2024.12.11

欧州連合理事会 サイバーセキュリティ強化に向けENISAの権限の強化を承認 (2024.12.06)

こんにちは、丸山満彦です。

欧州連合理事会 (Council of the European Union)が、024.12.04-06にブラッセルで会議(ハンガリーが議長国)を開催し、

  • ENISAの権限強化
  • 欧州委員会の白書「EUのデジタル・インフラのニーズをどのように把握するか」に関する結論書

について承認し、

  • デジタル10年政策プログラム2030に関する政策

に対する討論をした

ようですね・・・

で、今回は、ENISAの権限強化についての承認の話...

ENISAの立場とか状況とかが垣間見られるかもしれません...

 

基本はサイバーレジリエンス法 (CRA) やNIS2指令の国内法の整備が一段落ついたところで、その法律に従って、ENISAの権限を強化するということは決まっていたので、その内容についての承認ということだろうと思います...

とくにCRAで求められるIoTセキュリティの認証制度については、「ENISAがんばれよ!」という応援ともプレッシャーともいえるような感じですね。。。これが簡単な制度ではないのは、理事会も理解しているということなのでしょうね...

もう一つは単一報告プラットフォームの構築ですね...CRAで、重大なインシデントがあった場合には各国に報告しなければならないわけですが、このプラットフォームは各国のCSIRTとENISA間の情報共有を促進するための効果的かつ安全なツールとして機能しないといけないということですね...

国家安全保障は各国の単独責任ですから、ENISAは国家安全保障の面からいうと各国の国家安全保障を必要におうじて支援するという位置付けになるかんじですかね...

一方、サイバー犯罪等については、EUのEuropolとの連携を通じて、それなりの役割を果たすことが期待されていますね...

 

Europenan Council, Council of European Union

プレス...

・2024.12.06 ENISA: Council approves conclusions for a stronger EU agency for cybersecurity

ENISA: Council approves conclusions for a stronger EU agency for cybersecurity ENISA:理事会、サイバーセキュリティ強化に向けたEU機関の結論を承認
At the initiative of the Hungarian presidency, today the Council approved conclusions on the EU agency for cybersecurity (ENISA). ENISA has proven to be an invaluable entity in the European cybersecurity ecosystem over the past two decades and the text of the conclusions encapsulates member states’ experiences and expectations regarding the agency. This is particularly important considering the ongoing evaluation of the cybersecurity act (CSA) and its possible revision. The conclusions therefore contain a series of recommendations and suggestions on behalf of the Council. ハンガリー大統領の主導により、本日、理事会はEUサイバーセキュリティ機関(ENISA)に関する結論を承認した。ENISAは過去20年にわたり、欧州のサイバーセキュリティのエコシステムにおいて非常に重要な事業体であることが証明されており、結論の文章には、加盟国が同機関に対して抱いている経験と期待がまとめられている。これは、現在進行中のサイバーセキュリティ法(CSA)の評価と、その改正の可能性を考慮すると、特に重要である。そのため、結論には、理事会を代表する一連の提言と提案が含まれている。
The importance of ENISA can hardly be underestimated in tackling cybersecurity threats, which have significantly increased in level, complexity, and scale these last years. This comprehensive set of conclusions will help us build a robust and resilient digital space in Europe. Continuous cooperation, prioritisation of tasks and resources, as well as a simplification of the complex cyber landscape will be key elements to cope with current and future challenges. 近年、そのレベル、複雑性、規模が著しく増大しているサイバーセキュリティの脅威に対処する上で、ENISAの重要性は過小評価できない。この包括的な結論は、欧州における強固でレジリエントなデジタル空間の構築に役立つだろう。継続的な協力、タスクとリソースの優先順位付け、複雑なサイバーランドスケープの簡素化は、現在および将来の課題に対処するための重要な要素となる。
Zoltán Kovács, Hungarian minister of state for international communication and relations ゾルターン・コヴァーチ、ハンガリー国際コミュニケーション・関係担当国務大臣
Key messages 主なメッセージ
The Council conclusions acknowledge that the expansion of ENISA’s important role is the result of recent legislative initiatives, such as the cyber resilience act (CRA) or the revised network and information systems (NIS 2) directive, which have entrusted the agency with additional tasks. Its key role was also boosted by the growing scale and complexity of the cyber threats and challenges these last years. Therefore, the Council recommends that this increase in tasks should be reflected in adequate resources, without pre-empting the upcoming negotiation of the Multiannual Financial Framework. It is, however, equally important to prioritise actions and to have a sound cooperation with other actors in the cyber domain to avoid duplication of tasks.  理事会の結論では、ENISAの重要な役割の拡大は、サイバーレジリエンス法(CRA)や改訂ネットワークと情報システム(NIS 2)指令などの最近の立法イニシアティブの結果であり、これらの法律によってENISAに新たな任務が委ねられたことを認めている。また、ここ数年のサイバー脅威と課題の規模と複雑性の増大により、ENISAの重要な役割も強化された。そのため、理事会は、今後予定されている複数年予算枠組みの交渉を妨げることなく、この業務増加を適切なリソースに反映させることを推奨している。しかし、業務の重複を避けるために、優先順位を付けた行動を取ることと、サイバー領域における他の関係者との健全な協力関係を築くことも同様に重要である。
The conclusions acknowledge ENISA’s support to member states when it comes to policy development and implementation. However, they also call for further improvements and action, notably regarding the development of European cybersecurity certification schemes, as well as the establishment of a single reporting platform. 結論では、政策の策定と実施に関して加盟国を支援するENISAの取り組みが認められている。しかし、とりわけ欧州サイバーセキュリティ認証スキームの開発や単一の報告プラットフォームの確立など、さらなる改善と行動が求められている。
The text of the conclusions also recognises ENISA’s important contribution in enhancing common situational awareness, as well as in developing a common response to large-scale cyber incidents or crises. Further cooperation with the European Commission, the European External Action Service (EEAS), the Computer Security Incident Response Teams (CSIRTs, groups of experts that assess, document, and respond to a cyber incident) network and the European cyber crisis liaison organisation network (EU-CyCLONe, a cooperation network for member states’ national authorities in charge of cybersecurity) is also emphasised in this respect. 結論の文章では、共通の状況認識の強化や、大規模サイバーインシデントや危機に対する共通の対応策の開発におけるENISAの重要な貢献も認められている。この点に関して、欧州委員会、欧州対外活動庁(EEAS)、コンピュータセキュリティ・インシデント対応チーム(CSIRT、サイバーインシデントのアセスメント、文書化、対応を行う専門家グループ)ネットワーク、欧州サイバー危機連絡組織ネットワーク(EU-CyCLONe、サイバーセキュリティを担当する加盟国当局間の協力ネットワーク)とのさらなる協力関係も強調されている。
Finally, the conclusions highlight the importance of ENISA’s cooperation with other actors in the cyber ecosystem, such as the cybersecurity service for EU institutions (CERT-EU), the European Cybersecurity Competence Centre and Europol, but also with international organisations and partners and with the private sector. 最後に、結論では、EU 機構のサイバーセキュリティサービス(CERT-EU)、欧州サイバーセキュリティ能力センター、欧州刑事警察機構(ユーロポール)など、サイバー生態系における他の関係者との ENISA の協力関係の重要性が強調されている。また、国際機関やパートナー、民間部門との協力関係も強調されている。
Council conclusions on ENISA  ENISA に関する理事会の結論
Cybersecurity : How the EU tackles cyber threats (background information) サイバーセキュリティ:EU のサイバー脅威への取り組み(背景情報)

 

結論...

・[PDF] Council conclusions on ENISA  16527/24

 

 

20241211-55749

From: General Secretariat of the Council 発信元:理事会事務局
To: Delegations 宛先:代表団
Subject: Council conclusions on ENISA 件名:ENISAに関する理事会の結論
Delegations will find in the annex the Council conclusions on ENISA, as approved by the Council at its meeting held on 6 December 2024. 代表団は、2024年12月6日に開催された理事会の会合で承認されたENISAに関する理事会の結論を附属書で確認すること。
ANNEX  附属書 
Draft Council conclusions on ENISA  ENISAに関する理事会の結論(ドラフト) 
THE COUNCIL OF THE EUROPEAN UNION,  欧州連合理事会は、 
1. HIGHLIGHTS that challenges deriving from global cyberspace have never been as complex, diverse and serious as they are now, owing to the sophistication of emerging cyber threats, the constantly changing security environment and the current geopolitical tensions. Therefore, the EU and its Member States should continue with their efforts to become more resilient with a view to effectively identifying and addressing current and emerging threats and challenges. EMPHASISES that the work towards an increased level of cyber resilience should be continued following a whole-of-society approach. STRESSES that, in the years ahead, the EU and its Member States should focus on the effective implementation of legislative and nonlegislative initiatives underpinning and contributing to all actions that have been taken so far in this respect.  1. グローバルなサイバー空間から生じる課題が、これほどまでに複雑かつ多様で深刻なことはかつてなかったことを強調する。その理由は、新たなサイバー脅威の巧妙化、絶え間なく変化する安全保障環境、現在の地政学的な緊張にある。したがって、EUおよびその加盟国は、現在および新たに生じる脅威や課題を効果的に識別し対処することを視野に入れ、レジリエンスを高める努力を継続すべきである。サイバーレジリエンスの向上に向けた取り組みは、社会全体のアプローチに従って継続すべきであることを強調する。今後数年間、EUおよび加盟国は、この点に関してこれまでに行われたすべての行動を支え、貢献する立法および非立法イニシアティブの効果的な実施に焦点を当てるべきであることを強調する。
2. RECALLING that national security remains the sole responsibility of each Member State, ACKNOWLEDGES that the EU and its Member States have worked together tremendously in recent years on establishing the necessary institutional setup and forms of collaboration at both national and EU level in the cyber domain. WELCOMES the various legislative and non-legislative initiatives that have provided the EU and its Member States with a strong and robust framework in this area, increasing the overall cyber resilience of the Union. This framework has evolved to cover several aspects of the cyber domain: security, diplomacy, law enforcement and defence. NOTES that a large number of actors, including Member States’ cybersecurity authorities, the NIS Cooperation Group (NIS CG), the CSIRTs Network, the European cyber crisis liaison organisation network (EU-CyCLONe), the Network of National Coordination Centres (NCC) the European Cybersecurity Certification Group (ECCG), the Commission, the European External Action Service (EEAS), the European Union Agency for Cybersecurity (ENISA), the European Cybersecurity Competence Centre (ECCC), CERT-EU, the European Defence Agency (EDA), and Europol’s European Cybercrime Centre (EC3) are part of the EU cybersecurity ecosystem, each performing their part in the implementation of the EU-wide cybersecurity framework.  2. 国家の安全保障は依然として各加盟国の単独責任であることを想起し、EUおよび加盟国が近年、サイバー領域において、国家レベルおよびEUレベルで必要な機構の構築と協力形態の確立に向けて、多大な協力を行ってきたことを認める。この分野においてEUおよび加盟国に強固で堅牢な枠組みを提供し、EUのサイバーレジリエンス全体を向上させた、さまざまな立法および非立法イニシアティブを歓迎する。この枠組みは、サイバー領域のさまざまな側面(セキュリティ、外交、法執行、防衛)をカバーするように発展してきた。 加盟国のサイバーセキュリティ当局、NIS協力グループ(NIS CG)、CSIRTネットワーク、欧州サイバー危機連絡組織ネットワーク(EU-CyCLONe)、各国調整センター(NCC)ネットワーク、欧州サイバーセキュリティ認証グループ(ECCG)、欧州委員会、欧州対外行動庁(EEAS)、 欧州サイバーセキュリティ機関(ENISA)、欧州サイバーセキュリティ能力センター(ECCC)、欧州連合のサイバー防衛センター(CERT-EU)、欧州防衛機関(EDA)、欧州刑事警察機構(EC3)は、EUサイバーセキュリティエコシステムの一部であり、それぞれEU全域のサイバーセキュリティ枠組みの実施において、その役割を担っている。

 

3. RECOGNISES that over the past two decades ENISA has proven to be an invaluable entity in the European cybersecurity ecosystem, playing a crucial role in actively supporting Member States and EU institutions, bodies, offices and agencies (EUIBAs) in their implementation and development of cybersecurity policies, in their capacity-building and preparedness, in their cooperation and in their promotion of cybersecurity awareness and certification.  3. 過去20年以上にわたり、欧州ネットワーク・情報セキュリティ機関(ENISA)が欧州のサイバーセキュリティ生態系においてかけがえのない事業体であることを証明してきたことを認識し、加盟国およびEUの機構、団体、事務所、機関(EUIBAs)がサイバーセキュリティ政策を実施・発展させるにあたり、能力開発や準備、協力、サイバーセキュリティ意識の向上や認証の推進において、積極的な支援を行う上で重要な役割を果たしている。
GENERAL POLICY RECOMMENDATIONS  一般政策に関する提言 
4. INVITES the Commission to use the evaluation of the Cybersecurity Act as an opportunity to examine how it can contribute to the simplification of the complex cyber ecosystem, thus enhancing the effectiveness and efficient use of resources. Therefore, CALLS ON the Commission to ensure that ENISA’s mandate to support Member States and EU institutions, bodies, offices and agencies (EUIBAs) is focused and clearly-defined, with concrete strategic objectives and prioritised tasks, in addition to a more precise division of tasks and competences with respect to other actors. In this respect, INVITES the Commission to examine and further strengthen ENISA’s role in supporting operational cooperation at the EU level and among Member States in enhancing cyber resilience, taking into account Member States’ competences in this field. In addition, CALLS ON the Commission to reinforce ENISA’s advisory role in providing expert and evidence-based guidance and recommendations, with regard to the implementation of current and future EU legislative and non-legislative initiatives, while ensuring a coherent EU cybersecurity framework.  4. 欧州委員会に対し、サイバーセキュリティ法案の評価を、複雑なサイバーエコシステムの簡素化にどのように貢献できるかを検討する機会として活用し、それによって資源の有効性と効率的な利用を強化することを求める。したがって、欧州委員会に対し、加盟国およびEU機構、団体、事務所、機関(EU-IBAs)を支援するENISAの任務が、他の関係者とのより明確な職務および権限のディビジョンに加え、具体的な戦略目標と優先順位の高いタスクに焦点を当て、明確に定義されることを確保するよう求める。この点において、欧州委員会に対し、加盟国のこの分野における権限を考慮しつつ、サイバーレジリエンスの強化に向けたEUレベルおよび加盟国間の運用協力の支援におけるENISAの役割を検証し、さらに強化することを求める。また、欧州委員会に対し、EUのサイバーセキュリティ枠組みの一貫性を確保しつつ、現在および将来のEUの立法および非立法イニシアティブの実施に関して、専門的かつ証拠に基づくガイダンスおよび勧告を提供するENISAの助言的役割を強化することを求める。
5. In the same spirit, ENCOURAGES the Commission to consider streamlining ENISA’s role in respect of tasks that are not at the core of its mission. UNDERLINES that ENISA’s responsibilities have been significantly broadened by recent legislative initiatives, including NIS 2, the Cyber Resilience Act and the Cyber Solidarity Act, among others. While NOTING that ENISA received additional resources as a result of some of these initiatives, HIGHLIGHTS that the broadening of ENISA’s responsibilities and the growing complexity of the cyber threats and challenges have led to a considerable increase in its tasks, which should be reflected in adequate resources – human, financial and technical – in order to fully enable the Agency to execute all the tasks under its competence, without pre-empting the negotiation of the Multiannual Financial Framework. To this end, CALLS ON the Commission to prioritise actions and assign priority to tasks related to supporting Member States in enhancing their cyber resilience, their operational cooperation and the development and implementation of Union Law when preparing the draft general budget of the Union.  5. 同じ精神に基づき、欧州委員会に対し、ENISAのミッションの中心ではない業務に関して、ENISAの役割を合理化することを検討するよう促す。最近の立法イニシアティブ、特にNIS 2、サイバーレジリエンス法、サイバー連帯法などにより、ENISAの責任が大幅に拡大していることを強調する。ENISAがこれらのイニシアティブの一部の結果として追加のリソースを受け取ったことを留意しつつ、ENISAの責任の拡大とサイバー脅威および課題の複雑化の増大が、その任務の大幅な増加につながっていることを強調する。これは、複数年財政枠組みの交渉を妨げることなく、当機関がその権限下にあるすべての任務を完全に遂行できるようにするため、人的、財務上、技術的な適切なリソースに反映されるべきである。この目的を達成するために、欧州委員会に対し、加盟国がサイバーレジリエンスを高め、運用面での協力を強化し、EU法の策定と実施を支援する関連業務を優先し、EU一般予算のドラフト作成時に優先的に取り組むよう求める。
ENISA’S SUPPORT TO POLICY DEVELOPMENT AND IMPLEMENTATION  政策の策定と実施に対するENISAの支援 
6. RECALLS that under the current cybersecurity legal framework, ENISA is entrusted with several key supporting and advisory responsibilities across the EU. WELCOMES ENISA’s role in that respect in providing assistance to Member States on the effective implementation of legislative and non-legislative initiatives. CALLS ON ENISA, in close cooperation with the NIS CG and the Commission, to continue to provide general insights and analysis on the current legal environment as regards cybersecurity. ENCOURAGES ENISA to share and actively promote technical guidance and best practices in a regular and structured manner assisting the Member States in implementing cybersecurity policy and legislations.  6. 現在のサイバーセキュリティの法的枠組みの下で、ENISAがEU全域におけるいくつかの重要な支援および助言の責任を担っていることを想起する。加盟国が立法および非立法イニシアティブを効果的に実施する上で支援を行うという点におけるENISAの役割を歓迎する。NIS作業部会および欧州委員会と緊密に協力し、サイバーセキュリティに関する現在の法的環境に関する一般的な見解および分析を引き続き提供するようENISAに求める。ENISAが、加盟国によるサイバーセキュリティ政策および法規制の実施を支援する上で、技術的ガイダンスおよびベストプラクティスを定期的かつ体系的に共有し、積極的に推進することを奨励する。
7. ACKNOWLEDGES ENISA’s vital role in the development of European cybersecurity certification schemes, underpinning trust in ICT products, services and processes and, in addition, the managed security services in light of the forthcoming targeted amendment of the Cybersecurity Act. STRESSES that Member States and industry are concerned by the lengthy process of selection, elaboration and adoption of cybersecurity certification schemes; therefore, URGES the Commission to use the opportunity of the Cyber Security Act evaluation to find ways to have a leaner, risk-based as well as more transparent and faster approach to the development of EU cybersecurity certification schemes while STRESSING the important role of Member States in the process. In addition, HIGHLIGHTS the importance of explicitly attributing responsibility for the maintenance of each certification scheme. Furthermore, RECALLS that ENISA should consult all relevant stakeholders in a timely manner by means of a formal, open, transparent and inclusive process when preparing candidate schemes and that the Commission should consult in an open, transparent and inclusive way when assessing the efficiency and use of adopted schemes. ENCOURAGES ENISA to further strengthen the collaboration with the data protection community, particularly the European Data Protection Board, where relevant, and the national competent authorities, with special regard to fostering synergies in the context of the development of future European cybersecurity certification schemes.  7. サイバーセキュリティ法の改正を踏まえ、ICT製品、サービス、プロセスに対する信頼を支える欧州のサイバーセキュリティ認証スキームの開発におけるENISAの重要な役割、およびマネージドセキュリティサービスを認識する。加盟国および産業界は、サイバーセキュリティ認証スキームの選定、詳細化、採択に長期間を要することに懸念を抱いていることを強調し、欧州委員会に対し、サイバーセキュリティ法の評価の機会を活用し、EUのサイバーセキュリティ認証スキームの開発に、よりスリムでリスクベースのアプローチを導入し、より透明性が高く迅速なアプローチを実現する方法を見出すよう促す。また、そのプロセスにおける加盟国の重要な役割を強調する。さらに、各認証スキームの保守に対する責任を明確に割り当てることの重要性を強調する。さらに、ENISAは候補となるスキームを準備する際には、正式な、公開された、透明性のある、包括的なプロセスによって、すべての関連ステークホルダーと適時に協議すべきであり、欧州委員会は採択されたスキームの効率性と利用状況を評価する際には、公開された、透明性のある、包括的な方法で協議すべきであることを想起する。ENISAが、特に欧州データ保護委員会や各国の管轄当局など、データ保護コミュニティとの連携をさらに強化し、特に将来的な欧州サイバーセキュリティ認証スキームの開発における相乗効果の促進に重点的に取り組むことを奨励する。
8. To prevent the unnecessary administrative burden that could arise from a complex reporting framework, CALLS ON ENISA in cooperation with the Commission to continue to exchange with Member States on the practicalities, simplification and streamlining of the reporting procedure. Further, RECALLS its invitation for the Commission to prepare, with the support of ENISA and other relevant EU entities, a mapping of relevant reporting obligations set out in the respective EU legislative acts in cyber and digital matters. RECALLS that information exchange between ENISA and Member States is based on a relationship of trust, where security and confidentiality are guaranteed in accordance with the Cybersecurity Act and relevant rules and protocols and should be limited to which is relevant and proportionate to the purpose of the exchange. EMPHASISES the need for data and information to be treated with due care.  8. 複雑な報告枠組みから生じる可能性のある不必要な行政負担を防ぐため、欧州委員会と協力して加盟国と報告手続きの実務、簡素化、合理化について引き続き意見交換を行うよう、ENISAに要請する。さらに、サイバーおよびデジタル分野におけるEUの各立法行為に定められた関連報告義務の対応表を、ENISAおよびその他の関連EU事業体の支援を受けて作成するよう、欧州委員会に要請したことを想起する。ENISAと加盟国間の情報交換は、信頼関係に基づいており、サイバーセキュリティ法および関連規則やプロトコルに従ってセキュリティと機密性が保証され、交換の目的に関連し、かつ目的に見合ったものに限定されるべきであることを想起する。データおよび情報の適切な取り扱いの必要性を強調する。
9. HIGHLIGHTS the fact that ENISA is responsible for establishing and maintaining the single reporting platform under the Cyber Resilience Act which will have a concrete operational added value, especially for actively exploited vulnerabilities and severe incidents affecting the security of products with digital elements. Given the broad scope of this horizontal legislation, the single reporting platform should be an effective and secure tool for facilitating information sharing between national CSIRTs and ENISA. Consequently, URGES ENISA, as well as allocating sufficient human resources, to speed up the establishment of the platform as a key priority in order to ensure its readiness by the deadline set in the Cyber Resilience Act.  9. ENISAがサイバーレジリエンス法に基づく単一報告プラットフォームの確立と維持を担当しているという事実を強調する。このプラットフォームは、特にデジタル要素を含む製品のセキュリティに影響を与える、積極的に悪用される脆弱性や重大なインシデントに対して、具体的な運用上の付加価値をもたらす。この水平型法規制の適用範囲が広いことを踏まえ、単一報告プラットフォームは、各国のCSIRTとENISA間の情報共有を促進するための効果的かつ安全なツールであるべきである。したがって、ENISAに対し、サイバーレジリエンス法で定められた期限までに準備を整えるため、プラットフォームの確立を最優先事項として早急に進めるよう、十分な人的資源を確保することを求める。
10. ACKNOWLEDGES ENISA’s role in establishing a European vulnerability database, which aims to provide improved transparency regarding the disclosure of vulnerabilities, while ensuring the appropriate handling of sensitive data. Considering the end of the transposition period of the NIS 2 Directive, URGES ENISA to step up all the necessary work to ensure the smooth functionality of this database. In parallel, INVITES the NIS CG with the assistance of ENISA, to further publicise guidance, policies and procedures on vulnerability disclosure.  10. ENISAが欧州の脆弱性データベースの確立において果たす役割を認識する。このデータベースは、脆弱性の開示に関する透明性を改善することを目的とし、同時に機密データの適切な取り扱いを確保することを目的としている。NIS 2 指令の国内法化期間の終了を踏まえ、このデータベースの円滑な機能性を確保するために必要な作業をすべて強化するよう ENISA に強く要請する。同時に、ENISA の支援を受けながら、NIS CG に対して、脆弱性開示に関する指針、政策、手順のさらなる周知を要請する。
11. RECOGNISES the benefits of the Cybersecurity Support Action carried out by ENISA, which functions as a pool of cybersecurity services available for Member States to complement their endeavours, as well as ENISA’s experience gained from its implementation. In this regard, HIGHLIGHTS that ENISA should have a central role in the administration and operation of the EU Cybersecurity Reserve. INVITES ENISA to commence the mapping of the services needed and their availability immediately upon the entry into force of the Cyber Solidarity Act, in order to make the EU Cybersecurity Reserve as useful and tailored to users’ needs as possible in all Member States. INVITES ENISA, once entrusted, to involve Member States, in particular by gathering input on the required criteria and informing about upcoming tenders, early in the process of establishing the EU Cybersecurity Reserve. INVITES ENISA, once entrusted, to ensure that the selection process of trusted managed security services providers is transparent, open, fair, and allows for the participation of providers from all Member States, irrespective of size. Additionally, RECALLS that ENISA is required to issue the interoperability guidelines for the Cross-Border Cyber Hubs without undue delay.  11. ENISAが実施しているサイバーセキュリティ支援活動の利点を認識し、この活動が加盟国による取り組みを補完するサイバーセキュリティサービスの集積として機能していること、また、その実施を通じてENISAが得た経験を認識する。この点に関して、ENISAがEUサイバーセキュリティ予備軍の管理・運営において中心的な役割を果たすべきであることを強調する。サイバー連帯法案の発効後ただちに、必要なサービスとその利用可能性のマッピングを開始し、EUサイバーセキュリティ予備力をすべての加盟国において可能な限り有益で、ユーザーのニーズに合ったものにするよう、ENISAに要請する。ENISAが任務を委任された場合、EUサイバーセキュリティ予備力の確立プロセスにおいて、特に必要な規準に関する意見の収集や、今後の入札に関する情報の提供を通じて、加盟国を関与させるよう要請する。ENISAが信頼されるマネージド・セキュリティ・サービス・プロバイダの選定プロセスが透明性、公開性、公平性を確保し、規模に関係なくすべての加盟国のプロバイダが参加できるようにすることを要請する。さらに、ENISAが国境を越えたサイバーハブのための相互運用性ガイドラインを不当に遅延させることなく発行することが求められていることを想起する。
12. UNDERLINES that monitoring trends regarding emerging technologies in a fast-evolving domain such as cyber is of key importance for maintaining and further strengthening our cyber posture. RECOGNISES the work done by ENISA to draw the public’s attention to the risks and possibilities of technologies such as artificial intelligence and quantum computing, thus facilitating a better understanding of the current challenges. ENCOURAGES ENISA to contribute further to these tasks, to actively advocate for the implementation of its recommendations, and to advise and collaborate with, where relevant, the ECCC.  12. サイバーなどの急速に進化する領域における新興技術の動向を監視することが、サイバー対策を維持し、さらに強化する上で極めて重要であることを強調する。ENISAが人工知能や量子コンピューティングなどの技術のリスクと可能性について一般市民の注意を喚起し、現在の課題に対する理解を深める上で貢献したことを認識する。ENISAがこれらの任務にさらに貢献し、その勧告の実施を積極的に提唱し、関連する場合にはECCCに助言し協力することを奨励する。
ENISA’S SUPPORT TO MEMBER STATES TO ENHANCE CYBER RESILIENCE AND OPERATIONAL COOPERATION  加盟国に対するENISAの支援によるサイバーレジリエンスと運用協力の強化
13. STRESSES that ENISA fulfils an important role as secretariat of the two EU-level Member States driven cyber cooperation networks, the CSIRTs Network and EU-CyCLONe. EMPHASISES ENISA’s valuable participation in the NIS CG, notably through its active involvement and technical contributions in the various work streams. ENCOURAGES ENISA to continue to support the functioning and cooperation of these networks in the future, since they provide fundamental channels for Member States to collaborate at different levels.  13. ENISAは、EUレベルの加盟国2カ国が推進するサイバー協力ネットワークであるCSIRTネットワークおよびEU-CyCLONeの事務局として重要な役割を果たしていることを強調する。特に、さまざまな作業の流れにおける積極的な関与と技術的貢献を通じて、NIS CG における ENISA の貴重な参加を強調する。これらのネットワークは、さまざまなレベルで加盟国が協力するための基本的な手段を提供しているため、ENISA に対して、今後もこれらのネットワークの機能と協力を支援し続けるよう奨励する。

14. REITERATES the need to enhance common situational awareness at EU level, which contributes to the EU’s cyber posture, in connection with the detection of, prevention for, and response to cybersecurity incidents. In this regard, STRESSES the importance of ENISA’s foresight activities, regular reports and threat assessments, all of which contribute to improving situational awareness. ENCOURAGES ENISA to work in close co-operation with the Member States, in contributing to the development of EU-level situational awareness. In this context, RECOGNISES the important role of ENISA together with CERT-EU and Europol, in supporting the Council with situational briefings within the context of Cyber Diplomacy Toolbox complementing the situational awareness provided by Single Intelligence Analysis Capacity (SIAC) and STRESSES the need to build a comprehensive threat picture from various sources, including the private sector. ENCOURAGES in this regard the further development of ENISA’s cooperation with the EEAS, and in particular with INTCEN in full respect of their respective mandates.  14. サイバーセキュリティインシデントの検知、予防、対応に関連して、EUレベルでの共通の状況認識を強化する必要性を改めて強調する。これはEUのサイバーセキュリティ態勢の強化に寄与するものである。この点において、ENISAの先見性のある活動、定期的な報告書、脅威アセスメントの重要性が強調され、これらはすべて状況認識の改善に貢献する。EUレベルの状況認識の改善に貢献するため、ENISAが加盟国と緊密に協力して取り組むことを奨励する。この文脈において、ENISAがCERT-EUおよび欧州刑事警察機構(Europol)とともに、サイバー外交ツールボックスの枠組み内で状況報告書を作成し、単一情報分析能力(SIAC)が提供する状況認識を補完する上で重要な役割を果たしていることを認識し、民間部門を含むさまざまな情報源から包括的な脅威の全体像を構築する必要性を強調する。この点において、ENISAとEEAS、特にINTCENとの協力関係を、それぞれの権限を尊重した上でさらに発展させることを奨励する。
15. HIGHLIGHTS that the Cyber Situation and Analysis Centre of the Commission serves an internal function within the Commission and is supported by its collaboration with ENISA and CERT-EU. In order to create maximum potential for synergies and to reduce complexity within the EU cyber ecosystem, INVITES the Commission to take the results of the evaluation of the Cybersecurity Act as well as the discussions on the evaluation of the Cyber Blueprint into account in order to streamline the tasks of the Cyber Situation and Analysis Centre of the Commission and ENISA’s related tasks. ENCOURAGES the Commission to avoid unnecessary duplication of tasks, while safeguarding ENISA’s central role in contributing to developing common situational awareness at Union level in support of the Member States, with due respect to their national competences. 
15. ハイライト 委員会のサイバー状況分析センターは、委員会内部で機能しており、ENISAおよびCERT-EUとの連携によって支えられている。シナジー効果を最大限に引き出し、EUのサイバー生態系内の複雑性を軽減するために、欧州委員会に対し、サイバーセキュリティ法案の評価結果およびサイバー・ブループリントの評価に関する議論を考慮し、欧州委員会のサイバー状況分析センターおよびENISAの関連業務を合理化するよう求める。加盟国の権限を尊重しつつ、加盟国を支援する形で欧州連合レベルでの共通の状況認識の構築に貢献するというENISAの中核的役割を保護しながら、欧州委員会が不必要な業務の重複を回避するよう促す。

16. STRESSES that developing common situational awareness is a prerequisite for timely and effective crisis management of the Union as a whole. UNDERLINES that, at EU level, a variety of key actors are involved in responding to large-scale cybersecurity incidents, and that, in the event of such incidents, the effective cooperation among Member States is mainly underpinned by the CSIRTs Network and EU-CyCLONe. ENISA plays an important role in cyber crisis management as the secretariat to the CSIRTs Network and EU-CyCLONe. INVITES the Commission to use the evaluation of the Cyber Blueprint to properly reflect the additional tasks and responsibilities for contributing to developing a cooperative response to large-scale cross-border cyber incidents or crises, as well the role attributed to ENISA as the secretariat of CSIRT Network and EU-CyCLONe and by the recent cybersecurity legislation.  16. 共通の状況認識を構築することが、EU全体としての迅速かつ効果的な危機管理の前提条件であることを強調する。EUレベルでは、大規模サイバーセキュリティインシデントへの対応にさまざまな主要関係者が関与しており、そのようなインシデントが発生した場合、加盟国間の効果的な協力は主にCSIRTsネットワークとEU-CyCLONeによって支えられていることを強調する。ENISAは、CSIRTネットワークおよびEU-CyCLONeの事務局として、サイバー危機管理において重要な役割を果たしている。欧州委員会に対し、サイバー・ブループリントの評価を活用し、大規模な国境を越えたサイバーインシデントまたは危機への協調的な対応策の策定に貢献するための追加的な任務および責任を適切に反映すること、また、最近のサイバーセキュリティ関連法によって、CSIRTネットワークおよびEU-CyCLONeの事務局としてENISAに与えられた役割を反映することを求める。
17. UNDERLINES the importance of organising regular cybersecurity exercises which greatly increase the EU’s preparedness in responding to incidents and crises. ACKNOWLEDGES that ENISA has gathered valuable and extensive experience in this field supporting Member States. ACKNOWLEDGES ENISA’s important role in the planning, preparation, execution and evaluation phases of cybersecurity exercises, and EMPHASISES that it should continue to remain one of the central actors at EU level, keeping in mind that such exercises should be carried out based on structured frameworks and common terminologies. INVITES ENISA, the CSIRTs Network and EU-CyCLONe to make most efficient use of existing regular exercises to test and improve the EU-crisis response framework, and to assure maximum uptake of the lessons learned.  17. インシデントや危機への対応におけるEUの備えを大幅に高める定期的なサイバーセキュリティ演習の実施の重要性を強調する。ENISAが加盟国を支援するこの分野で貴重かつ広範な経験を蓄積していることを認める。サイバーセキュリティ演習の計画、準備、実施、評価の各段階におけるENISAの重要な役割を認識し、また、このような演習は体系的な枠組みと共通の用語に基づいて実施されるべきであることを念頭に置き、ENISAがEUレベルにおける中心的役割を継続すべきであることを強調する。ENISA、CSIRTネットワーク、EU-CyCLONeに対し、EUの危機対応枠組みをテストし改善するために、既存の定期的な演習を最大限に活用し、得られた教訓を最大限に生かすことを求める。
ENISA’S COOPERATION WITH OTHER ACTORS IN THE CYBER ECOSYSTEM  サイバーエコシステムにおける他の関係者とのENISAの協力
18. REITERATES that, owing to the horizontal nature of cybersecurity, collaboration among all actors at Member States and Union level is vital, and therefore UNDERSCORES that increasing overall cyber resilience at European level also requires joint work between ENISA and other relevant entities in the cyber field.  18. サイバーセキュリティの水平的な性質により、加盟国およびEUレベルにおけるすべての関係者間の協力が不可欠であることを改めて表明し、したがって、欧州レベルでのサイバーレジリエンシーの全体的な向上には、ENISAとサイバー分野の他の関連事業体との共同作業も必要であることを強調する。
19. UNDERLINES that EUIBAs’ ability to remain cyber-secure is of importance for overall EUlevel cyber resilience, in which CERT-EU’s role is invaluable. In this regard, WELCOMES the established structured cooperation between CERT-EU and ENISA and ENCOURAGES them to continue their close cooperation in the future.  19. EUIBAsがサイバーセキュリティを維持する能力は、EUレベルのサイバーレジリエンス全体にとって重要であり、その点においてCERT-EUの役割は計り知れない。この点において、CERT-EUとENISA間の確立された構造的な協力関係を歓迎し、両者に対し、今後も緊密な協力関係を継続するよう奨励する。
20. With the achieved financial autonomy, the ECCC will contribute significantly to the development of a strong European cyber research, industrial and technological ecosystem, encompassing skills for workforce development in line with its mandate. ENCOURAGES ENISA and the ECCC to continue their close cooperation, especially in relation to research and innovation needs and priorities, as well as cyber skills, to increase the competitiveness of the Union’s cybersecurity industry. INVITES the Commission to examine how synergies in the working of ENISA and the ECCC can be further optimised and how to better streamline activities according to their respective mandates.  20. 財政的自立を達成したECCCは、その権限に沿った労働力開発のためのスキルを網羅する、強力な欧州のサイバー研究、産業、技術のエコシステムの構築に大きく貢献する。ENISAおよびECCCに対し、特に研究およびイノベーションのニーズと優先事項、およびサイバーセキュリティのスキルに関して緊密な協力関係を継続し、欧州連合のサイバーセキュリティ産業の競争力を高めるよう奨励する。欧州委員会に対し、ENISAおよびECCCの業務における相乗効果をさらに最適化する方法、およびそれぞれの権限に従って活動をより効率化する方法を検討するよう求める。
21. UNDERLINES that providing regular updates on the threat landscape contributes to better identifying which measures and tools are needed in order to effectively fight cybercrime. HIGHLIGHTS the added value of the EU-Joint Cyber Assessment (J-CAR) reports, which are the outcome of the joint collaboration between ENISA, Europol’s EC3 and CERT-EU, and have already provided valuable input in addressing the different challenges including the fight against cybercrime. INVITES ENISA and Europol to continue collaborating in a structured manner in the future.  21. サイバー犯罪と効果的に闘うために必要な措置やツールをより適切に識別するために、脅威の全体像に関する定期的な最新情報の提供が役立つことを強調する。欧州連合合同サイバーアセスメント(J-CAR)報告書は、ENISA、欧州刑事警察機構(Europol)のEC3、および欧州サイバー犯罪対策センター(CERT-EU)の共同作業の成果であり、サイバー犯罪対策を含むさまざまな課題への対応においてすでに貴重な情報を提供している。欧州ネットワーク・情報セキュリティ庁(ENISA)と欧州刑事警察機構(Europol)に対し、今後も組織的な協力関係を継続するよう求める。
22. STRESSES that cyber defence constitutes an important and constantly developing part of tackling threats arising from cyberspace. HIGHLIGHTS the need for ENISA to engage with the EEAS and the Commission, in those cases where ENISA has a role in supporting the implementation of the EU Policy on Cyber Defence, in close cooperation with the EDA, the ECCC and the cyber defence community. EMPHASISES ENISA’s role as a civilian agency. UNDERLINES the importance of deepening and streamlining civil-military cooperation in the field of cyber within the EU including clear divisions of roles and responsibilities between the two communities and between the EU and NATO in full respect of the principles of inclusiveness, reciprocity, mutual openness and transparency, as well as the decision-making autonomy of both organisations. ENCOURAGES ENISA to continue to pursue working arrangement with NATO Communications and Information Agency. 
22. サイバー防衛が、サイバー空間から生じる脅威への対処において、重要かつ常に発展する部分を構成していることを強調する。 ENISAがEUサイバー防衛政策の実施を支援する役割を担う場合、EDA、ECCC、およびサイバー防衛コミュニティと緊密に協力しながら、ENISAが欧州対外行動庁(EEAS)および欧州委員会と連携する必要性を強調する。 ENISAの文民機関としての役割を強調する。EU域内のサイバー分野における民軍協力の深化と合理化の重要性を強調し、その際には、包括性、相互性、相互開放性、透明性という原則を十分に尊重し、両組織の意思決定の自主性を尊重した上で、2つの共同体間およびEUとNATO間の明確な役割と責任のディビジョンを盛り込む。ENISAがNATOコミュニケーションズ・アンド・インフォメーション・エージェンシーとの作業体制を継続することを奨励する。

23. ENCOURAGES the EU to continue to promote our common values and joint efforts within global forums in order to safeguard a free, global, open and secure cyberspace. STRESSES that the cross-border nature of cyber threats and incidents requires strong and effective collaboration, not only at EU level, but also with international organisations and partners. NOTES that ENISA’s international involvement should focus on strategic partners and EU candidate countries, in line with the EU’s Common Foreign and Security Policy. STRESSES that in its international involvement, ENISA should act in accordance with its mandate and the respective provisions of the Cybersecurity Act. ACKNOWLEDGES the necessity of clarifying, in accordance with relevant procedures, ENISA’s international involvement, ensuring in particular that its Management Board is duly and timely informed of the related activities. ENCOURAGES ENISA’s involvement in relevant international cybersecurity cooperation frameworks, including organisations such as NATO and the OSCE.  23. 自由でグローバル、オープンで安全なサイバー空間を保護するために、EUがグローバルなフォーラムにおいて共通の価値観と共同の取り組みを推進し続けることを奨励する。サイバー脅威およびインシデントの国境を越えた性質を踏まえ、EUレベルだけでなく、国際機関およびパートナーとも強力かつ効果的な連携が必要であることを強調する。ENISAの国際的な関与は、EUの共通外交・安全保障政策に沿って、戦略的パートナーおよびEU加盟候補国に焦点を当てるべきであることに留意する。ENISAの国際的な関与においては、ENISAは、その権限およびサイバーセキュリティ法の各規定に従って行動すべきであることを強調する。関連手続きに従ってENISAの国際的関与を明確化する必要性を認め、特に理事会が関連活動について適時適切に通知されることを確保する。NATOやOSCEなどの組織を含む関連する国際的なサイバーセキュリティ協力枠組みへのENISAの関与を奨励する。
24. REITERATES that the EU and its Member States have frequently highlighted gaps in cybersecurity skills. RECALLS that the Commission and ENISA have introduced a broad and overarching framework to provide guidance to all stakeholders, such as the European Cybersecurity Skills Framework, the Communication on the Cybersecurity Skills Academy and the annually organised European Cyber Skills Conference and ENCOURAGES the Commission and ENISA to build on these initiatives with special regard to the ongoing discussion on the European Digital Infrastructure Consortium (EDIC). To this end, INVITES the Commission to liaise with Member States interested in setting up a EDIC. ACKNOWLEDGES that both ENISA and the ECCC are mandated to promote skills across the Union. INVITES ENISA to prioritise supporting Member States’ skills and education efforts, strengthening general public awareness and collaborate with the ECCC where appropriate. 
24. EUおよび加盟国がサイバーセキュリティ技能のギャップをたびたび強調してきたことを再確認する。欧州サイバーセキュリティスキル枠組み、サイバーセキュリティスキルアカデミーに関するコミュニケーション、毎年開催される欧州サイバースキル会議など、欧州委員会およびENISAがすべての利害関係者にガイダンスを提供する広範かつ包括的な枠組みを導入したことを想起し、欧州デジタルインフラストラクチャコンソーシアム(EDIC)に関する進行中の議論に特に留意しながら、これらのイニシアティブを基盤として構築するよう欧州委員会およびENISAに促す。この目的のため、欧州委員会に対し、EDICの設立に関心のある加盟国と連携するよう求める。ENISAおよびECCCの両機関が、欧州連合全体でのスキル向上を推進する権限を有していることを認める。ENISAに対し、加盟国のスキルおよび教育への取り組みを優先的に支援し、一般市民の意識向上を強化し、必要に応じてECCCと協力するよう求める。
25. ACKNOWLEDGES that ENISA has developed cooperation with the private sector in recent years. RECALLS that because the private sector continuously monitors the cyber threat landscape, the information gathered by the industry could help to improve common situational awareness. Therefore, ENCOURAGES ENISA, in close cooperation with the Member States and across EU entities to bolster cooperation with the private sector.  25. 欧州ネットワーク・情報セキュリティ庁(ENISA)が近年、民間部門との協力関係を構築してきたことを認識する。民間部門はサイバー脅威の状況を継続的に監視しているため、同業界が収集した情報は共通の状況認識の改善に役立つ可能性があることを想起する。したがって、加盟国およびEU事業体と緊密に協力し、民間部門との協力関係を強化するようENISAを奨励する。
26. CALLS ON the Commission and ENISA to consider ways to enhance the collaboration between ENISA and European standardisation bodies. STRESSES the need for ENISA to increase its expertise for European cybersecurity standardisation by following up and participating in standardisation activities, among other things.  26. 欧州委員会およびENISAに対し、ENISAと欧州標準化機関との協力関係を強化する方法を検討するよう求める。とりわけ、標準化活動のフォローアップと参加を通じて、欧州サイバーセキュリティ標準化に関する専門知識をENISAが向上させる必要性を強調する。
27. URGES the Commission and ENISA to examine how to further optimise the functioning of the EU cybersecurity framework, taking into account the recommendations and proposals made in these conclusions. Continuous cooperation, prioritisation of tasks and resources, as well as simplification of the complex cyber landscape will be key elements to cope with current and future challenges.  27. 欧州委員会およびENISAに対し、これらの結論でなされた提言および提案を考慮に入れ、EUサイバーセキュリティ枠組みの機能をさらに最適化する方法を検討するよう促す。継続的な協力、任務とリソースの優先順位付け、および複雑なサイバー環境の簡素化は、現在および将来の課題に対処するための重要な要素となる。

 


 

会議報告 - Transport, Telecommunications and Energy Council

Transport, Telecommunications and Energy Council (Telecommunications), 6 December 2024

ENISAに関連する部分...

Council conclusions on ENISA ENISAに関する理事会の結論
The Council approved conclusions on the EU’s cybersecurity agency (ENISA). Ministers acknowledged ENISA’s key role in the European cybersecurity ecosystem in the aftermath of recent legislative initiatives, such as the cyber resilience act (CRA) or the revised network and information systems (NIS 2) directive, which have entrusted the agency with additional tasks. Ministers also acknowledged ENISA’s support to member states when it comes to policy development and implementation. They called, however, for further improvements and action, notably regarding the development of European cybersecurity certification schemes, as well as the establishment of a single reporting platform. Ministers also underlined ENISA’s important contribution in enhancing common situational awareness, as well as in developing a common response to large-scale cyber incidents or crises. Finally, ministers highlighted the importance of the agency’s cooperation with other actors in the cyber ecosystem, but also with international organisations and partners and with the private sector. 理事会は、EUのサイバーセキュリティ機関(ENISA)に関する結論を承認した。閣僚らは、サイバーレジリエンス法(CRA)や改訂ネットワークと情報システム(NIS 2)指令など、最近の立法イニシアティブを受けて、欧州のサイバーセキュリティエコシステムにおけるENISAの重要な役割を認識した。また、閣僚らは、政策の策定と実施に関してENISAが加盟国を支援していることも認識した。しかし、とりわけ欧州サイバーセキュリティ認証スキームの開発や単一の報告プラットフォームの確立に関しては、さらなる改善と行動を求めた。また、閣僚らは共通の状況認識の強化や、大規模なサイバーインシデントや危機に対する共通の対応策の開発におけるENISAの重要な貢献を強調した。最後に、閣僚らは、ENISAがサイバーエコシステムにおける他の関係者、国際機関やパートナー、民間部門と協力することの重要性を強調した。

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

サイバーレジリエンス法の内容については...

・2024.11.25 欧州 サイバーレジリエンス法、官報に掲載 (2024.11.20)

 

NIS2指令の内容については...

・2023.01.19 欧州 NIS2 指令 条文 (2022.12.27)





| | Comments (0)

2024.12.10

英国 個人データ保護 政府機関等のデータ保護の遵守を促し、問題が生じたときにどう対応すべきかを検討するための試行の結果についての報告

こんにちは、丸山満彦です。

英国の個人データ保護機関であるICOが、2022年に開始した政府機関等の公共部門のデータ保護の遵守を促し、被害を未然に防ぎ、問題が生じたときにどう対応すべきかを検討するための試行についての報告を公表していますね...

違反が生じた場合の罰則については

  • 罰金 (fine)
  • 警告 (warnings)
  • 懲戒 (reprimands)
  • 執行通知 (enforcement notices)

という手段がとれるようですね。民間企業だと罰金により株主利益が減ることが、経営者(執行者)にとって望ましくないことなので、罰金は違反に対する抑止効果として働くことになりますが、利益を追求していない政府機関等であれば、罰金は民間企業ほど抑止効果として高くないことになりますね。

とはいえ、国防省北アイルランド警察には罰金を科したようです(民間に比べるとはるかに低額ですが...)

ちなみに執行については、こちらのウェブページにまとめられています(労働党選挙管理委員会も含めて幅広く公表されています。。。)...

U.K. Inofrmation Commissioner's Office; ICO - Enforcement action

ということで、Warnings、Reprimands、Enforcement noteicesなどの手段がとられることになると思うのですが、どの程度の罰則を与えるべきかというのは、執行の公平性等を考えると難しい問題なのかもしれません...

日本の個人情報保護委員会に比べると違反の時にとれる選択肢が広いので、適切な対応により、より効果的な執行に繋げることができそうですね...

日本の制度とは異なるので、限定されるかもしれませんが、参考になる部分はあるでしょうね。また、これから日本の個人情報保護委員会も公共部門に対する監督を強化する必要もありそうですからね(3年の見直しをしていますが、次の課題としてAI等による自動決定という問題がありますからね... それは民間よりも政府機関、特に捜査権限をもっている機関に対して重要となってきますからね...)

 

U.K. Inofrmation Commissioner's Office; ICO

・2024.12.09 Statement on the public sector approach

Statement on the pubulic sector approach 公共部門のアプローチに関する声明
John Edwards, UK Information Commissioner, on the public sector approach: 英国情報コミッショナー、ジョン・エドワーズが公共部門のアプローチについて語った:
Two years ago, I set out my vision of working more effectively with public authorities across the UK so they could better protect people’s information, while transforming public services and improving outcomes for their communities. 2年前、私は、公共サービスを変革し、地域社会の成果を改善する一方で、人々の情報をよりよく保護できるよう、英国全土の公共機関とより効果的に協力するというビジョンを示した。
I introduced a two-year trial of an approach where we would work proactively with senior leaders across the public sector to encourage data protection compliance, prevent harms before they occur and learn lessons when things have gone wrong. I wanted my office to be part of the conversations early on, instead of being on the outside looking in. 私は、公共部門全体のシニア・リーダーと積極的に協力し、データ保護の遵守を促し、被害が発生する前に予防し、問題が発生した場合には教訓を学ぶというアプローチを2年間試行することを提案した。私は、私のオフィスが外から見ているのではなく、早い段階から話し合いに加わることを望んだ。
The trial would also see a greater use of my discretion when it came to fines. In practice, that meant we would increase the use of my wider powers, including warnings, reprimands and enforcement notices, with fines only issued when necessary. That’s so victims of a data breach are not being punished twice in the form of reduced budgets for vital public services. この裁判では、罰金に関しても私の裁量がより大きく行使されることになる。実際には、警告、譴責、執行通告など、私の幅広い権限の行使を増やし、罰金は必要な場合にのみ科すということだ。データ漏洩の被害者が、重要な公共サービスの予算削減という形で二重に罰せられることがないようにするためだ。
As the trial progressed, I have been conscious of the diversity of opinion on the approach and its impact. That’s why it was important that we reviewed the trial to gain insight into the outcomes and learn from it before deciding on next steps. 裁判が進むにつれて、私はこのアプローチとその影響に関する意見の多様性を意識してきた。だからこそ、次のステップを決める前に、試験結果を検証し、そこから学ぶことが重要だったのだ。
Impact of the public sector approach 公共部門のアプローチの影響
Published today, the review of the two-year trial shows the public sector approach has had an impact, with some notable achievements, areas with more to do, unexpected challenges and unintended consequences. 本日発表された2年間のトライアルのレビューによれば、公的セクターのアプローチは、いくつかの顕著な成果、さらにやるべきこと、予期せぬ課題、意図せざる結果とともに、影響を及ぼした。
There is clear evidence from the review of how regulation happens across a spectrum, backed up by policy theory but also different approaches taken by international data protection authorities. Rather than being one definitive action, regulation is a series of activities such as guidance, engagement, public campaigning and enforcement, which can work together to drive change. Fines have their place, but so do other ways of regulating. Different incentives and disincentives work in different ways in different sectors of the economy. レビューからは、政策理論に裏打ちされた、また国際的なデータ保護当局によって取られた様々なアプローチによって、規制がどのように行われたかという明確な証拠が得られた。規制は一つの決定的な行動であるよりも、ガイダンス、エンゲージメント、パブリックキャンペーン、エンフォースメントといった一連の活動であり、それらが連携して変化を促すことができる。制裁金にはそれなりの意味があるが、他の規制方法もある。インセンティブとディスインセンティブは、経済セクターによって異なる働きをする。
During the trial period we decided to start publishing reprimands on our website, with around 60 reprimands issued to public bodies. We've seen significant changes made by organisations following a reprimand. From a local council updating its procedures to prevent inappropriate disclosure of children’s information and an NHS Trust stopping sending bulk emails with sensitive information; to an advisory body improving its security measures to prevent unlawful access and a hospital implementing a decommissioning policy so personal details wouldn’t be lost when filing systems were terminated. 試行期間中、私たちはウェブサイト上で譴責処分の公表を開始することを決定し、公共団体に約60件の譴責処分を下した。譴責処分を受けた組織は大きな変化を遂げた。児童情報の不適切な開示を防止するために手続きを更新した地方議会や、機密情報を記載した大量の電子メールの送信を停止したNHSトラストから、不正アクセスを防止するためにセキュリティ対策を改善した諮問機関や、ファイリングシステムの廃止時に個人情報が失われないように廃止ポリシーを導入した病院まで、様々な組織がある。
Feedback from the review said that public authorities saw the publication of reprimands as effective deterrents, mainly due to reputational damage and potential impact on public trust, and how they can be used to capture the attention of senior leaders. Central government departments cited increased engagement and positive changes on the back of reprimands, particularly with our regular interaction with the government’s Chief Operation Officers Network. But wider public sector organisations displayed limited awareness, which means we must do more to share best practice and lessons learned. レビューからのフィードバックによると、公的機関は譴責処分の公表を効果的な抑止力として捉えており、その主な理由は風評被害と社会的信頼への潜在的影響、そして上級指導者の注目を集めるために譴責処分の公表を利用できることであった。政府の中央省庁は、譴責処分をきっかけに、特に政府の最高業務責任者ネットワーク(Chief Operation Officers Network)との定期的な交流により、関与が増え、前向きな変化が見られたと述べている。しかし、公共部門のより広範な組織においては、その意識は限定的であり、ベストプラクティスや教訓を共有するためにもっと努力しなければならない。
While reprimands had an impact, we also used our other regulatory tools when needed, such as issuing an enforcement notice to the Home Office and fining the Ministry of Defence and Police Service of Northern Ireland for breaking data protection law. If the public sector approach had not been applied, the fines could have reached £23.2m, instead of £1.2m. The review showed that central government and wider public sector echoed the sentiment around the impact of fines on frontline services, and how it disproportionately affects the budget of smaller organisations and devolved administrations. 譴責処分は影響を与えたが、我々は必要に応じて他の規制手段も用いた。例えば、データ保護法違反で内務省に執行通知を出したり、国防省と北アイルランド警察に罰金を科したりした。公共部門のアプローチが適用されていなければ、罰金は120万ポンドではなく、2320万ポンドに達していた可能性がある。レビューによると、中央政府と公共部門は、罰金が最前線のサービスに与える影響や、それが小規模組織や分権行政機関の予算に不釣り合いな影響を与えることについて、同じ意見を持っていた。
The review also highlighted potential areas for improvement, specifically how we should make clearer which organisations fall within the scope of the public sector approach and what type of infringements could lead to a fine. It also showed there is more work to be done to reach wider public sector organisations and deliver targeted interventions. また、改善すべき点として、どのような組織が公共部門アプローチの適用範囲に含まれるのか、またどのような違反が罰金につながるのかをより明確にする必要があることも指摘された。また、より広範な公共部門組織に働きかけ、的を絞った介入を実施するためには、もっとやるべきことがあることも示された。
You can read the full review report here. レビュー報告書の全文はこちらで読むことができる。
Next steps 次のステップへ
Reflecting on the past two years and based on the evidence from the review, I have decided to continue with the public sector approach. But I also have listened to the feedback and will provide greater clarity on its parameters. この2年間を振り返り、レビューから得られた証拠に基づき、私は公共部門のアプローチを継続することを決定した。しかし、フィードバックに耳を傾け、そのパラメーターをより明確にするつもりだ。
That’s why I’m launching a consultation on the scope of the approach and the factors and circumstances that would make it appropriate to issue a fine to a public authority. You can read more about it and respond to our consultation on our website by 31 January 2025. We will use the input received to inform and finalise our approach. そのため、私はこのアプローチの範囲と、公的機関に罰金を科すことが適切となる要因や状況について協議を開始する。2025年1月31日までに、当協議についての詳細をお読みいただき、当協議にご回答いただきたい。私たちは、寄せられた意見をもとに、私たちのアプローチに情報を提供し、最終決定する。
I’m also committed to improve our engagement beyond central government and to ensure that senior leaders are taking accountability for their role in achieving greater data protection compliance. I expect to see more investment of time and resources in protecting people’s information, and I have been assured by the Permanent Secretary of DSIT, on behalf of Whitehall leaders, that they are committed to continuing our engagement on the approach. また、中央政府以外とのエンゲージメントを改善し、上級指導者がデータ保護コンプライアンス強化のために果たすべき役割について説明責任を果たすよう尽力する所存である。私は、人々の情報を保護するために、より多くの時間と資源が投資されることを期待しており、ホワイトホールのリーダーを代表して、DSITの事務次官から、彼らがこのアプローチに関する私たちの関与を継続することを確約していると聞いている。
As we have done with the trial, we will keep the public sector approach under review, and I will reconsider it if necessary. 今回の試験と同様、公共部門のアプローチについても検討し、必要であれば再考するつもりである。

 

 

Post-implementation review: Public sector approach trial – September 2024

Post-implementation review: Public sector approach trial – September 2024 実施後のレビュー パブリック・セクター・アプローチの試行 - 2024年9月
The ICO announced a two-year trial of a revised approach to working with and regulating public organisations in June 2022, which we call the ‘Public Sector Approach’ (PSA). To assist in understanding both impact and learning from the trial, a monitoring and review plan was established that included a post-implementation review. ICOは2022年6月、公的組織との協働と規制のための改訂アプローチを2年間試行すると発表した。試行からの影響と学習の両方を理解するために、実施後のレビューを含む監視・レビュー計画が策定された。
The purpose of the post-implementation review report is to present robust evidence on impact and learning from the trial to inform the ICO’s future decisions on regulating public organisations. The overall approach to the review has been theory based and employed mixed methods. This resulted in a broad evidence base to underpin the review’s findings, but one that also presented some challenges which should be kept in mind when considering the findings. 実施後のレビュー報告書の目的は、公的組織の規制に関するICOの将来の決定に情報を提供するために、試験からの影響と学習に関する確実な証拠を提示することである。レビューの全体的なアプローチは理論に基づいており、混合法を採用している。その結果、レビューの発見を裏付ける広範な証拠ベースが得られたが、発見を検討する際に留意すべき課題も提示された。
The evidence presented in the review shows that the PSA was an ambitious and challenging trial to deliver over two years with a limited lead-in time. The trial's outcome wasn't a straightforward success or failure. Instead, it was mixed with notable achievements, areas with more to do, unexpected challenges, and unintended consequences. レビューで示された証拠から、PSAは野心的で困難な試験であり、2年間という限られた準備期間で実施されたことがわかる。試験の結果は、単純な成功でも失敗でもなかった。それどころか、注目すべき成果や、もっとやるべきことがある分野、予期せぬ課題、意図しない結果などが混在していた。

 

 

科学技術革新省 (Department for Science, Innovation and Technology; DTSI) の事務次官のコメント

「ICOのこの試行について感謝をし、今後の勧告(recommendations)を楽しみにしています!」だそうです。そして、それをしれーっとウェブサイトに載せるICO (^^)

ロンドンも京都に似たところがあるからなぁ...深読みしすぎか (^^;;

(科学技術革新省 事務次官)

I look forward to the outcome of the consultations and any future recommendations made by the Commissioner. I would lastly like to thank the ICO for their continued support and pragmatic approach to enforcing the UK’s data protection legislation in respect of public sector organisations. コミッショナーはん、いろいろとアドバイスいただいたみたいやね。これからもいろいろと勧告を出してくれはるみたいやし、楽しみにしときますわ。公共部門組織に対する私らのデータ保護法の施行に対する、おたくのいつもの支援と確認に感謝やわ。おおきに。

(ICO)

あら、科学技術革新省の事務次官はんから、えらいお褒めのお言葉もらったわ。せっかくやし、ウェブにでものせとこかしらね。。。

 

さて、

・2024.12.09 Statement on the public sector approach from the Permanent Secretary of DSIT

Statement on the public sector approach from the Permanent Secretary of DSIT 科学技術革新省(DSIT)事務次官の公共部門アプローチに関する声明
Statement on the ICO public sector approach from the Permanent Secretary of the Department for Science, Innovation and Technology (DSIT) on behalf of Whitehall leaders: ホワイトホールのリーダーを代表して、科学技術革新省(DSIT)の事務次官がICOの公共部門アプローチに関する声明を発表した:
The Information Commissioner has set out the outcome of his two-year trial of a new approach to regulating public sector organisations. His review notes the positive impact this has had in protecting personal data and highlighting some key challenges going forward. Considering the evidence, he has decided to continue with the public sector approach and keep it under review for the foreseeable future. 情報コミッショナーは、公共部門組織を規制するための新しいアプローチを2年間試行した結果を発表した。彼のレビューでは、これが個人データの保護にプラスの効果をもたらしたことを指摘し、今後のいくつかの重要な課題を浮き彫りにしている。エビデンスを考慮し、彼は公共部門のアプローチを継続し、当分の間見直すことを決定した。
I welcome the results of the trial and its findings and the positive conclusions it provides. These highlight how the ICO’s regulatory activities can deter bad practice, whilst at the same time support the government in its ambitions to transform public service and drive positive outcomes for communities. 私は、この裁判の結果とその所見、そして前向きな結論を歓迎する。これらは、ICOの規制活動がいかに悪しき慣行を抑止し、同時に公共サービスを変革し、地域社会にとってプラスとなる成果を推進するという政府の野望を支援できるかを浮き彫りにするものである。
As the ICO’s sponsoring department within Government and on behalf of Whitehall leaders, DSIT would like to state its continued support to increase awareness of best practice and promote compliance across government departments. We will continue to engage with the ICO at a senior level in support of this initiative. 政府におけるICOのスポンサー部門として、またホワイトホールのリーダーを代表して、DSITは、ベストプラクティスに対する認識を高め、政府部門全体のコンプライアンスを促進するために、引き続き支援することを表明したい。我々は、このイニシアチブを支援するため、引き続きICOと上級レベルで関わっていく。
I look forward to the outcome of the consultations and any future recommendations made by the Commissioner. I would lastly like to thank the ICO for their continued support and pragmatic approach to enforcing the UK’s data protection legislation in respect of public sector organisations. 協議の結果と、コミッショナーによる今後の勧告を楽しみにしている。最後に、公共部門組織に関する英国のデータ保護法の施行に対するICOの継続的な支援と実際的なアプローチに感謝したい。

 

 

報告書はこちら...

 

・[PDF] PSA Post-Implementation Review Report

本文...

20241210-52754

 

目次...

Executive summary エグゼクティブサマリー
1. Introduction 1. 序文
1.1. Background 1.1. 背景
1.2. Review of the trial approach 1.2. 試行アプローチのレビュー
1.3. Purpose and structure of this report 1.3. 本報告書の目的と構成
2. Review methodology and evidence 2. レビュー方法と証拠
2.1. Research methods and evidence base 2.1. 調査方法と根拠
2.2. Challenges with measuring the impact of the PSA 2.2. PSAの影響測定の課題
3. Theory and policy context 3. 理論と政策背景
3.1. Theoretical context for the PSA 3.1. PSAの理論的背景
3.2. UK policy context alignment 3.2. 英国の政策的背景
3.3. Trends in DP complaints and personal data breach reports 3.3. DP苦情と個人データ漏えい報告の傾向
3.4. International perspective to regulating the public sector 3.4. 公共部門を規制する国際的視点
4. Putting the PSA into practice - process learning 4. PSAの実践-プロセス学習
4.1. Implementation of the PSA 4.1. PSAの実施
4.2. How the PSA was delivered and received externally 4.2. PSAの実施と外部からの評価
5. Upstream regulatory activities in focus 5. 上流の規制活動に焦点を当てる
5.1. Upstream in context 5.1. 上流の状況
5.2. Enabling lessons learned via the publication of reprimands 5.2. 譴責処分の公表を通じて教訓を得られるようにする
5.3. Enhanced upstream engagement activities 5.3. 上流部門でのエンゲージメント活動の強化
6. Downstream regulatory activities in focus 6. 下流の規制活動に焦点を当てる
6.1. Downstream in context 6.1. 下流の状況
6.2. Enforcement activity during the trial period 6.2. 試行期間中の取締り活動
6.3. Views on the use of monetary penalties in the public sector 6.3. 公的部門における金銭的罰則の使用に関する見解
6.4. Other impacts from limiting the use of fines 6.4. 罰金の使用制限によるその他の影響
7. Exploring the impact of the PSA 7. PSAの影響を探る
7.1. Levels of data protection knowledge and awareness 7.1. データ保護に関する知識と意識のレベル
7.2. Changes to data protection processes and procedures 7.2. データ保護プロセスと手順の変更
7.3. Impact on the status of data protection within the public sector 7.3. 公共部門におけるデータ保護の地位への影響
7.4. Perceptions of the ICO 7.4. ICOに対する認識
7.5. Impact constraints 7.5. 影響の制約
8. Review conclusion and learnings 8. 結論と学びの振り返り
8.1. Conclusion 8.1. 結論
8.2. Learning points for consideration 8.2. 考慮すべき学習ポイント

 

エグゼクティブサマリー...

Executive summary  エグゼクティブサマリー 
Purpose of the review and approach   見直しの目的とアプローチ  
The ICO announced a two-year trial of a revised approach to working with and regulating public organisations in June 2022, which in this report we call the ‘Public Sector Approach’ (PSA). Its objective was to work more effectively with these organisations to raise data protection standards and ultimately lead to better outcomes for UK citizens. The PSA saw the use of the Commissioner’s discretion to reduce the impact of fines on the public sector, coupled with increased engagement, including publicising lessons learned and sharing good practice. To assist in understanding both impact and learning from the trial, a monitoring and review plan was established.   ICOは2022年6月、公的組織との協働および公的組織に対する規制のアプローチを改訂する2年間の試行を発表したが、本報告書ではこれを「パブリック・セクター・アプローチ」(PSA)と呼ぶ。その目的は、これらの組織とより効果的に連携してデータ保護の標準を高め、最終的に英国市民にとってより良い結果をもたらすことであった。PSAでは、公共部門に対する罰金の影響を軽減するためにコミッショナーの裁量を活用し、教訓の公表やグッドプラクティスの共有を含む関与の強化が行われた。試行からの影響と教訓を理解するために、モニタリングとレビューの計画が策定された。 
The purpose of this post-implementation review report is to present robust evidence on impact and learning from the trial to inform the ICO’s future decisions on regulating public organisations. The ICO’s Economic Analysis directorate conducted the review. Although it was done internally, the team was not directly involved in the trial's development or implementation, ensuring objectivity. The overall approach to the review has been theory based and employed mixed methods. This resulted in a broad evidence base to underpin the review’s findings, but one that also presented some challenges which should be kept in mind when considering the findings.    この実施後のレビュー報告書の目的は、公的組織の規制に関するICOの将来の決定に情報を提供するために、試験からの影響と学習に関する確実な証拠を提示することである。ICOの経済分析部門がレビューを実施した。内部で行われたとはいえ、チームはトライアルの開発や実施に直接関与しておらず、客観性を確保している。レビューの全体的なアプローチは理論に基づき、混合法を採用した。その結果、レビュー結果を支える広範な証拠ベースが得られたが、調査結果を検討する際に留意すべき課題も提示された。  
The PSA is well aligned with theory, the UK policy context and international approaches; whilst trends in complaints and breach report data have limitations   PSAは理論、英国の政策状況、国際的なアプローチとよく整合しているが、一方で苦情や違反報告データの傾向には限界がある。 
The PSA is supported by alignment with the theoretical and policy context. The literature finds that fines are an effective regulatory deterrent but have limitations and are not the only tool for promoting compliance. Both monetary and non-monetary incentives play roles, especially in the public sector where motivations differ from the private sector.   PSAは、理論や政策的背景との整合性によって裏付けられている。文献によれば、罰金は効果的な規制抑止力であるが、限界があり、コンプライアンスを促進する唯一の手段ではない。金銭的インセンティブと非金銭的インセンティブの両方が、特に民間部門とは動機が異なる公共部門において、その役割を果たす。 
The PSA is aligned with UK government goals by promoting best practice for safe data sharing and reducing barriers to data-driven growth. Engaging with public sector organisations helps address perceived data protection barriers and ensures early involvement of the ICO, making data protection laws more enabling.  PSAは、安全なデータ共有のためのベストプラクティスを推進し、データ主導の成長への障壁を軽減することで、英国政府の目標と一致している。公共部門と協力することで、データ保護の障壁を認識し、ICOの早期関与が保証され、データ保護法がより有効になる。
Internationally, Data Protection Authorities (DPAs) follow a range of approaches to fining public sector organisations. Practice varies amongst European Economic Area (EEA) countries, with over a third imposing no fines, a third imposing reduced fines, and less than a third having no specific rules and applying the same approach to all. Outside of EAA, in other countries, DPAs follow a wide range of approaches on how they impose fines on the public sector, influenced by different legal frameworks and data protection regulations.  国際的には、データ保護認可局(DPA)は公共部門組織への罰金について様々なアプローチに従っている。欧州経済領域(EEA)諸国では、3分の1以上が制裁金なし、3分の1が制裁金減額、3分の1以下が特定の規則を設けず、すべてに同じアプローチを適用している。EAA以外の国々では、DPAが公的部門に制裁金を科す方法は、異なる法的枠組みやデータ保護規制の影響を受け、幅広いアプローチに従っている。
Further context for the PSA is provided by ICO data on complaints and personal data breach reports, although for a number of reasons there wasn’t an expectation of being able to attribute any trends in these data to the PSA. This proved to be the case.  PSAのさらなる背景として、苦情や個人データ漏えい報告に関するICOのデータがプロバイダに提供されているが、さまざまな理由から、これらのデータの傾向をPSAに反映させることは期待されていなかった。しかし、これは事実であった。
Reflecting on putting the PSA into practice highlighted novel actions and areas for improvement  PSAの実践を振り返ると、斬新な行動と改善点が浮き彫りになった。
Within the ICO, the implementation of the PSA received mixed feedback across different staff levels. Some saw challenges due to a lack of guidance and clear definitions, while others appreciated its flexibility which empowered staff to make decisions based on principles. It was felt that limited engagement with staff prior to introducing the PSA contributed towards misunderstandings early on, and a short lead-in time limited opportunities to consider potential issues and mitigations prior to implementation.  ICOでは、PSAの実施について、さまざまなレベルのスタッフからさまざまな意見が寄せられた。ガイダンスや明確な定義の欠如による課題を指摘する声もあれば、原則に基づいてスタッフが意思決定できる柔軟性を評価する声もあった。PSA導入前のスタッフとの関わりが限定的であったことが、初期段階での誤解の一因となり、導入までのリードタイムが短かったために、導入前に潜在的な問題や緩和策を検討する機会が限られてしまったと感じられた。
External awareness and understanding of the PSA has varied. Central government engagement took longer than anticipated to set up, but once established it drove greater awareness than in the wider public sector. During the trial period, external coverage was mostly neutral to positive. Some external commentators were critical of the PSA. However, critics of the PSA were divided: some found it too lax, while others believed it should have been applied to the private sector too.  PSAに対する外部からの認識と理解にはばらつきがあった。中央政府の関与は、設定に予想以上の時間を要したが、設定後は、より広い公共部門よりも高い認知度を推進した。試行期間中、外部からの報道はほとんど中立か肯定的であった。一部の外部コメンテーターはPSAに批判的であった。しかし、PSAに対する批判は賛否両論であった。PSAは甘すぎるとする意見もあれば、民間部門にも適用すべきだったとする意見もあった。
The PSA was perceived as innovative, and it was viewed as positive that the ICO was prepared to trial a different approach so openly. Equally, the approach to monitoring and reporting on the PSA from the outset was noted as novel from an ICO perspective.    PSAは革新的と受け止められ、ICOが異なるアプローチを公然と試行する用意があったことは肯定的に受け止められた。同様に、当初からPSAをモニタリングし、報告するというアプローチは、ICOの観点からは斬新であると指摘された。  
Upstream activities have driven change, though this was limited to central government  上流の活動が変化を促したが、これは中央政府に限られていた。
Awareness of published reprimands and the PSA varied significantly across the public sector, with central government data protection officers (DPOs) being the most aware due to targeted ICO engagement. However, accessibility and presentation of reprimands were seen as areas needing improvement.  公表された譴責処分とPSAのガバナンスは公共部門によって大きく異なり、中央政府のデータ保護責任者(DPO)はICOの標的を絞ったエンゲージメントにより最もよく認知されていた。しかし、譴責処分へのアクセスしやすさ、譴責処分の提示方法については改善が必要であると考えられている。
Published reprimands were seen as effective deterrents, mainly due to reputational damage, and helped DPOs capture senior leaders' attention. Reprimands were generally viewed as useful for raising data protection standards by sharing best practices and lessons learned, with central government departments citing positive changes and wider effects. However, awareness of reprimands was limited in the broader public sector.  公表された譴責処分は、主に風評被害による効果的な抑止力であると考えられており、DPOが上級幹部の注意を引くのに役立った。譴責は、ベストプラクティスや教訓を共有することでデータ保護の標準を高めるのに役立つと一般に見なされており、中央政府の部局は前向きな変化とより広範な効果を挙げている。しかし、より広範な公共部門では、譴責に対する認識は限定的であった。
The ICO's increased engagement during the trial was acknowledged. Published reprimands were seen as a useful regulatory tool for raising standards of data protection, through sharing best practice and lessons learned. Central government departments provided examples of this learning, driving change and having wider ripple effects. However, driving change relies on organisations’ awareness of published reprimands which remained limited across the wider public sector.  ICOが試験期間中に関与を強めたことは評価された。公表された譴責処分は、ベストプラクティスや学んだ教訓を共有することで、データ保護の標準を高めるための有用な規制手段であると考えられている。中央政府の省庁は、このような学習が変化を促し、より広範な波及効果をもたらしている例を示した。しかし、変革の推進は、公表された譴責処分に対する組織の認識にかかっており、公共部門全体では依然として限定的であった。
In terms of impact, around a third of respondents thought that increased engagement had improved data protection compliance, although the same proportion felt there had been no improvement. There was also evidence that upstream activities had raised the profile of data protection amongst senior leaders in central government, particularly the interaction with the Chief Operating Officers (COO) network. However, a recurring theme was that data protection is one of many competing priorities for senior leaders, making it challenging to get traction.  影響という点では、回答者の約3分の1が関与の増加によってデータ保護コンプライアンスが改善されたと考えているが、同じ割合の回答者は改善されていないと感じている。また、特に最高執行責任者(COO)ネットワークとの交流など、上流の活動によって中央政府の上級指導者の間でデータ保護の認知度が高まったという証拠もあった。しかし、繰り返されるテーマは、データ防御はシニアリーダーにとって競合する多くの優先事項の一つであり、牽引力を得るのは困難であるということであった。
Reduced impact of fines coupled with a notable increase in reprimands, but more to do  罰金の影響は減少し、譴責処分は顕著に増加したが、やるべきことはまだある 
During the trial period, approximately 77 reprimands were issued, with 80% targeting the public sector. This marked a significant shift in the ICO’s enforcement activity, with a 54% increase in reprimands compared to the previous two-year period. However, the use of other powers like Enforcement Notices and warnings has been limited to date.  試行期間中、約77件の譴責処分が下され、その80%が公共部門を対象としていた。これはICOのエンフォースメント活動に大きな変化をもたらし、譴責処分は2年前と比べて54%増加した。しかし、執行通知や警告といった他の権限の使用はこれまで限定的であった。
Four monetary penalty notices with fines totalling £1.2 million were issued to public organisations during the trial. Without the PSA and the associated increased use of reprimands, fines could have reached £23.2 million, indicating an estimated £22 million difference due to the PSA. There was widespread agreement in the public sector that fines reduce budgets for public services, leading to support for a different regulatory approach, especially among central government DPOs. The wider public sector echoed this sentiment, noting the direct impact of fines on frontline services and disproportionate effects on smaller organisations and devolved administrations’ budgets.  試験期間中、公的機関に対し、罰金総額120万ポンドの金銭処罰通知が4通出された。PSAとそれに伴う譴責処分の増加がなければ、罰金額は2,320万ポンドに達していた可能性があり、PSAによる差は2,200万ポンドと推定される。罰金によって公共サービスの予算が削減されるという点で、特に中央政府のDPOの間で、異なる規制アプローチを支持する意見が政府内で広まった。公共部門全体もこの意見に賛同し、罰金が最前線のサービスに直接的な影響を与えること、小規模組織や分権行政機関の予算に不釣り合いな影響を与えることを指摘した。
However, feedback from some organisations in the wider public sector, including local authorities, was more negative about impact of the PSA. Several DPOs noted that it had made it more challenging to make the case for resources or maintain an interest in compliance with a more limited threat of fines.  しかし、地方自治体を含む公共部門の一部の組織からは、PSAの影響に否定的な意見もあった。いくつかのDPOは、罰金の脅威がより限定的になったことで、リソースの確保やコンプライアンスへの関心を維持することがより困難になったと指摘している。
Published reprimands a catalyst for change for some, but lack of clarity sees de-prioritisation for others  譴責処分の公表が変化のきっかけとなる者もいれば、明確性の欠如から優先順位が下がる者もいる。
The impact of the PSA on knowledge and awareness was mixed, but overall sentiment was positive. Data protection professionals, who were the majority of those surveyed, rated their existing knowledge highly. Despite this, the PSA facilitated information and knowledge transfer, with nearly half of central government DPOs reporting new or improved processes due to the PSA. Published reprimands were often cited as catalysts for change, showing how upstream and downstream regulatory activities can synergise to drive improvements.  PSAが知識と意識に与えた影響はまちまちであったが、全体的には肯定的であった。調査対象者の大多数を占めるデータ保護の専門家は、既存の知識を高く評価している。このような状況にもかかわらず、PSAは情報や知識の移転を促進し、中央政府のDPOの半数近くが、PSAのおかげで新たなプロセスや改善されたプロセスを報告している。公表された譴責処分は、しばしば変化のきっかけとして挙げられ、上流と下流の規制活動がいかに相乗効果を発揮して改善を推進できるかを示している。
The impact of the PSA on the status of data protection varied between the wider public sector and central government, likely reflecting the central government focus of the targeted upstream activity. In the wider public sector, there were concerns about the reduced influence of data protection professionals due to a perceived low threat of ICO enforcement. Conversely, central government DPOs reported increased support from senior leadership and maintained or increased professional influence.  データ保護の状況に対する PSA の影響は、より広範な公共部門と中央政府との間で異なっており、これは上流の活動 の対象が中央政府に集中していることを反映していると思われる。より広範な公共部門では、ICOによる取締りの脅威が低いと認識されているため、データ保護の専門家の影響力が低下する懸念があった。ガバナンスとは逆に、中央政府のDPOは上級幹部からの支援が増加し、専門家としての影響力が維持または増加したと報告している。
The ICO’s reputation benefited from the PSA, being seen as more collaborative and proactive. However, some unintended effects in the wider public sector were highlighted resulting in the de-prioritisation of data protection issues in some instances. Some of these effects may have been exacerbated by a perceived lack of clarity at the outset of the PSA which led some parts of the public sector to believe that the ICO was no longer fining, or even regulating, public bodies. However, feedback received towards the end of the trial suggests this issue had been mitigated.  ICOの評判はPSAの恩恵を受け、より協力的で積極的と見なされるようになった。しかし、より広範な公共部門において、データ保護問題の優先順位が下がるという意図せざる影響も見受けられた。このような影響の一部は、公共部門の一部がICOはもはや公的団体に罰則を科すことも、規制することもないと考えるに至ったPSAの当初の明確性の欠如によって悪化した可能性がある。しかし、試験終了時に寄せられたフィードバックによると、この問題は緩和されたようだ。
Trial's outcome isn't a straightforward success or failure, instead, it involves multiple layers  トライアルの結果は、単純な成功や失敗ではなく、複数の層が関係している。
The evidence presented in this review shows that the PSA was an ambitious and challenging trial to deliver over two years with a limited lead-in time. The trial's outcome isn't a straightforward success or failure. Instead, it involves multiple layers: notable achievements, areas with more to do, unexpected challenges, and unintended consequences.  このレビューで提示された証拠から、PSAは、限られたリードタイムで2年間かけて実施された野心的で困難なトライアルであったことがわかる。試験の結果は、単純な成功とも失敗とも言えない。それどころか、特筆すべき成果、もっとやるべきことがある分野、予期せぬ課題、意図しない結果など、幾重にも重なっている。
Overall, the PSA has been impactful. It has driven changes that have increased data protection standards, albeit across a smaller population than anticipated. There is clear evidence of how upstream and downstream regulatory activities can work together to drive change. The PSA’s effect on the status of data protection varied, likely due to the central government focus of the targeted upstream activities.   全体として、PSAはインパクトがあった。予想より少ない人数ではあったが、データ保護標準を向上させる変化をもたらした。上流と下流の規制活動がどのように連携して変化を促すことができるかを示す明確な証拠がある。PSAがデータ保護の状況に及ぼした効果は様々であったが、これはおそらく対象となった上流の活動が中央政府を中心としたものであったためであろう。 
The PSA was intended ‘not to be a one-way street’, with expectations of greater involvement from the public sector, including senior leaders, with investment of time, money and resources in ‘ensuring data protection practices remain fit for the future’. While engagement within central government has notably increased, clear evidence of financial and resource investment is less apparent. This reciprocal expectation is less applicable in the wider public sector due to the lack of targeted engagement.  PSAは「一方通行ではない」ことを意図しており、「データ保護の慣行が将来に適合し続ける」ための時間、資金、リソースの投資とともに、シニアリーダーを含む公共部門からのより大きな関与が期待されていた。中央政府内の関与は顕著に増加しているが、財政的・資源的投資の明確な証拠はあまり見られない。このような相互的な期待は、対象を絞ったエンゲージメントが欠如しているため、より広範な公共部門ではあまり当てはまらない。

 

序文...

1. Introduction   1. 序文 
1.1. Background   1.1. 背景 
In June 2022 the ICO announced[1] and explained[2] a two-year trial of a revised approach to working with and regulating public organisations which in this report we call the ‘Public Sector Approach’ (PSA). The objective was to work more effectively with these organisations to raise data protection (DP) standards and ultimately lead to better outcomes for UK citizens. The PSA has seen use of the Commissioner’s discretion to reduce the impact of fines on the public sector, coupled with increased engagement, including publicising lessons learned and sharing good practice. In June 2024, the two-year trial concluded and the ICO announced[3] that it would review the learning from the trial before making a decision on its future public sector regulatory approach.  2022年6月、ICOは公的組織との協働と規制のあり方を見直す2年間の試行を発表[1]し、説明[2]した。その目的は、データ保護(DP)の標準を高め、最終的に英国市民にとってより良い結果をもたらすために、これらの組織とより効果的に協働することであった。PSAでは、公共部門に対する罰金の影響を軽減するためにコミッショナーの裁量を活用し、教訓の公表やグッドプラクティスの共有などのエンゲージメントを強化してきた。2024年6月、2年間の試行は終了し、ICOは試行から得られた教訓を検討した上で、今後の公共部門の規制手法を決定すると発表した[3]
1.2. Review of the trial approach   1.2. 試行アプローチのレビュー 
To assist in understanding both the impact and learning from the trial period, a monitoring and review plan was established in conjunction with the launch and implementation of the trial. The plan was underpinned by a theory of change approach and HM Treasury principles (as set out in the Green[4] and Magenta[5] Books) and in line with the ICO’s Ex-Post Impact Framework.[6]    試行期間からの影響と学習の両方を理解するために、試行の開始と実施に合わせてモニタリングとレビューの計画が策定された。この計画は、変化理論アプローチとHM Treasuryの原則(グリーンブック[4]およびマゼンタブック[5]に記載されている)に支えられ、ICOの事後影響フレームワーク[6]に沿ったものである。 
The overall purpose of the review is to gain insight into the outcomes and impacts of the trial and assess both the trial itself and the process through which it was delivered. The overall approach to the review has been theory based and employed mixed methods (see Section 2.1 for details of these methods). There were several challenges to measuring the impact of the PSA (see Section 2.2), which should be kept in mind when considering the evidence and findings presented.    レビューの全体的な目的は、トライアルの結果と影響を洞察し、トライアル自体とそれが実施されたプロセスの両方を評価することである。レビューの全体的なアプローチは理論に基づいており、混合法を採用している(これらの方法の詳細についてはセクション2.1を参照)。PSAの影響を測定するにはいくつかの課題があり(セクション2.2参照)、提示されたエビデンスと所見を検討する際には、この点に留意する必要がある。 
Key aspects of the monitoring and review plan included:   モニタリング・レビュー計画の主な内容は以下のとおりである: 
• A series of quarterly monitoring reports which set out the emerging evidence and sought to identify trends and points of note from a range of evidence activities.  - 四半期ごとのモニタリング報告書を作成し、新たなエビデンスを示すとともに、さまざまなエビデンス活動から傾向や留意点を明らかにした。
• This post-implementation review report, which brings together and analyses all of the (quantitative and qualitative) evidence streams with reference to the theory of change for the PSA, and presents key insights on impact and thematic learning from implementation of the trial period.  - この実施後レビュー報告書は、PSAの変化理論に基づき、すべての(量的・質的)エビデンスの流れをまとめ、分析したもので、試行期間の実施から得られた影響とテーマ別の学習に関する重要な洞察を示している。
The review has been undertaken by the ICO’s Economic Analysis directorate. Whilst it’s recognised that this is an internally delivered review, the team were not directly involved in the development or implementation of the trial itself, which helps provide objectivity.   このレビューはICOの経済分析部門が担当した。これは社内で実施されたレビューであるが、チームはトライアル自体の開発や実施に直接関与していないため、客観性を確保するのに役立っている。 
1.3. Purpose and structure of this report   1.3. 本報告書の目的と構成 
The purpose of this report is to present robust evidence on impact and learning from the trial to inform the ICO’s future decisions on regulating public organisations. It is structured as follows:  本報告書の目的は、公的組織の規制に関するICOの将来の決定に情報を提供するため、試験からの影響と学習に関する確固たる証拠を提示することである。本報告書の構成は以下の通りである: 
• Chapter 2 sets out the methodology and sources of evidence for the review;  - 第2章では、レビューの方法論とエビデンスの情報源について述べている; 
• Chapter 3 provides the theoretical and policy context, including international benchmarking;  - 第3章では、国際的なベンチマークを含む、理論的・政策的背景をプロバイダが説明する; 
• Chapter 4 explains the process learnings we have found;  - 第4章では、我々が発見したプロセス学習について説明している; 
• Chapter 5 describes upstream engagement activities and outcomes;  - 第5章では、上流のエンゲージメント活動とその成果について述べている; 
• Chapter 6 describes downstream regulatory activities and outcomes;  - 第6章では、下流の規制活動とその成果について述べている; 
• Chapter 7 explores the aggregate level impacts of the PSA; and  - 第7章では、PSAの総体レベルでの影響を探る。
• Chapter 8 provides the conclusion and learning points for consideration.   - 第8章は、結論と考察のための学習ポイントを提供する。 
The report is supported by a series of annexes in a separate document:  本報告書は、別冊の一連の附属書によってサポートされている: 
• A: review approach and methodology;  - A:レビューのアプローチと方法論 
• B: public sector complaints and data breach report trends;  - B:公共部門の苦情およびデータ侵害報告書の傾向; 
• C: evidence from international DPAs;  - C: 国際的なDPAのエビデンス、
• D: central government DPO survey; and  - D: 中央政府のDPO調査、E: ケーススタディ。
• E: case studies.   - E:ケーススタディ 
A note on terminology   用語に関する注記 
Throughout this report we use the term Public Sector Approach, or PSA, to refer to the ICO’s approach to data protection regulation for public organisations over the trial period June 2022 to June 2024.  本報告書では、2022 年 6 月から 2024 年 6 月までの試行期間中、公的組織に対するデータ保護規制に対する ICO のアプローチを指すために、PSA(Public Sector Approach)という用語を使用する。
Every effort has been made to ensure that the information contained in this report is correct at the time of writing.  本報告書に含まれる情報が執筆時点で正しいことを確認するためにあらゆる努力を払った。



[1] ICO (2022) Open letter from UK Information Commissioner John Edwards to public authorities. Available at: https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/06/open-letterfrom-uk-information-commissioner-john-edwards-to-public-authorities/ [Accessed: 18 September 2024].


[2] ICO (2022) ICO sets out revised approach to public sector enforcement. Available at:
https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/06/ico-sets-out-revisedapproach-to-public-sector-enforcement/ [Accessed: 18 September 2024]. 


[3] ICO (2024) ICO statement on its public sector approach trial. Available at: https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/06/ico-statement-on-itspublic-sector-approach-trial/ [Accessed: 18 September 2024].


[4] HM Treasury (2022) The Green Book. Available at: https://www.gov.uk/government/publications/the-green-book-appraisal-and-evaluation-in-centralgovernment/the-green-book-2020 [Accessed: 18 September 2024].


[5] HM Treasury (2020) The Magenta Book. Available at: https://www.gov.uk/government/publications/the-magenta-book [Accessed: 18 September 2024].


[6] ICO (2024) The ICO’s Ex-Post Impact Framework. Available at: https://ico.org.uk/about-theico/our-information/measuring-our-impact/ [Accessed: 18 September 2024].

 

 

| | Comments (0)

2024.12.09

欧州 ENISA 欧州連合におけるサイバーセキュリティの状況に関する報告書(2024)(2024.12.03)

こんにちは、丸山満彦です。

ENISAがNIS2指令第18条に基づく欧州連合(EU)におけるサイバーセキュリティの状況に関する初めての報告書を公表していますね...規制に基づくものなので、これから毎年公表されるということなのでしょうね...

 

ENISA

・2024.12.03 2024 Report on the State of the Cybersecurity in the Union

 

2024 Report on the State of the Cybersecurity in the Union 2024 欧州連合におけるサイバーセキュリティの状況に関する報告書
This document marks the first report on the state of cybersecurity in the Union, adopted by ENISA in cooperation with the NIS Cooperation Group and the European Commission, in accordance with Article 18 of the Directive (EU) 2022/2555 (hereinafter NIS2). 本書は、指令(EU)2022/2555(以下、NIS2)の第18条に基づき、ENISAがNIS協力グループおよび欧州委員会と協力して採択した、EUにおけるサイバーセキュリティの状況に関する初の報告書である。
The report aims at providing policy makers at EU level with an evidence-based overview of the state of play of the cybersecurity landscape and capabilities at the EU, national and societal levels, as well as with policy recommendations to address identified shortcomings and increase the level of cybersecurity across the Union. この報告書の目的は、EUレベルの政策立案者に対し、EU、国、社会レベルでのサイバーセキュリティの現状と能力に関する証拠に基づく概観を提供するとともに、明らかになった欠点に対処し、EU全体のサイバーセキュリティのレベルを向上させるための政策提言を提供することである。

 

・[PDF]

20241209-62511

 

目次...

TABLE OF CONTENTS 目次
 INTRODUCTION  序文 
1. CYBERSECURITY LANDSCAPE IN THE UNION 1. 連合におけるサイバーセキュリティの状況
1.1 LEGISLATIVE CONTEXT 1.1 法的背景
1.2 UNION-LEVEL RISK ASSESSMENT 1.2 EUレベルのリスクアセスメント
1.3 EU CYBERTHREAT LANDSCAPE 1.3 EUのサイバー脅威の状況
2. CYBERSECURITY CAPABILITIES AT THE UNION LEVEL 2. 連合レベルのサイバーセキュリティ能力
2.1 HIGH-LEVEL FINDINGS 2.1 ハイレベルの調査結果
2.2 NATIONAL CAPABILITIES: ALIGNMENT OF NATIONAL CYBERSECURITY STRATEGIES 2.2 各国の能力 国家サイバーセキュリティ戦略の整合性
2.3 PRIVATE SECTOR CAPABILITIES: CYBERSECURITY CAPABILITIES OF CRITICAL SECTORS 2.3 民間部門の能力 重要セクターのサイバーセキュリティ能力
2.4 SOCIETAL CAPABILITIES: CYBERSECURITY AWARENESS AND CYBER-HYGIENE OF EU CITIZENS 2.4 社会の能力 欧州市民のサイバーセキュリティ意識とサイバー衛生
3. INCREASING THE LEVEL OF CYBERSECURITY 3. サイバーセキュリティ水準の向上
3.1 POLICY IMPLEMENTATION 3.1 政策の実施
3.1.1 Implementing a comprehensive and complementary cybersecurity policy framework 3.1.1 包括的かつ補完的なサイバーセキュリティ政策の枠組みの導入
3.1.2 Identification and Supervision 3.1.2 識別と監督
3.1.3 Cybersecurity risk management measures 3.1.3 サイバーセキュリティリスクマネジメント対策
3.1.4 Information sharing and reporting obligations: institutional framework and practice 3.1.4 情報共有と報告義務:制度的枠組みと実践
3.2 CYBER CRISIS MANAGEMENT 3.2 サイバー危機管理
3.2.1 Situational awareness 3.2.1 状況認識
3.2.2 National CSIRTs 3.2.2 国家CSIRT
3.2.3 National capabilities: Cyber-exercises 3.2.3 国家能力 サイバー演習
3.3 CYBERSECURITY SKILLS 3.3 サイバーセキュリティスキル
3.4 SUPPLY CHAIN SECURITY 3.4 サプライチェーンのセキュリティ
3.4.1 Vulnerability handling and disclosure 3.4.1 脆弱性の取り扱いと開示
4. LOOKING AHEAD 4. 先を見通す
5. ANNEX 5. 附属書

 

エグゼクティブサマリー

EXECUTIVE SUMMARY エグゼクティブサマリー
This document marks the first report on the state of cybersecurity in the Union, adopted by ENISA in cooperation with the NIS Cooperation Group and the European Commission, in accordance with Article 18 of the Directive (EU) 2022/2555 (hereinafter NIS2). The report aims at providing policy makers at EU level with an evidence-based overview of the state of play of the cybersecurity landscape and capabilities at the EU, national and societal levels, as well as with policy recommendations to address identified shortcomings and increase the level of cybersecurity across the Union. 本書は、指令(EU)2022/2555(以下、NIS2)の第18条に基づき、ENISAがNIS協力グループおよび欧州委員会と協力して採択した、EUにおけるサイバーセキュリティの状況に関する初の報告書である。本報告書の目的は、EUレベルの政策立案者に対し、EU、国、社会レベルでのサイバーセキュリティの現状と能力に関するエビデンスに基づく概観を提供するとともに、明らかになった欠点に対処し、EU全体のサイバーセキュリティのレベルを向上させるための政策提言を提供することである。
The drafting of this report precedes the transposition date of NIS2. As a result, some of the data presented here may not fully reflect cybersecurity capabilities following the transposition deadline of 17 October 2024. Still, this report includes several data points unlikely to change in the short- and mid-term and serves as a snapshot of the state of cybersecurity in the Union just before NIS2 is fully implemented by EU Member States (MSs). 本報告書のドラフトは、NIS2の移管日に先立って行われた。そのため、ここに示したデータの一部は、2024年10月17日の移管期限後のサイバーセキュリティ能力を完全に反映していない可能性がある。それでも、本報告書には、短期的・中期的に変化する可能性の低いデータがいくつか含まれており、NIS2がEU加盟国(MS)によって完全に実施される直前の、EUにおけるサイバーセキュリティの状況を示すスナップショットとして役立つ。
The recent past has been characterised by horizontal policy initiatives including but not limited to NIS2, CRA, CSOA and EUDIF that improve the EU cybersecurity policy framework and establish all necessary structures and processes to allow for targeted improvements at the Union level of cybersecurity moving forward. Sectorial policy initiatives (e.g. DORA, NCCS, Aviation) were adopted in parallel to address specific sectorial challenges. At the same time the volatile geopolitical landscape has influenced the goals and tactics employed by state and non-state threat actors, while an assessment of the threat landscape reveals an increase in cybersecurity incidents in the EU with ransomware and DDoS attacks getting the lion’s share among the various types of attack observed. 最近では、NIS2、CRA、CSOA、EUDIFなどの水平的な政策イニシアチブがEUのサイバーセキュリティ政策の枠組みを改善し、サイバーセキュリティのEUレベルでの改善を可能にするために必要なすべての構造とプロセスを確立した。分野別の政策イニシアチブ(DORA、NCCS、航空など)は、特定の分野の課題に対処するために並行して採用された。同時に、不安定な地政学的情勢は、国家や非国家の脅威行為者が採用する目標や戦術に影響を及ぼしている。一方、脅威の状況をアセスメントした結果、EUにおけるサイバーセキュリティインシデントの増加が明らかになり、観測されたさまざまなタイプの攻撃の中で、ランサムウェアとDDoS攻撃が大きなシェアを占めている。
This report concludes that the maturity of the EU cybersecurity policy framework has reached a considerable level and that the following period could place emphasis on supporting private and public sector entities with the implementation of the legislation by EU MSs, with the support of the European Commission and ENISA. The plethora of mechanisms, processes and platforms for collaboration established within this framework, such as the NIS Cooperation Group, EU-CyCLONe and the CSIRTs Network to name but a few, provide a solid basis and a comprehensive toolbox to address the shortcomings identified in key policy areas, namely Policy Implementation, Cyber Crisis Management Skills and Supply Chains. 本報告書では、EUのサイバーセキュリティ政策の枠組みの成熟度はかなりのレベルに達しており、次の期間は、欧州委員会とENISAの支援を受けながら、EU加盟国による法律の実施と、民間および公共部門の事業体を支援することに重点を置くことができると結論づけている。NIS協力グループ、EU-CyCLONe、CSIRTsネットワークなど、この枠組みの中で確立された多くのメカニズム、プロセス、協力のためのプラットフォームは、主要な政策分野、すなわち、政策の実施、サイバー危機管理スキル、サプライチェーンにおいて特定された欠点に対処するための強固な基礎と包括的なツールボックスを提供している。
Specifically, this report recommends: 具体的には、本報告書は以下を提言する:
Strengthening the technical and financial support given to EUIBAs and national competent authorities and to entities falling within the scope of the NIS2 Directive to ensure a harmonised, comprehensive, timely and coherent implementation of the evolving EU cybersecurity policy framework using already existing structures at EU level such as the NIS Cooperation Group, CSIRTs Network and EU Agencies. NIS協力グループ、CSIRTsネットワーク、EU機関など、EUレベルですでに存在する組織を活用し、EUIBAs、各国所轄官庁、NIS2指令の適用範囲に含まれる事業体に対し、調和のとれた、包括的でタイムリーかつ首尾一貫した、発展途上のEUサイバーセキュリティ政策枠組みの実施を確保するための技術的・財政的支援を強化する。
As called upon by the Council, revising the EU Blueprint for coordinated response to large-scale cyber incidents, while taking into account all the latest EU cybersecurity policy developments. The revised EU Blueprint should further promote EU cybersecurity harmonisation and optimisation, as well as strengthen both national and EU cybersecurity capabilities for levelled up cybersecurity resilience at national and European level. EU理事会が要請したように、大規模サイバーセキュリティインシデントへの協調的対応のためのEUブループリントを、最新のEUサイバーセキュリティ政策の進展をすべて考慮しながら改訂する。改訂されたEUブループリントは、EUのサイバーセキュリティの調和と最適化をさらに推進するとともに、国内および欧州レベルでのサイバーセキュリティのレジリエンスをレベルアップするために、国内およびEUのサイバーセキュリティ能力を強化すべきである。
Strengthening the EU cyber workforce by implementing the Cybersecurity Skills Academy and in particular by establishing a common EU approach to cybersecurity training, identifying future skills needs, developing a coordinated EU approach to stakeholders’ involvement to address the skills gap and setting up a European attestation scheme for cybersecurity skills. サイバーセキュリティ技能アカデミーを実施し、特に、サイバーセキュリティ訓練に対するEU共通のアプローチを確立し、将来の技能ニーズを特定し、技能格差に対処するための利害関係者の関与に対するEUの協調的アプローチを開発し、サイバーセキュリティ技能に関する欧州の認証制度を設けることにより、EUのサイバー労働力を強化する。
Addressing supply chain security in the EU by stepping up EU wide coordinated risk assessments and the development of an EU horizontal policy framework for supply chain security aimed at addressing the cybersecurity challenges faced both by the public and the private sectors. EU全体で協調したリスクアセスメントを強化し、公共部門と民間部門の両方が直面するサイバーセキュリティの課題に対処することを目的とした、サプライチェーンセキュリティに関するEUの水平的政策枠組みを構築することにより、EUにおけるサプライチェーンセキュリティに対処する。
Enhancing the understanding of sectorial specificities and needs, improving the level of cybersecurity maturity of sectors covered by the NIS2 Directive and using the future Cybersecurity Emergency Mechanism to be established under the CSOA for sectorial preparedness and resilience with a focus on weak or sensitive sectors and risks identified through EU-wide risk assessments. セクターの特殊性とニーズの理解を改善し、NIS2指令の対象となるセクターのサイバーセキュリティ成熟度を向上させ、CSOAの下で設立される予定のサイバーセキュリティ緊急メカニズムを、EU全体のリスク評価を通じて特定された脆弱なセクターやセンシティブなセクター、リスクに焦点を当てて、セクターごとの準備とレジリエンスのために活用する。
Promote a unified approach by building on existing policy initiatives and by harmonising national efforts to achieve a common high-level of cybersecurity awareness and cyber hygiene among professionals and citizens, irrespective of demographic characteristics. 既存の政策イニシアチブを基礎とし、人口統計学的特徴に関係なく、専門家や市民の間で共通の高いレベルのサイバーセキュリティ意識とサイバー衛生を達成するための各国の取り組みを調和させることにより、統一的なアプローチを推進する。

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.11.25 欧州 ENISA NIS投資報告書 2024

・2023.11.18 ENISA EUにおけるサイバーセキュリティ投資 2023

・2022.11.25 ENISA EUにおけるサイバーセキュリティ投資 2022

・2021.11.26 ENISA NIS投資動向報告書2021 at 2021.11.17

 

・2024.09.26 ENISA 脅威状況2024

・2023.10.26 ENISA 脅威状況2023 - AIによる情報操作の台頭でEUの選挙がリスクにさらされる

 

 

・2024.03.18 ENISA テレコム・セキュリティ・インシデント 2022

・2023.12.09 ENISA トラストサービス・セキュリティインシデント 2022年 (2023.11.30)

 

・2023.09.20 ENISA 2030の脅威の展望 (2023.09.13)

・2023.09.04 ENISA 海底ケーブルのセキュリティ上の課題

・2023.07.10 ENISA 健康分野のサイバーセキュリティ状況 (2023.07.05)

 

| | Comments (0)

米国 CISA 継続的診断と緩和(CDM)プログラムアーキテクチャ CDMデータモデル文書 Ver. 5 (公開版) (2024.12.04)

こんにちは、丸山満彦です。

CISAが継続的診断と緩和(CDM)プログラムアーキテクチャ CDMデータモデル文書 Ver. 5 (公開版)を公表していました...

今回公開されているバージョンの変更履歴をみえていると2016年から取り組んでいますよね...米国連邦政府で8年間...

CDMって日本のデジタル庁で今どれくらい取り組んでいるのでしょうかね...

 

CISA

・2024.12.04 CDM Data Model Document 5.0.1

・[PDF] Continuous Diagnostics and Mitigation (CDM) Program Architecture CDM Data Model Document

20241209-02436

 

目次...

1  INTRODUCTION 1 序文
1.1  Purpose 1.1 目的
1.2  Scope 1.2 範囲
1.3  Audience 1.3 対象者
1.4  Context for the Model Derivation Process 1.4 モデル導出プロセスの文脈
2  CDM GUIDANCE IN INTERPRETING THE DATA MODEL 2 データモデルの解釈におけるCDMガイダンス
2.1  CDM Datasets 2.1 CDMデータセット
2.2  Relational Structure and Implications 2.2 関係構造とその意味合い
2.3  Specialization/Generalization 2.3 特殊化/一般化
2.4  Multivalued Attributes 2.4 多値属性
2.5  Master Device Record: Unique Identification of Hardware Devices 2.5 マスター・デバイス・レコード: ハードウェア・デバイスの一意な識別
2.6  Creating a Software Inventory: Unique Identification of Software 2.6 ソフトウェアインベントリの作成: ソフトウェアの一意識別
2.7  Managed Applications: Risk Accountability Based on HWAM and SWAM Datasets 2.7 管理されたアプリケーション HWAMおよびSWAMデータセットに基づくリスク説明責任
2.8  Master User Record: Unique Identification of People 2.8 マスターユーザーレコード: 人の一意な識別
2.9  Creating the Master Incident Record: Tying Incidents, Related Events, Actors, and Activities Together 2.9 マスターインシデントレコードを作成する: インシデント、関連イベント、アクター、アクティビティを結びつける
2.10 Organizational Unit Containers (Organizational Unit Boundaries) 2.10 組織単位のコンテナ(組織単位の境界)
2.11 FISMA System Containers (System Boundaries) 2.11 FISMAシステムコンテナ(システム境界)
2.12 CVE and CCE Dictionaries 2.12 CVE辞書とCCE辞書
2.13 CyHy “Findings” Datasets 2.13 CyHy「発見」データセット
2.14 Threat Intelligence Within CDM 2.14 CDM内の脅威インテリジェンス
2.15 CDM-Required Data 2.15 CDMが要求するデータ
3  DATA MODEL KEY TERMS 3 データモデルのキーワード
4  DATA DICTIONARY FOR THE LOGICAL DATA MODEL 4 論理データモデルのデータ辞書
APPENDIX A: REFERENCES 附属書A:参考文献
APPENDIX B: THREAT ACTION VALUES 附属書B:脅威アクション値
APPENDIX C: RELEASE NOTES FOR THIS VERSION 附属書C:本バージョンのリリースノート

 

 

序文...

INTRODUCTION 序文
Purpose 目的
The Cybersecurity and Infrastructure Security Agency (CISA) Continuous Diagnostics and Mitigation (CDM) program operates on the premise of a common architecture that relies on capabilities provided by commercialoff-the-shelf (COTS) tools and sensors. In keeping with that approach, the CDM program has identified a need to overlay similar data requirements on the solution to ensure that common program objectives are met and to provide proper clarity to integration needs. This document outlines fundamental data elements that the program expects each CDM solution deployed at agencies to incorporate.  サイバーセキュリティ・インフラセキュリティ庁(CISA)の継続的診断・緩和(CDM)プログラムは、市販 (COTS)ツールやセンサが提供する機能に依存する共通アーキテクチャを前提に運用されている。このアプローチに従って、CDM プログラムは、共通のプログラム目標が満たされることを保証し、統合ニーズを適切に明確にするために、同様のデータ要件をソリューションに重ねる必要性を特定した。この文書は、プログラムが各機関に展開されるCDMソリューションが取り入れることを期待する基本的なデータ要素の概要を示している。
It identifies the minimum set of data requirements needed to leverage the CDM solution to accomplish the program’s objectives: to reduce agency threat surface, increase visibility into the federal cybersecurity posture, improve federal cybersecurity response capabilities, and streamline Federal Information Security Modernization Act (FISMA) reporting.  CDM ソリューションを活用して、省庁の脅威サーフェスを削減し、連邦政府のサイバーセキュリティ態勢を可視化し、連邦政府のサイバーセキュリティ対応能力を向上させ、連邦情報セキュリティ近代化法(FISMA)報告を合理化するというプログラムの目的を達成するために必要な、データ要件の最小セットを特定している。
Additionally, this document delivers guidance regarding the data that CDM solutions at agencies must collect, with an explicit understanding that the system will be required to produce datasets from specific interrogations of the CDM data. It is expected that agencies and CDM integrators will enrich these datasets with other relevant Information Security Continuous Monitoring (ISCM) data that fulfill their agency-specific needs.  さらに、この文書は、CDM データに対する特定の質問からデータセットを生成することがシステムに要求されることを明確に理解した上で、各省庁の CDM ソリューションが収集しなければならないデータに関するガイダンスを提供する。各機関とCDMインテグレーターは、これらのデータセットを、各機関固有のニーズを満たす他の関連する情報セキュリティの継続的なモニタリング(ISCM)データで充実させることが期待される。
CDM integrators should use this document to drive development and refinement of the implementation of the holistic solution, incorporating these data requirements into the operational rhythm of security tools and sensors. This will provide data to facilitate the execution of the CDM program’s mission objectives.  CDMインテグレーターは、これらのデータ要件をセキュリティツールやセンサーの運用リズムに組み込んで、全体的なソリューションの実装の開発と改良を推進するためにこの文書を使用すべきである。これにより、CDMプログラムのミッション目標の実行を促進するためのデータが提供される。
Scope 適用範囲
The data requirements discussed in this document represent the minimum required dataset to accomplish the critical objectives of CDM, as foreseen by the CDM Program Management Office (PMO), across different solutions, while achieving consistent results. Currently, the scope is focused on data requirements related to the technical capabilities found under “Asset Management” (formerly Phase 1), “Identity & Access Management” (formerly Phase 2), and “Network Security Management” (formerly Phase 3). Detailed operational capabilities are found under the following decomposed tool functionalities:  この文書で議論されるデータ要件は、CDM プログラム管理室(PMO)が予見した CDM の重要な目的を、異なるソリューション間で、一貫した結果を達成しながら達成するために最低限必要なデータセットである。現在、この範囲は、「資産管理」(旧フェーズ1)、「アイデンティティ&アクセス管理」 (旧フェーズ2)、「ネットワークセキュリティ管理」(旧フェーズ3)の技術的能力に関連するデータ要 件に焦点を当てている。詳細な運用機能は、以下の分解されたツール機能の下にある: 
§ Asset Management (inclusive of mobile devices) (formerly known as Phase1) § 資産管理(モバイル・デバイスを含む)(旧Phase1)
o Hardware Asset Management (HWAM) o ハードウェア資産管理(HWAM)
o Software Asset Management (SWAM) o ソフトウェア資産管理(SWAM)
▪ Application Execution Control (AEC) ・アプリケーション実行制御(AEC)
o Configuration Settings Management (CSM) o
構成設定管理(CSM)
o Vulnerability Management (VUL) o
脆弱性管理(VUL)
▪ Enterprise Mobility Management (EMM) Mobile Threat Defense ・エンタープライズ・モビリティ管理(EMM) モバイル脅威防御
§ Identity & Access Management [formerly known as Phase 2] § アイデンティティ&アクセス管理(旧フェーズ 2]
o Manage Trust in People Granted Access (TRUST) o アクセスを許可された人の信頼を管理する(TRUST)
o Manage Security Related Behavior (BEHAVE) o セキュリティ関連の行動を管理する(BEHAVE)
o Manage Credentials and Authentication (CRED) o クレデンシャルと認証の管理(CRED)
o Manage Account Access (PRIV) o アカウントアクセスの管理(PRIV)
§ Network Security Management [formerly known as Phase 3] § ネットワーク・セキュリティ管理[旧フェーズ 3]
o Manage Events (MNGEVT) o イベントの管理(MNGEVT)
▪ Incident Response ・インシデント対応
▪ Ongoing Assessment (supporting Asset Management data only) ・継続的アセスメント(資産管理データのサポートのみ)
o Operate, Manage, and Improve (OMI) o 運用・管理・改善(OMI)
▪ System and Information Integrity (supporting incident response) ・システム及び情報の完全性(インシデント対応をサポートする)
o BOUND-E o BOUND-E
▪ Certificate Management (non-person entities only) ・証明書管理(非個人事業体のみ)
o BOUND-F to Manage Network Filters and Boundary Controls o BOUND-F ・ネットワーク・フィルタおよびバウンダリ・コントロールの管理
▪ Network Access Protection ・ネットワーク・アクセス防御
It is anticipated that additional content will be incorporated in subsequent iterations of this artifact as new technical capabilities are added to the CDM program operational baseline.  新たな技術的能力が CDM プログラムの運用ベースラインに追加されるにつれて、この成果物の 以降の反復において追加コンテンツが組み込まれることが予想される。
CDM’s conceptual architecture and associated security frameworks, which convey program needs through CDM Technical Capabilities, Volume 1 and Volume 2, are also used to derive necessary data requirements that are reflected in this model. Specifically in scope are the definitions of the logical groupings of key cybersecurity information in the following constructs:  CDM の概念アーキテクチャーと関連するセキュリティの枠組みは、CDM 技術能力第 1 巻と第 2 巻を通じてプログラムのニーズを伝えるものであるが、このモデルに反映される必要なデータ要件を導き出すためにも使用される。具体的には、以下の構成要素における主要なサイバーセキュリティ情 報の論理的グループ化の定義が対象となる: 
§ Master Device Records (MDRs) § マスターデバイスレコード(MDR)
§ Master User Records (MURs) § マスター・ユーザ・レコード(MUR)
§ Master Incident Records (MIRs) § マスターインシデントレコード(MIR)
§ FISMA and Organizational Unit (OU) Containers § FISMA および組織単位(OU)コンテナ
The CDM datasets included are decomposed into entities and attributes within the interrogation specifications section. They provide strong traceability for data requirements laid out for agencies (i.e., “must have” data).  含まれる CDM データセットは、質問仕様セクション内で事業体と属性に分解される。CDMデータセットは、各機関に提示されたデータ要件(すなわち 「なくてはならない 」データ)に対して、強力なトレーサビリティを提供する。
Another core principle of the program that influences the common schema is the system’s capability of “standardized scoring” through an algorithm that produces a quantitative measurement to facilitate prioritization and enumeration of risk-relevant states across the .gov enterprise. To support this effort, the CDM  共通スキーマに影響を与えるプログラムのもう一つの基本原則は、.govエンタープライズ全体のリスクに関連する状態の優先順位付けと列挙を容易にする定量的な測定値を生成するアルゴリズムによる「標準スコアリング」のシステムの機能である。この取り組みを支援するため、CDM 
Data Model includes data requirements for a standardized federal risk score, the Agency-Wide Adaptive Risk Enumeration (AWARE) methodology.[1] AWARE requires that specific data be collected or calculated to successfully implement the algorithm, and the data model acquiesces to these data requirements.  データ・モデルには、標準化された連邦リスク・スコアであるAWARE(Agency-Wide Adaptive Risk Enumeration)手法のためのデータ要件が含まれている[1]。AWAREは、アルゴリズムをうまく実装するために特定のデータを収集または計算することを要求しており、データ・モデルはこれらのデータ要件に従う。
Finally, it is important to note that physical schemas and as-built designs are largely out of scope of this document. It is the CDM dashboard developer’s responsibility to develop and align the physical data schema (i.e., CDM “data target”) to the intent of this logical model through the requirements and solution engineering activities within the program.[2] 最後に、物理的なスキーマと構築時の設計は、この文書の範囲外であることに注意することが重要である。物理的なデータスキーマ(すなわちCDMの 「データターゲット」)を開発し、プログラム内の要求とソリューションエンジニアリングの活動を通じてこの論理モデルの意図に合わせることは、CDMダッシュボード開発者の責任である[2]
1.3 Audience 1.3 想定読者
This document’s intended audience is assumed to have a working knowledge of the CDM program. The audience primarily includes CISA Cybersecurity Division staff,[3] CDM participating agencies’ staff, CDM Dynamic and Evolving Federal Network Defense (DEFEND) integrators, and the CDM dashboard provider.  本文書の対象読者は、CDMプログラムについて実務的な知識を持っていることを想定している。主な読者には、CISAサイバーセキュリティ・ディビジョンのスタッフ、[3]CDM参加機関のスタッフ、CDM動的・進化型連邦ネットワーク防御(DEFEND)インテグレータ、CDMダッシュボード・プロバイダが含まれる。
1.4 Context for the Model Derivation Process モデル導出プロセスの背景
CDM is:  CDMとは 
§ A process within an agency’s ISCM strategy, as originally mandated in the Office of Management and Budget (OMB) Memorandum (M) 14-03[4] (now superseded by OMB M-19-02[5]), to strengthen the security posture of the federal civilian networks by enabling operators to continuously search for flaws, collect results, triage and analyze results, fix the worst flaws first, and report progress. § 行政管理予算局(OMB)の覚書(M)14-03[4](現在は OMB M-19-02[5] に取って代わられている)で元々義務付けられていたように、オペレータが継続的に欠陥を検索し、結果を収集し、結果をトリアージして分析し、最も悪い欠陥を最初に修正し、進捗を報告することを可能にすることによって、連邦民間ネットワークのセキュリティ体制を強化するための、省庁の ISCM 戦略内のプロセスである。
§ A program that provides continuous monitoring, diagnosis, and mitigation capabilities by centrally coordinating the procurement, installation, operation, and maintenance of diagnostic sensors (tools) and dashboards deployed to participating agencies and a federal-level cyber diagnostic dashboard maintained at the Department of Homeland Security (DHS). § 参加省庁に展開される診断センサー(ツール)とダッシュボード、および国土安全保障省 (DHS)で維持される連邦レベルのサイバー診断ダッシュボードの調達、設置、運用、保守を一元 的に調整することにより、セキュリティの継続的なモニタリング、診断、緩和の機能を提供するプログラム。
§ A system consisting of multiple instantiations of tools and dashboards that work together to enable the CDM process. § CDM プロセスを実現するために連携するツールやダッシュボードの複数のインスタンスから構成されるシステムである。
The CDM Data Model is a common schema of data elements and attributes based on recommendations and requirements conveyed in the CDM architecture. This common schema is authoritative in developing the data requirements for the CDM program and represents the to-be state of the data both within (as ingested and stored) and outside of (as queried and reported) Layer C of the CDM architecture (see Figure 1-1). With regard to data queried or reported, a core set of data interrogation actions were captured based on input from various sources that were solicited in developing this artifact, including the CDM Technical Capabilities,[6] Volume 1 and Volume 2 and the Chief Information Officer (CIO) Federal Information Security Modernization Act (FISMA) Metrics. In the case of the FISMA metrics, this document focused on information that could be specifically tied to CDM asset, identity and access, network security, and data management capabilities (formerly Phase 1, 2, 3, and 4 security capabilities, respectively). Each data interrogation action represents key fundamental mechanisms of the CDM solution, satisfying mission requirements for summary reporting, scoring, and/or defect prioritization.  CDM データモデルは、CDM アーキテクチャで伝達された勧告と要件に基づく、データ要素と属性 の共通スキーマである。この共通スキーマは、CDM プログラムのデータ要件を策定する際の代表者であり、CDM アーキテクチャのレイヤ C 内(取り込まれ、保存された状態)とレイヤ C 外(照会され、報告された状態)の両方のデータのあるべき状態を表している(図 1-1 参照)。照会または報告されるデータに関しては、CDM 技術能力[6]第 1 巻と第 2 巻、および最高情報責任者(CIO)の連邦情報セキュリ ティ近代化法(FISMA)メトリクスを含む、この成果物を開発する際に募集された様々な情報源からのインプットに基 づいて、データ照会アクションの中核となるセットが取り込まれた。FISMA メトリクスの場合、本文書は、CDM 資産、ID とアクセス、ネットワークセキュリティ、およびデータ管理能力(それぞれ旧フェーズ 1、2、3、および 4 のセキュリティ能力)に特に結び付けられる情報に焦点を当てた。各データ調査アクションは、CDM ソリューションの主要な基本メカニズムを表し、概要報告、スコアリング、欠陥の優先順位付けなどのミッション要件を満たす。
The cohesive philosophy of normalizing metrics and key machine information is required to facilitate a standard CDM dashboard platform across all agencies (representing the aforementioned “Layer C “of the architecture as shown below). As one of the central aspects of CDM, the dashboard serves as the primary means by which the CDM Logical Data Model (LDM) can be physically implemented. Through the development and deployment of the CDM agency dashboard, a physical schema (“as-built” by the dashboard developer), which is aligned to the intent and requirements of the LDM, provides the realized vision of a normalized CDM dataset (i.e., common schema).  メトリックスと主要なマシン情報を正規化するという一貫した哲学は、すべての機関にわたって標準的なCDMダッシュボード・プラットフォームを促進するために必要である(以下に示すように、前述のアーキテクチャの「レイヤーC」を代表する)。CDMの中心的な側面の一つとして、ダッシュボードはCDM論理データモデル(LDM)を物理的に実装するための主要な手段として機能する。CDM機関ダッシュボードの開発と展開を通じて、LDMの意図と要件に沿った物理スキーマ(ダッシュボード開発者による 「as-built」)が、正規化されたCDMデータセット(すなわち共通スキーマ)の実現ビジョンを提供する。
Leveraging this architecture, the federal dashboard collates the summary information and risk scores produced by the multiple agency dashboards to enable standardized, comprehensive cyber visibility into the entire civilian government enterprise. This CDM dashboard hierarchy represents the operationalization of the data architecture within this artifact. It allows for the common schema to be enumerated and queried at each agency, with the results providing stronger cybersecurity measurements across the agencies.  このアーキテクチャを活用して、連邦政府のダッシュボードは、複数の省庁のダッシュボードによって作成されたサマリー情報とリスクスコアを照合し、民間政府エンタープライズ全体に対する標準化された包括的なサイバー可視化を可能にする。この CDM ダッシュボードの階層構造は、この成果物におけるデータアーキテクチャの運用の代表者である。これによって、共通のスキーマを各機関で列挙してクエリし、その結果によって各機関全体でより強力なサイバーセキュリティ測定を行うことができる。
The CDM Data Model entities and attributes[7] described in this document were iteratively derived using the following process:  本文書で説明する CDM データモデルの事業体と属性[7]は、以下のプロセスで繰り返し導出された: 
1. Enumerate all relevant data interrogation actions that have traceability to one or more of the key reference materials (see Appendix A). 1. 1 つ以上の鍵材料(附属書 A 参照)にトレーサビリティを持つ、関連するすべてのデータ問 い合わせアクションを列挙する。
2. Generate specifications for each data interrogation action identified in a fully defined, common standard format (e.g., SQL[8]). 2. 完全に定義された共通の標準形式(例えば、SQL[8])で、識別された各データ問合せ 操作の仕様を生成する。
3. Derive data entities and attributes to meet the interrogation specifications (i.e., a common schema for CDM technical capabilities). 3. 質問仕様(すなわち、CDM技術仕様の共通スキーマ)を満たすデータ事業体と属性を導出する。
4. Develop a data dictionary that clearly describes the required entities and attributes to provide a consistent understanding for the audience. 4. 必要な事業体と属性を明確に記述したデータ辞書を作成し、利用者に一貫した理解を提供する。

 

[1] For more information of the AWARE algorithm, refer to Appendix A.  [1]AWAREアルゴリズムの詳細については、附属書Aを参照のこと。
[2] For more information on how to use and interpret this document, refer to the guidance within Section 2. [2]本書の使用方法および解釈の詳細については、セクション 2 のガイダンスを参照のこと。
[3] Specifically, this includes CISA Cybersecurity Division staff who support operationalization or oversight of the CDM program.  [3]具体的には、CDMプログラムの運用化または監視を支援するCISAサイバーセキュリティ部門のスタッフを含む。
[4] “Enhancing the Security of Federal Information and Information Systems,” M-14-03, November 18, 2013. [PDF] [4]「Enhancing the Security of Federal Information and Information Systems,」 M-14-03, November 18, 2013. [PDF]
[5] “Management Requirements,” M-19-02, October 25, 2018. [PDF] [5]「Management Requirements,」 M-19-02, October 25, 2018. [PDF]
[6] These documents describe the requirements for the CDM program that are consistent with the overarching goal of enabling U.S. government entities to assess and improve the security posture of an agency’s information systems. These requirements will be used for the CDM solicitations called Dynamically Evolving Federal Enterprise Network Defense (DEFEND) program as well as the Schedule 70 CDM-SIN Approved Product List (APL). [6]これらの文書は、米国政府機関が機関の情報システムのセキュリティ態勢をアセスメントし、改善できるようにするという包括的な目標に合致するCDMプログラムの要件を記述している。これらの要件は、ダイナミックに進化する連邦エンタープライズ・ネットワーク防御(DEFEND)プログラムと呼ばれるCDMの募集、およびSchedule 70 CDM-SIN Approved Product List (APL)に使用される。
[7] Refer to Section 2 for more information regarding Unified Modeling Language (UML) entity relationship (ER) diagraming, entities, and attributes.  [7] 統一モデリング言語(UML)の実体関係(ER)図、事業体、属性に関する詳細は、セクション2を参照のこと
[8] Structured Query Language (SQL) is a special purpose language for accessing data in databases. In this case, it is a well-known formal language that can be used to specify the interaction of the data interrogation action with the object data within the CDM system. [8]構造化クエリー言語(Structured Query Language:SQL)は、データベースのデータにアクセ スするための特別な目的の言語である。この場合、CDMシステム内のオブジェクト・データとデータ質問アクションの相互作用を指定するために使用できる、よく知られた形式言語である。

 

 

 

| | Comments (0)

2024.12.08

CISA サイバーレジリエンスを強化する: 米国の重要インフラ部門組織のCISAレッドチームアセスメントからの洞察 (2024.11.21)

こんにちは、丸山満彦です。

CISAが、米国の重要インフラ部門組織に対して、CISAレッドチームが実施したアセスメントからの洞察を公表していますね...

Mitigation(緩和策)の部分に

重要インフラ組織のシステムに財弱性(内部統制の不備といってもよいと思います)があるが、それは、、、

CISAは、安全でないソフトウェアがこれらの欠陥の多くの根本原因であり、エンドユーザーに責任が及ぶべきでないことを認識し、ソフトウェア製造事業者に以下のことを実施するよう促している:

ということで、

  • ソフトウェア開発ライフサイクル(SDLC)全体を通じて、製品アーキテクチャにセキュリティを組み込む。

  • デフォルトのパスワードをなくす。ソフトウェアにデフォルトのパスワードをプロバイダしてはならない。デフォルトパスワードをなくすには、インストールと構成の際に、管理者が強力なパスワードを設定するよう要求する [CPG 2.B]。

  • 一つのセキュリティ管理が侵害されても、システム全体が侵害されないように製品を設計する。例えば、危殆化したアカウントの影響を軽減するために、デフォルトでユーザ特権を狭く設定し、ACL を採用する。これにより、悪意のあるサイバー行為者が特権をエスカレートさせ、横展開がより困難になる。

  • 特権ユーザーに対してMFA(理想的にはフィッシングに強いMFA)を義務付けMFAをオプトインではなくデフォルトの機能にする。

  • システムをデフォルトでセキュアにすることに重点を置き、ハードニング・ガイドのサイズを小さくする。このシナリオでは、レッドチームは、特権アカウントの列挙を可能にする Windows Server 2012 のデフォルト設定に気づいた。

 

  • 重要なこと:製造事業者は、ハードニング・ガイドを解釈する時間、専門知識、および認識を持つ輸入事業者に依存するのではなく、製品に組み込まれた日常的なナッジを実装する必要がある。

といっています。。。

事業者で発生しているサイバーインシデントの多くの原因は、しょぼいベンダーのシステムのせいで、ベンダーはまともにシステムつくれや...といっているようにも聞こえます。個人の感想です(^^)

この雰囲気からすると、ベンダーが開発したシステムの脆弱性について、場合によっては厳しく対応をしていくようになるかもしれませんね...

 

それから、重要インフラのシステムについては、(止められないという問題があるかもしれませんが...)レッドチームアセスメントはデフォルトdえするという方がよさそうですね...

 

CISA

・2024.11.21 Enhancing Cyber Resilience: Insights from CISA Red Team Assessment of a US Critical Infrastructure Sector Organization

Alert Code: AA24-326A

 

Enhancing Cyber Resilience: Insights from CISA Red Team Assessment of a US Critical Infrastructure Sector Organization サイバーレジリエンスを強化する: 米国の重要インフラ部門組織のCISAレッドチームアセスメントからの洞察
Executive Summary エグゼクティブサマリー
The Cybersecurity and Infrastructure Security Agency (CISA) conducted a red team assessment (RTA) at the request of a critical infrastructure organization. During RTAs, CISA’s red team simulates real-world malicious cyber operations to assess an organization’s cybersecurity detection and response capabilities. In coordination with the assessed organization, CISA is releasing this Cybersecurity Advisory to detail the red team’s activity—including their tactics, techniques, and procedures (TTPs) and associated network defense activity. Additionally, the advisory contains lessons learned and key findings from the assessment to provide recommendations to network defenders and software manufacturers for improving their organizations’ and customers’ cybersecurity posture. サイバーセキュリティ・インフラセキュリティ庁(CISA)は、重要インフラ組織の要請を受けてレッドチーム評価(RTA)を実施した。RTAの間、CISAのレッドチームは、組織のサイバーセキュリティ検知・対応能力を評価するために、実際の悪意あるサイバー操作をシミュレートする。アセスメントを受けた組織と連携して、CISA はこのサイバーセキュリティ勧告を発表し、レッドチームの活動(戦術、技術、手順(TTP)、関連するネットワーク防御活動を含む)を詳述する。さらに、本アドバイザリーには、アセスメントから得られた教訓や重要な発見が含まれており、ネットワーク防御者やソフトウェア製造事業者に対し、組織や顧客のサイバーセキュリティ態勢を改善するための推奨事項を提示している。
Within this assessment, the red team (also referred to as ‘the team’) gained initial access through a web shell left from a third party’s previous security assessment. The red team proceeded to move through the demilitarized zone (DMZ) and into the network to fully compromise the organization’s domain and several sensitive business system (SBS) targets. The assessed organization discovered evidence of the red team’s initial activity but failed to act promptly regarding the malicious network traffic through its DMZ or challenge much of the red team’s presence in the organization’s Windows environment. このアセスメントの中で、レッドチーム(「チーム」とも呼ぶ)は、サードパーティが以前に行ったセキュリティアセスメントから残されたウェブシェルを通じて最初のアクセスを得た。レッドチームは、非武装地帯(DMZ)を通過してネットワークに侵入し、組織のドメインと複数の機密業務システム(SBS)を完全に侵害した。アセスメントを受けた組織は、レッドチームの最初の活動の証拠を発見したが、DMZを通過する悪意のあるネットワーク・トラフィックに関して迅速に行動することができず、組織のWindows環境におけるレッドチームの存在に異議を唱えることもできなかった。
The red team was able to compromise the domain and SBSs of the organization as it lacked sufficient controls to detect and respond to their activities. The red team’s findings illuminate lessons learned for network defenders and software manufacturers about how to respond to and reduce risk. レッドチームは、彼らの活動を検知し対応するための十分な管理体制を欠いていたため、組織のドメインとSBSを侵害することができた。レッドチームの調査結果は、ネットワーク防御者とソフトウェア製造事業者にとって、リスクへの対応とリスク軽減のための教訓となった。
・Lesson Learned: The assessed organization had insufficient technical controls to prevent and detect malicious activity. The organization relied too heavily on host-based endpoint detection and response (EDR) solutions and did not implement sufficient network layer protections. ・教訓:アセスメントを受けた組織は、悪意のある活動を防止・検知するための技術的コントロールが不十分であった。この組織は、ホストベースのエンドポイント検知・対応(EDR)ソリューションに過度に依存し、十分なネットワーク層の防御を実装していなかった。
・Lesson Learned: The organization’s staff require continuous training, support, and resources to implement secure software configurations and detect malicious activity. Staff need to continuously enhance their technical competency, gain additional institutional knowledge of their systems, and ensure they are provided sufficient resources by management to have the conditions to succeed in protecting their networks. ・教訓:この組織のスタッフは、安全なソフトウェア設定を実装し、悪意のある活動を検知するために、継続的なトレーニング、サポート、およびリソースを必要としている。職員は継続的に技術的能力を向上させ、機構に関する知識を深め、経営陣からネットワーク保護に成功するための十分なリソースを提供されるようにする必要がある。
・Lesson Learned: The organization’s leadership minimized the business risk of known attack vectors for the organization. Leadership deprioritized the treatment of a vulnerability their own cybersecurity team identified, and in their risk-based decision-making, miscalculated the potential impact and likelihood of its exploitation. ・教訓:この組織のリーダーシップは、組織にとって既知の攻撃ベクトルによるビジネスリスクを最小化した。リーダーシップは、自分たちのサイバーセキュリティチームが特定した脆弱性の扱いの優先順位を下げ、リスクベースの意思決定において、その脆弱性が悪用された場合の潜在的な影響と可能性を誤って計算した。
To reduce risk of similar malicious cyber activity, CISA encourages critical infrastructure organizations to apply the recommendations in the Mitigations section of this advisory to ensure security processes and procedures are up to date, effective, and enable timely detection and mitigation of malicious activity. 同様の悪意あるサイバー活動のリスクを低減するため、CISA は重要インフラ組織に対し、セキュリティ・プロセスと手順が最新かつ効果的で、悪意ある活動のタイムリーな検知と緩和を可能にするよう、本アドバイザリの緩和セクションの推奨事項を適用することを推奨する。
This document illustrates the outsized burden and costs of compensating for insecure software and hardware borne by critical infrastructure owners and operators. The expectation that owners and operators should maintain the requisite sophisticated cyber defense skills creates undue risk. Technology manufacturers must assume responsibility for product security. Recognizing that insecure software contributes to these identified issues, CISA urges software manufacturers to embrace Secure by Design principles and implement the recommendations in the Mitigations section of this advisory, including those listed below: この文書は、重要インフラの所有者と運用者が負担する、安全でないソフトウェアとハードウェアを補償するための過大な負担とコストを示している。所有者や運用者が必要な高度なサイバー防御スキルを維持すべきとの期待は、過度のリスクを生み出す。技術製造事業者は、製品セキュリティに対する責任を負わなければならない。安全でないソフトウェアがこれらの特定された問題の一因であることを認識し、CISA はソフトウェア製造事業者に対し、セキュア・バイ・デザインの原則を受け入れ、以下に列挙するものを含め、この勧告の緩和セクションにある勧告を実施するよう促す:
・Embed security into product architecture throughout the entire software development lifecycle (SDLC). ・ソフトウェア開発ライフサイクル(SDLC)全体を通じて、製品アーキテクチャにセキュリティを組み込む。
・Eliminate default passwords. ・デフォルトのパスワードをなくす。
・Mandate MFA, ideally phishing-resistant MFA, for privileged users and make MFA a default, rather than opt-in, feature. ・特権ユーザには MFA(理想的にはフィッシングに強い MFA)を義務付け、MFA をオプトインではなくデフォルトの機能にする。

 

・[PDF]

20241208-23135

 

目次...

Executive Summary エグゼクティブサマリー
Introduction 序文
Technical Details 技術的詳細
Phase I: Red Team Cyber Threat Activity 第一段階 レッドチームのサイバー脅威活動
Overview 概要
Initial Access 初期アクセス
Linux Infrastructure Compromise Linux インフラの侵害
Local Privilege Escalation and Credential Access ローカル特権の昇格とクレデンシャル・アクセス
Linux Command and Control Linux コマンドと制御
Lateral Movement and Persistence 横展開と永続性
Windows Domain Controller Compromise Windows ドメイン コントローラの侵害
Windows Command and Control Windows コマンドと制御
Post-Exploitation Activity: Gaining Access to SBSs 悪用後の活動: SBS にアクセスする
Admin Workstations 管理ワークステーション
Additional Host and Other Subnets 追加のホストおよびその他のサブネット
Corporate Workstations of Critical Infrastructure Administrators and Operators 重要インフラの管理者とオペレーターの企業ワークステーション
Command and Control コマンド・アンド・コントロール
Defense Evasion and Victim Network Defense Activities 防御回避と被害者ネットワーク防御活動
Phase II: Red Team Measurable Events Activity フェーズ II: レッドチームの測定可能イベント活動
Lessons Learned and Key Findings 教訓と主な発見
Lesson Learned: Insufficient Technical Controls 教訓 不十分な技術的コントロール
Lesson Learned: Continuous Training, Support, and Resources 教訓 継続的なトレーニング、サポート、リソース
Lesson Learned: Business Risk 教訓 ビジネスリスク
Additional Findings 追加発見事項
Noted Strengths 指摘された強み
Mitigations 緩和策
Network Defenders ネットワーク・ディフェンダー
Software Manufacturers ソフトウェア製造事業者
Validate Security Controls セキュリティ・コントロールの妥当性確認
Resources リソース
Appendix: MITRE ATT&CK Tactics and Techniques 附属書 MITRE ATT&CK の戦術とテクニック

 

 

 

| | Comments (0)

2024.12.07

JIPDEC ISO/IEC/JTC 1/SC 27/WG 1における国際規格の策定/改訂状況 (2024.12.04)

こんにちは、丸山満彦です。

JIPDECが、ISO/IEC/JTC 1/SC 27/WG 1における国際規格の策定/改訂状況を公表していますね...

 

JIPDEC

・2024.12.05 ISO/IEC 27001ファミリー「ISO/IEC JTC 1/SC 27/WG 1に おける検討状況」を更新しました

・2024.12.04 [PDF]

20241207-72126

 

現在の全体はこんな感じのようです...

20241207-72651

ガイドラインを作りすぎなんじゃないですかね...

もちろん、本当に必要なものもありますが、ガイドラインの中では、なくてもよいのもあるんじゃないですかね...

社会的にどの程度引用されているのか、分析して利用率が少ないものは、本当に必要なものだけ残して、他の要求事項やガイドラインに附則として、追加するのがよいようにも思います。

私も一度も見たことがないのが、いくつかあります...

  • 緑色は発行済規格
  • 薄黄色は改訂中/追補作成中規格
  • 灰色は中止プロジェクト
  • 白は作成中
ISO/IEC番号  規格内容  規格作成の段階* 
2024年10月会議
(今回) 
2025年3月会議
(予定) 
27000 ISMS概要  (CD)  (DIS) 
27001 ISMS要求事項  IS  IS 
27002 情報セキュリティ管理策  IS  IS 
27003 ISMSの手引  (WD)  (2nd WD) 
27004 ISM - 監視、測定、分析及び評価  (PWI)  (WD) 
27005 情報セキュリティリスクマネジメントに関する指針  IS  IS 
27006-1  ISMS認証機関に対する要求事項  (PWI)  (PWI) 
TS 27006-2  ISO/IEC 27701認証機関に対する要求事項  (DIS)  (FDIS) 
27007 ISMS監査の指針  IS  (PWI) 
TS 27008  IS管理策の評価(assessment)のための指針  (CD)  (2nd CD) 
27009 セクターへ規格の27001適用-要求事項  (廃止)  (廃止) 
27010 セクター間及び組織間コミュニケーションのための情報セキュリティマネジメント  IS  IS 
27011 ISO/IEC 27002に基づく電気通信組織のための情報セキュリティ管理策  IS  IS 
27013 ISO/IEC 27001とISO/IEC 20000-1との統合導入についての手引  (DAM)  (IS<追補1>) 
27014 情報セキュリティのガバナンス  IS  IS 
TR 27015  金融サービスに対する情報セキュリティマネジメントの指針  (廃止)  (廃止) 
TR 27016  ISM-組織の経済的側面(Organizational economics)  (PWI)  TR 
27017 ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範  (CD)  (DIS) 
27019 エネルギー業界のための情報セキュリティ管理策  (FDIS)  IS 
27021 ISMS専門家の力量に関する要求事項  IS  IS 
TS 27022  ISMSプロセスに関する手引  (PWI)  TS 
TR 27023  ISO/IEC 27001及びISO/IEC 27002改訂版のマッピング  (廃止)  (廃止) 
TR 27024  各国の規制要求事項等におけるISO/IEC 27001ファミリー規格の使用  DTR  DTR 
27028 ISO/IEC 27002:2022の属性の利用及び作成に関する手引  CD  DIS 
27029 ISO/IEC 27002の管理策及び手引を参照している規格一覧  SD  SD 
TS 27100  サイバーセキュリティの概要及びコンセプト  TS  TS 
27102 ISM-サイバー保険のためのガイドライン  IS  IS 
TR 27103  サイバーセキュリティとISO及びIEC規格  (CD)  (DIS) 
TR 27109  サイバーセキュリティに関する教育・訓練  DTR  DTR 
TS 27110  サイバーセキュリティフレームワーク策定の指針  TS  TS 

 

 

| | Comments (0)

欧州 EDPB 第三国当局へのデータ移転に関するGDPR第48条に関するガイドラインを発表し、新しい欧州データ保護シールを承認

こんにちは、丸山満彦です。

European data Protection Board;EDPBが、第三国当局へのデータ移転に関するGDPR第48条に関するガイドラインを発表し、新しい欧州データ保護シールを承認していますね。ガイドラインは、2025.01.27までパブリックコメントを受け付けています。

欧州の組織が「第三国」(すなわち欧州以外の国)の当局からデータ移転の要請を受けた場合、一般データ保護規則(GDPR)を遵守しなければならないことになりますね。(したがって、第三国当局の判決または決定は、欧州では自動的に承認または執行されることない)。

そこで、第三国当局に個人データを移転するよう要請された場合に、合法的に移転できるかどうかを組織が判断するために策定したのが、このガイドラインということになりますね...

もう一つの決定は、新しい欧州データ保護シールですね...GDPR認証は、組織がデータ保護法を遵守していることを証明することできます。 オランダで実施されている規準が欧州全体でつかえることになったということですね...規準自体は2023.09.19に策定されていますね...

 

European data Protection Board;EDPB

・2024.12.03 EDPB clarifies rules for data sharing with third country authorities and approves EU Data Protection Seal certification

EDPB clarifies rules for data sharing with third country authorities and approves EU Data Protection Seal certification EDPB、第三国当局とのデータ共有ルールを明確化し、EUデータ保護シールを認可
Brussels, 03 December - During its latest plenary, the European Data Protection Board (EDPB) published guidelines on Art.48 GDPR about data transfers to third country authorities and  approved a new European Data Protection Seal. ブリュッセル、12月3日 - 欧州データ保護委員会(EDPB)は最新の本会議で、第三国当局へのデータ移転に関するGDPR第48条に関するガイドラインを発表し、新たな欧州データ保護シールを承認した。
EDPB helps organisations assess data transfer requests by third country authorities EDPBは第三国当局からのデータ移転要請に対する認可を支援する。
In a highly interconnected world, organisations receive requests from public authorities in other countries to share personal data. The sharing of data can, for instance, be of help to collect evidence in the case of crime, to check financial transactions or approve new medications. 高度に相互接続された世界では、認可組織は他国の公的機関から個人データの共有要請を受ける。データの共有は、例えば、犯罪の証拠収集、金融取引のチェック、新薬の承認などに役立つ。
When a European organisation receives a request for a transfer of data from a ‘third country’ (i.e. non-European countries) authority, it must comply with the General Data Protection Regulation (GDPR). In its guidelines, the EDPB zooms in on Art. 48 GDPR and clarifies how organisations can best assess under which conditions they can lawfully respond to such requests. In this way, the guidelines help organisations to make a decision on whether they can lawfully transfer personal data to third country authorities when asked to do so. 欧州の組織が「第三国」(すなわち欧州以外の国)の当局からデータ移転の要請を受けた場合、一般データ保護規則(GDPR)を遵守しなければならない。EDPBはそのガイドラインの中で、GDPR第48条に焦点を当てている。48 GDPRに焦点を当て、どのような条件下でそのような要請に合法的に対応できるかを、組織がどのように評価するのが最善かを明確にしている。このように、ガイドラインは、第三国当局に個人データを移転するよう求められた場合に、合法的に個人データを移転することができるかどうかについて、認可組織が判断する際の一助となるものである。
Judgements or decisions from third countries authorities cannot automatically be recognised or enforced in Europe. If an organisation replies to a request for personal data from a third country authority, this data flow constitutes a transfer and the GDPR applies. An international agreement may provide for both a legal basis and a ground for transfer. In case there is no international agreement, or if the agreement does not provide for an appropriate legal basis or safeguards, other legal bases or other grounds for transfer could be considered, in exceptional circumstances and on a case by case basis.* 第三国当局の判決や決定は、欧州では自動的に承認されたり、執行されたりすることはない。認可機関が第三国当局からの個人データの要求に応じる場合、このデータフローは移転に該当し、GDPRが適用される。国際協定は、移転の法的根拠と根拠の両方をプロバイダに提供することができる。国際協定がない場合、または協定が適切な法的根拠や保護措置を規定していない場合は、例外的な状況において、ケースバイケースで、他の法的根拠や他の移転根拠を考慮することができる*。
The guidelines are subject to public consultation until 27 January 2025. ガイドラインは、2025年1月27日まで公開協議の対象となる。
Approval of EU Data Protection Seal EUデータ保護シールの承認
During the plenary meeting, the Board also adopted an opinion approving the Brand Compliance certification criteria concerning processing activities by controllers or processors. In September 2023, the Board already adopted an opinion on the approval of the Brand Compliance national certification criteria, making them officially recognised certification criteria in the Netherlands for data processing by organisations. The approval of the new opinion means that these criteria will now be applicable across Europe and as a European Data Protection Seal. 理事会は本会議において、管理者または処理者による処理活動に関するブランドコンプライアンスの認証規準を承認する意見書も採択した。理事会はすでに2023年9月に、Brand Complianceの国内認証規準の承認に関する意見を採択しており、これによりオランダでは、組織によるデータ処理に関する認証規準として正式に認められている。新たな意見の承認は、これらの規準が欧州全域で、欧州データ保護シールとして適用されることを意味する。
GDPR certification helps organisations demonstrate their compliance with data protection law. This transparency helps people trust the product, service, process or system for which organisations process their personal data. GDPRの防御は、組織がデータ保護法を遵守していることを証明するのに役立つ。この透明性は、組織が個人データの処理を行う製品、サービス、プロセス、システムを人々がトラストするのに役立つ。

 


 

まずは、「第三国当局へのデータ移転に関するGDPR第48条に関するガイドライン」...

2025.01.27まで受け付けています...

・2024.12.03 Guidelines 02/2024 on Article 48 GDPR

20241207-15431

・[DOCX][PDF] 仮訳

 


個人情報保護委員会

・[PDF] 一般データ保護規則(GDPR)の条文

移転の一般原則...第44条

Article 44 General principle for transfers 第44 条 移転に関する一般原則
Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation. All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons guaranteed by this Regulation is not undermined. 現に取扱われている又は第三国又は国際機関への移転の後に取扱いを意図した個人データ移転は、その第三国又は国際機関か別の第三国又は国際機関への個人データの転送に関するものを含め、本規則の他の条項に従い、本章に定める要件が管理者及び処理者によって遵守される場合においてのみ、行われる。本章の全ての条項は、本規則によって保証される自然人保護のレベルが低下しないことを確保するために適用される。

 

第48条

Article 48 Transfers or disclosures not authorised by Union law 第48 条 EU 法によって認められない移転又は開示
Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer pursuant to this Chapter. 管理者又は処理者に対して個人データの移転又は開示を命ずる第三国の裁判所若しくは法廷の判決及び公的機関の決定は、本章による移転のための別の法的根拠を妨げることなく、いかなる態様によるにせよ、司法共助条約のような要請元である第三国と EU 又は加盟国との間で有効な国際合意に基づく場合においてのみ、認められるか又は執行力を有することができる。

 

ちなみに、日欧間、日英間については、同等性の認定をうけていますので、日欧の間のデータ移転については、EU国内での移転と同様におこなえることになっていますよね...

日EU間・日英間のデータ越境移転について

 


 

次は、GDPR認証...

 

オランダの個人データ保護機関

● Autoriteit Persoonsgegevens

GDPR certificate

GDPR certificate GDPR証明書
A GDPR certificate is a written statement that a product, process or service meets all or certain specific requirements from the General Data Protection Regulation (GDPR). With a GDPR certificate, organisations can show their target group that they process and protect personal data with due care. A GDPR certificate is not mandatory. Applying for a GDPR certificate is currently not yet possible. GDPR証明書とは、製品、プロセス、またはサービスが、一般データ保護規則(GDPR)のすべてまたは特定の要件を満たしていることを示す文書である。GDPR証明書により、組織は個人データを適切に処理し、保護していることをターゲット・グループに示すことができる。GDPR証明書は義務ではない。GDPR証明書の申請は現在まだできない。
Applying for a GDPR certificate GDPR証明書を申請する
Currently, there are no accredited certification bodies in the Netherlands for issuing GDPR certificates. These are bodies that have been accredited by the Dutch Accreditation Council (RvA). As soon as the RvA has accredited certification bodies, you will find this information on our website and in the register on the RvA website. 現在、オランダにはGDPR証明書を発行する認定認証団体はない。これらはオランダ認定審議会(RvA)によって認定された団体である。RvAが認証団体を認定し次第、当社のウェブサイトおよびRvAのウェブサイト上の登録簿にこの情報が掲載される。
As a controller or processor, you can then apply to such certification body for a GDPR certificate. The certification body will then assess whether your product, process or service is eligible for a GDPR certificate 管理者または処理者として、GDPR証明書を当該認証団体に申請することができる。認証団体はその後、貴社の製品、プロセスまたはサービスがGDPR認証の対象となるかどうかをアセスメントする。
Note: The Dutch Data Protection Authority (Dutch DPA) does not issue GDPR certificates itself. If you wish to apply for a GDPR certificate, you need to contact a certification body. 注:オランダデータ保護局(Dutch Data Protection Authority:DPA)はGDPR証明書自体を発行しない。GDPR証明書の申請を希望する場合は、認証団体に連絡する必要がある。
Approval of Brand Compliance criteria ブランドコンプライアンス規準の承認
The Dutch DPA has approved the Brand Compliance criteria (Certification Standard and Criteria BC 5701:2023). However, requesting a GDPR certificate from Brand Compliance is not yet possible. For this, Brand Compliance must first be accredited by the RvA. オランダDPAはブランドコンプライアンス規準(認証標準および規準BC 5701:2023)を承認している。しかし、Brand ComplianceにGDPR証明書を要求することはまだできない。そのためには、まずBrand ComplianceがRvAの認定を受ける必要がある。
If you have any questions about the course of that procedure, please contact Brand Compliance. You may already be able to start preparing for a certification process. Brand Compliance can inform you about this. その手続きの経過について質問がある場合は、ブランド・コンプライアンスに問い合わせること。すでに認証手続きの準備を始めることができるかもしれない。ブランドコンプライアンスからお知らせすることができる。
Only official GDPR certificate is valid GDPRの公式証明書のみが妥当性確認に有効である
To demonstrate your GDPR compliance, you can only use an official GDPR certificate. This is a certificate issued by an organisation accredited by the RvA. A certificate issued by a non-accredited organisation will not be considered a GDPR certificate. GDPRへの準拠を証明するには、公式のGDPR証明書のみを使用することができる。これは、RvAの認定を受けた組織が発行した証明書である。認定を受けていない組織が発行した証明書は、GDPR証明書とはみなされない。
Do you want to be sure that you are dealing with an accredited organisation that is allowed to issue GDPR certificates? Check the register on the RvA website. GDPR証明書の発行を許可されている認定組織と取引していることを確認したい。RvAのウェブサイト上の登録を確認する。
Have you been approached by an organisation offering you a GDPR certificate? GDPR証明書を提供する組織からアプローチを受けたことがあるか?
You may be approached by organisations that offer you a GDPR certificate, but that are still in the process of being accredited. An example is if they are looking for (prospective) customers to demonstrate how their scheme works. This is part of the accreditation process. GDPR証明書を提供しているが、まだ認定を受けていない組織からアプローチされる可能性がある。例えば、そのスキームがどのように機能するかを実証する(見込みのある)顧客を探している場合である。これは認定プロセスの一部である。
Would you like to check whether an organisation you are approached by has an accreditation application pending with the RvA and the Dutch DPA? You can ask the organisation to demonstrate this by showing its correspondence with the Dutch DPA. Are you still having doubts? You can ask your DPO to contact the Dutch DPA to make inquiries. あなたが接触した組織が、RvAとオランダのDPAに認定申請中かどうかを確認したい。オランダのDPAとのやり取りを示すことで、それを証明するよう組織に求めることができる。まだ疑問があるのか?オランダのDPAに問い合わせるようDPOに依頼することができる。
Applying for accreditation as a certification body 認証団体としての認定を申請する
Do you want to issue GDPR certificates as a certification body? You can submit an application for accreditation to the RvA. The Dutch DPA does not accredit certification bodies itself. 認証団体としてGDPR証明書を発行したいのか。RvAに認定申請書を提出することができる。オランダDPAは認証団体を認定しない。
Drawing up a certification scheme for the application 申請のための認証スキームを作成する
Before making an application to the RvA, you have to draw up a certification scheme. As a certification body, you can draw up a scheme yourself. Or you can have this scheme drawn up and managed by an external scheme manager. RvAに申請する前に、認証スキームを作成する必要がある。認証団体として、自らスキームを作成することもできる。または、外部のスキーム管理者にスキームの作成と管理を依頼することもできる。
The certification scheme contains requirements that the certificate holder must meet. The scheme also contains additional requirements for you as a certification body. The Dutch DPA has established these additional requirements and coordinated them with the European Data Protection Board (EDPB). 認証スキームには、認証保有者が満たさなければならない要求事項が含まれている。スキームには、認証機関としての追加要件も含まれている。オランダDPAはこれらの追加要件を定め、欧州データ保護委員会(EDPB)と調整した。
ISO/IEC 17065 standard ISO/IEC 17065標準
The GDPR prescribes the use of the ISO/IEC 17065 standard for accreditation by the RvA. This is the standard for accreditation of certification bodies for products, processes and services. The standard is the basis of the certification scheme. GDPRは、RvAによる認定にISO/IEC 17065標準の使用を規定している。これは、製品、プロセス、サービスに関する認証団体の認定標準である。この標準は、認証スキームの基礎となる。
Assessing the scheme スキームのアセスメント
If you apply to the RvA for accreditation, the RvA will evaluate your certification scheme. The Dutch DPA will then assess whether your certification scheme gives sufficient substance to the relevant requirements under the GDPR. Did the Dutch DPA approve the scheme? Then the accreditation process at the RvA can continue. RvAに認定を申請した場合、RvAは認証スキームを評価する。その後、オランダのDPAは、貴社の認証スキームがGDPRの関連要件を十分に満たしているかどうかを評価する。オランダDPAはスキームを承認したか?その後、RvAにおける認定プロセスを継続することができる。
Note: It is possible that multiple certification schemes that lead to a GDPR certificate will be used in the market. 注:GDPR認証につながる複数の認証スキームが市場で使用される可能性がある。
Steps for accreditation with the Dutch Accreditation Council (RvA) and the role of the Dutch DPA オランダ認定審議会(RvA)による認定のステップとオランダDPAの役割
The accreditation process of the RvA and the role of the Dutch DPA in the approval of certification schemes comprise a number of steps: RvAの認定プロセスおよび認証スキームの承認におけるオランダDPAの役割は、いくつかのステップから構成される:
evaluation by the RvA; RvA による評価
assessment by the Dutch DPA; オランダDPAによるアセスメント
accreditation by the RvA. RvA による認定である。
Evaluation by the RvA RvAによる評価
The RvA assesses whether your application for accreditation can be admitted. RvAは、認定申請が認められるかどうかを評価する。
The RvA conducts a preliminary investigation. This includes an evaluation of the certification scheme drawn up by you or an external scheme manager. RvAは予備調査を行う。これには、本人または外部のスキーム管理者が作成した認証スキームの評価が含まれる。
The RvA concludes the preliminary investigation, subject to approval of the certification scheme by the Dutch DPA. RvAは、オランダDPAによる認証スキームの承認を条件として、予備調査を終了する。
Assessment by the Dutch DPA オランダDPAによるアセスメント
After a positive conclusion of the evaluation by the RvA, the Dutch DPA assesses whether the certification scheme gives sufficient substance to the relevant requirements under the GDPR. RvAによる評価が肯定的に終了した後、オランダDPAは認証スキームがGDPRに基づく関連要件を十分に満たしているかどうかを評価する。
As the certification body or scheme manager, you send the certification scheme to the Dutch DPA. The Dutch DPA will only process your application if the RvA has concluded the evaluation of the scheme with a positive result. And you can demonstrate this. 認証団体またはスキーム管理者として、オランダDPAに認証スキームを送付する。オランダDPAは、RvAがスキームの評価を肯定的な結果で終了した場合にのみ、申請を処理する。そして、それを証明することができる。
The Dutch DPA coordinates the draft decision for approval of the certification scheme with the EDPB. This procedure with the EDPB is in English. This means that you will have to supply the documentation to the EDPB in English. This also applies if you draw up a scheme that is only used in the Netherlands. The further communication from the EDPB to you will also be in English. There is no free translation option through the Dutch DPA or the EDPB. That is why the Dutch DPA recommends that you arrange for a translation into English of all your documentation yourself. オランダDPAは認証スキームの承認決定案をEDPBと調整する。このEDPBとの手続きは英語で行われる。つまり、EDPBに対して英語で文書を提出する必要がある。これは、オランダ国内でのみ使用されるスキームを作成する場合にも適用される。EDPBからあなたへのコミュニケーションも英語で行われる。オランダDPAやEDPBには無料の翻訳オプションはない。そのためオランダDPAは、すべての書類の英訳を自分で手配することを推奨している。
After the Dutch DPA has approved the certification scheme, you send this decision for approval to the RvA. The RvA will then continue the accreditation procedure. オランダDPAが認証スキームを承認した後、この承認決定をRvAに送付する。その後、RvAが認定手続きを継続する。
Accreditation by the RvA RvAによる認定
The RvA will perform an accreditation assessment. RvAは認定審査を行う。
The RvA will make an accreditation decision. After accreditation by the RvA, you are authorised to grant GDPR certificates for the relevant certification scheme. RvAは認定決定を行う。RvAによる認定後、関連する認証スキームのGDPR証明書を付与する権限が付与される。
If the RvA has accredited you, the RvA will also assess you periodically. RvAが貴社を認定した場合、RvAは貴社に対しても定期的にアセスメントを行う。
For more information, see the Accreditation process on the RvA website. 詳細については、RvAのウェブサイトの認定プロセスを参照のこと。
Do you have any questions? 質問はあるか?
Do you have any questions about submitting a certification scheme to the Dutch DPA and having this assessed? Please contact the Dutch DPA by email. 認証スキームをオランダDPAに提出し、アセスメントを受けることについて質問があるか。オランダDPAにEメールで問い合わせること。
Obtaining an approved certification scheme 承認された認証スキームを取得する
Would you like to find out more about an approved certification scheme? Or would you like to know if you can obtain the certification scheme? Please contact the scheme owner. That is the party that developed the certification scheme. 承認された認証スキームについてもっと知りたいか?または、認証スキームを取得できるかどうかを知りたいか。スキーム所有者に連絡すること。認証スキームを開発した当事者である。

 

EDPB...

ブランド・コンプライアンス認証規準に関するオランダ監督当局の決定草案に関する意見15/2023

・2023.09.19 Opinion 15/2023 on the draft decision of the Dutch Supervisory Authority regarding the Brand Compliance certification criteria

・[PDF

20241207-15203

 

 

 

| | Comments (0)

2024.12.06

欧州委員会 AI法における汎用AIモデル - Q&A (2024.11.20)

こんにちは、丸山満彦です。

欧州委員会が、AI法における汎用AIモデル - Q&Aを公表しています。今後追加等されていくのでしょうかね...

欧州AI法の理解を深めるにはよいかもですね...

 

European Committee

1_20241206141401

・2024.11.20 General-Purpose AI Models in the AI Act – Questions & Answers
 

General-Purpose AI Models in the AI Act – Questions & Answers AI法における汎用AIモデル - Q&A
The AI Office is facilitating the interpretation of certain provisions of the AI Act with this dedicated Q&A. AI事務局は、この専用Q&Aにより、AI法の特定条項の解釈を促進している。
Note that only EU Courts can interpret the AI Act. なお、AI法を解釈できるのはEU裁判所のみである。
General FAQ 一般的なFAQ
Why do we need rules for general-purpose AI models?  なぜ汎用AIモデルのルールが必要なのか?
AI promises huge benefits to our economy and society. General-purpose AI models play an important role in that regard, as they can be used for a variety of tasks and therefore form the basis for a range of downstream AI systems, used in Europe and worldwide . AIは、経済や社会に大きな利益をもたらすことが期待されている。汎用AIモデルは、さまざまなタスクに使用できるため、欧州をはじめ世界中で使用されているさまざまな下流のAIシステムの基礎となり、その点で重要な役割を果たしている。
The AI Act aims to ensure that general-purpose AI models are safe and trustworthy. AI法は、汎用AIモデルの安全性と信頼性を確保することを目的としている。
To achieve that aim, it is crucial that providers of general-purpose AI models possess a good understanding of their models along the entire AI value chain, both to enable the integration of such models into downstream AI systems and to fulfil their obligations under the AI Act. As explained in more detail below, providers of general-purpose AI models must draw up and provide technical documentation of their models to the AI Office and downstream providers, must put in place a copyright policy, and must publish a training content summary. In addition, providers of general-purpose AI models posing systemic risks, which may be the case either because they are very capable or because they have a significant impact on the internal market for other reasons, must notify the Commission, assess and mitigate systemic risks, perform model evaluations, report serious incidents, and ensure adequate cybersecurity of their models. その目的を達成するためには、汎用AIモデルのプロバイダが、そのモデルを下流のAIシステムに統合できるようにするため、またAI法に基づく義務を果たすために、AIのバリューチェーン全体を通じて、そのモデルについて十分な理解を持つことが極めて重要である。以下に詳しく説明するように、汎用AIモデルのプロバイダは、そのモデルの技術文書を作成し、AI事務局や川下プロバイダに提供しなければならず、著作権ポリシーを定め、トレーニング内容の概要を公表しなければならない。さらに、システミック・リスクをもたらす汎用AIモデルのプロバイダは、その能力が非常に高いためか、あるいはその他の理由で域内市場に重大な影響を与えるためか、欧州委員会に通知し、システミック・リスクをアセスメントし緩和し、モデル評価を実施し、重大なインシデントを報告し、モデルの適切なサイバーセキュリティを確保しなければならない。
In this way, the AI Act contributes to safe and trustworthy innovation in Europe. このように、AI法は欧州における安全で信頼できるイノベーションに貢献している。
What are general-purpose AI models?  汎用AIモデルとは何か?
The AI Act defines a general-purpose AI model as “an AI model, including where such an AI model is trained with a large amount of data using self-supervision at scale, that displays significant generality and is capable of competently performing a wide range of distinct tasks regardless of the way the model is placed on the market and that can be integrated into a variety of downstream systems or applications” (Article 3(63)). AI法は、汎用AIモデルを「大規模な自己監視を使用して大量のデータで学習される場合を含め、有意な汎用性を示し、モデルが上市される方法に関係なく広範で明確なタスクを適切に実行でき、様々な下流のシステムやアプリケーションに統合できるAIモデル」と定義している(第3条63項)。
The Recitals to the AI Act further clarify which models should be deemed to display significant generality and to be capable of performing a wide range of distinct tasks. AI法の前文では、どのようなモデルが重要な汎用性を示し、広範で明確なタスクを実行できるとみなされるべきかをさらに明確にしている。
According to Recital 98, “whereas the generality of a model could, inter alia, also be determined by a number of parameters, models with at least a billion of parameters and trained with a large amount of data using self-supervision at scale should be considered to display significant generality and to competently perform a wide range of distinctive tasks.” 前文98によれば、「モデルの汎用性は、特に、パラメータの数によっても決定され得るが、少なくとも10億個のパラメータを有し、大規模な自己監視を使用して大量のデータで訓練されたモデルは、有意な汎用性を示し、広範囲の特徴的なタスクを有能に実行するとみなされるべきである」。
Recital 99 adds that “large generative AI models are a typical example for a general-purpose AI model, given that they allow for flexible generation of content, such as in the form of text, audio, images or video, that can readily accommodate a wide range of distinctive tasks.” 前文99は、「大規模な生成的AIモデルは、テキスト、音声、画像、映像などのコンテンツの柔軟な生成を可能にし、幅広い特徴的なタスクに容易に対応できることから、汎用AIモデルの典型的な例である 」と付け加えている。
Note that significant generality and ability to competently perform a wide range of distinctive tasks may be achieved by models within a single modality, such as text, audio, images, or video, if the modality is flexible enough. This may also be achieved by models that were developed, fine-tuned, or otherwise modified to be particularly good at a specific task. モダリティが十分に柔軟であれば、テキスト、音声、画像、動画など、単一のモダリティ内のモデルによって、重要な汎用性と幅広い特徴的なタスクを有能に実行する能力が達成される可能性があることに留意されたい。また、特定のタスクを特に得意とするように開発、微調整、またはその他の方法で修正されたモデルによって達成される場合もある。
The AI Office intends to provide further clarifications on what should be considered a general-purpose AI model, drawing on insights from the Commission’s Joint Research Centre, which is currently working on a scientific research project addressing this and other questions. AI室は、現在、この問題やその他の問題に取り組む科学的研究プロジェクトに取り組んでいる欧州委員会の共同研究センターからの知見を活用しながら、何が汎用AIモデルとみなされるべきかについて、さらに明確にしていくつもりである。
What are general-purpose AI models with systemic risk?  システミック・リスクを伴う汎用AIモデルとは何か?
Systemic risks are risks of large-scale harm from the most advanced (i.e. state-of-the-art) models at any given point in time or from other models that have an equivalent impact (see Article 3(65)). Such risks can manifest themselves, for example, through the lowering of barriers for chemical or biological weapons development, unintended issues of control over autonomous general-purpose AI models, or harmful discrimination or disinformation at scale (Recital 110). The most advanced models at any given point in time may pose systemic risks, including novel risks, as they are pushing the state of the art. At the same time, some models below the threshold reflecting the state of the art may also pose systemic risks, for example, through reach, scalability, or scaffolding. システミックリスクとは、ある時点で最も先進的な(すなわち最先端の)モデル、あるいは同等の影響を及ぼす他のモデルから、大規模な被害が発生するリスクのことである(第3条65項参照)。このようなリスクは、例えば、化学兵器や生物兵器の開発障壁の低下、自律型汎用AIモデルの制御に関する意図せざる問題、あるいは規模に応じた有害な識別や偽情報を通じて顕在化する可能性がある(前文110)。ある時点で最も先進的なモデルは、最先端の技術を押し進めるため、新規リスクを含むシステミック・リスクを引き起こす可能性がある。同時に、最先端技術を反映する閾値以下のモデルも、例えば、リーチ、拡張性、足場によって、システミック・リスクをもたらす可能性がある。
Accordingly, the AI Act classifies a general-purpose AI model as a general-purpose AI model with systemic risk if it is one of the most advanced models at that point in time or if it has an equivalent impact (Article 51(1)). Which models are considered general-purpose AI models with systemic risk may change over time, reflecting the evolving state of the art and potential societal adaptation to increasingly advanced models. Currently, general-purpose AI models with systemic risk are developed by a handful of companies, although this may also change over time. 従って、AI法は、汎用AIモデルが、その時点で最も先進的なモデルの一つである場合、または同等の影響力を有する場合、システミック・リスクを有する汎用AIモデルとして分類している(51条1項)。どのモデルがシステミック・リスクを伴う汎用AIモデルとみなされるかは、進化する技術の状況や、高度化するモデルへの社会の潜在的な適応を反映して、時間の経過とともに変化する可能性がある。現在、システミック・リスクを伴う汎用AIモデルは一握りの企業によって開発されているが、これも時間の経過とともに変化する可能性がある。
To capture the most advanced models, the AI Act initially lays down a threshold of 10^25 floating-point operations (FLOP) used for training the model (Article 51(1)(a) and (2)). Training a model that meets this threshold is currently estimated to cost tens of millions of Euros (Epoch AI, 2024). The AI Office will continuously monitor technological and industrial developments and the Commission may update the threshold to ensure that it continues to single out the most advanced models as the state of the art evolves by way of delegated act (Article 51(3)). For example, the value of the threshold itself could be adjusted, and/or additional thresholds introduced. 最も高度なモデルを捕捉するため、AI法は当初、モデルの訓練に使用する浮動小数点演算(FLOP)の閾値を10^25と定めている(第51条1項(a)および(2))。この閾値を満たすモデルのトレーニングには、現在、数千万ユーロの費用がかかると見積もられている(Epoch AI, 2024)。AI事務局は、技術および産業の発展を継続的に監視し、欧州委員会は、委任法(第51条第3項)により、技術状況の進展に応じて、最先端モデルを選別し続けることができるよう、閾値を更新することができる。例えば、閾値自体の値を調整したり、追加の閾値を導入したりすることができる。
To capture models with an impact equivalent to the most advanced models, the AI Act empowers the Commission to designate additional models as posing systemic risk, based on criteria such as number of users, scalability, or access to tools (Article 51(1)(b), Annex XIII). 最先端モデルと同等の影響力を持つモデルを捕捉するため、AI法は、欧州委員会に対し、ユーザー数、拡張性、ツールへのアクセスなどの規準に基づいて、システミック・リスクをもたらすモデルを追加指定する権限を与えている(第51条1項(b)、附属書XIII)。
The AI Office intends to provide further clarifications on how general-purpose AI models will be classified as general-purpose AI models with systemic risk, drawing on insights from the Commission’s Joint Research Centre which is currently working on a scientific research project addressing this and other questions. AI室は、現在、この問題やその他の問題に取り組む科学的研究プロジェクトに取り組んでいる欧州委員会の共同研究センターからの知見を活用し、汎用AIモデルがシステミック・リスクを有する汎用AIモデルとしてどのように分類されるかについて、さらなる明確化を行う意向である。
What is a provider of a general-purpose AI model?  汎用AIモデルのプロバイダとは何か?
The AI Act rules on general-purpose AI models apply to providers placing such models on the market in the Union, irrespective of whether those providers are established or located within the Union or in a third country (Article 2(1)(a)). 汎用AIモデルに関するAI法の規則は、当該モデルを域内で上市するプロバイダに適用され、プロバイダが域内に設立されているか、域内に所在しているか、第三国に所在しているかは問わない(第2条1項a)。
A provider of a general-purpose AI model means a natural or legal person, public authority, agency or other body that develops a general-purpose AI model or that has such a model developed and places it on the market, whether for payment or free or charge (Article 3(3)). 汎用AIモデルのプロバイダとは、汎用AIモデルを開発する、又はそのようなモデルを開発させ、有償であるか無償であるかを問わず、上市する自然人又は法人、公的機関、代理店その他の団体を意味する(第3条(3))。
To place a model on the market means to first make it available on the Union market (Article 3(9)), that is, to supply it for distribution or use on the Union market in the course of a commercial activity, whether in return for payment or free of charge (Article 3(10)). Note that a general-purpose AI model is also considered to be placed on the market if that model’s provider integrates the model into its own AI system which is made available on the market or put into service, unless the model is (a) used for purely internal processes that are not essential for providing a product or a service to third parties, (b) the rights of natural persons are not affected, and (c) the model is not a general-purpose AI model with systemic risk (Recital 97). モデルを上市するとは、まずそれを連合市場で入手可能にすること(3条9項)、すなわち、商業活動の過程において、有償であるか無償であるかを問わず、連合市場で頒布又は使用するためにそれを供給することを意味する(3条10項)。ただし、(a) 製品やサービスを第三者に提供するために不可欠でない純粋な内部処理に使用される場合、(b) 自然人の権利に影響を与えない場合、(c) システミック・リスクを伴う汎用AIモデルでない場合はこの限りではない(前文97)。
What are the obligations for providers of general-purpose AI models?  汎用AIモデルのプロバイダの義務は何か?
The obligations for providers of general-purpose AI models apply from 2 August 2025 (Article 113(b)), with special rules for general-purpose AI models placed on the market before that date (Article 111(3)). 汎用AIモデルのプロバイダに対する義務は2025年8月2日から適用され(113条b)、それ以前に上市された汎用AIモデルについては特別規定が設けられている(111条3)。
Based on Article 53 of the AI Act, providers of general-purpose AI models must document technical information about the model for the purpose of providing that information upon request to the AI Office and national competent authorities (Article 53(1)(a)) and making it available to downstream providers (Article 53(1)(b)). They must also put in place a policy to comply with Union law on copyright and related rights (Article 53(1)(c)) and draw up and make publicly available a sufficiently detailed summary about the content used for training the model (Article 53(1)(d)). AI法第53条に基づき、汎用AIモデルのプロバイダは、AI事務局および各国所轄官庁の要求に応じて情報を提供し(第53条第1項(a))、川下プロバイダが利用できるようにする(第53条第1項(b))ことを目的として、モデルに関する技術情報を文書化しなければならない。また、著作権および関連する権利に関する連邦法を遵守するための方針を定め(第53条1項(c))、モデルの訓練に使用されるコンテンツについて十分に詳細な要約を作成し、一般に公開しなければならない(第53条1項(d))。
The General-Purpose AI Code of Practice should provide further detail on these obligations in the sections dealing with transparency and copyright (led by Working Group 1). 汎用AI実施規範は、透明性と著作権を扱うセクション(第1作業部会が主導)において、これらの義務に関するさらなる詳細を提供すべきである。
Based on Article 55 of the AI Act, providers of general-purpose AI models with systemic risk have additional obligations. They must assess and mitigate systemic risks, in particular by performing model evaluations, keeping track of, documenting, and reporting serious incidents, and ensuring adequate cybersecurity protection for the model and its physical infrastructure. AI法第55条に基づき、システミック・リスクを有する汎用AIモデルのプロバイダには、さらなる義務がある。特に、モデル評価の実施、重大インシデントの追跡、文書化、報告、モデルとその物理的インフラに対する適切なサイバーセキュリティ保護の確保によって、システミック・リスクをアセスメントし緩和しなければならない。
The General-Purpose AI Code of Practice should provide further detail on these obligations in the sections dealing with systemic risk assessment, technical risk mitigation, and governance risk mitigation (led by Working Groups 2, 3, and 4 respectively). 汎用AIコード・オブ・プラクティスでは、システミックリスクのアセスメント、テクニカルリスクの緩和、ガバナンスリスクの緩和(それぞれワーキンググループ2、3、4が主導)を扱うセクションで、これらの義務についてさらに詳しく説明する必要がある。
If someone open-sources a model, do they have to comply with the obligations for providers of general-purpose AI models?  誰かがモデルをオープンソース化した場合、彼らは汎用AIモデルのプロバイダに対する義務を遵守しなければならないのか?
The obligations to draw up and provide documentation to the AI Office, national competent authorities, and downstream providers (Article 53(1)(a) and (b)) do not apply if the model is released under a free and open-source license and its parameters, including the weights, the information on the model architecture, and the information on model usage, are made publicly available. This exemption does not apply to general-purpose AI models with systemic risk (Article 53(2)). Recitals 102 and 103 further clarify what constitutes a free and open-source license and the AI Office intends to provide further clarifications on questions concerning open-sourcing general-purpose AI models. AI事務局、各国所轄官庁、川下プロバイダに対して文書を作成し提供する義務(第53条(1)(a)及び(b))は、モデルが無償のオープンソースライセンスの下でリリースされ、重み、モデルアーキテクチャに関する情報、モデルの使用状況に関する情報を含むパラメータが一般に公開されている場合には適用されない。この適用除外は、システミック・リスクを伴う汎用AIモデルには適用されない(第53条2項)。前文102および103は、何が無償かつオープンソースのライセンスを構成するかをさらに明確にしており、AI事務局は、汎用AIモデルのオープンソース化に関する疑問について、さらなる明確化を提供する意向である。
By contrast, providers of general-purpose AI models with systemic risk must comply with their obligations under the AI Act regardless of whether their models are open-source. After the open-source model release, measures necessary to ensure compliance with the obligations of Articles 53 and 55 may be more difficult to implement (Recital 112). Therefore, providers of general-purpose AI models with systemic risk may need to assess and mitigate systemic risks before releasing their models as open-source. 一方、システミック・リスクを有する汎用AIモデルのプロバイダは、そのモデルがオープンソースであるか否かにかかわらず、AI法に基づく義務を遵守しなければならない。オープンソースモデル公開後は、第53条および第55条の義務の遵守を確保するために必要な措置を実施することがより困難になる可能性がある(前文112)。したがって、システミック・リスクを伴う汎用AIモデルのプロバイダは、モデルをオープンソースとしてリリースする前に、システミック・リスクをアセスメントし緩和する必要があるかもしれない。
The General-Purpose AI Code of Practice should provide further detail on what the obligations in Articles 53 and 55 imply for different ways of releasing general-purpose AI models, including open-sourcing. 汎用AIコード・オブ・プラクティスは、オープンソースを含む汎用AIモデルのさまざまな公開方法について、第53条と第55条の義務が何を意味するのかについて、さらなる詳細を示すべきである。
An important but difficult question underpinning this process is that of finding a balance between pursuing the benefits and mitigating the risks from the open-sourcing of advanced general-purpose AI models: open-sourcing advanced general-purpose AI models may indeed yield significant societal benefits, including through fostering AI safety research; at the same time, when such models are open-sourced, risk mitigations are more easily circumvented or removed. このプロセスの根底にある重要だが難しい問題は、高度な汎用AIモデルのオープンソース化による利益の追求とリスクの緩和のバランスを見つけることである。高度な汎用AIモデルをオープンソース化することは、AIの安全性研究の促進を含め、確かに大きな社会的利益をもたらすかもしれないが、同時に、そのようなモデルがオープンソース化されると、リスクの緩和が回避または除去されやすくなる。
Do the obligations for providers of general-purpose AI models apply in the Research & Development phase?  汎用AIモデルのプロバイダに対する義務は、研究開発段階でも適用されるのか?
Article 2(8) specifies that the AI Act “does not apply to any research, testing or development activity regarding AI systems or AI models prior to their being placed on the market or put into service.” 第2条8項では、AI法は「AIシステムまたはAIモデルが上市または実用化される前の研究、試験または開発活動には適用されない」と規定している。
At the same time, many of the obligations for providers of general-purpose AI models (with and without systemic risk) explicitly or implicitly pertain to the Research & Development phase of models intended for but prior to the placing on the market. For example, this is the case for the obligations for providers to notify the Commission that their general-purpose AI model meets or will meet the training compute threshold (Articles 51 and 52), to document information about training and testing (Article 53), and to assess and mitigate systemic risk (Article 55). In particular, Article 55(1)(b) explicitly specifies that “providers of general-purpose AI models with systemic risk shall assess and mitigate possible systemic risks at Union level, including their sources, that may stem from the development (...) of general-purpose AI models with systemic risk.” 同時に、汎用AIモデル(システミックリスクの有無にかかわらず)のプロバイダに対する義務の多くは、明示的または黙示的に、上市前のモデルの研究開発段階に関係している。例えば、プロバイダが、その汎用AIモデルがトレーニング計算の閾値を満たすこと、または満たす予定であることを欧州委員会に通知する義務(第51条および第52条)、トレーニングおよびテストに関する情報を文書化する義務(第53条)、システミック・リスクを評価し緩和する義務(第55条)がそうである。特に、第55条1項(b)は、「システミック・リスクを伴う汎用AIモデルのプロバイダは、システミック・リスクを伴う汎用AIモデルの開発(...)に起因する可能性のあるシステミック・リスクを、その発生源を含め、連合レベルで評価し緩和しなければならない 」と明示している。
In any case, the AI Office expects discussions with providers of general-purpose AI models with systemic risk to start early in the development phase. This is consistent with the obligation for providers of general-purpose AI models that meet the training compute threshold laid down in Article 51(2) to “notify the Commission without delay and in any event within two weeks after that requirement is met or it becomes known that it will be met”(Article 52(1)). Indeed, training of general-purpose AI models takes considerable planning, which includes the upfront allocation of compute resources, and providers of general-purpose AI models are therefore able to know if their model will meet the training compute threshold before the training is complete (Recital 112). いずれにせよ、AI事務局は、システミック・リスクを伴う汎用AIモデルのプロバイダとの話し合いが、開発段階の早い段階で開始されることを期待している。これは、第51条2項に規定されているトレーニング計算の閾値を満たす汎用AIモデルのプロバイダが、「その要件が満たされた後、または満たされることが判明した後、遅滞なく、いかなる場合にも2週間以内に欧州委員会に通知する」(第52条1項)義務と整合的である。実際、汎用AIモデルのトレーニングには、前もって計算資源を割り当てるなど、かなりの計画が必要であり、そのため、汎用AIモデルのプロバイダは、トレーニングが完了する前に、そのモデルがトレーニング計算量の閾値を満たすかどうかを知ることができる(前文112)。
The AI Office intends to provide further clarifications on this question. AI事務局は、この問題についてさらなる明確化を行う予定である。
If someone fine-tunes or otherwise modifies a model, do they have to comply with the obligations for providers of general-purpose AI models?  誰かがモデルの微調整やその他の変更を行った場合、その人は汎用AIモデルのプロバイダに対する義務を遵守しなければならないのか。
General-purpose AI models may be further modified or fine-tuned into new models (Recital 97). Accordingly, downstream entities that fine-tune or otherwise modify an existing general-purpose AI model may become providers of new models. The specific circumstances in which a downstream entity becomes a provider of a new model is a difficult question with potentially large economic implications, as many organisations and individuals fine-tune or otherwise modify general-purpose AI models developed by another entity. The AI Office intends to provide further clarifications on this question. 汎用AIモデルは、新たなモデルにさらに修正または微調整することができる(前文97)。したがって、既存の汎用AIモデルを微調整またはその他の方法で修正する川下事業体は、新たなモデルのプロバイダになる可能性がある。多くの組織や個人が、他の事業体によって開発された汎用AIモデルを微調整またはその他の方法で修正するため、川下企業が新しいモデルのプロバイダになる具体的な状況は、経済的に大きな影響を及ぼす可能性のある難しい問題である。AI事務局は、この問題についてさらなる明確化を行う予定である。
In the case of a modification or fine-tuning of an existing general-purpose AI model, the obligations for providers of general-purpose AI models in Article 53 should be limited to the modification or fine-tuning, for example, by complementing the already existing technical documentation with information on the modifications (Recital 109). The obligations for providers of general-purpose AI models with systemic risk in Article 55 may be limited in similar ways. The General-Purpose AI Code of Practice could reflect differences between providers that initially develop general-purpose AI models and those that fine-tune or otherwise modify an existing model. 既存の汎用AIモデルの修正又は微調整の場合、第53条の汎用AIモデルのプロバイダに対する義務は、例えば、既に存在する技術文書を修正に関する情報で補完することにより、修正又は微調整に限定すべきである(前文109)。第55条のシステミック・リスクを伴う汎用AIモデルのプロバイダに対する義務も、同様の方法で制限される可能性がある。汎用AIコード・オブ・プラクティスには、汎用AIモデルを最初に開発するプロバイダと、既存のモデルを微調整またはその他の方法で修正するプロバイダとの違いを反映させることができる。
Note that regardless of whether a downstream entity that incorporates a general-purpose AI model into an AI system is deemed to be a provider of the general-purpose AI model, that entity must comply with the relevant AI Act requirements and obligations for AI systems. なお、汎用AIモデルをAIシステムに組み込む川下の事業体が汎用AIモデルのプロバイダとみなされるか否かにかかわらず、その事業体はAIシステムに関するAI法の関連する要件と義務を遵守しなければならない。
What is the General-Purpose AI Code of Practice?  汎用AI規範とは何か?
Based on Article 56 of the AI Act, the General-Purpose AI Code of Practice should detail the manner in which providers of general-purpose AI models and of general-purpose AI models with systemic risk may comply with their obligations under the AI Act. The AI Office is facilitating the drawing-up of this Code of Practice, with four working groups chaired by independent experts and involving nearly 1000 stakeholders, EU Member States representatives, as well as European and international observers. AI法第56条に基づき、汎用AIコード・オブ・プラクティスは、汎用AIモデルおよびシステミック・リスクを有する汎用AIモデルのプロバイダがAI法に基づく義務を遵守するための方法を詳述する必要がある。AI事務局は、独立した専門家を議長とし、1000人近い利害関係者、EU加盟国の代表者、欧州および国際的なオブザーバーが参加する4つの作業部会で、この実施規範の作成を促進している。
More precisely, the Code of Practice should detail at least how providers of general-purpose AI models may comply with the obligations laid down in Articles 53 and 55. This means that the Code of Practice can be expected to have two parts: one that applies to providers of all general-purpose AI models (Article 53), and one that applies only to providers of general-purpose AI models with systemic risk (Article 55). Another obligation that may be covered by the Code of Practice is the obligation to notify the Commission for providers of general-purpose AI models that meet or are expected to meet the conditions listed in Article 51 for being classified as a general-purpose AI model with systemic risk (Article 52(1)). より正確には、実施規範は、汎用AIモデルのプロバイダが第53条と第55条に規定された義務を遵守する方法を少なくとも詳述するものでなければならない。すなわち、すべての汎用AIモデルのプロバイダに適用されるもの(第53条)と、システミック・リスクを伴う汎用AIモデルのプロバイダのみに適用されるもの(第55条)である。システミック・リスクを有する汎用AIモデルとして分類されるための第51条に列挙された条件を満たす、または満たすことが予想される汎用AIモデルのプロバイダについては、欧州委員会に通知する義務がある(第52条1項)。
What is not part of the Code of Practice?  実施基準には何が含まれないのか?
The Code of Practice should not address inter alia the following issues: defining key concepts and definitions from the AI Act (such as “general-purpose AI model”), updating the criteria or thresholds for classifying a general-purpose AI model as a general-purpose AI model with systemic risk (Article 51), outlining how the AI Office will enforce the obligations for providers of general-purpose AI models (Chapter IX Section 5), and questions concerning fines, sanctions, and liability. 特に、AI法における主要な概念や定義(「汎用AIモデル」など)の定義、汎用AIモデルをシステミック・リスクを有する汎用AIモデルとして分類するための規準や閾値の更新(第51条)、AI事務局が汎用AIモデルのプロバイダに対する義務をどのように執行するかの概要(第IX章第5節)、罰金、制裁、責任に関する問題などについては、実施規範は取り上げるべきではない。
These issues may instead be addressed through other means (decisions, delegated acts, implementing acts, further communications from the AI Office, etc.). これらの問題は、代わりに他の手段(決定、委任法、実施法、AI事務局からのさらなるコミュニケーションなど)を通じて対処することができる。
Nevertheless, the Code of Practice may include commitments by providers of general-purpose AI models to document and report additional information, as well as to involve the AI Office and third parties throughout the entire model lifecycle, in so far as this is considered necessary for providers to effectively comply with their obligations under the AI Act. とはいえ、実施基準には、プロバイダがAI法に基づく義務を効果的に遵守するために必要であると考えられる限りにおいて、汎用AIモデルのプロバイダが、追加情報を文書化して報告すること、及びモデルのライフサイクル全体を通じてAI事務局やサードパーティを関与させることを約束することを含めることができる。
Do AI systems play a role in the Code of Practice?  AIシステムは実施規範の中で役割を果たすのか?
The AI Act distinguishes between AI systems and AI models, imposing requirements for certain AI systems (Chapters II-IV) and obligations for providers of general-purpose AI models (Chapter V). While the provisions of the AI Act concerning AI systems depend on the context of use of the system, the provisions of the AI Act concerning general-purpose AI models apply to the model itself, regardless of what is or will be its ultimate use. The Code of Practice should only pertain to the obligations in the AI Act for providers of general-purpose AI models. AI法は、AIシステムとAIモデルを区別し、特定のAIシステムには要件を課し(第II章から第IV章)、汎用AIモデルのプロバイダには義務を課している(第V章)。AIシステムに関するAI法の規定がシステムの使用状況に依存するのに対し、汎用AIモデルに関するAI法の規定は、その最終的な用途が何であるか、あるいは何になるかにかかわらず、モデル自体に適用される。実施規範は、汎用AIモデルのプロバイダに対するAI法の義務にのみ関係するはずである。
Nevertheless, there are interactions between the two sets of rules, as general-purpose AI models are typically integrated into and form part of AI systems. If a provider of the general-purpose AI model integrates a general-purpose AI model into an AI system, that provider must comply with the obligations for providers of general-purpose AI models and, if the AI system falls within the scope of the AI Act, must comply with the requirements for AI systems. If a downstream provider integrates a general-purpose AI model into an AI system, the provider of the general-purpose AI model must cooperate with the downstream provider of the AI system to ensure that the latter can comply with its obligations under the AI Act if the AI system falls within the scope of the AI Act (for example by providing certain information to the downstream provider). とはいえ、汎用AIモデルは一般的にAIシステムに統合され、その一部を構成するため、2つのルールセットの間には相互作用が存在する。汎用AIモデルのプロバイダが汎用AIモデルをAIシステムに統合する場合、そのプロバイダは汎用AIモデルのプロバイダに対する義務を遵守しなければならず、AIシステムがAI法の適用範囲に含まれる場合には、AIシステムに対する要求事項を遵守しなければならない。川下プロバイダが汎用AIモデルをAIシステムに統合する場合、汎用AIモデルのプロバイダは、AIシステムの川下プロバイダがAI法に基づく義務を遵守できるように協力しなければならない(例えば、川下プロバイダに一定の情報を提供するなど)。
Given these interactions between models and systems, and between the obligations and requirements for each, an important question underlying the Code of Practice concerns which measures are appropriate at the model layer, and which need to be taken at the system layer instead. このようなモデルとシステム、そしてそれぞれの義務と要件の相互関係を考えると、実施規範の根底にある重要な問題は、どのような措置がモデル層で適切であり、代わりにどのような措置をシステム層で講じる必要があるのかということにある。
How does the Code of Practice take into account the needs of start-ups?  実施規範は、新興企業のニーズをどのように考慮しているか?
The Code of Practice should set out its objectives, measures and, as appropriate, key performance indicators (KPIs) to measure the achievement of its objectives. Measures and KPIs related to the obligations applicable to providers of all general-purpose AI models should take due account of the size of the provider and allow simplified ways of compliance for SMEs, including start-ups, that should not represent an excessive cost and not discourage the use of such models (Recital 109). Moreover, the KPIs related to the obligations applicable to providers of general-purpose AI models with systemic risk should reflect differences in size and capacity between various providers (Article 56(5)), while ensuring that they are proportionate to the risks (Article 56(2)(d)). 実施規範は、目的、対策、そして必要に応じて、目的の達成度を測るための主要業績評価指標(KPI)を定めなければならない。すべての汎用AIモデルのプロバイダに適用される義務に関する措置とKPIは、プロバイダの規模を十分に考慮し、新興企業を含む中小企業にとって簡素化された遵守方法を認めるべきである。さらに、システミック・リスクを伴う汎用AIモデルのプロバイダに適用される義務に関連するKPIは、リスクに見合ったものであることを確保しつつ(第56条2項(d))、様々なプロバイダ間の規模や能力の違いを反映したものでなければならない(第56条5項)。
When will the Code of Practice be finalised?  実施規範はいつ確定するのか?
After the publication of the first draft of the Code of Practice, it is expected that there will be three more drafting rounds over the coming months. Thirteen Chairs and Vice-Chairs, drawn from diverse backgrounds in computer science, AI governance and law, are responsible for synthesizing submissions from a multi-stakeholder consultation and discussions with the Code of Practice Plenary consisting of around 1000 stakeholders. This iterative process will lead to a final Code of Practice which should reflect the various submissions whilst ensuring a convincing implementation of the legal framework. 実施規範の最初のドラフトが公表された後、今後数ヶ月の間にさらに3回のドラフト作業が行われる予定である。コンピュータサイエンス、AIガバナンス、法律など、多様なバックグラウンドを持つ13人の委員長と副委員長が、マルチステークホルダーによる協議や、約1000人のステークホルダーで構成される「行動規範」全体会議での議論を経て、提出された内容を統合する。この反復プロセスは、法的枠組みの説得力のある実施を確保しつつ、様々な提出物を反映した最終的な実施規範につながる。
What are the legal effects of the Code of Practice?  実施規範の法的効果は?
If approved via implementing act, the Code of Practice obtains general validity, meaning that adherence to the Code of Practice becomes a means to demonstrate compliance with the AI Act. Nevertheless, compliance with the AI Act can also be demonstrated in other ways. 実施法によって承認されれば、実施規範は一般的妥当性を確認することができ、実施規範の遵守がAI法の遵守を証明する手段となる。とはいえ、AI法の遵守は他の方法でも証明できる。
Based on the AI Act, additional legal effects of the Code of Practice are that the AI Office can enforce adherence to the Code of Practice (Article 89(1)) and should take into account commitments made in the Code of Practice when fixing the amount of fines (Article 101(1)). AI法に基づき、実施規範の追加的な法的効果として、AI事務局は実施規範の遵守を強制することができ(第89条1項)、罰金額を定める際には実施規範の公約を考慮すべきである(第101条1項)。
How will the Code of Practice be reviewed and updated?  実施規範はどのように見直され、更新されるのか?
While the first draft of the Code of Practice does not yet contain details on its review and updating, further iterations of the draft, and any implementing act adopted to approve the final Code of Practice, can be expected to include this information. 実施規範の第1草案には、その見直しと更新に関する詳細はまだ記載されていないが、草案のさらなる見直しや、最終的な実施規範を承認するために採択される施行法には、この情報が含まれることが期待される。
Which enforcement powers does the AI Office have?  AI事務局はどのような執行権限を有するのか?
The AI Office will enforce the obligations for providers of general-purpose AI models (Article 88), as well as support governance bodies within Member States in their enforcement of the requirements for AI systems (Article 75), among other tasks. Enforcement by the AI Office is underpinned by the powers given to it by the AI Act, namely the powers to request information (Article 91), conduct evaluations of general-purpose AI models (Article 92), request measures from providers, including implementing risk mitigations and recalling the model from the market (Article 93), and to impose fines of up to 3% of global annual turnover or 15 million Euros, whichever is higher (Article 101). AI事務局は、汎用AIモデルのプロバイダに対する義務(第88条)を実施するほか、AIシステムに対する要求事項(第75条)を実施する加盟国のガバナンス団体を支援する。AI事務局による施行は、AI法によってAI事務局に与えられた権限、すなわち、情報要求権(第91条)、汎用AIモデルの評価実施権(第92条)、リスク緩和の実施やモデルの市場からの回収を含むプロバイダへの措置要求権(第93条)、および全世界の年間売上高の3%または1500万ユーロのいずれか高い方を上限とする罰金(第101条)によって支えられている。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.04 欧州評議会 AIシステムの人権への影響を評価する新しいツールを発表 (2024.12.02)

・2024.10.30 欧州 AI法の調和標準の策定について...

・2024.10.18 オランダ AI利用ガイド (2024.10.16)

・2024.08.05 欧州AI法が施行された... (2024.08.01)

・2024.07.20 EU EDPB GDPRとEU-AI法関連

・2024.07.19 ドイツ BfDI フランス CNIL オランダ AP EU AI法関連

・2024.07.16 EU 2024.07.12にAI法がEU官報に掲載された

 

| | Comments (0)

米国 ホワイトハウス 「サイバー人材と教育のエコシステムツールキット - 地域をつなぐ人をつなぐ」 (2024.12.02)

こんにちは、丸山満彦です。

ホワイトハウスのONCDから、「サイバー人材と教育のエコシステムツールキット - 地域をつなぐ人をつなぐ」が公表されていますね...

雇用側(産業界)、学術界、非営利団体、政府、その他の利害関係者間のつながりを構築する方法についての提言ということですね。

日本の政策においても参考になるかもですね...

 

U.S. White House - ONCD

・2024.12.02 Readout: National Cyber Director Harry Coker and Congressman Bennie Thompson visit Mississippi to Highlight Best Practices Building the Nation’s Cyber Workforce and Work Done to Bring Good-Paying Cyber Jobs to Mississippi

Readout: National Cyber Director Harry Coker and Congressman Bennie Thompson visit Mississippi to Highlight Best Practices Building the Nation’s Cyber Workforce and Work Done to Bring Good-Paying Cyber Jobs to Mississippi 読み上げ ハリー・コーカー国家サイバー長官とベニー・トンプソン下院議員がミシシッピ州を訪問し、国家のサイバー人材育成のベストプラクティスと、ミシシッピ州に高収入のサイバー雇用をもたらすために行われた活動を紹介した。
ONCD announces new toolkit to help build and strengthen their cybersecurity ecosystems to better connect students with good-paying cyber jobs. ONCDは、サイバーセキュリティのエコシステムを構築・強化し、学生を高収入のサイバー職につなげるための新しいツールキットを発表した。
Today, in Raymond, Mississippi, White House National Cyber Director Harry Coker, Jr. joined House Homeland Security Committee Ranking Member Bennie Thompson (MS-02) to spotlight best practices in Mississippi that are bringing good-paying cyber jobs to students across the area. They also highlighted investments by the Biden-Harris Administration that are contributing to more Mississippians being able to participate and thrive in the digital economy. 本日、ミシシッピ州レイモンドで、ホワイトハウスのハリー・コーカー・ジュニア・国家サイバー長官は、下院国土安全保障委員会のベニー・トンプソン委員(MS-02)と共に、ミシシッピ州全域の学生に高収入のサイバー職をもたらすミシシッピ州のベスト・プラクティスを紹介した。また、バイデン-ハリス政権による投資が、より多くのミシシッピ州民がデジタル経済に参加し、繁栄することに貢献していることも強調した。
Director Coker and Congressman Thompson spoke at Hinds Community College to celebrate the success of three academic institutions in the Jackson, Mississippi area: Hinds Community College (Hinds), Jackson State University (JSU), and Tougaloo College, which have all built strong programs and offerings to expand students’ interests in cyber and provide hands-on learning to prepare them for a cyber career.   コーカー長官とトンプソン下院議員は、ミシシッピ州ジャクソン地域の3つの学術機構の成功を祝うため、ハンズ・コミュニティ・カレッジで講演を行った: ハンズ・コミュニティ・カレッジ(Hinds)、ジャクソン州立大学(JSU)、トゥガルー・カレッジの3校はいずれも、学生のサイバーへの関心を高め、サイバー・キャリアへの準備のための実践的な学習を提供する強力なプログラムを構築している。 
In line with the Biden-Harris Administration’s National Cyber Workforce and Education Strategy (NCWES) released in July 2023, Director Coker and Congressman Thompson heard about how a focus on work-based, experiential learning opportunities gives students a significant advantage when entering the workforce, allowing them to attain good-paying, meaningful jobs in cybersecurity that benefits their communities. 2023年7月に発表されたバイデン-ハリス政権の国家サイバー人材・教育戦略(NCWES)に沿って、コーカー長官とトンプソン下院議員は、仕事ベースの体験的な学習機会を重視することで、学生が社会に出たときに大きなアドバンテージを得ることができ、地域社会に利益をもたらすサイバーセキュリティの高賃金で有意義な仕事を獲得できるようになることを聞いた。
In Mississippi, as in other parts of the Nation, there is a strong demand for cyber talent. Over 5,000 Mississippians are currently employed in cyber careers, yet there are still almost 2,290 open cybersecurity jobs in the state, including about 950 open jobs in the Jackson area. ミシシッピ州では、全米の他の地域と同様に、サイバー人材に対する強い需要がある。現在5,000人以上のミシシッピ州民がサイバーセキュリティの仕事に就いているが、州内にはまだ約2,290のサイバーセキュリティの仕事があり、ジャクソン地区では約950の仕事がある。
Director Coker and Congressman Thompson toured Hinds Community College’s facilities, spoke with students and alumni and met with administrators from Hinds, JSU, and Tougaloo College to learn about best practices at each of their institutions and how they can work together to inspire and train the next generation of cyber leaders. The day concluded with a roundtable of local employers all of whom are part of a growing cyber ecosystem. The group discussed ways they could further partner to increase access to cyber careers for students from all backgrounds, create competitive job opportunities, and keep cyber talent in the local community. コーカー長官とトンプソン下院議員は、ハンズ・コミュニティ・カレッジの施設を見学し、学生や卒業生と話し、ハンズ、JSU、トゥガルー・カレッジの管理者と面会し、それぞれの機構におけるベスト・プラクティスや、次世代のサイバー・リーダーを鼓舞し育成するためにどのように協力できるかを学んだ。この日は、成長するサイバー・エコシステムの一翼を担う地元の雇用主による円卓会議で締めくくられた。このグループは、あらゆる背景を持つ学生のサイバー・キャリアへのアクセスを向上させ、競争力のある雇用機会を創出し、地域社会にサイバー人材を確保するために、さらなる提携を行う方法について話し合った。
“In order to protect the Nation and the critical digital systems that underpin our way of life, we must have a large, robust cybersecurity workforce. And in order to achieve the best mission outcomes, we need the best possible team,” said Director Coker. “I consider Mississippi to be an untapped talent pool, which America has to leverage to be as good as we need to be and as secure as we deserve.” コーカー長官は次のように述べた。「国家と、我々の生活を支える重要なデジタルシステムを守るためには、大規模で強固なサイバーセキュリティ人材を確保しなければならない。そして、最高の任務を達成するためには、最高のチームが必要である。ミシシッピ州は未開拓の人材プールであり、米国はそれを活用することで、必要なだけの能力を備え、それに値するだけの安全性を確保することができる」。
Director Coker’s full remarks are available here. コーカー局長の発言全文はこちらから。
The NCWES emphasizes the importance of locally-driven ecosystems, like the one in and around Jackson, which help equip cyber talent with the skills needed to meet the community’s needs and provide good-paying jobs to support local and national economic prosperity. NCWESは、ジャクソンのような地域主導のエコシステムの重要性を強調している。エコシステムは、地域のニーズを満たすために必要なスキルをサイバー人材に身につけさせ、地域と国の経済繁栄を支える高収入の仕事を提供するのに役立つ。
Today, Director Coker announced the release of a new Cyber Workforce and Education Ecosystem Toolkit, a resource designed to help communities develop or expand their ecosystems. This Toolkit provides targeted recommendations for how to forge connections between employers, academia, non-profits, Government, and other stakeholders to foster strong cyber talent pipelines. 本日、コーカー長官は、地域社会がエコシステムを開発または拡大するのを支援するために設計されたリソースである、新しいサイバー人材・教育エコシステム・ツールキットのリリースを発表した。このツールキットは、強力なサイバー人材パイプラインを育成するために、雇用主、学術界、非営利団体、政府、その他の利害関係者間のつながりを構築する方法について、的を絞った提言を提供するものである。
“Today, I am proud to announce the publication of the Office of the National Cyber Director’s Cyber Workforce and Education Ecosystem Toolkit, which features what we have learned from these trips and best practices we hope to see be adopted in ecosystems all around the country,” said Director Coker. “This cyber ecosystem toolkit will help communities that are earlier in their journey of building the connections and best practices that set their students up become cyber workers so they are able to have good-paying, meaningful jobs at home, including here in Mississippi.” 「このツールキットは、私たちがこれらの視察から学んだこと、そして私たちが全国のエコシステムで採用されることを望むベストプラクティスを特集したものである。「このサイバー・エコシステム・ツールキットは、ここミシシッピ州を含め、生徒が自国で給料の良い有意義な仕事に就けるよう、サイバー労働者になるためのコネクションやベストプラクティスを構築する旅の初期段階にある地域社会を支援するものである。
In his remarks, Director Coker stressed the importance of HBCUs in growing a robust cyber workforce. HBCUs like JSU, Tougaloo College, and Hinds Community College’s Utica campus foster academic excellence around the country and play an important role in developing talent by creating pathways into cyber careers for Black Americans, who have traditionally been underrepresented in the cyber workforce. To help broaden pathways into cyber for Black Americans, the Office of the National Cyber Director has been working to expand the number of HBCUs with a National Center of Academic Excellence in Cybersecurity (NCAE-C) designation, the gold standard of cyber education. Through outreach efforts over the last year, ONCD has helped seven HBCUs begin the NCAE-C designation process. コーカー長官は挨拶の中で、強力なサイバー人材育成におけるHBCUの重要性を強調した。JSU、トゥガルー・カレッジ、ヒンズ・コミュニティ・カレッジのユティカ・キャンパスのようなHBCUは、全米で卓越した学問を育成しており、伝統的にサイバー労働力として十分な存在感を示してこなかった黒人系アメリカ人にサイバー・キャリアへの道を開き、人材育成に重要な役割を果たしている。黒人系アメリカ人のサイバー分野への進路を広げるため、国家サイバー長官室は、サイバー教育の標準である国立サイバーセキュリティ・センター・オブ・エクセレンス(NCAE-C)の指定を受けたHBCUの数を拡大することに取り組んできた。ONCDは、昨年度の支援活動を通じて、7つのHBCUがNCAE-Cの指定プロセスを開始するのを支援した。
The Biden-Harris Administration’s Investing in America agenda, with support from advocates like Congressman Thompson, is ensuring that more resources are available for Mississippi, including the $1.7 billion that has been provided for affordable, reliable high-speed Internet. These investments include: バイデン-ハリス政権の「アメリカへの投資」アジェンダは、トンプソン議員のような支持者の支援により、手頃な価格で信頼できる高速インターネットに提供された17億ドルを含め、ミシシッピ州により多くの資源が提供されることを保証している。これらの投資には以下が含まれる:
・Investing in expanding access to high-speed Internet across Mississippi with over $1.2 billion to build high-speed internet infrastructure, provide equipment, and teach skills so everyone can use the Internet; ・ミシシッピ州全体の高速インターネットへのアクセス拡大に12億ドル以上を投資し、高速インターネット・インフラを構築し、機器を提供し、誰もがインターネットを利用できるようにスキルを教える;
・Investing in efforts to promote digital inclusion and advance equity with $11.6 million through Digital Equity Act programs in the state; and ・デジタル・インクルージョンを促進し、公平性を高める取り組みに投資し、州内のDigital Equity Actプログラムを通じて1,160万ドルを提供する。
・Investing in ensuring lowered costs of high-speed Internet services to unserved and underserved communities with almost $13.6 million from the Enabling Middle Mile Broadband Infrastructure Program. ・Enabling Middle Mile Broadband Infrastructure Programによる約1,360万ドルで、サービスが行き届いていない地域や十分なサービスを受けていない地域への高速インターネット・サービスのコスト削減を保証する。
Beyond access to the Internet, $270 million was awarded to Mississippi community colleges through the American Rescue Plan, including $87 million to Hinds Community College. Congressman Thompson has been a strong advocate in Washington, helping the Jackson community prepare for the future, with $4 million allocated through congressional direct spending for science, technology, engineering, and math (STEM) projects. This spending included $1.2 million for information technology (IT) training and $2.8 million for the development of a STEM Training Academy. インターネットへのアクセス以外にも、アメリカン・レスキュー・プランを通じて、ミシシッピ州のコミュニティ・カレッジに2億7,000万ドルが支給され、そのうちの8,700万ドルがハンズ・コミュニティ・カレッジに支給された。トンプソン下院議員はワシントンの強力な支持者であり、ジャクソン・コミュニティが将来に備えるのを支援し、科学・技術・工学・数学(STEM)プロジェクトに議会直接支出を通じて400万ドルが割り当てられた。この支出には、情報技術(IT)訓練に120万ドル、STEM訓練アカデミーの開発に280万ドルが含まれている。
In addition to Government support and academic offerings, employers, non-profits, and other partners also play a critical role in meeting the demand for skilled cyber talent. Today, Director Coker announced the following new commitments from private sector partners, each devoted to strengthening the local and national cyber workforce. 政府の支援や学術的な提供に加え、雇用主、非営利団体、その他のパートナーも、熟練したサイバー人材の需要を満たすために重要な役割を果たしている。本日、コーカー長官は、民間セクターのパートナーからの新たなコミットメントを発表した。
These four new commitments build on over 180 commitments to date from employers, academia, non-profits, and Governments at all levels. They include $110 million in direct funding to expand cyber workforce and education ecosystems, pledges to hire over 35,000 people into the cyber workforce, and commitments to train millions more through hands-on learning pathways. これら4つの新たなコミットメントは、雇用主、学界、非営利団体、およびあらゆるレベルの政府からの180を超えるコミットメントを基礎とするものである。これらには、サイバー労働力と教育のエコシステムを拡大するための1億1000万ドルの直接資金、3万5000人以上をサイバー労働力として雇用する誓約、実践的な学習経路を通じて数百万人以上を訓練する誓約が含まれる。
Today’s new commitments include: 本日の新たなコミットメントは以下の通りである:
ClearanceJobs クリアランスジョブズ
ClearanceJobs is committed to highlighting skills-based hiring for cleared technical roles through new resources and increased outreach to both candidates and hiring managers, including a video and article series to highlight the over 250 skills-based positions currently posted on the website, regular articles, and livestreams for candidates about how to apply to skills-based roles, and an article series for recruiters and hiring managers on writing positions descriptions for skills-based roles. クリアランスジョブズは、現在ウェブサイトに掲載されている250以上のスキルベースのポジションを紹介するビデオや記事シリーズ、定期的な記事、スキルベースのポジションへの応募方法に関する候補者向けのライブストリーム、スキルベースのポジションの説明文の書き方に関するリクルーターや採用担当者向けの記事シリーズなど、新たなリソースや候補者と採用担当者の両方への働きかけの強化を通じて、クリアランスされた技術的役割のスキルベースの採用に焦点を当てることを約束する。
Hack The Box ハック・ザ・ボックス
Hack The Box commits to train and introduce more than 20,000 individuals to cyber job roles aligned with the NICE Cybersecurity Workforce Framework by 2026 through a gamified platform. In addition, Hack The Box pledges to host 50 Capture The Flag (CTF) events, emphasizing outreach to high schools and universities, while collaborating with Government agencies to expand the cybersecurity workforce and enhance national resilience by focusing on increasing the representation of women, underrepresented groups, veterans, transitioning service members, and individuals from diverse socioeconomic backgrounds in cybersecurity. Hack The Boxは、ゲーム化されたプラットフォームを通じて、2026年までに2万人以上にNICEサイバーセキュリティ人材枠組みに沿ったサイバー職務を訓練し、紹介することを約束する。さらにHack The Boxは、サイバーセキュリティの労働力を拡大し、国のレジリエンスを強化するために、政府機関と協力しながら、サイバーセキュリティにおける女性、社会的地位の低いグループ、退役軍人、移行兵、多様な社会経済的背景を持つ個人の代表を増やすことに重点を置きながら、高校や大学へのアウトリーチを重視したCTF(Capture The Flag)イベントを50回開催することを約束する。
SkillStorm スキルストーム
SkillStorm is committed to training over 400 registered apprentices in 2025 to provide in-demand skills and boost economic mobility for individuals and organizations while accelerating the digital transformation in key sectors including cybersecurity, AI/ML, software development, and Cloud. SkillStormは、サイバーセキュリティ、AI/ML、ソフトウェア開発、クラウドなどの主要分野におけるデジタルトランスフォーメーションを加速させながら、需要の高いスキルを提供し、個人や組織の経済的流動性を高めるために、2025年に400人以上の登録実習生を育成することを約束している。
STEMatch STEMatch
STEMatch commits to expanding the COMPETE program to 40 students in 2025 with a total of 130 by 2026, using a grant provided by the Commonwealth of Massachusetts and funding from partner companies. The COMPETE program commitment provides skills training, company partnerships, mentorship, and paid internships to community college students who enter cybersecurity, IT support, software development, or EE/Electronics careers. STEMatchは、マサチューセッツ州から提供される助成金とパートナー企業からの資金を活用し、COMPETEプログラムを2025年に40名、2026年までに合計130名に拡大することを約束している。COMPETEプログラムは、サイバーセキュリティ、ITサポート、ソフトウェア開発、EE/Electronicsのキャリアを目指すコミュニティカレッジの学生に、スキルトレーニング、企業との提携、指導、有給インターンシップを提供する。

 

・[PDF

20241206-62332

 

コーカー長官の発言の全文...

・2024.12.02 Remarks: National Cyber Director Coker at Hinds Community College

Remarks: National Cyber Director Coker at Hinds Community College 発言 コーカー国家サイバー長官、ハンズ・コミュニティ・カレッジにて講演
Remarks as Prepared for Delivery 挨拶
Good afternoon, こんにちは、
Thank you, Congressman Thompson, for inviting me to Jackson to showcase the incredible cyber ecosystem that has been built here.  トンプソン議員、ジャクソンにお招きいただき、ここで構築された素晴らしいサイバーエコシステムをご紹介いただきありがとう。
Thank you to Vice President Ginger Robbins and Vice President Jonathan Townes for the great work you’re doing here at Hinds Community College. I am grateful for your hospitality and graciousness in hosting us here. ジンジャー・ロビンス副学長とジョナサン・タウンズ副学長には、ここハンズ・コミュニティ・カレッジでの素晴らしい仕事に感謝している。私たちを快く受け入れてくださったことに感謝している。
I want to thank Provost Dr. Denise Jones Gregory of Jackson State University and Provost Dr. Josiah Sampson of Tougaloo College and the rest of the college and university leadership for being here today. ジャクソン州立大学のデニス・ジョーンズ・グレゴリー学長、トゥガルー・カレッジのジョサイア・サンプソン学長をはじめとする大学・カレッジの指導者の方々にも感謝したい。
I want to thank Regional Director Jay Gamble from CISA for also joining us today. CISAのジェイ・ギャンブル地域ディレクターにも感謝したい。
To the school leaders, faculty, and partners from across the community, it’s a pleasure to spend time with you today. 地域の学校指導者、教員、パートナーの皆さん、今日はご一緒できて嬉しい。
And to the students we met this morning – I feel particularly inspired knowing that you’ll be well-prepared and excited for a future helping defend our Nation. そして、今朝お会いした生徒の皆さん、私は、皆さんが将来、私たちの国を守るために十分な準備をし、わくわくしていることを知って、特に刺激を受けている。
I’ve been inspired by what I have seen about the great work you’re doing in the Jackson area and across Mississippi. You are working together to make sure that students are prepared to join our Nation’s cyber workforce. And that couldn’t be more important. 私は、ジャクソン地域やミシシッピ州全域で皆さんが行っている素晴らしい仕事について目にしたことに感銘を受けている。皆さんは、学生たちがわが国のサイバー人材になるための準備を整えるために協力している。そしてそれは、これ以上ないほど重要なことだ。
In July 2023, President Biden released the National Cyber Workforce and Education Strategy – a foundational document that focuses our collective effort on growing the cyber workforce – and follows up visions he laid out in America’s landmark National Cybersecurity Strategy.                       2023年7月、バイデン大統領は「国家サイバー人材・教育戦略」を発表した。これは、サイバー人材の育成に向けた我々の総力を結集するための基本的な文書であり、米国の画期的な国家サイバーセキュリティ戦略で打ち出されたビジョンを踏襲するものである。 
There’s a point I consistently believe needs to be make clear: having a strong cyber workforce isn’t only a matter of National security. It’s also a matter of economic prosperity and technological innovation. 強力なサイバー人材を確保することは、国家安全保障だけの問題ではない。それはまた、経済的繁栄と技術革新の問題でもある。
When I was in uniform, it was almost exclusively those of us in the Federal Government who were on the front lines defending our Nation against Nation-states. 私が軍服を着ていた頃、国家から国を守る最前線にいたのは、ほとんど連邦政府の人間だけだった。
But today, in our increasingly digital world, all of us can find ourselves up against bad cyber actors – whether they are foreign Governments or cyber criminals. And that’s a real concern for small businesses, schools, hospitals, state, local, territorial and Tribal Governments, and those that own and operate critical infrastructure. しかし今日、ますますデジタル化が進む世界では、悪質なサイバー・アクター(それが外国政府であろうとサイバー犯罪者であろうと)に直面する可能性がある。そしてそれは、中小企業、学校、病院、州政府、地方政府、準州政府、部族政府、そして重要なインフラを所有し運営している人々にとって、本当に懸念すべきことなのだ。
Today, there are approximately half a million – 500,000 – open cybersecurity jobs in our great Nation. 現在、わが国ではサイバーセキュリティの職が約50万人(50万人)募集されている。
Here in Mississippi, there are almost 2,290 open cybersecurity jobs, and about 950 of those open jobs are here in the Jackson area. ここミシシッピ州では、約2,290件のサイバーセキュリティ関連の求人があり、そのうち約950件がここジャクソン地域で募集されている。
In order to protect the Nation and the critical digital systems that underpin our way of life, we must have a large, robust cybersecurity workforce. 国家と、我々の生活を支える重要なデジタル・システムを守るためには、大規模で強固なサイバーセキュリティの労働力を確保しなければならない。
And in order to achieve the best mission outcomes, we need the best possible team.  そして、最高の任務成果を達成するためには、可能な限り最高のチームが必要である。
So, we need more people seeing themselves serving their own communities doing cyber jobs. そのため、より多くの人々が、自分たちの地域社会でサイバー関連の仕事に従事している姿を目にする必要がある。
We need more people being trained and educated in cyber-related fields. サイバー関連の分野で訓練を受け、教育を受ける人を増やす必要がある。
We need more ways for them to join our ranks.  彼らが我々の仲間に加わる方法を増やす必要がある。
We need Mississippi to help make our Nation safer and stronger. I consider Mississippi to be an untapped talent pool, which America has to leverage to be as good as we need to be and as secure as we deserve. 私たちの国をより安全で強固なものにするために、ミシシッピ州が必要なのだ。ミシシッピ州は未開発の才能の宝庫であり、それを活用することで、アメリカは必要なだけの力を発揮し、それに値するだけの安全性を確保することができる。
As I mentioned, Congressman Thompson and I are pleased to be here, meeting students and learning from the leadership of Hinds, Jackson State, and Tougaloo College.   申し上げたように、トンプソン下院議員と私はここで学生に会い、ハインズ大学、ジャクソン州立大学、トゥガルー大学の指導者から学べることを嬉しく思う。 
In my year as National Cyber Director, I’ve been traveling across the country to see firsthand, and spotlight, the best practices – the things that are going right – as we work to build the Nation’s cybersecurity workforce. 国家サイバー部長としての1年間、私は全米を回り、国のサイバーセキュリティ人材の育成に取り組む中で、ベストプラクティス(うまくいっていること)を直接目にし、スポットライトを当ててきた。
From Madison to Michigan, and Norfolk to North Carolina, a common theme I’ve seen in all my travels is that the communities who have truly come together – where schools and employers are closely connected, where students are acquiring skills and the ability to use them through valuable internships and apprenticeships, where local Governments are eager to build bridges – these are the communities that are thriving and building the Nation’s cyber workforce. マディソン州からミシガン州、ノーフォーク州からノースカロライナ州まで、私が旅先で目にした共通のテーマは、学校と雇用主が密接に結びつき、学生が貴重なインターンシップや実習を通じてスキルとそれを活用する能力を身につけ、地方政府が橋渡しに熱心な、真に団結した地域社会が繁栄し、国のサイバー人材を育成しているということである。
But building the cadre of cyber professionals isn’t an effort we can mandate from Washington. The most impactful work is happening community-by-community. We call these hubs of activity cyber ecosystems. And, after fourteen trips to community colleges, technical colleges, four-year universities, and community hubs, the National Cyber Director’s Office is proud to share the best practices we’ve seen in some of the strongest ecosystems in the Nation. しかし、サイバー専門家の幹部を育成することは、ワシントンから強制できる取り組みではない。最も影響力のある仕事は、コミュニティごとに行われている。私たちはこうした活動の拠点をサイバー・エコシステムと呼んでいる。そして、コミュニティ・カレッジ、高等専門学校、4年制大学、コミュニティ・ハブを14回訪問した後、国家サイバー局長室は、全米で最も強力なエコシステムのいくつかで見たベスト・プラクティスを共有できることを誇りに思う。
Today, I am proud to announce the publication of the Office of the National Cyber Director’s Cyber Workforce and Education Ecosystem Toolkit, which features what we have learned from these trips and best practices we hope to see be adopted in ecosystems all around the country. このツールキットは、私たちがこれらの視察から学んだこと、そして全米のエコシステムで採用されることを望むベストプラクティスを特集したものである。
This cyber ecosystem toolkit will help communities that are earlier in their journey of building the connections and best practices that set their students up become cyber workers so they are able to have good-paying, meaningful jobs at home, here in Mississippi. このサイバー・エコシステム・ツールキットは、生徒たちがここミシシッピで、給料の良い有意義な仕事に就けるよう、サイバー労働者になるためのつながりやベストプラクティスを構築する旅の初期段階にある地域社会を支援するものである。
I hope the toolkit will be helpful for all of you as you continue to develop the cyber ecosystem in the Jackson area. And I hope other communities across the country will be able to learn from your work in Jackson and from the resources in the toolkit to build ecosystems that support their local and regional cyber workforce needs. このツールキットが、ジャクソン地域のサイバー・エコシステムを発展させ続ける皆さんの役に立つことを願っている。そして、全国の他の地域社会が、あなた方のジャクソンでの活動やツールキットのリソースから学び、地元や地域のサイバー人材ニーズをサポートするエコシステムを構築できることを願っている。
Truth be told, I’ve already been truly impressed by the cyber ecosystem that you have developed and are continuing to grow in this region. 実を言うと、私はすでに、皆さんがこの地域で発展させ、成長させ続けているサイバー・エコシステムに心から感銘を受けている。
The institutions represented here today each demonstrate some of those best practices I mentioned earlier, which are included in the ecosystem toolkit and help us build a strong cyber workforce for our Nation. 本日ここに代表者をお招きした機構は、エコシステム・ツールキットに含まれる、先に述べたベスト・プラクティスのいくつかを実証しており、我が国の強力なサイバー人材の育成に貢献している。
Our host today, Hinds Community College, has earned the designation of Center of Academic Excellence – or CAE – in Cybersecurity. In fact, they were one of the first schools in Mississippi to achieve this impressive distinction. 本日のホスト校であるハンズ・コミュニティ・カレッジは、サイバーセキュリティ分野でCAE(Center of Academic Excellence)の認定を受けている。実際、同校はミシシッピ州で最初にこの素晴らしい栄誉を獲得した学校のひとつである。
The CAE program is administered by the National Security Agency and, as a former Executive Director of the NSA, I can tell you that status is not easy to obtain nor maintain. It’s the gold standard for cyber education, so it’s a big deal, and Mississippi should be proud of Hinds Community College. Congratulations. CAEプログラムは国家安全保障局によって運営されており、NSAの元事務局長として言わせてもらえば、このステータスを得るのも維持するのも容易ではない。CAEはサイバー教育の標準であり、ミシシッピ州はハンズ・コミュニティ・カレッジを誇りに思うべきだ。おめでとう。
Jackson State has been working to build its cyber infrastructure and is developing programs and lab spaces to give its computer science and computer engineering students valuable hands-on experience with cybersecurity. ジャクソン州立大学は、サイバーインフラの構築に取り組んでおり、コンピュータサイエンスとコンピュータエンジニアリングの学生にサイバーセキュリティに関する貴重な実地体験をさせるためのプログラムやラボスペースを開発している。
Just last month, Jackson State received a $2 million grant from Entergy to create a Critical Power Grid Network Security Lab. つい先月、ジャクソン州立大学は、重要電力網ネットワーク・セキュリティ・ラボを設立するために、エンタージー社から200万ドルの助成金を受け取った。
This project will be a key part of JSU’s commitment to workforce development, and will help train a highly-skilled cybersecurity workforce by providing real-world experience safeguarding critical power grid infrastructure. We are grateful for JSU’s efforts to advance Mississippi’s – and the United States’ – economic prosperity and national security. Thank you, JSU. このプロジェクトは、JSUが人材育成に取り組む上で重要な役割を果たすものであり、重要な電力網インフラを守る実体験を提供することで、高度な技能を持つサイバーセキュリティ人材の育成に貢献する。ミシシッピ州、そして米国の経済的繁栄と国家安全保障を促進するJSUの努力に感謝する。ありがとう、JSU。
And Tougaloo College has, not only, produced a congressional leader who cares deeply about cyber in Representative Thompson, but just last month Tougaloo opened its CyberSecurity Clinic. そしてトゥガルー・カレッジは、トンプソン代表者というサイバーに深い関心を寄せる議会指導者を輩出しただけでなく、先月にはサイバーセキュリティ・クリニックを開設したばかりだ。
I love clinics because they bring students together and give critical hands-on experience while encouraging students to provide their expertise to organizations in the community that could badly use some cyber advice. 私がクリニックを気に入っているのは、学生を集め、重要な実地体験をさせながら、サイバー・アドバイスを必要としている地域の組織に専門知識を提供するよう学生を奨励しているからだ。
That means students are gaining real-world experience, which will make them job-ready on day-one after graduation and small businesses and other critical organizations in the community are better protected. Congratulations and thank you to Tougaloo. つまり、学生は実地経験を積むことで、卒業後すぐに仕事に就くことができ、中小企業や地域の重要な組織はより守られることになる。おめでとう、そしてトゥガルーに感謝する。
The work I saw here today from all three of these institutions represents the kinds of best practices that we need to scale nationwide. I commend you for it. It’s clear that you are absolutely part of the solution. And I’m excited for the panel to follow where we’ll all learn more about these best practices. 私が今日ここで見た3つの機構の取り組みは、私たちが全国的に拡大する必要のある、ある種のベストプラクティスを代表するものである。私はあなた方を賞賛する。あなた方が解決策の一部であることは明らかだ。この後のパネルディスカッションで、これらのベストプラクティスについてさらに学びたいと思う。
Make no mistake, there is outstanding talent here in Mississippi. This talent will be a part of the solution to our growing need for skilled cyber talent and will be the next generation to keep our country safe. 間違いなく、ミシシッピには傑出した才能がいる。この優秀な人材は、熟練したサイバー人材に対するニーズの高まりに対する解決策の一部となり、わが国の安全を守る次世代の人材となるだろう。
The work being done here demonstrates how we can continue to support Americans by reducing barriers to good-paying, meaningful cyber jobs and providing students with hands-on experience and flexible pathways into the field. ここで行われている活動は、高賃金で有意義なサイバー職への障壁を減らし、学生に実地体験とこの分野への柔軟な進路を提供することで、米国人を支援し続けることができることを示している。
The spirit of collaboration and partnership in the Jackson area helps create pathways for students from all backgrounds, so that opportunity is available for everyone. It also helps employers by providing a skilled cyber workforce whose training aligns to the specific needs in this community. ジャクソン地域の協力とパートナーシップの精神は、あらゆる背景を持つ学生の進路開拓に役立ち、誰にでもチャンスが与えられる。また、この地域の特定のニーズに沿った訓練を受けた熟練したサイバー労働力を提供することで、雇用者にも役立っている。
As we work to grow the cyber workforce and expand opportunities to make sure we have the very best team possible, HBCUs have proven to be a vital to provide the talent our Nation needs to fill our open cybersecurity jobs, to foster academic excellence around our country, and to serve as a ladder for opportunities for all communities. 私たちがサイバー労働力の育成に取り組み、可能な限り最高のチームを編成できるよう機会を拡大する中で、HBCUは、サイバーセキュリティの公募職を満たすために我が国が必要とする人材を提供し、我が国各地で学問的卓越性を育成し、すべての地域社会にとって機会のはしごとしての役割を果たすために不可欠であることが証明されている。
At ONCD, we have been working to expand the number of HBCUs with the NSA’s Center of Academic Excellence in Cybersecurity designation that I mentioned earlier. ONCD では、先に述べた NSA のサイバーセキュリティ分野の卓越した学問のセンター(Center of Academic Excellence in Cybersecurity)の指定を受けた HBCU の数を増やす努力をしてきた。
The CAE designation helps recognize their role in educating the next generation of the cyber workforce and provides additional funding, support, and opportunities for their programs. CAEの指定は、次世代のサイバー人材教育におけるHBCUの役割を認識し、プログラムに追加的な資金、支援、機会を提供するのに役立つ。
Partners across industry also recognize the critical role that HBCUs play in creating a skilled cyber workforce. ONCD has received many commitments from employers, academia, non-profits, and other partners to support the implementation of the National Cyber Workforce and Education Strategy, which supports HBCUs and expands the opportunities available for Black Americans. IBM, Cisco, and the National Cybersecurity Alliance are just some of the organizations stepping up to establish leadership centers and train students from HBCUs.  また、業界全体のパートナーも、HBCUが熟練したサイバー人材の育成に果たす重要な役割を認識している。ONCDは、雇用主、学術界、非営利団体、その他のパートナーから、HBCUを支援し、黒人系アメリカ人が利用できる機会を拡大する国家サイバー人材・教育戦略の実施を支援するために、多くのコミットメントを得た。IBM、シスコ、全米サイバーセキュリティ連盟は、リーダーシップ・センターを設立し、HBCUの学生を訓練するために立ち上がった組織のほんの一部である。
It is my hope that more HBCUs will gain their CAE designation and that’s something Chairman Thompson and I have talked about today. より多くのHBCUがCAEを取得することが私の望みであり、それはトンプソン会長と私が今日話したことでもある。
While I’ve been the National Cyber Director, I’ve spent a lot of time speaking with leaders across critic­­al infrastructure and I repeatedly hear two things: they need more people ready to join the cyber workforce – like the talent you are growing here in Jackson – and they need resources. 私が国家サイバー局長であった間、私は重要インフラ全体のリーダーと話すことに多くの時間を費やしてきたが、繰り返し2つのことを聞いた。
Thanks to the Biden-Harris Administration’s Investing in America agenda – and through the hard work and collaboration of people like Congressman Thompson – we are making sure that more resources become available for Mississippi. バイデン-ハリス政権の「アメリカへの投資」アジェンダのおかげで、そしてトンプソン下院議員のような人々の努力と協力のおかげで、ミシシッピ州にとってより多くのリソースが利用できるようになった。
We’re ensuring access to the digital economy for every American. Across the state, more than 244,000 households are benefitting from $1.7 billion provided for affordable, reliable high-speed Internet. These benefits include: 私たちは、すべてのアメリカ人がデジタル経済にアクセスできるようにしている。州全体で、24万4,000世帯以上が、手頃な価格で信頼できる高速インターネットのために提供された17億ドルの恩恵を受けている。これらの恩恵には以下が含まれる:
Over $1.2 billion from the Broadband Equity, Access, and Deployment (or BEAD) Program to build high-speed Internet infrastructure, support teaching skills, and provide equipment so everyone can use the Internet. Broadband Equity, Access, and Deployment (BEAD)プログラムから12億ドル以上が提供され、誰もがインターネットを利用できるよう、高速インターネット・インフラの構築、教育スキルのサポート、機器の提供が行われている。
More than $13.6 million from the Enabling Middle Mile Broadband Infrastructure Program to reduce the cost of bringing high-speed Internet service to unserved and underserved communities by connecting local networks to major networks. Enabling Middle Mile Broadband Infrastructure Programから1,360万ドル以上を拠出し、地域のネットワークを主要ネットワークに接続することで、サービスが行き届いていない地域に高速インターネット・サービスを提供するコストを削減する。
$11.6 million from Digital Equity Act Programs to provide funding to promote digital inclusion and advance equity for all. These programs aim to ensure that all communities have access to and can use affordable, reliable high-speed Internet. デジタル・インクルージョンを促進し、すべての人のための公平性を高めるための資金をプロバイダするDigital Equity Act Programsから1160万ドル。これらのプログラムは、すべての地域社会が安価で信頼できる高速インターネットを利用できるようにすることを目的としている。
$270 million was awarded to Mississippi community colleges because of the American Rescue Plan, including $87 million to Hinds Community College. アメリカン・レスキュー・プランにより、ミシシッピ州のコミュニティ・カレッジに2億7,000万ドルが支給され、そのうちの8,700万ドルがハンズ・コミュニティ・カレッジに支給された。
My friend Congressman Thompson has played a huge role in making sure that Hinds Community College and the Jackson community is prepared for the future. 私の友人であるトンプソン下院議員は、ハンズ・コミュニティ・カレッジとジャクソン・コミュニティが将来に備えることができるよう、大きな役割を果たしてくれた。
This includes $4 million allocated through Congressional Direct Spending for STEM projects, including $1.2 million for IT training and $2.8 million for the development of a STEM Training Academy. これには、ITトレーニングに120万ドル、STEMトレーニング・アカデミーの開発に280万ドルを含む、STEMプロジェクトに対する議会直接支出による400万ドルが含まれている。
So, the Federal Government – and the Biden-Harris Administration – are making important investments. But we つまり、連邦政府、そしてバイデン=ハリス政権は、重要な投資を行っているのだ。しかし、我々は
know that the Federal Government can not solve this issue alone. Collaboration and partnership are critical to our success. And we’ve been seeing time and time again, partners step up and join our efforts. 連邦政府だけではこの問題を解決できないことは分かっている。我々の成功には、協力とパートナーシップが不可欠である。そして私たちは、パートナーたちが私たちの取り組みに参加してくれることを何度も目にしてきた。
In support of the National Cyber Workforce and Education Strategy, our office has received over 180 commitments from private sector industry, academia, nonprofits, and Governments at all levels across the country to do their part to grow the cyber workforce and create opportunities for more Americans to enter into good-paying, meaningful cyber careers.  国家サイバー人材・教育戦略を支援するため、私たちのオフィスは、全米の民間企業、学界、非営利団体、あらゆるレベルのガバナンスから、サイバー人材を育成し、より多くの米国人が報酬の高い有意義なサイバー・キャリアに就く機会を創出するために、それぞれの役割を果たすという180を超えるコミットメントを得た。
And the commitments continue to come in. Today I’m proud to announce three new commitments that will help broaden pathways, remove barriers, and connect job seekers to opportunities across the Nation: そして、約束は続いている。今日、私は、道を広げ、障壁を取り除き、求職者を全米のチャンスに結びつけるのに役立つ3つの新しいコミットメントを発表できることを誇りに思う:
ClearanceJobs will encourage skills-based hiring by providing new resources to both candidates and hiring managers for how to apply and hire for skills-based roles. I want to acknowledge and thank their President Evan Lesser for being here. クリアランスジョブズは、求職者と採用担当者の双方に、スキルベースの職務に応募し採用するための新しいリソースを提供することにより、スキルベースの採用を奨励する。ここに来てくれたエヴァン・レッサー社長に感謝したい。
SkillStorm, a tech talent firm, has committed to train over 400 registered apprentices in 2025, with an emphasis on providing in-demand skills for cybersecurity, artificial intelligence, machine learning, software development, and cloud. SkillStormは技術系人材企業で、サイバーセキュリティ、人工知能、機械学習、ソフトウェア開発、クラウドといった需要の高いスキルのプロバイダに重点を置き、2025年に400人以上の登録実習生を育成することを約束している。
And Hack to Box, a cyber training and upskilling provider, will use its gamified platform to train more than 20,000 individuals and introduce them to potential careers in cyber, with an emphasis on outreach and programming for high schools and universities.  また、サイバー訓練とスキルアップのプロバイダであるHack to Boxは、そのゲーム化されたプラットフォームを使用して、2万人以上の個人を訓練し、高校や大学へのアウトリーチとプログラミングに重点を置いて、サイバー分野の潜在的なキャリアを紹介する予定である。
Thank you to these partners, who are showing up to help create new opportunities for all Americans to join the cyber workforce. すべてのアメリカ人がサイバー労働力に参加できるよう、新たな機会を創出する手助けをしてくれるこれらのパートナーに感謝する。
I have been fortunate to serve in this role for the past year. I have been able to cross the country to hear remarkable stories from everyday people who want to get into cyber. 私はこの1年間、幸運にもこの役割を務めることができた。私は全国を渡り歩き、サイバーの世界に入りたいと願う一般の人々から、驚くべき話を聞くことができた。
Frequently, when you think of cyber and the tech communities around the country, our minds go to Silicon Valley and big coastal cities. サイバーや国内のハイテク・コミュニティというと、シリコンバレーや沿岸部の大都市を思い浮かべることが多い。
I have been to Silicon Valley, and I have seen the innovative ways it is building and fostering cyber talent. 私はシリコンバレーを訪れたことがあり、サイバー人材を育成する革新的な方法を目の当たりにした。
But, as a country boy from rural Kansas, I’m well aware that cyber talent is in every corner of this country. In fact, some of my most impactful visits have been in unexpected places. しかし、カンザス州の田舎出身の私は、サイバー人材がこの国の隅々にまでいることをよく知っている。実際、私が最も衝撃を受けた訪問先のいくつかは、思いがけない場所だった。
The cybersecurity training center surrounded by farms in rural Wisconsin. The Pennsylvania Cybersecurity Center in coal country. The collaboration being built by Black Tech Street in Tulsa, Oklahoma. I’ve been inspired by the spirit of innovation I’ve seen as so many have discovered that we have incredible talent, and are creating the next generation of cyber professionals, who will join the fight to protect our great Nation. ウィスコンシン州の田舎にある農場に囲まれたサイバーセキュリティ・トレーニング・センター。石炭地帯にあるペンシルベニア州のサイバーセキュリティ・センター。オクラホマ州タルサのブラック・テック・ストリートが構築しているコラボレーション。多くの人々が、私たちには素晴らしい才能があることを発見し、私たちの偉大な国家を守るための戦いに参加する次世代のサイバー専門家を生み出しているのを目の当たりにし、私は革新の精神に刺激を受けた。
And I’m proud to say that the talent being developed here in Mississippi can compete against the talent in any place I have been to. そして、ここミシシッピで育っている才能は、私が行ったことのあるどの場所の才能とも競い合えることを誇りに思う。
Cyber is about people. It doesn’t matter what your area code is. What matters is if you have the passion, discipline, and commitment to the cause, there is place for you in the cyber workforce. サイバーは人である。市外局番は関係ない。重要なのは、情熱、規律、そして大義へのコミットメントがあれば、サイバー人材には居場所があるということだ。
You all are doing your part by fostering a community of faculty, educators, and students who are well-equipped to meet the growing need this region faces. 皆さんは、この地域が直面するニーズの高まりに対応するのに十分な能力を備えた教員、教育者、学生のコミュニティを育成することで、その役割を果たしている。
This region, the state of Mississippi, and the Nation are safer and more prosperous because of what you’re doing here. この地域、ミシシッピ州、そして国家は、あなた方がここで行っていることのおかげで、より安全でより繁栄しているのだ。
Thank you again for the invitation and the opportunity to meet and learn from you. I look forward to continuing to grow the cyber workforce together. お招きいただき、また皆さんとお会いして学ぶ機会を与えていただき、改めて感謝する。私は、サイバー人材が共に成長し続けることを楽しみにしている。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.26 米国 ONCD 2024年のサイバーセキュリティ態勢2024とサイバーセキュリティ戦略実装計画Ver.2 (2024.05.07)

初版...

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

» Continue reading

| | Comments (0)

2024.12.05

米国 Five Eyes 通信インフラに対する中国のサイバーセキュリティへの脅威についてガイダンス...

こんにちは、丸山満彦です。

(いつもの)Five Eyesが中華人民共和国(PRC)系の脅威行為者が世界の主要通信プロバイダーのネットワークを侵害し、広範かつ重大なサイバースパイ活動を行ったとことに対するガイダンスを公表していますね...2023.11.13にFBIとCISAによる共同声明に関連するものですね...

主に、通信インフラのネットワーク防御者やエンジニア向けに作成されたものです...

日本の通信事業者はもう知っていますよね...きっと...

 

可視化の強化

・モニタリングをちゃんとしよう

・しかもそれは自動化で(そのためには、構成管理から...)

システムとデバイスの強化(堅牢化)

・脆弱性を減らし、構成管理を改善しよう

もちろん、運用以外にも

インシデント報告

セキュアバイデザインによる開発

というのも重要...

といったところでしょうかね...

 

2024.11.13の発表と今回のガイドを見ていると、それなりに深刻な影響があったのではないかと感じますよね...知らんけど...

 

● 2024.12.04 Enhanced Visibility and Hardening Guidance for Communications Infrastructure

・[PDF]

20241205-141324

 

 

 

| | Comments (0)

Interpol Think Twiceキャンペーン:サイバー犯罪と金融犯罪に遭わないために (2024.12.03-19)

こんにちは、丸山満彦です。

Interpolが、サイバー犯罪と金融犯罪に遭わないためにということで、Think Twiceキャンページを始めたとのことです。

日本語のニュアンスでいうと、「二度見しよう」といったところですかね...

Interpol

プレス...

・2024.12.03 INTERPOL campaign warns against cyber and financial crimes

 

説明...

Awareness campaigns

 

キャンペーンでは、国境を越えた組織的サイバー犯罪の脅威として、次の5つを強調していますね...

- ランサムウェア攻撃

- マルウェア攻撃

- 詐欺と生成AI

- デジタル時代のフィッシング

- ロマンス詐欺

 

ビデオもあります...6つの短いビデオ...

・[YouTube]

20241205-124641

 

リスクを軽減するためのチェックリストには以下が含まれる:

  • 特に、未承諾の、見慣れない、または不審なリンク、電子メール、メッセージに対処する場合は、熟慮の上、合理的な選択をすること。
  • 行動を起こす前に、デジタルコンテンツの信憑性と信頼性を評価するために立ち止まる。
  • 複数のチャネルを通じて身元を確認し、「見知った顔」からの要求であっても慎重になる。
  • 職場にサイバーセキュリティ文化を導入し、従業員に問題やインシデントに関するガイダンスを提供する。
  • オンライン上で人間関係を築く際、特に金銭が絡む場合は慎重になること。
  • サイバーによる金融犯罪の手口はますます高度化し、発見が非常に難しくなっている。

 

 

 

 

| | Comments (0)

Google Cybersecurity Forecast 2025 (2024.11.14)

こんにちは、丸山満彦です。

Googleが、2025年のサイバーセキュリティに関する予測を簡潔にまとめた報告書を公表していますね...

いくつかのトピックスはありますが

  • 攻撃者がAIを利用することにより、攻撃がより巧妙かつ大量に行われるようになる
  • 情報操作のためのコンテンツもより説得力のあるものが大量に使われるようになる
  • ロシア、中国、イラン、北朝鮮はそれぞれの国の引き続きスパイ活動、サイバー犯罪、情報工作を続ける
  • ランサムウェアはさらに高度かつ広範囲に利用されるようになる
  • 情報窃盗を目的としたマルウェアは引き続き主要な脅威である
  • サイバー攻撃ツールやサービスへのアクセスが容易となり多くの犯罪者が使うようになる
  • 暗号通貨等は引き続きターゲットとなる
  • 国家による組織的な脆弱性収集等が行われ、脆弱性を悪用するまでの時間は短くなる
  • 耐量子暗号への移行の備えも忘れずに
  • クラウドのセキュリティ設定でミスがないように

といったところでしょうか?

わりとコンパクトで短いので、原文を読むのもそれほど苦にならないように思います。

 

Google

・2024.11.14 Emerging Threats: Cybersecurity Forecast 2025

 

ダウンロードは

・2024.11.14 Cybersecurity Forecast 2025 Report

 

20241205-90557

 

 

 

 

 

| | Comments (0)

米国 Health ISAC 脅威インテリジェンスプラットフォーム (2024.12.03) とCISO向け特権管理ガイド (2024.11.26)

こんにちは、丸山満彦です。

米国のHealth-ISACから

  • 医療機関向け脅威インテリジェンスプラットフォーム(CYWARE)を公表
  • 特権アクセス管理についてのCISO向けガイドが公表されていますね...

後者のCISO向けガイドについては、私は追っていなかったのですが、第9弾ということのようです...

 

● Health-ISAC

脅威インテリジェンスプラットフォーム

・2024.12.03 Cyware Launches Threat Intelligence Platform to Defend Healthcare Organizations from Cyber Threats

Cyware Launches Threat Intelligence Platform to Defend Healthcare Organizations from Cyber Threats サイウェア、医療機関をサイバー脅威から守る脅威インテリジェンス・プラットフォームを発表
Purpose-built solution enables healthcare security teams with healthcare-specific threat feeds and automated response capabilities. 医療機関に特化した脅威フィードと自動化されたレスポンス機能により、医療機関のセキュリティチームを支援する。
Media mention: メディアによる言及
Errol Weiss, Chief Security Officer at Health-ISAC and Cyware customer, expressed the critical need for this innovation: “Healthcare is one of the most targeted sectors by cybercriminals. Having a threat intelligence platform that’s designed specifically for our industry will allow healthcare organizations to quickly access relevant, actionable insights that can make a tangible difference in defending against sophisticated attacks.” Health-ISACの最高セキュリティ責任者であり、サイウェアの顧客でもあるエロール・ワイス氏は、このイノベーションの重要な必要性を表明した: 「医療はサイバー犯罪者に最も狙われる分野の一つである。私たちの業界向けに特別に設計された脅威インテリジェンス・プラットフォームを持つことで、医療機関は関連性の高い実用的な洞察に素早くアクセスできるようになり、高度な攻撃に対する防御に具体的な違いをもたらすことができる。
Rachel James, Health-ISAC Threat Intelligence Committee member, noted, “In an environment where time is critical, healthcare security teams need tools that allow them to do more with less effort but with greater accuracy. Cyware’s Healthcare Threat Intelligence Platform is designed to quickly identify and respond to healthcare-specific threats, empowering organizations to stay ahead of attacks without being overwhelmed by complexity.” Health-ISAC脅威インテリジェンス委員会のレイチェル・ジェームズは、次のように述べている。「時間が非常に重要な環境では、ヘルスケア・セキュリティ・チームは、より少ない労力でより多くのことを、より高い精度で実行できるツールを必要としている。サイウェアのHealthcare Threat Intelligence Platformは、医療に特化した脅威を迅速に特定し、対応するように設計されており、組織が複雑さに圧倒されることなく、攻撃の先手を打つことができる。

 

フルプレス...

・2024.12.03 Cyware Launches Industry-Tuned Threat Intelligence Platform to Defend Healthcare Organizations from Cyber Threats

Cyware Launches Industry-Tuned Threat Intelligence Platform to Defend Healthcare Organizations from Cyber Threats サイウェア、医療機関をサイバー脅威から守るために業界向けに調整されたThreat Intelligence Platformを発表

Purpose-built solution enables healthcare security teams with healthcare-specific threat feeds and automated response capabilities.

専用に構築されたソリューションにより、ヘルスケアに特化した脅威のフィードと自動化された対応機能でヘルスケア・セキュリティ・チームを支援する。
NEW YORK--(BUSINESS WIRE)--Cyware, the leading provider of threat intelligence management, low-code/no-code security automation, and cyber fusion solutions today announced the launch of its Healthcare Threat Intelligence Platform (HC-TIP), a solution specifically designed to facilitate accelerated cyber response in the healthcare sector. With healthcare systems increasingly targeted by sophisticated cyberattacks, including ransomware and medical device exploits, Cyware’s HC-TIP offers a robust platform for healthcare organizations to more efficiently and effectively defend against the specific threats targeting their industry. ニューヨーク--(BUSINESS WIRE)--(ビジネスワイヤ) -- 脅威インテリジェンス管理、ローコード/ノーコード・セキュリティー・オートメーション、サイバー・フュージョン・ソリューションのリーディング・プロバイダであるサイウェアは本日、ヘルスケア分野のサイバー対応を加速するために特別に設計されたソリューション、ヘルスケア脅威インテリジェンス・プラットフォーム(HC-TIP)の発売を発表した。医療システムがランサムウェアや医療機器エクスプロイトを含む高度なサイバー攻撃の標的となりつつある中、サイウェアのHC-TIPは、医療機関がその業界を標的とする特定の脅威に対してより効率的かつ効果的に防御するための強固なプラットフォームを提供する。
Having a threat intelligence platform that’s designed specifically for our industry will allow healthcare organizations to quickly access relevant, actionable insights that can make a tangible difference in defending against sophisticated attacks. 私たちの業界向けに特別に設計された脅威インテリジェンス・プラットフォームを持つことで、医療機関は、高度な攻撃に対する防御に具体的な違いをもたらすことができる、適切で実用的な洞察に素早くアクセスできるようになる。
The healthcare industry faces unique cybersecurity challenges, including the protection of sensitive patient data, safeguarding connected medical devices, and ensuring the continuous operation of critical healthcare services. The Cyware HC-TIP is tailored to these needs, leveraging healthcare-specific threat feeds, real-time dashboards, and advanced threat intelligence tools to provide a comprehensive security solution. 医療業界は、機密性の高い患者データの保護、接続された医療機器の保護、重要な医療サービスの継続的な運用の確保など、独自のサイバーセキュリティの課題に直面している。サイウェアのHC-TIPは、こうしたニーズに合わせてカスタマイズされており、ヘルスケアに特化した脅威フィード、リアルタイムのダッシュボード、高度な脅威インテリジェンス・ツールを活用して、包括的なセキュリティ・ソリューションを提供する。
“Because they are valuable targets for adversaries, healthcare entities require security tools that are tailored to their specific needs. The Healthcare Threat Intelligence Platform offers pre-configured feeds, rules, and visualizations that healthcare security teams can immediately use to enhance and accelerate their defenses,” said Sachin Jade, Chief Product Officer at Cyware. “With this industry-specific platform, we’re enabling organizations to not only stay compliant with regulations but also reduce their attack surface and improve their proactive defense strategies.” サイウェアの最高製品責任者であるSachin Jadeは次のように述べている。
「医療機関は敵対者にとって貴重な標的であるため、医療機関特有のニーズに合わせたセキュリティツールが必要である。ヘルスケア脅威インテリジェンスプラットフォームは、設定済みのフィード、ルール、ビジュアライゼーションを提供し、ヘルスケアのセキュリティチームは、防御を強化し、加速するためにすぐに使用することができます」と、「この業界に特化したプラットフォームにより、当社は組織が規制に準拠するだけでなく、攻撃対象領域を減らし、プロアクティブな防御戦略を改善することを可能にする。
Errol Weiss, Chief Security Officer at Health-ISAC and Cyware customer, expressed the critical need for this innovation: “Healthcare is one of the most targeted sectors by cybercriminals. Having a threat intelligence platform that’s designed specifically for our industry will allow healthcare organizations to quickly access relevant, actionable insights that can make a tangible difference in defending against sophisticated attacks.” Health-ISACの最高セキュリティ責任者であり、サイウェアの顧客でもあるエロール・ワイス氏は、このイノベーションの重要な必要性を表明した: 「ヘルスケアは、サイバー犯罪者に最も狙われる分野の1つである。私たちの業界向けに特別に設計された脅威インテリジェンス・プラットフォームを持つことで、医療機関は関連性の高い実用的な洞察に素早くアクセスできるようになり、高度な攻撃に対する防御に具体的な違いをもたらすことができる。」
Pre-configured, the platform integrates industry-specific threat feeds from leading sources along with healthcare-focused feeds like HHS.gov and Healthcare InfoSecurity. These resources help organizations track healthcare-specific threats, including vulnerabilities in electronic health records (EHRs) and medical devices. Additionally, Cyware’s HC-TIP offers built-in tagging for healthcare and pharmaceutical threats, making it easier for organizations to categorize and analyze data. 事前に設定されたこのプラットフォームは、HHS.govやHealthcare InfoSecurityのようなヘルスケアに特化したフィードに加え、主要なソースからの業界固有の脅威フィードを統合している。これらのリソースは、電子カルテ(EHR)や医療機器の脆弱性など、医療特有の脅威を追跡するのに役立つ。さらに、サイウェアのHC-TIPは、ヘルスケアと製薬の脅威のためのビルトイン・タギングを提供し、組織がデータを分類・分析することを容易にする。
Rachel James, Health-ISAC Threat Intelligence Committee member, noted, “In an environment where time is critical, healthcare security teams need tools that allow them to do more with less effort but with greater accuracy. Cyware's Healthcare Threat Intelligence Platform is designed to quickly identify and respond to healthcare-specific threats, empowering organizations to stay ahead of attacks without being overwhelmed by complexity.” Health-ISAC脅威インテリジェンス委員会のレイチェル・ジェームズは、「時間が非常に重要な環境において、ヘルスケア・セキュリティ・チームは、より少ない労力でより多くのことを、より高い精度で実行できるツールを必要としている。サイウェアのHealthcare Threat Intelligence Platformは、医療特有の脅威を迅速に特定し、対応するように設計されており、組織が複雑さに圧倒されることなく、攻撃の先手を打つことができる。
Tony Cook, Sr. Director, IR, TI, Proactive Services at GuidePoint Security, emphasized the role of tailored solutions for healthcare channel partners: “Healthcare organizations face increasingly complex cyber threats, and channel partners play a critical role in helping them address these challenges. Cyware’s Healthcare Threat Intelligence Platform empowers partners with a solution that’s purpose-built for the healthcare sector, enabling efficient and effective threat-driven decision-making. As a premier partner of Cyware we look forward to helping healthcare clients defend against sophisticated attacks while improving overall security outcomes.” トニー・クック氏 GuidePoint SecurityのIR、TI、プロアクティブ・サービス担当シニア・ディレクターであるトニー・クック氏は、ヘルスケア・チャネル・パートナー向けにカスタマイズされたソリューションの役割を強調した: 「医療機関はますます複雑化するサイバー脅威に直面しており、チャネルパートナーはこうした課題に対処する上で重要な役割を担っている。サイウェアのHealthcare Threat Intelligence Platformは、ヘルスケア部門向けに構築されたソリューションをパートナーに提供し、効率的かつ効果的な脅威主導の意思決定を可能にする。サイウェアの一流パートナーとして、我々は、ヘルスケア分野の顧客が全体的なセキュリティ成果を向上させながら、高度な攻撃から防御するのを支援できることを楽しみにしている。」
Key features of Cyware’s Healthcare Threat Intelligence Platform include: サイウェアのHealthcare Threat Intelligence Platformの主な特徴は以下の通り:
Healthcare-Specific Threat Feeds: Aggregates threat intelligence related to ransomware, medical device vulnerabilities, and compliance threats. ヘルスケアに特化した脅威フィード: ランサムウェア、医療機器の脆弱性、コンプライアンスの脅威に関する脅威インテリジェンスを集約する。
Industry-Specific Tagging and Saved Searches: Pre-configured tagging and searches to streamline access to relevant data for threat hunting and investigation. 業界固有のタグ付けと保存された検索: 事前に設定されたタグ付けと検索により、脅威の探索と調査のための関連データへのアクセスを効率化する。
Healthcare Threat Landscape Dashboard: A real-time view of threats, vulnerabilities, and ongoing alerts specific to the healthcare sector. ヘルスケア脅威ランドスケープダッシュボード: ヘルスケア分野に特化した脅威、脆弱性、進行中のアラートをリアルタイムで表示。
Automated TTP Mapping MITRE ATT&CK: Automated mapping to the MITRE ATT&CK framework, with support included for Cyber Kill Chain, and Diamond Model of Intrusion Analysis MITRE ATT&CKへの自動TTPマッピング:MITRE ATT&CKフレームワークへの自動マッピングを行い、Cyber Kill ChainとDiamond Model of Intrusion Analysisをサポートする。
By offering these healthcare-focused capabilities, Cyware’s HC-TIP provides timely and accurate threat detection, helps organizations maintain compliance with regulations such as HIPAA and GDPR, and enables faster, data-driven decision-making. The platform is designed to streamline workflows, prioritize high-severity threats, and reduce the attack surface across healthcare networks. ヘルスケアに特化したこれらの機能を提供することで、サイウェアのHC-TIPはタイムリーで正確な脅威検知を実現し、組織がHIPAAやGDPRなどの規制へのコンプライアンスを維持し、より迅速でデータ主導の意思決定を可能にする。このプラットフォームは、ワークフローを合理化し、重大性の高い脅威に優先順位を付け、医療ネットワーク全体の攻撃対象領域を縮小するように設計されている。
Cyware’s HC-TIP will be available later this month for healthcare organizations looking to fortify their cybersecurity posture with a solution that delivers rapid time-to-value and robust industry-specific protection. サイウェアのHC-TIPは今月末に発売される予定であり、迅速なTime-to-Valueと業界特有の強固な保護を実現するソリューションでサイバーセキュリティ態勢を強化しようとしている医療機関向けに提供される。
For more information on Cyware’s Healthcare Threat Intelligence Platform, register for our December 17 virtual event or learn more [web]. サイウェアのHealthcare Threat Intelligence Platformの詳細については、12月17日のバーチャルイベントに登録するか、[web]
About Cyware サイウェアについて
Cyware delivers an innovative approach to cybersecurity that unifies threat intelligence, automation, threat response, and vulnerability management with data insights gleaned from assets, users, malware, attackers, and vulnerabilities. Cyware’s Cyber Fusion platform integrates SOAR and TIP technology, enabling collaboration across siloed security teams. Cyware is widely deployed by enterprises, government agencies, and MSSPs, and is the leading threat-intelligence sharing platform for global ISACs and CERTs. サイウェアは、資産、ユーザー、マルウェア、攻撃者、脆弱性から得られたデータインサイトにより、脅威インテリジェンス、自動化、脅威対応、脆弱性管理を統合するサイバーセキュリティへの革新的なアプローチを提供している。サイウェアのCyber Fusionプラットフォームは、SOARとTIPテクノロジーを統合し、サイロ化されたセキュリティチーム間のコラボレーションを可能にする。サイウェアは、企業、政府機関、MSSPに広く導入されており、グローバルなISACとCERTのための主要な脅威インテリジェンス共有プラットフォームである。

 

サイウェアのウェブページ

なかなか興味深い...

CYWARE

1_20241205025501

 

 

 


 

CISO向け特権管理ガイド

・2024.11.26 Privileged Access Management: A Guide for Healthcare CISOs

 

Privileged Access Management: A Guide for Healthcare CISOs 特権アクセス管理: ヘルスケアCISOのためのガイド
Health-ISAC has released Privileged Access Management: A Guide for Healthcare CISOs, the ninth whitepaper in the ongoing series for CISOs on Identity & Access Management (IAM). Health-ISACは、特権アクセス管理を発表した: このホワイトペーパーは、アイデンティティ&アクセス管理(IAM)に関するCISO向けシリーズ第9弾である。
IAM systems manage the virtual front door for healthcare organizations. On one side, you have the employees, caregivers, and others who need access to a range of applications to do their jobs. On the other side, you have patients who are using different portals and applications to reach out to physicians, request medications, and make appointments. But there is also a third side to this identity triangle: Privileged Access Management (PAM). IAMシステムは、医療機関のバーチャルな玄関を管理する。一方では、従業員や介護士など、業務を遂行するためにさまざまなアプリケーションへのアクセスを必要とする人々がいる。もう一方には、医師への連絡、投薬の依頼、予約のためにさまざまなポータルやアプリケーションを利用する患者がいる。しかし、このIDトライアングルには第3の側面もある: 特権アクセス管理(PAM)である。
While enabling secure and simple access to systems is a goal of identity and access management for the workforce and patients, PAM purposely adds friction to the process to ensure the greatest possible security. Information and resources protected by PAM are an organization’s most critical resources. A separate, higher security system is necessary for these systems as unauthorized access could mean exfiltration of critical data and compromise of networks and applications. To put it simply, the compromise of privileged accounts would be devastating to a healthcare organization. システムへの安全で簡単なアクセスを可能にすることは、従業員と患者のための ID およびアクセス管理の目標であるが、PAM は可能な限り最大のセキュリティを確保するために、意図的にプロセスに摩擦を加える。PAMによって保護される情報とリソースは、組織にとって最も重要なリソースである。不正アクセスは、重要なデータの流出や、ネットワークやアプリケーションの侵害を意味するため、これらのシステムには、別個のより高度なセキュリティ・システムが必要である。簡単に言えば、特権アカウントの漏洩は、医療機関にとって壊滅的な打撃となる。
Key Takeaways 要点
How PAM is different from an organization’s other identity and access management systems. PAMは、組織の他のIDおよびアクセス管理システムとどのように異なるか。
Where PAM fits into the Health-ISAC framework for Managing Identities. PAMがHealth-ISACのアイデンティティ管理フレームワークにどのように適合するか。
How PAM can help secure the most critical workflows for healthcare organizations. PAMは医療機関にとって最も重要なワークフローのセキュリティ確保にどのように役立つのか。
The challenges that can arise with PAM systems for healthcare organizations. 医療機関のPAMシステムで発生する可能性のある課題。

 

・[PDF

20241205-22710

 

 

 

| | Comments (0)

2024.12.04

欧州評議会 AIシステムの人権への影響を評価する新しいツールを発表 (2024.12.02)

こんにちは、丸山満彦です。

欧州評議会 (Council of Europe) [wikipdeia] がAIシステムの人権への影響を評価する方法論を発表していますね...2024.11.26-28に開催された会合で決定されたようです。HUDERIA METHODOLOGYというようです...正式名称は、METHODOLOGY FOR THE RISK AND IMPACT ASSESSMENT OF ARTIFICIAL INTELLIGENCE SYSTEMS FROM THE POINT OF VIEW OF HUMAN RIGHTS, DEMOCRACY AND THE RULE OF LAW...


今後、より具体的な手法等についての資料を公表していく予定ということです...

AI法が発効され、規制が始まってくるので、こういうツールの利用というのも重要となってきますよね...禁止AIの利用による罰則は最大ですが、世界売上の7%ですからね...

Council of Europe

ミーティングのアジェンダ等.

・2024.11.26-28 12th Meeting

・[PDF] Agenda 
・[PDF] List of participants
・[PDF] List of decisions


欧州評議会は、欧州連合(European Union: EU)[wikipedia] とは別の独立した組織で、人権保護を目的とした国際組織です。現在46カ国が加盟しているようです。欧州連合に加盟している27カ国はすべて欧州評議会に属していますね...

欧州評議会は、法律を制定することはできませんが、条約を制定することはできます。個人データ保護やプライバシーをしている人であれば、一度は耳にしたことがある有名な、1953年に発行された「人権と基本的自由の保護のための条約: Convention for the Protection of Human Rights and Fundamental Freedoms
」([PDF] 日本語版)[wikipedia] も欧州評議会で決議されていますね...


 

さて、欧州評議会からの発表ですが...

 

プレス...

・2024.11.28 HUDERIA: New tool to assess the impact of AI systems on human rights

 

HUDERIA: New tool to assess the impact of AI systems on human rights HUDERIA: AIシステムの人権への影響を評価する新しいツール
new Council of Europe tool provides guidance and a structured approach to carry out risk and impact assessments for Artificial Intelligence (AI) systems. The HUDERIA Methodology is specifically tailored to protect and promote human rights, democracy and the rule of law. It can be used by both public and private actors to help identify and address risks and impacts to human rights, democracy and the rule of law throughout the lifecycle of AI systems. 欧州評議会の新しいツールは、人工知能(AI)システムのリスクと影響評価を実施するためのガイダンスと構造化されたアプローチを提供する。HUDERIA手法は、人権、民主主義、法の支配を保護・促進するために特別に調整されている。AIシステムのライフサイクル全体を通じて、人権、民主主義、法の支配に対するリスクや影響を特定し、対処するために、公的機関、民間企業の双方が利用することができる。
The methodology provides for the creation of a risk mitigation plan to minimise or eliminate the identified risks, protecting the public from potential harm. If an AI system used in hiring, for example, is found to be biased against certain demographic groups, the mitigation plan might involve adjusting the algorithm or implementing human oversight. この方法論は、特定されたリスクを最小化または排除するためのリスク軽減計画の作成を提供し、潜在的な危害から国民を保護する。例えば、雇用に使用されるAIシステムが特定の人口統計グループに偏っていることが判明した場合、緩和計画にはアルゴリズムを調整したり、人間による監視を実施したりすることが含まれる。
The methodology requires regular reassessments to ensure that the AI system continues operating safely and ethically as the context and technology evolve. This approach ensures that the public is protected from emerging risks throughout the AI system's life cycle. この手法では、AIシステムが文脈や技術の進化に伴って安全かつ倫理的に運用され続けるよう、定期的な再評価が必要となる。この手法により、AIシステムのライフサイクルを通じて、新たなリスクから国民が保護されることが保証される。
The HUDERIA Methodology was adopted by the Council of Europe's Committee on Artificial Intelligence (CAI) at its 12th plenary meeting, held in Strasbourg on 26-28 November. It will be complemented in 2025 by the HUDERIA Model, which will provide supporting materials and resources, including flexible tools and scalable recommendations. HUDERIA手法は、欧州評議会の人工知能委員会(CAI)が、11月26〜28日にストラスブールで開催した第12回総会で採択した。2025年には、柔軟なツールや拡張可能な勧告を含む支援資料やリソースを提供するHUDERIAモデルによって補完される予定である。

 

・[PDF] METHODOLOGY FOR THE RISK AND IMPACT ASSESSMENT OF ARTIFICIAL INTELLIGENCE SYSTEMS FROM THE POINT OF VIEW OF HUMAN RIGHTS, DEMOCRACY AND THE RULE OF LAW (HUDERIA METHODOLOGY)

20241204-52825

・[DOCX][PDF] 仮訳

 


 

ちなみに、

・[PDF] ヨーロッパにおける人権および基本的自由の保護のための条約


20241204-64916

 

2024.11.26のJPNICのカンファレンスで講演をしたのですが、その時にも紹介しました...

 

 

 

 

 

 

| | Comments (0)

2024.12.03

欧州 EUROPOL 「SIRIUS EU電子証拠状況レポート 2024年」 (2024.11.28)

こんにちは、丸山満彦です。

EUROPOLが、「SIRIUS EU電子証拠状況レポート 2024年」を公表していますね。。。

犯罪捜査、起訴等にために、証拠としてデジタルデータを利用することは重要となってくるが、それが国境を超えていたり、サービスプロバイダーの協力なしには、アクセスできなかったりという状況の中、どうすれば社会全体が適切な状況に保てるのかというのは、なかなか難しい問題ではあります。

日本ではNPOデジタルフォレンジック研究会が20年前の2004年に設立されたわけですので、新しい話ではないが、世の中が変わってきてるが、状況はあまり変わっていないような気もします。これからAIが大量にデジタルデータを作成し始めると、ますます、多くのデータの中に紛れ込む犯罪に関連するデータをどのように入手し、証拠として採用できるようにするのか?というのは重要なんですよね...

 

EUROPOL

・2024.11.28 SIRIUS EU Electronic Evidence Situation Report 2024

SIRIUS EU Electronic Evidence Situation Report 2024 SIRIUS EU 電子証拠状況報告書 2024
The SIRIUS EU Electronic Evidence Situation Report 2024 provides a comprehensive status update based on direct exchange with public and private stakeholders in the field. It also sheds light on some of the challenges – and advantages – offered by the current situation, and looks at possible future developments shaping cross-border access to digital evidence by law enforcement authorities. SIRIUS EU Electronic Evidence Situation Report 2024は、この分野における官民の利害関係者との直接的な意見交換に基づく包括的な最新状況を提供する。また、現在の状況によってもたらされる課題と利点のいくつかに光を当て、法執行当局によるデジタル証拠への国境を越えたアクセスを形成する、将来起こりうる展開についても考察している。
As legislation regulating the EU digital sphere evolves, the needs of law enforcement remain unchanged; to take speedy action and keep communities safe. For EU law enforcement authorities, the criminal investigations and prosecutions of today cannot be disconnected from the need to access digital data and electronic evidence. EUのデジタル領域を規制する法律が進化しても、法執行当局のニーズは変わらない。EU法執行当局にとって、今日の犯罪捜査と訴追は、デジタルデータと電子証拠へのアクセスの必要性と切り離すことはできない。
Sirius Electronic Evidence Situation Report 2024 SIRIUS電子証拠状況報告書2024
2024 Sirius Report factsheet from perspective of judicial authorities SIRIUS報告書2024 ファクトシート:司法当局の視点から
2024 Sirius Report factsheet from perspective of service providers SIRIUS報告書2024 ファクトシート:サービスプロバイダーの視点から
2024 Sirius Report factsheet from perspective of EU law enforcement SIRIUS報告書2024 ファクトシート:EU法執行機関の視点から

 

報告書...

・[PDF] Sirius Electronic Evidence Situation Report 2024

20241203-20630

・[DOCX][PDF] 仮訳

 

EXECUTIVE SUMMARY  エグゼクティブサマリー 
For EU competent authorities, the investigation and prosecution of crime in the current EU landscape cannot be disconnected from the need to access digital data and reliance on electronic evidence. As legislation regulating the EU digital sphere evolves, the panorama of cross-border access to electronic evidence remains largely unchanged compared to previous years, as emerging from the annual editions of this report.   EUの管轄当局にとって、現在のEUの状況における犯罪の捜査と訴追は、デジタルデータへのアクセスや電子証拠への依存の必要性と切り離すことはできない。EUのデジタル領域を規制する法律が進化するにつれ、本報告書の年次版から浮かび上がるように、電子証拠への国境を越えたアクセスのパノラマは、以前と比較してほとんど変わっていない。  
Despite significant advancements, such as the EU Digital Services Act, the EU Electronic Evidence legislative package, and the Second Additional Protocol to the Budapest Convention on Cybercrime, the approach of EU competent authorities towards current instruments of judicial cooperation and voluntary cooperation with foreign service providers remains unchanged. Both channels, despite their advantages, face ongoing challenges. While judicial cooperation proves inadequate due to its cumbersome and lengthy procedures, the immediacy of voluntary cooperation exchanges lacks legal certainty for the entities affected. It may, for example, put service providers in a position where complying with data requests from foreign authorities could conflict with their home jurisdiction’s laws. Operating within a fragmented national and international legal framework, EU competent authorities involved in criminal investigations requiring access to cross-border digital data do not yet see their duties simplified.   EUデジタルサービス法、EU電子証拠法パッケージ、サイバー犯罪に関するブダペスト条約第2追加議定書といった重要な進歩にもかかわらず、司法協力や外国のプロバイダとの自主的協力といった現行の手段に対するEUの管轄当局のアプローチは変わっていない。どちらの手段も、その利点にもかかわらず、現在進行中の課題に直面している。司法協力はその煩雑で長い手続きのために不十分であることが判明しているが、自主的な協力交換の即時性は、影響を受ける事業体にとって法的確実性に欠ける。例えば、プロバイダが外国当局からのデータ要求に応じることで、自国の司法管轄区域の法律に抵触する可能性がある。断片化された国内および国際的な法的枠組みの中で活動するEUの認可当局は、国境を越えたデジタルデータへのアクセスを必要とする犯罪捜査に関与しているが、その義務はまだ簡素化されていない。  
Pooling together strengths and weaknesses, and threats and opportunities affecting the wide field of cross-border access to electronic evidence for the purpose of EU criminal investigations, this report is based on direct exchange with main stakeholders in the field.  本報告書は、EUの犯罪捜査のために、国境を越えて電子証拠にアクセスするという広い分野に影響を与える強みと弱み、脅威と機会をまとめ、この分野の主要な利害関係者との直接の意見交換に基づいている。 
From the perspective of EU law enforcement, the report highlights that direct requests under voluntary cooperation remain the primary tool for acquiring data in electronic format from social media platforms, messaging apps and cryptocurrency exchanges. Confirmed as the most relevant service providers in criminal investigations in 2023, they were mainly targeted for the disclosure of non-content data – such as connection logs, user names and IP addresses. While the relevance of Single Points of Contact (SPoCs) (1) in all aspects of cross-border engagement with the industry remains significant in guaranteeing higher compliance rates of requests, EU law enforcement also benefits from a steady increase in the level of training received, year after year, on electronic evidence matters. Challenges, however, persist, particularly in the form of lengthy judicial cooperation procedures as well as fragmentation of companies’ policies for cross-border cooperation. The new legislative instruments in the EU Electronic Evidence legislative package, though not yet known in detail by authorities, appear to be met with a mixture of positive expectations, as well as some concerns. The lack of clarity over key concepts, the exact scope or providers covered, as well as the potential transformation of the roles of law enforcement authorities, are some of the issues highlighted by the direct feedback of the EU law enforcement surveyed. From a more general point of view, although not yet a concrete issue, the potential abuse of AI-related technological developments is expected to present new challenges for investigating authorities.  EU法執行機関の視点から、報告書は、自主的な協力に基づく直接請求が、ソーシャルメディア・プラットフォーム、メッセージングアプリ、暗号通貨取引所から電子形式のデータを取得するための主要な手段であり続けていることを強調している。2023年の犯罪捜査において最も関連性の高いプロバイダとして確認されたこれらのプロバイダは、主に非コンテンツデータ(接続ログ、ユーザー名、IPアドレスなど)の開示を対象としていた。この業界との国境を越えた関与のあらゆる側面において、シングル・コンタクト・ポイント(SPoC)(1) の関連性は、より高い要求遵守率を保証する上で依然として重要であるが、EUの法執行機関もまた、電子証拠に関する研修のレベルが年々着実に向上している恩恵を受けている。しかし、特に司法協力手続きに時間がかかることや、国境を越えた協力に対する企業の方針が断片的であることなど、課題も残っている。EUの電子証拠法パッケージにおける新たな立法措置は、当局によってまだ詳細に知られていないものの、肯定的な期待といくつかの懸念が混在しているように思われる。重要な概念、対象となる正確な範囲やプロバイダ、法執行当局の役割の変容の可能性などが明確になっていないことは、調査対象となったEU法執行当局の直接のフィードバックによって強調された問題点の一部である。より一般的な視点からは、まだ具体的な問題ではないが、AI関連の技術開発の潜在的な悪用は、捜査当局に新たな課題をもたらすと予想される。 
From the perspective of judicial authorities, judicial cooperation channels remain the preferred method for obtaining electronic data from service providers located abroad. However, these channels often prove inadequate due to their slow processes, which can lead to the loss of crucial data. To mitigate these delays, some EU Member States’ authorities have resorted to direct voluntary cooperation with foreign service providers.  司法当局の視点からは、海外にあるサービス・プロバイダから電子データを入手する方法として、司法協力ルートが依然として好まれている。しかし、このような手段は、そのプロセスの遅さゆえに不十分であることがしばしば判明し、重要なデータの喪失につながりかねない。こうした遅れを軽減するため、EU加盟国の当局の中には、海外のサービスプロバイダーとの直接的な自発的協力に頼っているところもある。 
Significant advancements are anticipated with the introduction of the EU Electronic Evidence legislative package and the Second Additional Protocol to the Budapest Convention on Cybercrime. Designed to be more efficient and flexible than existing judicial cooperation tools, these instruments will significantly enhance the toolkit available to EU judicial authorities, providing more robust and streamlined mechanisms for accessing electronic evidence across borders. However, these new legal frameworks will not address one of the key challenges identified by EU judicial authorities: the absence of a data retention framework for law enforcement purposes.  EU電子証拠法パッケージおよびサイバー犯罪に関するブダペスト条約第2追加議定書の序文により、大きな進展が期待される。既存の司法協力ツールよりも効率的で柔軟なものに設計されたこれらの文書は、EU司法当局が利用できるツールキットを大幅に強化し、国境を越えて電子証拠にアクセスするための、より強固で合理的なメカニズムを提供する。しかし、これらの新しい法的枠組みは、EU司法当局が指摘する重要な課題のひとつ、法執行目的のデータ保持の枠組みの欠如には対処できない。 
Additionally, the report underscores the importance of continuous capacity building on both existing and forthcoming data acquisition modalities. This is crucial for enabling EU judicial authorities to navigate the complexities of the legal landscape and maximise the benefits of the new instruments for effective cross-border access to electronic evidence.   さらに報告書は、既存のデータ取得方法と今後導入されるデータ取得方法の両方について、継続的に能力開発を行うことの重要性を強調している。これは、EUの司法当局が複雑な法的状況を乗り切り、電子証拠への効果的な国境を越えたアクセスを可能にする新たな手段の利点を最大化するために極めて重要である。  
From the perspective of service providers, the volume of requests for data disclosure has increased, but the processes for direct and voluntary cooperation have not recorded additional challenges as reported in the past, as this report shows. Conversely, as public-private cooperation improves, the challenges reported – such as overly broad requests, lack of contextual information or misunderstandings of services and policies provided, appear solvable through better communication and more targeted educational effort. SPoCs remain, also in the eyes of the industry, an efficient model to be multiplied and expanded within the current legislative framework and maintained in the future framework following the implementation of the EU Electronic Evidence legislative package.   サービス・プロバイダの視点から見ると、データ開示請求の量は増加しているが、本報告書が示すように、直接協力や自発的協力のプロセスは、過去に報告されたような新たな課題を記録していない。逆に、官民協力が改善されるにつれて、報告された課題-過度に広範な要求、文脈に沿った情報の欠如、提供されるサービスや政策に対する誤解など-は、より良いコミュニケーションと、より的を絞った教育努力によって解決可能であるように思われる。SPoCは、業界の目から見ても、現行の法的枠組みの中で増殖・拡大されるべき効率的なモデルであり、EU電子証拠法パッケージの実施後の将来の枠組みにおいても維持されるべきものである。  
On legislative developments affecting the electronic evidence field, while feedback remains varied, providers are more vocal about their expectations for improved quality and frequency of efforts by main EU Institutions responsible for policy implementation. Recognising the substantial changes the new framework will introduce, providers regard the envisaged decentralised IT system for secure digital communication and data exchange as raising the biggest concerns.  電子証拠分野に影響を及ぼす法整備については、依然として様々な意見があるが、プロバイダは、政策実施を担当する主要なEU機構による取り組みの質と頻度の改善に対する期待について、より大きな声を上げている。プロバイダは、新しい枠組みが導入する大幅な変化を認識しつつ、安全なデジタルコミュニケーションとデータ交換のために想定される分散型ITシステムが最大の懸念を引き起こしていると考えている。 
Finally, all public and private stakeholders involved in the preparation of this report view the SIRIUS Project, with its knowledge acquired and developed thus far, and its pivotal role as a centre of excellence in the EU on electronic evidence matters, as an essential actor in the present and future of the electronic evidence field.  最後に、本報告書の作成に関わったすべての官民の利害関係者は、SIRIUSプロジェクトが、これまでに獲得・開発された知識、および電子証拠に関するEUにおける卓越したセンターとしての極めて重要な役割を持つことから、電子証拠分野の現在および将来において不可欠なアクターであると考えている。 

 

 

 

| | Comments (0)

2024.12.02

内閣官房 サイバー安全保障分野での対応能力の向上に向けた提言 (2024.11.29)

こんにちは、丸山満彦です。

内閣官房の「サイバー安全保障分野での対応能力の向上に向けた有識者会議」が、「サイバー安全保障分野での対応能力の向上に向けた提言」を取りまとめて、公表していますね...

 

内閣官房 - サイバー安全保障分野での対応能力の向上に向けた有識者会議

・2024.11.29 [PDF] サイバー安全保障分野での対応能力の向上に向けた提言

20241202-60207_20241202060201

・2024.11.29 [PDF] サイバー安全保障分野での対応能力の向上に向けた提言(概要)

20241202-60428

 

参考として、自民党の提言も...

自由民主党

・2024.09.11 【サイバー安保】速やかな法制化を 関係会議が提言申し入れ

・[PDF] サイバー安全保障政策の方向性に関する提言

20241202-60843

 


概要...

サイバー安全保障分野での対応能力の向上に向けた提言

サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させるための新たな取組の実現のために必要となる法制度の整備等について4度の全体会議及び9度のテーマ別会合にて検討し、提言とりまとめ。

 

実現すべき具体的な方向性

() 官民連携の強化

  • 国家をも背景とした高度なサイバー攻撃への懸念の拡大、デジタルトランスフォーメーションの進展を踏まえる と、官のみ・民のみでのサイバーセキュリティ確保は困難。インフラ機能など社会全体の強靱性を高めるため、 産業界をサイバー安全保障政策の「顧客」としても位置づけ、政府が率先して情報提供し、官民双方向の 情報共有を促進すべき。
  • 高度な侵入・潜伏能力を備えた攻撃に対し事業者が具体的行動を取れるよう、専門的なアナリスト向けの 技術情報に加え、経営層が判断を下す際に必要な、攻撃の背景や目的なども共有されるべき。情報共有 枠組みの設置や、クリアランス制度の活用等により、情報管理と共有を両立する仕組みを構築すべき。
  • これらの取組を効果的に進めるため、システム開発等を担うベンダとの連携を深めるべき。脆弱性情報の提 供やサポート期限の明示など、ベンダが利用者とリスクコミュニケーションを行うべき旨を法的責務として位置 づけるべき。
  • 経済安保推進法の基幹インフラ事業者によるインシデント報告を義務化するほか、その保有する重要機器 の機種名等の届出を求め、攻撃関連情報の迅速な提供や、ベンダに対する必要な対応の要請ができる仕 組みを整えるべき。基幹インフラ事業者以外についても、インシデント報告を条件に情報共有枠組みへの参 画を認めるべき。被害組織の負担軽減と政府の対応迅速化を図るため、報告先や様式の一元化、簡素化 等を進めるべき。

 

() 通信情報の利用

  • 先進主要国は国家安保の観点からサイバー攻撃対策のため事前に対象を特定せず一定量の通信情報 を収集し、分析。我が国でも、重大なサイバー攻撃対策のため、一定の条件下での通信情報の利用を検討 すべき。
  • 国外が関係する通信は分析の必要が特に高い。まず、外外通信(国内を経由し伝送される国外から国 外への通信)は先進主要国と同等の方法の分析が必要。加えて、攻撃は国外からなされ、また、国内か ら攻撃元への通信が行われるといった状況を踏まえ、外内通信(国外から国内への通信)及び内外通信 (国内から国外への通信)についても、被害の未然防止のために必要な分析をできるようにしておくべき。
  • コミュニケーションの本質的内容に関わる情報は特に分析する必要があるとは言えない。機械的にデータを 選別し検索条件等で絞る等の工夫が必要。
  • 通信の秘密であっても法律により公共の福祉のために必要かつ合理的な制限を受ける。先進主要国を参考に明確で詳細なルールとなるよう考慮し、緻密な法制度を作るべき。その際、取得及び情報処理のプロセ スについて独立機関の監督が重要。
  • なお、通信当事者の有効な同意がある場合の通信情報の利用は、同意がない場合とは異なる内容の制 度により実施することも可能であると考えられる。その際、制度により、基幹インフラ事業者の協議の義務化 等で、必要に応じ、同意を促すことが考えられる。
  • 性質上非公開とすべき範囲はあるが適切な情報公開は行われるべき。公開困難な部分を独立機関の監 督で補うべき。

 

() アクセス・無害化

  • サイバー攻撃の特徴(危険の認知の困難性、意図次第でいつでも攻撃可能、被害の瞬時拡散 性)を踏まえ、被害防止を目的としたアクセス・無害化を行う権限は、緊急性を意識し、事象や状況の変化 に応じて臨機応変かつ即時に対処可能な制度にすべき。こうした措置は、比例原則を遵守し、必要な範囲 で実施されるものとする必要。その際、執行のシステム等を含め、従前から機能してきた警察官職務執行法 を参考としつつ、その適正な実施を確保するための検討を行うべき。
  • 平時と有事の境がなく、事象の原因究明が困難な中で急激なエスカレートが想定されるサイバー攻撃の特性 から、武力攻撃事態に至らない段階から我が国を全方位でシームレスに守るための制度とすべき。
  • アクセス・無害化の措置の性格、既存の法執行システムとの接合性等を踏まえ、権限の執行主体は、警察 や防衛省・自衛隊とし、その能力等を十全に活用すべき。まずは警察が、公共の秩序維持の観点から特に 必要がある場合には自衛隊がこれに加わり、共同で実効的に措置を実施できるような制度とすべき。
  • 権限行使の対象は、国の安全や国民の生命・身体・財産に深く関わる国、重要インフラ、事態発生時等に 自衛隊等の活動が依存するインフラ等へのサイバー攻撃に重点を置く一方、必要性が認められる場合に適 切に権限行使できる仕組みとすべき。
  • 国際法との関係では、他国の主権侵害に当たる行為をあらかじめ確定しておくことは困難。他国の主権侵害 に当たる場合の違法性阻却事由としては、実務上は対抗措置法理より緊急状態法理の方が援用しやすい ものと考えられるが、国際法上許容される範囲内でアクセス・無害化が行われるような仕組みを検討すべき。

 

() 横断的課題

  • 脅威の深刻化に対し、普段から対策の強化・備えが重要であり、サイバーセキュリティ戦略本部の構成等 を見直すとともに、NISCの発展的改組に当たり政府の司令塔として強力な情報収集・分析、対処調整の 機能を有する組織とすべき。
  • 重要インフラのレジリエンス強化のため、行政が達成すべきと考えるセキュリティ水準を示し、常に見直しを図 る制度とするとともに、政府機関等についても国産技術を用いたセキュリティ対策を推進し、実効性を確保 する仕組みを設けるべき。
  • 政府主導でセキュリティ人材の定義の可視化を行い、関係省庁の人材の在り方の検討を含め、非技術者の 巻き込みや人材のインセンティブに資する人材育成・確保の各種方策を自ら実践しながら、官民の人材交流を強化すべき。
  • サプライチェーンを構成する中小企業等のセキュリティについて、意識啓発や支援拡充、対策水準等を検討す べき。

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.22 参議院常任委員会調査室・特別調査室 「能動的サイバー防御に係る制度構築の方向性と課題」

・2024.09.13 自民党 サイバー安全保障分野での対応能力向上に向けた提言 (2024.09.11)

・2024.08.29 内閣官房 サイバー安全保障分野での対応能力の向上に向けた有識者会議 これまでの議論の整理 (2024.08.07)

・2024.07.13 防衛白書(2024年)

・2024.03.23 国立国会図書館 調査及び立法考査局 サイバーセキュリティの確保と通信の秘密の保護―この 20年の議論と能動的サイバー防御導入等に向けた課題―

・2023.09.23 サイバー領域への軍事的適応の課題:オランダの事例研究 (2023.07.13)

・2023.07.28 防衛白書(2023年) (+ 能動的サイバー防衛...)

・2023.07.17 英国 NCSC アクティブ・サイバーディフェンス第6次報告書 (2023.07.06) そういえばNCSCは「アクティブ・サイバーディフェンスは防御であって攻撃ではない」と言ってました...

・2023.06.17 経団連 サイバー安全保障に関する意見交換会を開催

・2023.05.24 米国 国防総合大学 「統合抑止力とサイバー空間 - 国益追求のためのサイバー作戦の役割を探る論文選集」(2023.05.15)

・2023.04.03 米国 米サイバー軍がアルバニアでイランからのサイバー攻撃に対する防衛的ハント作戦を実施 (2023.03.23)

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.08.23 米国 サイバー司令部:クロアチアと米国のサイバー防衛隊が悪質な行為者をハントする

・2021.04.07 ハックバックを認めるべき?民間企業による積極的サイバー防衛についての記事 ... Oxford Academic, Journal of Cybersecurity: Private active cyber defense and (international) cyber security—pushing the line?

・2021.02.21 U.K. NSCS 2019年能動的サイバー防御についての実績報告書 (Active Cyber Defence (ACD) - The Third Year)

» Continue reading

| | Comments (0)

2024.12.01

個人情報保護委員会 中小規模事業者(従業員数100名以下)における個人情報等の安全管理措置に関する実態調査 (2024.11.29)

こんにちは、丸山満彦です。

個人情報保護委員会が、「中小規模事業者における個人情報等の安全管理措置に関する実態調査」の結果を公表しています。サイバーセキュリティ対策として、中小企業のセキュリティ対応力の向上は、日本のみならず、全世界的に課題として認識されているので、日本として、こういう調査は、今後の政策と進める上でも、個々の組織が対策を進める上でも重要ですね...

できれば、このような調査は、定期的に経年で変化を追えるようにしていると、さらによりよい意思決定のリソースになっていきますよね...

中小企業というと、日本ではいろいろな状況で語られるためことなるのですが、今回は、従業員100名以下の組織を対象としています。。。

ちなみに英国の場合は、

o 零細企業:従業員数 10 人未満
o 小企業 :従業員数 10 人以上 50 人未満
o 中企業 :従業員数 50 人以上 250 人未満
o 大企業 :従業員数 250 人以上

となっているので、(有益な調査ができるかどうかは別として)、調査の間でのブレはないですね...

日本では、中小企業基本法では、「中小企業」は、

  • 製造業、建設業、運輸業資本金が3億円以下または従業員数が300人以下
  • 卸売業資本金が1億円以下または従業員数が100人以下
  • 小売業資本金が5,000万円以下または従業員数が50人以下
  • サービス業資本金が5,000万円以下または従業員数が100人以下

となっています。

相談先のほとんどが、税理士となっています。これは前から言われていたのですが、中小企業のセキュリティ対策については、財務省・国税庁とも連携して、税理士協会の協力を仰ぐのがよいように思いますね...

顧客情報を1000名以上もっている100名以下の企業においても、基本的なセキュリティ対策(ハイジーン)が十分にはできていない実態が明らかなので、「お助け隊」の活用はますます重要となるでしょう...

そういう意味では、地方の税理士会とお助け隊の連携というのは、もっと進められないかと思いました。

あと、意外とクラウドを利用していると回答している企業が少ないけど、ひょっとしたら「利用しているけど、そう思っていない」とか、、、

 

個人情報保護委員会

・2024.11.29 「中小規模事業者における個人情報等の安全管理措置に関する実態調査」を掲載しました

・・[PDF] 「中小規模事業者における個人情報等の安全管理措置に関する実態調査」の資料の公表について

20241201-72405

 

・・[PDF] 中小規模事業者における個人情報等の安全管理措置に関する実態調査 結果概要

20241201-72412

 

・・[PDF] 中小規模事業者における個人情報等の安全管理措置に関する実態調査 報告書

20241201-72418

 

・・[PDF] 参考】 顧客情報の保有数別の中小規模事業者の安全管理措置の回答結果

20241201-72630

 

 

 

 

| | Comments (0)

欧州委員会 公共機関のAI導入に関する2つの報告書「どのような要因が公的管理者によるAI導入の認知に影響を与えるか?」「公共部門におけるAIのためのコンピテンシーとガバナンス慣行」 (2024.11.25)

こんにちは、丸山満彦です。

欧州委員会が、公共機関のAI導入に関する2つの報告書を公表しています(2024.11.25)...

JRC Publications Repository - What factors influence perceived artificial intelligence adoption by public managers? どのような要因が公的管理者による人工知能導入の認知に影響を与えるか?
20241201-11043
JRC Publications Repository - Competences and governance practices for artificial intelligence in the public sector JRC政府刊行物リポジトリ - 公共部門における人工知能のためのコンピテンシーとガバナンス慣行
20241201-11137

 

サンプル調査によると、半数ちょっと超の政府機関において、AIの導入が進んでいるようですね。。。日本政府や自治体での導入状況はどの程度なのでしょうかね...

 

Eropean Commission

プレス...

・2024.11.25 AI adoption in the public sector: a new study on key influencing factors and two frameworks for competencies and governance

AI adoption in the public sector: a new study on key influencing factors and two frameworks for competencies and governance 公共部門におけるAI導入:主要な影響要因に関する新たな研究と、コンピテンシーとガバナンスのための2つの枠組み
Two new studies from the Joint Research Centre delve into the factors that influence the adoption of Artificial Intelligence (AI) in public sector organisations. 共同研究センターは、公的機関における人工知能(AI)導入に影響を与える要因について、2つの新しい研究を発表した。
A first report analyses a survey conducted among 574 public managers across seven EU countries, identifying what are currently the main drivers of AI adoption and providing 3 key recommendations to practitioners.  最初の報告書は、EU7カ国の574人の公的管理職を対象に実施した調査を分析し、現在AI導入の主な推進要因となっているものを特定し、実務者への3つの重要な提言を示している。
Strong expertise and various organisational factors emerge as key contributors for AI adoptions, and a second study sheds light on the essential competences and governance practices required for the effective adoption and usage of AI in the public sector across Europe.  強力な専門知識と様々な組織的要因が、AI導入の重要な要因として浮かび上がっており、2つ目の調査では、欧州全域の公共部門でAIを効果的に導入・活用するために必要な必須能力とガバナンスの実践について明らかにしている。
What factors influence perceived artificial intelligence adoption by public managers? どのような要因が公的管理者による人工知能導入の認知に影響を与えるのか?
The study finds that AI adoption is no longer a promise for public administration, but a reality, particularly in service delivery and internal operations and to a lesser extent in policy decision-making. It also highlights the importance of organisational factors such as leadership support, innovative culture, clear AI strategy, and in-house expertise in fostering AI adoption. Anticipated citizen needs are also identified as a key external factor driving AI adoption.  本研究では、AI導入はもはや行政にとって約束事ではなく、現実のものとなっており、特にサービス提供や内部業務において、また政策の意思決定において、その程度は低いものの、導入が進んでいることを明らかにしている。また、AI導入を促進する上で、リーダーシップの支援、革新的な文化、明確なAI戦略、社内の専門知識といった組織的要因が重要であることも強調している。また、予測される市民のニーズは、AI導入を促進する重要な外部要因であることも明らかにされている。
Based on these findings, the report offers three policy recommendations. First, it suggests paying attention to AI and digitalisation in leadership programmes, organisational development and strategy building. Second, it recommends broadening in-house expertise on AI, which should include not only technical expertise, but also expertise on ethics, governance, and law. Third, the report advises monitoring (for instance through focus groups and surveys) and exchanging on citizen needs and levels of readiness for digital improvements in government service delivery.  これらの調査結果に基づき、報告書は3つの政策提言を提示している。第一に、リーダーシップ・プログラム、組織開発、戦略構築において、AIとデジタル化に注意を払うことを提言している。第2に、AIに関する社内の専門知識を広げることを提言している。技術的な専門知識だけでなく、倫理、ガバナンス、法律に関する専門知識も含めるべきである。第3に、報告書は、政府サービス提供におけるデジタル改善に対する市民のニーズや準備レベルについて、(例えばフォーカスグループや調査を通じて)モニタリングし、意見交換することを勧めている。
Check out the full report: JRC Publications Repository - What factors influence perceived artificial intelligence adoption by public managers? 報告書全文を見る JRC Publications Repository - どのような要因が公的管理者による人工知能導入の認知に影響を与えるか?
Competences and governance practices for artificial intelligence in the public sector 公共部門における人工知能のための能力とガバナンスの実践
If we want to determine at what pace AI is being adopted and the value that can be derived from these emerging technologies, it is crucial to look at both competences required by public managers and at governance practices necessary for leveraging AI effectively.  AIがどのようなペースで採用され、このような新たな技術からどのような価値が得られるかを見極めたいのであれば、政府管理者に求められる能力と、AIを効果的に活用するために必要なガバナンスの実践の両方に目を向けることが極めて重要である。
Another recent study looks precisely at the essential competences and governance practices required for the effective adoption and usage of artificial intelligence (AI) in the public sector across Europe.   最近の別の研究では、欧州全域の公共部門で人工知能(AI)を効果的に導入・活用するために必要な必須能力とガバナンスのあり方について正確に考察している。 
Drawing on three empirical sources, including a systematic review of academic research literature and policy and grey literature, feedback from an online expert workshop, and 19 interviews across seven selected case studies, the study elaborated two frameworks for AI in the public sector: 学術研究文献や政策・灰色文献の体系的レビュー、オンライン専門家ワークショップからのフィードバック、7つの厳選されたケーススタディにおける19のインタビューなど、3つの実証的情報源に基づき、本研究は公共部門におけるAIのための2つの枠組みを精緻化した:
competences framework that encompasses technical, managerial, and policy legal and ethical competences, as well attitudinal, operational, and literacy one: コンピテンシー・フレームワークは、技術的、管理的、政策的な法的・倫理的コンピテンシーに加え、態度的、運用的、リテラシー的コンピテンシーを含む:
1_20241201012901
 The governance practices framework includes procedural, structural, and relational practices, and strategic, tactical, and operational governance levels: ガバナンス実践フレームワームには、手続き的、構造的、関係的実践、戦略的、戦術的、運用的ガバナンスレベルが含まれる:
2_20241201012901
Additionally, the report provides six recommendations, three for each framework, consisting of 18 actions for the development of competences and governance practices for AI in the public sector in Europe.  さらに報告書は、欧州の公共部門におけるAIの能力とガバナンスの実践の発展のための18の行動からなる6つの提言(各枠組みに3つずつ)を提示している。
A full, detailed list of both the competencies and governance practices identified is available in the report: JRC Publications Repository - Competences and governance practices for artificial intelligence in the public sector 識別されたコンピテンシーとガバナンスの詳細なリストは報告書に掲載されている: JRC政府刊行物リポジトリ - 公共部門における人工知能のためのコンピテンシーとガバナンス慣行
Related and Future Work 関連研究と今後の課題
These studies are part of the scope of the Public Sector Tech Watch, a specialized observatory that tracks and shares information on the adoption of emerging technologies in the public sector across Europe. This observatory is under the joint administration of the Directorate-General for Digital Services and JRC, with the JRC serving as the observatory’s scientific partner. これらの研究はPublic Sector Tech Watchの一部であり、欧州全域の公共部門における新技術の採用に関する情報を追跡・共有する専門観測所である。この観測所は、デジタルサービス一般調達局とJRCの共同管理下にあり、JRCは観測所の科学的パートナーとしての役割を果たしている。

 

 

 

 

 

 

 


 

AI導入...

・2024.11.25 What factors influence perceived artificial intelligence adoption by public managers?

What factors influence perceived artificial intelligence adoption by public managers? どのような要因が、公的管理者によるAI導入の認知に影響を与えるのか?
A survey among public managers in seven EU countries EU7カ国の公的管理者を対象とした調査
The adoption of artificial intelligence (AI) in the public sector is now reaching a stage where, drawing on the experience of early pilots and adoptions, EU public administrations are starting to face the challenges of implementing AI solutions. In response, this study investigates AI adoption in the public sector with a twofold goal: 公共部門における人工知能(AI)の導入は、初期の試験導入の経験を踏まえ、EUの行政機関がAIソリューションの導入という課題に直面し始める段階に来ている。これを受けて、本研究では公共部門におけるAIの導入について2つの目標を掲げて調査している:
● Add evidence to the existing body of knowledge to have a better understanding of the dynamics underlying AI adoption in the EU. We do this by providing quantitative (survey) insights into AI readiness and adoption in the public sector, across different country contexts. By offering a picture of the status of AI adoption and readiness in public administrations, we identify the main challenges and drivers of AI adoption, which are required for ensuring AI’s trustworthy use. 既存の知見にエビデンスを加え、EUにおけるAI導入の根底にある団体をより深く理解する。これは、公共部門におけるAIの準備と採用に関する定量的(調査)洞察を、さまざまな国の状況にわたってプロバイダすることによって行う。行政機関におけるAIの導入状況と準備状況を明らかにすることで、AIの信頼できる利用を確保するために必要な、AI導入の主な課題と推進要因を特定する。
● Define recommendations for managers in the public sector and public administrations. Based on the insights from the first aim, we formulate ways forward to inform policymakers. We surveyed 576 public managers in seven countries: Germany, Spain, France, the Netherlands, Austria, Poland and Sweden. The sample was diverse in age, job level, organisation size and geographical origin. We asked each of them about the level of AI adoption in their organisation. 公共部門および行政の管理者に対する提言を定義する。第一の目的から得られた洞察に基づき、政策立案者に情報を提供するための方法を策定する。我々は7カ国の576人の公的管理者を対象に調査を行った: ドイツ、スペイン、フランス、オランダ、オーストリア、ポーランド、スウェーデンである。サンプルは、年齢、職務レベル、組織規模、出身地が多様であった。各管理職に対し、組織におけるAI導入の度合いを尋ねた。
This was measured in two ways: we asked specifically about the extent to which they thought that their organisation had implemented AI projects in service delivery, internal operations and policy decision-making. Next, we asked about the exact number of projects that were either planned or implemented, with the response options of 0, 1, 2–5 or more than 5. Building on the latest scientific insights, we look at what combination of technological, organisational, environmental and individual-level factors contributes to AI adoption. これは2つの方法で測定された: 具体的には、各組織がサービス提供、内部業務、政策決定においてAIプロジェクトをどの程度実施しているかを尋ねた。次に、計画または実施されたプロジェクトの正確な数を、0、1、2~5、5以上の選択肢で尋ねた。最新の科学的知見に基づき、技術的、組織的、環境的、個人レベルのどのような要因の組み合わせがAIの導入に寄与しているかを調べた。
Based on our research, we have three key conclusions: 調査に基づき、3つの重要な結論を得た:
1. AI adoption is no longer a promise; it is a reality, in particular for service delivery and internal operations. 1. AIの導入はもはや約束事ではなく、特にサービス提供や社内業務においては現実のものとなっている。
2. Soft factors and in-house expertise are important internal factors for AI adoption. 2. AI導入のための重要な内部要因として、ソフト面の要因と組織内の専門知識が挙げられる。
3. Citizen needs are an important external factor for AI adoption. 3.市民のニーズはAI導入の重要な外部要因である。

 

[PDF]

20241201-11043

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 

実践...

 

・2024.11.25 Competences and governance practices for artificial intelligence in the public sector

Competences and governance practices for artificial intelligence in the public sector 公共部門における人工知能の能力とガバナンスの実践
The diffusion of artificial intelligence (AI) in the public sector depends largely on ensuring the presence of appropriate competences and establishing appropriate governance practices to deploy solutions. This report builds on a synthesis of empirical research, grey and policy literature, on an expert workshop and on interviews from seven case studies of European public organisations to identify the competences and governance practices around AI required to enable value generation in the public sector. Based on the analysis, we present a comprehensive framework for relevant competences and a framework for the governance practices for AI in the public sector. The report also introduces six recommendations to be implemented through 18 actions to facilitate the development of the competences and governance practices needed for AI in the public sector in Europe. 公共部門における人工知能(AI)の普及は、適切な能力を確保し、ソリューションを展開するための適切なガバナンスを確立することに大きく依存する。本報告書では、実証研究、灰色文献、政策文献の統合、専門家ワークショップ、欧州の公的機関の7つのケーススタディからのインタビューに基づき、公的部門での価値創出を可能にするために必要なAIに関するコンピテンスとガバナンスのあり方を明らかにする。分析に基づき、関連するコンピテンスの包括的なフレームワークと、公共部門におけるAIのガバナンス手法のフレームワークを提示する。また、欧州の公的セクターにおけるAIに必要なコンピテンスとガバナンス手法の開発を促進するため、18のアクションを通じて実施すべき6つの提言を紹介している。

 

・[PDF]

20241201-11137

 

 

 

 


 

| | Comments (0)

備忘録 論文 法人としてのAI:過去、パターン、展望

こんにちは、丸山満彦です。

例えば、生成AIが人間の指示を受けなくても、新しい物語や、絵画を作り始めるということは、将来的にはありえそうです。その場合、そのようなAIに会社のように法人格を与えるということは、AIが生み出す行為に対する社会的な課題を解決する手段として、適切かもしれません。(可能性の話です...)

ただ、現在のところは、人間の手を離れて契約を交わすこともないですし、具体的な検討は不要なんでしょうね...あくまで、思考ゲームというところなのでしょうかね...

 

PhilArchive

・2024.11.24 AI as Legal Persons: Past, Patterns, and Prospects by  & 

概要...

This chapter examines the evolving debate on AI legal personhood, emphasizing the role of path dependencies in shaping current trajectories and prospects. Two primary path dependencies emerge: prevailing legal theories on personhood (singularist vs. clustered) and the impact of technological advancements. We argue that these factors dynamically interact, with technological optimism fostering broader rights-based debates and periods of skepticism narrowing discussions to limited rights. Additional influences include regulatory cross-linkages (e.g., data privacy, liability, cybersecurity) and historical legal precedents. Current regulatory frameworks, particularly in the EU, generally resist extending legal personhood to AI systems. Case law suggests that without explicit legislation, courts are unlikely to grant AI legal personhood on their own. For this to happen, AI systems would first need to prove de facto legitimacy through sustained social participation. The chapter concludes by assessing near- and longterm prospects, from generative AI and AI agents in the next 5–20 years to transformative possibilities such as AI integration with human cognition via BrainMachine Interfaces in a more distant future.  本章では、AIの法的人格に関する発展途上の議論を検証し、現在の軌跡と展望を形成する経路依存性の役割を強調する。人称に関する一般的な法理論(単一主義かクラスター主義か)と技術的進歩の影響である。技術的楽観主義がより広範な権利に基づく議論を促進し、懐疑主義の時期が限定的な権利に議論を狭めるというように、これらの要因は動的に相互作用していると我々は主張する。さらに、規制のクロスリンク(データ・プライバシー、賠償責任、サイバーセキュリティなど)や歴史的な判例も影響する。現在の規制枠組み、特にEUでは、一般的にAIシステムに法的人格権を拡大することに抵抗がある。判例は、明確な立法がなければ、裁判所がAIに単独で法人格を付与する可能性は低いことを示唆している。そのためにはまず、AIシステムが持続的な社会参加を通じて事実上の正当性を証明する必要がある。本章は、今後5~20年の生成的AIやAIエージェントから、より遠い将来におけるブレイン・マシン・インターフェースを介したAIと人間の認知との統合といった変革の可能性まで、近未来と長期的な展望を評価することで締めくくられている。

 

・[PDF]

20241130-233312

 

同じ指導教官の少し前の論文

・2021.12.10 A conceptual framework for legal personality and its application to AI by  & 

In this paper, we provide an analysis of the concept of legal personality and discuss whether personality may be conferred on artificial intelligence systems (AIs). Legal personality will be presented as a doctrinal category that holds together bundles of rights and obligations; as a result, we first frame it as a node of inferential links between factual preconditions and legal effects. However, this inferentialist reading does not account for the ‘background reasons’ of legal personality, i.e., it does not explain why we cluster different situations under this doctrinal category and how extra-legal information is integrated into it. We argue that one way to account for this background is to adopt a neoinstitutional perspective and to update the ontology of legal concepts with a further layer, the meta-institutional one. We finally argue that meta-institutional concepts can also support us in finding an equilibrium around the legal-policy choices that are involved in including (or not including) AIs among legal persons. 本稿では、法的人格の概念を分析し、人工知能システム(AI)に人格が付与されるかどうかを議論する。法的人格は、権利と義務の束をまとめる教義上のカテゴリーとして提示される。その結果、我々はまず、それを事実的前提条件と法的効果との間の推論的リンクのノードとして枠組みする。しかし、この推論主義的な読解は、法的人格の「背景的理由」を説明するものではない。すなわち、なぜ異なる状況をこの学説上のカテゴリーに分類するのか、また、法律外の情報がどのようにこのカテゴリーに統合されるのかを説明するものではない。このような背景を説明する一つの方法として、新体制の観点を採用し、法概念の存在論をさらにメタ制度的なレイヤーで更新することを主張する。最後に、メタ制度的概念は、法人にAIを含める(あるいは含めない)ことに関わる法的・政策的選択をめぐる均衡を見出す際にも役立つと主張する。

 

・[PDF]

20241130-234238

 

 

 

 

| | Comments (0)

2024.11.30

オーストラリア 議会 情報・安全保障合同委員会 2024年サイバーセキュリティ法制パッケージ (2024.10.08)

こんにちは、丸山満彦です。

議会の情報・安全保障合同委員会に2024年サイバーセキュリティ法制パッケージ(サイバーセキュリティ法案2024情報サービスおよびその他の法改正(サイバーセキュリティ)法案 2024重要インフラの安全保障およびその他の法改正(対応と予防の強化)法案 2024に提出されていますね...

読んでいると、米国とよく似た法制への改正を考えているようですね...

この法案パッケージをまとめたのは、Hon Tony Burke MP議員(労働党:2024.07.29からサイバーセキュリティ担当大臣)...

 

Parliament o Australia - Parliamentary Joint Committee on Intelligence and Security 

・2024.10.08 Cyber Security Legislative Package 2024

 

Cyber Security Legislative Package 2024 2024年サイバーセキュリティ法制パッケージ
On 9 October 2024, the Hon Tony Burke MP wrote to refer the Cyber Security Legislative Package to the Parliamentary Joint Committee on Intelligence and Security for inquiry and report. 2024年10月9日、トニー・バーク議員は、サイバーセキュリティ法制パッケージを議会の情報・安全保障合同委員会に付託し、調査と報告を求める文書を提出した。
The Legislative Package consists of the: 立法パッケージは以下からなる:
Cyber Security Bill 2024 サイバーセキュリティ法案2024
Intelligence Services and Other Legislation Amendment (Cyber Security) Bill 2024 情報サービスおよびその他の法改正(サイバーセキュリティ)法案 2024
Security of Critical Infrastructure and Other Legislation Amendment (Enhanced Response and Prevention) Bill 2024 重要インフラの安全保障およびその他の法改正(対応と予防の強化)法案 2024
The Cyber Security Legislative Package 2024 intends to implement seven initiatives under the 2023-2030 Australian Cyber Security Strategy, which aims to address legislative gaps to bring Australia in line with international best practice and help ensure Australia is on track to become a global leader in cyber security. サイバーセキュリティ立法パッケージ2024は、2023-2030年オーストラリア・サイバーセキュリティ戦略の下、7つのイニシアチブを実施することを意図している。この戦略は、オーストラリアを国際的なベストプラクティスに沿わせ、オーストラリアがサイバーセキュリティのグローバルリーダーになるための軌道を確実にするために、法制上のギャップに対処することを目的としている。
These measures are intended to address gaps in current legislation to: これらの措置は、以下のような現行法とのギャップに対処することを意図している:
・mandate minimum cyber security standards for smart devices ・スマートデバイスの最低限のサイバーセキュリティ標準を義務付ける。
・introduce mandatory ransomware reporting for certain businesses to report ransom payments ・特定の企業に対し、身代金の支払いを報告するランサムウェア報告義務を導入する。
・introduce ‘limited use’ obligations for the National Cyber Security Coordinator and the Australian Signals Directorate (ASD) ・国家サイバーセキュリティ・コーディネーターとオーストラリア信号局(ASD)に「限定的使用」義務を導入する。
・establish a Cyber Incident Review Board ・サイバーインシデント審査委員会を設置する。
The package also intends to progress and implement reforms to the Security of Critical Infrastructure Act 2018 (SOCI Act). These reforms intend to: 本パッケージはまた、2018年重要インフラ安全保障法(SOCI法)の改革を進め、実施する予定である。これらの改革は以下を意図している:
・clarify existing obligations in relation to systems holding business critical data ビジネス上重要なデータを保持するシステムに関する既存の義務を明確にする。
・enhance government assistance measures to better manage the impacts of all hazards incidents on critical infrastructure ・重要インフラに対するあらゆる災害インシデントの影響をよりよく管理するための政府支援策を強化する。
・simplify information sharing across industry and Government ・産業界と政府の情報共有を簡素化する。
・introduce a power for the Government to direct entities to address serious deficiencies within their risk management programs ・政府が事業体に対し、リスクマネジメント・プログラムの重大な欠陥に対処するよう指示する権限を導入する。
・align regulation for the security of telecommunications into the SOCI Act ・電気通信のセキュリティに関する規制をSOCI法に整合させる。
Submissions are invited by Friday, 25 October 2024. Further information about making a submission to a parliamentary committee is available here. 提出期限は2024年10月25日(金)である。議会委員会への提出に関する詳細はこちらを参照のこと。

 

About this inquiry この調査について
The Committee is reviewing the Cyber Security Bill 2024, the Intelligence Services and Other Legislation Amendment (Cyber Security) Bill 2024 and the Security of Critical Infrastructure and Other Legislation Amendment (Enhanced Response and Prevention) Bill 2024. 当委員会は、サイバーセキュリティ法案、情報サービスおよびその他の法改正法案、重要インフラのセキュリティおよびその他の法改正法案を審査している。
The Cyber Security Legislative Package 2024 intends to implement seven initiatives under the 2023-2030 Australian Cyber Security Strategy, which aims to address legislative gaps to bring Australia in line with international best practice and help ensure Australia is on track to become a global leader in cyber security. サイバーセキュリティ立法パッケージ2024は、2023-2030年オーストラリア・サイバーセキュリティ戦略の下、7つのイニシアチブを実施することを意図しており、オーストラリアを国際的なベストプラクティスに沿わせ、オーストラリアがサイバーセキュリティの世界的リーダーになるための軌道を確実にするために、法律上のギャップに対処することを目的としている。
Cyber Security Bill 2024 サイバーセキュリティ法案 2024
Intelligence Services and Other Legislation Amendment (Cyber Security) Bill 2024 情報サービスおよびその他の法改正(サイバーセキュリティ)法案 2024
Security of Critical Infrastructure and Other Legislation Amendment (Enhanced Response and Prevention) Bill 2024 重要インフラの安全保障およびその他の法改正(対応と予防の強化)法案 2024
Submissions 提出書類
Media Releases メディアリリース
Public Hearings 公聴会
Government Response 政府対応
Committee Membership 委員会メンバー
Report 報告書

 

パッケージ...

Abbreviations 略語
Members メンバー
Terms of reference 参考文献
List of recommendations 提言リスト
Chapters
Chapter 1 - Introduction 第1章 序文
Conduct of the inquiry 調査の実施
Report structure 報告書の構成
Context of the inquiry 調査の背景
Chapter 2 - The Cyber Security Bill 2024 第2章 2024年サイバーセキュリティ法案
Background and purpose of the Cyber Security Bill サイバーセキュリティ法案の背景と目的
Part 1: Preliminary 第1部 予備編
Part 2: Security standards for smart devices 第2部:スマートデバイスのセキュリティ標準
Part 3: Ransomware mandatory reporting obligations 第3部:ランサムウェアの報告義務
Part 4: Coordination of significant security incidents 第4部:重大なセキュリティインシデントの調整
Part 5: Cyber Incident Review Board 第5部:サイバーインシデント審査会
Part 6: Regulatory powers 第6部:規制権限
Part 7: Miscellaneous 第7部:その他
Chapter 3 - Intelligence Services and Other Legislation Amendment (Cyber Security) Bill 2024 第3章 インテリジェンスサービスおよびその他の法改正(サイバーセキュリティ)法案 2024年
Schedule 1: Limited use of certain cyber security information スケジュール 1: 特定のサイバーセキュリティ情報の限定的使用
Schedule 2: Amendment to the FOI Act スケジュール2:情報公開法の改正
Chapter 4 - Security of Critical Infrastructure and Other Legislation Amendment (Enhanced Response and Prevention) Bill 2024 第4章 重要インフラの安全保障とその他の法改正(対応と予防の強化)法案 2024年
Schedule 1: Definition of ‘critical infrastructure asset’ to include ‘data storage systems’ スケジュール1 重要インフラ資産」の定義に「データ保管システム」を含める
Schedule 2: Amendments to Part 3A of the SOCI Act スケジュール2:SOCI法Part 3Aの改正
Schedule 3: Use and disclosure of information スケジュール3:情報の利用と開示
Schedule 4: New direction power to request variation of critical infrastructure risk management program スケジュール4:重要インフラリスクマネジメントプログラムの変更を要求する新たな方向性権限
Schedule 5: Security regulation for critical telecommunications assets スケジュール5:重要電気通信資産のセキュリティ規制
Schedule 6: Notification of declaration of systems of national significance スケジュール6:国家的に重要なシステムの宣言の通知
Chapter 5 - Evidence to the Committee 第5章 委員会に対する証拠
General views on the legislative package 立法パッケージに関する一般的見解
Views on specific provisions 特定の条項に関する見解
Additional amendments proposed by the Minister 大臣による追加修正案
Chapter 6 - Committee comments and recommendations 第6章 委員会のコメントと勧告
Overarching comments 包括的コメント
The review process 検討プロセス
Security standards for smart devices スマートデバイスのセキュリティ標準
Ransomware reporting ランサムウェアの報告
Cyber Incident Review Board サイバーインシデント審査委員会
Limited use provisions 使用制限規定
SOCI Act amendments SOCI法の改正
Statutory reviews 法定レビュー
Additional Comments of the Coalition Members of the Committee 委員会連合メンバーの追加コメント
A. List of submissions 提出書類リスト
B. List of witnesses at public hearings 公聴会出席者リスト

 

・[PDF]

20241130-30916

・[DOCX][PDF] 仮訳

 

オーストラリアのサイバーセキュリティ戦略 2023-2030

・2023.11.22 2023-2030 Australian Cyber Security Strategy



 

まるちゃんの情報セキュリティきまぐれ日記

・2023.11.24 オーストラリア 内務省 2023-2030 オーストラリア サイバーセキュリティ戦略と実行計画 (2023.11.22)

・2023.05.21 オーストラリア 情報保護室による「2023-2030年サイバーセキュリティ戦略ディスカッションペーパー」への意見提出

| | Comments (0)

2024.11.29

米国 AI安全研究所 安全保障等に関わる政府タスクフォースの設立、AI安全機構国際ネットワークの設立総会で初代議長に、NIST AI 100-4の発表 (2024.11.20)

こんにちは、丸山満彦です。

 

AIに関する先週の米国政府の動き...

  • 米国のAI安全研究所が国家安全保障能力とリスクを管理するAIモデルの研究とテストに協力する新たな米国政府タスクフォース設立した。

  • 米商務省と米国務省、サンフランシスコでAI安全機構国際ネットワークの設立総会を開催し、米国が初代議長になる。

  • NISTが、AI 100-4 Reducing Risks Posed by Synthetic Content
    生成コンテンツのリスクの軽減を発表した。

 

AI安全に関する国際ネットワークの初期加盟国10カ国には、日本も当然に入っています...

  1. オーストラリア
  2. カナダ
  3. 欧州連合(EU)
  4. フランス
  5. 日本
  6. ケニア
  7. 韓国
  8. シンガポール
  9. 英国
  10. 米国

 

 

NIST

・2024.11.20 U.S. AI Safety Institute Establishes New U.S. Government Taskforce to Collaborate on Research and Testing of AI Models to Manage National Security Capabilities & Risks

U.S. AI Safety Institute Establishes New U.S. Government Taskforce to Collaborate on Research and Testing of AI Models to Manage National Security Capabilities & Risks 米国AI安全研究所は、国家安全保障能力とリスクを管理するAIモデルの研究とテストに協力する新しい米国政府タスクフォースを設立した。
The Testing Risks of AI for National Security (TRAINS) Taskforce brings together experts from Commerce, Defense, Energy, Homeland Security, NSA, and NIH to address national security concerns and strengthen American leadership in AI innovation. 国家安全保障のためのAIのリスクテスト(TRAINS)タスクフォースは、商務省、国防総省、エネルギー省、国土安全保障省、NSA、NIHの専門家を集め、国家安全保障上の懸念に対処し、AIイノベーションにおける米国のリーダーシップを強化する。
Washington, D.C. — Today, the U.S. Artificial Intelligence Safety Institute at the U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) announced the formation of the Testing Risks of AI for National Security (TRAINS) Taskforce, which brings together partners from across the U.S. Government to identify, measure, and manage the emerging national security and public safety implications of rapidly evolving AI technology. This announcement comes as the United States is set to host the first-ever convening of the International Network of AI Safety Institutes in San Francisco. ワシントンD.C.- 本日、米国商務省国立標準技術研究所(NIST)の米国人工知能安全研究所は、国家安全保障のためのAIリスクテスト(TRAINS)タスクフォースの結成を発表した。同タスクフォースは、急速に進化するAI技術が国家安全保障と公共の安全に及ぼす影響を特定、測定、管理するために、米国政府全体のパートナーを結集するものである。この発表は、米国がサンフランシスコでAI安全機構国際ネットワーク(International Network of AI Safety Institutes)の初会合を開催することになったことに伴うものである。
The Taskforce will enable coordinated research and testing of advanced AI models across critical national security and public safety domains, such as radiological and nuclear security, chemical and biological security, cybersecurity, critical infrastructure, conventional military capabilities, and more.  同タスクフォースは、放射線・核セキュリティ、化学・生物学的セキュリティ、サイバーセキュリティ、重要インフラ、通常の軍事能力など、国家安全保障や公共安全の重要な領域にわたって、高度なAIモデルの協調的な研究やテストを可能にする。
These efforts will advance the U.S. government imperative to maintain American leadership in AI development and prevent adversaries from misusing American innovation to undermine national security.  これらの取り組みは、AI開発における米国のリーダーシップを維持し、敵対国が米国のイノベーションを悪用して国家安全保障を損なうことを防ぐという米国政府の要請を推進するものである。
The TRAINS Taskforce is chaired by the U.S. AI Safety Institute and includes initial representation from the following federal agencies: TRAINSタスクフォースは、米国AI安全研究所が委員長を務め、以下の連邦機関の代表が初期メンバーとして参加している:
・The Department of Defense, including the Chief Digital and Artificial Intelligence Office (CDAO) and the National Security Agency 国防総省(最高デジタル・人工知能局(CDAO)と国家安全保障局を含む。
・The Department of Energy and ten of its National Laboratories エネルギー省とその10の国立研究所
・The Department of Homeland Security, including the Cybersecurity and Infrastructure Security Agency (CISA) ・サイバーセキュリティ・インフラセキュリティ庁(CISA)を含む国土安全保障省
・The National Institutes of Health (NIH) at the Department of Health and Human Services ・保健福祉省の国立衛生研究所(NIH)
Each member will lend its unique subject matter expertise, technical infrastructure, and resources to the Taskforce and will collaborate on the development of new AI evaluation methods and benchmarks, as well as conduct joint national security risk assessments and red-teaming exercises.  各メンバーは、独自の専門知識、技術インフラ、リソースをタスクフォースに提供し、新しいAI評価手法やベンチマークの開発で協力するとともに、国家安全保障リスクアセスメントやレッドチーム演習を共同で実施する。
“Enabling safe, secure, and trustworthy AI innovation is not just an economic priority – it's a public safety and national security imperative,” said U.S. Secretary of Commerce Gina Raimondo. “Every corner of the country is impacted by the rapid progress in AI, which is why establishing the TRAINS Taskforce is such an important step to unite our federal resources and ensure we’re pulling every lever to address the challenges of this generation-defining technology. The U.S. AI Safety Institute will continue to lead by centralizing the top-notch national security and AI expertise that exists across government in order to harness the benefits of AI for the betterment of the American people and American business.” ジーナ・ライモンド米商務長官は次のように述べた。「安全、安心、信頼できるAIイノベーションを可能にすることは、単なる経済的優先事項ではなく、公共の安全と国家安全保障上の必須事項である。だからこそ、TRAINSタスクフォースの設立は、連邦政府のリソースを統合し、この生成的技術の課題に対処するためにあらゆる手段を講じることを確実にするための重要なステップなのです。米国AI安全機構は、政府全体に存在する一流の国家安全保障とAIの専門知識を一元化し、米国民と米国ビジネスの向上のためにAIの恩恵を活用することで、リードし続けるでしょう。」
This effort operationalizes the whole-of-government approach to AI safety, as directed by the recent National Security Memorandum on AI, and the TRAINS Taskforce is expected to expand its membership across the federal government as its work continues. この取り組みは、AIに関する最近の国家安全保障覚書によって指示された、AIの安全性に対する政府全体のアプローチを運用するものであり、TRAINSタスクフォースは、その作業が継続するにつれて、連邦政府全体にそのメンバーを拡大することが期待されている。

 

 

 

 

 

 


 

・2024.11.20 FACT SHEET: U.S. Department of Commerce & U.S. Department of State Launch the International Network of AI Safety Institutes at Inaugural Convening in San Francisco

 

FACT SHEET: U.S. Department of Commerce & U.S. Department of State Launch the International Network of AI Safety Institutes at Inaugural Convening in San Francisco ファクトシート:米商務省と米国務省は、サンフランシスコでの設立総会でAI安全機構の国際ネットワークを発足させた。
・The Network will drive alignment on and build the scientific basis for safe, secure, and trustworthy AI innovation around the world. ・このネットワークは、安全、安心、信頼できるAIイノベーションのための科学的基盤の構築を推進する。
・Ahead of the convening, the Network is announcing key developments including a joint mission statement, more than $11 million in funding toward synthetic content research, findings from the Network’s first multilateral testing exercise, and a joint statement on risk assessments of advanced AI systems. ・招集に先立ち、ネットワークは、共同ミッション・ステートメント、合成コンテンツ研究に向けた1,100万ドル以上の資金提供、ネットワーク初の多国間テスト演習の結果、高度AIシステムのリスクアセスメントに関する共同声明など、重要な進展を発表する。
・This technical-level working meeting gathers network members and industry, academic, and civil society experts to advance the Network’s work on the road to the AI Action Summit hosted by France in February. ・この技術レベルの作業部会は、2月にフランスで開催されるAIアクション・サミットに向けてネットワークの作業を進めるため、ネットワークのメンバー、産業界、学術界、市民社会の専門家を集めたものである。
San Francisco, California – Today the U.S. Department of Commerce and U.S. Department of State are co-hosting the inaugural convening of the International Network of AI Safety Institutes, a new global effort to advance the science of AI safety and enable cooperation on research, best practices, and evaluation. To harness the enormous benefits of AI, it is essential to foster a robust international ecosystem to help identify and mitigate the risks posed by this breakthrough technology. Through this Network, the United States hopes to address some of the most pressing challenges in AI safety and avoid a patchwork of global governance that could hamper innovation. カリフォルニア州サンフランシスコ - 本日、米国商務省と米国国務省は、AIの安全性に関する科学を発展させ、研究、ベストプラクティス、評価に関する協力を可能にする新たな世界的取り組みである、AI安全機構国際ネットワークの第1回会合を共催する。AIがもたらす莫大な利益を活用するためには、この画期的な技術がもたらすリスクを特定し、軽減するための強固な国際的エコシステムを育成することが不可欠である。米国はこのネットワークを通じて、AIの安全性における最も差し迫った課題に取り組み、イノベーションを妨げる可能性のあるグローバル・ガバナンスのつぎはぎ状態を回避したいと考えている。
The United States will serve as the inaugural chair of the International Network of AI Safety Institutes, whose initial members include Australia, Canada, the European Union, France, Japan, Kenya, the Republic of Korea, Singapore, the United Kingdom, and the United States. 米国は、オーストラリア、カナダ、欧州連合(EU)、フランス、日本、ケニア、韓国、シンガポール、英国、米国を初期加盟国とするAI安全機構国際ネットワークの初代議長を務める。
Over the next two days in San Francisco, California, technical experts from member governments will be joined by leading AI developers, academics, civil society leaders, and scientists from non-Network governments to discuss key areas of collaboration on AI safety and lend their technical and scientific expertise to the Network’s mission.  カリフォルニア州サンフランシスコで開催されるこの2日間、メンバー政府の技術専門家が、ネットワーク非加盟政府の主要なAI開発者、学者、市民社会リーダー、科学者に加わり、AIの安全性に関する主要な協力分野について議論し、技術的・科学的専門知識をネットワークの使命に役立てる。
The convening is structured as a technical working meeting that will address three high-priority topics that stand to urgently benefit from international coordination, specifically: (1) managing risks from synthetic content, (2) testing foundation models, and (3) conducting risk assessments for advanced AI systems.  この会議は、国際的な協調が緊急に必要とされる3つの優先度の高いトピックを扱う技術的なワーキング・ミーティングとして構成されている。具体的には、(1)合成コンテンツによるリスクマネジメント、(2)基礎モデルのテスト、(3)高度AIシステムのリスクアセスメントである。
By bringing together the leading minds across governments, industry, academia, and civil society, we hope to kickstart meaningful international collaboration on AI safety and innovation, particularly as we work toward the upcoming AI Action Summit in France in February and beyond. 政府、産業界、学術界、市民社会が一堂に会することで、特に2月にフランスで開催されるAIアクション・サミットやその後に向けて、AIの安全性とイノベーションに関する有意義な国際協力を開始したい。
(1) Adopting an aligned mission statement for the International Network of AI Safety Institutes. (1) AI安全機構国際ネットワークのミッション・ステートメントを統一する。
・Launching the International Network of AI Safety Institutes is an essential step forward for global coordination on safe AI innovation. The Network will enable its members to leverage their respective technical capacity to harmonize approaches and minimize duplication of resources, while providing a platform to bring together global technical expertise. AI安全機構国際ネットワークの立ち上げは、安全なAIイノベーションに関するグローバルな調整にとって不可欠な前進である。ネットワークは、メンバーがそれぞれの技術的能力を活用し、アプローチを調和させ、リソースの重複を最小化することを可能にすると同時に、グローバルな技術的専門知識を結集するためのプラットフォームを提供する。
・Ahead of the inaugural convening of the Network, all 10 initial members have agreed to a joint mission statement that reads in part: 本ネットワークの発足に先立ち、初期メンバー10カ国は、以下の共同ミッション・ステートメントに合意した:
・・“The International Network of AI Safety Institutes is intended to be a forum that brings together technical expertise from around the world. Recognizing the importance of cultural and linguistic diversity, we aim to facilitate a common technical understanding of AI safety risks and mitigations based upon the work of our institutes and of the broader scientific community that will support international development and the adoption of interoperable principles and best practices. We also intend to encourage a general understanding of and approach to AI safety globally, that will enable the benefits of AI innovation to be shared amongst countries at all stages of development.”  「AI安全機構国際ネットワークは、世界中の技術的専門知識を結集するフォーラムとなることを意図している。文化的、言語的多様性の重要性を認識し、国際的な発展と相互運用可能な原則とベストプラクティスの採用を支援するため、私たちの機構と広範な科学コミュニティの研究に基づき、AIの安全リスクと緩和策に関する共通の技術的理解を促進することを目指す。また、AIの安全性に関する一般的な理解とアプローチを世界的に促進することで、AIイノベーションの恩恵をあらゆる発展段階にある国間で共有できるようにするつもりである。」
・The International Network Members have also aligned on four priority areas of collaboration: pursuing AI safety research, developing best practices for model testing and evaluation, facilitating common approaches such as interpreting tests of advanced AI systems, and advancing global inclusion and information sharing. 国際ネットワークメンバーはまた、AI安全性研究の追求、モデルテストと評価のためのベストプラクティスの開発、高度AIシステムのテストの解釈など共通のアプローチの促進、グローバルな包摂と情報共有の促進という4つの優先的協力分野で足並みを揃えている。
・The United States AI Safety Institute (US AISI) will serve as the inaugural Chair of the International Network of AI Safety Institutes and Network members will discuss additional details of governance, structure, and meeting cadence at the convening.  米国AI安全機構(US AISI)はAI安全機構国際ネットワークの初代議長を務め、ネットワーク加盟国はガバナンス、構造、会議日程の詳細について協議する。
・The Network will also discuss priorities and a roadmap for continued work toward the forthcoming AI Action Summit in Paris in February 2025 and beyond. ネットワークはまた、2025年2月にパリで開催されるAIアクション・サミットとその後に向けた継続的な活動の優先順位とロードマップについて議論する。
(2) Announcing more than $11 million in global research funding commitments to address the International Network’s new joint research agenda on mitigating risks from synthetic content. (2) 合成コンテンツによるリスクの低減に関する国際ネットワークの新たな共同研究課題に取り組むため、1,100万ドルを超える世界的な研究資金拠出を発表する。
・With the rise of generative AI and the rapid development and adoption of highly capable AI models, it is now easier, faster, and less expensive than ever to create synthetic content at scale. Though there are a range of positive and innocuous uses for synthetic content, there are also risks that need to be identified, researched, and mitigated to prevent real-world harm – such as the generation and distribution of child sexual abuse material and non-consensual sexual imagery, or the facilitation of fraud and impersonation. 生成的AIの台頭と、高い能力を持つAIモデルの急速な開発と採用により、合成コンテンツを大規模に作成することは、かつてないほど簡単、迅速、かつ低コストになっている。合成コンテンツには肯定的で無害な用途もあるが、児童性的虐待や同意のない性的イメージの生成・配布、詐欺やなりすましの助長など、実社会での被害を防ぐために特定・研究・低減が必要なリスクもある。
・To advance the state of the science and inform novel ways to mitigate synthetic content risks, the International Network of AI Safety Institutes has outlined a joint research agenda calling for urgent and actionable inquiry by the scientific community into key gaps in the current literature. 科学の現状を前進させ、合成コンテンツのリスクを軽減する新しい方法を知らせるために、AI安全機構国際ネットワークは、現在の文献における重要なギャップについて、科学界による緊急かつ実行可能な調査を求める共同研究課題をまとめた。
・・Priority research topics include understanding the security and robustness of current digital content transparency techniques, exploring novel and emergent digital content transparency methods, and developing model safeguards to prevent the generation and distribution of harmful synthetic content. 重点研究課題には、現在のデジタルコンテンツ透明化技術の安全性と堅牢性を理解すること、新しく出現するデジタルコンテンツ透明化手法を探求すること、有害な合成コンテンツの生成と配布を防止するモデルセーフガードを開発することなどが含まれる。
・・The International Network research agenda encourages a multidisciplinary approach, including technical mitigations as well as social scientific and humanistic assessments to identify problems and solutions.  国際ネットワークの研究アジェンダは、問題と解決策を特定するために、技術的な軽減策だけでなく、社会科学的、人文科学的なアセスメントを含む、学際的なアプローチを奨励している。
・In response to this agenda, government agencies and several leading philanthropies have committed a total of more than $11 million (USD) to spur this vital research. このアジェンダを受け、政府機関といくつかの主要な慈善団体は、この重要な研究に拍車をかけるため、総額1,100万ドル(米ドル)以上を拠出している。
・・The United States, through USAID, is designating $3.8 million this fiscal year to strengthen capacity building, research, and deployment of safe and responsible AI in USAID partner countries overseas, including supporting research on synthetic content risk mitigation. 米国はUSAIDを通じて、海外のUSAIDパートナー諸国における安全で責任あるAIの能力開発、研究、展開を強化するため、今年度380万ドルを拠出する。
・・Australia, through its national science agency, the Commonwealth Scientific and Industrial Research Organisation (CSIRO), is investing $2.2 million (AUD) ($1.42 million USD) annually in research aimed at identifying and mitigating the risks of synthetic content.  オーストラリアは、国立科学機関である英連邦科学産業研究機構(CSIRO)を通じて、合成コンテンツのリスクの特定と軽減を目的とした研究に年間220万豪ドル(142万米ドル)を投資する。
・・The Republic of Korea will commit $1.8 million (USD) annually for 4 years, totaling $7.2 million (USD), toward research and development efforts on detecting, preventing, and mitigating the risks of synthetic content through the ROK AISI program. 韓国は、ROK AISI プログラムを通じて、合成コンテンツのリスクを検知、防止、軽減するための研究開発に、4 年間にわたり毎年 180 万ドル(米ドル)、合計 720 万ドル(米ドル)を投資する。
・・The John S. and James L. Knight Foundation is committing $3 million (USD) to support scholarship aligned with the research agenda on mitigating risks from synthetic content. ジョン・S・アンド・ジェームズ・L・ナイト財団は、合成コンテンツのリスク低減に関する研究課題に沿った奨学金支援に300万ドルを拠出する。
・・The AI Safety Fund (AISF), an independently administered non-profit collaboration between leading frontier AI developers and philanthropic partners, will contribute $1 million (USD) in support of the research agenda, focusing on safeguards in the design, use, and evaluation of AI models and systems to reduce risks to security and public safety from model outputs. AI安全基金 (AISF)は、フロンティアAIの主要開発者とフィランソロピー・パートナーが共同で運営する非営利団体で、AIモデルやシステムの設計、使用、評価におけるセーフガードに焦点を当て、モデルのアウトプットから生じる安全保障や公共の安全に対するリスクを低減するための研究課題を支援するために、100万ドル(米ドル)を拠出する。
・・An additional $250,000 (USD) in 2025 funding by the Omidyar Network has been pledged in support of the research agenda. 研究課題を支援するため、オミダイヤー・ネットワークによる25万ドルの追加資金提供が約束された。
・・At the convening, the International Network will also discuss shared Network principles for mitigating synthetic content risks, including best practices and innovations for improving the security, reliability, privacy, transparency, and accessibility of generative AI. These inputs will help advance an aligned perspective from the members, which we hope to share at the forthcoming France AI Action Summit. 国際ネットワークはまた、生成的AIのセキュリティ、信頼性、プライバシー、透明性、アクセシビリティを改善するためのベストプラクティスやイノベーションを含む、合成コンテンツリスクを軽減するためのネットワークの共有原則について議論する。これらのインプットは、近々開催されるフランスAIアクション・サミットで共有されることを期待している。
・To support this work, US AISI is releasing the final version of its first synthetic content guidance report, NIST AI 100-4: Reducing Risks Posed by Synthetic Content, which identifies a series of voluntary approaches to address risks from AI-generated content like child sexual abuse material, impersonation, and fraud. この作業を支援するため、米国AISIは、初の合成コンテンツガイダンス報告書「NIST AI 100-4: Reducing Risks Posed by Synthetic Content」の最終版を発表する。同報告書は、児童性的虐待資料、なりすまし、詐欺など、AIが生成するコンテンツがもたらすリスクに対処するための一連の自主的アプローチを明らかにしている。
・・This final version reflects input and feedback from an array of external experts and public comment solicited over the past several months. この最終版は、過去数ヶ月間に募集された外部専門家やパブリックコメントからの意見やフィードバックを反映したものである。
(3) Methodological insights on multi-lingual, international AI testing efforts from the International Network of AI Safety Institutes’ first-ever joint testing exercise. (3)AI安全機構国際ネットワークによる初の共同テストから得られた、多言語、国際的なAIテストの取り組みに関する方法論的洞察。
・The International Network of AI Safety Institutes completed its first-ever joint testing exercise, led by technical experts from US AISI, UK AISI, and Singapore AISI.  AI 安全機構国際ネットワークは、米国 AISI、英国 AISI、シンガポール AISI の技術専門家が主導する初の合同試験を完了した。
・The Network conducted this exercise to explore methodological challenges, opportunities, and next steps for joint work that the Network can pursue to advance more robust and reproducible AI safety testing across languages, cultures, and contexts. この演習は、言語、文化、文脈を超えて、より強固で再現可能なAI安全性試験を進めるために、ネットワークが追求できる方法論的課題、機会、共同作業の次のステップを探るために実施された。
・This exercise raised key considerations for international testing, such as the impact that small methodological differences and model optimization techniques can have on evaluation results, and highlighted strategies for potentially mitigating these challenges.  この演習では、わずかな方法論の違いやモデルの最適化技術が評価結果に与える影響など、国際的なテストにおける重要な検討事項を提起し、これらの課題を低減する可能性のある戦略を浮き彫りにした。
・This exercise was conducted on Meta’s Llama 3.1 405B to test across three topics – general academic knowledge, ‘closed-domain’ hallucinations, and multi-lingual capabilities – and will act as a pilot for a broader joint testing exercises leading into the AI Action Summit in Paris this February. The learnings from the pilot testing process will also lay the groundwork for future testing across international borders and evaluation best practices. この演習は、Meta社のLlama 3.1 405Bで実施され、3つのトピック(一般的な学術知識、「クローズド・ドメイン」幻覚、多言語能力)にわたってテストされ、今年2月にパリで開催されるAIアクション・サミットにつながる、より広範な共同テスト演習のパイロットとして機能する。また、この試験的なテストプロセスから得られた学習は、将来的な国境を越えたテストやベストプラクティスの評価のための基礎となるだろう。
(4) A joint statement on risk assessments of advanced AI systems, including a plan for advancing International Network alignment. (4) 先進的AIシステムのリスクアセスメントに関する共同声明(国際ネットワークの連携を進めるための計画を含む)。
・Assessing the risks of advanced AI systems presents novel challenges, and it is central to the mission of the International Network of AI Safety Institutes to address these challenges and align on a framework for understanding the risks and capabilities posed by this technology. 先進的AIシステムのリスクアセスメントには新たな課題があり、これらの課題に取り組み、この技術がもたらすリスクと能力を理解するための枠組みで連携することは、AI安全機構国際ネットワークの使命の中心である。
・While recognizing that the science of AI risk assessment continues to evolve and that each Network member operates within its own unique context, the International Network of AI Safety Institutes agreed to establish a shared scientific basis for risk assessments, building on six key aspects outlined by the Network – namely, that risk assessments should be (1) actionable, (2) transparent, (3) comprehensive, (4) multistakeholder, (5) iterative, and (6) reproducible. AIのリスクアセスメントの科学は進化し続けており、ネットワークメンバーはそれぞれ独自の状況の中で活動していることを認識しながらも、AI安全性機構国際ネットワークは、ネットワークが概説した6つの重要な側面、すなわち、リスクアセスメントのための共通の科学的基盤を確立することに合意した。6つの重要な側面とは、リスクアセスメントは、(1)実行可能、(2)透明、(3)包括的、(4)マルチステークホルダー、(5)反復的、(6)再現可能でなければならないということである。
・This shared approach builds on commitments made in in the Bletchley Declaration and the Seoul Statement of Intent, as well as the progress made through the OECD, the G7 Hiroshima Process, the Frontier AI Safety Commitments, and other relevant international AI safety initiatives. この共有されたアプローチは、ブレッチリー宣言やソウル意向表明におけるコミットメントに加え、OECD、G7広島プロセス、フロンティアAI安全性コミットメント、その他の関連する国際的なAI安全性イニシアティブを通じた進展に基づくものである。
・At the convening, the International Network will solicit feedback and insight from members and gathered experts on how to operationalize a shared approach to risk assessments and build a roadmap for advancing global alignment and interoperability.  国際ネットワークは、リスクアセスメントを共有するアプローチをどのように運用し、グローバルな整合性と相互運用性を進めるためのロードマップを構築するかについて、メンバーや集まった専門家から意見や洞察を求める。
(5) Establishing a new U.S. Government taskforce led by the U.S. AI Safety Institute to collaborate on research and testing of AI models to manage national security capabilities and risks. (5) 国家安全保障の能力とリスクを管理するためのAIモデルの研究とテストについて協力するため、米国AI安全研究所が主導する新たな米国政府タスクフォースを設立する。
・The Testing Risks of AI for National Security (TRAINS) Taskforce brings together experts from the Departments of Commerce, Defense, Energy, Homeland Security, as well as the National Security Agency (NSA) and National Institutes of Health (NIH) to address national security concerns and strengthen American leadership in AI innovation. 国家安全保障のためのAIのリスクテスト(TRAINS)タスクフォースは、商務省、国防省、エネルギー省、国土安全保障省、国家安全保障局(NSA)、国立衛生研究所(NIH)の専門家を集め、国家安全保障上の懸念に対処し、AIイノベーションにおける米国のリーダーシップを強化する。
・The Taskforce will enable coordinated research and testing of advanced AI models across critical national security and public safety domains, such as radiological and nuclear security, chemical and biological security, cybersecurity, critical infrastructure, conventional military capabilities, and more.  タスクフォースは、放射線・核セキュリティ、化学・生物学的セキュリティ、サイバーセキュリティ、重要インフラ、通常の軍事能力など、国家安全保障と公共安全の重要な領域にわたって、高度なAIモデルの協調的な研究とテストを可能にする。
・These efforts will advance the U.S. government imperative to maintain American leadership in AI development and prevent adversaries from misusing American innovation to undermine national security.  これらの取り組みは、AI開発における米国のリーダーシップを維持し、敵対国が米国のイノベーションを悪用して国家安全保障を損なうことを防ぐという米国政府の要請を推進するものである。
・More information can be found here in the press release. 詳細はプレスリリースを参照されたい。

 

 


 

「(1) AI安全機構国際ネットワークのミッション・ステートメントを統一する」関係...

初期加盟国10カ国によるミッションステートメント...

・[PDF]

20241129-61702

 

International Network of AI Safety Institutes  AI安全機構国際ネットワーク 
Mission Statement  ミッション・ステートメント 
The AI safety institutes and government mandated offices that facilitate AI safety and evaluation from Australia, Canada, the European Commission, France, Japan, Kenya, the Republic of Korea, Singapore, the United Kingdom, and the United States, have gathered today in San Francisco on November 21, 2024 to launch the International Network of AI Safety Institutes. Affirming and building on the Seoul Statement of Intent toward  オーストラリア、カナダ、欧州委員会、フランス、日本、ケニア、大韓民国、シンガポール、英国、米国から、AIの安全性と評価を促進するAI安全機構と政府委任機関が本日、2024年11月21日にサンフランシスコに集まり、AI安全機構国際ネットワークを発足させた。ソウルで発表された「AIの安全科学に関する国際協力のための意向声明」を確認し、これを基に、以下のことを行う。
International Cooperation on AI Safety Science released at the AI Seoul Summit on May 21, 2024, this Network is intended to catalyze a new phase of international cooperation on AI safety.  このネットワークは、2024年5月21日に開催されたAIソウル・サミットで発表された「AI安全科学に関する国際協力に向けたソウル声明」を確認し、これを基礎とするもので、AI安全科学に関する国際協力の新たな段階を促進することを目的としている。
Our institutes and offices are technical organisations that aim to advance AI safety, help governments and society understand the risks posed by advanced AI systems, and suggest solutions to address those risks in order to minimize harm. Beyond mitigating risks, these institutes and offices play a crucial role in guiding the responsible development and deployment of AI systems. AI presents enormous opportunities – the ability to serve societal needs and transform and enhance human wellbeing, peace, and prosperity – as well as potential global risks. International cooperation to promote AI safety, security, inclusivity, and trust is essential to address those risks, drive responsible innovation, and expand access to the benefits of AI worldwide.  私たちの機構やオフィスは、AIの安全性を推進し、高度なAIシステムがもたらすリスクを政府や社会が理解するのを助け、被害を最小限に抑えるためにそれらのリスクに対処する解決策を提案することを目的とした技術組織である。リスクを低減するだけでなく、これらの機関やオフィスは、AIシステムの責任ある開発と展開を導く上で重要な役割を果たしている。AIは、社会のニーズに応え、人間の福利、平和、繁栄を変革し、向上させる能力という巨大な機会をもたらすと同時に、潜在的な世界的リスクをももたらす。AIの安全性、セキュリティ、包括性、信頼を促進するための国際協力は、こうしたリスクに対処し、責任あるイノベーションを推進し、AIの恩恵へのアクセスを世界中に拡大するために不可欠である。 
The International Network of AI Safety Institutes is intended to be a forum that brings together technical expertise from around the world. Recognizing the importance of cultural and linguistic diversity, we aim to facilitate a common technical understanding of AI safety risks and mitigations based upon the work of our institutes and of the broader scientific community that will support international development and the adoption of interoperable principles and best practices. We also intend to encourage a general understanding of and approach to AI safety globally, that will enable the benefits of AI innovation to be shared amongst countries at all stages of development.  AI安全機構国際ネットワークは、世界中の技術的専門知識を結集するフォーラムとなることを意図している。文化的・言語的多様性の重要性を認識しつつ、国際的な発展と相互運用可能な原則およびベストプラクティスの採用を支援するため、各機関および広範な科学コミュニティの研究に基づき、AIの安全リスクと緩和策に関する共通の技術的理解を促進することを目指す。また、AIの安全性に関する一般的な理解とアプローチを世界的に促進することで、AIイノベーションの恩恵をあらゆる発展段階にある国間で共有できるようにする。
The leadership of our respective AI safety institutes and offices have therefore come together to collaborate as Network Members to help drive technical alignment on AI safety research, testing, and guidance.  そのため、それぞれのAI安全機構や事務所の指導者たちは、ネットワークメンバーとして協力し、AIの安全性に関する研究、テスト、ガイダンスに関する技術的な連携を促進するために集まった。
As a first step, we intend to prioritize our collective efforts, in line with our mandates, in the following four areas crucial to international AI safety:  その第一歩として、国際的なAIの安全性確保に不可欠な以下の4つの分野について、各機関がそれぞれの使命に沿って優先的に取り組むことを意図している: 
• Research: We plan, together with the scientific community, to advance research on risks and capabilities of advanced AI systems as well as to share the most relevant results, as appropriate, from research that advances the science of AI safety.  ・研究: 研究:我々は,科学界とともに,先進的なAIシステムのリスクと能力に関する研究を進めるとともに,AIの安全性に関する科学を前進させる研究から得られた最も関連性の高い結果を適宜共有することを計画している。
• Testing: We plan to work towards building common best practices for testing advanced AI systems. This work may include conducting joint testing exercises and sharing results from domestic evaluations, as appropriate.  ・テスト: 我々は,先進的なAIシステムをテストするための共通のベストプラクティスの構築に向けて取り組むことを計画している。この作業には,適宜,共同テスト演習の実施や国内評価結果の共有が含まれる。
• Guidance: We plan to facilitate shared approaches such as interpreting tests of advanced systems, where appropriate.  ・ガイダンス: 適切な場合には,先進的なシステムのテストの解釈など,共通のアプローチを促進することを計画する。
• Inclusion: We plan to actively engage countries, partners, and stakeholders in all regions of the world and at all levels of development by sharing information and technical tools in an accessible and collaborative manner, where appropriate. We hope, through these actions, to increase the capacity for a diverse range of actors to participate in the science and practice of AI safety. Through this Network, we are dedicated to collaborating broadly with partners to ensure that safe, secure, and trustworthy AI benefits all of humanity.  ・参加: 私たちは,適切な場合には,アクセスしやすく協力的な方法で情報や技術ツールを共有することにより,世界のあらゆる地域,あらゆる開発レベルの国,パートナー,利害関係者を積極的に巻き込むことを計画している。これらの活動を通じて,多様な関係者がAIの安全性の科学と実践に参加する能力を高めることを望む。このネットワークを通じて,私たちは,安全,安心,信頼できるAIが全人類に利益をもたらすよう,パートナーとの広範な協力に専心する。

 

 

 


 

「(2) 合成コンテンツによるリスクの低減に関する国際ネットワークの新たな共同研究課題に取り組むため、1,100万ドルを超える世界的な研究資金拠出を発表する。」関係...

・2024.11.20 [PDF] NIST AI 100-4 Reducing Risks Posed by Synthetic Content

20241129-60422

・[DOCX][PDF] 仮訳

 

 

 


 

「(3)AI安全機構国際ネットワークによる初の共同テストから得られた、多言語、国際的なAIテストの取り組みに関する方法論的洞察」関係...

 

・[PDF] 基礎的モデルの国際試験の改善:AI安全機構国際ネットワークによるパイロットテスト演習

20241129-62809

 

 


 

「(4) 先進的AIシステムのリスクアセスメントに関する共同声明(国際ネットワークの連携を進めるための計画を含む)」関係...

 

・[PDF] 先進AIシステムのリスクアセスメントに関する共同声明AI安全機構国際ネットワーク

20241129-63329

 

 


 

NIST

・2024.11.20 U.S. AI Safety Institute Establishes New U.S. Government Taskforce to Collaborate on Research and Testing of AI Models to Manage National Security Capabilities & Risks

U.S. AI Safety Institute Establishes New U.S. Government Taskforce to Collaborate on Research and Testing of AI Models to Manage National Security Capabilities & Risks 米国AI安全研究所は、国家安全保障能力とリスクを管理するAIモデルの研究とテストに協力する新しい米国政府タスクフォースを設立した。
The Testing Risks of AI for National Security (TRAINS) Taskforce brings together experts from Commerce, Defense, Energy, Homeland Security, NSA, and NIH to address national security concerns and strengthen American leadership in AI innovation. 国家安全保障のためのAIのリスクテスト(TRAINS)タスクフォースは、商務省、国防総省、エネルギー省、国土安全保障省、NSA、NIHの専門家を集め、国家安全保障上の懸念に対処し、AIイノベーションにおける米国のリーダーシップを強化する。
Washington, D.C. — Today, the U.S. Artificial Intelligence Safety Institute at the U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) announced the formation of the Testing Risks of AI for National Security (TRAINS) Taskforce, which brings together partners from across the U.S. Government to identify, measure, and manage the emerging national security and public safety implications of rapidly evolving AI technology. This announcement comes as the United States is set to host the first-ever convening of the International Network of AI Safety Institutes in San Francisco. ワシントンD.C.- 本日、米国商務省国立標準技術研究所(NIST)の米国人工知能安全研究所は、国家安全保障のためのAIリスクテスト(TRAINS)タスクフォースの結成を発表した、
同タスクフォースは、急速に進化するAI技術が国家安全保障と公共の安全に及ぼす影響を特定、測定、管理するために、米国政府全体のパートナーを結集するものである。
この発表は、米国がサンフランシスコでAI安全機構国際ネットワークの初会合を開催することになったことに伴うものである。
The Taskforce will enable coordinated research and testing of advanced AI models across critical national security and public safety domains, such as radiological and nuclear security, chemical and biological security, cybersecurity, critical infrastructure, conventional military capabilities, and more.  同タスクフォースは、放射線・核セキュリティ、化学・生物学的セキュリティ、サイバーセキュリティ、重要インフラ、通常の軍事能力など、国家安全保障や公共安全の重要な領域にわたって、高度なAIモデルの協調的な研究やテストを可能にする。
These efforts will advance the U.S. government imperative to maintain American leadership in AI development and prevent adversaries from misusing American innovation to undermine national security.  これらの取り組みは、AI開発における米国のリーダーシップを維持し、敵対国が米国のイノベーションを悪用して国家安全保障を損なうことを防ぐという米国政府の要請を推進するものである。
The TRAINS Taskforce is chaired by the U.S. AI Safety Institute and includes initial representation from the following federal agencies: TRAINSタスクフォースは、米国AI安全研究所が委員長を務め、以下の連邦機関の代表が初期メンバーとして参加している:
The Department of Defense, including the Chief Digital and Artificial Intelligence Office (CDAO) and the National Security Agency 国防総省(最高デジタル・人工知能局(CDAO)と国家安全保障局を含む。
The Department of Energy and ten of its National Laboratories エネルギー省とその10の国立研究所
The Department of Homeland Security, including the Cybersecurity and Infrastructure Security Agency (CISA) サイバーセキュリティ・インフラセキュリティ庁(CISA)を含む国土安全保障省
The National Institutes of Health (NIH) at the Department of Health and Human Services 保健福祉省の国立衛生研究所(NIH)
Each member will lend its unique subject matter expertise, technical infrastructure, and resources to the Taskforce and will collaborate on the development of new AI evaluation methods and benchmarks, as well as conduct joint national security risk assessments and red-teaming exercises.  各メンバーは、独自の専門分野、技術インフラ、リソースをタスクフォースに提供し、新しいAI評価手法やベンチマークの開発で協力するとともに、国家安全保障リスクアセスメントやレッドチーム演習を共同で実施する。
“Enabling safe, secure, and trustworthy AI innovation is not just an economic priority – it's a public safety and national security imperative,” said U.S. Secretary of Commerce Gina Raimondo. “Every corner of the country is impacted by the rapid progress in AI, which is why establishing the TRAINS Taskforce is such an important step to unite our federal resources and ensure we’re pulling every lever to address the challenges of this generation-defining technology. The U.S. AI Safety Institute will continue to lead by centralizing the top-notch national security and AI expertise that exists across government in order to harness the benefits of AI for the betterment of the American people and American business.” 「ジーナ・ライモンド米商務長官は、「安全、安心、信頼できるAIイノベーションを可能にすることは、単なる経済的優先事項ではなく、公共の安全と国家安全保障上の必須事項である。だからこそ、TRAINSタスクフォースの設立は、連邦政府のリソースを統合し、この生成的技術の課題に対処するためにあらゆる手段を講じることを確実にするための重要なステップなのです」と述べた。米国AI安全機構は、政府全体に存在する一流の国家安全保障とAIの専門知識を一元化し、米国民と米国ビジネスの向上のためにAIの恩恵を活用することで、リードし続けるだろう。
This effort operationalizes the whole-of-government approach to AI safety, as directed by the recent National Security Memorandum on AI, and the TRAINS Taskforce is expected to expand its membership across the federal government as its work continues. この取り組みは、AIに関する最近の国家安全保障覚書によって指示されたように、AIの安全性に対する政府全体のアプローチを運用するものであり、TRAINSタスクフォースは、その作業が継続するにつれて、連邦政府全体にそのメンバーを拡大することが期待されている。

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

覚書と枠組み...

・2024.10.26 米国 ホワイトハウス 「人工知能における米国のリーダーシップの推進、国家安全保障上の目標を達成するための人工知能の活用、人工知能の安全性、セキュリティ、信頼性の育成に関する覚書」と「国家安全保障におけるガバナンスとリスクマネジメントを推進する枠組み」

 

AI 100-4関係...

・2024.05.03 米国 商務省 NISTがAIに関する4つのドラフトを公開し、意見募集を開始 (2023.04.29)

 

 

| | Comments (0)

2024.11.28

英国 NCSC ガイダンス「サイバーセキュリティリスクマネジメントを改善するための取締役会との協力」とブログ記事「取締役会にサイバーについてどう話すか」 (2024.10.07)

こんにちは、丸山満彦です。

英国の国家サイバーセキュリティセンター(NCSC)が、「サイバーセキュリティリスクマネジメントを改善するための取締役会との協力」というガイダンスを公表し、「取締役会にサイバーについてどう話すか」というブログ記事を公表していますね...

ランサムウェア被害や、大量の個人データの漏えい事案等、サイバーインシデントが経営に重要な影響を及ぼすことは今でも十分ありますし、これから社会、企業等のIT依存度がさらに高まることを考えると、さらにその重要性は増してくると思います。

そのため、その企業等のステークホルダーにとっても、サイバーリスクは重大な関心事となりますよね...取引先というステークホルダーのサイバーリスクに注意を払うようになり、サプライチェーンリスクマネジメントということが言われるようになってきています。

であれば、もっとも重要なステークホルダーである株主・投資家も企業のサイバーリスクについて関心を持って当然ですよね...

 

U.K. National Cyber Security Centre

ガイダンス...

・2024.10.07 Engaging with Boards to improve the management of cyber security risk

・[PDF]

20241127-235505

 

Engaging with Boards to improve the management of cyber security risk サイバーセキュリティリスクマネジメントを改善するために取締役会と協力する
How to communicate more effectively with board members to improve cyber security decision making. サイバーセキュリティの意思決定を改善するために、取締役会のメンバーとどのように効果的なコミュニケーションをとるか。
In this guidance 本ガイダンスでは
Introduction: why engaging with Boards matters 序文:なぜ取締役会との連携が重要なのか?
Understanding your audience 対象者を理解する
Engaging strategically 戦略的に関与する
Communicating clearly 明確にコミュニケーションする
Cyber security is a critical risk for boards and executive teams. Cyber security leaders (such as CISOs) play a crucial role in describing and mitigating the risks. This guidance helps those leaders to communicate effectively with Boards, and to better engage with their members. サイバーセキュリティは、取締役会や経営陣にとって重要なリスクである。サイバーセキュリティリーダー(CISOなど)は、リスクの説明と低減において重要な役割を担っている。本ガイダンスは、このようなリーダーが取締役会と効果的なコミュニケーションを図り、取締役会のメンバーとより良い関係を築くことを支援する。
Introduction: why engaging with Boards matters 序文:なぜ取締役会との連携が重要なのか?
Communicating with Boards and senior executives about cyber security can feel daunting, with the scrutiny this entails. サイバーセキュリティに関する取締役会や上級役員とのコミュニケーションは、その監視の厳しさゆえに難しく感じられるかもしれない。
It’s important to remember that Boards ultimately want you to be successful in defending the organisation against cyber security threats. When the Board is behind your efforts, cyber security can be recognised as a positive thing that helps your organisation’s digital activity to flourish, and not just seen as a necessary evil or cost-centre. 重要なのは、取締役会が最終的に求めているのは、サイバーセキュリティの脅威から組織を守ることに成功してほしいということである。取締役会があなたの取り組みを支持することで、サイバーセキュリティは、必要悪やコストセンターと見なされるのではなく、組織のデジタル活動を繁栄させるためのポジティブなものとして認識されるようになる。
Most Board members do not have in-depth cyber security knowledge. That’s not their role. Cyber security leaders, on the other hand, do have detailed knowledge of the domain, but maybe less experience in communicating with Board or senior executive teams. As a cyber professional, it is part of your job to bridge this gap to provide better cyber security outcomes. ほとんどの取締役は、サイバーセキュリティに関する深い知識を持っていない。それは彼らの役割ではない。一方、サイバーセキュリティ・リーダーは、この分野の詳細な知識を持っているが、取締役会や上級幹部チームとのコミュニケーションの経験は少ないかもしれない。サイバーセキュリティの専門家として、このギャップを埋め、より良いサイバーセキュリティの成果を提供することがあなたの仕事の一部である。
Cyber security is a strategic issue, which means you must engage with Boards on their terms and in their language to ensure the cyber risk is understood, managed and mitigated. This guidance describes how to communicate and engage more effectively with board members, to improve cyber security decision making within your organisation. It will also help you to communicate with senior executives, who make recommendations to the Board and are responsible for executing the strategy. Executives will take most of the decisions relating to cyber security and will be answerable to the Board for those decisions. Your CEO and CFO will likely be board members too. サイバーセキュリティは戦略的な問題であり、サイバーリスクが理解され、管理され、低減されるようにするためには、取締役会の言葉や用語で取締役会に働きかける必要がある。本ガイダンスでは、組織内のサイバーセキュリティに関する意思決定を改善するために、取締役会メンバーとより効果的にコミュニケーションし、関与する方法について説明する。また、取締役会に提言を行い、戦略の実行に責任を持つ上級幹部とのコミュニケーションにも役立つ。経営幹部は、サイバーセキュリティに関する意思決定のほとんどを行い、その決定について取締役会に回答する責任を負う。最高経営責任者(CEO)と最高財務責任者(CFO)も取締役会のメンバーになる可能性が高い。
Note: 注:
This guidance does not aim to increase cyber security understanding  amongst board members. The NCSC has produced separate guidance designed to help Boards ‘get a grip on cyber’, and includes briefings, guidance and training material directed at non-technical decision makers. 本ガイダンスは、取締役会メンバーのサイバーセキュリティに対する理解を深めることを目的としていない。NCSCは、取締役会が「サイバーセキュリティを把握する」ためのガイダンスを別途作成しており、非技術的な意思決定者を対象としたブリーフィング、ガイダンス、トレーニング資料が含まれている。
Understanding your audience 聴衆を理解する
As an enthusiastic and knowledgeable subject matter expert, you will probably have a tendency to want to tell, share and provide substantial updates on all your activities. In doing so, it’s easy to forget to calibrate your output for your audience. 'Cyber’ is 99% your day job. For Boards, this topic will be competing for space on an agenda already packed with dozens of other topics. It is therefore essential that you understand this broader Board agenda, the corporate strategy and goals, and the challenges the business faces. 熱心で知識豊富な専門家として、あなたはおそらく、自分の活動すべてについて、最新情報を伝え、共有し、提供したいと思う傾向があるだろう。そうすることで、聴衆に合わせてアウトプットを調整することを忘れがちになる。サイバー」は99%あなたの本業である。ボードにとって、このトピックは、すでに何十ものトピックで埋まっているアジェンダの中で、スペースを奪い合うことになる。そのため、より幅広い取締役会の議題、企業の戦略や目標、ビジネスが直面する課題を理解することが不可欠だ。
You won’t have (and don’t need) access to all the details; just reminding yourself of the top-down position, and asking questions if you need to, will help you talk about cyber in a relevant way that is connected to the strategic agenda. As with any audience, investing time in understanding what is important to the Board, their context and how they work will make you a more effective communicator. トップダウンの立場を思い起こし、必要であれば質問することで、戦略的アジェンダに関連した形でサイバーについて話すことができる。どのような聴衆に対しても言えることだが、取締役会にとって何が重要なのか、その背景や仕事の進め方を理解するために時間を費やすことが、あなたをより効果的なコミュニケーターにする。
Understand how ALL Boards work 取締役会のすべての仕事を理解する
This guidance focuses on engagement with Boards, the formal corporate group who are responsible for: このガイダンスは、以下の責任を負う正式な企業グループである取締役会とのエンゲージメントに焦点を当てている:
・the long-term strategy of the organisation in the interests of stakeholders-at-large ・ステークホルダー全体の利益のために、組織の長期的な戦略を策定する。
・the governance of the execution of that strategy and management of risks associated with it ・戦略実行のガバナンスとそれに伴うリスクマネジメント
It is a common misconception that Boards make all the decisions; most will be made by the executive management team, with the Board concerning itself with the governance and oversight of those decisions and recommendations. The NCSC has produced a useful summary of cyber security regulations and directors duties in the UK, which you should familiarise yourself with so you can better understand the Board’s obligations. 取締役会がすべての意思決定を行うというのは一般的な誤解であり、ほとんどの意思決定は経営陣が行い、取締役会はそれらの意思決定や提言のガバナンスと監督に責任を持つ。NCSCは、英国におけるサイバーセキュリティ規制と取締役の義務に関する有用な要約を作成した。
The role of cyber security professionals here is: ここでのサイバーセキュリティ専門家の役割は以下の通りである:
1. To ensure the cyber security implications of strategic decisions are understood by decision makers. 1. 戦略的意思決定がサイバーセキュリティに与える影響を意思決定者に確実に理解させる。
2. To ensure that risks to delivering the organisation’s strategy are identified, evaluated, and mitigated in line with the business risk appetite. This includes ensuring that the business has adequate cyber resilience to prevent, detect and respond to cyber attacks. 2. 組織の戦略を実現するためのリスクが、ビジネスリスクアペタイトに沿って特定、評価、低減されるようにする。これには、サイバー攻撃を防止、検知、対応するための適切なサイバーレジリエンスを確保することも含まれる。
The latter is most naturally where the conversation will start. To contribute to the former you will need to build trust in your knowledge and ability to deliver, and have demonstrated that you can contribute positively to the strategic discussions. 後者については、当然ながら会話が始まる。前者に貢献するためには、自分の知識と能力に対する信頼を築き、戦略的な議論に積極的に貢献できることを証明する必要がある。
Boards are responsible for overseeing a broad range of issues in their governance roles. Time allocated to even the most important subjects can often look very limited and dismissive of the importance of the subject. Respecting the preciousness of Board time is key to ‘operating at Board level’. 政府は、ガバナンスの役割の中で、幅広い問題を監督する責任を負っている。最も重要なテーマであっても、そこに割かれる時間は非常に限られており、その重要性を軽視しているように見えがちである。取締役会の貴重な時間を尊重することが、「取締役会レベルでの運営」の鍵である。
Note: 注:
The Financial Reporting Council - UK Corporate Governance Code gives a more detailed view of the role of a Board (and its members). Financial Reporting Council - UK Corporate Governance Codeは、取締役会(およびそのメンバー)の役割について、より詳細な見解を示している。
Understand how YOUR Board works (and who is on it) 自社の取締役会がどのように機能するか(そして誰が取締役会のメンバーか)を理解する
We tend to think of ‘The Board’ as a single entity, but it is of course made up of individual humans just like any other group, each with their own knowledge, skills, styles and preferences. 私たちは「取締役会」を単一の事業体として考えがちだが、もちろん他のグループと同じように個々の人間で構成されており、それぞれが独自の知識、スキル、スタイル、嗜好を持っている。
As well as who is on the Board, it's important to understand the mechanisms and practicalities of how your Board operates. How often do they meet? What format do the meetings take? What committees are there? Find out who manages the Board in your organisation. Larger companies will have a Company Secretary team who will be able to support you. Responsibility sometimes falls to a Chief of Staff role. In particular, seek advice on their ‘ways of working’, such as how they like sessions to work, and what style of papers and presentations work best. Read what Board output might be available to you. 誰が役員であるかだけでなく、役員会がどのように運営されているか、その仕組みと実務を理解することも重要だ。取締役会の開催頻度は?会議はどのような形式で行われるのか?どのような委員会があるのか?あなたの組織で誰が取締役会を管理しているのかを確認する。大企業であれば、カンパニー・セクレタリー・チームがあり、あなたをサポートしてくれるだろう。チーフ・オブ・スタッフの役割に責任がある場合もある。特に、彼らがどのようなセッションを好むか、どのようなスタイルの書類やプレゼンテーションが最も効果的かなど、「仕事のやり方」について助言を求める。理事会のアウトプットがどのようなものかを読む。
Cyber is a risk - talk about it as such サイバーはリスクである。
Boards understand risk. Many Boards will have a Risk Committee possibly combined with other functions such as Audit, Governance or Compliance. 取締役会はリスクを理解している。多くの取締役会にはリスク委員会があり、監査、ガバナンス、コンプライアンスなど他の機能と組み合わされている。
Whilst cyber risks may be notably different from other risks (the adversarial nature, the potential for catastrophic impact, their often very technical nature - and more generally how ‘new’ cyber risk is), it is helpful to align it with the framework and language of risk the Board are already familiar with. It allows you to locate ‘cyber’ in what should be familiar territory for board members. Your role is to help them understand how the cyber risks manifest as business risks, their potential impact and what you (with their support) will do to avoid or mitigate them. サイバーリスクは他のリスク(敵対的な性質、壊滅的な影響の可能性、多くの場合非常に技術的な性質、より一般的にはサイバーリスクがいかに「新しい」ものであるか)と著しく異なるかもしれないが、取締役会が既に慣れ親しんでいるリスクの枠組みや言語に合わせることは有益である。これにより、取締役会メンバーにとって馴染みのある領域に「サイバー」を位置づけることができる。あなたの役割は、サイバーリスクがビジネスリスクとしてどのように顕在化するのか、その潜在的な影響、そしてそれを回避または軽減するために(彼らの支援を受けて)あなたが何をするのかを理解してもらうことである。
In practice this means decomposing the threat landscape into clearly stated risks, in natural language, then grading the likelihood and impact of those risks. 実際には、これは脅威の状況を自然な言葉で明確にリスクに分解し、それらのリスクの可能性と影響を評価することを意味する。
Where possible, quantify and make the risks tangible, using precise language. You should reserve ‘doomsday scenario’ language and hyperbole for risks that really really warrant it. Equally Boards expect honest, matter-of-fact assessments of risks and your current position. Trying to gloss-over the risk (or overstate the mitigation) is not helpful. 可能であれば、正確な表現を用いてリスクを定量化し、具体化する。終末のシナリオ」的な表現や大げさな表現は、それが本当に正当なリスクに対して使うべきものである。同様に、ボードはリスクと現在のポジションについて、正直で率直なアセスメントを期待する。リスクを覆い隠そうとする(あるいは低減を誇張する)ことは役に立たない。
Recent research commissioned by the NCSC revealed that 80% of Boards do not realise that the accountability for cyber risk rests with them, even when cyber aspects are outsourced. Remember, it’s your job to advise; you can’t set the appetite for risk. That has to be done by the Board. NCSCが委託した最近の調査によると、80%の取締役会は、サイバーリスクの説明責任が、サイバー面を外部に委託している場合でも、取締役会にあることを認識していないことが明らかになった。助言するのがあなたの仕事であり、リスク選好度を決めることはできない。それは取締役会が行わなければならない。
Engage outside of Board meetings 取締役会以外の場で関与する
Board meetings aren’t the best place for you to ask questions, or to have in-depth discussions. 'Cyber' is more likely to be allocated a 15-minute session, rather than a two-hour workshop. It is much easier to have longer discussions between individuals and smaller groups. You may also find Board members are more comfortable asking questions about things they are unsure about in these smaller groups, something that’s hard for anyone to do in a formal setting. 取締役会は、質問したり、突っ込んだ議論をしたりするのに最適な場ではない。サイバー」は、2時間のワークショップではなく、15分のセッションに割り当てられる可能性が高い。個人や少人数のグループの方が、長いディスカッションがしやすい。また、正式な場ではなかなかできないような質問も、少人数のグループなら気軽にできる。
You’ll soon be able to identify the individuals on the Board who have a particular interest or knowledge of your area, so try and develop regular communication with them outside the regular Board agenda. Work with your executive management to achieve this. 理事会のメンバーで、あなたの分野に特別な関心や知識を持つ人物はすぐに特定できるだろうから、通常の理事会の議題以外でも、彼らとの定期的なコミュニケーションを図るようにしよう。経営幹部と協力してこれを達成する。
High-profile incidents present an opportunity to inform, update and advise. When cyber hits the news, which it frequently does, use the story to put a short briefing together for executive teams and Boards. This should cover the potential impact on your organisation, the steps you're taking to protect against similar incidents, and anything within your organisation that might heighten the risk or block progress in mitigating it. It may not be appropriate for you to send this directly to the Board, but share these thoughts with executives for them to share, if they see fit. 注目されるインシデントは、情報提供、更新、助言の機会を提供する。サイバー関連のニュースが頻繁に報道されるようになったら、そのニュースを利用して、経営陣や取締役会向けに短いブリーフィングをまとめよう。その際には、組織への潜在的な影響、同様のインシデントから守るために講じている措置、組織内でリスクを高めたり、リスク低減の進捗を妨げたりする可能性のあるものを取り上げるべきである。これを取締役会に直接送るのは適切ではないかもしれないが、適切と思われる場合には、経営幹部が共有できるよう、これらの考えを共有する。
Answer the most important questions first 最も重要な質問から答える
Make sure that you understand what is most important from the Board’s perspective. This might include: 取締役会の観点から何が最も重要かを理解しておく。これには以下が含まれる:
・What are the key risks and mitigation plans that you need to show progress against? ・進捗を示す必要のある主要リスクと低減計画は何か?
・What are the KPIs and metrics that are most relevant to your organisation? ・組織にとって最も関連性の高いKPIや指標は何か?
・What impacts are your Board most worried about? Downtime? Client impact? Regulation? ・取締役会が最も懸念している影響は何か?ダウンタイムか?顧客への影響?規制か?
・What are the critical questions the Board wants answering? ・取締役会が答えを求めている重要な質問は何か?
・What operational data can you surface to show activity and the benefits being achieved by investments made? ・どのような業務データを表に出せば、活動や投資によって達成された利益を示すことができるか?
A ‘one-page’ summary dashboard maybe called for here. Your organisation or Board meetings may have a preferred format and approach to routine reporting which you should work with. ここでは、「1ページ」の要約ダッシュボードが必要かもしれない。あなたの組織や取締役会には、日常的な報告に対する好みの形式やアプローチがあるかもしれない。
Expect to be asked about the big picture 全体像について質問されることを期待する
Part of Board’s role in governance and oversight is to make sure experts don’t get lost in the weeds at the expense of the bigger picture. One way Board members will do this is by ‘stepping back’ and asking broad questions. Questions you can expect to be asked may include: ガバナンスと監督における政府理事会の役割のひとつは、専門家が全体像を犠牲にして雑草の中に紛れ込まないようにすることである。取締役会のメンバーがこれを行う方法の1つは、「一歩下がって」幅広い質問をすることである。想定される質問には次のようなものがある:
・Do we understand the cyber security threat, and how it might impact our business strategy and plans? ・サイバーセキュリティの脅威を理解し、それが当社の事業戦略や計画にどのような影響を及ぼす可能性があるか?
・How do we benchmark against other organisations? Our peers? Our sector? ・他の組織に対するベンチマークはどうか。同業他社はどうか?セクターはどこか?
・How do we consider cyber security implications when we take decisions? ・意思決定を行う際に、サイバーセキュリティの影響をどのように考慮しているか?
・Have the critical assets for protecting our key business objectives been identified? ・主要な事業目標を保護するための重要な資産は識別されているか。
・Are we managing the risks in an effective way? ・リスクを効果的な方法でマネジメント しているか。
・Are we executing against the mitigation actions? ・低減策を実行しているか。
・Are responsibilities clear? ・責任を明確にしているか。
・Are we working with our supply chains and customers on this? ・サプライチェーンや顧客と連携しているか
・Do we have incident and contingency plans in place? Have they been tested? ・インシデントプランとコンティンジェンシープランを整備しているか?テスト済みか?
The NCSC’s ‘Cyber security 101’ for board members (PDF) gives insights into the types of questions Boards should and might reasonably be asking. Note that these aren’t technical questions; these are governance & assurance questions that Board members will feel comfortable asking, and to test the answers to. NCSCの理事会メンバー向け「サイバーセキュリティ101」(PDF)は、理事会が行うべき、また合理的に行うべき質問の種類についての洞察を示している。これらは技術的な質問ではなく、ガバナンスと保証に関する質問であり、取締役会のメンバーが気軽に質問し、その答えをテストするためのものである。
Engaging strategically 戦略的に関与する
As the authority for cyber security in your organisation, you must elevate your conversations with board members and other senior decision makers so that they connect ‘cyber’ with the overall business challenges and context. You need to connect what you want to tell the Board with what is most important to them (and therefore what they are interested in hearing about). 組織におけるサイバーセキュリティの認可者として、取締役会メンバーやその他の上級意思決定者との対話を強化し、「サイバー」をビジネス全体の課題や背景と結びつける必要がある。取締役会に伝えたいことを、取締役会にとって最も重要なこと(したがって、取締役会が聞きたがっていること)と結びつける必要がある。
Presenting to senior business leaders – with all their necessary challenges and push-back – can feel daunting. By taking the time to elevate the discussion to the strategic level, to understand your Board audience and to communicate clearly, you have a greater chance of winning their confidence and support. シニアビジネスリーダーにプレゼンするのは、必要な課題や反発もあり、大変なことだと感じるかもしれない。時間をかけてディスカッションを戦略的なレベルに引き上げ、取締役会の聴衆を理解し、明確なコミュニケーションをとることで、彼らの信頼と支持を得られる可能性が高まる。
Being able to engage Board members and executives is a fundamental aspect of your role which grows the cyber capability within your organisation, and develops your own skills as a communicator. More pressingly, if you fail to engage strategically, then you are less likely to receive the investment and resources needed to mitigate the increasingly complex and sophisticated threat landscape. 取締役や経営幹部を引き込むことは、あなたの役割の基本であり、組織内のサイバー能力を高め、あなた自身のコミュニケーターとしてのスキルを向上させる。さらに重要なことは、戦略的な関与ができなければ、複雑化・高度化する脅威の状況を緩和するために必要な投資やリソースを受けられなくなるということである。
Own the problem 問題を把握する
If you find yourself thinking ‘I’ve explained it three times and they still don’t get it!’, then ask yourself how you can change your approach so that: 3回説明してもまだ理解されない!」と思ったら、次のようにアプローチを変えることができるか自問してみよう:
・the executive and governance of your organisation are engaged ・組織の経営陣とガバナンスが関与している。
・you feel confident that the risks you’ve outlined are understood ・説明したリスクが理解されていると確信できる。
・your work plan is summarised well and it is clear that progress is being made ・作業計画がうまくまとめられ、進捗していることが明らかである。
The crucial first step is to recognise that - rightly or wrongly - this is your problem to solve. You will need to work with the audience as you find them, which may not be the audience you’d perhaps wish you had. 重要な最初のステップは、善かれ悪しかれ、これがあなたの解決すべき問題であることを認識することである。聴衆は、あなたが望む聴衆ではないかもしれない。
Provide a holistic view 全体的な視点を提供する
Cyber security. IT Infrastructure. Infosec. Online fraud. A specialist might understand why fraud, data theft and malicious attacks are treated as discrete topics, but from a Board’s perspective, these distinctions will often seem academic. サイバーセキュリティ。ITインフラ 情報セキュリティ オンライン詐欺。専門家であれば、詐欺、データ窃盗、悪質な攻撃が個別のトピックとして扱われる理由は理解できるかもしれないが、取締役会から見れば、これらの区別は学問的に見えることが多いだろう。
It’s not the Board’s problem to understand the minutiae, or how the different facets of cyber security, which maybe ‘owned’ by different parts of the organisation, fit together. They need to be confident that everything is being addressed through a cohesive approach, and there are no gaps in your mitigation plan. 細かいことを理解するのは取締役会の問題ではないし、サイバーセキュリティのさまざまな側面(組織のさまざまな部分が「所有」しているかもしれない)がどのように組み合わされているかを理解するのも取締役会の問題ではない。取締役会は、すべてが一貫したアプローチで対処されており、低減計画にギャップがないことを確信する必要がある。
Be clear on the definition and components of what cyber security means in your organisation, and be clear about who owns which parts. Work with your colleagues to provide the holistic view a Board needs. 組織におけるサイバーセキュリティの定義と構成要素を明確にし、誰がどの部分を所有するかを明確にする。取締役会が必要とする全体的な視点を提供するために、同僚と協力する。
Advise rather than educate 教育するのではなく、助言する
Board members rely on advice from experts - like you - to discharge their governance responsibilities. It’s not your role to train them to do your job, but instead to put them in a position where they can make informed decisions about corporate strategy and cyber risks. Boards do this all the time with different type of risk, such as financial risk, and one of the Boards functions is to approve statutory financial accounts. They can do this without understanding the intricacies of the local accounting and tax rules their organisations operate in. Instead Boards rely on their financial teams, and take advice from accountants and specialists to do so. 理事会のメンバーは、ガバナンスの責任を果たすために、あなたのような専門家からのアドバイスを頼りにしている。あなたの役割は、取締役に仕事を教えることではなく、取締役が企業戦略やサイバーリスクについて十分な情報を得た上で意思決定できるようにすることである。取締役会は、財務リスクなど様々な種類のリスクについて常にこのようなことを行っており、取締役会の機能の1つは法定財務会計を承認することである。取締役会は、各組織が活動する地域の会計や税務の複雑な規則を理解しなくても、これを行うことができる。その代わりに、取締役会は財務チームを頼りにし、会計士や専門家から助言を得ている。
Ultimately it is Boards and executives who are accountable for risk decisions about cyber security. In some industry sectors they may have specific regulatory obligations. It is your responsibility to put them in a position so the Board - with advice from you - can make those decisions. 最終的にサイバーセキュリティに関するリスク決定の責任を負うのは、取締役会と経営陣である。業種によっては、特定の規制上の義務を負っている場合もある。取締役会が、あなたからのアドバイスを受けながら、そのような意思決定を行えるような状態にすることは、あなたの責任である。
Be open to external scrutiny 外部からの精査を受け入れる
Finance teams expect to be audited. 財務チームは監査を受けることを期待している。
Health and Safety teams expect to be inspected. 安全衛生チームは検査を受けることを期待している。
Cyber security functions should expect the same, especially over critical matters or significant investments. It can feel uncomfortable when people question our work, but Boards will naturally seek independent assurance from external specialists on critical matters. Back up your assertions and facts from trusted and approved third parties (such as the NCSC website and the Cyber Security Toolkit for Boards). サイバーセキュリティ機能も、特に重要事項や重要な投資については、同じことを期待すべきである。私たちの仕事に疑問を投げかけられると不快に感じるかもしれないが、取締役会は、重要な事項については、当然、外部の専門家から独立した保証を求める。信頼され、承認されたサードパーティ(NCSCのウェブサイトやCyber Security Toolkit for Boardsなど)から主張と事実の裏付けを取る。
Communicating clearly 明確にコミュニケーションする
Whether you’re presenting or writing, the Board may well be interested in what you have to say, but the way in which you convey it will either encourage them to take note, or to stop listening. This section contains some tips that can help you refine your messaging. プレゼンであれ文書作成であれ、取締役会はあなたの発言に関心を持っているかもしれないが、それをどのように伝えるかによって、取締役会の関心を引くか、あるいは聞くのをやめてしまうかが決まる。このセクションでは、メッセージングを洗練させるのに役立つヒントをいくつか紹介する。
To get busy boards to engage with cyber, you’ll need to communicate in a language that resonates with their business mindset, and share updates concisely, using a business-focused approach (with minimal technical detail) for maximum impact. 多忙な理事会にサイバーに関心を持ってもらうためには、彼らのビジネスマインドに響く言葉でコミュニケーションし、インパクトを最大化するために(技術的な詳細を最小限に抑え)ビジネスに焦点を当てたアプローチで簡潔に最新情報を共有する必要がある。
Pick a model and stick with it モデルを選び、それにこだわる
Using a consistent structure across your communications (which you can use over and over again) is very helpful when dealing with an audience who engages with the topic infrequently. It’s helpful to give your audience a way of thinking about something; it's less helpful to be given two ways to think about it. It’s even more unhelpful if you get a new one every time you address the Board. コミュニケーション全体で一貫した構造を使う(何度でも使える)ことは、そのトピックに関わる頻度が低い聴衆を相手にする場合に非常に役立つ。聴衆に何かについて考える方法を与えることは有益だが、それについて考える方法を2つ与えられるのはあまり有益ではない。理事会で演説するたびに新しいものが出てくれば、なおさら役に立たない。
If you are new to the organisation, take time to understand how they work, and their existing content and practices. Obviously, this will vary with each organisation. Some organisations will have standardised reporting structures for risks and investment programmes, others may have a suite of dashboards and KPIs in place, or a mixture of these. Whatever is used, make it work for you, don’t work against it. その組織で働くのが初めての場合は、その組織がどのように働いているのか、既存の内容や慣行を理解するのに時間をかけること。もちろん、これは組織によって異なる。リスクや投資プログラムについて標準化された報告構造を持っている組織もあれば、一連のダッシュボードやKPIを導入している組織もあるだろうし、これらが混在している組織もあるだろう。どのようなものを使うにせよ、自分のためになるようにし、不利にならないようにする。
You’ll also need a simple way to report what you have been doing. If you are using a formal cyber framework, then the headings from there might be useful (taking care to avoid the complexities of the frameworks), or use the NCSC’s 10 Steps to Cyber Security. Or make your own. また、何を行っているかを報告する簡単な方法も必要である。正式なサイバーフレームワークを使用している場合は、そのフレームワークの見出しが役に立つかもしれない(フレームワークの複雑さを避けるように注意する)。あるいは自分で作る。
Keep it simple シンプルにする
Perhaps the most frequent complaint from Boards is that cyber experts use technical language and jargon when describing unfamiliar topics. Given this, it's no surprise that many board members struggle to unpick and engage with cyber security. Whilst the appropriate level and language to communicate will depend on the organisation, natural language that’s free from jargon and acronyms is the order of the day. Simple descriptions will always work better. おそらくボードから最も頻繁に寄せられる苦情は、サイバー専門家が馴染みのないトピックを説明するときに専門用語や専門用語を使うというものだ。このことを考えると、多くの理事がサイバーセキュリティを理解し、関与するのに苦労するのは当然である。コミュニケーションに適切なレベルや言語は組織によって異なるが、専門用語や略語を使わない自然な表現が重要である。シンプルな説明が常に効果的である。
This challenge is heightened by Boards who are required to switch context between multiple subjects while reading Board papers and in meetings. この課題は、取締役会報告書を読んだり会議を開いたりする際に、複数の主題の間で文脈を切り替えることを求められる取締役会によって、より大きくなる。
For example, the following definition ‘The firewall controls network traffic entering and leaving our organisation’ is neither over-simplified nor patronising. Don’t be frightened to explain things at (what you consider to be) an absurdly high-level. You can always add detail if required, which is much easier than starting with the details and then having to work back up. 例えば、次の定義「ファイアウォールは、組織に出入りするネットワークトラフィックを制御する」は、単純化しすぎていないし、恩着せがましくもない。物事を(あなたが考える)とんでもなく高いレベルで説明することに怯んではいけない。必要であればいつでも詳細を加えることができるし、詳細から始めてから作業をやり直すよりずっと簡単だ。
Technical teams tend to talk about the names of systems or the vendor that provides those systems (or both at once). This is not helpful. Don’t talk about ‘CyberPro18.2 as our End Point Protection’. Instead talk about ‘protecting PC and servers from viruses and other types of malware’. 技術チームは、システムの名前か、そのシステムをプロバイダしているベンダーの名前(あるいはその両方)について話しがちだ。これは役に立たない。当社のエンドポイントプロテクションはCyberPro18.2です」と話してはいけない。代わりに「ウイルスやその他の種類のマルウェアからPCやサーバーを保護する」ことについて話す。
Use diagrams and images to aid comprehension if that is what your Board prefers. The NCSC Cyber Security Toolkit for Boards is a great resource for board-ready communication collateral covering the cyber domain. 理事会が望むのであれば、理解を助けるために図や画像を使用する。NCSC Cyber Security Toolkit for Boards(理事会向けサイバーセキュリティツールキット)は、サイバー領域をカバーする理事会対応のコミュニケーション資料として最適である。
Less is more 少ないことは多いことだ
Brevity is good. Use fewer words. Use more headings and fewer blocks of text than you would when addressing technical teams. Favour ‘executive summaries’ (that is, a summary of your whole argument) over ‘introductions’ (which oblige your audience to read more). This isn’t about dumbing down or leaving out important parts of the story. You must give a complete and balanced view. This is not easy. It sometimes feels rude or terse. Work at it if you want to get heard. 簡潔であることが良い。言葉を少なくする。技術チームと話すときよりも見出しを多く使い、文章のブロックは少なくする。エグゼクティブサマリー」(つまり、あなたの主張全体を要約したもの)は、「序文」(聴衆にもっと読むよう義務づけるもの)よりも好まれる。これは、話の重要な部分を省略したり、ダブらせたりすることではない。完全でバランスの取れた見解を述べなければならない。これは簡単なことではない。時には無礼に感じたり、辛辣に感じたりすることもある。話を聞いてもらいたければ、努力することだ。
It’s important to remember that the more complex the subject matter (and cyber security can be complex), the simpler the language needs to be. There’s lots of evidence and usability studies that support thisEveryone likes clear language, and this includes highly educated Board members who are experts in their own fields and don’t have time to read pages of dry technical prose. 題材が複雑であればあるほど(そしてサイバーセキュリティは複雑であるほど)、シンプルな表現にする必要があることを忘れてはならない。これを裏付ける証拠やユーザビリティの研究はたくさんある。誰もがわかりやすい言葉を好むが、これには、各分野の専門家であり、何ページにもわたる乾いた技術的な文章を読む時間がない高学歴の取締役も含まれる。
Prepare and rehearse 準備とリハーサル
You may know your stuff technically, but do you know it so well you can explain it effortlessly without drifting into too much technical detail and language? We expect Board-level communication to be at the very highest level of quality, so it’s worth sweating over, and getting it right. 技術的な知識は豊富かもしれないが、技術的な詳細や言い回しに流されることなく、すらすらと説明できるほど熟知しているだろうか?取締役会レベルのコミュニケーションには、最高レベルの品質が求められる。
If you are uncomfortable presenting to a senior business audience, or perhaps just daunted a little by the Board, find someone you can partner with when presenting. This will ideally be a ‘cyber champion’ on the Board or Exec team who can help you with content and also help you field questions. 上級のビジネス聴衆にプレゼンするのが苦手な場合、あるいは取締役会が少し怖い場合は、プレゼンの際にパートナーになれる人を見つけよう。理想的には、取締役会や役員チームの「サイバー・チャンピオン」であり、コンテンツについて手助けしてくれたり、質問に答える手助けをしてくれたりする人だ。
Make sure you check and test your content with your manager and/or the executive responsible for cyber security. Executives have managers too; they don’t want to be surprised or embarrassed by content that the Board will see. あなたの上司やサイバーセキュリティ担当役員に、必ず内容を確認し、テストしてもらうこと。役員にも管理職がいる。彼らは、取締役会に見られるような内容で驚いたり恥をかいたりしたくないのだ。
Communications around cyber - especially in the media - are often fear inducing. You can counter that when presenting with non-alarmist, measured communications that shows how this very real threat can be managed and mitigated. Tone and body language are important here too. You should be upbeat and positive about the work you have done and the challenges in front of you. サイバーにまつわるコミュニケーションは、特にメディアでは恐怖心を煽ることが多い。この現実的な脅威をどのように管理し、低減できるかを示す、非警戒主義的で慎重なコミュニケーションを提示することで、これに対抗することができる。ここでもトーンとボディランゲージが重要だ。自分のやってきた仕事と目の前の課題に対して、明るく前向きであるべきだ。
To sum up… まとめると...
Following this advice will help improve your engagement with Board members on this important strategic topic. By doing so you are more likely to receive the investment and resources you need, ultimately reducing the cyber security risk and enabling the business to focus on its value-creating work. このアドバイスに従うことで、この重要な戦略トピックに関する取締役会とのエンゲージメントを改善することができる。そうすることで、必要な投資やリソースを受けられる可能性が高くなり、最終的にサイバーセキュリティのリスクを低減し、事業が価値創造業務に集中できるようになる。

 

 

ブログ記事...

・2024.10.07 How to talk to board members about cyber

How to talk to board members about cyber 取締役会にサイバーについてどう話すか
New guidance helps CISOs communicate with Boards to improve oversight of cyber risk. 新しいガイダンスは、CISOがサイバーリスクの監督を改善するために取締役会とコミュニケーションするのに役立つ。
Improving the management of cyber risks in organisations has been the central motivation behind our Cyber Security Toolkit for Boards, which helps boards to embed cyber resilience and risk management throughout their organisations, systems, technologies and staff. このツールキットは、取締役会が組織、システム、テクノロジー、スタッフ全体にサイバーレジリエンスとリスクマネジメントを組み込むことを支援するものである。
However, for some time the NCSC has been aware of a ‘skills gap’ in how cyber security risk is overseen at the board level. To explore this more fully, we commissioned research specialists Social Machines to obtain a better understanding of this perceived ‘lack of board engagement with cyber security and cyber-related decision-making’.  しかし、NCSCはしばらくの間、取締役会レベルにおけるサイバーセキュリティリスクの監督方法における「スキルギャップ」を認識していた。これをより詳細に調査するため、NCSCは、「取締役会がサイバーセキュリティやサイバー関連の意思決定に関与していない」という認識についてより深く理解するために、調査のスペシャリストであるソーシャル・マシーンズ社に調査を依頼した。
The research included interviews with board members, CISOs and other cyber security leaders in medium to large organisations. Whilst some of the key themes could perhaps have been predicted (such as how boards find the excessive use of technical language and jargon as barriers to understanding), other findings were more unexpected - and concerning. 調査には、中規模から大規模の組織の取締役、CISO、その他のサイバーセキュリティリーダーへのインタビューが含まれた。いくつかの主要なテーマは予想できたが(例えば、専門用語や専門用語の多用が取締役会の理解を妨げているなど)、他の発見は予想外であり、懸念すべきものであった。
For example, 80% of participants were unsure of where accountability for cyber resided. We found that in many organisations, the CISO (or equivalent role) thought that the Board was accountable, whilst the Board thought it was the CISO. This lack of clarity is compounded by a ‘lack of expertise’ reported by 60% of the participants. As a result of their limited understanding of the risks, Boards believed they were unable to offer the necessary oversight. 例えば、参加者の80%が、サイバーに関する説明責任がどこにあるのか分からなかった。多くの組織で、CISO(またはそれに相当する役割)が取締役会に説明責任があると考えている一方で、取締役会はCISOだと思っていることがわかった。このような明確性の欠如は、参加者の60%が報告した「専門知識の欠如」によってさらに深刻化している。リスクに対する理解が乏しいため、取締役会は必要な監督を行えないと考えている。
For their part, CISOs stated that they didn’t feel the need to involve the Board because they believed that the Board would struggle to understand their technical explanations. CISO側は、取締役会が技術的な説明を理解するのに苦労すると考えているため、取締役会に関与する必要性を感じていないと述べている。
Board-level cyber discussions: communicating clearly is new guidance from the NCSC that addresses head on the issues raised by the Social Machines research. It encourages CISOs and other cyber security leaders to ‘step up’ to this challenge, and offers practical tips to help you engage strategically with the board to improve the management of cyber security risk.  取締役会レベルのサイバーディスカッション:明確なコミュニケーション」はNCSCによる新しいガイダンスで、ソーシャルマシンの調査によって提起された問題に正面から取り組んでいる。このガイダンスでは、CISOやその他のサイバーセキュリティリーダーがこの課題に「ステップアップ」することを奨励し、サイバーセキュリティリスクマネジメントを改善するために取締役会に戦略的に関与するのに役立つ実践的なヒントを提供している。
As the authority for cyber security in your organisation, it’s up to CISOs to elevate their conversations with board members (and other senior decision makers) so that they connect ‘cyber’ with the overall business challenges and context. This means CISOs must engage with Boards on their terms and in their language to ensure the cyber risk is understood, managed and mitigated. The guidance explains that a crucial first step is to recognise that - rightly or wrongly - this is the CISO’s problem to solve, and they need to work with the audience as they find it (which may not be the audience they wish they had). 組織におけるサイバーセキュリティの認可者として、取締役会メンバー(およびその他の上級意思決定者)との対話を強化し、「サイバー」を全体的なビジネス上の課題や背景と結び付けられるようにすることは、CISOにかかっている。つまり、CISOは、サイバー・リスクが理解され、マネジメントされ、低減されるように、彼らの言葉で取締役会に関与しなければならない。このガイダンスでは、重要な第一歩として、善かれ悪しかれ、これはCISOが解決すべき問題であり、CISOは、彼らが見つけた聴衆(それは彼らが望む聴衆ではないかもしれない)と協働する必要があることを認識する必要があると説明している。
As the research underlines, most Board members do not have in-depth cyber security knowledge. That’s not their role. Cyber security leaders, on the other hand, do have detailed knowledge of the domain, but are less experienced in communicating technical matters to Board or senior executive teams. As cyber professionals, it the CISO’s job to bridge this gap to provide better cyber security outcomes.  この調査で明らかになったように、ほとんどの取締役会メンバーはサイバーセキュリティに関する深い知識を持っていない。それは彼らの役割ではない。一方、サイバーセキュリティリーダーは、この分野の詳細な知識を持っているが、技術的な事柄を取締役会や上級役員チームにコミュニケーションした経験はあまりない。サイバーの専門家であるCISOの仕事は、このギャップを埋めてより良いサイバーセキュリティの成果を提供することである。
The new guidance forms the latest part of the Cyber Security Toolkit for Boards, and will help the CISO better understand the responsibilities and mindset of boards, and how to best explain this complex subject. By doing so, cyber security leaders are more likely to receive the investment and resources they need, ultimately reducing the cyber security risk and enabling the business to focus on its value-creating work. この新しいガイダンスは、「取締役会のためのサイバーセキュリティ・ツールキット」の最新版であり、CISOが取締役会の責任や考え方、この複雑なテーマについてどのように説明すればよいかをよりよく理解するのに役立つ。そうすることで、サイバーセキュリティ・リーダーが必要な投資とリソースを受けられる可能性が高まり、最終的にサイバーセキュリティ・リスクを低減し、ビジネスが価値創造業務に集中できるようになる。

 

 


 

このブログでも紹介していましたが...

 

取締役会向けのガイダンス...

・2023.03.30 Cyber Security Toolkit for Boards

 

Cyber Security Toolkit for Boards 取締役会向けサイバーセキュリティ・ツールキット
20230627-110721
   
Cyber security 101 for Board Members 取締役向けサイバーセキュリティ入門
This document provides a sample script of questions to discuss at your next board meeting. この文書では、次回の取締役会で話し合うための質問のサンプルスクリプトを提供する。
20230627-110730
   
Executive summary エグゼクティブサマリー
This document summarises the content of each section of the Board Toolkit. この文書は、取締役会ツールキットの各セクションの内容を要約したものである。
20230627-110740
   
Questions for the board to ask about cyber security 取締役会がサイバーセキュリティについて尋ねるための質問
This document briefly summarises each module of the toolkit. It then provides a series of questions (with possible answers) that boards can use to help evaluate your organisation's performance. この文書では、ツールキットの各モジュールを簡単に要約する。その上で、取締役会が組織のパフォーマンスを評価する際に利用できる一連の質問(可能な回答付き)をプロバイダとして提供する。
20230627-110748

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.27 英国 NSCS (サイバーセキュリティ向け)リスクマネジメントガイドの改訂 (2023.06.23) + 取締役会向けサイバーセキュリティ・ツールキット (2023.03.30)

 

» Continue reading

| | Comments (0)

2024.11.27

英国 NCSC「Active Cyber Defence」 のウェブページ

こんにちは、丸山満彦です。

英国政府は、アクティブ・サイバーディフェンス(ACD)プログラムの一環として、サイバーセキュリティツールとサービスをプロバイダとして提供しています...

英国政府のいうアクティブ・サイバーディフェンスは、日本語にすると能動的サイバー防御という訳語と同じになるかもしれませんが、攻撃元と見られるサーバーの無害化措置という概念はなく、ディフェンス、防御...です。

パッシブなサイバー防御に対して、アクティブなサイバー防御という感じで、攻撃の兆候を掴んだら、どのような攻撃かを想定して、先回りをして防御を固めるというようなイメージなのだろうと思います。

ということで、英国政府のアクティブ・サイバーディフェンス(ACD)プログラムのウェブページの紹介です。

サービスとしては、

・セルフサービスチェック

  • 早期警告
  • エクセサイズ・イン・ア・ボックス
  • メールチェック
  • ウェブチェック
  • サイバーセキュリティ・チェック

・検知

  • ホストベース
  • 防御ドメイン名サービス
  • 脆弱性開示

・破壊と防御

  • 疑わしいメール報告サービス
  • テイクダウン・サービス
  • 能力の共有と防御

 

 

National Cyber Security Centre

Active Cyber Defence

英国政府のアクティブ・サイバーディフェンス(ACD)プログラムというのは、まさにプログラムで、主に公共機関向けに具体的なサイバー防御のサービスを提供するものです。そういう意味ではNCSCはセキュリティサービスプロバイダーでもありますね...(また、NCSCはサイバーセキュリティのスタートアップ企業の育成にも力をいれていたりします...NCSC for Startups 例えば、[PDF] [YouTube][Youtube])

 

・・Introduction

Introduction 序文
Active Cyber Defence (ACD) seeks to reduce the harm from commodity cyber attacks by providing tools and services that protect from a range of attacks. アクティブ・サイバーディフェンス(ACD)は、さまざまな攻撃から身を守るツールやサービスを提供することで、商品サイバー攻撃による被害を減らすことを目指している。
The UK continues to be one of the most digitally advanced countries in the world, with our lives being online more than ever before. As this digitisation continues, it is vital that the UK remains able to protect its organisations, business and citizens against cyber crime. 英国は世界で最もデジタル化が進んだ国のひとつであり、私たちの生活はかつてないほどオンライン化されている。このデジタル化が進む中、英国がサイバー犯罪から組織、企業、市民を守り続けることは極めて重要である。
The aim of ACD is to “Protect the majority of people in the UK from the majority of the harm caused by the majority of the cyber attacks the majority of the time.” We do this through a wide range of mechanisms, which at their core have the ability to provide protection at scale.  ACDの目的は、「英国の大多数の人々を、大多数のサイバー攻撃による大多数の被害から、大多数の時間保護する 」ことである。ACDは、幅広いメカニズムを通じてこれを実現するが、その中核となるのは、大規模な防御を提供する能力である。
ACD is intended to tackle the high-volume commodity attacks that affect people’s everyday lives, rather than the highly sophisticated and targeted attacks, which NCSC deal with in other ways.  ACDは、NCSCが他の方法で対処している高度に洗練された標的型攻撃ではなく、人々の日常生活に影響を与える大量のコモディティ攻撃に取り組むことを意図している。
The ACD programme consists of a number of interventions or real services - each free at the point of use - that perform a particular security service for organisations. ACDプログラムは、組織向けに特定のセキュリティ・サービスを提供する多数の介入サービスまたは実サービス(それぞれ利用時点では無料)から構成されている。
Learn more about ACD services ACDサービスについてもっと知る

 

 

 


 

サービス... (ここが本命...)

Services サービス
The NCSC provides a range of free cyber security tools and services to eligible organisations as part of the Active Cyber Defence (ACD) programme. NCSCは、アクティブ・サイバーディフェンス(ACD)プログラムの一環として、対象となる組織に様々なサイバーセキュリティツールとサービスを無料で提供している。
Self service checks セルフサービスチェック
Services in this category allow you to check and improve the security posture of your organisation. このカテゴリーのサービスを利用することで、組織のセキュリティ態勢をチェックし、改善することができる。
Early Warning 早期警告
Early Warning helps organisations investigate cyber attacks on their network by notifying them of malicious activity that has been detected in information feeds. 早期警告は、情報フィードで検知された悪意のある活動を通知することで、組織がネットワーク上のサイバー攻撃を調査するのを支援する。
Eligible Sectors: Any UK organisation with a static IP address or domain name can sign up to use Early Warning. 対象となるセクター 静的IPアドレスまたはドメイン名を持つ英国の組織であれば、Early Warningの使用にサインアップできる。
Learn more 詳細はこちら
Exercise in a Box (EIAB) エクササイズ・イン・ア・ボックス(EIAB)
EIAB is a resource of realistic scenarios that helps organisations practise and refine their response to cyber security incidents in a safe and private environment. EIABは、組織が安全でプライベートな環境でサイバーセキュリティインシデントへの対応を練習し、洗練させるのに役立つ現実的なシナリオのリソースである。
Eligible sectors: Anyone can download and use EIAB 対象部門 誰でもダウンロードして利用できる
Read more もっと読む
Mail Check メールチェック
Mail Check helps organisations assess their email security compliance and adopt secure email standards which prevent criminals from spoofing your email domains. Mail Checkは、組織のメールセキュリティコンプライアンスを評価し、犯罪者によるメールドメインのなりすましを防止するセキュアメール標準の採用を支援する。
Eligible sectors: Public Sector and Academia (All UK Schools. Universities and Further Education Colleges). UK Registered Charities. UK Registered Social Housing Providers and Arms Length Management Organisations (ALMOs).  対象分野 公共部門および学術機関(英国のすべての学校、大学および継続教育カレッジ)。英国登録慈善団体 英国登録社会住宅プロバイダおよび独立行政法人(ALMO)。
Learn more さらに詳しく
Web Check ウェブチェック
Web Check helps you find and fix common security vulnerabilities in the websites that you manage. Web Check は、管理する Web サイトの一般的なセキュリティ脆弱性の発見と修正を支援する。
Eligible sectors: Public Sector and Academia (All UK Schools. Universities and Further Education Colleges). UK Registered Charities. UK Registered Social Housing Providers and Arms Length Management Organisations (ALMOs).  対象となるセクター 公共部門および学術機関(英国のすべての学校、大学、継続教育カレッジ)。英国の登録慈善団体 英国の登録社会住宅プロバイダおよび独立行政法人(ALMO)。
Read more もっと読む
Check your Cyber Security サイバーセキュリティ・チェック
The NCSC check your cyber security service allows individuals and organisations to run instant checks on their cyber security. You don’t need to register to use it and the checks can be run in seconds.  NCSCのcheck your cyber securityサービスでは、個人や組織のサイバーセキュリティを即座にチェックすることができる。利用登録は不要で、チェックは数秒で実行できる。
The email security check allows you to quickly check that you have applied standards like DMARC and TLS correctly to prevent spoofing and protect privacy. Eメールセキュリティチェックでは、DMARCやTLSなどの標準が正しく適用されているかどうかを素早くチェックし、なりすましを防止してプライバシーを保護することができる。
Learn more and run a check 詳細とチェックを実行する
The IP address & website check allows you to check if cyber criminals could attack your systems to gain access to your data via the internet.  IPアドレス&ウェブサイトチェックでは、サイバー犯罪者が貴社のシステムを攻撃し、インターネット経由で貴社のデータにアクセスできるかどうかをチェックできる。
Start now 今すぐ始める
The Web browser check service allows you to check if your web browser is out of date and vulnerable to exploitation by criminals. If your web browser needs updating, we’ll provide step-by-step guidance on what you should do and how to set up automatic updates. ウェブブラウザチェックサービスでは、お使いのウェブブラウザが古く、犯罪者に悪用される脆弱性がないかどうかをチェックできる。ウェブブラウザの更新が必要な場合は、何をすべきか、自動更新を設定する方法について、ステップバイステップのガイダンスを提供する。
Start now 今すぐ始める
Detections deployed by organisations 組織が展開する検知
Organisations integrate services in this category into their environment to provide a protection or detection capability. 組織は、このカテゴリーのサービスを環境に統合し、保護または検知機能を提供する。
Host Based Capability (HBC) ホストベースの機能(HBC)
HBC is a software agent available for use on OFFICIAL devices in government. HBCは、政府の公式デバイスで使用可能なソフトウェア・エージェントである。
The NCSC conducts analysis to detect malicious activity on those endpoints. The service provides security baseline reports, and forewarns customers about their exposure to the most critical of vulnerabilities. NCSC は、これらのエンドポイントで悪意のある活動を検知するための分析を行う。このサービスは、セキュリティベースラインレポートを提供し、最も重大な脆弱性へのエクスポージャーを顧客に警告する。
Eligible sectors: Public Sector (Central Government) 対象となるセクター 公共部門(中央政府)
Learn more 詳細はこちら
Protective Domain Name Service (PDNS) 防御ドメイン名サービス(PDNS)
PDNS prevents users from accessing domains or IPs that are known to contain malicious content and stops malware already on a network from calling home. PDNSは、悪意のあるコンテンツが含まれていることが知られているドメインやIPにユーザーがアクセスするのを防ぎ、すでにネットワーク上にあるマルウェアがホームに呼び出すのを阻止する。
Eligible sectors: Public Sector. UK Registered Social Housing Providers and Arms Length Management Organisations (pilot users only - for more information visit our PDNS webpage) 対象となるセクター 公共部門。英国の登録社会住宅プロバイダおよび独立行政法人管理組織(パイロットユーザーのみ。)
Learn more 詳細はこちら
Vulnerability Disclosure 脆弱性の開示
The NCSC is working to mature the UK's approach to vulnerability disclosure and remediation by providing the following:・ NCSCは、以下をプロバイダとして提供することで、脆弱性の開示と修復に対する英国のアプローチを成熟させることに取り組んでいる:
GC3 Vulnerability Reporting Service - anyone can report a vulnerability with a UK government online service ・GC3 脆弱性報告サービス - 英国政府のオンラインサービスで、誰でも脆弱性を報告できる。
Vulnerability Disclosure for Government Scheme - we aim to improve the UK government's ability to adopt vulnerability disclosure best practices. Please contact us if you want to be involved in the pilot (government only) ・Vulnerability Disclosure for Government Scheme - 英国政府が脆弱性開示のベストプラクティスを採用する能力を改善することを目指している。パイロット版への参加を希望される方は、こちらまでご連絡ください(ガバナンスのみ)。
Vulnerability Disclosure Toolkit - contains the essential components you need to set up your own vulnerability disclosure process. ・Vulnerability Disclosure Toolkit - 脆弱性情報公開プロセスを独自に構築するために必要な必須コンポーネントが含まれている。
Disrupt and Defend 破壊と防御
Services in this category are designed to prevent and mitigate cyber threats. The Disrupt function enables the detection of phishing or malicious activities on a large scale and triggers an automated reaction to interrupt these activities. The Defend function concentrates on providing services that protect the UK public and businesses from cyber crime, including fraud that is enabled by cyber activities. このカテゴリーのサービスは、サイバー脅威の防止と軽減を目的としている。Disrupt機能は、大規模なフィッシングや悪意のある活動の検知を可能にし、自動化された反応をトリガーしてこれらの活動を中断させる。防御機能は、サイバー犯罪から英国国民と企業を保護するサービスのプロバイダである。
Both disruption and defence play crucial roles in maintaining cyber security.  妨害と防御の両方がサイバーセキュリティの維持に重要な役割を果たしている。
Suspicious Email Reporting Service (SERS) 疑わしい電子メール報告サービス(SERS)
SERS enables the public to report suspicious emails by sending them to [mail]. The service analyses the emails and where found to contain links to malicious sites, seeks to remove those sites from the internet to prevent the harm from spreading. SERSは、一般市民が不審な電子メールを[mail] まで。同サービスは電子メールを分析し、悪質なサイトへのリンクが含まれていることが判明した場合、インターネットからそれらのサイトを削除し、被害の拡大を防ぐ。
Eligible sector: Anyone can use SERS 対象となるセクター 誰でもSERSを利用できる
Report a suspicious email 不審なメールを報告する
Takedown Service テイクダウン・サービス
The NCSC Takedown Service finds malicious sites and sends notifications to the host or owner to get them removed from the internet before significant harm can be done. The NCSC centrally manages the service, so departments automatically benefit without having to sign up. NCSCテイクダウン・サービスは、悪意のあるサイトを発見し、重大な被害が出る前にインターネットから削除するよう、ホストまたは所有者に通知を送る。NCSCがサービスを一元管理しているため、各部門が登録しなくても自動的に恩恵を受けることができる。
Eligible sector: Public Sector 対象となる部門 公共部門
Learn more 詳細はこちら
Share and Defend Capability 能力の共有と防御
The NCSC shares datasets of malicious indicators with our industry partners, including Managed Service Providers (MSPs), Communication Service Providers (CSPs) and Internet Service Providers (ISPs). As a result, their UK citizen and business customers are protected as access to malicious content is blocked. NCSCは、マネージド・サービス・プロバイダー(MSP)、コミュニケーション・サービス・プロバイダー(CSP)、インターネット・サービス・プロバイダ(ISP)などの業界パートナーと悪質な指標のデータセットを共有している。その結果、悪質なコンテンツへのアクセスがブロックされ、英国市民や企業の顧客が保護される。
Learn more 詳細はこちら
Enablers イネイブラー
Common platforms that underpin multiple ACD services. 複数のACDサービスを支える共通プラットフォーム
MyNCSC MyNCSC
MyNCSC provides a common point of entry to a number of the NCSC’s Active Cyber defence (ACD) services.  MyNCSCは、NCSCのアクティブ・サイバーディフェンス(ACD)サービスの共通エントリポイントを提供する。
Learn more 詳細はこちら
If you're not eligible for ACD services then you can learn more about other assured services certified by the NCSC which will help protect against cyber attack. ACDサービスを受ける資格がない場合は、NCSCが認定するサイバー攻撃からの防御に役立つその他の保証サービスについて詳しく知ることができる。

 

Acdb2400001

 

で、現在あまりウェブページが更新されていないようなのですが、実は、ACD2.0への発展を検討中のようです...

興味深いのは、方針として

高度な攻撃ではなく、通常のサイバー攻撃からの被害を軽減しようとするもの。。。

という方針を維持しつつ、原則として次の2つを定めたようです...

  • NCSCは、市場が提供できないソリューションのみを提供する
  • NCSCは、成功したサービスを3年以内に原則売却する

なるほど...

情報の有無、市場の問題等で、NCSC以外が提供するのが難しいソリューションを提供し、それがうまくいったら、市場に開放し、対価として得た収入を開発の投資に繋げる...

官民連携の一つの姿ですかね...

 

・2024.08.02 Introducing Active Cyber Defence 2.0

Introducing Active Cyber Defence 2.0 アクティブ・サイバーディフェンス2.0のご紹介
ACD 2.0 aims to build the next generation of services in partnership with industry and academia. ACD 2.0は、産学連携による次世代サービスの構築を目指している。
As the National Cyber Security Centre, we aim to provide a cohesive suite of services that help organisations protect themselves against cyber threats. Some of these services are directly provided by us, where we are uniquely placed to do so, while others are delivered by industry partners with NCSC assurance. We constantly review the services we deliver and look to divest to industry where and when appropriate. Next month, you will hear more about our direction of travel for those services delivered through industry. ナショナル・サイバー・セキュリティ・センターとして、私たちは、組織がサイバー脅威から身を守るのを助ける、一連のまとまったサービスを提供することを目指している。これらのサービスの中には、NCSCが独自の立場で直接プロバイダとして提供するものもあれば、NCSCの保証のもと産業界のパートナーによって提供されるものもある。我々は、提供するサービスを常に見直し、適切な場合には業界への売却を検討している。来月は、業界を通じて提供されるサービスに関する我々の方向性について詳しく説明する。
Active Cyber Defence (ACD) has gained widespread recognition and been adopted as a concept by many countries. Why? Because it effectively increases national cyber resilience on a large scale, while imposing significant costs on adversaries. アクティブ・サイバーディフェンス(ACD)は広く認知され、多くの国でコンセプトとして採用されている。なぜか?それは、敵対勢力に多大なコストを課しながら、効果的に国家のサイバー・レジリエンスを大規模に向上させるからである。
Active Cyber Defence (ACD) seeks to reduce the harm from commodity cyber attacks by providing tools and services that protect from a range of attacks. アクティブ・サイバーディフェンス(ACD)は、さまざまな攻撃から身を守るツールやサービスを提供することで、コモディティ・サイバー攻撃による被害を減らそうとしている。
This protection comes in many forms: from addressing security vulnerability, to actively detecting and disrupting attacks.  この防御には、セキュリティの脆弱性への対処から、積極的な攻撃の検知や妨害まで、さまざまな形態がある。
Most of the current services began life back in 2017. While they have evolved since then, the range of services on offer has been broadly consistent.  Meanwhile, the cyber capabilities of those we serve – and the set of capabilities on offer from the private sector – have evolved. This defensive change has combined with an evolution in the threat.  現在のサービスのほとんどは2017年に始まった。それ以来進化はしているが、提供されるサービスの範囲はほぼ一貫している。一方で、我々がサービスを提供する側のサイバー能力、そして民間セクターが提供する一連の能力は進化してきた。この防御的な変化は、脅威の進化と組み合わさっている。
It’s important that the UK’s National Cyber Security Centre focuses its efforts where we can make a uniquely valuable contribution – where we see a gap in the commercial market, or where being part of GCHQ presents a unique opportunity to drive up resilience at scale. In light of this changing context, and using our experience from providing the existing ACD services, we are assessing new delivery models and partners and are seeking to build a next generation suite of services under ACD 2.0. 英国のナショナル・サイバー・セキュリティ・センターは、商業市場におけるギャップや、GCHQの一員であることが大規模なレジリエンスを向上させるまたとない機会となるような、他にない価値ある貢献ができるところに力を注ぐことが重要である。このような状況の変化を踏まえ、既存のACDサービスのプロバイダとしての経験を生かしながら、新たな提供モデルやパートナーのアセスメントを行い、ACD 2.0の次世代サービス群の構築を目指している。
Given the modern threat, the contemporary internet and a host of other factors, what should we be delivering? Where is the cyber defence edge to be had? Where can we add unique value? Having mainly targeted the original ACD services at the public sector, is it time to broaden our reach? 現代の脅威、現代のインターネット、その他多くの要因を考慮すると、我々は何を提供すべきなのか?サイバー防衛の優位性はどこにあるのか?どこに独自の価値を付加できるのか?主に公共部門を対象としたオリジナルのACDサービスを提供してきたが、そろそろその範囲を広げる時期なのだろうか?
In pursuit of this goal, we have set these principles for ACD 2.0: この目標を達成するために、我々はACD 2.0の原則を定めた:
・The NCSC will only deliver solutions where the market is not able to – whether that’s due to our unique position in government, scaling abilities, capabilities or authorities ・NCSCは、市場が提供できないソリューションのみを提供する。それが、政府におけるNCSCのユニークな立場、拡張能力、能力、権限によるものであるかは問わない。
・The NCSC will look to divest most of our new successful services within 3 years – to another part of government or the private sector to run on an enduring basis ・NCSCは、新たに成功したサービスのほとんどを3年以内に売却し、ガバナンスの別の部門や民間部門に永続的に運営させることを検討する。
We want ACD 2.0 to be a partnership; across the NCSC, across the cyber security community in government, and crucially also with industry and academia. Combined with our unique organisation, we can have a disproportionate impact on cyber resilience at scale. ACD2.0は、NCSC、政府内のサイバーセキュリティコミュニティ、そして産業界や学界とのパートナーシップでありたいと考えている。私たちのユニークな組織と組み合わせることで、大規模なサイバーレジリエンスに不釣り合いな影響を与えることができる。
Get involved - how to work with us  参加する - 私たちと協力するには 
As we embark on ACD 2.0, our first step is to look at our attack surface management suite - currently that’s Web Check, Mail Check and Early Warning. ACD 2.0に着手するにあたり、私たちの最初のステップは、私たちの攻撃対象領域管理スイート(現在のところ、ウェブチェック、メールチェック、早期警戒)を見直すことである。
We’ve learned a lot from running these services and are keen to build on that by running experiments alongside industry providers. We have experiments we want to run, but we’re also keen to hear from you if you have ideas. 我々は、これらのサービスを運営することで多くのことを学んできたし、業界のプロバイダとともに実験を行うことで、それを基に発展させたいと考えている。実施したい実験もあるが、アイデアをお持ちの方からのご連絡もお待ちしている。
Our hypothesis remains that helping organisations know and reduce their attack surface and related vulnerability is one of the most efficient ways to drive up external resilience. 組織が攻撃対象領域とそれに関連する脆弱性を把握し、その脆弱性を低減するのを支援することは、対外的なレジリエンスを向上させる最も効率的な方法の 1 つである、というのが当社の仮説であることに変わりはない。
If you have an attack surface management product, or ideas for other experiments we should run in future, and would like to work with the NCSC, please get in touch with us. 攻撃対象領域管理製品、あるいは今後実施すべき他の実験に関するアイデアをお持ちの方で、NCSCとの協力を希望される方は、ぜひご連絡いただきたい。
Ollie Whitehouse, Chief Technology Officer (CTO), NCSC オリー・ホワイトハウス、NCSC最高技術責任者(CTO)
Jonathon Ellison, NCSC Director of National Resilience ジョナソン・エリソン、NCSCナショナル・レジリエンス担当ディレクター

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.16 英国 NCSC Annual Review 2023 国家サイバーセキュリティセンター2023年報告書 - 英国の重要インフラに対する永続的かつ重大な脅威を警告

・2023.07.17 英国 NCSC アクティブ・サイバーディフェンス第6次報告書 (2023.07.06) そういえばNCSCは「アクティブ・サイバーディフェンスは防御であって攻撃ではない」と言ってました...

・2021.11.19 英国 NCSC Annual Review 2021 国家サイバーセキュリティセンター2021年報告書

・2020.11.09 英国 NCSC Annual Review 2020 国家サイバーセキュリティセンター2020年報告書

| | Comments (0)

英国 国防省 JSP 936 V1.1 防衛における信頼できる人工知能(パート1: 指令) (2024.11.13)

こんにちは、丸山満彦です。

英国、国防省の統合業務刊行物 (Joint Service Publication; JSP) として、JSP 936 V1.1 防衛における信頼できる人工知能(パート1: 指令)が発効されていますね...

これは、国防省におけるAIの安全かつ責任ある採用を規定する主要な政策枠組みですね...米国でもそうですが、軍関係でのAIの利用について規則を設け、安心してAIの活用ができるように考えていますね...

戦争だからといって、何をしてもよいわけではなく、一定のルールの中で戦いましょうという考え方がある(でないと、本当に獣になってしまう)ので、軍に関連する分野において、こういう規則はこれから先進国では作られていくでしょうね...

 

Gov.U.K. - Defence and armed forces 

・Joint Service Publication (JSP)

・2024.11.13 JSP 936: Dependable Artificial Intelligence (AI) in defence (part 1: directive)

JSP 936: Dependable Artificial Intelligence (AI) in defence (part 1: directive) JSP 936 防衛における信頼できる人工知能(AI)(パート1:指令)
JSP 936 (part 1: directive) is the principal policy framework governing the safe and responsible adoption of AI in MOD. JSP936(パート1:指令)は、国防省におけるAIの安全かつ責任ある採用を規定する主要な政策枠組みである。
Details 詳細
Following on from the Defence AI Strategy and Ambitious, Safe and Responsible policy, JSP 936 (part 1: directive) is an important step to ensure that teams across defence understand their responsibilities when developing and using AI technologies. It provides clear direction on how to implement the MOD’s AI ethical principles, to deliver safe, robust and effective AI-enabled capabilities which have the right level of human oversight to advance our military edge. JSP 936(パート1:指令)は、国防AI戦略および野心的、安全かつ責任ある政策に続くもので、国防全体のチームがAI技術を開発・使用する際の責任を理解するための重要なステップである。国防省のAI倫理原則の実施方法について明確な方向性を示し、安全で堅牢かつ効果的なAI対応能力を提供し、軍事的優位性を高めるために適切なレベルの人的監視を行う。
JSP 936 includes directives on governance, development and assurance throughout the AI lifecycle which encompasses quality, safety and security considerations. It draws on existing policies and best practices, bridging the gap between high-level ethical principles on the use of AI and their practical implementation, guiding the department to become fully AI-ready. JSP936は、品質、安全性、セキュリティを考慮したAIのライフサイクルを通じたガバナンス、開発、保証に関する指示を含んでいる。JSP936は、既存のポリシーとベスト・プラクティスを活用し、AIの使用に関するハイレベルな倫理原則とその実際的な実施とのギャップを埋め、AIに完全に対応できるように軍を導くものである。
We have a duty to make the best use of AI technologies to address threats to our national security and that of our allies, and to use these technologies safely and responsibly in line with our legal commitments and the values of the society we serve. By reading and understanding JSP 936 part 1, our industry partners can ensure that their projects are aligned with defence’s strategic goals, expectations on ethical AI, and technical requirements, ultimately fostering a more robust and collaborative AI ecosystem. われわれには、国家安全保障と同盟国に対する脅威に対処するためにAI技術を最大限に活用する義務があり、われわれの法的コミットメントとわれわれが奉仕する社会の価値観に沿って、これらの技術を安全かつ責任を持って使用する義務がある。JSP936パート1を読み、理解することで、我々の業界パートナーは、彼らのプロジェクトが防衛の戦略的目標、倫理的AIに関する期待、技術的要件に沿ったものであることを確認することができ、最終的には、より強固で協力的なAIエコシステムを育成することができる。

 

・[PDF] 

20241127-11041

・[DOCX][PDF] 仮訳

 

目次...

Foreword まえがき
Preface 序文
How to use this JSP このJSPの使い方
Coherence with other Policy and Guidance 他の政策やガイダンスとの一貫性
Training トレーニング
Further Advice and Feedback – Contacts その他のアドバイスとフィードバック - 連絡先
Contents 目次
1 Introduction 1 序文
Policy 方針
Scope スコープ
Applicability 適用性
Tailoring 仕立て
Delegation of Responsibilities 責任の委譲
Associated Standards and Guidance 関連標準とガイダンス
2 AI in Defence Systems 2 防衛システムにおけるAI
Introduction 序文
Robotic and Autonomous Systems ロボットと自律システム
Digital Systems デジタル・システム
3 Legal & Ethical Considerations of AI 3 AIの法的・倫理的考察
Introduction 序文
Legal Considerations 法的考察
Ethical Principles 倫理原則
Ethical Principles: Human Centricity 倫理原則人間中心主義
Ethical Principles: Responsibility 倫理的原則責任
Ethical Principles: Understanding 倫理的原則:理解する
Ethical Principles: Bias and Harm Mitigation 倫理的原則バイアスと被害の低減
Ethical Principles: Reliability 倫理的原則信頼性
Research and Development Ethics 研究開発倫理
AI Ethical Risk Assessment and Management AI倫理リスクアセスメントとマネジメント
Communication of AI Ethics AI倫理のコミュニケーション
4 AI Ethics Governance 4 AI倫理ガバナンス
MOD Governance of AI AIのMODガバナンス
Governance of Non-Sovereign AI Development and Use 非主権的AIの開発と利用のガバナンス
5 Human/AI Teams 5 人間/AIチーム
Introduction 序文
Human Centred AI Design 人間中心のAIデザイン
People Implications of AI Technologies AI技術が人々にもたらすもの
Training Implications of AI Technologies AI技術のトレーニングへの影響
6  AI Lifecycles 6 AIライフサイクル
Introduction 序文