers take action to protect their networks,” said CISA Director Jen Easterly. “Securing MSPs are critical to our collective cyber defense, and CISA and our interagency and international partners are committed to hardening their security and improving the resilience of our global supply chain.” CISAディレクターのジェン・イースターは次のように述べています。
「この共同勧告が明らかにしているように、悪意のあるサイバー行為者はマネージド・サービス・プロバイダーを標的とし続けており、MSPがサポートする企業や組織の下流リスクを大幅に増大させる可能性があります。このため、MSPとその顧客が自社のネットワークを保護するために行動を起こすことが重要です。CISAと我々の省庁間および国際的なパートナーは、MSPのセキュリティを強化し、グローバルなサプライチェーンの回復力を向上させることに尽力しています」。
“We are committed to further strengthening the UK’s resilience, and our work with international partners is a vital part of that,” said NCSC CEO Lindy Cameron. “Our joint advisory with CISA is aimed at raising organisations’ awareness of the growing threat of supply chain attacks and the steps they can take to reduce their risk. I strongly encourage both managed service providers and their customers to follow this and our wider guidance – ultimately this will help protect not only them but organisations globally.”  NCSCのCEOであるLindy Cameronは、次のように述べています。「我々は、英国のレジリエンスをさらに強化することを約束し、国際的なパートナーとの協力はその重要な一部です。CISAとの共同勧告は、サプライチェーン攻撃の脅威の高まりと、リスクを軽減するための措置について、組織の意識を高めることを目的としています。マネージド・サービス・プロバイダーとその顧客が、この勧告と我々の広範なガイダンスに従うことを強くお勧めします-最終的にこれは、彼らだけでなく世界中の組織を守ることになるでしょう。 
“Managed Service Providers are vital to many businesses and as a result, a major target for malicious cyber actors,” said Abigail Bradshaw CSC, Head of the Australian Cyber Security Centre. “These actors use them as launch pads to breach their customers’ networks, which we see are often compromised through ransomware attacks, business email compromises and other methods. Effective steps can be taken to harden their own networks and to protect their client information. We encourage all MSP’s to review their cyber security practices and implement the mitigation strategies outlined in this Advisory.” オーストラリア・サイバー・セキュリティ・センターの責任者であるアビゲール・ブラッドショーCSCは次のように述べています。「マネージド・サービス・プロバイダーは、多くの企業にとって不可欠な存在であり、その結果、悪意のあるサイバー行為者の主要なターゲットとなっています。悪意のあるサイバー犯罪者は、プロバイダを拠点として顧客のネットワークに侵入し、ランサムウェア攻撃やビジネスメールの流出などの被害を受けることがよくあります。自社のネットワークを強化し、顧客情報を保護するために、効果的な手段を講じることができます。すべてのMSPは、自社のサイバーセキュリティの実践を見直し、本アドバイザリに記載されている緩和策を実施することを推奨します。」
“We’ve seen the damage and impact cyber compromises can have on supply chains, managed service providers, and their customers,” said Sami Khoury, Head, Canadian Centre for Cyber Security. “These compromises can result in costly mitigation activities and lengthy downtime for clients. We strongly encourage organizations to read this advisory and implement these guidelines as appropriate.” 「カナダ・サイバー・セキュリティ・センターの責任者であるサミ・クーリーは、次のように述べています。「我々は、サイバー侵害がサプライチェーン、マネージド・サービス・プロバイダー、およびその顧客に与える損害と影響を目の当たりにしてきました。このような侵害は、コストのかかる被害軽減活動や顧客の長時間のダウンタイムにつながる可能性があります。我々は、組織がこの勧告を読み、必要に応じてこれらのガイドラインを実施することを強く推奨します。」
“Supply chain vulnerabilities are amongst the most significant cyber threats facing organisations today,” said Lisa Fong, Director of New Zealand’s National Cyber Security Centre. “As organisations strengthen their own cyber security, their exposure to cyber threats in their supply chain increasingly becomes their weakest point.  Organisations need to ensure they are implementing effective controls to mitigate the risk of cyber security vulnerabilities being introduced to their systems via technology suppliers such as managed service providers.  They also need to be prepared to effectively respond to when issues arise.”  ニュージーランドのナショナル・サイバー・セキュリティ・センターのディレクターであるリサ・フォングは、次のように述べています。「サプライチェーンの脆弱性は、今日、組織が直面している最も重大なサイバー脅威の一つです。組織が自らのサイバーセキュリティを強化するにつれ、サプライチェーンにおけるサイバー脅威にさらされることは、ますます弱点となります。  組織は、マネージド・サービス・プロバイダーなどの技術サプライヤーを通じて、サイバーセキュリティの脆弱性がシステムに持ち込まれるリスクを軽減するために、効果的な管理策を確実に実施する必要があります。  また、問題が発生した場合に効果的に対応できるように準備しておく必要があります。 」
"This joint guidance will help MSPs and customers engage in meaningful discussions on the responsibilities of securing networks and data," said Rob Joyce, NSA Cybersecurity Director. "Our recommendations cover actions such as preventing initial compromises and managing account authentication and authorization." NSAのサイバーセキュリティ担当ディレクターであるロブ・ジョイスは、次のように述べています。「この共同指針は、MSPと顧客がネットワークとデータの安全確保の責任について有意義な議論を行うのに役立つだろう」と述べています。「私たちの勧告は、初期侵害の防止やアカウントの認証・認可の管理などの行動をカバーしています。」
“Through this joint advisory, the FBI, together with our federal and international partners, aims to encourage action by MSPs and their customers, as malicious cyber actors continue to target this vector for entry to threaten networks, businesses, and organizations globally,” said FBI's Cyber Division Assistant Director Bryan Vorndran. “These measures and controls should be implemented to ensure hardening of security and minimize potential harm to victims.” FBIのサイバー部門アシスタントディレクターBryan Vorndranは次のように述べています。「この共同勧告を通じて、FBIは、連邦政府や国際的なパートナーとともに、悪意のあるサイバー行為者が世界中のネットワーク、企業、組織を脅かすためにこの侵入経路を狙い続けるMSPとその顧客による行動を奨励することを目指しています。これらの対策と制御を実施することで、セキュリティを強化し、被害者の潜在的な被害を最小限に抑えることができます。」
All organizations are encouraged to review the advisory for complete list of recommended security measures and operational controls. Organizations should implement these guidelines as appropriate to their unique environments, in accordance with their specific security needs, and in compliance with applicable regulations. 
すべての組織は、推奨されるセキュリティ対策と運用管理の完全なリストについて、勧告を確認することが推奨されます。組織は、これらのガイドラインを、固有の環境、固有のセキュリティニーズ、および適用される規制に基づき、適切に実施する必要があります。 
Organizations should share information about incidents and unusual cyber activity with their respective cybersecurity authorities. When cyber incidents are reported quickly, it can contribute to stopping further attacks. In the U.S., organizations should inform CISA’s 24/7 Operations Center at report@cisa.gov or (888) 282-0870.       組織は、インシデントや異常なサイバー活動に関する情報を、それぞれのサイバーセキュリティ当局と共有する必要があります。サイバーインシデントが迅速に報告されれば、さらなる攻撃の阻止に貢献することができます。米国では、組織はCISAの24時間365日オペレーションセンター(report@cisa.gov または (888) 282-0870)に通報する必要があります。     

 

・2022.05.11 Alert (AA22-131A) Protecting Against Cyber Threats to Managed Service Providers and their Customers



Alert (AA22-131A) Protecting Against Cyber Threats to Managed Service Providers and their Customers アラート(AA22-131A)マネージドサービスプロバイダとその顧客に対するサイバー脅威からの保護
Summary 概要
Tactical actions for MSPs and their customers to take today: MSPとその顧客が今日から行うべき戦術的なアクション:
• Identify and disable accounts that are no longer in use. ・使用しなくなったアカウントの特定と無効化
• Enforce MFA on MSP accounts that access the customer environment and monitor for unexplained failed authentication. ・顧客環境にアクセスするMSPアカウントへのMFAの適用と、原因不明の認証失敗の監視。
• Ensure MSP-customer contracts transparently identify ownership of ICT security roles and responsibilities. ・ICT セキュリティの役割と責任に関する所有権を、MSP と顧客の間で透明性をもって確認する契約の締結。
The cybersecurity authorities of the United Kingdom (NCSC-UK), Australia (ACSC), Canada (CCCS), New Zealand (NCSC-NZ), and the United States (CISA), (NSA), (FBI) are aware of recent reports that observe an increase in malicious cyber activity targeting managed service providers (MSPs) and expect this trend to continue.[1] This joint Cybersecurity Advisory (CSA) provides actions MSPs and their customers can take to reduce their risk of falling victim to a cyber intrusion. This advisory describes cybersecurity best practices for information and communications technology (ICT) services and functions, focusing on guidance that enables transparent discussions between MSPs and their customers on securing sensitive data. Organizations should implement these guidelines as appropriate to their unique environments, in accordance with their specific security needs, and in compliance with applicable regulations. MSP customers should verify that the contractual arrangements with their provider include cybersecurity measures in line with their particular security requirements. 英国(NCSC-UK)、オーストラリア(ACSC)、カナダ(CCCS)、ニュージーランド(NCSC-NZ)、米国(CISA)、(NSA)、(FBI)のサイバーセキュリティ当局は、MSPを標的とした悪質なサイバー活動の増加を観測する最近の報告について認識しており、この傾向が続くと予想しています。 この共同サイバーセキュリティ勧告(CSA)は、サイバー侵入の犠牲になるリスクを減らすためにMSPとその顧客が取るべき措置を提供しています[1] 。この勧告では、情報通信技術(ICT)サービスおよび機能に関するサイバーセキュリティのベストプラクティスを説明し、機密データの保護に関するMSPとその顧客間の透明性の高い議論を可能にする指針に重点を置いています。組織は、固有のセキュリティ・ニーズに従って、適用される規制を遵守し、固有の環境に適したこれらのガイドラインを実施する必要があります。MSP の顧客は、プロバイダとの契約上の取り決めに、自社の特定のセキュリティ要件に沿ったサイ バーセキュリティ対策が含まれていることを確認する必要があります。
The guidance provided in this advisory is specifically tailored for both MSPs and their customers and is the result of a collaborative effort from the United Kingdom National Cyber Security Centre (NCSC-UK), the Australian Cyber Security Centre (ACSC), the Canadian Centre for Cyber Security (CCCS), the New Zealand National Cyber Security Centre (NCSC-NZ), the United States' Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), and Federal Bureau of Investigation (FBI) with contributions from industry members of the Joint Cyber Defense Collaborative (JCDC). Organizations should read this advisory in conjunction with NCSC-UK guidance on actions to take when the cyber threat is heightened, CCCS guidance on Cyber Security Considerations for Consumers of Managed Services, and CISA guidance provided on the Shields Up and Shields Up Technical Guidance webpages. この勧告で提供されるガイダンスは、特にMSPとその顧客の両方に合わせたもので、英国国立サイバーセキュリティセンター(NCSC-UK)、オーストラリア・サイバーセキュリティセンター(ACSC)、カナダ・サイバーセキュリティセンター(CCCS)、ニュージーランド国立サイバーセキュリティセンター(NCSC-NZ)、米国サイバーセキュリティおよびインフラセキュリティ局(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)が、合同サイバー防衛協議会(JCDC)の業界メンバーから貢献を受けて共同で作成した結果となっています。組織は、この勧告を、サイバー脅威が高まったときに取るべき行動に関する NCSC-UK のガイダンス、マネージドサービスの消費者のためのサイバーセキュリティに関する考察に関する CCCS のガイダンス、および Shields Up と Shields Up Technical Guidance の Web ページで提供されている CISA のガイダンスと併せて読む必要があります。
Managed Service Providers マネージド・サービス・プロバイダー
This advisory defines MSPs as entities that deliver, operate, or manage ICT services and functions for their customers via a contractual arrangement, such as a service level agreement. In addition to offering their own services, an MSP may offer services in conjunction with those of other providers. Offerings may include platform, software, and IT infrastructure services; business process and support functions; and cybersecurity services. MSPs typically manage these services and functions in their customer's network environment—either on the customer's premises or hosted in the MSP's data center. Note: this advisory does not address guidance on cloud service providers (CSPs)— providers who handle the ICT needs of their customers via cloud services such as Software-as-aService, Platform-as-a-Service, and Infrastructure-as-a-Service; however, MSPs may offer these services as well. (See Appendix for additional definitions.) この勧告では、MSPを、サービスレベル契約などの契約上の取り決めにより、顧客のためにICTサービスや機能を提供、運用、管理する事業者と定義しています。MSPは、独自のサービスを提供するだけでなく、他のプロバイダと連携してサービスを提供することもある。提供するサービスには、プラットフォーム、ソフトウェア、ITインフラストラクチャーサービス、ビジネスプロセスおよびサポート機能、サイバーセキュリティサービスなどが含まれる場合があります。MSP は通常、顧客のネットワーク環境(顧客の敷地内または MSP のデータ・センターでホストされる)でこれらのサービスおよび機能を管理する。 注:この勧告は、クラウド・サービス・プロバイダ(CSP)-Software-as-a-Service、Platform-as-a-Service、および Infrastructure-as-a-Service などのクラウドサービスを通じて顧客の ICT ニーズを処理するプロバイダ-に関する指針を扱っていない(しかし MSP はこれらのサービスをも提供できる場合がある)。(その他の定義については、附属書を参照)。
MSPs provide services that usually require both trusted network connectivity and privileged access to and from customer systems. Many organizations—ranging from large critical infrastructure organizations to small- and mid-sized businesses—use MSPs to manage ICT systems, store data, or support sensitive processes. Many organizations make use of MSPs to scale and support network environments and processes without expanding their internal staff or having to develop the capabilities internally.  MSPは、通常、信頼できるネットワーク接続と、顧客システムとの特権的なアクセスの両方を必要とするサービスを提供する。大規模な重要インフラストラクチャ組織から中小企業に至るまで、多くの組織が ICT システムの管理、データの保存、または機密プロセスのサポートに MSP を使用している。また、MSPを利用することで、社内スタッフを増員したり、社内で機能を開発することなく、ネットワーク環境やプロセスを拡張し、サポートしている企業も少なくありません。 
Threat Actors Targeting MSP Access to Customer Networks MSPの顧客ネットワークへのアクセスを狙う脅威要因
Whether the customer's network environment is on premises or externally hosted, threat actors can use a vulnerable MSP as an initial access vector to multiple victim networks, with globally cascading effects. The UK, Australian, Canadian, New Zealand, and U.S. cybersecurity authorities expect malicious cyber actors—including state-sponsored advanced persistent threat (APT) groups—to step up their targeting of MSPs in their efforts to exploit provider-customer network trust relationships. For example, threat actors successfully compromising an MSP could enable follow-on activity—such as ransomware and cyber espionage—against the MSP as well as across the MSP's customer base. 顧客のネットワーク環境がオンプレミスか外部ホスティングかにかかわらず、脅威者は脆弱なMSPを複数の被害者ネットワークへの最初のアクセス・ベクトルとして利用し、グローバルに連鎖的な影響を及ぼす可能性があります。英国、オーストラリア、カナダ、ニュージーランド、および米国のサイバーセキュリティ当局は、国家に支援された高度持続的脅威(APT)グループを含む悪質なサイバーアクターが、プロバイダーと顧客のネットワークの信頼関係を悪用するために、MSPの標的をさらに強化することを期待しています。例えば、MSPを危険にさらすことに成功した脅威者は、MSPやMSPの顧客基盤全体に対して、ランサムウェアやサイバースパイといった後続の活動を可能にする可能性があります。
The UK, Australian, Canadian, New Zealand, and U.S. cybersecurity authorities have previously issued general guidance for MSPs and their customers.[2],[3],[4],[5],[6],[7],[8] This advisory provides specific guidance to enable transparent, well-informed discussions between MSPs and their customers that center on securing sensitive information and data. These discussions should result in a re-evaluation of security processes and contractual commitments to accommodate customer risk tolerance. A shared commitment to security will reduce risk for both MSPs and their customers, as well as the global ICT community.  英国、オーストラリア、カナダ、ニュージーランド、および米国のサイバーセキュリティ当局は、これまでにMSPとその顧客に対する一般的なガイダンスを発表しています[2], [3], [4], [5], [6], [7], [8] この勧告では、機密情報とデータの保護を中心に、透明で十分に情報に基づいたMSPとその顧客間の話し合いを可能にするための特定のガイダンスが提供されています。これらの議論の結果、顧客のリスク許容度に対応するために、セキュリティ・プロセスおよび契約上のコミットメントを再評価する必要があります。セキュリティに対する共通のコミットメントは、MSPとその顧客、そしてグローバルなICTコミュニティのリスクを軽減することになります。 
Download the Joint Cybersecurity Advisory: Protecting Against Cyber Threats to Managed Service Providers and their Customers (pdf, 697kb). サイバーセキュリティに関する共同アドバイザリーをダウンロードする。 マネージド・サービス・プロバイダーとその顧客に対するサイバー脅威からの保護 (pdf, 697kb).

・[PDF]

20220521-00743

| | Comments (0)

2022.05.12

米国 ITI SECのサイバーセキュリティに関する規則案の延期を要請 - セキュリティリスクの分散と軽減のために

こんにちは、丸山満彦です。

Information Technology Industry Council (ITI) [wikipedia]、日本語で言えば、IT産業協議会ですかね、、、が、SECが公表した、セキュリティインシデントの開示を含む規則案に対するコメントを公表していますね。。。

概要で言うと、

投資家のリスクを低減すると言う意味では賛成するものの、以下の懸念事項等があるので、もう少し良く考えたら???と言うことのようですね。。。

・開示内容次第では、かえってリスクを高め、ひいては投資家保護に繋がらないので、開示内容については慎重なガイドが必要

・CISAの要求事項との調整をちゃんと図り、連邦政府全体としての整合性を保つことが重要

・法執行、国家安全保障上の観点を踏まえたセーフハーバー条項を設けるべき

・報告要件は従前の重要性の概念との整合性を考えると不要ではないか?

・開示スケジュールを4営業日とすることは、短い場合もあるのではないか?

・取引先等の第三者によるセキュリティインシデントは開示対象から外すべき

・投資家の意識向上につながる面もあるが、杓子定規な規定はかえって良くない場合もある

 

 

Information Technology Industry Council (ITI) 

・2022.05.09 ITI Urges SEC to Delay Proposed Rule on Cybersecurity to Deconflict, Mitigate Security Risks

 

ITI Urges SEC to Delay Proposed Rule on Cybersecurity to Deconflict, Mitigate Security Risks ITI SECに対して、セキュリティリスクの回避、低減のためにサイバーセキュリティに関する規則案の延期を要請
WASHINGTON – Today, global tech trade association ITI urged the Securities and Exchange Commission (SEC) to delay implementation of its Proposed Rule on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure to ensure the rule does not undermine cybersecurity and create additional security risks. In comments to the SEC, ITI cautions that the proposed rule could inadvertently expose unmitigated vulnerabilities and conflict with the Cybersecurity and Infrastructure Security Agency (CISA) rulemaking to implement the Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA). Delaying the implementation of the proposed rule would provide the SEC and stakeholders the opportunity to work through these challenges and allow the SEC the time to coordinate with CISA to deconflict the proposed rule with CIRCIA. ワシントン - 本日、世界的な技術業界団体であるITIは、証券取引委員会(SEC)に対し、サイバーセキュリティのリスク管理、戦略、ガバナンス、インシデント開示に関する規則案の実施を延期し、この規則がサイバーセキュリティを損ない、さらなるセキュリティリスクをもたらさないことを確保するよう要請しました。ITIはSECへのコメントで、この規則案が不用意に未処理の脆弱性を露出させ、2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)を実施するためのサイバーセキュリティ・インフラセキュリティ庁(CISA)の規則制定と矛盾する恐れがあると注意を呼びかけています。規則案の実施を延期することで、SECと利害関係者にこれらの課題を解決する機会を提供し、SECがCISAと調整して規則案とCIRCIAとの軋轢を解消する時間を確保することができます。
“ITI supports the Commission’s intent to improve investors’ awareness of material cybersecurity incidents and believe that in many instances offering information about cybersecurity incidents and governance procedures can help to improve transparency,” ITI wrote in the comments. “While we understand the objectives of the rule are to improve investor awareness of cybersecurity-related factors, we are concerned that it may in fact serve to undermine cybersecurity if not appropriately calibrated. We encourage the SEC to delay implementation of the proposed rule until CISA has further implemented its own rulemaking pursuant to CIRCIA 2021, so as to have a more fulsome understanding of the cyber incident reporting landscape.” ITIは次のように述べています。「ITIは、サイバーセキュリティに関する重要なインシデントに対する投資家の認識を向上させるという委員会の意図を支持し、多くの場合、サイバーセキュリティインシデントとガバナンス手順に関する情報を提供することが透明性の向上に役立つと信じています。この規則の目的は、サイバーセキュリティ関連要因に対する投資家の認識を向上させることであると理解していますが、適切に調整されなければ、かえってサイバーセキュリティを弱体化させることになりかねないことを懸念しています。我々は、CISAがCIRCIA 2021に従って独自のルールメイキングをさらに実施し、サイバーインシデント報告の状況をより十分に理解できるようになるまで、このルール案の実施を延期するようSECに奨励します。」
In the comments, ITI offers perspectives on and recommendations to improve the SEC’s proposed rule, including highlighting its overarching concerns that the rule could serve to undermine cybersecurity and the relevance of “materiality.” In addition to its recommendation to work with CISA to ensure federal coordination to the extent possible, ITI urges the SEC to avoid requiring disclosure of incidents experienced by third-party vendors and include safe harbor provisions for law enforcement, national security, and cybersecurity interests. 意見書の中で、ITIは、この規則がサイバーセキュリティと 「重要性」の関連性を弱めることになりかねないという包括的な懸念を強調するなど、SECの規則案に対する見解と改善のための提言を提供しています。ITIは、CISAと連携して可能な限り連邦政府の協調を確保するという提言に加え、SECに対し、第三者ベンダーが経験した事故の開示を義務付けることを避け、法執行、国家安全保障、サイバーセキュリティの利益のためのセーフハーバー規定を設けるよう要請しています。

 

意見は、

・[PDF] Re: ITI Comments on Securities and Exchange Commission Proposed Rule on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure (RIN 3235-AM89; File Number S7-09-22)

20220512-154335

・[DOCX] 仮訳

 

 

I.  The SEC’s proposed rule could result in the disclosure of Incidents prior to the mitigation of vulnerabilities, resulting in increased cybersecurity risks  I.  SECの提案するルールは、脆弱性を緩和する前にインシデントを開示することになり、結果としてサイバーセキュリティのリスクを増大させる可能性がある。
II.  The SEC should delay implementation of this proposed rule and work with CISA to ensure federal coordination to the extent possible  II.  SECは本規則案の実施を延期し、CISAと連携して可能な限り連邦政府の協調を確保すべきである。
III. The SEC’s proposed rule should include safe harbor provisions for law enforcement, national security, and cybersecurity interests  III.  SECの規則案は、法執行、国家安全保障、サイバーセキュリティの利益に対するセーフハーバー規定を含むべきである。
IV. The SEC’s proposed cyber incident reporting requirements undermine the relevance of “materiality” and are unnecessary given its own substantial existing cybersecurity guidance IV.  SECが提案したサイバーインシデント報告要件は、「重要性」の関連性を損なうものであり、SEC自身が既存のサイバーセキュリティに関するガイダンスを充実させていることを考えると、不要なものであると言える。
V. The SEC’s proposed “four business days” reporting timeline is unreasonable because it is likely to harm registrants’ cybersecurity and unlikely to yield useful information to investors V.  SECが提案した「4営業日」という報告スケジュールは、上場登録者のサイバーセキュリティを害する可能性が高く、投資家に有用な情報をもたらす可能性が低いため、不合理である。
VI. The SEC’s proposed rule should not require the disclosure of incidents experienced by third-party technology vendors or service providers VI.  SECの規則案では、第三者の技術ベンダーやサービスプロバイダーが経験したインシデントの開示を義務付けるべきではない。
VII. While we believe several of the proposed disclosure requirements related to cyber risk management processes will help to improve investors’ awareness, we also have concerns about the prescriptive nature of some of the disclosure requirements VII.  サイバーリスク管理プロセスに関する開示要求のいくつかは、投資家の意識向上に役立つと考えるが、一部の開示要求の杓子定規な性質には懸念を抱いている。

 

 

 


まるちゃんの情報セキュリティ気まぐれ日記

SECの開示関係

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則

 

SECのセキュリティ関係

・2022.04.05 SECが2022年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2022.03.31)

・2021.03.12 SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03

 

米国:インシデント報告関係

・2022.04.13 米国 CISAがサイバーイベント情報の共有のためのファクトシートを公表していますね。。。 (2022.04.07)

・2022.03.17 米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...

・2022.03.14 米国 H. R. 5440 重要インフラのためのサイバーインシデント報告法案が下院で可決

・2022.03.06 米国 S.3600 - Strengthening American Cybersecurity Act of 2022案が上院で可決

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

インド:インシデント報告関係

・2022.05.11 インド サイバーインシデントが発生したら6時間以内にCERT-Inに報告しなければならない... (2022.04.28)

 

日本:インシデント情報共有関係

・2022.04.21 総務省 経済産業省 警察庁、内閣官房 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催

 

 

| | Comments (0)

世界経済フォーラム (WEF) 「AI Procurment in a Box」を使ってみる:実装からのインサイト

 こんにちは、丸山満彦です。

世界経済フォーラム (World Economic Forum)がAIの調達(特に政府調達)についてのAI Procurment in a Boxのプロジェクトに関連した文書を公表しています。。。著者はブラジルのメンバーです。。。

については

World Economic Forum

・2022.05.09 [PDF] Unpacking AI Procurement in a Box: Insights from Implementation

 

20220512-52144

 

Foreword 序文
Executive summary エグゼクティブサマリー
Introduction はじめに
1 Phase zero: Prerequisites for the widespread adoption of AI/ML in the public sector  1 フェーズゼロ:公共部門におけるAI/MLの普及のための前提条件 
2 Leveraging public trust in AI through accountability structures  2 アカウンタビリティ構造によるAIへの国民の信頼の活用 
3 Human beyond-the-loop? Mitigating risks arising from human oversight 3 人間はこのループを超えられるか?人間の監視に起因するリスクの軽減
4 What does success look like for AI Procurement in a Box? Indicators for   monitoring and evaluation 4 AI調達の解明について成功とは何か?モニタリングと評価のための指標
Conclusion まとめ
Contributors 貢献者
Endnotes 巻末資料

 

エグゼクティブサマリー

Executive summary エグゼクティブサマリー
Revisiting the AI Procurement in a Box toolkit with new themes to guide the widespread adoption of AI in the public sector. AI Procurement in a Boxツールキットを新たなテーマで再検討し、公共部門におけるAIの普及を進めます。
In 2021, the Centre for the Fourth Industrial Revolution Brazil implemented the AI Procurement in a Box Guidelines in two unprecedented pilots, one with the Metrô de São Paulo and the other with the Hospital das Clínicas of the University of São Paulo. Both pilots reaffirmed the importance of guidance on how to procure safe and ethical artificial intelligence and machine learning (AI/ ML) tools, exploring additional challenges for their widespread use in the public sector.  2021年、第四次産業革命ブラジルセンターは、Metrô de São Pauloとサンパウロ大学Hospital das Clínicasとの2つの前例のないパイロットでAI Procurement in a Boxガイドラインを実施しました。どちらのパイロット版でも、安全で倫理的な人工知能や機械学習(AI/ML)ツールの調達方法に関するガイダンスの重要性が再確認され、公共部門での普及に向けたさらなる課題が探求されました。
These pilots have brought insights into and understanding of the cross-cutting challenges in implementing the toolkit in other countries, especially in the Global South. These countries often lag in terms of AI governance frameworks, institutional and technical maturity, and skills for developing and deploying these technologies. Therefore, new topics and mechanisms are needed to make AI Procurement in a Box accessible to nations in the Global South. これらのパイロット版は、他の国、特に「南半球」の国々でツールキットを実施する際の横断的な課題に対する洞察と理解をもたらしてくれました。これらの国々は、AIガバナンスの枠組み、制度的・技術的成熟度、これらの技術を開発・展開するためのスキルの面で遅れていることが多いです。したがって、AI Procurement in a Boxを南半球の国々が利用できるようにするためには、新しいトピックやメカニズムが必要です。
– Before acquiring AI, governments must selfassess their access to information technology (IT) infrastructure and appropriate data, as well as their levels of institutional maturity and internal skillsets.   - AIを取得する前に、政府は情報技術(IT)インフラや適切なデータへのアクセス、制度的成熟度や内部のスキルセットのレベルを自己評価する必要があります。
– Governments should consider a mix of policy instruments, such as algorithmic impact evaluations and certifications, to ensure the responsible use of AI within their organization and expand these policies to internally developed AI models and systems that do not go through traditional procurement processes.   - 政府は,組織内でのAIの責任ある利用を確保するために,アルゴリズムによる影響評価や認証などの政策手段を組み合わせて検討し,これらの政策を従来の調達プロセスを経ない内部開発のAIモデルやシステムにも拡大する必要がある。
– Governments should carefully consider the interactions between humans and AI models to mitigate both algorithmic bias and humanbased bias.   - 政府は,アルゴリズムによる偏りと人間による偏りの両方を緩和するために,人間とAIモデルとの相互作用を慎重に検討する必要があります。
In addition, a monitoring and evaluation framework should be adopted globally to guide the deployment of future AI Procurement in a Box pilots and allow for cross-country and regional comparisons by looking at success metrics for project implementation and the wider dissemination of best practices in the public sector. さらに、今後のAI Procurement in a Boxパイロット版の展開を導くために、モニタリングと評価の枠組みをグローバルに採用し、プロジェクト実施の成功指標を見ることで国や地域を超えた比較を可能にし、公共部門におけるベストプラクティスを広く普及させる必要があります。

 

参考

・2020.06.11 AI Procurement in a Box

AI Procurement in a Box AI Procurement in a Box
The promises of artificial intelligence (AI) technologies lie beyond our imaginations and the risks accompanying them remain impossible to forecast. Government officials working in procurement can’t be expected to possess the most up-to-date knowledge in this increasingly specialized field. As a result, safeguarding the responsible use of AI technologies requires a multistakeholder effort. 人工知能(AI)技術の将来性は我々の想像をはるかに超えており、それに伴うリスクは依然として予測不可能です。調達に携わる政府職員が、このますます専門化する分野で最新の知識を持つことは期待できません。そのため、AI技術の責任ある利用を守るためには、マルチステークホルダーによる取り組みが必要です。

 

・AI調達ガイドライン

AI Procurement Guidelines

ツールキット

・[PDF] AI Procurement in a Box: AI Government Procurement Guidelines

20220512-53248

What is artificial intelligence (AI)? 人工知能(AI)とは何か?
Why do we need guidelines for public procurement of AI? なぜAIの公共調達のためのガイドラインが必要なのか?
How were these guidelines developed? このガイドラインはどのように作成されたのか?
How to use the guidelines ガイドラインの活用方法
Guidelines overview ガイドラインの概要
Detailed explanation of guidelines ガイドラインの詳細説明
Acknowledgements 謝辞
Endnotes 巻末資料

 

 

 

| | Comments (0)

2022.05.11

インド サイバーインシデントが発生したら6時間以内にCERT-Inに報告しなければならない... (2022.04.28)

こんにちは、丸山満彦です。

インドのCERT-Inがインシデントが発生したら6時間以内にCERT-Inに報告しなければならないと指示をしていますね。。。

CERT-In

・2022.04.28 Directions by CERT-In under Section 70B. Information Technology Act 2000

・[PDF] Directions under sub-section (6) of section 70B of the Information Technology Act, 2000 relating to information security practices, procedure, prevention, response and reporting of cyber incidents for Safe & Trusted Internet

 

20220511-52423

本文...

 

Subject: Directions under sub-section (6) of section 70B of the Information Technology Act, 2000 relating to information security practices, procedure, prevention, response and reporting of cyber incidents for Safe & Trusted Internet.   件名:安全で信頼できるインターネットのための情報セキュリティの実践、手順、予防、対応、サイバーインシデントの報告に関する2000年情報技術法第70B条(6)の規定に基づく指示
Whereas, the Central Government in terms of the provisions of sub-section (1) of section 70B of Information Technology (IT) Act, 2000 (IT Act, 2000) has appointed “Indian Computer Emergency Response Team (CERT-In)” vide notification dated 27th October 2009 published in the official Gazette and as per provisions of sub-section (4) of section 70B of IT Act, 2000 The Indian Computer Emergency Response Team shall serve as the national agency for performing the following functions in the area of cyber security:-  2000年情報技術(IT)法(IT Act, 2000)の第70B条(1)の規定に基づき、中央政府は、官報に掲載された2009年10月27日付通知により「インドコンピュータ緊急対応チーム(CERT-In)」を任命し、2000年IT法第70B条(4)の規定に基づき、インドコンピュータ緊急対応チームがサイバーセキュリティの分野において以下の機能を果たす国家機関として機能するものとしている。
a) collection, analysis and dissemination of information on cyber incidents;  a) サイバーインシデントに関する情報の収集、分析、普及
b) forecast and alerts of cyber security incidents;  b) サイバーセキュリティインシデントの予測・警告
c) emergency measures for handling cyber security incidents;  c) サイバー・セキュリティ・インシデントに対処するための緊急措置
d) coordination of cyber incidents response activities;  d) サイバーインシデント対応活動の調整
e) issue guidelines, advisories, vulnerability notes and whitepapers relating to information security practices, procedures, prevention, response and reporting of cyber incidents;  e) 情報セキュリティの実践、手順、予防、対応及びサイバーインシデントの報告に関するガイドライン、勧告、脆弱性ノート及びホワイトペーパーの発行
f) such other functions relating to cyber security as may be prescribed.  f) サイバーセキュリティに関連するその他の機能で、規定されるもの
And whereas, “The Information Technology (The Indian Computer Emergency Response Team and Manner of performing functions and duties) Rules, 2013” were notified and published vide notification dated 16.01.2014 by the Central Government in exercise of the powers conferred by clause (zf) of sub-section (2) of section 87 read with sub-section (5) of section 70B of the IT Act, 2000.   2000年IT法第87条(2)と第70B条(5)により付与された権限を行使し、中央政府が2014年1月16日付通知により「情報技術(インドコンピュータ緊急対応チームと機能および義務の実行方法)規則2013」を通知・公表した。
And whereas, as per provisions of sub-section (6) of section 70B of the IT Act, 2000, CERT-In is empowered and competent to call for information and give directions to the service providers, intermediaries, data centres, body corporate and any other person for carrying out the activities enshrined in sub-section (4) of section 70B of the IT Act, 2000.   2000年IT法第70B条(6)の規定により、CERT-Inは、2000年IT法第70B条(4)に規定された活動を行うために、サービスプロバイダー、仲介業者、データセンター、法人、その他の者に情報を求め、指示を与える権限と能力を有している。
And whereas, various instances of cyber incidents and cyber security incidents have been and continue to be reported from time to time and in order to coordinate response activities as well as emergency measures with respect to cyber security incidents, the requisite information is either sometime not found available or readily not available with service providers/data centres/body corporate and the said primary information is essential to carry out the analysis, investigation and coordination as per the process of law.    サイバーセキュリティインシデントに関する対応活動や緊急措置を調整するために、必要な情報がサービスプロバイダー、データセンター、団体から入手できなかったり、容易に入手できなかったりすることがあり、法の手続きに従って分析、調査、調整を行うためには、上記の主要情報が不可欠である。
And whereas, it is considered expedient in the interest of the sovereignty or integrity of India, defence of India, security of the state, friendly relations with foreign states or public order or for preventing incitement to the commission of any cognizable offence using computer resource or for handling of any cyber incident, that following directions are issued to augment and strengthen the cyber security in the country:   インドの主権や一体性、防衛、国家の安全保障、外国との友好関係、公序良俗、コンピュータ資源を用いた認知可能な犯罪の実行の扇動防止、サイバー事件の処理のために、国内のサイバーセキュリティを増強し強化するために以下の指示が出されることが望ましいと考えられる。
(i) All service providers, intermediaries, data centres, body corporate and Government organisations shall connect to the Network Time Protocol (NTP) Server of National Informatics Centre (NIC) or National Physical Laboratory (NPL) or with NTP servers traceable to these NTP servers, for synchronisation of all their ICT systems clocks. Entities having ICT infrastructure spanning multiple geographies may also use accurate and standard time source other than NPL and NIC, however it is to be ensured that their time source shall not deviate from NPL and NIC.  (i) すべてのサービスプロバイダー、仲介業者、データセンター、企業、政府機関は、すべてのICTシステムの時計を同期させるために、国家情報学センター(NIC)または国家物理研究所(NPL)のネットワークタイムプロトコル(NTP)サーバーに接続するか、これらのNTPサーバーに追跡できるNTPサーバーに接続しなければならない。複数の地域にまたがるICTインフラを有する事業者は、NPLおよびNIC以外の正確かつ標準的な時刻情報源を使用することもできるが、その時刻情報源がNPLおよびNICから逸脱しないことが確保されなければならない。
(ii) Any service provider, intermediary, data centre, body corporate and Government organisation shall mandatorily report cyber incidents as mentioned in Annexure I to CERT-In within 6 hours of noticing such incidents or being brought to notice about such incidents. The incidents can be reported to CERT-In via email (incident@cert-in.org.in), Phone (180011-4949) and Fax (1800-11-6969). The details regarding methods and formats of reporting cyber security incidents is also published on the website of CERT-In www.cert-in.org.in and will be updated from time to time.  (ii) サービスプロバイダ、仲介業者、データセンター、法人および政府機関は、附属書Iに記載されたサイバーインシデントを、当該インシデントに気付いた時または当該インシデントについて知らされた時から6時間以内にCERT-Inに報告することを義務とする。インシデントは、電子メール(incident@cert-in.org.in)、電話(180011-4949)、ファクス(1800-11-6969)を通じてCERT-Inに報告することができる。サイバーセキュリティインシデントの報告方法とフォーマットに関する詳細は、CERT-Inのウェブサイト(www.cert-in.org.in)でも公開されており、随時更新される。
(iii)When required by order/direction of CERT-In, for the purposes of cyber incident response, protective and preventive actions related to cyber incidents, the service provider/intermediary/data centre/body corporate is mandated to take action or provide information or any such assistance to CERT-In, which may contribute towards cyber security mitigation actions and enhanced cyber security situational awareness. The order / direction may include the format of the information that is required (up to and including near real-time), and a specified timeframe in which it is required, which should be adhered to and compliance provided to CERT-In, else it would be treated as non-compliance of this direction. The service providers, intermediaries, data centres, body corporate and Government organisations shall designate a Point of Contact to interface with CERT-In. The Information relating to a Point of Contact shall be sent to CERT-In in the format specified at Annexure II and shall be updated from time to time. All communications from CERT-In seeking information and providing directions for compliance shall be sent to the said Point of Contact.  (iii) サイバーインシデント対応、サイバーインシデントに関する保護・予防措置を目的として、CERT-Inの命令・指示により要求された場合、サービスプロバイダー、仲介業者、データセンター、法人は、サイバーセキュリティ軽減措置とサイバーセキュリティ状況認識強化に寄与する可能性のある措置、情報、またはそのような援助をCERT-Inに行うことが義務づけられている。命令/指示は、要求される情報の形式(準リアルタイムまで含む)、および要求される特定の時間枠を含むことができ、これを遵守し、CERT-Inに遵守を提供しなければならず、そうしなければ、この指示の非遵守として扱われる。サービスプロバイダー、仲介業者、データセンター、法人および政府機関は、CERT-Inと連絡を取るための連絡窓口を指定するものとする。連絡先に関する情報は、附属書Ⅱで指定された形式でCERT-Inに送付され、随時更新されるものとする。情報を求め、準拠のための指示を提供するCERT-Inからの全ての通信は、当該連絡先に送られるものとする。
(iv) All service providers, intermediaries, data centres, body corporate and Government organisations shall mandatorily enable logs of all their ICT systems and maintain them securely for a rolling period of 180 days and the same shall be maintained within the Indian jurisdiction. These should be provided to CERT-In along with reporting of any incident or when ordered / directed by CERT-In.  (iv) すべてのサービスプロバイダー、仲介業者、データセンター、法人および政府機関は、すべてのICTシステムのログを有効にし、180日間安全に維持することを義務付けられ、同じものがインドの管轄内に維持されるものとする。これらは、あらゆる事故の報告とともに、またはCERT-Inの命令/指示により、CERT-Inに提供されなければならない。
(v) Data Centres, Virtual Private Server (VPS) providers, Cloud Service providers and Virtual Private Network Service (VPN Service) providers, shall be required to register the following accurate information which  must be maintained by them for a period of 5 years or longer duration as mandated by the law after any cancellation or withdrawal of the registration as the case may be:  (v) データセンター、仮想専用サーバー(VPS)プロバイダー、クラウドサービスプロバイダー、仮想専用ネットワークサービス(VPNサービス)プロバイダーは、以下の正確な情報を登録する必要があり、場合によっては登録の取消または撤回後、5年間または法律で義務付けられた期間以上維持しなければならない。
a. Validated names of subscribers/customers hiring the services  a. サービスを利用する加入者/顧客の有効な氏名
b. Period of hire including dates  b. 日付を含む利用期間
c. IPs allotted to / being used by the members  c. 会員に割り当てられた/使用されているIPアドレス
d. Email address and IP address and time stamp used at the time of registration / on-boarding  d. 登録時/利用開始時に使用した電子メールアドレス、IPアドレス、タイムスタンプ
e. Purpose for hiring services  e. サービスを利用する目的
f. Validated address and contact numbers  f. 有効な住所と連絡先
g. Ownership pattern of the subscribers / customers hiring services   g. サービスを利用する加入者/顧客の所有形態
(vi) The virtual asset service providers, virtual asset exchange providers and custodian wallet providers (as defined by Ministry of Finance from time to time) shall mandatorily maintain all information obtained as part of Know Your Customer (KYC) and records of financial transactions for a period of five years so as to ensure cyber security in the area of payments and financial markets for citizens while protecting their data, fundamental rights and economic freedom in view of the growth of virtual assets.   (vi) 仮想資産サービスプロバイダー、仮想資産交換プロバイダー、カストディアンウォレットプロバイダー(財務省が適宜定義)は、仮想資産の成長に鑑み、国民のデータ、基本的権利、経済的自由を保護しつつ、決済及び金融市場の分野におけるサイバーセキュリティを確保するため、顧客確認(KYC)の一環として取得したすべての情報及び金融取引記録を5年間にわたり強制的に保持しなければならない。
For the purpose of KYC, the Reserve Bank of India (RBI) Directions 2016 / Securities and Exchange Board of India (SEBI) circular dated April 24, 2020 / Department of Telecom (DoT) notice September 21, 2021 mandated procedures as amended from time to time may be referred to as per Annexure III.  KYCの目的のために、インド準備銀行(RBI)指令2016/インド証券取引所(SEBI)2020年4月24日付回覧/電気通信省(DoT)2021年9月21日通知で義務付けられた手続きは、随時改正されるため、附属書Ⅲを参照することができる。
With respect to transaction records, accurate information shall be maintained in such a way that individual transaction can be reconstructed along with the relevant elements comprising of, but not limited to, information relating to the identification of the relevant parties including IP addresses along with timestamps and time zones, transaction ID, the public keys (or equivalent identifiers), addresses or accounts involved (or equivalent identifiers), the nature and date of the transaction, and the amount transferred.  取引記録に関しては、正確な情報が、タイムスタンプと時間帯を伴うIPアドレス、取引ID、公開鍵(または同等の識別子)、関係する住所または口座(または同等の識別子)、取引の性質と日付、送金額などの関連当事者の識別に関する情報を含むが、これらに限らず、個々の取引を再構築できるような方法で維持されなければならない。
And whereas, the meaning to the terms ‘cyber incident’ or ‘cyber security incident’ or ‘computer resource’ or other terms may be ascribed as defined in the IT Act, 2000 or “The Information Technology (The Indian Computer Emergency Response Team and Manner of performing functions and duties) Rules, 2013” as the case may be.   サイバーインシデント」、「サイバーセキュリティインシデント」、「コンピュータリソース」等の用語の意味は、2000年IT法又は2013年情報技術(インドコンピュータ緊急対応チーム及び機能及び義務の履行方法)規則で定義されたとおりに解釈される場合がある。
And whereas, in case of any incident, the above-referred entities must furnish the details as called for by CERT-In. The failure to furnish the information or non-compliance with the ibid. directions, may invite punitive action under subsection (7) of the section 70B of the IT Act, 2000 and other laws as applicable.  また、何らかのインシデントが発生した場合、上記の事業者は、CERT-Inの求めに応じて詳細を提出しなければならない。情報を提供しないこと、または上記の指示に従わないことは、2000年IT法第70B条(7)および適用される他の法律に基づく懲罰的措置を求めることができる。
This direction will become effective after 60 days from the date on which it is issued. この指示は、発行された日から60日後に有効となる。

 

ちなみに報告義務があるインシデントは、附属書Iに記載があります。。。

Annexure I  附属書 I 
Types of cyber security incidents mandatorily to be reported by service providers, intermediaries, data centres, body corporate and Government organisations to CERT-In:  サービスプロバイダ、仲介業者、データセンター、企業、政府組織が CERT-In に報告することが義務付けられているサイバーセキュリティインシデントの種類。
[Refer Rule 12(1)(a) of The Information Technology (The Indian Computer Emergency Response Team and Manner of Performing Functions and Duties) Rules, 2013]  [2013 年情報技術(インドコンピュータ緊急対応チームおよび機能・職務の遂行方法)規則 12(1)(a) 参照] 
i. Targeted scanning/probing of critical networks/systems  i. 重要なネットワーク/システムの標的型スキャン/プロービング 
ii. Compromise of critical systems/information  ii. 重要なシステム/情報の危殆化 
iii. Unauthorised access of IT systems/data  iii. ITシステム/データへの不正アクセス 
iv. Defacement of website or intrusion into a website and unauthorised changes such as inserting malicious code, links to external websites etc.  iv. ウェブサイトの改ざん、ウェブサイトへの侵入、悪質なコードの挿入や外部ウェブサイトへのリンクなどの不正な変更。
v. Malicious code attacks such as spreading of virus/worm/Trojan/Bots/ Spyware/Ransomware/Cryptominers  v. ウイルス/ワーム/トロイの木馬/ボット/スパイウェア/ランサムウェア/クリプトマインダーの蔓延などの悪質なコード攻撃 
vi. Attack on servers such as Database, Mail and DNS and network devices such as Routers  vi. データベース、メール、DNSなどのサーバーやルーターなどのネットワーク機器への攻撃 
vii. Identity Theft, spoofing and phishing attacks  vii. 個人情報窃盗、なりすまし、フィッシング攻撃 
viii. Denial of Service (DoS) and Distributed Denial of Service (DDoS) attacks  viii. サービス妨害(DoS)および分散型サービス妨害(DDoS)攻撃 
ix. Attacks on Critical infrastructure, SCADA and operational technology systems and Wireless networks  ix. 重要インフラ、SCADA、運用技術システム及び無線ネットワークに対する攻撃 
x. Attacks on Application such as E-Governance, E-Commerce etc. xi. Data Breach  x. 電子政府、電子商取引等のアプリケーションに対する攻撃 xi. データ漏洩 
xii. Data Leak  xii. データ漏洩 
xiii. Attacks on Internet of Things (IoT) devices and associated systems, networks, software, servers  xiii. IoT機器および関連するシステム、ネットワーク、ソフトウェア、サーバに対する攻撃 
xiv. Attacks or incident affecting Digital Payment systems  xiv. デジタル決済システムに影響を及ぼす攻撃または事件 
xv. Attacks through Malicious mobile Apps  xv. 悪意のあるモバイルアプリを通じた攻撃 
xvi. Fake mobile Apps  xvi. 偽モバイルアプリ 
xvii. Unauthorised access to social media accounts  xvii. ソーシャルメディアアカウントへの不正アクセス 
xviii. Attacks or malicious/ suspicious activities affecting Cloud computing systems/servers/software/applications  xviii. クラウドコンピューティングシステム/サーバー/ソフトウェア/アプリケーションに影響を与える攻撃または悪意ある/疑わしい活動 
xix. Attacks or malicious/suspicious activities affecting systems/ servers/ networks/ software/ applications related to Big Data, Block chain, virtual assets, virtual asset exchanges, custodian wallets, Robotics, 3D and 4D Printing, additive manufacturing, Drones  xix. ビッグデータ、ブロックチェーン、仮想資産、仮想資産取引所、カストディアンウォレット、ロボット、3D・4Dプリンティング、積層造形、ドローンに関連するシステム/サーバ/ネットワーク/ソフトウェア/アプリケーションに影響を与える攻撃または悪意ある/不審な行為。
xx. Attacks or malicious/ suspicious activities affecting systems/ servers/software/ applications related to Artificial Intelligence and Machine Learning  xx. 人工知能や機械学習に関連するシステム/サーバー/ソフトウェア/アプリケーションに影響を与える攻撃や悪意ある/不審な活動 
The incidents can be reported to CERT-In via email (incident@cert-in.org.in), Phone (1800-11-4949) and Fax (1800-11-6969). The details regarding methods and formats of reporting cyber security incidents is also published on the website of CERT-In www.cert-in.org.in and will be updated from time to time. インシデントは、メール(incident@cert-in.org.in)、電話(1800-11-4949)、ファックス(1800-11-6969)でCERT-Inに報告することができる。サイバーセキュリティインシデントの報告方法とフォーマットに関する詳細は、CERT-Inのウェブサイト(www.cert-in.org.in)でも公開されており、随時更新される予定である。

 

報告時の記載項目は、附属書IIに記載されています。

といっても、、、住所とか法人名、連絡窓口を書けという内容です。。。

 

附属書IIIにKYCのルールが参考として記載されています。。。


 

これに関しては、米国に本部があるThe Information Technology Industry Council (ITI)がコメントをだしています。。。

早急に報告するように義務付けても、企業に負担がいくだけで、企業の対応を遅らせかえって良くないということだと思います。インシデント報告を受け取ったCERT-Inが何をしてくれるのか?ということだと思います。きっとファイルするだけでしょう。。。

なので、まずは適用開始時期を遅らせ、内容を再考してくださいという要望ですかね。。。

 

The Information Technology Industry Council (ITI)

・2022.05.06 ITI Raises Concerns that India’s Proposed Cybersecurity Directive Could Undermine Security Goals

 

 

| | Comments (0)

2022.05.10

英国 意見募集 消費者保護のためにアプリストアへの政府の介入は必要か (2022.05.04)

こんにちは、丸山満彦です。

英国政府(デジタル・文化・メディア・スポーツ省)が、消費者ほごのためにアプリストアへの政府の介入は必要かについて意見募集をしていますね。。。

PCでは、誰でもソフトを作ることができるようなっていたので、インターネットにつながると各自が作ったソフトを自由にダウンロードできるようになり、ダウンロードするソフト、ダウンロードをしたソフトを各自が責任を持って確認をすることが必要となりましたが、スマホ、タブレットについては、アプリストアからダウンロードできるようにすることにより、アプリストアについて規制をかければ、社会的には効率的に安全なサイバー空間を作ることができるかも知れませんね、ということでしょうかね。。。

サイバー空間のビジネスについては、寡占が進んでいくような気がします(規模の経済が働きやすいこともあり、最初にある一定の規模までビジネスを広げてしまうと、後発事業者がそのマーケットを覆すのが難しいところがあるのかも知れません)。

そうなると、完全競争市場から離れていくので、資源の最適配分に近づけるためには、政府等の介入が必要となるのかも知れませんね。。。もちろん政府の政策は、国民の意見を聞いて民主的に決めていくのが、民主主義です。。。(そういう意味では、国民がスマートでないと、いけないということなのでしょうね。。。)

 

GOV.UK

プレスリリース

・2022.05.04 Tougher consumer protections against malicious apps

Tougher consumer protections against malicious apps 悪質なアプリに対する消費者保護を強化
Tech industry asked for views on measures to make app market safer and more secure アプリ市場をより安全・安心なものにするための施策について、技術業界から意見募集
・Proposals include a world-first code of practice to set minimum security and privacy requirements for app store operators and developers ・提案はアプリストアの運営者と開発者に対し、セキュリティとプライバシーの最低要件を設定する世界初の実践規範を含みます。
New report published today reveals malicious apps downloaded by hundreds of thousands of users put people’s data and money at risk ・数十万人のユーザーがダウンロードした悪質なアプリが、人々のデータと金銭を危険にさらしていることが本日発表された新しい報告書で明らかにな理ました。
・People downloading apps to smartphones, games consoles and TVs will be better protected from hackers under new government plans to boost security standards. ・スマートフォン、ゲーム機、テレビにアプリをダウンロードする人々は、セキュリティ基準を強化する政府の新しい計画により、ハッカーからより安全に保護されるようになります。
Millions of people use apps every day to shop, bank and make video calls and the UK app market is worth £18.6 billion. But there are few rules governing the security of the technology or the online stores where they are sold. 何百万人もの人々が、買い物や銀行、ビデオ通話をするために毎日アプリを使用しており、英国のアプリ市場は186億ポンドの規模があります。しかし、その技術や販売するオンラインストアのセキュリティを管理するルールはほとんどありません。
new report on the threats in app stores published today by the National Cyber Security Centre (NCSC) shows people’s data and money are at risk because of fraudulent apps containing malicious malware created by cyber criminals or poorly developed apps which can be compromised by hackers exploiting weaknesses in software. ナショナル・サイバー・セキュリティ・センター(NCSC)が本日発表したアプリストアにおける脅威に関する新しいレポートによると、サイバー犯罪者が作成した悪質なマルウェアを含む詐欺アプリや、ソフトウェアの弱点を突いたハッカーによって危険にさらされる可能性のある低開発アプリによって、人々のデータとお金が危険にさらされていることが示されています。
To provide better protection for consumers, the government is launching a call for views from the tech industry on enhanced security and privacy requirements for firms running app stores and developers making apps. 消費者保護を強化するため、政府は、アプリストアを運営する企業およびアプリを開発する開発者に対するセキュリティとプライバシーの要件強化について、技術業界から意見募集を開始します。
Under new proposals, app stores for smartphones, game consoles, TVs and other smart devices could be asked to commit to a new code of practice setting out baseline security and privacy requirements. This would be the first such measure in the world. 新しい提案では、スマートフォン、ゲーム機、テレビ、その他のスマートデバイス向けのアプリストアは、セキュリティとプライバシーの基本要件を定めた新しい実践規範を約束するよう求められる可能性があります。このような措置は世界初となります。
Developers and store operators making apps available to UK users would be covered. This includes Apple, Google, Amazon, Huawei, Microsoft and Samsung. 英国のユーザーが利用できるアプリケーションの開発者とストアオペレーターが対象となります。これには、Apple、Google、Amazon、Huawei、Microsoft、Samsungが含まれます。
The proposed code would require stores to have a vulnerability reporting process for each app so flaws can be found and fixed quicker. They would need to share more security and privacy information in an accessible way including why an app needs access to users’ contacts and location. 提案されている規約では、店舗は各アプリの脆弱性報告プロセスを持ち、欠陥をより早く発見して修正できるようにすることが求められています。また、アプリがユーザーの連絡先や位置情報にアクセスする必要がある理由を含め、より多くのセキュリティおよびプライバシー情報をアクセス可能な方法で共有する必要があるとしています。
Cyber Security Minister Julia Lopez said: ジュリア・ロペス サイバーセキュリティ相は次のように述べています。
"Apps on our smartphones and tablets have improved our lives immensely - making it easier to bank and shop online and stay connected with friends." 「スマートフォンやタブレット端末のアプリは、銀行やオンラインショッピング、友人との連絡などを容易にし、私たちの生活を大きく向上させました。」
"But no app should put our money and data at risk. That’s why the Government is taking action to ensure app stores and developers raise their security standards and better protect UK consumers in the digital age." 「しかし、どのアプリも私たちのお金やデータを危険にさらしてはなりません。そのため、政府は、アプリストアや開発者がセキュリティ基準を高め、デジタル時代における英国の消費者をよりよく保護するための措置をとっています。」
The NCSC report found all types of app stores face similar cyber threats and the most prominent problem is malware: corrupted software which can steal data and money and mislead users. NCSCの報告書によると、あらゆる種類のアプリストアが同様のサイバー脅威に直面しており、最も顕著な問題は、データや金銭を盗んだり、ユーザーを欺いたりする不正ソフトウェアであることが判明しました。
For example, last year some Android phone users downloaded apps which contained the Triada and Escobar malware on various third-party app stores. This resulted in cyber criminals remotely taking control of people’s phones and stealing their data and money by signing them up for premium subscription services without the individual’s knowledge. 例えば、昨年、一部のAndroid携帯電話ユーザーは、さまざまなサードパーティのアプリストアで、マルウェア「Triada」や「Escobar」を含むアプリをダウンロードしました。この結果、サイバー犯罪者は遠隔操作で人々の携帯電話をコントロールし、本人が知らないうちにプレミアムサブスクリプションサービスに加入させ、データや金銭を盗みました。
The NCSC report concludes the government’s proposed code of practice will have a positive impact and reduce the chances of malicious apps reaching consumers across different devices. NCSCの報告書は、政府が提案する実践規範が好影響を与え、悪意のあるアプリがさまざまなデバイスの消費者に届く可能性を減らすだろうと結論づけています。
NCSC Technical Director Ian Levy said: NCSCのテクニカルディレクターであるイアン・レヴィは、次のように述べています。
"Our devices and the apps that make them useful are increasingly essential to people and businesses and app stores have a responsibility to protect users and maintain their trust." 「私たちのデバイスとそれを便利にするアプリは、人々や企業にとってますます不可欠なものとなっており、アプリストアはユーザーを保護し、その信頼を維持する責任を負っています。」
"Our threat report shows there is more for app stores to do, with cyber criminals currently using weaknesses in app stores on all types of connected devices to cause harm." 「我々の脅威レポートでは、アプリストアにもっとやるべきことがあることを示しています。現在、サイバー犯罪者は、あらゆる種類の接続デバイスのアプリストアの弱点を利用して、被害を及ぼしているのです。」
"I support the proposed Code of Practice, which demonstrates the UK’s continued intent to fix systemic cybersecurity issues." 「私は、体系的なサイバーセキュリティの問題を解決しようとする英国の継続的な意思を示す、この実施規範の提案を支持します。」
The code follows a government review of app stores launched in December 2020 which found some developers are not following best practice in developing apps, while well-known app stores do not share clear security requirements with developers. このコードは、2020年12月に開始されたアプリストアに関する政府のレビューを受けたもので、一部の開発者がアプリの開発においてベストプラクティスに従っていないこと、また有名なアプリストアが明確なセキュリティ要件を開発者と共有していないことが判明しました。
The app stores call for views is part of the government’s £2.6 billion National Cyber Strategy to ensure UK citizens are more secure online and is alongside other tough UK safeguards for people using internet-connected devices. アプリストアの意見募集は、英国市民のオンラインセキュリティを確保するための政府の26億ポンドの国家サイバー戦略の一部であり、インターネット接続機器を使用する人々のための他の厳しい英国のセーフガードと並ぶものです。
It is also part of the government’s work leading international efforts to raise awareness on the need for security and privacy requirements for apps to protect users. また、アプリのセキュリティとプライバシーの要件に対する認識を高め、ユーザーを保護するための国際的な取り組みを主導している政府の活動の一部でもあります。
There are already tough data protection laws in the UK to protect people’s data and these are enforced by the Information Commissioner’s Office. 英国にはすでに、人々のデータを保護するための厳しいデータ保護法があり、これらは情報コミッショナー事務局によって施行されています。
A new product security law making its way through parliament will place new requirements on manufacturers, importers and distributors of consumer tech. They will have to ban easy-to-guess default passwords in devices and make manufacturers transparent about the length of time products will receive security updates alongside providing a vulnerability disclosure policy. 議会で審議中の新しい製品セキュリティ法は、消費者向け技術のメーカー、輸入業者、販売業者に新たな要件を課すことになります。製造業者は、推測しやすいデフォルトパスワードの使用を禁止し、製品にセキュリティアップデートが適用される期間や脆弱性の開示方針について透明性を確保しなければならない。
People should also follow the National Cyber Security Centre guidance to help secure smart devices. また、ナショナル・サイバー・セキュリティ・センターのガイダンスに従って、スマートデバイスの安全性を確保する必要があります。
Ends 以上
Notes to Editors: 編集後記
The eight-week call for views will run until 29 June 2022. App developers, app store operators and security and privacy experts are encouraged to provide feedback to inform the government’s work in this area. 8週間にわたる意見募集は、2022年6月29日まで実施される予定です。アプリ開発者、アプリストア運営者、セキュリティおよびプライバシーの専門家は、この分野での政府の取り組みに情報を提供するために、フィードバックを提供することが推奨されます。
Following the call for views, we will review the feedback provided and will publish a response later this year. The review complements the government’s upcoming digital markets pro-competition regime, including the Competition and Market Authority’s market study into mobile ecosystems, which will create a more vibrant and innovative digital economy across the UK. 意見募集の後、提供されたフィードバックを検討し、本年末に回答を発表する予定です。このレビューは、モバイルエコシステムに関する競争市場庁の市場調査など、政府が今後予定しているデジタル市場の競争促進体制を補完するもので、英国全体でより活発で革新的なデジタル経済を実現するものです。

 

意見募集関係

・2022.05.04 App security and privacy interventions

App security and privacy interventions アプリのセキュリティとプライバシーへの介入
Summary 概要
The government is holding a call for views on plans to improve the security and privacy of apps and app stores. 政府は、アプリとアプリストアのセキュリティとプライバシーを改善する計画に関する意見募集を実施しています。
Consultation description コンサルテーション内容
Apps are increasingly essential to everyday life as they provide users with the ability to access important services using various devices, such as smartphones, game consoles, fitness devices and smart TVs. They can be downloaded through various methods, including from app stores operated by either the official software supplier or manufacturer of a device and those operated by third parties. It’s vital that apps are built to security and privacy best practice to protect the data and privacy of individuals and organisations. スマートフォン、ゲーム機、フィットネス機器、スマートテレビなど、さまざまなデバイスを使用して重要なサービスにアクセスできるアプリは、日常生活においてますます欠かせないものとなっています。アプリは、デバイスの公式ソフトウェアサプライヤーやメーカーが運営するアプリストア、サードパーティーが運営するアプリストアなど、様々な方法でダウンロードすることができる。アプリケーションは、個人と組織のデータとプライバシーを保護するために、セキュリティとプライバシーのベストプラクティスに則って構築されることが極めて重要です。
The UK government conducted a review into the app store ecosystem from December 2020 to March 2022. The review found that malicious and poorly developed apps continue to be accessible to users, therefore it is evident that some developers are not following best practice when creating apps. All app stores share a common threat profile with malware contained within apps the most prevalent risk. Additionally, prominent app store operators are not adequately signposting app requirements to developers and providing detailed feedback if an app or update is rejected. 英国政府は、2020年12月から2022年3月にかけて、アプリストアのエコシステムに対するレビューを実施しました。このレビューでは、悪意のあるアプリや開発不十分なアプリが引き続きユーザーからアクセス可能であることが判明し、したがって、一部の開発者がアプリの作成時にベストプラクティスに従っていないことが明らかとなりました。すべてのアプリストアに共通の脅威プロファイルがあり、アプリに含まれるマルウェアが最も一般的なリスクとなっています。また、著名なアプリストアの運営者は、アプリの要件を開発者に適切に通知しておらず、アプリやアップデートが拒否された場合に詳細なフィードバックを提供していません。
This government’s intention is to ensure consumers are protected from online threats by taking forward a robust set of interventions which are proportionate, pro-innovation and future-facing. The review therefore explored various options to address these challenges. The main intervention the government is proposing at this initial stage is a voluntary Code of Practice for all app store operators and developers. This is because we recognise that the most effective current way of protecting users at scale from malicious and insecure apps, and ensuring that developers improve their practices, is through app stores. 政府の意図は、消費者がオンラインの脅威から確実に保護されるように、適切でイノベーションを促進し、将来を見据えた一連の強固な介入策を講じることにあります。このため、レビューでは、これらの課題に対処するためのさまざまなオプションが検討された。この初期段階において政府が提案している主な介入策は、すべてのアプリストアの運営者と開発者を対象とした自主的な行動規範です。これは、悪意のある安全でないアプリから大規模なユーザーを保護し、開発者の業務改善を確保するための現在の最も効果的な方法が、アプリストアであると認識しているためです。
Read more in the press notice. 詳しくは、プレスリリースをご覧ください。
We are holding a call for views on this approach for eight weeks until Wednesday 29 June 2022 to help gather feedback on the proposed interventions, including the draft Code of Practice. Stakeholders are encouraged to provide their views on the proposed interventions, including the content of the proposed Code and whether additional proposals should be taken forward. The government would also welcome views, particularly from developers, on the review and feedback processes they have encountered when creating apps on different app stores. Moreover, we would welcome any data which illustrates the financial and wider impact of implementing the Code of Practice. Participants will have the opportunity to identify themselves when they submit their responses, or be anonymous. このアプローチについて、2022年6月29日(水)までの8週間、意見募集を行い、実施規範のドラフトを含む介入案に関する意見を収集するのに役立てています。ステークホルダーの皆様には、提案されている規範の内容や追加提案を進めるべきかどうかなど、提案されている介入策についてご意見をお寄せいただくようお願いします。また、特に開発者が様々なアプリストアでアプリを作成する際に遭遇するレビューやフィードバックのプロセスに関する意見も歓迎する。さらに、実践規範の導入による財務的影響やより広範な影響を示すデータがあれば歓迎します。参加者は、回答時に名乗るか、または匿名にすることができます。
The feedback will inform UK government policy and our next steps. Depending on the feedback received, we may look to publish the Code later in the year, alongside exploring and taking further other interventions outlined in this report. フィードバックは、英国政府の政策と私たちの次のステップに反映されます。受け取ったフィードバックによっては、本報告書に記載された他の介入策を検討し、実施することに加え、年内に行動規範を公表することも検討されます。
There are a number of other documents being published to support this call for views: この意見募集をサポートするために、他にも多くの文書が発行されています。
A literature review on security and privacy policies in apps and app stores (see document below) アプリとアプリストアのセキュリティとプライバシーポリシーに関する文献レビュー(下記参照)
A National Cyber Security Centre threat report on application stores アプリケーションストアに関するナショナル・サイバー・セキュリティ・センターの脅威に関する報告書
A report by Apadmi on security and privacy in app development across different app stores Apadmiによる、さまざまなアプリストアでのアプリ開発におけるセキュリティとプライバシーに関する報告書
This work is part of the government’s £2.6 billion National Cyber Strategy to protect and promote the UK online, and ensure citizens are secure and confident their data is protected. この作業は、オンライン上で英国を保護・促進し、市民が安全かつ自信を持ってデータを保護できるようにするための、政府の26億ポンドの「国家サイバー戦略」の一部です。

 

・2022.05.04 App security and privacy interventions

Literature review on security and privacy policies in apps and app stores アプリとアプリストアにおけるセキュリティとプライバシーポリシーに関する文献レビュー
Contents 内容紹介
Executive summary エグゼクティブサマリー
1.Introduction 1.はじめに
2.Background 2.背景
3.The user perspective 3.ユーザーの視点
4.Supporting developers 4.開発者支援
5.Vulnerability reporting and bug bounty 5.脆弱性レポートとバグバウンティ
6.Malware and risky behaviour 6.マルウェアと危険な行動
7.Recommendations 7.推奨事項
This literature review was carried out by: この文献レビューは、以下のメンバーによって実施されました。
Prof. Steven Furnell スティーブン・ファーネル(Prof. Steven Furnell
School of Computer Science コンピュータサイエンス学部
University of Nottingham ノッティンガム大学
17-Feb-21 2021.02.17
Executive summary エグゼクティブサマリー
This report investigates issues of cyber security and privacy in relation to apps and app stores. The objective of the review is to provide recommendations for improving the security of applications (apps) delivered via app stores, and to identify issues that may be of relevance to DCMS’s future work on the cyber security in these contexts. Specific attention was given towards app stores and apps intended for mobile devices such as smartphones and tablets. この報告書は、アプリとアプリストアに関連するサイバーセキュリティとプライバシーの問題を調査しています。レビューの目的は、アプリストアを介して配信されるアプリケーション(アプリ)のセキュリティを改善するための推奨事項を提供し、これらのコンテキストにおけるサイバーセキュリティに関するDCMSの将来の作業に関連する可能性がある問題を特定することです。特に、スマートフォンやタブレット端末などのモバイル機器を対象としたアプリストアとアプリに注目しました。
The current mobile app marketplace is focused around two main app ecosystems – Android and iOS – and there are a range of app store sources from which users can install apps. These include official app stores from the platform providers, as well as a range of further stores offered by device manufacturers and other third parties. While the underlying objective of all stores is the same, in terms of offering the distribution channel for the hosted apps, they can vary considerably in terms of their associated security and privacy provisions. This includes both the guidance and controls provided to safeguard app users, as well as the policies and procedures in place to guide and review developer activities. 現在のモバイルアプリ市場は、AndroidとiOSという2つの主要なアプリエコシステムに集中しており、ユーザーがアプリをインストールできるアプリストアのソースも多岐にわたります。この中には、プラットフォームプロバイダーが提供する公式アプリストアや、デバイスメーカーやその他のサードパーティが提供する様々なストアがあります。すべてのストアの基本的な目的は、ホストされたアプリの流通経路を提供するという点で同じですが、関連するセキュリティとプライバシー規定の点でかなり異なる可能性があります。これには、アプリのユーザーを保護するために提供されるガイダンスとコントロール、および開発者の活動を指導しレビューするために設けられたポリシーと手続きの両方が含まれます。
Evidence suggests that many users have concerns regarding the ability to trust apps and their associated use of data. As such, they find themselves very much reliant upon the processes put in place by app stores to check the credibility of the apps they host. In reality, however, practices vary significantly across providers – ranging from stores having clear review processes and attempting to ensure that developers communicate the ways in which their apps collect and use user data, through to situations in which apps are made available in spite of having known characteristics that could put users’ devices and data at risk. 多くのユーザが、アプリを信頼できるかどうか、またアプリによるデータの利用について懸念を抱いていることが、証拠によって示されています。そのため、アプリストアがホストするアプリの信頼性を確認するためのプロセスに非常に依存していることがわかります。しかし、実際には、アプリストアが明確な審査プロセスを持ち、アプリがユーザーデータを収集・使用する方法を開発者に伝えるよう努めるところから、ユーザーのデバイスやデータを危険にさらす可能性がある特性があることが分かっているにもかかわらずアプリが提供されている状況まで、プロバイダによって業務内容は大きく異なっています。
When it comes to supporting users, this review reveals that the app stores have varying approaches with correspondingly variable levels of information and clarity. This is observed in terms of both the presence and content of related policies, as well as in relation to supporting users’ understanding when downloading specific apps. The latter is particularly notable in terms of the presence and clarity of messaging about app permissions and handling of personal data, with some stores providing fairly extensive details and others providing nothing that most users would find meaningful. ユーザーサポートに関しては、アプリストアのアプローチは様々であり、それに応じて情報のレベルや明確さも様々であることが、このレビューで明らかにされました。これは、関連ポリシーの有無と内容、および特定のアプリをダウンロードする際のユーザーの理解支援との関連で観察される。後者は、アプリの使用許諾や個人情報の取り扱いに関するメッセージの有無と明確さにおいて特に顕著であり、かなり広範な詳細を提供しているストアもあれば、ほとんどのユーザーが有意義と感じるような内容を提供していないストアもあります。
There are also notable variations in how different app stores guide and support app developers, including the level of expectation that appears to be placed upon providing safe and reliable apps, that incorporate appropriate protections and behaviours in relation to users’ personal data. While some stores include formal review and screening processes, and scan apps to prevent malware, others offer a more permissive environment that enables threats and risky app behaviours to pass through without identification. また、ユーザーの個人データに関する適切な保護と行動を組み込んだ、安全で信頼できるアプリを提供することへの期待度など、アプリ開発者を指導・支援する方法についても、ストアによって顕著な違いが見られます。アプリ開発者の中には、正式な審査やスクリーニングを行い、マルウェアを防ぐためにアプリをスキャンするストアがある一方で、脅威やリスクの高いアプリの挙動を識別せずに通過させる、より寛容な環境を提供するストアがあります。
Linked to their stance on maintaining security and resolving issues, the larger providers support vulnerability reporting and offer bug bounty schemes. The latter incentivise the responsible disclosure of vulnerabilities rather than allowing them to persist and risking their exploitation in malicious activities. The large rewards available through these schemes is in notable contrast with other app store environments, where such provisions are not offered. セキュリティの維持と問題解決に取り組む姿勢と関連して、大手プロバイダは脆弱性の報告をサポートし、バグバウンティ制度を提供しています。後者は、脆弱性を放置して悪意ある行為に悪用されるリスクを冒すよりも、責任を持って脆弱性を開示することにインセンティブを与えるものです。これらの制度を通じて得られる多額の報奨金は、このような規定がない他のアプリストア環境とは顕著な対照をなしています。
The discussion also gives specific attention to malicious and risky behaviours that can be exhibited by apps, with overall evidence suggesting that the problem is on the increase and that Android users are the most exposed to the risks. This underlying evidence includes clear examples of apps that are overtly malicious (representing traditional malware categories such as viruses, worms, Trojans and spyware), as well as apps whose behaviour (while not directly hostile) could be regarded as risky through factors such as requesting excessive permissions or leading to data leakage. また、この議論では、アプリが示す可能性のある悪質で危険な行為に具体的な注意を向けており、この問題が増加傾向にあり、Androidユーザがそのリスクに最もさらされていることを示唆する全体的な証拠が示されています。この基本的な証拠には、あからさまに悪意のあるアプリ(ウイルス、ワーム、トロイの木馬、スパイウェアなど、従来のマルウェアのカテゴリに相当)の明確な例と、(直接敵対しないものの)過剰な権限を要求したりデータ漏洩につながるなどの要因によって危険と見なされる動作のアプリの例が含まれます。
A series of recommendations are made in relation to operating app stores, guiding developers and supporting users: アプリストアの運営、開発者の指導、ユーザーのサポートに関して、一連の提言がなされています。
Ensuring a more credible and consistent level of information to app store users and app developers regarding security and privacy provisions and expectations, supported by mechanisms to enable more informed decisions and control over the apps that are installed. アプリストアの利用者とアプリ開発者に対し、セキュリティとプライバシーの規定と期待について、より信頼できる一貫したレベルの情報を提供し、インストールされるアプリについて、より多くの情報に基づいた決定と制御を可能にするメカニズムによって支援すること。
Increasing the opportunity and expectation for app developers to learn and adopt appropriate security- and privacy-aware practices. アプリ開発者が、セキュリティとプライバシーを意識した適切な手法を学び、採用する機会と期待を高めること。
Increasing the efforts to raise user awareness of app security and privacy risks, and supporting this with better communication of the issues within apps and app stores. アプリのセキュリティとプライバシーのリスクに対するユーザの意識を高める取り組みを強化し、アプリとアプリストアにおける問題のより良いコミュニケーションによってこれを支援すること。
This in turn could lead to initiatives across the app store ecosystem more widely, including a community-adopted code of practice in order to support responsible app development and resulting confidence among users. これは、責任あるアプリ開発とその結果としてのユーザーの信頼を支援するために、コミュニティが採択した実践規範を含む、より広くアプリストアのエコシステム全体にわたる取り組みにつながる可能性があります。
The summary is supported by extensive reference to sources, encompassing both relevant research and findings, and recent developments in the app sector. It should be noted that the review was completed in early 2021 and therefore further research could have been published that may further inform this topic. この要約は、関連する研究および調査結果、ならびにアプリセクターにおける最近の開発の両方を網羅する、広範な参照情報によってサポートされています。このレビューは2021年初頭に完了したため、このトピックにさらに情報を提供する可能性のある研究がさらに発表されている可能性があることに留意すべきです。

 

・2022.05.04 App security and privacy interventions

App security and privacy interventions アプリのセキュリティとプライバシーへの介入
Contents 目次
Foreword 序文
Executive summary エグゼクティブサマリー
1.DCMS review into app security and privacy 1.アプリのセキュリティとプライバシーに関するDCMSのレビュー
2.Relevant wider government activities 2.関連する広範な政府の活動
3.Benefits and risks associated with the app ecosystem 3.アプリのエコシステムに関連するメリットとリスク
4.The regulatory landscape and relevant antitrust cases 4.規制の状況および関連する独占禁止法上の事例
5.Review findings 5.レビューの結果
6.Proposed interventions 6.提案された介入策
7.Next steps 7.次のステップ
Annex A: Glossary of terms 附属書A:用語集
Annex B: Options analysis summary 附属書B:選択肢分析の概要
Annex C: Call for views survey questions 附属書C:意見募集の調査質問
Foreword 序文
Julia Lopez MP, Minister of State for Media, Data and Digital Infrastructure ジュリア・ロペス メディア・データ・デジタルインフラ担当国務大臣
Apps play an increasingly important role in everyday life, from managing your finances to catching up with friends and family. Thanks to apps, a world of functionality can be accessed from a single device, anywhere and at any time: whether from a mobile phone out in public or on a smart TV in the comfort of your home. Apps have helped us stay connected with our loved ones and continue working during the COVID-19 pandemic. In a time of great uncertainty, apps have allowed businesses to continue functioning as well as opening the virtual doors for new enterprises. This has increased our reliance on apps, as well as the app stores where we access them. アプリは、家計の管理から友人や家族との連絡まで、日常生活においてますます重要な役割を果たしています。アプリのおかげで、1つのデバイスから、いつでもどこでも、さまざまな機能にアクセスできるようになりました。公共の場では携帯電話から、自宅ではスマートテレビから。COVID-19の大流行時にも、アプリのおかげで大切な人とのつながりを保ち、仕事を続けることができました。大きな不安の中で、アプリはビジネスの機能継続を可能にし、また新しい企業への仮想的な扉を開いてくれました。そのため、私たちはアプリやアプリを利用するアプリストアへの依存度を高めています。
Given this reliance, it’s vital that apps are secure, to protect the data and privacy of individuals and organisations. Developers therefore have a responsibility to ensure that they are creating apps with appropriate security and privacy. App stores can also serve as trusted digital marketplaces, as long as they have the right processes to check that apps are not a risk to users’ security and privacy. While many app stores have vetting and review processes, malicious and insecure apps continue to make it onto some stores. Given our growing reliance on apps, we need to ensure that we are managing the risks if we are to securely reap the many benefits of apps and app stores. このような信頼性を考えると、個人と組織のデータとプライバシーを保護するために、アプリが安全であることが極めて重要です。したがって、開発者は、適切なセキュリティとプライバシーを備えたアプリケーションを作成する責任を負っています。アプリストアは、アプリがユーザーのセキュリティやプライバシーを侵害しないことを確認する適切なプロセスを備えていれば、信頼できるデジタルマーケットプレイスとして機能することも可能です。多くのアプリストアが審査やレビューのプロセスを備えている一方で、悪質で安全でないアプリが一部のストアに出回り続けています。アプリへの依存度が高まる中、アプリやアプリストアから得られる多くのメリットを安全に享受するためには、リスク管理を徹底する必要があります。
A key ambition of our new National Cyber Strategy published in December 2021, is to ensure citizens are more secure online and confident their data is protected. This work will help deliver this through improving the practices of major providers of digital services, specifically app store operators (as well as developers). Additionally, as set out in the Plan for Digital Regulation, we will ensure our overall approach to governing digital technologies is proportionate and supports growth and innovation within the sector. The Government will also ensure that developments in this area coordinate and mutually reinforce other work associated with app security and privacy. 2021年12月に発表された新しい国家サイバー戦略の主要な野望は、市民がオンラインでより安全に、自分のデータが保護されていると確信できるようにすることです。今回の取り組みは、デジタルサービスの主要なプロバイダー、特にアプリストアの運営者(および開発者)の業務慣行を改善することで、これを実現するのに役立ちます。さらに、「デジタル規制のための計画」に示されているように、デジタル技術を管理するための全体的なアプローチが適切であり、この分野での成長とイノベーションを支援することを確認します。また、政府は、この分野の開発が、アプリのセキュリティとプライバシーに関連する他の作業を調整し、相互に強化することを確保する。
The interventions suggested in this document include a voluntary Code of Practice for App Store Operators and Developers that is intended as a first step. Other options we could take forward if needed in the future, include certification for app store operators and regulating aspects of the Code to help protect users. These proposals link into the National Cyber Strategy through requiring providers of digital services to meet appropriate standards of cyber security and developing frameworks to secure future technologies. この文書で提案された介入策には、最初のステップとして意図された、アプリストアの運営者と開発者のための自主的な実践規範が含まれています。将来的に必要であれば、アプリストア運営者の認証や、ユーザー保護に役立つ規範の側面の規制など、他の選択肢も考えられます。これらの提案は、デジタルサービスのプロバイダーが適切なサイバーセキュリティの基準を満たすことを要求し、将来の技術を保護するための枠組みを開発することを通じて、国家サイバー戦略にリンクしています。
Guided by the Plan for Digital Regulation’s focus on coherence, these proposals complement work that is already happening across Government to help protect users that rely on various digital services and technology. This includes the Online Safety Bill which will ensure that the UK is the safest place in the world to be online while defending free expression and the Product Security and Telecommunications Infrastructure Bill, which will protect the security of consumer connectable products, and their users. 「デジタル規制のための計画」の一貫性に重点を置くことにより、これらの提案は、様々なデジタルサービスや技術に依存するユーザーを保護するために、政府全体で既に行われている作業を補完するものです。これには、表現の自由を守りながら、英国が世界で最も安全なオンラインプレイスであることを保証するOnline Safety Billや、消費者が接続できる製品やそのユーザーのセキュリティを保護するProduct Security and Telecommunications Infrastructure Billが含まれます。
The Government is also creating the pro-competition regime for digital markets, which will introduce new rules to ensure digital consumers and businesses are treated fairly and level the playing field so that new and innovative tech firms can flourish. The Competition & Market Authority’s market study into Apple and Google’s mobile ecosystems and their interim report published on 14 December 2021 will inform the design of the new pro-competition regime for digital markets. また、政府はデジタル市場のための競争促進体制を構築しており、デジタル消費者と企業が公平に扱われるよう新たなルールを導入し、新しい革新的なハイテク企業が繁栄できるよう、競争の場を公平にします。競争・市場庁によるアップルとグーグルのモバイル・エコシステムに関する市場調査と2021年12月14日に発表されたその中間報告書は、デジタル市場のための新しい競争促進制度の設計に情報を提供しています。
I welcome your views on the proposed interventions set out in this document. Your views will help shape UK Government policy over the coming years and allow both consumers and businesses to reap the many benefits from apps. This will help make the UK a stronger and more secure place for people and businesses. この文書に示された介入案について、皆様のご意見をお待ちしています。皆様のご意見は、今後数年間にわたる英国政府の政策の形成に役立ち、消費者と企業の両方がアプリから多くの利益を享受できるようになります。これは、英国を人々や企業にとってより強く安全な場所にすることにつながるでしょう。
Julia Lopez MP ジュリア・ロペス議員
Minister of State for Media, Data and Digital Infrastructure メディア・データ・デジタルインフラ担当国務大臣
Department for Digital, Culture, Media and Sport デジタル・文化・メディア・スポーツ省
Executive summary エグゼクティブサマリー
Apps are increasingly essential to everyday life as they provide users with the ability to access important services using various devices, such as smartphones, game consoles, fitness devices and smart TVs. They can be downloaded through various methods, including from app stores operated by either the official software supplier or manufacturer of a device and those operated by third parties. It’s vital that apps are built to security and privacy best practice to protect the data and privacy of individuals and organisations. スマートフォン、ゲーム機、フィットネス機器、スマートテレビなど、さまざまなデバイスを使用して重要なサービスにアクセスできるアプリは、日常生活においてますます欠かせないものとなっています。アプリは、デバイスの公式ソフトウェアサプライヤーやメーカーが運営するアプリストア、サードパーティーが運営するアプリストアなど、様々な方法でダウンロードすることができる。アプリケーションは、個人と組織のデータとプライバシーを保護するために、セキュリティとプライバシーのベストプラクティスに則って構築されることが極めて重要です。
Developers therefore have a clear responsibility to ensure that the apps they create are built with appropriate security and privacy. App stores can play an important role through the checks they put in place to help protect users from malicious and poorly developed apps. They also can act as a trusted digital marketplace, where steps are taken to ensure that users can benefit from the extensive variety of apps, which range from banking to games to health-related apps. Their role is equally important because the vast majority of users, particularly on mobile platforms, download apps via these app stores. したがって、開発者は、作成するアプリケーションが適切なセキュリティとプライバシーを考慮して構築されていることを保証する明確な責任を負っています。アプリストアは、悪意のあるアプリや不十分な開発のアプリからユーザーを保護するためのチェックを通じて、重要な役割を果たすことができます。また、銀行、ゲーム、健康関連アプリなど、多種多様なアプリからユーザが確実に利益を得られるような措置が取られた、信頼できるデジタル市場としても機能します。特にモバイルプラットフォームでは、ユーザーの大半がこうしたアプリストアを経由してアプリをダウンロードしているため、その役割は同様に重要です。
Across the globe, there are a growing number of regulatory initiatives focusing on mobile app stores which could result in third party app stores being obtainable on iOS devices and more accessible on Android devices. The above activities may increase the risk to app users if third party app stores do not have robust processes, such as on vetting or transparency around permission requests. There have also been significant instances where malicious apps have been available to download on app stores thereby putting users’ security and privacy at risk. 世界各地で、モバイル・アプリ・ストアに関する規制強化の動きが活発化しており、その結果、iOS端末ではサードパーティ製アプリ・ストア、Android端末ではよりアクセスしやすいアプリ・ストアとなる可能性があります。サードパーティアプリストアが、審査や許可要求の透明性などの堅牢なプロセスを有していない場合、上記の活動はアプリ利用者のリスクを増大させる可能性があります。また、悪意のあるアプリがアプリストアからダウンロードできるようになり、ユーザーのセキュリティとプライバシーが危険にさらされる事例も少なくありません。
The UK government therefore conducted a review from December 2020 to March 2022 into the app store ecosystem, with the aim of reducing the threat of malicious and insecure apps to protect users whilst helping developers meet security and privacy best practice. This review sits alongside broader efforts across government focused around creating an innovative and thriving digital economy in the UK while ensuring that users are able to securely benefit from any potential changes to the app store ecosystem. そこで英国政府は、2020年12月から2022年3月にかけて、悪質で安全でないアプリの脅威を低減してユーザーを保護する一方で、開発者がセキュリティとプライバシーのベストプラクティスを満たせるようにすることを目的に、アプリストアのエコシステムの見直しを実施しました。この見直しは、英国における革新的で活気あるデジタル経済の創出に焦点を当てた政府全体の幅広い取り組みと同時に、アプリストアのエコシステムに変更が生じた場合、ユーザーが安全にその恩恵を受けることができるようにすることを目的としています。
Our recent consultation on the pro-competition regime for digital markets proposed new rules for the most powerful firms to ensure consumers and businesses are treated fairly, and a level playing field where innovative tech firms can flourish. The design of this regime will also be informed by the Competition & Market Authority’s market study into Apple and Google’s mobile ecosystems and their recent interim report published on 14 December 2021. デジタル市場の競争促進体制に関する最近の協議では、消費者と企業が公平に扱われ、革新的なハイテク企業が活躍できる公平な競争の場を確保するため、最も強力な企業に対する新しい規則を提案しました。この制度の設計は、競争・市場庁によるアップルとグーグルのモバイル・エコシステムへの市場調査と、2021年12月14日に発表された最近の中間報告からも情報を得ることができます。
The review found that malicious and poorly developed apps continue to be accessible to users, therefore it is evident that some developers are not following best practice when creating apps. All app stores share a common threat profile with malware contained within apps the most prevalent risk. Additionally, prominent app store operators are not adequately signposting app requirements to developers and providing detailed feedback if an app or update is rejected. このレビューでは、悪意のあるアプリや開発不十分なアプリが引き続きユーザーにアクセス可能であることが判明し、したがって、一部の開発者がアプリを作成する際にベストプラクティスに従っていないことが明らかになりました。すべてのアプリストアに共通する脅威プロファイルは、アプリに含まれるマルウェアが最も一般的なリスクであることです。また、著名なアプリストアの運営者は、アプリの要件を開発者に適切に通知しておらず、アプリやアップデートが拒否された場合に詳細なフィードバックを提供していません。
This government’s intention is to take forward a robust set of interventions to ensure consumers are protected from online threats which are proportionate, pro-innovation and future-facing - in alignment with the principles set out in the Plan for Digital Regulation. The review therefore explored various options to address the above challenges. The main intervention we are proposing at this initial stage is a voluntary Code of Practice for all app store operators and developers. This is because we recognise that currently the most effective way of protecting users at scale from malicious and insecure apps, and ensuring that developers improve their practices is through app stores. 政府の意図は、消費者をオンラインの脅威から確実に保護するために、デジタル規制のための計画で定められた原則に沿った、適切でイノベーションを促進し、将来を見据えた一連の強固な介入策を実施することです。このため、レビューでは、上記の課題に対処するための様々な選択肢を検討しました。この初期段階で私たちが提案している主な介入策は、すべてのアプリストアの運営者と開発者を対象とした自主的な行動規範です。これは、現在、悪意のある安全でないアプリからユーザーを大規模に保護し、開発者の業務改善を保証する最も効果的な方法は、アプリストアであると私たちが認識しているからです。
A Code would provide the government with an opportunity to mandate the requirements in the future should the risks arising from malicious and insecure apps not be mitigated through stakeholder action, or should the risk and threat landscape evolve such that this is necessary. A full draft of the proposed Code is provided in Chapter 6. This section also outlines other interventions we have identified that may help drive adoption among operators and developers. We will continue to keep these under review. 悪意のある安全でないアプリから生じるリスクが関係者の行動によって軽減されない場合、またはリスクと脅威の状況が変化してそれが必要になった場合、コードは将来的に政府に要件を義務付ける機会を提供することになるのです。提案されているコードの完全な草案は、第6章に記載されています。本章では、事業者と開発者の間で採用を促進するのに役立つと思われる、私たちが特定したその他の介入策についても概説します。これらは引き続き検討される予定です。
This publication is intended as the starting point of a much more extensive dialogue with our stakeholders, including industry and international partners. We are now holding a Call for Views for eight weeks until Wednesday 29 June 2022 to help gather feedback on the proposed interventions, including the draft Code of Practice. The feedback will be used to help inform UK government policy and our next steps. Depending on the feedback received, we may look to publish the Code later in the year, alongside exploring and taking further other interventions outlined in this report. 本書は、業界や国際的なパートナーを含むステークホルダーとの、より広範な対話の出発点となることを意図しています。現在、2022年6月29日(水)までの8週間、「意見募集」を実施し、実施基準案を含む介入案に関する意見収集に役立てています。いただいたご意見は、英国政府の政策や私たちの次のステップへの情報提供に役立てられる予定です。受け取ったフィードバックによっては、本報告書に概説されている他の介入策を検討し、さらに実施するのと並行して、年内にコードを公開することを検討する可能性があります。
Protecting users from malicious and insecure apps is a global concern. We have engaged with our international partners as part of this review to share evidence, and we will continue to do so as part of efforts to create international alignment in this area. 悪質で安全でないアプリからユーザーを保護することは、世界的な関心事です。私たちは、このレビューの一環として、エビデンスを共有するために国際的なパートナーと関わってきましたが、この分野における国際的な連携を構築する努力の一環として、今後もそうしていきます。

 

参考

・2022.05.04 Threat report on application stores

Threat report on application stores アプリケーションストアに関する脅威レポート
This report outlines the risks associated with the use of official and third party app stores. このレポートでは、公式およびサードパーティのアプリケーションストアの使用に関連するリスクについて概説しています。
Over the last decade there has been an enormous increase in the availability and use of smartphones and smart devices. Many of these devices feature application stores ('app stores'), which allow users to download additional applications and content. The vast majority of users, particularly on mobile platforms, download apps via these app stores. 過去10年間で、スマートフォンやスマートデバイスの普及と利用が非常に進みました。これらのデバイスの多くは、アプリケーションストア(以下、アプリストア)を備えており、ユーザーは、追加のアプリケーションやコンテンツをダウンロードすることができます。特にモバイル端末のユーザーの大半は、このアプリストアを通じてアプリをダウンロードしています。
There's also been increased demand for apps, primarily as a result of the COVID-19 pandemic as more people work, shop, and stay in touch online. また、主にCOVID-19の大流行により、オンラインで仕事や買い物、連絡を取る人が増えているため、アプリに対する需要が高まっています。
Since there is a great variety of devices (and supporting app stores), there are a number of disparate and complex security issues that that can expose consumers and enterprises to online threats. This report summarises the risks associated with the use of official and third party app stores. It includes links to detailed guidance that describe how to mitigate the main threats. デバイス(および対応するアプリストア)は多種多様であるため、消費者や企業がオンラインの脅威にさらされる可能性のある、異種かつ複雑なセキュリティ問題が多数存在します。このレポートでは、公式およびサードパーティのアプリストアの使用に関連するリスクについてまとめています。また、主な脅威を軽減する方法を説明した詳細なガイダンスへのリンクも掲載しています。
This report was compiled to inform Department for Digital, Culture, Media & Sport's (DCMS) review on current threats associated with app stores. The report will aid in the development of policy interventions that will seek to improve app stores' security and privacy controls to protect both UK consumers and enterprises.  本レポートは、デジタル・文化・メディア・スポーツ省(DCMS)によるアプリストアに関連する現在の脅威に関するレビューに情報を提供するために作成されたものです。このレポートは、英国の消費者と企業の両方を保護するために、アプリストアのセキュリティとプライバシー管理を改善しようとする政策介入の開発を支援するものです。 

 

・[PDF]

20220510-61306

Introduction はじめに
Related NCSC guidance NCSCの関連ガイダンス
Use of apps and app stores in the UK  英国におけるアプリとアプリストアの利用について 
UK app developers 英国のアプリ開発者
What is the risk? リスクとは?
Cyber attacks on compromised apps 危険なアプリへのサイバー攻撃
Systemic vulnerabilities of app store developer submission checks アプリストアの開発者提出チェックのシステム的脆弱性
Overview of app stores アプリストアの概要
Mobile app stores モバイルアプリストア
Third party app stores  サードパーティアプリストア 
IoT voice assistant stores  IoT音声アシスタントストア 
IoT smart device stores  IoTスマートデバイスストア 
Gaming stores ゲームストア
Case studies 事例
Offificial mobile app stores  モバイルアプリストア 
Third party mobile app stores  サードパーティーモバイルアプリストア 
Voice assistant stores 音声アシスタントストア
IoT smart device stores  IoTスマートデバイスストア 
Gaming stores ゲームストア
Summary まとめ

 

 

| | Comments (0)

2022.05.09

フィッシング対策協議会をかたるフィッシング

こんにちは、丸山満彦です。

サイバー攻撃の糸口が、フィッシングメールであることも多く、フィッシングに関する啓発活動は重要で、フィッシング対策協議会が、フィッシングに関する情報収集・提供、注意喚起等の活動を中心に啓発活動を行なっていますね。。。

そのフィッシング対策協議会を語るフィッシングについてフィッシング対策協議会が注意喚起しています。。。

 

フィッシングメールの中には巧妙なものも増えてきていますので、注意が必要ですね。。。 

 

フィッシング対策協議会

・2022.05.06 フィッシング対策協議会をかたるフィッシング (2022/05/06)

 

Ap

 

| | Comments (0)

ドイツ ITセキュリティラベル for 消費者向けスマート製品

こんにちは、丸山満彦です。

ドイツでは、ITセキュリティ法2.0の施行により、ITセキュリティラベル制度を電子メールサービスと、IoT機器について始めていますが、消費者向けスマート製品(スマートカメラ、スマートスピーカー、スマート掃除機・園芸用ロボット、スマートトイ、スマートテレビ)のメーカも申請できるようになるようですね。。。

Criteriaとして利用する標準は、消費者向け製品のIoTセキュリティについての欧州規格である[PDF] ETSI EN 303 645 – Cyber Security for Consumer Internet of Things: Baseline Requirements, Version 2.1.1ですね。。。

 

● Bundesamt für Sicherheit in der Informationstechnik: BSI

発表

・2022.05.06 IT-Sicherheitskennzeichen jetzt auch für smarte Verbraucherprodukte

IT-Sicherheitskennzeichen jetzt auch für smarte Verbraucherprodukte ITセキュリティ・マークがスマートコンシューマ製品にも対応
Produktkennzeichnung des BSI um fünf neue Produktkategorien erweitert BSIの製品ラベリングが新たに5つの製品カテゴリーに拡大
Ab Mai 2022 können Hersteller von smarten Kameras, smarten Lautsprechern, smarten Reinigungs- und Gartenrobotern, smarten Spielzeugen sowie smarten Fernsehprodukten das IT-Sicherheitskennzeichen beim Bundesamt für Sicherheit in der Informationstechnik (BSIbeantragen. 2022年5月より、スマートカメラ、スマートスピーカー、スマート掃除機・園芸ロボット、スマートトイ、スマートテレビのメーカは、連邦情報セキュリティ局(BSI)のITセキュリティマークを申請できるようになる予定です。
In den kommenden Monaten plant das BSI, weitere Produktkategorien des IT-Sicherheitskennzeichens zu veröffentlichen. Zunächst aus dem Bereich Smart Home Automation. Das BSI arbeitet kontinuierlich daran, den Anwendungsbereich des IT-Sicherheitskennzeichens auszuweiten. BSIは今後数ヶ月のうちに、ITセキュリティ・マークのさらなる製品カテゴリーを公表する予定です。当初はスマートホームオートメーションの領域から始めます。BSIは、ITセキュリティマークの適用範囲を拡大するための活動を継続的に行っています。
Mit dem IT-Sicherheitskennzeichen macht das BSI das Versprechen von Herstellern und Diensteanbietern in die IT-Sicherheit ihrer Produkte gegenüber Verbraucherinnen und Verbrauchern transparent. Die neue Produktkennzeichnung des BSI schafft damit Orientierung auf dem Verbrauchermarkt und trägt zu einer informierten Kaufentscheidung beim Einkauf von IT-Produkten bei. ITセキュリティ・マークにより、BSIは、製品のITセキュリティにおけるメーカーやサービスプロバイダの約束を消費者に透明化することができます。BSIの新しい製品ラベルは、消費者市場での方向性を示し、IT製品を購入する際に十分な情報を得た上での購入判断に貢献します。
Über einen QR-Code kann online eine individuelle Produktinformationsseite des BSI aufgerufen werden, die über das Herstellerversprechen, die zugrundeliegenden Standards und aktuelle Sicherheitserkenntnisse des BSI zum Produkt informiert. BSIの個々の製品情報ページは、QRコードを介してオンラインで呼び出すことができ、製造者の約束、基礎となる規格、製品に関するBSIの現在のセキュリティ所見に関する情報を提供しています。
Seit Dezember 2021 kann das IT-Sicherheitskennzeichen in den ersten beiden Produktkategorien „Breitbandrouter“ und „E-Mail-Dienste“ beantragt werden. Schon im Februar 2022 wurden im Rahmen des 18. Deutschen IT-Sicherheitskongresses die ersten vier Kennzeichen an einen E-Mail-Anbieter übergeben. Mit der Einführung fünf weiterer Produktkategorien wird der nächste Meilenstein erreicht. 2021年12月以降、ITセキュリティマークは、まず「ブロードバンドルーター」と「メールサービス」の2つの製品カテゴリーで申請することができます。2022年2月には、第18回ドイツITセキュリティ会議で、最初の4つのマークが電子メールプロバイダーに手渡されました。さらに5つの製品カテゴリーの導入で、次のマイルストーンに到達することになります。
Arne Schönbohm, Präsident des BSI„Das IT-Sicherheitskennzeichen schafft nun auch Transparenz in den Bereichen Smart Home Multimedia und intelligentes Spielzeug, gibt dabei Orientierung für informierte Kaufentscheidungen und fördert den Schutz vor Cyber-Kriminalität. Mit dem IT-Sicherheitskennzeichen für smartes Spielzeug profitiert hiervon auch die besonders vulnerable Nutzergruppe der Kinder und Jugendlichen. Wir geben damit ein deutliches Signal an den Verbrauchermarkt, dass Informationssicherheit ein wichtiges Argument für die Kauf- und Nutzungsentscheidung bei IT-Produkten ist. Mit der ETSI EN 303 645 haben wir einen europäischen Sicherheitsstandard als Grundlage ausgewählt, den wir gemeinsam mit Branchenvertretern und Partnern der europäischen Standardisierungsarbeit entwickelt haben. Wir liefern damit einen wertvollen Beitrag für die europäische Debatte um die Cyber-Sicherheit bei Verbrauchergeräten und sind überzeugt, dass das IT-Sicherheitskennzeichen einen wesentlichen Schritt zu mehr Sicherheit und Transparenz in diesen Bereichen darstellt.“ BSI会長のアルネ・シェーンボムは、次のように述べています。「ITセキュリティマークは、スマートホームマルチメディアやスマートトイの分野でも透明性を高め、十分な情報に基づいた購買決定とサイバー犯罪からの保護を促進するものです。スマートトイにITセキュリティラベルをつけることで、特に弱い立場のユーザーである子供や若者もその恩恵を受けることができます。このように、情報セキュリティがIT製品の購入や使用を決定する際の重要な論拠となることを、消費者市場に明確に発信しています。ETSI EN 303 645は、ヨーロッパのセキュリティ規格をベースに、業界代表や欧州標準化活動のパートナーと共に開発しました。このように、私たちは、消費者向け機器のサイバーセキュリティに関する欧州の議論に貴重な貢献をしており、ITセキュリティマークは、これらの分野におけるセキュリティと透明性の向上に不可欠なステップであると確信しています。」
Erfolgreiche Standardisierungsarbeit als Grundlage der Produktkennzeichnung 製品ラベルの基礎となる標準化作業の成功
Die neuen Produktkategorien des IT-Sicherheitskennzeichens stützen sich auf den etablierten europäischen Sicherheitsstandard ETSI EN 303 645. Der Standard wurde im Rahmen der europäischen Standardisierungsarbeit durch Expertinnen und Experten des BSI mitentwickelt. In einem Pilotprojekt wurde dieser mit einem Produktanbieter und einer Prüfstelle für IT-Sicherheit auf praktische Anwendbarkeit geprüft. Er adressiert IoT-Geräte, die ein Risiko für die Informationssicherheit und Privatsphäre von Nutzerinnen und Nutzern darstellen können. Smarte IT-Produkte sind ein beliebtes Ziel von Cyber-Angreifern und können missbraucht werden, um an persönliche Daten der Besitzer zu gelangen oder großflächige Cyber-Angriffe auf Infrastrukturen Dritter durchzuführen. Um diesen Bedrohungen zu begegnen, beinhaltet der Standard verpflichtend umzusetzende Sicherheitsanforderungen. Hierzu gehören sichere Authentisierungsmechanismen, ein angemessenes Updatemanagement und die Absicherung der Kommunikation. ITセキュリティラベルの新しい製品カテゴリーは、欧州の標準化作業の一環としてBSIの専門家が共同開発した、確立された欧州セキュリティ規格ETSI EN 303 645をベースにしています。パイロットプロジェクトでは、製品プロバイダーとITセキュリティのテストセンターで実用性のテストが行われました。この規格は、ユーザーの情報セキュリティとプライバシーにリスクをもたらす可能性のあるIoT機器に対応しています。スマートIT製品はサイバー攻撃者の格好の標的であり、悪用されて所有者の個人情報を取得されたり、第三者のインフラに大規模なサイバー攻撃を仕掛けられたりする可能性があります。このような脅威に対抗するため、規格にはセキュリティに関する必須要件が含まれています。このような脅威に対して、認証の仕組みや適切な更新管理、通信の安全確保などのセキュリティ要件が必須となっています。

 

制度説明

IT-Sicherheitskennzeichen

こちらを参照してください...


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。


 

申請

Beantragung eines IT-Sicherheitskennzeichens

製品カテゴリー ITセキュリティ要件 申請書類
ブロードバンドルータ BSI TR-03148 ブロードバンドルータ用
メールサービス BSI TR-03108 メールサービス用
スマートテレビ ETSI EN 303 645 消費者向け製品用
スマートスピーカー ETSI EN 303 645 消費者向け製品用
スマートカメラ ETSI EN 303 645 消費者向け製品用
スマートトイ ETSI EN 303 645 消費者向け製品用
スマート掃除機・園芸用ロボット ETSI EN 303 645 消費者向け製品用

 

標準と認証

Standards und Zertifizierung

消費者向けIoT向けITセキュリティラベルで利用される標準

Consumer IoT

Criteriaとして、、、

・[PDF] ETSI EN 303 645 – Cyber Security for Consumer Internet of Things: Baseline Requirements, Version 2.1.1

20220509-61018

 

評価基準として、、、

・[PDF] ETSI TS 103 701 – Cyber Security for Consumer Internet of Things: Conformance Assessment of Baseline Requirements, Version 1.1.1

20220509-61204

 

ガイドラインとして

・[PDF] ETSI TR 103 621 – Guide to Cyber Security for Consumer Internet of Things, Version 1.1.1

20220509-61428

 

補足文書

・[PDF] Technical Guideline BSI TR-03173 Amendments for Conformance Assessments based on ETSI EN 303 645/TS 103 701

・[EXLX] Assessment Template for Identification of the DUT, ICS and Assessment Results (Excel), Version 1.1.1

・[DOCX] Assessment Template for IXIT (Word), Version 1.1.1

 

 


参考

まるちゃんの情報セキュリティ気まぐれ日記

BSIのITセキュリティラベル

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

米国のサイバーセキュリティラベル

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

 

| | Comments (0)

2022.05.08

NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド

こんにちは、丸山満彦です。

NISTが、ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイドを公表していますね。。。

 

 

White Paper NIST CSWP 20 Planning for a Zero Trust Architecture: A Planning Guide for Federal Administrators ホワイトペーパー NIST CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド
Abstract 概要
NIST Special Publication 800-207 defines zero trust as a set of cybersecurity principles used when planning and implementing an enterprise architecture. These principles apply to endpoints, services, and data flows. Input and cooperation from various stakeholders in an enterprise is needed for a zero trust architecture to succeed in improving the enterprise security posture. Some of these stakeholders may not be familiar with risk analysis and management. This document provides an overview of the NIST Risk Management Framework (NIST RMF) and how the NIST RMF can be applied when developing and implementing a zero trust architecture. NIST Special Publication 800-207 は、ゼロトラストを、エンタープライズアーキテクチャを計画し実装する際に使用する一連のサイバーセキュリティの原則と定義しています。これらの原則は、エンドポイント、サービス、およびデータの流れに適用されます。ゼロトラストアーキテクチャが組織体のセキュリティ態勢を向上させるためには、組織体内のさまざまな利害関係者からの意見と協力が必要です。これらの利害関係者の中には、リスク分析および管理に精通していない人もいるかもしれません。この文書では、NIST リスクマネジメントフレームワーク(NIST RMF)の概要と、ゼロトラストアーキテクチャを開発・実装する際に NIST RMF をどのように適用できるかを説明します。


・[PDF]

20220508-53427

 

目次的なもの...

1 Zero Trust 1 ゼロ・トラスト
1.1 Tenets of Zero Trust 1.1 ゼロ・トラストの基本的な考え方
1.1.1 Tenets that Deal with Network Identity Governance 1.1.1 ネットワーク・アイデンティティ・ガバナンスに関する基本的な考え方
1.1.2 Tenets that Deal with Endpoints 1.1.2 エンドポイントに適用される基本的な考え方
1.1.3 Tenets that Apply to Data Flows 1.1.3 データフローに適用される基本的な考え方
2 Getting Started on the Journey 2 旅の始まり
2.1 The Process 2.1 プロセス
2.1.1 Prepare 2.1.1 準備
2.1.2 Categorize 2.1.2 分類
2.1.3 Select 2.1.3 選択
2.1.4 Implement 2.1.4 実行
2.1.5 Assess 2.1.5 評価
2.1.6 Authorize 2.1.6 権限付与
2.1.7 Monitor 2.1.7 監視
2.1.8 RMF Operational Loops 2.1.8 RMFの運用ループ
3 Conclusion 3 まとめ
References
参考文献

 

参考

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.08 NIST SP 800-40 Rev.4 組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

・2022.03.28 米国 上院 S.3894 - 継続的診断・軽減 (CDM) を通じたサイバーセキュリティの推進に関する法律案

・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

・2022.01.28 米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書

・2022.01.24 米国 国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書

・2021.11.19 SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.10.22 NISTのZero Trust Architecture実装プロジェクトに関する文書

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.05.28 CSAがソフトウェア定義の境界(SDP)を使用してゼロトラストを実装する方法に関する報告書を公開していますね。。。

・2020.04.01 NIST White Paper [Project Description] Critical Cybersecurity Hygiene: Patching the Enterprise

・2020.04.02 NIST White Paper (Draft) Methodology for Characterizing Network Behavior of Internet of Things Devices

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

 

 

| | Comments (0)

NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

こんにちは、丸山満彦です。

2回の意見募集を経て、NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践が最終化しましたね。。。

日本でも経済安全保障的に?盛り上がっている分野かもしれませんが、基礎的な検討がこのレベルまでされての発言なのかどうかは気になるところです。

NIST - ITL

プレス

・2022.05.05 NIST Updates Cybersecurity Guidance for Supply Chain Risk Management

NIST Updates Cybersecurity Guidance for Supply Chain Risk Management NIST、サプライチェーンリスクマネジメントのためのサイバーセキュリティガイダンスを更新
The publication’s revisions form part of NIST’s response to an executive order regarding cybersecurity. 本書の改訂は、サイバーセキュリティに関する大統領令への NIST の対応の一環となるものです。
The global supply chain places companies and consumers at cybersecurity risk because of the many sources of components and software that often compose a finished product: A device may have been designed in one country and built in another using multiple components manufactured in various parts of the world. グローバルなサプライチェーンでは、完成品を構成するコンポーネントやソフトウェアの供給元が多数あるため、企業や消費者がサイバーセキュリティのリスクにさらされることがよくあります。あるデバイスがある国で設計され、世界のさまざまな地域で製造された複数のコンポーネントを使用して別の国で製造されている可能性があります。
A vulnerable spot in global commerce is the supply chain: It enables technology developers and vendors to create and deliver innovative products but can leave businesses, their finished wares, and ultimately their consumers open to cyberattacks. A new update to the National Institute of Standards and Technology’s (NIST’s) foundational cybersecurity supply chain risk management (C-SCRM) guidance aims to help organizations protect themselves as they acquire and use technology products and services. グローバルな商取引において脆弱なのは、サプライチェーンです。サプライチェーンは、技術開発者やベンダーが革新的な製品を生み出し、提供することを可能にしますが、企業や完成品、ひいては消費者をサイバー攻撃の危険にさらす可能性があります。米国標準技術局(NIST)の基本的なサイバーセキュリティ・サプライチェーン・リスク管理(C-SCRM)ガイダンスの新しい更新版は、企業がテクノロジー製品やサービスを取得・使用する際に、自らを守ることを目的としています。
The revised publication, formally titled Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (NIST Special Publication 800-161 Revision 1), provides guidance on identifying, assessing and responding to cybersecurity risks throughout the supply chain at all levels of an organization. It forms part of NIST’s response to Executive Order 14028Improving the Nation’s Cybersecurity, specifically Sections 4(c) and (d), which concern enhancing the security of the software supply chain.   この改訂版は、正式名称を「Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (NIST Special Publication 800-161 Revision 1)」といい、組織のあらゆるレベルのサプライチェーンにおけるサイバーセキュリティリスクの特定、評価、対応に関する指針を提供するものです。これは、大統領令14028「国家のサイバーセキュリティの改善」、特にソフトウェアのサプライチェーンのセキュリティ強化に関する第4条(c)および(d)項に対するNISTの対応の一部を形成しています。 
Released today after a multiyear development process that included two draft versions, the publication now offers key practices for organizations to adopt as they develop their capability to manage cybersecurity risks within and across their supply chains. It encourages organizations to consider the vulnerabilities not only of a finished product they are considering using, but also of its components — which may have been developed elsewhere — and the journey those components took to reach their destination.  2つのドラフト版を含む数年にわたる開発プロセスを経て本日発表された本書は、組織がサプライチェーン内およびサプライチェーン全体のサイバーセキュリティリスクを管理する能力を開発する際に採用すべき重要な実践方法を提示しています。本書では、使用を検討している完成品だけでなく、他の場所で開発された可能性のある部品の脆弱性や、それらの部品が目的地に到達するまでの道のりを考慮するよう、組織に促しています。 
“Managing the cybersecurity of the supply chain is a need that is here to stay,” said NIST’s Jon Boyens, one of the publication’s authors. “If your agency or organization hasn’t started on it, this is a comprehensive tool that can take you from crawl to walk to run, and it can help you do so immediately.” 本書の著者の一人であるNISTのJon Boyensは、次のように述べています。「サプライチェーンのサイバーセキュリティを管理することは、今後も必要なことです。あなたの機関や組織がまだ着手していないのであれば、これは這うから歩く、走るに至るまで、すぐに役立つ包括的なツールです。」
Modern products and services depend on their supply chains, which connect a worldwide network of manufacturers, software developers and other service providers. Though they enable the global economy, supply chains also place companies and consumers at risk because of the many sources of components and software that often compose a finished product: A device may have been designed in one country and built in another using multiple components from various parts of the world that have themselves been assembled of parts from disparate manufacturers. Not only might the resulting product contain malicious software or be susceptible to cyberattack, but the vulnerability of the supply chain itself can affect a company’s bottom line. 現代の製品やサービスは、製造業者、ソフトウェア開発業者、その他のサービス提供者の世界的なネットワークを結ぶサプライチェーンに依存しています。サプライチェーンはグローバル経済を支えていますが、完成品を構成する部品やソフトウェアの供給元が多岐にわたるため、企業や消費者を危険にさらしているのも事実です。あるデバイスがある国で設計され、世界各地の複数のコンポーネントを使用して別の国で製造されたとしても、そのコンポーネント自体が異なるメーカーの部品を組み合わせて作られている可能性があります。その結果、製品に悪意のあるソフトウェアが含まれたり、サイバー攻撃を受けたりする可能性があるだけでなく、サプライチェーンそのものの脆弱性が企業の収益に影響を与える可能性があります。
“A manufacturer might experience a supply disruption for critical manufacturing components due to a ransomware attack at one of its suppliers, or a retail chain might experience a data breach because the company that maintains its air conditioning systems has access to the store’s data sharing portal,” Boyens said.  Boyensは、また、次のように述べています。「製造業では、サプライヤーの1社がランサムウェア攻撃を受けたために、重要な製造部品の供給が途絶えるかもしれませんし、小売チェーンでは、空調システムを保守する会社が店舗のデータ共有ポータルにアクセスしたためにデータ侵害が発生するかもしれません。」
The primary audience for the revised publication is acquirers and end users of products, software and services. The guidance helps organizations build cybersecurity supply chain risk considerations and requirements into their acquisition processes and highlights the importance of monitoring for risks. Because cybersecurity risks can arise at any point in the life cycle or any link in the supply chain, the guidance now considers potential vulnerabilities such as the sources of code within a product, for example, or retailers that carry it. この改訂版の主な読者は、製品、ソフトウェア、サービスの取得者とエンドユーザーです。このガイダンスは、組織が取得プロセスにサイバーセキュリティのサプライチェーンリスクの考慮と要件を組み込むことを支援し、リスクに対する監視の重要性を強調しています。サイバーセキュリティのリスクは、ライフサイクルのどの時点でも、またサプライチェーンのどのリンクでも発生し得るため、このガイダンスでは、例えば製品内のコードのソースやそれを扱う小売業者などの潜在的な脆弱性を考慮するようになっています。
“If your agency or organization hasn’t started on [C-SCRM], this is a comprehensive tool that can take you from crawl to walk to run, and it can help you do so immediately.” —NIST's Jon Boyens 「もしあなたの機関や組織が[C-SCRM]に着手していないなら、これは、這うから歩く、走るに至るまで、すぐに役立つ総合ツールです。 」NIST、Jon Boyens
“It has to do with trust and confidence,” said NIST’s Angela Smith, an information security specialist and another of the publication’s authors. “Organizations need to have greater assurance that what they are purchasing and using is trustworthy. This new guidance can help you understand what risks to look for and what actions to consider taking in response.” 情報セキュリティの専門家であり、この出版物の著者の一人であるNISTのAngela Smithは、次のように述べています。「組織は、自分たちが購入し使用しているものが信頼に足るものであることを、より確実にする必要があります。この新しいガイダンスは、どのようなリスクに目を向けるべきか、それに対してどのような行動を取ることを検討すべきかを理解するのに役立ちます。」
Before providing specific guidance — called cybersecurity controls, which are listed in Appendix A — the publication offers help to the varied groups in its intended audience, which ranges from cybersecurity specialists and risk managers to systems engineers and procurement officials. Each group is offered a “user profile” in Section 1.4, which advises what parts of the publication are most relevant to the group.  具体的なガイダンス(サイバーセキュリティ対策と呼ばれ、附属書Aに掲載)を提供する前に、この出版物は、サイバーセキュリティの専門家やリスク管理者からシステムエンジニアや調達担当者に至るまで、想定読者の様々なグループに支援を提供しています。各グループは、セクション1.4で「ユーザプロファイル」を提供され、本書のどの部分がそのグループに最も関連しているかを助言しています。 
The publication’s Sections 1.6 and 1.7 specify how it integrates guidance promoted within other NIST publications and tailors that guidance for C-SCRM. These other publications include NIST’s Cybersecurity Framework and Risk Management Framework, as well as Security and Privacy Controls for Information Systems and Organizations, or SP 800-53 Rev. 5, its flagship catalog of information system safeguards. Organizations that are already using SP 800-53 Rev. 5’s safeguards may find useful perspective in Appendix B, which details how SP 800-161 Rev. 1’s cybersecurity controls map onto them. 本書のセクション1.6と1.7では、NISTの他の出版物で推進されているガイダンスを統合し、C-SCRM用にそのガイダンスを調整する方法を明記しています。これらの他の出版物には、NISTのサイバーセキュリティフレームワークとリスク管理フレームワーク、情報システムおよび組織のためのセキュリティおよびプライバシーコントロール、または情報システムのセーフガードの主要カタログであるSP 800-53 Rev. 5が含まれます。SP 800-53 Rev. 5 のセーフガードを既に使用している組織は、SP 800-161 Rev. 1 のサイバーセキュリティ対策がどのようにそれらに対応しているかを詳述した附属書B に有用な視点を見出すことができるでしょう。
Organizations seeking to implement C-SCRM in accordance with Executive Order 14028 should visit NIST's dedicated web-based portal, as Appendix F now indicates. This information has been moved online, in part to reflect evolving guidance without directly affecting the published version of SP 800-161 Rev. 1. 大統領令 14028 に従って C-SCRM を実施しようとする組織は、附属書F にあるように、NIST の専用のウェブベースのポータルを訪問する必要があります。この情報は、SP 800-161 Rev. 1 の公開版に直接影響を与えることなく、進化するガイダンスを反映するために、一部オンラインに移行されました。
In part because of the complexity of the subject, the authors are planning a quick-start guide to help readers who may be just beginning their organization’s C-SCRM effort. Boyens said they also plan to offer the main publication as a user-friendly webpage.  このテーマは複雑であるため、著者らは、組織のC-SCRMの取り組みを始めたばかりの読者を支援するためのクイックスタートガイドを計画しています。Boyensは、この出版物をユーザーフレンドリーなウェブページとして提供することも計画していると述べています。 
“We plan to augment the document’s current PDF format with a clickable web version,” he said. “Depending on what group of users you fall into, it will allow you to click on a link and find the sections you need.” また、彼は次のように述べています。「現在のPDF版に加え、クリックしやすいウェブ版も作成する予定です。どのようなユーザーグループに属するかにもよりますが、リンクをクリックして必要なセクションを見つけることができるようになるでしょう。」

 

文書は。。。

・2022.05.05 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations

 

SP 800-161 Rev. 1 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践
The guidance from Appendix F, "Response to Executive Order 14028's Call to Publish Guidelines for Enhancing Software Supply Chain Security," is available at NIST's dedicated EO 14028 website. 附属書Fのガイダンス「ソフトウェアサプライチェーンセキュリティ強化のためのガイドライン発行の大統領令14028の呼びかけへの対応」は、NISTの大統領令14028専用ウェブサイトで公開されています。
Abstract 概要
Organizations are concerned about the risks associated with products and services that may potentially contain malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the supply chain. These risks are associated with an enterprise’s decreased visibility into and understanding of how the technology they acquire is developed, integrated, and deployed or the processes, procedures, standards, and practices used to ensure the security, resilience, reliability, safety, integrity, and quality of the products and services. 企業は、悪意のある機能が含まれている可能性のある製品やサービス、偽造品、あるいはサプライ・チェーン内の不適切な製造・開発方法による脆弱性に関連するリスクを懸念しています。このようなリスクは、企業が取得した技術がどのように開発、統合、展開されているか、また、製品やサービスのセキュリティ、回復力、信頼性、安全性、完全性、品質を保証するために使用されるプロセス、手順、および実践に対する企業の可視性や理解が低下していることに関連しています。
This publication provides guidance to organizations on identifying, assessing, and mitigating cybersecurity risks throughout the supply chain at all levels of their organizations. The publication integrates cybersecurity supply chain risk management (C-SCRM) into risk management activities by applying a multilevel, C-SCRM-specific approach, including guidance on the development of C-SCRM strategy implementation plans, C-SCRM policies, C-SCRM plans, and risk assessments for products and services. 本書は、組織のあらゆる階層におけるサプライチェーン全体のサイバーセキュリティリスクを特定、評価、および軽減するためのガイダンスを提供するものである。本書は、C-SCRM戦略実施計画、C-SCRM方針、C-SCRM計画、製品及びサービスのリスク評価の策定に関する指針を含む、多階層のC-SCRM特有のアプローチを適用することにより、サイバーセキュリティサプライチェーンリスク管理(C-SCRM)をリスク管理活動に統合するものです。

 

・[PDF] SP 800-161 Rev. 1

20220507-120444

 

目次...

1. INTRODUCTION 1. はじめに
1.1. Purpose 1.1. 目的
1.2. Target Audience 1.2. 対象読者
1.3. Guidance for Cloud Service Providers 1.3. クラウドサービスプロバイダのためのガイダンス
1.4. Audience Profiles and Document Use Guidance 1.4. 対象者プロファイルと文書利用ガイダンス
 1.4.1. Enterprise Risk Management and C-SCRM Owners and Operators  1.4.1. エンタープライズリスクマネジメント及びC-SCRMのオーナー及びオペレーター
 1.4.2. Enterprise, Agency, and Mission and Business Process Owners and Operators  1.4.2. エンタープライズ、機関、ミッション及びビジネスプロセスのオーナー及びオペレーター
 1.4.3. Acquisition and Procurement Owners and Operators  1.4.3. 取得と調達のオーナーとオペレーター
 1.4.4. Information Security, Privacy, or Cybersecurity Operators  1.4.4. 情報セキュリティ、プライバシー、またはサイバーセキュリティオペレーター
 1.4.5. System Development, System Engineering, and System Implementation Personnel  1.4.5. システム開発、システムエンジニアリング、およびシステム実装オペレーター
1.5. Background 1.5. 背景
 1.5.1. Enterprise’s Supply Chain  1.5.1. エンタープライズのサプライチェーン
 1.5.2. Supplier Relationships Within Enterprises  1.5.2. エンタープライズ内サプライヤーとの関係
1.6. Methodology for Building C-SCRM Guidance Using NIST SP 800-39; NIST SP 800-37, Rev 2; and NIST SP 800-53, Rev 5 1.6. NIST SP 800-39; NIST SP 800-37, Rev 2; 及び NIST SP 800-53, Rev 5 を用いた C-SCRM ガイダンス構築のための方法論
1.7. Relationship to Other Publications and Publication Summary 1.7. 他の出版物との関係及び出版物の概要
2. INTEGRATION OF C-SCRM INTO ENTERPRISE-WIDE RISK MANAGEMENT 2. エンタープライズ全体のリスクマネジメントへのC-SCRMの統合
2.1. The Business Case for C-SCRM 2.1. C-SCRMのビジネスケース
2.2. Cybersecurity Risks Throughout Supply Chains 2.2. サプライチェーンを通じたサイバーセキュリティリスク
2.3. Multilevel Risk Management 2.3. マルチレベルのリスクマネジメント
 2.3.1. Roles and Responsibilities Across the Three Levels  2.3.1. 3 つのレベルにわたる役割と責任
 2.3.2. Level 1 – Enterprise  2.3.2. レベル1 - エンタープライズ
 2.3.3. Level 2 – Mission and Business Process  2.3.3. レベル2 - ミッションとビジネスプロセス
 2.3.4. Level 3 – Operational  2.3.4. レベル3 - 運用
 2.3.5. C-SCRM PMO  2.3.5. C-SCRM PMO
3. CRITICAL SUCCESS FACTORS 3. 重要成功要因
3.1. C-SCRM in Acquisition 3.1. 取得における C-SCRM
 3.1.1. Acquisition in the C-SCRM Strategy and Implementation Plan  3.1.1. C-SCRM戦略及び実施計画における取得
 3.1.2. The Role of C-SCRM in the Acquisition Process  3.1.2. 取得プロセスにおけるC-SCRMの役割
3.2. Supply Chain Information Sharing 3.2. サプライチェーン情報の共有
3.3. C-SCRM Training and Awareness 3.3. C-SCRMの訓練と意識向上
3.4. C-SCRM Key Practices 3.4. C-SCRMの主要実施事項
 3.4.1. Foundational Practices  3.4.1. 基礎的な実践
 3.4.2. Sustaining Practices  3.4.2. 持続的な実践
 3.4.3. Enhancing Practices  3.4.3. 強化された実践
3.5. Capability Implementation Measurement and C-SCRM Measures 3.5. 能力発揮の測定とC-SCRM対策
 3.5.1. Measuring C-SCRM Through Performance Measures  3.5.1. パフォーマンス指標によるC-SCRMの測定
3.6. Dedicated Resources 3.6. 専用リソース
4. REFERENCES 4. 参考文献
APPENDIX A: C-SCRM SECURITY CONTROLS 附属書A:C-SCRMのセキュリティ管理策
C-SCRM CONTROLS INTRODUCTION C-SCRM管理策の紹介
C-SCRM CONTROLS SUMMARY C-SCRM管理策の概要
C-SCRM CONTROLS THROUGHOUT THE ENTERPRISE エンタープライズ全体にわたるC-SCRM管理策
APPLYING C-SCRM CONTROLS TO ACQUIRING PRODUCTS AND SERVICES 製品及びサービスの取得に対するC-SCRM管理策の適用
SELECTING, TAILORING, AND IMPLEMENTING C-SCRM SECURITY CONTROLS C-SCRMセキュリティ管理策の選択、調整、及び実施
C-SCRM SECURITY CONTROLS C-SCRMセキュリティ管理策
FAMILY: ACCESS CONTROL ファミリー: アクセスコントロール
FAMILY: AWARENESS AND TRAINING ファミリー: 認識とトレーニング
FAMILY: AUDIT AND ACCOUNTABILITY ファミリー: 監査と説明責任
FAMILY: ASSESSMENT, AUTHORIZATION, AND MONITORING ファミリー: 評価、承認、および監視
FAMILY: CONFIGURATION MANAGEMENT ファミリー: 構成管理
FAMILY: CONTINGENCY PLANNING ファミリー: コンティンジェンシー・プランニング
FAMILY: IDENTIFICATION AND AUTHENTICATION ファミリー: 識別と認証
FAMILY: INCIDENT RESPONSE ファミリー: インシデント対応
FAMILY: MAINTENANCE ファミリー: 保守
FAMILY: MEDIA PROTECTION ファミリー: 媒体保護
FAMILY: PHYSICAL AND ENVIRONMENTAL PROTECTION ファミリー: 物理的および環境的保護
FAMILY: PLANNING ファミリー: 計画
FAMILY: PROGRAM MANAGEMENT ファミリー: プログラム管理
FAMILY: PERSONNEL SECURITY ファミリー: 人事セキュリティ
FAMILY: PERSONALLY IDENTIFIABLE INFORMATION PROCESSING AND TRANSPARENCY ファミリー: 個人を特定できる情報の処理と透明性
FAMILY: RISK ASSESSMENT ファミリー: リスクアセスメント
FAMILY: SYSTEM AND SERVICES ACQUISITION ファミリー: システム・サービス取得
FAMILY: SYSTEM AND COMMUNICATIONS PROTECTION ファミリー: システムと通信の保護
FAMILY: SYSTEM AND INFORMATION INTEGRITY ファミリー: システムと情報の完全性
FAMILY: SUPPLY CHAIN RISK MANAGEMENT ファミリー: サプライチェーン・リスクマネジメント
APPENDIX B: C-SCRM CONTROL SUMMARY 附属書B:C-SCRMコントロールの概要
APPENDIX C: RISK EXPOSURE FRAMEWORK 附属書C:リスクエクスポージャーフレームワーク
SAMPLE SCENARIOS サンプルシナリオ
SCENARIO 1: Influence or Control by Foreign Governments Over Suppliers シナリオ 1:外国政府によるサプライヤーへの影響・支配
SCENARIO 2: Telecommunications Counterfeits シナリオ 2:電気通信の偽造
SCENARIO 3: Industrial Espionage シナリオ 3:産業スパイ
SCENARIO 4: Malicious Code Insertion シナリオ 4:悪意のあるコードの挿入
SCENARIO 5: Unintentional Compromise シナリオ 5:意図しないコンプロマイズ
SCENARIO 6: Vulnerable Reused Components Within Systems シナリオ 6:システム内の脆弱な再利用コンポーネント
APPENDIX D: C-SCRM TEMPLATES 附属書D: C-SCRM テンプレート
1. C-SCRM STRATEGY AND IMPLEMENTATION PLAN 1. C-SCRM戦略及び実施計画
1.1. C-SCRM Strategy and Implementation Plan Template 1.1. C-SCRM戦略及び実施計画のテンプレート
2. C-SCRM POLICY 2. C-SCRM方針
2.1. C-SCRM Policy Template 2.1. C-SCRM方針のテンプレート
3. C-SCRM PLAN 3. C-SCRM計画
3.1. C-SCRM Plan Template 3.1. C-SCRM計画テンプレート
4. CYBERSECURITY SUPPLY CHAIN RISK ASSESSMENT TEMPLATE 4. サイバーセキュリティサプライチェーンリスクアセスメントテンプレート
4.1. C-SCRM Template 4.1. C-SCRMテンプレート
APPENDIX E: FASCSA 附属書E:FASCSA
INTRODUCTION はじめに
Purpose, Audience, and Background 目的、想定読者、背景
Scope 適用範囲
Relationship to NIST SP 800-161, Rev. 1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations NIST SP 800-161 改訂1版「システム及び組織のためのサイバーセキュリティサプライチェーンリスクマネジメント実施要領」との関係
SUPPLY CHAIN RISK ASSESSMENTS (SCRAs) サプライチェーンリスクアセスメント(SCRA)
General Information 一般的な情報
Baseline Risk Factors (Common, Minimal) ベースラインリスク要因(共通、最低限)
Risk Severity Schema リスク深刻度スキーマ
Risk Response Guidance リスク対応ガイダンス
ASSESSMENT DOCUMENTATION AND RECORDS MANAGEMENT アセスメント文書と記録管理
Content Documentation Guidance コンテンツ文書ガイダンス
Assessment Record アセスメント記録
APPENDIX F: RESPONSE TO EXECUTIVE ORDER 14028’s CALL TO PUBLISH GUIDELINES FOR ENHANCING SOFTWARE SUPPLY CHAIN SECURITY 附属書F:ソフトウェアサプライチェーンセキュリティ強化のためのガイドライン発行の大統領令14028号の要求への対応
APPENDIX G: C-SCRM ACTIVITIES IN THE RISK MANAGEMENT PROCESS 附属書G:リスクマネジメントプロセスにおけるC-SCRM活動
TARGET AUDIENCE 対象者
ENTERPRISE-WIDE RISK MANAGEMENT AND THE RMF エンタープライズ全体のリスクマネジメントとRMF
Frame フレーム
Assess 評価
Respond 対応
Monitor 監視
APPENDIX H: GLOSSARY 附属書H:用語集
APPENDIX I: ACRONYMS 附属書I:頭字語
APPENDIX J: RESOURCES 附属書J:リソース
RELATIONSHIP TO OTHER PROGRAMS AND PUBLICATIONS 他のプログラムや出版物との関係
NIST Publications NIST出版物
Regulatory and Legislative Guidance 規制・立法ガイダンス
Other U.S. Government Reports その他の米国政府報告書
Standards, Guidelines, and Best Practices 標準、ガイドライン、ベストプラクティス

 

関連:

 


関連

まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性を検証する(暫定ドラフト)

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

・2021.06.11 U.S. White House サプライチェーンの途絶に対処するための取り組み...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2021.02.13 NIST NISTIR 8276 サイバーサプライチェーンのリスク管理における鍵となる実践:産業からの観察

・2020.03.01 NISTに基づくSupply Chain Risk Managementについてのちょっとしたまとめ

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

 

 

| | Comments (0)

«NISTIR 8320 ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現