2024.09.12

金融庁 「金融機関の内部監査の高度化に向けたモニタリングレポート(2024)」 (2024.09.10)

こんにちは、丸山満彦です。

金融庁が、「金融機関の内部監査の高度化に向けたモニタリングレポート(2024)」を公表していますね...

これ金融機関以外の方も是非目を通してくださいね...

 

三線モデルの第三線を担うのが内部監査部門。欧米でもやはり内部監査部門というのは、守りの中でも後ろの方にいるイメージで地味という感じを抱かれがちですが、一方で、内部監査部門は、組織全体にわたるリスクとその対応状況を理解できるという意味で、将来経営層を目指す方にとってのすごく良い経験ができる役割でもあります。

なので、内部監査部門が「うまく機能」している企業というのは、事故も少なく、思い切った対策も取りやすくなるわけで、成長もしやすいと思うんですけどね...

有価証券報告書でも、「グループガバナンス体制」に関する説明の部分などに内部監査部門の役割等の説明は必要でしょうし、会社法のいう内部統制に関して会社の業務の適正を確保するための体制の説明にも内部監査の話は必要でしょうしね。。。

そして、内部監査部門の報告は経営者のみならず、監査役や監査委員会にも報告するというのが最近の動向でもあり、ますますコーポレートガバナンスにおける位置付けの重要性が増してきていると思います...

 

金融機関では、コンプライアンスという位置付けで、内部監査部門を当初は考えられていたところではありますが、金融庁が2019 年6月に「金融機関の内部監査の高度化に向けた現状と課題」に公表したことから、うまく機能していくための施策を進めているところだと思います...

この報告書で書かれている内部監査部門の役割・使命についての段階

  • 第一段階(Ver.1.0):事務不備監査
  • 第二段階(Ver.2.0):リスクベース監査
  • 第三段階(Ver.3.0):経営監査
  • 第四段階(Ver.4.0):信頼されるアドバイザー

20240912-53002

となっていますね...第四段階が、中間報告2023年で追加されています...

また、中間報告2023年で示された3つの論点というのは、

  • 論点1.経営陣や監査委員・監査役による内部監査部門への支援
  • 論点2.内部監査部門の監査態勢高度化・監査基盤強化
  • 論点3.被監査部門に対する内部監査への理解・浸透やリスクオーナーシップ醸成

となります。

今回の報告書では、「内部監査の高度化に向けた取組は、規模の大小よりも経営陣の意識の差が大きく影響している」としていて、やはり、経営者の良し悪しが会社の(長期的な)成功には大きく影響をするのだろうと感じました。(単に単年度の数字を上げるというのは現場の部長くらいまでの話で、ステークホルダーの期待に長期的・継続的に応えていくというのが経営者の仕事だろうとおもっていますので...)

金融機関の取り組みの話ではありますが、すべての企業経営者に参考になる報告書だと思いますので、中間報告2023年とあわせて経営者の方に読んでもらうように進めておいてください。

金融庁も中間報告2023年の主なポイントのようなエグゼクティブサマリーをつくってくれるといいんですけどね...

 

金融庁

・2024.09.10「金融機関の内部監査の高度化に向けたモニタリングレポート(2024)」の公表について

・[PDF] 金融機関の内部監査の高度化に向けたモニタリングレポート(2024)

20240912-54137

 


2023年中間報告

ちなみに昨年度に発表されている2023年中間報告もとてもよいです...

・2023.10.24「金融機関の内部監査の高度化」に向けたプログレスレポート(中間報告)の公表について

 ・・[PDF]「金融機関の内部監査の高度化」に向けたプログレスレポート(中間報告) 主なポイント

20240912-54631

・・[PDF] 「金融機関の内部監査の高度化」に向けたプログレスレポート(中間報告) 本文

20240912-54733

英語版

・・[PDF] Progress report for “Improving Internal Audits of Financial Institutions” (interim report): Summary

・・[PDF] Progress report for “Improving Internal Audits of Financial Institutions” (interim report): Main text

 

 


そもそもの出発点...

・2019.06.28「金融機関の内部監査の高度化に向けた現状と課題」の公表について

・・「金融機関の内部監査の高度化に向けた現状と課題」

20240912-55033

 

 


おまけ...

有価証券報告書における「内部監査」という用語の登場回数(^^)

やっぱり金融機関は多い...

 

まずは、

メガ...

株式会社三菱UFJフィナンシャル・グループ (2024/3) :57回

株式会社三井住友フィナンシャルグループ(2024/3) :31回

株式会社みずほフィナンシャルグループ(2024/3):75回

 

郵政とりそなも...

日本郵政株式会社(2024/3):57回

株式会社りそなホールディングス(2024/3):75回

 

証券...

野村ホールディングス株式会社(2024/3)90回

株式会社大和証券グループ本社41回

 

損害保険会社...

東京海上ホールディングス株式会社(2024/3)43回

損害保険ジャパン株式会社(2024/3)40回

MS&ADインシュアランスグループホールディングス株式会社(2024/3):15回

 

製造業...

トヨタ自動車株式会社(2024/3) :24回

本田技研工業株式会社(2024/3)21回

ソニーグループ株式会社(2024/3):27回

株式会社日立製作所(2024/3):14回

パナソニック ホールディングス株式会社(2024/3):28回

武田薬品工業株式会社(2024/3):23回

株式会社小松製作所 (2024/3):16回

 

通信事業...

日本電信電話株式会社(2024/3):34回

KDDI株式会社(2024/3):24回

ソフトバンク株式会社(2024/3):64回

楽天グループ株式会社(2023/12):25回

 

商社...

三菱商事株式会社(2024/3):12回

三井物産株式会社(2024/3):42回

伊藤忠商事株式会社(2024/3):14回

住友商事株式会社(2024/3):28回

 

出現回数だけでなく、内容も読まないとね(^^)

 

| | Comments (0)

2024.09.11

米国 CISA 選挙セキュリティチェックリスト(サイバー編と物理編) (2024.09.09)

こんにちは、丸山満彦です。

米国のCISAが、選挙のためのセキュリティチェックリスト(サイバー編と物理編)を公表していますね...日本ではほんと選挙セキュリティの話は聞きませんね...

 

● CISA

プレス...

・2024.09.09 CISA Releases Election Security Focused Checklists for Both Cybersecurity and Physical Security

CISA Releases Election Security Focused Checklists for Both Cybersecurity and Physical Security CISA、サイバーセキュリティと物理的セキュリティの両方に焦点を当てた選挙セキュリティチェックリストを公開
WASHINGTON – Today, the Cybersecurity and Infrastructure Security Agency (CISA) released two election security checklists as part of the comprehensive suite of resources available for election officials, the Physical Security Checklist for Election Offices and Election Infrastructure Cybersecurity Readiness and Resilience Checklist. These checklists are tools to quickly review existing practices and take steps to enhance physical and cyber resilience in preparation for election day.    ワシントン – サイバーセキュリティ・インフラセキュリティ庁(CISA)は本日、選挙関係者が利用できる包括的なリソース一式の一部として、選挙セキュリティチェックリスト2種類を公開した。公開されたのは、「選挙事務所のための物理的セキュリティチェックリスト」と「選挙インフラのサイバーセキュリティ準備・レジリエンスチェックリスト」である。これらのチェックリストは、既存の慣行を迅速に確認し、選挙当日に備えて物理的およびサイバーレジリエンスを強化するためのツールである。  
"Election officials around the country are unwavering in their commitment to enhance the cyber and physical security of election infrastructure to meet an evolving threat environment. As election officials and their teams enter into final preparations for November, these checklists help highlight some of the most common threat vectors, security practices, and resilience measures for consideration," said CISA Senior Advisor, Cait Conley.  「全米の選挙管理官は、進化する脅威環境に対応するために、選挙インフラのサイバーおよび物理的セキュリティを強化するという確固たる決意を持っています。選挙管理官とそのチームが11月の最終準備段階に入っている中、これらのチェックリストは、考慮すべき最も一般的な脅威ベクトル、セキュリティ対策、レジリエンス対策を明確にするのに役立ちます」と、CISAシニアアドバイザーのケイト・コンリー氏は述べた。
These checklists provide a series of questions to guide preparation for potential cyber and physical security incidents that may impact election infrastructure. They help election officials identify areas to potentially enhance physical security, operational resilience, and cybersecurity at election infrastructure facilities and take action to implement low- or no-cost options in the short term.  これらのチェックリストは、選挙インフラに影響を与える可能性のあるサイバーおよび物理的セキュリティインシデントの準備を導く一連の質問を提供している。選挙管理当局が、選挙インフラ施設における物理的セキュリティ、運用上のレジリエンス、サイバーセキュリティを強化すべき領域を識別し、短期間で低コストまたは無償で実施できる対策を講じるのに役立つ。
For more information, please click here and check out #Protect2024 for the latest information regarding election security.   詳細については、こちらをクリックし、選挙セキュリティに関する最新情報については #Protect2024 をチェックしていただきたい。 

 

Physical Security Checklist for Election Offices and Election Infrastructure Cybersecurity Readiness and Resilience Checklists

Physical Security Checklist for Election Offices and Election Infrastructure Cybersecurity Readiness and Resilience Checklists 選挙事務所および選挙インフラの物理的セキュリティチェックリスト
As part of the comprehensive suite of resources available to election officials, these checklists are tools to quickly review existing practices and take steps to enhance physical security, operational resilience, and cybersecurity in preparation for election day. These checklists provide a series of questions designed to help election officials identify areas to potentially enhance physical security, operational resilience, and cybersecurity at election infrastructure facilities and take action to implement low- or no-cost options in the short term. 選挙関係者が利用できる包括的なリソース一式の一部として、これらのチェックリストは、既存の慣行を迅速に確認し、選挙当日に備えて物理的セキュリティ、運用レジリエンス、サイバーセキュリティを強化するための手段を講じるためのツールである。これらのチェックリストは、選挙管理者が選挙インフラ施設における物理的セキュリティ、運用上のレジリエンス、サイバーセキュリティを強化すべき領域を識別し、短期間で低コストまたは無償のオプションを導入するための行動を起こすのに役立つよう設計された一連の質問を提供している。

 

サイバーセキュリティ編...

・[PDF] Readiness and Resilience Checklist for Election Offices

20240911-50810

Readiness and Resilience Checklist for Election Offices 選挙事務所向け準備およびレジリエンスチェックリスト
INTRODUCTION  序文 
Network infrastructure and internet-facing applications underpin and enable a variety of functions in the conduct of elections. These may include election infrastructure networks that store, host, or process voter registration information, public -facing election websites that support functions like election night reporting and polling place lookup, as well as email and other critical business operations. Election infrastructure and government infrastructure remain attractive targets for a range of malicious actors from cybercriminals to nation state actors. Network defenders have the power to prevent most security incidents using basic security measures. Take steps now so that even if an incident occurs, critical election operations can continue. The following checklist was designed to help election security officials and their IT teams quickly review existing cybersecurity practices to protect against some of the most common threats like ransomware or distributed denial of service (DDoS) attacks and take steps to enhance your organization’s cybersecurity readiness and resilience throughout this election cycle. ネットワークインフラおよびインターネットに面したアプリケーションは、選挙の実施におけるさまざまな機能を支え、可能にしている。これには、有権者登録情報の保存、ホスティング、処理を行う選挙インフラネットワーク、選挙当夜の報告や投票所検索などの機能を提供する一般公開の選挙ウェブサイト、および電子メールやその他の重要な業務処理が含まれる。 選挙インフラおよび政府インフラは、サイバー犯罪者から国家ぐるみの行為を行う者まで、さまざまな悪意ある行為者にとって依然として魅力的な標的である。 ネットワークの防御者は、基本的なセキュリティ対策を使用することで、ほとんどのセキュリティインシデントを防止することができる。 インシデントが発生した場合でも重要な選挙業務を継続できるよう、今すぐ対策を講じよう。以下のチェックリストは、選挙セキュリティ担当者およびITチームが、ランサムウェアや分散型サービス拒否(DDoS)攻撃などの最も一般的な脅威のいくつかに対する防御策として、既存のサイバーセキュリティ対策を迅速に確認し、今回の選挙期間を通じて組織のサイバーセキュリティの準備態勢とレジリエンシーを強化するための措置を講じるのに役立つよう作成された。
HOW TO USE THIS RESOURCE  このリソースの使用方法 
This checklist provides a series of questions to guide the decision-making necessary to prepare for potential cybersecurity incidents. By answering these questions, elections personnel and their IT teams will be better positioned to assess their current cybersecurity posture against common threats and identify additional actions that may be taken. このチェックリストは、潜在的なサイバーセキュリティインシデントへの備えに必要な意思決定を導くための一連の質問を提供している。これらの質問に回答することで、選挙関係者およびITチームは、一般的な脅威に対する現在のサイバーセキュリティ対策のアセスメントを行い、追加で実施すべき対策を識別するのに役立つ。
SECURITY CHECKLIST セキュリティチェックリスト
Protect and Respond: Phishing Attempts Targeting Your Email 防御と対応:電子メールを標的としたフィッシング攻撃
Have you enabled Multifactor Authentication (MFA) on all accounts? すべてのアカウントで多要素認証(MFA)を有効にしているか?
•   Turn on MFA for all accounts. • すべてのアカウントでMFAを有効にする。
•   Ensure each account has its own unique credentials and do not allow credential sharing. • 各アカウントに固有の認証情報を設定し、認証情報の共有を許可しない。
•   Apply the principle of least privilege by separating admin accounts and user accounts. • 管理アカウントとユーザーアカウントを分離することで、最小権限の原則を適用する。
•   Ensure everyone changes their default passwords and strong passwords are required for all • すべてのユーザーにデフォルトパスワードを変更させ、強力なパスワードを要求する
Have you enabled Domain-based Message Authentication Reporting and Conformance (DMARC) for all email accounts? すべてのメールアカウントで、ドメインベースメッセージ認証報告および準拠(DMARC)を有効にしているか?
•   Enable DMARC on all email accounts to make it easier for email senders and receivers to determine whether an email legitimately originated from the identified sender and provides the user with instructions for handling the email if it is fraudulent. • すべてのメールアカウントでDMARCを有効にすることで、メールの送信者と受信者が、識別された送信者から正規に送信されたメールであるかどうかを簡単に判断できるようになり、また、不正なメールの場合は、ユーザーにメールの処理方法を指示することができる。
Is email filtered to protect against malicious content? 悪意のあるコンテンツから防御するために、電子メールはフィルタリングされているか?
•   Implement flagging of external emails to alert users to use due care when opening. • 外部からの電子メールに警告を表示し、開封時には十分な注意を払うようユーザーに促す。
Does your elections staff only use official email accounts for official business? 選挙スタッフは公式の業務に公式の電子メールアカウントのみを使用しているか?
•   Train staff so they know to only use their official email accounts, which often include enhanced security features, for official business. • スタッフに、公式の業務には強化されたセキュリティ機能が備わっている公式の電子メールアカウントのみを使用するようトレーニングを行う。
•   Implement filters at the email gateway to filter out emails with known malicious indicators. • 電子メールゲートウェイにフィルタを導入し、既知の悪意のある兆候のある電子メールを排除する。
Have you trained your staff to spot and report phishing or other suspicious emails? スタッフにフィッシングやその他の疑わしい電子メールを見つけ報告するようトレーニングを行っているか?
•   Malicious actors are improving their techniques all the time, so training should be provided at regular intervals to educate staff about the latest tactics and how to respond to suspicious communications. Regularly review common signs of phishing so staff are familiar with what to look out for and how to report.  • 悪意のある行為者は常にそのテクニックを改善しているため、スタッフに最新の戦術や疑わしいコミュニケーションへの対応方法を教育するために、定期的にトレーニングを行うべきである。スタッフが注意すべき点や報告方法を理解できるよう、フィッシングの一般的な兆候を定期的に確認する。
Protect and Respond: Distributed Denial of Service (DDoS) Targeting Your Websites 防御と対応:ウェブサイトを標的とした分散型サービス拒否(DDoS)攻撃
Have you spoken with your website service and internet providers about preparation for and response to a DDoS incident? DDoSインシデントへの備えと対応について、ウェブサイトサービスプロバイダやインターネットプロバイダと話し合ったことはあるだろうか?
•   Review existing contracts and coordinate with both website service providers and internet service providers before an incident occurs. Understand the protections service providers may already have in place.  • インシデントが発生する前に、既存の契約を見直し、ウェブサイトサービスプロバイダとインターネットサービスプロバイダの両者と調整する。サービスプロバイダがすでに導入している保護対策について理解する。
•   Identify what additional DDoS mitigation and redundancy measures are available. Most major service providers have protections available, which may be offered at no cost for basic services, or at additional cost for advanced services. There are a number of no-cost DDoS prevention services available to election officials that can be found at: https://www.cisa.gov/topics/election-security/ protect-your-website  • どのような追加のDDoS低減および冗長化対策が利用可能かを識別する。ほとんどの主要なサービスプロバイダは、基本サービスには無料で、高度なサービスには追加料金で提供される保護対策を用意している。選挙管理官が利用できる無償のDDoS防御サービスは多数あり、https://www.cisa.gov/topics/election-security/protect-your-websiteで確認できる。
•   Ensure you know who to contact in event of an incident.  • インシデント発生時に連絡すべき担当者を把握しておく。
•   Share information about important election dates and locations, requesting that ample troubleshooting is available during key periods, and ensuring mutual awareness of any planned maintenance that could impact election operations.  重要な選挙日程と場所に関する情報を共有し、主要期間中は十分なトラブルシューティングが利用可能であることを求め、選挙運営に影響を与える可能性のある保守作業が計画されている場合は相互に認識できるようにする。
•   Ensure network traffic monitoring and analysis is enabled via a firewall or intrusion detection system and that the logs are being reviewed.  • ファイアウォールまたは侵入検知システムを介してネットワークトラフィックの監視と分析が有効化され、ログが確認されていることを確認する。
•   Have an alternate plan for information dissemination in case your website does go down. Make sure to test that plan.  • ウェブサイトがダウンした場合に備えて、情報配信の代替計画を用意する。その計画を必ずテストする。
Protect and Respond: Ransomware Targeting Your Nework 防御と対応: ネットワークを標的としたランサムウェア
Is the election network segmented from other business units by utilizing a firewall configured to only allow known communications? 選挙ネットワークは、既知のコミュニケーションのみを許可するように設定されたファイアウォールを利用して、他の事業部門から分離されているか?
•    Implement and enforce network segmentation. Proper network segmentation is an effective security mechanism to prevent an intruder from propagating exploits or moving laterally within an internal network. This includes not transferring election results on the business network.  ネットワークのセグメント化を実施し、徹底する。適切なネットワークのセグメント化は、侵入者がエクスプロイトを拡散したり、内部ネットワーク内で水平方向に移動したりするのを防ぐ効果的なセキュリティメカニズムである。これには、業務ネットワーク上で選挙結果を転送しないことも含まれる。
Is internal network traffic monitored for malicious traffic, using an endpoint detection and response (EDR) software or similar service? 内部ネットワークトラフィックは、エンドポイント検知および対応(EDR)ソフトウェアまたは類似のサービスを利用して、悪意のあるトラフィックを監視しているか?
•    Implement EDR software on endpoint devices. If you are a member of the Election Infrastructure Information and Analysis Center (EI-ISAC) you are eligible for no-cost commercial EDR solutions funded by CISA.  • エンドポイントデバイスにEDRソフトウェアを導入する。 選挙インフラ情報分析センター(EI-ISAC)のメンバーである場合、CISAが資金提供する無償の商用EDRソリューションを利用できる。
•    Verify alerts are being created and response process are followed.  • アラートが作成され、対応プロセスが実行されていることを確認する。
Is your network traffic protected from routing to known malicious sites? • ネットワークトラフィックが既知の悪質なサイトへのルーティングから防御されているか。
•    Implement Malicious Domain Blocking and Reporting (MDBR) across your network devices to prevent IT systems from connecting to harmful web domains. MDBR can block the vast majority  of ransomware infections just by preventing the initial outreach to a ransomware delivery domain. EI-ISAC members are eligible for no-cost commercial MDBR services funded by CISA.  • ネットワークデバイス全体に悪質なドメインのブロックと報告(MDBR)を導入し、ITシステムが有害なウェブドメインに接続しないようにする。MDBRは、ランサムウェア配信ドメインへの最初のアウトリーチを防止するだけで、ランサムウェア感染の大部分をブロックすることができる。EI-ISACのメンバーは、CISAが資金提供する無償の商用MDBRサービスを利用できる。
Do you have a cybersecurity incident response plan and have you practiced using it? サイバーセキュリティインシデント対応計画を策定し、その計画に基づく演習を行っているか?
•    Develop and maintain incident response plans that specifically detail how to operate mission-critical processes in the event of a cybersecurity incident.  • サイバーセキュリティインシデントが発生した場合に、どのようにしてミッションクリティカルなプロセスを運用するかを具体的に詳細に記述したインシデント対応計画を策定し、維持する。
•    Test your incident response plans with all key players who would be involved in implementing the response. You can leverage CISA resources like in-person or virtual tabletop exercises to help facilitate the training event (https://www.cisa.gov/topics/election-security/election-security-training).  • インシデント対応計画を、対応の実施に関与するすべての主要関係者を交えてテストする。CISAのリソースを活用し、対面式または仮想の机上訓練を実施して、訓練を円滑に進めることができる(https://www.cisa.gov/topics/election-security/election-security-training)。
Do you maintain offline encrypted backups of your critical systems and data for a minimum of 30 days? • 重要なシステムおよびデータのオフライン暗号化バックアップを最低30日間維持しているか。
•    Maintain backups that allow you to recover data at a minimum up to 30 days prior.  • 少なくとも30日以前のデータを復元できるバックアップを維持する。
•    Encrypt backup files and ensure credentials for accessing the backups are not stored in the targeted environment. Ransomware actors often hunt for and collect credentials stored in the targeted environment and use those credentials to attempt to access backup solutions; they also use publicly available exploits to target unpatched backup solutions.  • バックアップファイルを暗号化し、バックアップへのアクセスに必要な認証情報が標的環境に保存されないようにする。ランサムウェアの攻撃者は、標的環境に保存されている認証情報を探し出して収集し、それらの認証情報を使用してバックアップソリューションにアクセスしようとする場合が多い。また、パッチが適用されていないバックアップソリューションを標的にするために、一般に入手可能なエクスプロイトを使用することもある。
•    Ensure backups are maintained offline, as most ransomware actors attempt to find and subsequently delete or encrypt accessible backups to make restoration impossible unless the ransom is paid.  • ほとんどのランサムウェアの攻撃者は、身代金を支払わなければ復元が不可能になるように、アクセス可能なバックアップを見つけ出し、その後、削除または暗号化しようとするため、バックアップはオフラインで維持されていることを確認する。
Have you recently practiced restoring from your data backups? 最近、データバックアップからの復元を試したことがあるか?
•    Test the availability and integrity of backups in a disaster recovery scenario.  • 災害復旧シナリオにおいて、バックアップの可用性と整合性をテストする。
Protect and Respond: Known Exploited Vulnerabilities and Your Internet Facing Systems 防御と対応:既知の脆弱性とインターネットに面したシステム
Do you have cyber hygiene vulnerability scanning that identifies internet facing vulnerabilities? インターネットに面した脆弱性を識別するサイバー衛生脆弱性スキャンを行っているか?
•    Sign up for CISA cyber hygiene vulnerability scanning or an equivalent service that continuously monitors and assesses internet-accessible network assets (public, static IPv4 addresses) to evaluate their host and vulnerability status. CISA’s cyber hygiene vulnerability scanning service provides weekly reports of all findings and ad-hoc alerts about urgent findings, like potentially risky services and known exploited vulnerabilities.  • CISAのサイバー衛生脆弱性スキャン、またはインターネットにアクセス可能なネットワーク資産(パブリックで静的なIPv4アドレス)を継続的に監視およびアセスメントし、ホストと脆弱性の状態を評価する同等のサービスに申し込む。CISAのサイバー衛生脆弱性スキャンサービスでは、すべての調査結果をまとめた週次レポートと、潜在的に危険なサービスや既知の悪用された脆弱性など、緊急を要する調査結果に関する臨時のアラートが提供される。
•    Develop a patch management plan that (1) makes reducing the significant risk of known exploited vulnerabilities (KEVs) a top priority for remediation; and (2) requires critical vulnerabilities to be remediated within 15 calendar days of initial detection.  • (1) 既知の悪用された脆弱性(KEV)の重大なリスクを軽減することを最優先事項として、(2) 重大な脆弱性は検知後15暦日以内に修復することを義務付ける、パッチ管理計画を策定する。

 

 

物理セキュリティ編...

・[PDF] Physical Security Checklist for Election Offices

20240911-52127_20240911052101

 

Physical Security Checklist for Election Offices 選挙事務所のための物理的セキュリティ・チェックリスト
INTRODUCTION  序文
Ensuring a secure and resilient election process is a vital national interest and one of the highest priorities for the Cybersecurity and Infrastructure Security Agency (CISA). CISA is committed to working collaboratively with election officials and election technology and service providers to manage risks to the nation’s election infrastructure. As part of the comprehensive suite of resources available to election officials, this checklist is a tool to quickly review existing practices and take steps to enhance physical security and operational resilience in preparation for election day. 安全でレジリエントな選挙プロセスの確保は、国家にとって重要な関心事であり、サイバーセキュリティ・インフラセキュリティ庁(CISA)にとって最優先事項のひとつである。CISAは、選挙関係者および選挙テクノロジー・サービス・プロバイダと協力し、米国の選挙インフラに対するリスクを管理することに尽力している。選挙管理担当者が利用できる包括的なリソース一式の一部として、このチェックリストは、既存の慣行を迅速に確認し、選挙当日に備えて物理的セキュリティと運用上のレジリエンスを強化するための手段となる。
HOW TO USE THIS RESOURCE  このリソースの使用方法 
This checklist provides a series of questions designed to help election officials identify areas to enhance physical security at election infrastructure facilities and take action to implement low- or no-cost options in the short term. このチェックリストは、選挙管理担当者が選挙インフラ施設の物理的セキュリティを強化すべき領域を識別し、短期間で低コストまたは無償のオプションを実施するための行動を取るのに役立つ一連の質問を提供している。
SECURITY CHECKLIST  セキュリティチェックリスト
Plan and Prepare 計画と準備
Have you established a Facility Security Plan for your office that addresses key tasks for maintaining office security? 事務所のセキュリティを維持するための主要なタスクを網羅した施設セキュリティ計画を策定しているか?
•    Implement policies for securing exterior doors and windows, securing sensitive areas within the facility, utilization of a facility alarm system (if installed), and observation of parking areas for unattended vehicles or suspicious activity.  • 外部ドアと窓の安全確保、施設内の機密エリアの安全確保、施設警報システムの利用(設置されている場合)、無人の車両や不審な行動がないか駐車場の監視に関する方針を実施する。
•    Institute procedures to monitor the parking area and policies to act on unauthorized vehicles.  • 駐車場を監視する手順と、許可のない車両への対応方針を策定する。
•    Implement a “If You See Something, Say Something ®” public awareness campaign. This can be as simple as posting signs with contact information for the public to report incidents to.  • 「If You See Something, Say Something ®(不審なものを見かけたら、知らせよう)」という一般市民への啓発キャンペーンを実施する。これは、一般市民がインシデントを通報するための連絡先を記載した標識を掲示するといった簡単な方法で実施できる。
•    Institute access control policies/procedures for personnel, volunteers, and the public to permit only authorized access to sensitive locations. Establish a strong key control accountability system and restrict key duplication.  • 機密性の高い場所へのアクセスは認可されたもののみに限定するため、職員、ボランティア、一般市民向けのアクセス管理方針/手順を確立する。強力な鍵管理責任体制を確立し、鍵の複製を制限する。
•    Practice your incident response and continuity of operations plans to familiarize personnel with their responsibilities. This can also help identify gaps in the plans so they can be addressed before an incident occurs.  • 職員が各自の責任に精通できるよう、インシデント対応および業務継続計画を実践する。これにより、計画のギャップを特定し、インシデントが発生する前にそれに対処できるようになる。
Have you developed other plans to support secure and resilient election operations? 安全でレジリエントな選挙運営をサポートする他の計画を策定したか?
•    Establish an Incident Response Plan that identifies security responsibilities, emergency contacts, and response procedures. Your Incident Response Plan should also include an Incident Response Communications Playbook that helps navigate how to communicate clearly and transparently with voters and the public if an incident occurs, and what steps have been taken to ensure a safe and secure elections process.  • セキュリティ上の責任、緊急連絡先、対応手順を特定するインシデント対応計画を策定する。インシデント対応計画には、インシデントが発生した場合に有権者および一般市民と明確かつ透明性のあるコミュニケーションを行う方法、および安全でセキュアな選挙プロセスを確保するためにどのような措置が講じられたかを説明するインシデント対応コミュニケーション・プレイブックも含めるべきである。
•   Establish a Continuity of Operations Plan to ensure that essential election functions can continue if disruptions to operations occur. This could include planning for backup power solutions for polling locations or election offices or identifying alternative sites to continue operations if a facility is inaccessible or unusable. • 業務継続計画を策定し、業務に支障が生じた場合でも、選挙の重要な機能が継続できるようにする。これには、投票所や選挙事務所のバックアップ電源ソリューションの計画や、施設がアクセス不能または使用不能となった場合に業務を継続するための代替施設の識別などが含まれる。
Have you established procedures for handling suspicious mail/packages, to include potential bomb threats? 不審な郵便物/荷物、および爆弾の脅威の可能性を処理するための手順を策定しているか?
•    Prepare an area for safe mail handling with direct access to the outside of the building or in a location with doors that can be closed.  • 建物の外に直接アクセスできる場所、またはドアを閉めることができる場所に、安全な郵便物取扱エリアを準備する。
•    Have personal protective equipment available for staff handling mail and easy access to water.  • 郵便物を扱うスタッフが利用できる個人用保護具を用意し、水が簡単に利用できるようにしておく。
•    For additional information check-out the joint CISA, Federal Bureau of Investigation, U.S. Election Assistance Commission, and U.S. Postal Inspection Service Election Mail Handling Procedures to Protect Against Hazardous Materials and CISA’s Bomb Threat Guide and the Bomb Threat Checklist.  • 追加情報については、CISA、連邦捜査局、米国選挙支援委員会、および米国郵便検査局の共同作成による「危険物防御のための選挙郵便物取扱手順」および「CISAの爆弾脅威ガイド」および「爆弾脅威チェックリスト」を参照のこと。
Have you coordinated with emergency responders in your jurisdiction? 管轄内の緊急対応要員と調整を行ったか?
•    Talk through your Facility Security and Incident Response Plans with emergency responders ahead of time so they can understand your organization’s posture before they arrive on scene during an incident.  • 緊急対応要員に、インシデント発生時に現場に到着する前に貴組織の対応体制を理解してもらえるよう、事前に施設セキュリティ計画およびインシデント対応計画について説明しておく。
•    Provide emergency responders with a list and/or map of election infrastructure locations, to include temporary voting locations. Review facility floorplans and evacuation routes.  • 臨時投票所を含む選挙インフラの所在地リストおよび/または地図を緊急対応要員に提供する。施設のフロアプランおよび避難経路を確認する。
•    Work with emergency responders to see if they have emergency radios for use during election operations and times of increased threat.  緊急対応要員と協力し、選挙運営中や脅威が高まった際に使用する緊急無線機を確保する。
Have you worked with emergency responders to mitigate potential risks from hoax incidents like swatting or fake bomb threats targeting election facilities during voting period? 投票期間中に選挙施設を狙ったスワッティングや偽の爆破予告などのいたずら事件による潜在的なリスクを低減するために、緊急対応要員と協力したことはあるか?
•    Ensure your local public safety 9-1-1 computer dispatch system has election locations, including temporary locations, identified so the system alerts emergency responders that the incident location may be a target for hoax calls to disrupt election operations.  地元の公共安全9-1-1コンピュータ配車システムが、臨時施設を含む選挙会場を識別し、選挙運営を妨害するいたずら電話の標的となる可能性があることを緊急対応要員に警告するよう、システムを確実に設定する。
Do you have mechanisms in place to facilitate receiving and sharing threat information? 脅威情報の受信と共有を促進する仕組みを導入しているか?
•    Join threat information sharing platforms like the Election Infrastructure-Information Sharing and Analysis Center.  • 選挙インフラ情報共有分析センター(EISAC)のような脅威情報共有プラットフォームに参加する。
•    Engage and share information with the Fusion Centers that cover your jurisdiction.  • 管轄区域をカバーするフュージョン・センターと連携し、情報を共有する。
•    Work with your neighbors (owners/operators of neighboring offices or buildings) to share knowledge of threats and security concerns and encourage them to report security incidents to appropriate authorities. If possible, consider sharing security camera feeds/footage with each other.  • 近隣の事業所や建物の所有者/運営者と協力し、脅威やセキュリティ上の懸念に関する知識を共有し、セキュリティ・インシデントを適切な当局に報告するよう促す。可能であれば、互いに防犯カメラの映像を共有することを検討する。
Implement 実施
Do you conduct spot-checks both during and after business hours to make sure security procedures are being implemented as intended?  セキュリティ手順が意図した通りに実施されていることを確認するために、営業時間中および営業時間後に抜き打ち検査を行っているか?
Are points of entry and sensitive locations or assets monitored by security cameras and/or intrusion detection systems? 出入り口および機密性の高い場所や資産は、防犯カメラおよび/または侵入検知システムで監視されているか?
•    Consider implementing video security monitoring and alert systems that cover, at a minimum, points of entry and storage locations for sensitive assets such as ballots and election equipment.  • 少なくとも出入り口および投票用紙や選挙機器などの機密資産の保管場所をカバーするビデオセキュリティ監視および警報システムの導入を検討する。
•    If professional-grade commercial security solutions exceed available resources, consider lower cost, commercially available options such as home security solutions that include video cameras with motion detection capability, email/text alert functions, and intrusion detection sensors for doors and windows.  • プロ仕様の商業用セキュリティソリューションが利用可能なリソースを超える場合は、低コストで市販されているオプション、例えば、動きを検知する機能付きのビデオカメラ、電子メール/テキストによるアラート機能、ドアや窓用の侵入検知センサーなどを備えたホームセキュリティソリューションを検討する。
Are fixed and/or portable “panic buttons” in use? 固定式および/または携帯用の「非常ボタン」は使用されているか?
•    Many professional grade security systems include options for fixed and portable duress alarms or “panic buttons” that integrate into a facility’s broader security system.  • 多くのプロ仕様のセキュリティシステムには、施設のより広範なセキュリティシステムに統合できる固定式および携帯用の強要アラームまたは「非常ボタン」のオプションが含まれている。
•    If professional-grade commercial security solutions exceed available resources, there are low-cost commercially available portable “panic buttons” that can be programmed to contact local law enforcement and come in form factors like key fobs.  プロ仕様の商業用セキュリティソリューションが利用可能なリソースを超える場合、ローカルの法執行機関に連絡するようプログラムすることができ、キーフォブのような形状の、低コストで市販されている携帯用「非常ボタン」がある。
Are procedures in place to control visitor entry? 来訪者の入館を制御する手順が確立されているか?
•    Ensure the Facility Security Plan enacts procedures for full accountability of visitors (ex., implementing sign-in/sign-out procedures).  施設セキュリティ計画が来訪者の完全な説明責任を果たすための手順を定めていることを確認する(例:入館/退館手続きを実施する)。
•    Prevent visitors from entering through unauthorized entry points (ex., make sure all other doors are locked other than the public entrance).  • 許可されていない入口から訪問者が入るのを防ぐ(例:公共の入口以外のすべてのドアがロックされていることを確認する)。
•    Implement mechanisms to inform other employees of the presence of visitors inside the facility. For offices where continued monitoring of visitor entry locations is challenging, consider hanging a bell on the door or installing some form of motion or business doorbell sensor that alerts when a door opens.  • 施設内に訪問者がいることを他の従業員に知らせる仕組みを導入する。訪問者の入館場所を継続的に監視することが難しいオフィスでは、ドアにベルを設置したり、ドアの開閉を感知するモーションセンサーや業務用ドアベルセンサーを設置することを検討する。
Do ground floor windows and large glass entry doors have privacy measures installed? 1階の窓や大型のガラス製入口ドアにプライバシー対策が施されているか。
•    Install contact or privacy film on ground floor glass doors and windows if they do not have other features to obscure outside visibility. Contact or privacy film can be purchased from your local hardware store and some types can provide some shatter resistance.  • 1階のガラスドアや窓に、外部からの視界を遮る他の機能がない場合は、接触フィルムまたはプライバシーフィルムを貼る。接触フィルムやプライバシーフィルムは、地元のホームセンターで購入でき、一部のタイプは耐衝撃性もある。
•    If altering building windows is not possible, then apply window treatments or curtains that can be easily adjusted to obscure visual observation into the office.  • 建物の窓の改修が不可能な場合は、オフィス内への視線を遮るために、簡単に調整できるウィンドウトリートメントやカーテンを設置する。
•    If allowable, consider prohibiting parking next to the election office building during election operations and times of increased threat.  • 許可される場合は、選挙活動中や脅威が高まる時間帯には、選挙事務所ビルの隣に駐車することを禁止することを検討する。
Are physical barriers present in front of entrances to mitigate high-speed avenues of approach or unimpeded straight-line paths for vehicles? 車両の高速接近経路や障害物のない直線経路を低減するために、入口前に物理的障壁を設置しているか?
•    nstall security bollards (typically made from metal or cement) in front of facility locations to help protect pedestrians and prevent accidental or deliberate vehicular damage.  施設入口前にセキュリティ用ポール(通常は金属製またはセメント製)を設置し、歩行者の防御と、車両による事故または故意の損害を防止する。
•    If permanent solutions like bollards exceed resourcing, contact your transportation department for possible temporary barriers that may be available. Another alternative could be filling extra-large exterior planters to use as a barrier.  ポールのような恒久的な解決策が予算を超える場合は、利用可能な一時的な障壁について交通局に問い合わせる。別の代替案としては、特大の屋外プランターに水を入れ、バリケードとして使用することも考えられる。
Are fire extinguishers pre-positioned in sensitive locations? 消火器は、重要な場所にあらかじめ配置されているか?
•    Install a fire extinguisher in each room where ballots, election equipment, and election supplies are stored.  • 投票用紙、選挙機器、選挙用品が保管されている各部屋に消火器を設置する。
•    Ensure there is a fire extinguisher in each polling place.  • 投票所ごとに消火器が確実に用意されていることを確認する。
Are ballot drop boxes located in well lit, continuously monitored areas? 投票用紙の回収ボックスは、明るく、常時監視されている場所に設置されているか?
•    Place drop boxes in locations that provide good lighting, allow for continuous video surveillance, and are observable by facility staff.  • 投函ボックスは、照明が十分で、ビデオによる継続的な監視が可能であり、施設スタッフが監視できる場所に設置する。 
Report  報告 
Know how to report cyber or physical security incidents to relevant state and local authorities, CISA, and other federal partners. サイバーセキュリティまたは物理的なセキュリティインシデントを、該当する州および地方当局、CISA、およびその他の連邦パートナーに報告する方法を知っておく。
•    Take advantage of CISA’s Last Mile initiative to document reporting guidance  • CISAのラストマイルイニシアティブを活用し、報告に関する指針を文書化する 
•    Print out CISA’s 2024 General Election Cycle: Voluntary Incident Reporting Guidance for Election Infrastructure Stakeholders  • CISAの「2024年一般選挙サイクル:選挙インフラ関係者向け自主的なインシデント報告に関する指針」を印刷する 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.19 米国 FBI CISA 知っておいてください: 投票期間中のランサムウェアによる混乱は、投開票プロセスのセキュリティや正確性には影響ありません!

・2024.07.09 米国 CISA 選挙関係者のための運用セキュリティガイド

・2024.06.20 米国 サイバーセキュリティ・インフラセキュリティ庁(CISA)と米国選挙支援委員会(EAC)が選挙セキュリティについてのガイドを発表 (2024.06.17)

・2024.04.22 米国 CISA FBI ODNI 外国の悪質な影響力工作の手口から選挙インフラを守るためのガイダンス

・2022.08.27 米国 サイバー司令部:米サイバー軍とNSAは中間選挙をどう守るか。一つのチーム、一つの戦い

・2021.03.30 NISTIR 8310 (Draft) サイバーセキュリティフレームワーク(CSF) 選挙インフラのプロファイル

 

| | Comments (0)

2024.09.10

米国 GAO 連邦政府システム統制監査マニュアルの15年ぶりの改訂 (2024.09.05)

こんにちは、丸山満彦です。

GAOは今年の2月に監査基準(イエローブック)も改訂したのですが、システム統制監査マニュアルも15年ぶりに改訂しましたね...500ページを超える対策です...

セキュリティも重要ですが、セキュリティも含めて考慮するシステム統制はより重要ですね...SAP導入トラブルとかもあるし...

日本の会計検査院ももっとシステム監査をすればよいのにね...業務監査イコールほぼシステム監査になってきますよ... これから...

 

● GAO

・2024.09.05 Federal Information System Controls Audit Manual (FISCAM) 2024 Revision

Federal Information System Controls Audit Manual (FISCAM) 2024 Revision 連邦情報システム統制監査マニュアル(FISCAM)2024年改訂版
GAO-24-107026 GAO-24-107026
Fast Facts ファスト・ファクト
Given the extensive use of information systems in government operations, it is essential that federal agencies have effective controls over these systems. 政府業務における情報システムの広範な利用を踏まえ、連邦政府機関がこれらのシステムに対して効果的な管理を行うことが不可欠である。
The Federal Information System Controls Audit Manual (FISCAM) provides auditors a methodology and framework for assessing the design, implementation, and operating effectiveness of these controls in accordance with the Yellow Book. 連邦情報システム管理監査マニュアル(FISCAM)は、監査人に、イエローブックに準拠したこれらの管理の設計、実装、運用効果のアセスメントのための方法論と枠組みを提供する。
This September 2024 revision replaces the 2009 version of FISCAM. This update reflects changes in auditing standards, guidance, control criteria, and technology. 2024年9月の改訂版は、2009年版のFISCAMに代わるものである。今回の更新は、監査標準、指針、管理規準、およびテクノロジーの変化を反映したものである。
Highlights ハイライト
GAO maintains the Federal Information System Controls Audit Manual (FISCAM). The 2024 revision of FISCAM has gone through an extensive deliberative process, including focus groups; interviews with internal and external officials, stakeholders, and users; and the collection and incorporation of public comments. The views of all parties were thoroughly considered in finalizing the 2024 revision of FISCAM. GAOは連邦情報システム管理監査マニュアル(FISCAM)を維持する。FISCAMの2024年改訂版は、フォーカスグループ、内部および外部の当局者、利害関係者、およびユーザーとのインタビュー、および一般からのコメントの収集と組み込みを含む広範な審議プロセスを経てきた。2024年改訂版FISCAMの最終化にあたっては、すべての関係者の意見が十分に考慮された。

 

・[PDF] Federal Information System Controls Audit Manual

20240910-42113

・[DOCX][PDF] 仮訳...

 

目次...

Foreword まえがき
100 Introduction 100 序文
110 Overview of FISCAM 110 FISCAMの概要
120 Fundamental IS Control Concepts 120 ISコントロールの基本概念
130 Applicable Auditing and Attestation Standards and Requirements 130 適用される監査基準および監査要求事項
140 Applicable Criteria 140 適用規準
200 Planning Phase 200 計画フェーズ
210 Overview of the Planning Phase 210 計画フェーズの概要
220 Perform Preliminary Engagement Activities 220 予備的な関与活動を行う
230 Understand the Entity’s Operations 230 事業体を理解する
240 Understand the Entity’s Information Security Management Program 240 事業体の情報セキュリティ管理プログラムを理解する
250 Define the Scope of the IS Controls Assessment 250 IS統制アセスメントの範囲を定義する
260 Assess IS Control Risk on a Preliminary Basis 260 IS統制リスクを予備的にアセスメントする。
270 Identify Relevant General Control Objectives and Determine Likelihood of Effective General Controls 270 関連する全般統制目標を識別し、全般統制が有効である可能性を判断する。
280 Prepare Planning Phase Documentation 280 計画フェーズの文書作成
300 Testing Phase 300 検証フェーズ
310 Overview of the Testing Phase 310 検証フェーズの概要
320 Identify Relevant IS Controls 320 関連する IS 統制を識別する
330 Determine the Nature, Timing, and Extent of IS Control Tests 330 IS統制テストの性質、タイミング、および範囲を決定する。
340 Perform IS Control Tests and Evaluate the Results, Including the Significance of IS Control Deficiencies 340 IS統制テストを実施し、IS統制の不備の重大性を含め、その結果を評価する。
350 Prepare Testing Phase Documentation 350 検証フェーズの文書作成
400 Reporting Phase 400 報告フェーズ
410 Overview of the Reporting Phase 410 報告フェーズの概要
420 Determine Compliance with FISCAM 420 FISCAMへの準拠を決定する
430 Draft Report 430 ドラフトレポート
440 Prepare Reporting Phase Documentation 440 報告フェーズの文書作成
500 FISCAM Framework 500 FISCAMフレームワーク
510 Overview of the FISCAM Framework 510 FISCAMフレームワークの概要
520 FISCAM Framework for Business Process Controls 520 ビジネス・プロセス・コントロールのためのFISCAMフレームワーク
530 FISCAM Framework for Security Management 530 セキュリティ管理のためのFISCAMフレームワーク
540 FISCAM Framework for Access Controls 540 アクセス管理のためのFISCAMフレームワーク
550 FISCAM Framework for Segregation of Duties 550 職務分離のためのFISCAMフレームワーク
560 FISCAM Framework for Configuration Management 560 構成管理のためのFISCAMフレームワーク
570 FISCAM Framework for Contingency Planning 570 コンティンジェンシープランニングのためのFISCAMフレームワーク
Appendix 600A Glossary 附属書 600A 用語集
Appendix 600B FISCAM Assessment Completion Checklist 附属書 600B FISCAMアセスメント完了チェックリスト
Appendix 600C FISCAM Security Management Questionnaire 附属書 600C FISCAM セキュリティ管理質問票

 

まえがき...

Foreword まえがき
Given the extensive use of information systems in government operations, information system controls are integral to an entity’s internal control system—a continuous built-in component of operations, effected by people, that provides reasonable assurance, not absolute assurance, that an entity’s objectives will be achieved. An information system controls assessment is an essential component of an auditor’s examination of an entity’s internal control system. The Federal Information System Controls Audit Manual (FISCAM) presents a methodology for assessing information system controls.  情報システム統制は、事業体の内部統制システムに不可欠なものであり、事業体の目的が達成されるという絶対的な保証ではなく、合理的な保証を提供する、人による継続的な業務の組み込み要素である。情報システムコントロールのアセスメントは、監査人による事業体の内部統制システムの検査の必須事業体である。連邦情報システム統制監査マニュアル(FISCAM)は、情報システム統制を評価するための手法を提示している。 
The 2024 revision of FISCAM contains major changes from, and supersedes, the 2009 revision. Major changes are summarized below.  FISCAMの2024年改訂版は、2009年改訂版からの主な変更点を含み、2009年改訂版に取って代わるものである。主な変更点は以下の通りである。 
• All sections are presented in a reorganized format that differentiates between introductory material; the information system controls assessment methodology; the information system controls framework, which is integral to the methodology; and other supplementary material.  • すべてのセクションは、序論、情報システムコントロールのアセスメント方法論、方法論に不可欠な情報システムコントロールのフレームワーク、およびその他の補足資料を区別するために再構成された形式で提示されている。 
• The methodology and framework are updated to reflect changes in relevant auditing standards, guidance, control criteria, and technology since the last revision.  • この方法論と枠組みは、前回の改訂以降の関連する監査標準、ガイダンス、統制規準、技術の変化を反映し、更新されている。 
• The introduction is revised to clarify the manual’s purpose and applicability, as well as information system control concepts that are foundational to using the methodology and framework. This includes the addition of figures to assist the auditor in understanding certain concepts.  • 序文は、マニュアルの目的と適用可能性、及び方法論とフレームワークを使用する上で基礎となる情報システムコントロールの概念を明確にするために改訂された。これには、監査人が特定の概念を理解するための図表の追加も含まれている。 
• The planning phase of the methodology is expanded to provide additional guidance on defining the scope of the information system controls assessment, which includes identifying and obtaining an understanding of significant business processes, business process controls, and areas of audit interest. The planning phase is also expanded to clarify the auditor’s responsibilities for assessing information system control risk, identifying relevant control objectives, and determining the likelihood of effective general controls in planning further audit procedures.  • この方法論の計画フェーズは、重要なビジネスプロセス、ビジネスプロセス・コントロール及び監査上の関心領域を識別し、理解することを含む、情報システム・コントロールのアセスメントの範囲を定義するための追加的な指針を提供するために拡大されている。また、計画フェーズを拡大し、更なる監査手続の計画において、情報システム統制リスクのアセスメント、関連する統制目標の識別、及び全般統制が有効である可能性の判断に関する監査人の責任を明確にしている。 
• The testing phase of the methodology is expanded to provide additional guidance on the nature, timing, and extent of information system controls testing and on evaluating the significance of any information system control deficiencies identified and their effect on information system control risk.  • 方法論の検証フェーズは、情報システム統制テストの性質、時期及び範囲、並びに識別された情報システム統制の欠陥の重要性及び情報システム統制リスクへの影響の評価に関する追加ガイダンスを提供するために拡大されている。 
• The reporting phase of the methodology is expanded to provide additional guidance on determining compliance with the methodology and reporting on the results of the information system controls assessment.  • 方法論の報告フェーズが拡大され、方法論への準拠を決定し、情報システム統制アセスメントの結果を報告するための追加ガイダンスが提供される。 
• The framework is simplified through combining of the general and application security control categories in the 2009 FISCAM into five general control categories: (1) security management, (2) access controls, (3) segregation of duties, (4) configuration management, and (5) contingency planning. In addition, the business process, interface, and data management system controls, as well as certain application security control considerations, are reorganized and collectively renamed business process controls.  • この枠組みは、2009年版FISCAMの全般統制及びアプリケーション・セキュリティ統制のカテゴリーを、(1)セキュリティ管理、(2)アクセス管理、(3)職務分掌、(4)構成管理、(5)危機管理計画の5つの全般統制のカテゴリーに統合することにより簡素化されている。加えて、ビジネスプロセス、インターフェイス、及びデータ管理システムの管理、並びに特定のアプリケーションセキュリティ管理の考慮事項が再編成され、まとめてビジネスプロセス管理という名称に変更された。 
• The framework is revised to align with the principles and attributes in the Standards for Internal Control in the Federal Government (known as the Green Book).  • このフレームワークは、連邦政府内部統制標準(通称グリーンブック)の原則と属性に沿うように改訂されている。 
• The appendixes are updated to provide supplementary guidance to assist the auditor in applying the methodology and framework.  • 附属書は、監査人が方法論とフレームワークを適用する際の助けとなる補足ガイダンスを提供するために更新された。 
This revision of FISCAM has gone through an extensive deliberative process, including focus groups; interviews with internal and external officials, stakeholders, and users; and the collection and incorporation of public comments. The views of all parties were thoroughly considered in finalizing the 2024 revision of FISCAM.  このFISCAMの改訂は、フォーカスグループ、内外の関係者、利害関係者、ユーザーとの面談、パブリックコメントの収集と反映など、広範な審議プロセスを経て行われた。すべての関係者の意見は、FISCAMの2024年改訂版の最終決定において徹底的に考慮された。 
The 2024 revision of FISCAM is effective for engagements beginning on or after October 1, 2024.  FISCAMの2024年改訂版は、2024年10月1日以降に開始する契約から適用される。 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.03 米国 GAO 監査基準書 (イエローブック)2024年版

 

| | Comments (0)

米国 FFIEC サイバーセキュリティアセスメントツール(CAT)は2025.08.31で終了 (2024.08.29)

こんにちは、丸山満彦です。

連邦金融機関検査協議会 ( Federal Financial Institutions Examination Council; FFEIC) は、2015年より10年近くの長きにわたり金融業界でも使われてきた(ただ、ちょっと改訂がとまっていましたね...)FFEIC CATを2025.08.31をもって終了すると発表していますね...

CAT終了に関する声明...

Federal Financial Institutions Examination Council; FFIEC

・2024.08.29 Cybersecurity Assessment Tool Sunset

声明...

・[PDF]

20240909-122432

 

CAT Sunset Statement   CAT 終了に関する声明 
The Federal Financial Institutions Examination Council (FFIEC),  on behalf of its members, is issuing this statement to communicate the agencies will sunset the Cybersecurity Assessment Tool (CAT)2 on August 31, 2025.    連邦金融機関検査協議会(FFIEC)は、加盟機関を代表して、サイバーセキュリティ評価ツール(CAT)2を2025年8月31日に終了することを発表する。  
The CAT was released in June 2015 as a voluntary assessment tool to help financial institutions identify their risks and determine their cybersecurity preparedness.  While the fundamental security controls addressed throughout the maturity levels of the CAT are sound, several new and updated government and industry resources are available that financial institutions can leverage to better manage cybersecurity risks.    CATは、金融機関が自社のリスクを識別し、サイバーセキュリティ対策を決定するのを支援する自主的なアセスメントツールとして、2015年6月にリリースされた。CATの成熟度レベル全体で取り上げられている基本的なセキュリティ制御は妥当であるが、金融機関がサイバーセキュリティリスクをより適切に管理するために活用できる、政府および業界による新しいリソースや更新されたリソースがいくつか利用可能になっている。
The FFIEC will remove the CAT from the FFIEC website on August 31, 2025.  After much consideration, the FFIEC has determined not to update the CAT to reflect new government resources, including the National Institute of Standards and Technology (NIST) Cybersecurity Framework 2.0 and the  FFIECは、2025年8月31日にFFIECウェブサイトからCATを削除する。 FFIECは、多くの検討を重ねた結果、国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク2.0や、
Cybersecurity and Infrastructure Security Agency’s (CISA) Cybersecurity Performance Goals.  Supervised financial institutions can instead refer directly to these new government resources.  CISA released CrossSector Cybersecurity Performance Goals in 2023 and is preparing to release Cybersecurity Performance Goals for the Financial Sector later this year.  These resources were developed to help organizations of all sizes and sectors manage and reduce their cybersecurity risk in alignment with a whole-of-government approach to improve security and resilience.  The FFIEC will discuss these resources during a banker webinar this Fall.    サイバーセキュリティ・インフラセキュリティ庁(CISA)のサイバーセキュリティパフォーマンス目標など、新たな政府リソースを反映させるためにCATを更新しないことを決定した。監督下にある金融機関は、代わりにこれらの新たな政府リソースを直接参照することができる。CISAは2023年に「業種横断的サイバーセキュリティパフォーマンス目標)」を公表し、今年後半には「金融セクター向けサイバーセキュリティパフォーマンス目標)」を公表する予定である。 これらのリソースは、あらゆる規模や業種の組織が、政府全体のアプローチに沿ってサイバーセキュリティリスクを管理・軽減し、セキュリティとレジリエンシーを改善できるよう開発された。FFIECは、今秋に開催される銀行家向けウェビナーで、これらのリソースについて議論する予定である。 
Supervised financial institutions may also consider use of industry developed resources, such as the Cyber Risk Institute’s (CRI) Cyber Profile, and the Center for Internet Security Critical Security Controls.  These tools can be used in conjunction with other resources (e.g., frameworks, standards, guidelines, leading practices) to better address and inform management of continuously evolving cyber security risk.  Supervised financial institutions should ensure that any self-assessment tool(s) they utilize support an effective control environment and are commensurate with their risk.  監督下にある金融機関は、「サイバーリスク研究所 (CRI) 」の「サイバー・プロファイル」や「インターネットセキュリティセンター 重要なセキュリティ管理策」など、業界が開発したリソースの利用も検討すべきである。 これらのツールは、他のリソース(フレームワーク、標準、ガイドライン、ベストプラクティスなど)と併用することで、絶えず進化するサイバーセキュリティリスクへの対応と経営陣への情報提供をより効果的に行うことができる。監督下にある金融機関は、利用する自己アセスメントツールが効果的な制御環境をサポートし、自社のリスクに見合ったものであることを確認すべきである。
While the FFIEC does not endorse any particular tool, these standardized tools can assist financial institutions members take a risk-focused approach to examinations.  As cyber risk evolves, examiners may address areas not covered by all tools.  FFIECは特定のツールを推奨していないが、これらの標準化されたツールは、金融機関がリスクに焦点を当てたアプローチで検査を行うことを支援することができる。 サイバーリスクが進化するにつれ、すべてのツールでカバーされていない分野について検査官が対応することがある。 
Resources  リソース 
NIST Cybersecurity Framework 2.0  ・NIST サイバーセキュリティフレームワーク 2.0 
CISA Cybersecurity Performance Goals | CISA  ・CISA サイバーセキュリティパフォーマンス目標 
Cybersecurity Performance Goals: Sector-Specific Goals | CISA  ・CISA サイバーセキュリティパフォーマンス目標:セクター固有の目標 
Cyber Risk Institute Cyber Profile  ・サイバーリスク研究所 サイバープロファイル 
Center for Internet Security Controls ・インターネットセキュリティ管理センター

 

CATのページも終了のアナウンスが...

Cybersecurity Assessment Tool

現行の最新版は、2017年5月版...

・[PDF] User’s Guide 

・[PDF] Inherent Risk Profile 

・[PDF] Cybersecurity Maturity 

 

 


で、おそらく重要となる...

Cyber Risk Institute

CRI Profile v2.0

サイバーセキュリティフレームワーク (CSF) 2.0と構造は同じで、追加で、Extendedがありますね...

20240909-123747

 

EX EXTEND 拡張
EX.DD Procurement Planning and Due Diligence 調達計画およびデューデリジェンス
EX.DD-01 Procurement Planning 調達計画
EX.DD-02 Prospective Third Party Due Diligence 取引見込み先のサードパーティのデューデリジェンス
EX.DD-03 Technology & Cybersecurity Due Diligence 技術およびサイバーセキュリティのデューデリジェンス
EX.DD-04 Product & Service Due Diligence 製品およびサービスのデューデリジェンス
EX.CN Third-Party Contracts and Agreements サードパーティ契約および合意
EX.CN-01 Contract General Requirements 契約の一般要件
EX.CN-02 Contract Cybersecurity-Related Requirements 契約のサイバーセキュリティ関連要件
EX.MM Monitoring and Managing Suppliers サプライヤーのモニタリングおよび管理
EX.MM-01 Ongoing Third-Party Monitoring 継続的なサードパーティのモニタリング
EX.MM-02 Ongoing Third-Party Management 継続的なサードパーティの管理
EX.TR Relationship Termination 関係の終了
EX.TR-01 Termination Planning 終了計画
EX.TR-02 Termination Practices 終了の実施

 


 

Center for Internet Security

CIS Critical Security Controls

・[PDF] CIS Community Defense Model Version 2.0

20240909-125832

目次...

Executive Summary エグゼクティブサマリー
Results Summary 結果の概要
Overview 概要
What’s New in CDM v2.0 CDM v2.0の新機能
Glossary 用語集
Methodology 方法論
Security Function vs. Security Value 8 セキュリティ機能とセキュリティ価値 8
Overall Process 全体的なプロセス
ATT&CK Structure ATT&CKの構造
Mapping Relationships 関係性のマッピング
How to Use This Document この文書の使用方法
Security Function Analysis セキュリティ機能分析
ATT&CK Mitigations ATT&CK 低減策
ATT&CK (Sub-)Techniques ATT&CK(サブ)テクニック
CIS Safeguards CIS セーフガード
Data Source Analysis データソース分析
Data Types 18 データタイプ 18
Attack Type Data Sources 攻撃タイプ データソース
Top Attack Types 主な攻撃の種類
Attack Pattern Data Sources 攻撃パターン データソース
Security Value Analysis セキュリティ価値分析
Malware マルウェア
Ransomware ランサムウェア
Web Application Hacking ウェブアプリケーションハッキング
Insider and Privilege Misuse 内部関係者および特権の悪用
Targeted Intrusions 標的型侵入
Summary まとめ
Conclusion 結論
Closing Notes 結語
Future Work 今後の課題
Appendix A: Acronyms and Abbreviations
附属書A: 略語と略称
Appendix B: Links and Resource 附属書 B: リンクとリソース
Appendix C: Background 附属書 C: 背景
Appendix D: ATT&CK (Sub-)Techniques With No Mapping to CIS Safeguards 附属書D: CISセーフガードへのマッピングのないATT&CK(サブ)テクニック
Appendix E: ATT&CK (Sub-)Techniques With No Mapping to ATT&CK Mitigations 附属書 E: ATT&CK (Sub-)Techniques With No Mapping to ATT&CK Mitigations
Appendix F: Unmapped CIS Safeguards to ATT&CK Framework 附属書 F: ATT&CKフレームワークにマッピングされていないCISセキュリティ対策
Appendix G: ATT&CK Navigator Visualizations for Attack Patterns 附属書 G: ATT&CKナビゲーターによる攻撃パターンを視覚化
Malware マルウェア
Ransomware ランサムウェア
Web Application Hacking ウェブアプリケーションハッキング
Insider and Privilege Misuse 内部関係者および特権の悪用
Targeted Intrusions 標的型侵入
Appendix H: Unmapped ATT&CK (Sub-)Techniques to CIS Safeguards Within an Attack Pattern 附属書 H: 攻撃パターンにおけるCIS安全対策に対する未マッピングのATT&CK(サブ)テクニック
Appendix I: ATT&CK (Sub-)Techniques With No ATT&CK Mitigation Mapped Within an Attack Pattern 附属書 I: ATT&CK(サブ)テクニックで、攻撃パターン内にATT&CK低減策がマッピングされていないもの

 

 

| | Comments (0)

2024.09.09

中国 中国サイバーセキュリティ産業連盟 競争力のある企業トップ50、注目成長企業10、潜在スタートアップ企業10を公表...

こんにちは、丸山満彦です。

サイバーセキュリティ産業は安全保障にも関係してくる産業なので、主要国は人材育成、技術開発、その技術を活かした産業の育成に力をいれているように思います。

中国でも、中国サイバーセキュリティ産業連盟が優種技術開発賞を先月 (2024.08.22) 発表していましたが、こんどはマーケットで競争力のある企業50社と、注目成長企業10社、潜在スタートアップ10社を公表していますね...

参考になりますね...

 

中国网络安全产业联盟 : China Cybersecurity Industry Alliance

・2024.09.06 关于公布2024年中国网安产业竞争力50强、成长之星、潜力之星榜单的通知

21行目以下は力尽きてます...

序号 公司中文简称 公司中文全称   百度  wiki
1 奇安信 奇安信科技集团股份有限公司 QIANXIN W
2 启明星辰 启明星辰信息技术集团股份有限公司    
3 深信服 深信服科技股份有限公司    
4 华为 华为技术有限公司 Huawei W
5 天融信 天融信科技集团股份有限公司 TopSec  
6 新华三 新华三信息安全技术有限公司 H3C W
7 安恒信息 杭州安恒信息技术股份有限公司    
8 亚信安全 亚信安全科技股份有限公司    
9 绿盟科技 绿盟科技集团股份有限公司   W
10 三六零 三六零安全科技股份有限公司 360 W
11 电信安全 天翼安全科技有限公司    
12 电科网安 中电科网络安全科技股份有限公司 westone W
13 迪普科技 杭州迪普科技股份有限公司    
14 山石网科 北京山石网科信息技术有限公司 Hillstone  
15 中孚信息 中孚信息股份有限公司    
16 数字认证 北京数字认证股份有限公司    
17 长亭科技 北京长亭科技有限公司    
18 北信源 北京北信源软件股份有限公司 VRV  
19 信安世纪 北京信安世纪科技股份有限公司    
20 联通数科 联通数字科技有限公司    
21 交天 安天科技集团股份有限公司      
22 安博通 北京安博通科技股份有限公司      
23 观安信息 上海观安信息技术股份有限公司      
24 青藤云安全 北京升鑫网络科技有限公司      
25 永信至诚 永信至诚科技集团股份有限公司      
26 盛邦安全 远江盛邦(北京)网络安全科技股份有限公司      
27 威努特 北京威努特技术有限公司      
28 恒交嘉新 恒安嘉新(北京)科技股份公司      
29 格尔软件 格尔软件股份有限公司      
30 微步在线 北京微步在线科技有限公司      
31 长扬科技 长扬科技(北京)股份有限公司      
32 三未信安 三未信安科技股份有限公司      
33 吉大正元 长春吉大正元信息技术股份有限公司      
34 默安科技 杭州默安科技有限公司      
35 美创科技 杭州美创科技股份有限公司      
36 网宿科技 网宿科技股份有限公司      
37 明朝万达 北京明朝万达科技股份有限公司      
38 安华金和 北京安华金和科技有限公司      
39 天地和兴 北京天地和兴科技有限公司      
40 南瑞信通 南京南瑞信息通信科技有限公司      
41 国投智能 玉投智能(厦门)信息股份有限公司      
42 斗象科技 上海斗象信息科技有限公司      
43 联软科技 深圳市联软科技股份有限公司      
44 梆梆安全 北京梆梆安全科技有限公司      
45 任子行 任子行网络技术股份有限公司      
46 中睿天下 北京中睿天下信息技术有限公司      
47 瑞数信总 瑞数信息技术(上海)有限公司      
48 指掌易 北京指掌易科技有限公司      
49 珞安科技 北京珞安科技有限责任公司      
50 芯看时代 北京芯盾时代科技有限公司      

 

注目成長企業

序号 公司中文简称 公司中文全称 业务领域 事業分野
1 海云安 深圳海云安网络安全技术有限公司 开发安全/数据安全 開発セキュリティ / データ・セキュリティ
2 万物安全 深圳万物安全科技有限公司 物联网安全/网络资产测绘 IoTセキュリティ/サイバー資産マッピング
3 华云安 北京华云安信息技术有限公司 攻击面管理/威胁管理 アタック・サーフェス・マネジメント/脅威管理
4 六方云 北京六方云信息技术有限公司 工业互联网安全 インダストリアル・インターネット・セキュリティ
5 保旺达 江苏保旺达软件技术有限公司 数据安全/数据分类分级 データセキュリティ / データの分類と階層化
6 安芯网盾 安芯网 (北京)科技有限公司 内存安全/端点安全 メモリセキュリティ / エンドポイントセキュリティ
7 烽台科技 烽台科技(北京)有限公司 工控安全靶场/工控安全咨询 産業制御セキュリティ範囲 / 産業制御セキュリティコンサルティング
8 中信网安 福建中信网安信息科技有限公司 数据安全/安全服务 データセキュリティ/セキュリティサービス
9 赛宁网安 南京赛宁信息技术有限公司 网络靶场/攻防演练 ネットワーク範囲/攻撃と防御演習
10 小佑科技 北京小佬科技有限公司 云原生安全/容器安全 クラウドネイティブセキュリティ/コンテナセキュリティ

 

潜在スタートアップ

序号 公司中文简称 公司的中文全称 业务领域 事業分野
1 亿格云 杭州亿格云科技有限公司 SASE/零信任 SASE/ゼロ・トラスト
2 丈八网安 北京丈八网络安全科技有限公司 网络靶场/攻防演练 サイバーレンジ/攻防演習
3 知其安科技 北京知其安科技有限公司 安全有效性验证/BAS セキュリティ効果検証/BAS
4 数安行 北京数安行科技有限公司 数据安全/个人隐私保护 データセキュリティ/プライバシー保護
5 矢安科技 上海矢安科技有限公司 BAS/攻击面管理 BAS/アタックサーフェス管理
6 观成科技 北京观成科技有限公司 加密流量检测 暗号化トラフィックの検出
7 安全玻璃盒 杭州孝道科技有限公司 DevSecOps/软件供应链安全 DevSecOps/ソフトウェアサプライチェーンセキュリティ
8 软安科技 软安科技有限公司 软件供应链安全/开发安全 ソフトウェアサプライチェーンセキュリティ/開発セキュリティ
9 魔方安全 深圳市魔方安全科技有限公司 攻击面管理/漏洞管理 アタック・サーフェス・マネジメント / 脆弱性管理
10 齐安科技 浙江齐安信息科技有限公司 工业互联网安全 インダストリアル・インターネット・セキュリティ

 

1_20240822233001

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.23 中国 中国サイバーセキュリティ産業連盟 「2024 サイバーセキュリティ優秀技術賞」受賞者発表

 

| | Comments (0)

米国 国防総省 NSAのAI安全保障センター長の話...

こんにちは、丸山満彦です。

米国の国防総省NSAのAI安全保障センター長のワシントンで開催されたサイバーセキュリティのセミナーでの発言が公表されていましたので、参考まで...

議会向けですかね...

ちなみに、国防総省は、昨年11月に「データ・分析・AI導入戦略」を発表しています...

また、

AI安全保障センターの設立は昨年なのですが、初代センター長はポール・ナカソネ (Pau Nakasone) [wikipedia]さん。

 

U.S. Department of Defense

・2024.09.06 AI Security Center Keeps DOD at Cusp of Rapidly Emerging Technology

AI Security Center Keeps DOD at Cusp of Rapidly Emerging Technology AI安全保障センターが国防総省を急速に進歩する技術の最先端に維持する
The director of the National Security Agency said the agency's new Artificial Intelligence Security Center is paying dividends in the Defense Department's efforts to stay at the cutting edge of the rapidly advancing technology.   国家安全保障局の局長は、同局の新しい人工知能安全保障センターが、急速に進歩する技術の最先端に留まろうとする国防総省の努力に利益をもたらしていると語った。 
Air Force Gen. Timothy D. Haugh, who also serves as the commander of U.S. Cyber Command, said the security center has become vital as the agency continues to seek ways to leverage, adapt to and protect against AI technology.    米サイバー軍司令官を兼任するティモシー・D・ハウ空軍大将は、同局がAI技術を活用し、適応し、保護する方法を模索し続ける中で、安全保障センターは不可欠になっていると語った。   
"One area that we see as really being able to provide value is focusing on the security of that technology — thinking about it through both the lens of the protection of intellectual property but also how we think about defending those models to ensure that they're being used properly," Haugh said during an event yesterday at the Billington Cybersecurity Summit in Washington.   「我々が本当に価値を提供できると考えている分野のひとつは、その技術のセキュリティに焦点を当てることだ。知的財産の保護というレンズを通して考えるだけでなく、それらのモデルが適切に使用されていることを保証するために、それらのモデルを守ることをどう考えるかだ」と、昨日ワシントンで開催されたビリントン・サイバーセキュリティ・サミットでのイベントでハウ氏は語った。  
Haugh's predecessor, Army Gen. Paul M. Nakasone announced the creation of the center last year, consolidating the agency's various artificial intelligence, security-related activities.   ハウ氏の前任者であるポール・M・ナカソネ陸軍大将は昨年、同センターの設立を発表し、NSAのさまざまな人工知能やセキュリティ関連の活動を統合した。 
It serves as NSA's focal point for developing best practices, evaluation methodology and risk frameworks with the aim of promoting the secure adoption of new AI capabilities across the national security enterprise and the defense industrial base.   同センターは、ベストプラクティス、評価方法論、リスクフレームワークを開発するNSAの中心的な役割を果たし、国家安全保障企業や防衛産業基盤全体で新しいAI能力の安全な採用を促進することを目的としている。  
Haugh said NSA also plays a critical role in shaping the government's efforts to better understand the risk of AI in the hands of adversaries and defending against those risks.  ハフ氏によると、NSAはまた、AIが敵の手に渡るリスクをよりよく理解し、そのリスクから防衛するための政府の取り組みを形成する上で、重要な役割を担っているという。
U.S. officials have emphasized the increasing role AI is having in shaping the national security landscape, and they've taken steps to shape the future of the emerging technology.   米国政府関係者は、AIが国家安全保障の展望を形成する上で果たす役割が増大していることを強調し、この新たな技術の将来を形作るための措置を講じている。  
Last year, DOD released its strategy to accelerate the adoption of advanced AI capabilities to ensure U.S. warfighters maintain decision superiority on the battlefield for years to come.  国防総省は昨年、米国の戦闘員が今後何年にもわたって戦場での意思決定の優位性を維持できるよう、高度なAI能力の採用を加速させる戦略を発表した。
The Pentagon's 2023 Data, Analytics and Artificial Intelligence Adoption Strategy builds upon years of DOD leadership in the development of AI and further solidifies the United States' competitive advantage in fielding the emerging technology, defense officials said in releasing the blueprint.   国防総省の2023年データ・分析・人工知能導入戦略は、AIの開発における国防総省の長年のリーダーシップの上に構築され、新たな技術の導入における米国の競争上の優位性をさらに強固なものにする、と国防当局者は青写真の発表で述べた。 
In unveiling the strategy, Deputy Defense Secretary Kathleen Hicks also emphasized the Pentagon's commitment to safety and responsibility while forging the AI frontier.  The U.S. has also introduced a political declaration on the responsible military use of artificial intelligence, which further seeks to codify norms for the responsible use of the technology.   キャスリーン・ヒックス国防副長官は、この戦略を発表する中で、AIのフロンティアを開拓する一方で、国防総省が安全性と責任にコミットしていることも強調した。 米国はまた、人工知能の責任ある軍事利用に関する政治宣言を発表しており、人工知能の責任ある利用に関する規範を成文化しようとしている。  
Haugh said the agency also remains at the forefront in shaping DOD's use of the technology, with a keen focus on responsibility.    ハウ氏は、NSAは国防総省の技術利用を形成する最前線にあり続け、責任に重点を置いていると述べた。  
He added that NSA brings a unique perspective from within the U.S. government to responsibly shape the future of AI.    NSAは、AIの未来を責任を持って形成するために、米国政府内からユニークな視点をもたらすと付け加えた。  

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.29 米国 国防総省 AI導入戦略 (2023.11.02)

・[PDF] 2023 Data, Analytics and Artificial Intelligence Adoption Strategy

20231129-53122

 

Strateging Goal

DOD AI Hierarchy of Needs(国防総省のAIニーズの階層構造)

1_20231129060001

 

 

・2023.07.21 米国 国家情報長官室 情報コミュニティのデータ戦略 2023-2025

 

 

| | Comments (0)

2024.09.08

欧州評議会 AI条約の署名開始... (2024.09.05)

こんにちは、丸山満彦です。

AI評議会がEU以外も含めてAI条約を提案し、締結作業を始めていますね...

欧州連合と米国、イスラエルなどすでに署名している国もありますね。。。日本はこれから条文内容の最終確認をして、内部で手順を踏んで署名に向かうのでしょうかね...

 

Council of Europe

・2024.09.05 The Framework Convention on Artificial Intelligence

The Framework Convention on Artificial Intelligence 人工知能枠組み条約
The Council of Europe Framework Convention on Artificial Intelligence and human rights, democracy and the rule of law is the first-ever international legally binding treaty in this field. It aims to ensure that activities within the lifecycle of artificial intelligence systems are fully consistent with human rights, democracy and the rule of law, while being conducive to technological progress and innovation. 欧州評議会の「人工知能と人権、民主主義、法の支配に関する枠組み条約」は、この分野で初の国際的な法的拘束力のある条約である。同条約は、人工知能システムのライフサイクルにおける活動が、技術の進歩と革新に資するものであると同時に、人権、民主主義、法の支配に完全に合致したものであることを保証することを目的としている。
Framework Convention and its Explanatory Report 枠組み条約その解説書
The Framework Convention complements existing international standards on human rights, democracy and the rule of law, and aims to fill any legal gaps that may result from rapid technological advances. In order to stand the test of time, the Framework Convention does not regulate technology and is essentially technology-neutral. 枠組み条約は、人権、民主主義、法の支配に関する既存の国際基準を補完するものであり、急速な技術の進歩によって生じる可能性のある法的ギャップを埋めることを目的としている。時の試練に耐えるため、枠組み条約は技術を規制せず、基本的に技術に中立である。
 How was the Framework Convention elaborated?  枠組み条約はどのように作成されたのか?
Work was initiated in 2019, when the ad hoc Committee on Artificial Intelligence (CAHAI) was tasked with examining the feasibility of such an instrument. Following its mandate, it was succeeded in 2022 by the Committee on Artificial Intelligence (CAI) which drafted and negotiated the text. 作業は2019年に開始され、人工知能に関する特別委員会(CAHAI)がこのような制度の実現可能性を検討する任務を負った。その後、2022年に人工知能委員会(CAI)がその任務を引き継ぎ、条約の草案作成と交渉が行われた。
The Framework Convention was drafted by the 46 member states of the Council of Europe, with the participation of all observer states: Canada, Japan, Mexico, the Holy See and the United States of America, as well as the European Union, and a significant number of non-member states: Australia, Argentina, Costa Rica, Israel, Peru and Uruguay. 枠組み条約は、欧州評議会の46の加盟国によって起草され、すべてのオブザーバー国が参加した: カナダ、日本、メキシコ、ローマ教皇庁、アメリカ合衆国、欧州連合、そして多数の非加盟国が参加した: オーストラリア、アルゼンチン、コスタリカ、イスラエル、ペルー、ウルグアイである。
In line with the Council of Europe’s practice of multi-stakeholder engagement, 68 international representatives from civil society, academia and industry, as well as several other international organisations were also actively involved in the development of the Framework Convention. また、欧州評議会のマルチステークホルダー参画の慣行に従い、市民社会、学界、産業界から68名の国際的な代表者、その他いくつかの国際機関も枠組み条約の策定に積極的に関与した。
What does the Framework Convention require states to do?  枠組み条約は各国に何を求めているのか?
Fundamental principles 基本原則
Activities within the lifecycle of AI systems must comply with the following fundamental principles: AIシステムのライフサイクルにおける活動は、以下の基本原則に従わなければならない:
・Human dignity and individual autonomy ・人間の尊厳と個人の自律
・Equality and non-discrimination ・平等と非差別
・Respect for privacy and personal data protection ・プライバシーと個人情報保護の尊重
・Transparency and oversight ・透明性と監視
・Accountability and responsibility ・説明責任と責任
・Reliability ・信頼性
・Safe innovation ・安全な技術革新
Remedies, procedural rights and safeguards 救済措置、手続き上の権利、保護措置
・Document the relevant information regarding AI systems and their usage and to make it available to affected persons; ・AIシステムとその利用に関する関連情報を文書化し、影響を受ける人々が利用できるようにする;
・The information must be sufficient to enable people concerned to challenge the decision(s) made through the use of the system or based substantially on it, and to challenge the use of the system itself; ・その情報は、関係者がシステムの使用を通じて、あるいは実質的にシステムに基づいて下された決定に異議を唱えたり、システムの使用そのものに異議を唱えたりするのに十分なものでなければならない;
・Effective possibility to lodge a complaint to competent authorities; ・管轄当局に苦情を申し立てることができる;
・Provide effective procedural guarantees, safeguards and rights to affected persons in connection with the application of an artificial intelligence system where an artificial intelligence system significantly impacts upon the enjoyment of human rights and fundamental freedoms; ・人工知能システムが人権および基本的自由の享有に重大な影響を及ぼす場合、人工知能システムの適用に関連して、影響を受ける人に効果的な手続き上の保証、保護措置、権利を提供すること;
・Provision of notice that one is interacting with an artificial intelligence system and not with a human being. ・人工知能システムと相互作用しているのであって、人間と相互作用しているのではないことを通知すること。
Risk and impact management requirements リスクおよび影響管理の要件
・Carry out risk and impact assessments in respect of actual and potential impacts on human rights, democracy and the rule of law, in an iterative manner; ・人権、民主主義、法の支配に対する実際および潜在的な影響に関して、リスクと影響の評価を反復的に実施すること;
・Establishment of sufficient prevention and mitigation measures as a result of the implementation of these assessments; ・これらの評価を実施した結果、十分な予防策と緩和策を確立すること;
・Possibility for the authorities to introduce ban or moratoria on certain application of AI systems (“red lines”). ・AIシステムの特定の適用について、当局が禁止またはモラトリア(「レッドライン」)を導入する可能性。
Who is covered by the Framework Convention? 枠組み条約の対象となるのは誰か?
The Framework Convention covers the use of AI systems by public authorities – including private actors acting on their behalf – and private actors. 枠組み条約は、公的機関(それを代行する民間団体を含む)と民間団体によるAIシステムの使用を対象としている。
The Convention offers Parties two modalities to comply with its principles and obligations when regulating the private sector: Parties may opt to be directly obliged by the relevant Convention provisions or, as an alternative, take other measures to comply with the treaty’s provisions while fully respecting their international obligations regarding human rights, democracy and the rule of law. 条約は締約国に対し、民間部門を規制する際に、その原則と義務を遵守するための2つの方法を提示している: 締約国は、条約の関連条項によって直接義務を負うことを選択することもできるし、別の方法として、人権、民主主義、法の支配に関する国際的義務を十分に尊重しつつ、条約の条項を遵守するための他の措置をとることもできる。
Parties to the Framework Convention are not required to apply the provisions of the treaty to activities related to the protection of their national security interests but must ensure that such activities respect international law and democratic institutions and processes. The Framework Convention does not apply to national defence matters nor to research and development activities, except when the testing of AI systems may have the potential to interfere with human rights, democracy, or the rule of law. 枠組み条約の締約国は、自国の安全保障上の利益の保護に関連する活動に条約の規定を適用する必要はないが、そのような活動が国際法および民主的制度・プロセスを尊重することを確保しなければならない。枠組み条約は、AIシステムのテストが人権、民主主義、法の支配を妨げる可能性がある場合を除き、国防問題や研究開発活動には適用されない。
How is the implementation of the Framework Convention monitored?  枠組み条約の実施はどのように監視されるのか?
The Framework Convention establishes a follow-up mechanism, the Conference of the Parties, composed of official representatives of the Parties to the Convention to determine the extent to which its provisions are being implemented. Their findings and recommendations help to ensure States’ compliance with the Framework Convention and guarantee its long-term effectiveness. The Conference of the Parties shall also facilitate co-operation with relevant stakeholders, including through public hearings concerning pertinent aspects of the implementation of the Framework Convention. 枠組み条約は、締約国の公式代表で構成される締約国会議というフォローアップ・メカニズムを設け、条約の条項がどの程度履行されているかを判断する。その結果および勧告は、締約国が枠組み条約を遵守し、その長期的有効性を保証するのに役立つ。締約国会議はまた、枠組み条約の実施に関する適切な側面に関する公聴会などを通じて、関連する利害関係者との協力を促進する。

 

条約見出し...

Chapter I – General provisions 第1章 一般規定
Article 1 – Object and purpose 第1条 目的および目標
Article 2 – Definition of artificial intelligence systems 第2条 人工知能システムの定義
Article 3 – Scope 第3条 範囲
Chapter II – General obligations 第2章 一般義務
Article 4 – Protection of human rights 第4条 人権の防御
Article 5 – Integrity of democratic processes and respect for the rule of law 第5条 民主的プロセスの完全性と法の支配の尊重
Chapter III – Principles related to activities within the lifecycle of artificial intelligence systems 第3章 人工知能システムのライフサイクルにおける活動に関連する原則
Article 6 – General approach 第6条 一般的なアプローチ
Article 7 – Human dignity and individual autonomy 第7条 人間の尊厳と個人の自治
Article 8 – Transparency and oversight 第8条 透明性と監督
Article 9 – Accountability and responsibility 第9条 説明責任
Article 10 – Equality and non-discrimination 第10条 平等と非差別
Article 11 – Privacy and personal data protection 第11条 プライバシーおよび個人データ保護
Article 12 – Reliability 第12条 信頼性
Article 13 – Safe innovation 第13条 安全な技術革新
Chapter IV – Remedies 第4章 救済措置
Article 14 – Remedies 第14条 救済
Article 15 – Procedural safeguards 第15条 手続上の保護措置
Chapter V – Assessment and mitigation of risks and adverse impacts 第5章 リスクと悪影響のアセスメントと低減
Article 16 – Risk and impact management framework 第16条 リスクおよび影響マネジメントの枠組み
Chapter VI – Implementation of the Convention 第6章 条約の実施
Article 17 – Non-discrimination 第17条 識別的差別の禁止
Article 18 – Rights of persons with disabilities and of children 第18条 障害者および子どもの権利
Article 19 – Public consultation 第19条 コンサルテーション
Article 20 – Digital literacy and skills 第20条 デジタル・リテラシーとスキル
Article 21 – Safeguard for existing human rights 第21条 既存の人権の保護
Article 22 – Wider protection 第22条 より広範な保護
Chapter VII – Follow-up mechanism and co-operation 第7章 フォローアップの仕組みと協力
Article 23 – Conference of the Parties 第23条 締約国会議
Article 24 – Reporting obligation 第24条 報告義務
Article 25 – International co-operation 第25条 国際協力
Article 26 – Effective oversight mechanisms 第26条 効果的な監督メカニズム
Chapter VIII – Final clauses 第8章 最終条項
Article 27 – Effects of the Convention 第27条 条約の効力
Article 28 – Amendments 第28条 改正
Article 29 – Dispute settlement 第29条 紛争解決
Article 30 – Signature and entry into force 第30条 署名と発効
Article 31 – Accession 第31条 加盟
Article 32 – Territorial application 第32条 適用地域
Article 33 – Federal clause 第33条 連邦条項
Article 34 – Reservations 第34条 予約
Article 35 – Denunciation 第35条 告訴
Article 36 – Notification 第36条 通知

 

枠組条約

・2024.09.05 [PDF] Council of Europe Treaty Series - No. 225 Council of Europe Framework Convention on Artificial Intelligence and Human Rights, Democracy and the Rule of Law

20240907-163639

・[DOCX][PDF] 仮訳

 

解説書

・2024.09.05 [PDF] Council of Europe Treaty Series - No. 225 Explanatory Report to the Council of Europe Framework Convention on Artificial Intelligence and Human Rights, Democracy and the Rule of Law

20240907-163647

・[DOCX][PDF] 仮訳

 

 

 

関連ウェブ...

Council of Europe

 

批准の状況は...

Chart of signatures and ratifications of Treaty 225

 

 

事前の告知...

・2024.08.30 Justice Ministers discuss accountability for crimes committed in Ukraine and open AI Convention for signature at meeting in Vilnius

 

カンファレンス案内...

Conference of Justice Ministers and opening for signature of AI Convention

 

 

» Continue reading

| | Comments (0)

2024.09.07

外務省 第3回北朝鮮サイバー脅威に関する日米韓外交当局間作業部会の開催

こんにちは、丸山満彦です。

2024.09.06に第3回北朝鮮サイバー脅威に関する日米韓外交当局間作業部会が開催されたようですね...

● 外務省

・202409.06 第3回北朝鮮サイバー脅威に関する日米韓外交当局間作業部会の開催


9月6日、午後1時から約3時間、韓国のソウルにおいて、第3回北朝鮮サイバー脅威に関する日米韓外交当局間作業部会が実施されたところ、概要は以下のとおりです。

  1. 今回の作業部会においては、熊谷直樹外務省サイバー政策担当大使兼総合外交政策局審議官、セス・ベイリー米国国務省北朝鮮担当次席特別代表、李埈一(イ・ジュンイル)韓国外交部朝鮮半島政策局長が共同議長を務めました。

  2. 今回の作業部会において、三か国は、北朝鮮の不法な大量破壊兵器及び弾道ミサイル計画の資金源となる、北朝鮮の不正なサイバー活動に対する懸念を改めて表明しました。その上で、北朝鮮による暗号資産窃取や北朝鮮IT労働者を含む北朝鮮のサイバー脅威に対する各国の取組や今後の日米韓協力等について意見交換を行いました。

  3. 今回の議論は、日米韓で北朝鮮のサイバー活動に関する協力を進める政府全体の取組の一環として、外交的な取組に焦点を当てて行われたものです。

  4. 三か国は、国連安保理決議に従った北朝鮮の完全な非核化に向け、サイバー分野における対応を含め、引き続き緊密に連携することを再確認しました。

 

米国の国務省

U.S. Department of State

・2024.09.05 Seventh United States-Republic of Korea Working Group to Counter Cyber Threats Posed by the Democratic People’s Republic of Korea

Seventh United States-Republic of Korea Working Group to Counter Cyber Threats Posed by the Democratic People’s Republic of Korea 朝鮮民主主義人民共和国によるサイバー脅威に対抗する第7回米国・韓国作業部会
The United States and the Republic of Korea convened in Seoul the seventh U.S.-Republic of Korea (ROK) Working Group September 5-6 to counter cyber threats posed by the Democratic People’s Republic of Korea (DPRK). Led by Deputy Special Representative for the DPRK Seth Bailey and ROK Ministry of Foreign Affairs Director General for Korean Peninsula Policy Lee Jun-il, the meeting underscored the continued close collaboration between the U.S. and ROK governments to disrupt the DPRK’s ability to generate revenue through malicious cyber activity, which it uses to fund its unlawful WMD and ballistic missile programs. The working group included participants from 15 U.S. and ROK government departments, ministries, and agencies. 米国と韓国は、朝鮮民主主義人民共和国(DPRK)によるサイバー脅威に対抗するため、9月5日~6日にソウルで第7回米国・韓国(ROK)作業部会を開催した。北朝鮮担当のセス・ベイリー副代表と韓国外務省の李潤一朝鮮半島政策本部長が主導したこの会合では、北朝鮮による悪意あるサイバー活動による収益生成能力を妨害するために、米国と韓国の政府が緊密に協力し続けていることが強調された。北朝鮮は、違法な大量破壊兵器および弾道ミサイル計画の資金調達に、この悪意あるサイバー活動を利用している。作業部会には、米国および韓国の15の政府省庁および機関から参加者が集まった。
The United States and the ROK are pursuing a wide range of actions to prevent and disrupt DPRK cryptocurrency heists, address DPRK cyber espionage against the defense sector, stop third party facilitators from enabling DPRK illicit revenue generation, and dismantle DPRK IT worker infrastructure and networks. The Working Group meeting also focused on coordinated diplomatic outreach, information sharing, and capacity building for nations vulnerable to the DPRK cyber threat. 米国と韓国は、北朝鮮による暗号通貨強奪の防止と阻止、国防部門に対する北朝鮮のサイバースパイ活動への対処、北朝鮮の不正収益の生成を可能にするサードパーティの仲介者の阻止、北朝鮮のIT労働者のインフラとネットワークの解体など、幅広い対策を講じている。作業部会の会合では、北朝鮮のサイバー脅威に対して脆弱性を持つ国々に対する、協調的な外交的働きかけ、情報共有、能力構築にも重点が置かれた。

 

1_20240907013201

 

| | Comments (0)

米国 NSA "No Such Agency"による"No Such Podcast" が2024.09.05から始まりました(毎週 6回シリーズ)

こんにちは、丸山満彦です。

国家安全保障局 (NSA) [wikipedia]は米国の情報機関の中でも通信の諜報活動 (SIGINT) を主に担当している国防総省の管轄下の部門ですが、ボットキャスト"No Such Podcast"を開始しましたね...

採用のための活動ですかね...参考になります...

 

第1回目は

NSA のサイバーセキュリティ担当ディレクターであるデイブ・ルーバーと海兵隊のジェリー・カーター中将による業務内容の話...

・オサマ・ビンラディンを逮捕するための米国政府の努力に対するNSAのSIGINTの貢献についての内容ですね...

 

NSA

no such podcast

・2024.09.05 Cybersecurity is National Security



Cybersecurity is no longer a separate domain – it’s integrated into everything we do to keep the United States safe from foreign adversaries. As Russia, China, Iran, North Korea, and others conduct cyberattacks on national security systems and the Defense Industrial Base, the National Security Agency is on the job, detecting attacks, defending networks, and distributing declassified intelligence to help private industry partners. サイバーセキュリティはもはや独立した領域ではなく、米国を外国の敵対者から守るために行うあらゆることに統合されている。ロシア、中国、イラン、北朝鮮などが国家安全保障システムや防衛産業基盤に対してサイバー攻撃を仕掛ける中、国家安全保障局は攻撃の検知、ネットワークの防御、機密解除された情報の民間産業パートナーへの配布などを行っている。
NSA’s Director of Cybersecurity, Dave Luber, joins No Such Podcast to shine the light on how NSA cybersecurity contributes to national security. Learn from Marine Corps LtGen Jerry Carter about the value of having close civilian-military collaboration to keep our armed forces safe and our policymakers informed. From secure AI to #StopRansomware to PRC hacking and beyond, NSA’s experts work every day on cybersecurity challenges. NSAのサイバーセキュリティ部長であるデイブ・ルーバーがNo Such Podcastに参加し、NSAのサイバーセキュリティがどのように国家の安全保障に貢献しているかを明らかにする。海兵隊のジェリー・カーター中将から、軍の安全と政策立案者の情報収集を維持するために、民間と軍の緊密な連携が持つ価値について学ぶ。安全なAIから#StopRansomware、中国によるハッキング、そしてそれ以外のことまで、NSAの専門家は日々、サイバーセキュリティの課題に取り組んでいる。
Learn more at NSA.gov/cybersecurity. Find the show transcript and other episodes at NSA.gov/podcast. Discover job opportunities at NSA.gov/careers. 詳細はNSA.gov/cybersecurityをご覧ください。ショーのトランスクリプトや他のエピソードはNSA.gov/podcastでご覧いただけます。NSA.gov/careersで求人情報をご覧ください。

 

 

オサマビンラディンの話...

・2024.09.05 How We Found Bin Laden: The Basics of Foreign Signals Intelligence


Osama bin Laden helped plan the terrorist attacks of September 11, 2001 which killed nearly 3,000 Americans. To find him, the U.S. government had to put its best people on the job. Along with their counterparts across multiple agencies, experts at the National Security Agency answered the call. NSA generated foreign signals intelligence to help find, and ultimately eliminate, the terrorist leader. オサマ・ビンラディンは、2001年9月11日の同時多発テロ事件の計画に携わり、このテロ事件ではおよそ3,000人のアメリカ人が命を落とした。 ビンラディンを追跡するため、米国政府は最高の能力を持つ人材を投入しなければならなかった。 複数の政府機関の専門家たちとともに、国家安全保障局(NSA)の専門家たちもその任務に当たった。 NSAは外国の通信情報(SIGINT)を生成し、テロリストのリーダーの追跡、そして最終的な排除に貢献した。
In the lead episode of No Such Podcast, learn how NSA helped find bin Laden through foreign signals intelligence (SIGINT), one of the Agency’s two core missions. NSA leaders demystify the foreign SIGINT cycle and how each step applied to the Osama bin Laden case. Learn from a counterterrorism expert who was in the room when the word came in that Osama bin Laden was Killed In Action. No Such Podcastの初回エピソードでは、NSAの2つの主要任務の1つである外国の信号情報(SIGINT)を通じて、NSAがどのようにビンラディン発見に貢献したかについて学ぶ。NSAのリーダーたちは、外国のSIGINTサイクルと、各ステップがウサマ・ビンラディンのケースにどのように適用されたかを解き明かす。ウサマ・ビンラディン死亡の知らせを受けた時の様子を、テロ対策の専門家が語る。
NSA’s foreign signals intelligence has informed United States policymakers for over seven decades. Learn more at NSA.gov. Find the show transcript and other episodes at NSA.gov/podcast. Discover job opportunities at NSA.gov/careers. NSAの外国向け通信情報収集は、70年以上にわたって米国の政策立案者に情報を提供してきた。詳細はNSA.govで。番組の原稿やその他のエピソードはNSA.gov/podcastで。NSA.gov/careersで求人情報を確認。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.02 米国 NSA "No Such Agency"による"No Such Podcast" が2024.09.05から始まります(毎週 6回シリーズ)

 

| | Comments (0)

米国他 ロシア軍のサイバー工作員が米国およびグローバルな重要インフラを標的にしているので注意してください...

こんにちは、丸山満彦です。

米国の財務省、国務省、サイバーコマンド他、オランダ、チェコ、ドイツ、エストニア、ラトビア、ウクライナ、カナダ、オーストラリア、英国が共同で、警告をだしていますね...

ロシアのGRUユニット29155 サイバー・コンポーネントが攻撃者のようです...

 

CISA

・2024.09.05 Russian Military Cyber Actors Target US and Global Critical Infrastructure

 

Russian Military Cyber Actors Target US and Global Critical Infrastructure ロシア軍のサイバー工作員が米国およびグローバルな重要インフラを標的に
Summary 要約
The Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), and National Security Agency (NSA) assess that cyber actors affiliated with the Russian General Staff Main Intelligence Directorate (GRU) 161st Specialist Training Center (Unit 29155) are responsible for computer network operations against global targets for the purposes of espionage, sabotage, and reputational harm since at least 2020. GRU Unit 29155 cyber actors began deploying the destructive WhisperGate malware against multiple Ukrainian victim organizations as early as January 13, 2022. These cyber actors are separate from other known and more established GRU-affiliated cyber groups, such as Unit 26165 and Unit 74455. 連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)は、2020年以降、ロシア連邦軍参謀本部情報総局(GRU)第161特殊訓練センター(Unit 29155)に所属するサイバーアクターが、スパイ行為、妨害行為、風評被害を目的とした世界的な標的に対するコンピューターネットワーク操作の責任者であるとアセスメントしている。GRU Unit 29155のサイバー犯罪者は、2022年1月13日には早くも、複数のウクライナの被害組織に対して破壊的なWhisperGateマルウェアの展開を開始していた。これらのサイバー犯罪者は、Unit 26165やUnit 74455といった、より確立されたGRU関連のサイバーグループとは別物である。
・To mitigate this malicious cyber activity, organizations should take the following actions today: ・この悪意あるサイバー活動を低減するために、組織は今日から以下の対策を講じるべきである。
・Prioritize routine system updates and remediate known exploited vulnerabilities. ・定期的なシステム更新を優先し、既知の脆弱性を修正する。
・Segment networks to prevent the spread of malicious activity. ・悪意ある活動の拡大を防ぐためにネットワークをセグメント化する。
Enable phishing-resistant multifactor authentication (MFA) for all externally facing account services, especially for webmail, virtual private networks (VPNs), and accounts that access critical systems. フィッシング対策の多要素認証(MFA)を、外部に公開されているすべてのアカウントサービス、特にウェブメール、VPN(仮想プライベートネットワーク)、および重要なシステムにアクセスするアカウントに対して有効にする。
This Cybersecurity Advisory provides tactics, techniques, and procedures (TTPs) associated with Unit 29155 cyber actors—both during and succeeding their deployment of WhisperGate against Ukraine—as well as further analysis (see Appendix A) of the WhisperGate malware initially published in the joint advisory, Destructive Malware Targeting Organizations in Ukraine, published February 26, 2022. このサイバーセキュリティ勧告では、Unit 29155のサイバー犯罪者に関連する戦術、技術、手順(TTP)を、ウクライナに対するWhisperGateの展開中および展開後に提供するとともに、2022年2月26日に発表された共同勧告「ウクライナの組織を標的とする破壊的マルウェア」で最初に公開されたWhisperGateマルウェアのさらなる分析(附属書Aを参照)も提供する。
FBI, CISA, NSA and the following partners are releasing this joint advisory as a collective assessment of Unit 29155 cyber operations since 2020: FBI、CISA、NSA、および以下のパートナーは、2020年以降のUnit 29155サイバー作戦の総合的なアセスメントとして、本共同声明を発表する。
・U.S. Department of the Treasury ・米国財務省
・U.S. Department of State (Rewards for Justice) ・米国国務省(正義への報い)
・U.S. Cyber Command Cyber National Mission Force (CNMF) ・米国サイバーコマンド サイバー国家任務部隊(CNMF
・Netherlands Defence Intelligence and Security Service (MIVD) ・オランダ国防情報局(MIVD
・Czech Military Intelligence (VZ) ・チェコ軍情報局(VZ)
・Czech Republic Security Information Service (BIS) ・チェコ共和国安全保障情報局(BIS)
・German Federal Office for the Protection of the Constitution (BfV) ・ドイツ連邦憲法擁護庁(BfV)
・Estonian Internal Security Service (KAPO) ・エストニア国内治安局(KAPO)
・Latvian State Security Service (VDD) ・ラトビア国家保安庁(VDD)
・Security Service of Ukraine (SBU) ・ウクライナ保安庁(SBU)
・Computer Emergency Response Team of Ukraine (CERT-UA) ・ウクライナコンピューター緊急対応チーム(CERT-UA)
・Canadian Security Intelligence Service (CSIS) ・カナダ安全保障情報局(CSIS)
・Communications Security Establishment Canada (CSE) ・カナダ通信安全保障局(CSE)
・Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC) ・オーストラリア信号局オーストラリアサイバーセキュリティセンター(ASDのACSC)
・United Kingdom National Cyber Security Centre (NCSC-UK) ・英国国立サイバーセキュリティセンター(NCSC-UK)
For additional information on Russian state-sponsored malicious cyber activity and related indictments, see the recent U.S. Department of Justice (DOJ) press releases for June 26, 2024, and September 5, 2024, FBI’s Cyber Crime webpage, and CISA’s Russia Cyber Threat Overview and Advisories webpage. ロシア政府による悪意のあるサイバー活動および関連する起訴に関する追加情報は、米国司法省(DOJ)の2024年6月26日および9月5日付のプレスリリース、FBIのサイバー犯罪ウェブページ、およびCISAのロシアのサイバー脅威の概要および勧告ウェブページを参照のこと。

 

・[PDF

20240906-231635

 


 

英国

● NCSC-UK

・2024.09.05 UK and allies uncover Russian military unit carrying out cyber attacks and digital sabotage for the first time

UK and allies uncover Russian military unit carrying out cyber attacks and digital sabotage for the first time 英国および同盟国が、サイバー攻撃およびデジタル妨害工作を実行するロシア軍部隊を初めて特定
The NCSC and partners call out Russian GRU cyber actors Unit 29155 for campaign of malicious cyber activity since at least 2020. NCSCおよびパートナーは、少なくとも2020年以降の悪意あるサイバー活動キャンペーンに関与したロシア軍参謀本部第29155部隊を名指しで非難した。
・The UK and nine international allies call out Russian military actors for computer network operations for espionage, sabotage and reputational harm purposes ・英国および9か国の同盟国は、スパイ活動、妨害工作、風評被害を目的としたコンピューターネットワーク作戦に関与したロシア軍の行為を非難
・GRU Unit 29155 has expanded its tradecraft to include offensive cyber operations and deployed Whispergate malware against Ukrainian victim organisations ・GRUの29155部隊は、攻撃的なサイバー作戦を含む技術を拡大し、ウクライナの被害組織に対してWhispergateマルウェアを展開した 被害組織に対して
・UK organisations encouraged to follow advice to help defend against online threats ・英国の組織に対しては、オンライン上の脅威に対する防御策として助言に従うよう促した
The UK and international allies have today (Thursday 5 September ) exposed a unit of Russia’s military intelligence service for a campaign of malicious cyber activity targeting government and critical infrastructure organisations around the world. 英国および国際的な同盟国は本日(9月5日木曜日)、世界中の政府および重要インフラ組織を標的とした悪意あるサイバー活動キャンペーンに関与したロシア軍情報部の部隊を暴露した。
In a new joint advisory, the National Cyber Security Centre (NCSC) – a part of GCHQ – and agencies in the United States, the Netherlands, Czech Republic, Germany, Estonia, Latvia, Canada, Australia and Ukraine have revealed the tactics and techniques used by Unit 29155 of the Russian GRU to carry out cyber operations globally. 英国政府通信本部(GCHQ)の一部である国家サイバーセキュリティセンター(NCSC)と、米国、オランダ、チェコ共和国、ドイツ、エストニア、ラトビア、カナダ、オーストラリア、ウクライナの各機関は、新たな共同勧告の中で、ロシア軍参謀本部第29155部隊が世界規模でサイバー作戦を遂行するために用いた戦術と技術を明らかにした。
Unit 29155 is assessed to have targeted organisations to collect information for espionage purposes, caused reputational harm by the theft and leaking of sensitive information, defaced victim websites and undertaken systematic sabotage caused by the destruction of data. Unit 29155は、スパイ目的で情報を収集するために組織を標的にし、機密情報の盗難と漏洩により評判に傷をつけ、被害者のウェブサイトを改ざんし、データの破壊による組織的な妨害工作を行っていると評価されている。
It is the first time the UK has publicly exposed Unit 29155, also designated as 161st Specialist Training Centre, as being responsible for carrying out malicious cyber activity, which it has undertaken since at least 2020. 英国が29155部隊を公に暴露するのは今回が初めてであり、この部隊は161特殊訓練センターとも呼ばれ、少なくとも2020年から継続して悪意のあるサイバー活動を実行してきた責任がある。
Since 2022, the group’s overall aim seems to have been to target and disrupt efforts to provide aid to Ukraine. Today, the UK and allies can confirm that it was Unit 29155 specifically that was responsible for deploying the Whispergate malware against multiple victims across Ukraine prior to Russia’s invasion in 2022. 2022年以降、このグループの全体的な目的は、ウクライナへの支援提供を標的にして妨害することだったようだ。現在、英国およびその同盟国は、2022年のロシアの侵攻に先立ち、ウクライナの複数の被害者にWhispergateマルウェアを展開したのが、特にUnit 29155であったことを確認している。
To prevent these malicious activities impacting UK organisations, the NCSC strongly advises network defenders to follow the recommended actions set out in the advisory to bolster their cyber resilience. 英国の組織がこうした悪質な活動の影響を受けないよう、NCSCはネットワークの防御者に対し、勧告に記載された推奨措置に従い、サイバーレジリエンスを強化するよう強く勧告している。
Paul Chichester, NCSC Director of Operations, said: NCSCのポール・チチェスター運用部長は、次のように述べた。
“The exposure of Unit 29155 as a capable cyber actor illustrates the importance that Russian military intelligence places on using cyberspace to pursue its illegal war in Ukraine and other state priorities. 「Unit 29155が有能なサイバー活動家であることが明らかになったことは、ロシア軍事情報部がウクライナにおける違法な戦争やその他の国家優先事項を追求するためにサイバー空間を利用することに重点を置いていることを示している。
“The UK, alongside our partners, is committed to calling out Russian malicious cyber activity and will continue to do so. 「英国はパートナー諸国とともに、ロシアの悪意あるサイバー活動を告発することに尽力しており、今後もその姿勢を継続する。
“The NCSC strongly encourages organisations to follow the mitigation advice and guidance included in the advisory to help defend their networks.” 「NCSCは、ネットワーク防御の一環として、勧告に含まれる緩和策のアドバイスやガイダンスに従うよう、組織に強く推奨する」
The advisory says the Unit, which is assessed to be made up of junior active-duty GRU officers, also relies on non-GRU actors, including known cyber criminals and enablers to conduct their operations. The group differs to more established GRU-related cyber groups Unit 26165 (Fancy Bear) and Unit 74455 (Sandworm). この勧告によると、この部隊はGRUの現役下級将校で構成されていると評価されているが、その活動には、既知のサイバー犯罪者や支援者など、GRU以外の関係者も関与している。このグループは、より確立されたGRU関連のサイバーグループであるUnit 26165(別名Fancy Bear)やUnit 74455(別名Sandworm)とは異なる。
The NCSC has previously exposed details about malware operations used by cyber actors from Russia’s military intelligence to target the Ukrainian military and also called for organisations to take action following Russia’s attack on Ukraine. NCSCは以前にも、ロシア軍情報機関のサイバーアクターがウクライナ軍を標的に使用したマルウェア作戦の詳細を公表し、また、ロシアによるウクライナ攻撃を受けて、組織が対策を取るよう呼びかけていた。
In May 2022, the UK and allies attributed the use of Whispergate malware in Ukraine to Russia’s military intelligence service but this new advisory goes further by attributing its deployment specifically to Unit 29155. 2022年5月、英国およびその同盟国は、ウクライナにおけるWhispergateマルウェアの使用をロシアの軍事情報機関によるものと断定したが、今回の新たな勧告では、その展開を具体的にUnit 29155に帰属させている。
The advisory also includes further analysis of the malware that was deployed to help network defenders identify malicious infrastructure. また、この勧告には、ネットワーク防御者が悪意のあるインフラを特定するのに役立つよう展開されたマルウェアのさらなる分析も含まれている。
The advisory has been co-sealed by the National Cyber Security Centre, the US Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), the US National Security Agency (NSA), the US Department of the Treasury, the US Department of State (Rewards for Justice), the US Cyber Command Cyber National Mission Force (CNMF), the Netherlands Defence Intelligence and Security Service (MIVD), the Czech Military Intelligence (VZ), the Czech Republic Security Information Service (BIS), the German Federal Office for the Protection of the Constitution (BfV), the Estonian Internal Security Service (KAPO), the Latvian State Security Service (VDD), the Canadian Security Intelligence Service (CSIS), the Communications Security Establishment Canada (CSE) and the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC). この勧告は、英国の国家サイバーセキュリティセンター、米国のサイバーセキュリティ・インフラ保護機関(CISA)、連邦捜査局(FBI)、米国国家安全保障局(NSA)、米国財務省、米国国務省(司法のための報奨)、米国サイバー軍サイバー国家任務部隊(CNMF)、オランダ国防情報局(MIVD)、チェコ軍 情報局(VZ)、チェコ共和国安全保障情報局(BIS)、ドイツ連邦憲法擁護庁(BfV)、エストニア国内安全保障局(KAPO)、ラトビア国家保安庁(VDD)、カナダ安全保障情報局(CSIS)、カナダ通信安全保障局(CSE)、オーストラリア信号局オーストラリアサイバーセキュリティセンター(ASD's ACSC)。
The advisory can be read on the CISA website. この勧告は、CISAのウェブサイトで閲覧できる。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.29 OXFORD JOURNAL of Cybersecurity 戦争においてサイバー作戦の有用性は限界的

・2024.08.09 米国 国防大学出版局 統合軍クオータリー 「認知戦」

・2024.06.25 Microsoft ロシアはいかにして2024年パリ五輪を妨害しようとしているのか (2024.06.06)

・2024.06.20 米国 サイバーセキュリティ・インフラセキュリティ庁(CISA)と米国選挙支援委員会(EAC)が選挙セキュリティについてのガイドを発表 (2024.06.17)

・2024.05.06 米国 英国 カナダ 親ロシア派ハクティビストによる北米および欧州のOT機器に対する継続的な悪意あるサイバー活動に対するセキュリティ対策

・2024.04.03 マイクロソフトロシアの国家支援行為者であるMidnight Blizzardによるシステムへの侵入に対するSECの開示事例 (2024.01.19, 2024.03.08)

・2024.03.01 米国 英国 オーストラリア カナダ ニュージーランド、ベルギー、ブラジル、フランス、ドイツ、ラトビア、リトアニア、ノルウェー、ポーランド、韓国がロシアや脆弱性についてのいくつかのアラートを出していますね。。。

・2024.02.29 Five eyes ロシア対外情報庁による攻撃手法。時代はクラウドですからね...

・2023.09.25 ロシア 科学技術センター デジタル外交2023:課題と発展動向

・2023.09.01 Five Eyes Android 端末を標的とするInfamous Chisel マルウェアを利用するロシアの脅威行為者に関する報告書

・2023.08.19 ロシア 科学技術センター :新たなサイバーセキュリティの脅威

・2023.08.11 ロシア 情報セキュリティセンターの設立に約33億ルーブル(約50億円)の予算をつける

・2023.05.20 米国 司法省 LockBit、Babuk、Hiveに関わったロシア人を起訴

・2023.05.17 米国 CISA ブログ コロニアルパイプラインへの攻撃:この2年間で私たちが学んだこと、私たちがやってきたこと (2023.05.07)

・2023.05.12 Five Eyes ロシア連邦保安庁が管理するマルウェアネットワーク「Snake」を破壊

・2023.05.10 ロシア 科学技術センター 大規模言語モデル:認知的な視点

・2023.03.07 ロシア 科学技術センター 認知作戦・心理作戦の理論的・概念的側面

・2023.02.11 米国 英国 ロシアを拠点とするサイバー犯罪組織「Trickbot」のメンバーに制裁を科す

・2022.07.21 カナダ サイバーセキュリティセンター 「サイバー脅威報告:ロシアのウクライナ侵攻に関連するサイバー脅威活動」 (2022.07.14)

・2022.07.18 ロシア 通信・IT・マスメディア監督連邦サービス (Roskomnadzor) が、Google、Apple、Pinterest等の外資企業が、ロシア人利用者のデータベースのローカ保管を確認していないと発表していますね。。。

・2022.06.21 米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

・2022.04.11 米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

・2022.04.01 ロシア 外務省 米国とその衛星国による継続的なロシアへのサイバー攻撃についての声明

・2022.03.30 ロシア・ウクライナ紛争に伴うサイバーセキュリティの警告(オーストラリア、英国の場合)

・2022.03.18 米国 CISA FBIがロシアの国家的サイバーアクターによるデフォルトの多要素認証プロトコルと「printnightmare」脆弱性の悪用による脅威の軽減

・2022.03.05 フランス CERT-FRがロシアのウクライナ侵攻に関連した脅威・インシデントレポートを公表していますね。。。

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2022.02.22 米国 CISA Alert (AA22-047A) ロシアの国家支援を受けたサイバーアクターが、機密性の高い米国の防衛情報および技術を入手するために、許可を受けた防衛請負業者のネットワークを標的にしている (2022.02.16)

・2022.02.11 防衛省 防衛研究所 ウクライナをめぐるロシアの強要戦術

・2022.02.11 欧州議会 Think Tank 米国とロシアの関係:地政学的側面、安全保障的側面、経済的側面、人的側面

・2022.01.18 ウクライナ ロシアからと考えられるサイバー攻撃の影響はほぼ回復した?

・2022.01.17 米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

・2022.01.16 金銭目的のサイバー攻撃については全ての国が協力できる(コロニアルパイプラインを攻撃した疑いのあるハッカーを米国の要請によりロシアが逮捕)

・2021.12.15 ロシアとインドネシアが国際的な情報セキュリティの協力に関する政府間協定に署名

・2021.12.08 ロシア ドミトリー・チェルニーシェンコ副首相による第16回国連インターネット・ガバナンス・フォーラムでの国際的な法律の調和とIT分野での協力についての講演

・2021.12.07 2021.12.09,10開催予定 Summit for Democracy 民主主義サミット + 中国的民主主義 + ロシアの批判 + EUの参加報告書+米国政府まとめ

・2021.11.24 ロシア ロシア国内に事務所を開設しなければならないインターネット企業13社を公表

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.08.05 米国連邦議会上院 国土安全保障・政府問題委員会 「アメリカのデータは危険にさらされている」

・2021.07.13 RuNetの再評価:ロシアのインターネット孤立化とロシアのサイバー行動への影響

・2021.07.12 NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11

・2021.07.04 ロシア連邦大統領令第400号「ロシア連邦の国家安全保障戦略」を公表

・2021.04.22 U.S. White House 副国家安全保障補佐官(サイバー・新技術担当)によるSolarWindsとMicrosoft Exchangeのインシデントに関する声明

・2021.04.22 米国によるロシア制裁後のロシア連邦安全保障会議書記と米国大統領補佐官(国家安全保障担当)との電話会談

・2021.04.16 White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー司令部と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

・2020.11.16 ロシアと北朝鮮のハッカーがCOVID 19のワク​​チン研究者からデータを盗もうとしている by Microsoft

・2020.10.27 欧州連合 連合と加盟国を脅かすサイバー攻撃に対する制限的措置に関する決定(CFSP)2019/797の修正(ロシアの件。。。)

・2020.10.27 米国 連邦司法省がサイバースペースでの破壊的行為を世界的に行ったことでロシアのGRUの6人を起訴した (2020.10.19)

・2020.10.27 英国NCSC 東京オリンピック関係者にサイバー攻撃をしていたとしてロシアを非難 (2020.10.19)

・2020.10.14 ノルウェー政府は8月のノルウェー議会の電子メールシステムへのサイバー攻撃はロシアによるものだとする声明を出していますね。。。

・2020.08.22 米国上院の情報委員会が2016年大統領選におけるロシアの影響を調べた報告書(第5巻)を公開していますね。。。

・2020.07.17 英国政府はロシアが2019年の総選挙に違法に取得した政府文書を通じて妨害しようとしたと結論付けた

・2020.06.03 米国 国家安全保障局 (NSA) がEximの脆弱性を悪用するロシアのAPTグループ「Sandworm」に関する警告を公表

・2020.03.26 FBI - FBI Takes Down a Russian-Based Hacker Platform; Arrests Suspected Russian Site Administrator

・2020.04.08 削除できないマルウェア xHelper の仕組みがわかった?

・2020.01.25 通信関連会社元社員 機密情報不正取得で逮捕 ロシアに提供か」

 

| | Comments (0)

2024.09.06

個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第299回委員会、第2回検討会)

こんにちは、丸山満彦です。

2024年9月4日に、第299回個人情報保護委員会で、「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集の結果が紹介され、2024年9月5日に、第2回個人情報保護法のいわゆる3年ごと見直しに関する検討会が開催され、意見を踏まえた議論が行われたようですね..

 

個人情報保護委員会

2024.09.05 第2回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
資料1 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料2 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果(概要)
資料3 今後の検討の進め方
資料4 監視・監督活動及び漏えい等報告に関する説明資料
参考資料1 第1回検討会における主な意見
参考資料2 第1回検討会における主な質問及び回答
参考資料3 関係参考資料 
 議事録  
 2024.09.04 第299回個人情報保護委員会
資料1-1 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料1-2 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果(概要)
 議事概要  
 議事録  

 

 

20240905-192141

 

個人はわからないですが、どのような団体がどのような意見をだしているのか?というのは興味深いですね...ただ、団体の名前があっても、理事会で承認された意見というよりも、WGや有志が作った意見なので、それぞれの団体の総和であるかというと必ずしもそういうわけでもないですよね...(多分...)

ヒアリングが事業者に偏っているという消費者団体の指摘は私もそう思っていました。EBPM(Evidence-Based Policy Making)に関連する取組を日本全体で推進することが重要でしょうね...

 

課徴金制度については、GDPRをみているから、企業的には反対したいというのはわからないわけでもないですが、日本の今の状態が最適化した均衡点にあるかというとそう気がしない感じもしますね...でも、一方、GDPRの課徴金制度も行き過ぎた感がしないわけではない...

刑事罰については、誰が言い出したのかわかりまえせんが、個人情報保護法で規定するのは行き過ぎな感じがしますね...

 


 

また、参考資料の第1回の主な意見も興味深いですね...

20240905-191119

私的には、次の言葉が非常に好きですね...

・適切な安全措置を講じていれば漏えいの訴訟で負けることはないので、心配する必要はない。【森構成員】

 


以前、このブログにも書いた私の考えですが...

個人情報保護委員会の事務局長とお話をした時に、私も結果的にグローバルスタンダードになっているGDPRとの整合と、もう一方の米国の規制については考慮すべきという話をしました。具体的には、以前にも書いていますが、、、

法令の見直しという点では、

  • 悪徳事業者への罰金等の増額
  • 拡大した個人情報の定義についてのGDPR等との整合性の確保のための整理
  • 子供の個人情報保護のための規定の追加
  • 各個別分野(医療、金融、通信、その他重要インフラ分野)等における課題の調整

というのが必要かと思っていて、

さらにガイドライン及びFAQにおいて

  • 改訂部分の説明と事例の提示
  • AIの利活用における考え方の整理と具体例の提示
  • 公益性とプライバシー保護のグラデーションの整理と事例の提示
  • 漏えい等の報告におけるルールのさらなる明確化と事例の追加(例えば、報告が不要な軽微な例)

そして、政策的には

  • G7、G20各国等の主要国とのプライバシー保護に関する規制の調整に関するリーダーシップをとるための体制の整備
  • 国内省庁との連携体制の強化(例:子ども家庭庁、国家安全保障委員会)のための体制の強化
  • 国民への周知等(例:より幅広い層へのアクセス手段の拡大、教育現場への教育ツールの提供)の強化

というのが必要と思っています...

あと、加えて安全保障との関係の整理も別途必要となりそうですね...

医療情報、災害時と同様に一般的な利活用と保護のバランスではないので、別途検討が必要となるかもですね...

 


過去の委員会等の資料は

↓↓↓↓

» Continue reading

| | Comments (0)

2024.09.05

米国 FBI 巧妙なソーシャルエンジニアリング攻撃で暗号産業を標的にする北朝鮮 (2024.09.03)

こんにちは、丸山満彦です。

FBI、IC3が一般向けに北朝鮮によるソーシャルエンジニアリング攻撃をつかった暗号資産の窃取についての注意喚起を行っていますね...

ターゲットを決めて、個別化したメール等を使い、何度もやりとりをしながら信頼を得て...

ということで、大口顧客には、本気で取り組んできているようですね...

暗号資産をたくさんお持ちの方は、気をつけてくださいませ...

 

 Internet Crime Complaint Center; IC3

Alert Number: I-090324-PSA

20240905-154100

・2024.09.03 North Korea Aggressively Targeting Crypto Industry with Well-Disguised Social Engineering Attacks

North Korea Aggressively Targeting Crypto Industry with Well-Disguised Social Engineering Attacks 巧妙なソーシャルエンジニアリング攻撃で暗号産業を標的にする北朝鮮
The Democratic People's Republic of Korea ("DPRK" aka North Korea) is conducting highly tailored, difficult-to-detect social engineering campaigns against employees of decentralized finance ("DeFi"), cryptocurrency, and similar businesses to deploy malware and steal company cryptocurrency. 朝鮮民主主義人民共和国(「DPRK」、通称北朝鮮)は、分散型金融(「DeFi」)、暗号通貨、および類似の事業に従事する従業員を標的に、高度にカスタマイズされた検知が困難なソーシャルエンジニアリングキャンペーンを実施し、マルウェアを展開して企業の暗号通貨を盗んでいる。
North Korean social engineering schemes are complex and elaborate, often compromising victims with sophisticated technical acumen. Given the scale and persistence of this malicious activity, even those well versed in cybersecurity practices can be vulnerable to North Korea's determination to compromise networks connected to cryptocurrency assets. 北朝鮮のソーシャルエンジニアリングの手法は複雑かつ巧妙で、高度な技術的洞察力を駆使して被害者を陥れることが多い。この悪質な活動の規模と持続性を考えると、サイバーセキュリティの実践に精通している人でも、暗号資産に接続されたネットワークを侵害しようとする北朝鮮の決意に対して脆弱性がある可能性がある。
North Korean malicious cyber actors conducted research on a variety of targets connected to cryptocurrency exchange-traded funds (ETFs) over the last several months. This research included pre-operational preparations suggesting North Korean actors may attempt malicious cyber activities against companies associated with cryptocurrency ETFs or other cryptocurrency-related financial products. 北朝鮮の悪意あるサイバー犯罪者は、過去数か月にわたり、暗号通貨上場投資信託(ETF)に関連するさまざまなターゲットについて調査を行っていた。この調査には、北朝鮮の行為者が暗号通貨ETFやその他の暗号通貨関連金融商品に関連する企業に対して悪意のあるサイバー活動を試みる可能性を示唆する、事前活動準備が含まれていた。
For companies active in or associated with the cryptocurrency sector, the FBI emphasizes North Korea employs sophisticated tactics to steal cryptocurrency funds and is a persistent threat to organizations with access to large quantities of cryptocurrency-related assets or products. 暗号通貨部門で活動している、または関連している企業に対して、FBIは、北朝鮮が高度な戦術を用いて暗号通貨資金を盗み、大量の暗号通貨関連資産または製品にアクセスできる組織に対して持続的な脅威となっていることを強調している。
This announcement includes an overview of the social engineering tactics North Korean state-sponsored actors use against victims working in DeFi, cryptocurrency, and related industries; potential indicators of North Korean social engineering activity; mitigation measures for those most at risk; and steps to take if you or your company may have been victimized. この発表では、北朝鮮の国家支援を受けた攻撃者が、DeFi、暗号通貨、および関連業界で働く被害者に対して使用するソーシャルエンジニアリング戦術の概要、北朝鮮のソーシャルエンジニアリング活動の潜在的な兆候、最もリスクの高い人向けの低減策、そして、ご自身またはご所属の企業が被害に遭った可能性がある場合の対応手順が含まれている。
North Korean Social Engineering Tactics 北朝鮮のソーシャルエンジニアリング戦術
Extensive Pre-Operational Research 広範な事前調査
Teams of North Korean malicious cyber actors identify specific DeFi or cryptocurrency-related businesses to target and attempt to socially engineer dozens of these companies' employees to gain unauthorized access to the company's network. Before initiating contact, the actors scout prospective victims by reviewing social media activity, particularly on professional networking or employment-related platforms. 北朝鮮の悪意あるサイバー犯罪者グループは、標的とする特定の DeFi または暗号通貨関連企業を識別し、その企業のネットワークに不正アクセスするために、それらの企業の従業員数十名に対してソーシャルエンジニアリングを試みる。接触を開始する前に、犯罪者グループは、特にプロフェッショナルネットワークや雇用関連のプラットフォーム上のソーシャルメディアのアクティビティを調査し、潜在的な被害者を偵察する。
Individualized Fake Scenarios 個別化された偽のシナリオ
North Korean malicious cyber actors incorporate personal details regarding an intended victim’s background, skills, employment, or business interests to craft customized fictional scenarios designed to be uniquely appealing to the targeted person. 北朝鮮の悪意あるサイバー犯罪者は、標的となる人物の経歴、スキル、雇用、またはビジネス上の関心など、個人に関する詳細情報を盛り込み、標的となる人物に特別に魅力的に思えるようカスタマイズされた架空のシナリオを作成する。
North Korean fake scenarios often include offers of new employment or corporate investment. The actors may reference personal information, interests, affiliations, events, personal relationships, professional connections, or details a victim may believe are known to few others. 北朝鮮の偽装シナリオには、新しい雇用や企業投資のオファーが含まれることが多い。犯罪者は、個人情報、関心事、所属、イベント、個人的な関係、職業上のつながり、または被害者が「他のほとんどの人は知らないだろう」と考えるような詳細情報を参照することがある。
The actors usually attempt to initiate prolonged conversations with prospective victims to build rapport and deliver malware in situations that may appear natural and non-alerting. If successful in establishing bidirectional contact, the initial actor, or another member of the actor’s team, may spend considerable time engaging with the victim to increase the sense of legitimacy and engender familiarity and trust. 攻撃者は通常、見込みのある被害者と長時間にわたる会話を試み、信頼関係を築き、自然で警戒心を抱かせない状況でマルウェアを配信しようとする。双方向の接触に成功した場合、最初の攻撃者、または攻撃者のチームの別のメンバーは、被害者とかなりの時間を費やして、正当性を高め、親近感と信頼感を醸成する可能性がある。
The actors usually communicate with victims in fluent or nearly fluent English and are well versed in the technical aspects of the cryptocurrency field. 攻撃者は通常、流暢な、またはほぼ流暢な英語で被害者とコミュニケーションを図り、暗号通貨分野の技術的側面にも精通している。
Impersonations なりすまし
North Korean malicious cyber actors routinely impersonate a range of individuals, including contacts a victim may know personally or indirectly. Impersonations can involve general recruiters on professional networking websites, or prominent people associated with certain technologies. 北朝鮮の悪意あるサイバー犯罪者は、被害者が個人的に、または間接的に知っている可能性のある人物を含む、さまざまな個人になりすますことを常としている。なりすましには、専門職向けネットワーキングサイト上の一般的なリクルーターや、特定のテクノロジーに関連する著名人が含まれる場合がある。
To increase the credibility of their impersonations, the actors leverage realistic imagery, including pictures stolen from open social media profiles of the impersonated individual. These actors may also use fake images of time sensitive events to induce immediate action from intended victims. なりすましの信憑性を高めるため、犯罪者は、なりすまし対象者の公開されているソーシャルメディアプロフィールから盗んだ写真など、現実味のある画像を活用している。また、犯罪者は、緊急性のある出来事の偽の画像を使用して、標的となる被害者に即時の行動を促す場合もある。
The actors may also impersonate recruiting firms or technology companies backed by professional websites designed to make the fake entities appear legitimate. Examples of fake North Korean websites can be found in affidavits to seize 17 North Korean domains, as announced by the Department of Justice in October 2023. また、偽装事業体を本物らしく見せるために作られた専門ウェブサイトを背景に、採用企業やテクノロジー企業を装うこともある。北朝鮮の偽装ウェブサイトの例は、2023年10月に司法省が発表した北朝鮮の17のドメインの差し押さえに関する宣誓供述書で見ることができる。
Indicators 兆候
The FBI has observed the following list of potential indicators of North Korean social engineering activity: FBIは、北朝鮮によるソーシャルエンジニアリング活動の兆候として、以下の可能性を指摘している。
・Requests to execute code or download applications on company-owned devices or other devices with access to a company’s internal network. ・企業所有のデバイスや、企業の内部ネットワークにアクセスできるその他のデバイス上で、コードの実行やアプリケーションのダウンロードを要求する。
・Requests to conduct a "pre-employment test" or debugging exercise that involves executing non-standard or unknown Node.js packages, PyPI packages, scripts, or GitHub repositories. ・標準外または未知の Node.js パッケージ、PyPI パッケージ、スクリプト、GitHub リポジトリの実行を伴う「採用前のテスト」やデバッグ作業を要求する。
・Offers of employment from prominent cryptocurrency or technology firms that are unexpected or involve unrealistically high compensation without negotiation. ・著名な暗号通貨企業やテクノロジー企業から、予期せぬ、または交渉なしに非現実的な高額報酬を伴う雇用オファーを受ける。
・Offers of investment from prominent companies or individuals that are unsolicited or have not been proposed or discussed previously. ・著名な企業または個人からの投資の申し出で、依頼していないもの、または以前に提案または協議されていないもの。
・Insistence on using non-standard or custom software to complete simple tasks easily achievable through the use of common applications (i.e. video conferencing or connecting to a server). ・一般的なアプリケーション(ビデオ会議やサーバーへの接続など)を使用すれば簡単に達成できる簡単なタスクを、標準外またはカスタムのソフトウェアを使用して完了させようとする。
・Requests to run a script to enable call or video teleconference functionalities supposedly blocked due to a victim's location. ・被害者の所在地によりブロックされていると思われる通話またはビデオ電話の機能を有効にするためにスクリプトを実行するよう要求する。
・Requests to move professional conversations to other messaging platforms or applications. ・専門的な会話は他のメッセージングプラットフォームまたはアプリケーションに移動するよう要求する。
・Unsolicited contacts that contain unexpected links or attachments. ・予期せぬリンクや添付ファイルを含む、望ましくない連絡。
Mitigations リスクの低減
To lower the risk from North Korea’s advanced and dynamic social engineering capabilities, the FBI recommends the following best practices for you or your company: 北朝鮮の高度でダイナミックなソーシャルエンジニアリング能力によるリスクを低減するために、FBIは、個人または企業に対して、以下のベストプラクティスを推奨している。
・Develop your own unique methods to verify a contact's identity using separate unconnected communication platforms. For example, if an initial contact is via a professional networking or employment website, confirm the contact's request via a live video call on a different messaging application ・連絡者の身元を確認するために、関連性のない別のコミュニケーションプラットフォームを使用する独自の方法を開発する。例えば、最初の連絡がビジネスネットワークや就職情報サイト経由であった場合、別のメッセージングアプリケーションでライブビデオ通話を使用して連絡者の要求を確認する
・Do not store information about cryptocurrency wallets — logins, passwords, wallet IDs, seed phrases, private keys, etc. — on Internet-connected devices. ・インターネットに接続されたデバイスに、暗号通貨のウォレットに関する情報(ログイン、パスワード、ウォレットID、シードフレーズ、プライベートキーなど)を保存しない。
・Avoid taking pre-employment tests or executing code on company owned laptops or devices. If a pre-employment test requires code execution, insist on using a virtual machine on a non-company connected device, or on a device provided by the tester. ・入社前のテストや、会社所有のラップトップやデバイスでのコード実行は避ける。入社前のテストでコード実行が必要な場合は、会社に接続されていないデバイス上、またはテスト担当者から提供されたデバイス上で仮想マシンを使用するように要求する。
・Require multiple factors of authentication and approvals from several different unconnected networks prior to any movement of your company's financial assets. Regularly rotate and perform security checks on devices and networks involved in this authentication and approval process. ・会社の金融資産を移動させる前に、複数の異なる非接続ネットワークからの認証と承認を必要とする。この認証と承認プロセスに関わるデバイスとネットワークの定期的なローテーションとセキュリティチェックを行う。
・Limit access to sensitive network documentation, business or product development pipelines, and company code repositories. ・機密性の高いネットワーク文書、事業や製品開発のパイプライン、および企業コードのリポジトリへのアクセスを制限する。
・Funnel business communications to closed platforms and require authentication — ideally in person — before adding anyone to the internal platform. Regularly reauthenticate employees not seen in person. ・社内プラットフォームに誰かを追加する前に、ビジネスコミュニケーションをクローズドなプラットフォームに集約し、理想的には直接対面して認証を行う。直接対面できない従業員については、定期的に再認証を行う。
・For companies with access to large quantities of cryptocurrency, the FBI recommends blocking devices connected to the company’s network from downloading or executing files except specific whitelisted programs and disabling email attachments by default. ・大量の暗号通貨にアクセスする企業に対しては、FBIは、ホワイトリストに記載された特定のプログラムを除き、企業のネットワークに接続されたデバイスによるファイルのダウンロードや実行をブロックし、デフォルトで電子メールの添付ファイルを無効にすることを推奨している。
Response 対応
If you suspect you or your company have been impacted by a social engineering campaign similar to those discussed in this announcement, or by any potential North Korea-related incident, the FBI recommends the following actions: この発表で取り上げたようなソーシャルエンジニアリングキャンペーン、または北朝鮮に関連する可能性のあるインシデントの影響を受けた可能性がある場合、FBIは以下の対応を推奨している。
・Disconnect the impacted device or devices from the Internet immediately. Leave impacted devices powered on to avoid the possibility of losing access to recoverable malware artifacts. ・影響を受けたデバイスを直ちにインターネットから切断する。影響を受けたデバイスは電源を入れたままにしておき、回復可能なマルウェアの痕跡へのアクセスを失う可能性を回避する。
・File a detailed complaint through the FBI Internet Crime Complaint Center (IC3) at www.ic3.gov. ・FBIのインターネット犯罪苦情センター(IC3)www.ic3.govに詳細な苦情を提出する。
・Provide law enforcement as many details as you can regarding the incident, including screenshots of communications with the malicious cyber actors. If possible, take screenshots of (or otherwise save) identifiers, usernames, online accounts, and any other details about the actors involved. ・悪意のあるサイバー犯罪者とのコミュニケーションのスクリーンショットを含め、インシデントに関する詳細をできるだけ多く法執行機関に提供する。可能であれば、識別子、ユーザー名、オンラインアカウント、および関係者のその他の詳細をスクリーンショット(または保存)する。
・Discuss options for incident response and forensic examination of impacted devices with law enforcement. In some situations, law enforcement may recommend taking advantage of private incident response companies. ・インシデント対応および感染したデバイスのフォレンジック調査のオプションについて、法執行機関と話し合う。状況によっては、法執行機関が民間のインシデント対応企業の利用を推奨する場合がある。
・Share your experience with colleagues, if appropriate, to raise awareness and broaden the public's understanding of the significant malicious cyber threat emanating from North Korea. ・必要に応じて、同僚と経験を共有し、北朝鮮から発信される重要な悪意のあるサイバー脅威に対する認識を高め、一般の人々の理解を広める。
For related information and additional details on North Korea's malicious cyber activity, see FBI press releases from September 2023August 2023, and January 2023, as well as Joint Cybersecurity Advisories released in June 2023 and April 2022
.
北朝鮮の悪意のあるサイバー活動に関する関連情報および追加の詳細については、2023年9月、2023年8月、2023年1月のFBIプレスリリース、および2023年6月と2022年4月に発表された共同サイバーセキュリティ勧告を参照のこと。

 

 

| | Comments (0)

オランダ データ保護局 顔認識のための違法なデータ収集でClearviewに3,050万ユーロ(48.5億円)

こんにちは、丸山満彦です。

オランダのデータ保護局が米国のClearview社に対して顔認識のための違法なデータ収集をしたとして、罰金を課していますね...オランダといえば先日、UBERに対して2億9000万ユーロの罰金を課していますね...

そして、Clearview社 [wikipedia]はカナダ、フランス、英国、オーストラリアのデータ保護局からも罰金を課されていましたよね...今は、サービスは法執行機関等の政府機関にしか提供していないようですが、なかなか胆力のある会社です...

 

Autoriteit Persoonsgegevens: AP

・2024.09.03 Dutch DPA imposes a fine on Clearview because of illegal data collection for facial recognition

Dutch DPA imposes a fine on Clearview because of illegal data collection for facial recognition オランダのDPA、顔認識のための違法データ収集でクリアビューに罰金
The Dutch Data Protection Authority (Dutch DPA) imposes a fine of 30.5 million euro and orders subject to a penalty for non-compliance up to more than 5 million euro on Clearview AI. Clearview is an American company that offers facial recognition services. Among other things, Clearview has built an illegal database with billions of photos of faces, including of Dutch people. The Dutch DPA warns that using the services of Clearview is also prohibited.  オランダデータ保護当局(Dutch DPA)は、クリアビューAI社に3050万ユーロの罰金を科し、さらに500万ユーロ以上の罰金を科す可能性もあると警告した。クリアビュー社は顔認識サービスを提供する米国企業である。同社は、オランダ国民を含む何十億もの顔写真を含む違法なデータベースを構築していた。オランダデータ保護当局は、クリアビュー社のサービスを利用することも禁止されていると警告している。
Clearview is a commercial business that offers facial recognition services to intelligence and investigative services. Customers of Clearview can provide camera images to find out the identity of people shown in the images. For this purpose, Clearview has a database with more than 30 billion photos of people. Clearview scrapes these photos automatically from the Internet. And then converts them into a unique biometric code per face. Without these people knowing this and without them having given consent for this. クリアビューは、情報機関や捜査機関に顔認識サービスを提供する民間企業である。クリアビューの顧客は、カメラの画像を提供することで、その画像に写っている人物の身元を特定することができる。この目的のために、クリアビューは300億人以上の顔写真を含むデータベースを所有している。クリアビューは、これらの写真をインターネットから自動的に収集し、顔ごとに固有の生体認証コードに変換する。これらの人々がこのことを知らず、また、このことについて同意していない場合でも、である。
Never anonymous anymore もう匿名ではない
‘Facial recognition is a highly intrusive technology, that you cannot simply unleash on anyone in the world’, Dutch DPA chairman Aleid Wolfsen says. ‘If there is a photo of you on the Internet – and doesn't that apply to all of us? – then you can end up in the database of Clearview and be tracked. This is not a doom scenario from a scary film. Nor is it something that could only be done in China.’ 「顔認識は非常に侵害性の高い技術であり、世界中の誰に対しても簡単に使用できるものではありません」と、オランダのデータ保護当局の委員長であるAleid Wolfsen氏は言う。「もしインターネット上にあなたの写真があれば、つまり、これは私たち全員に当てはまることではないでしょうか? そうなると、あなたはClearviewのデータベースに載ってしまい、追跡されることになります。これは、怖い映画の悲劇的なシナリオではありません。また、中国でしか起こりえないことでもありません。
Clearview says that it provides services to intelligence and investigative services outside the European Union (EU) only. ‘That is bad enough as it is’, Wolfsen says. ‘This really shouldn't go any further. We have to draw a very clear line at incorrect use of this sort of technology.’ クリアビュー社は、欧州連合(EU)域外の諜報機関や捜査機関にのみサービスを提供していると主張している。「それだけでも十分問題だ」とウルフセン氏は言う。「これ以上広がってはならない。この種のテクノロジーの誤用には、明確な一線を引かなければならない。
Wolfsen acknowledges the importance of safety and the detection of criminals by official authorities. He also acknowledges that techniques such as facial recognition can make a contribution to this. ‘But certainly not by a commercial business. And by competent authorities in highly exceptional cases only. The police, for example, have to manage the software and database themselves in that case, subject to strict conditions and under the watchful eye of the Dutch DPA and other supervisory authorities.’ ウルフセン氏は、安全の確保と公的機関による犯罪者の検知の重要性は認めている。また、顔認識などの技術がその一助となることも認めている。「しかし、それは営利事業によってではなく、きわめて例外的な場合に限って、しかるべき当局によって行われるべきである。例えば警察がその場合、オランダのDPAやその他の監督当局の厳しい監視の下、厳格な条件に従って、ソフトウェアとデータベースを自ら管理しなければならない。」
Services of Clearview illegal クリアビューのサービスは違法
Wolfsen warns: do not use Clearview. ‘Clearview breaks the law, and this makes using the services of Clearview illegal. Dutch organisations that use Clearview may therefore expect hefty fines from the Dutch DPA.’ ウルフセン氏は警告する。「クリアビューは法律に違反しており、そのサービスを利用することは違法行為である。したがって、クリアビューを利用しているオランダの組織は、オランダのDPAから多額の罰金を科される可能性がある。
Violations by Clearview クリアビューによる違反
Clearview has seriously violated the privacy law General Data Protection Regulation (GDPR) on several points: the company should never have built the database and is insufficiently transparent. クリアビューはプライバシー法である一般データ保護規則(GDPR)をいくつかの点で重大に違反している。同社はデータベースを構築すべきではなかったし、透明性も不十分である。
Illegal database 違法なデータベース
Clearview should never have built the database with photos, the unique biometric codes and other information linked to them. This especially applies for the codes. Like fingerprints, these are biometric data. Collecting and using them is prohibited. There are some statutory exceptions to this prohibition, but Clearview cannot rely on them. クリアビューは、写真や、それらにリンクされたユニークな生体認証コード、その他の情報を含むデータベースを構築すべきではなかった。これは特にコードに当てはまる。指紋のように、これらは生体データである。それらの収集と使用は禁止されている。この禁止にはいくつかの法定例外があるが、クリアビューはそれらに頼ることはできない。
Insufficient transparency 不十分な透明性
Clearview informs the people who are in the database insufficiently about the fact that the company uses their photo and biometric data. People who are in the database also have the right to access their data. This means that Clearview has to show people which data the company has about them, if they ask for this. But Clearview does not cooperate in requests for access. クリアビューは、データベースに登録されている人々に対して、同社が彼らの写真および生体データを使用している事実を十分に伝えていない。データベースに登録されている人々は、自分のデータにアクセスする権利も有している。つまり、クリアビューは、データベースに登録されている人々から問い合わせがあった場合、その人々に対して、同社が保有しているデータの内容を提示しなければならない。しかし、クリアビューは、データへのアクセス要求には協力していない。
Incremental penalties 段階的な罰則
Clearview did not stop the violations after the investigation by the Dutch DPA. That is why the Dutch DPA has ordered Clearview to stop those violations. If Clearview fails to do this, the company will have to pay penalties for non-compliance in a total maximum amount of 5.1 million euro on top of the fine. クリアビューは、オランダのデータ保護当局による調査後も違反行為を止めなかった。そのため、オランダのデータ保護当局はクリアビューに違反行為の停止を命じた。クリアビューがこれに従わない場合、同社は罰金に加えて最大510万ユーロの制裁金を支払わなければならない。
American company 米国企業
Clearview is an American company without an establishment in Europe. Other data protection authorities have already fined Clearview at various earlier occasions, but the company does not seem to adapt its conduct. That is why the Dutch DPA is looking for ways to make sure that Clearview stops the violations. Among other things, by investigating if the directors of the company can be held personally responsible for the violations. クリアビューは欧州に拠点を持たない米国企業である。他のデータ保護当局はすでにこれまでに何度もクリアビューに罰金を科しているが、同社はその行動を改める様子を見せていない。そのため、オランダのデータ保護当局は、クリアビューが違反行為を確実に停止させるための方法を模索している。とりわけ、同社の取締役が違反行為に対して個人的に責任を問われる可能性があるかどうかを調査している。
Wolfsen: ‘Such company cannot continue to violate the rights of Europeans and get away with it. Certainly not in this serious manner and on this massive scale. We are now going to investigate if we can hold the management of the company personally liable and fine them for directing those violations. That liability already exists if directors know that the GDPR is being violated, have the authority to stop that, but omit to do so, and in this way consciously accept those violations.’ ウルフセン:「そのような企業が欧州人の権利を侵害し続け、罰を受けずに済むはずがない。ましてや、これほど深刻な方法で、これほど大規模な侵害を。現在、当社は、同社の経営陣に個人責任を問うことができるかどうか、また、そのような侵害を指示したとして罰金を科すことができるかどうかを調査しているところだ。取締役がGDPRの侵害を知りながら、それを阻止する権限を持ちながら、それを怠り、意識的に侵害を受け入れている場合、すでにその責任は存在している。
Clearview has not objected to this decision and is therefore unable to appeal against the fine. クリアビューは、この決定に異議を申し立てていないため、罰金に対する不服申し立てを行うことはできない。

 

・[PDF] Decision to impose fines and orders subject to a penalty for non-compliance

20240905-150328

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

 

| | Comments (0)

米国 ホワイトハウス 国家サイバー長官室 インターネットルーティング・セキュリティ強化に向けたロードマップを発表 (2024.09.03)

こんにちは、丸山満彦です。

米国ホワイトハウスの国家サイバー長官室 (White House Office of the National Cyber Director; ONCD) がインターネットルーティングのセキュリティ強化に向けたロードマップを発表していますね...

インターネットを経済発展と国家安全保障にとって不可欠なものであると国家が位置付けているのが米国ですね...もちろん、中国もそうだろうし、英国や欧州もそうだろう...

 

● U.S. White House - ONCD

プレス...

・2024.09.03 Press Release: White House Office of the National Cyber Director Releases Roadmap to Enhance Internet Routing Security

Press Release: White House Office of the National Cyber Director Releases Roadmap to Enhance Internet Routing Security プレスリリース:ホワイトハウスの国家サイバー長官室がインターネットルーティング・セキュリティ強化に向けたロードマップを発表
By addressing vulnerabilities in the Border Gateway Protocol, ONCD is taking on a hard problem that has long-threatened the security of internet traffic ONCDは、インターネットトラフィックのセキュリティを長年脅かしてきた難題に挑むため、ボーダーゲートウェイプロトコル(BGP)の脆弱性に対処する
Today, the White House Office of the National Cyber Director (ONCD) released a Roadmap to Enhancing Internet Routing Security, which aims to address a key security vulnerability associated with the Border Gateway Protocol (BGP) – the protocol that underpins the way information is routed across networks. 本日、ホワイトハウスの国家サイバー長官室(ONCD)は、「インターネットルーティング・セキュリティ強化へのロードマップ」を発表した。このロードマップは、ネットワーク上での情報のルーティング方法を支えるプロトコルであるボーダーゲートウェイプロトコル(BGP)に関連する主要なセキュリティ脆弱性に対処することを目的としている。
By addressing BGP, ONCD is taking on a hard problem that has long threatened the security of internet traffic. Given today’s cyber threat landscape, ONCD continues to underscore that a secure and open internet is critical to the economic prosperity and national security of the United States. BGPへの対応により、ONCDはインターネットトラフィックのセキュリティを長年脅かしてきた難題に挑んでいる。今日のサイバー脅威の状況を踏まえ、ONCDは、安全でオープンなインターネットが米国の経済繁栄と国家安全保障にとって不可欠であることを引き続き強調している。
ONCD’s Implementation Plan of the National Cybersecurity Strategy serves as a blueprint for championing security in the digital ecosystem. The roadmap released today advocates for the adoption of Resource Public Key Infrastructure (RPKI) as a mature, ready-to-implement approach to mitigate vulnerabilities in BGP. This includes recommended actions applicable to all network types, i.e., all network service providers and entities that operate enterprise networks or hold their own IP address resources. These recommendations are of particular importance to the networks used by critical infrastructure owners and operators, state and local governments, and any organization dependent on internet access for purposes that the entity considers to be of high value. ONCDの国家サイバーセキュリティ戦略実施計画は、デジタルエコシステムにおけるセキュリティ強化の青写真となる。本日発表されたロードマップでは、BGPの脆弱性を低減するための成熟した実装可能なアプローチとして、リソース公開鍵基盤(RPKI)の採用を推奨している。これには、すべてのネットワークタイプ、すなわち、すべてのネットワークサービスプロバイダやエンタープライズネットワークを運用する事業体、または独自のIPアドレスリソースを保有する事業体に適用可能な推奨行動が含まれている。これらの推奨事項は、重要インフラの所有者および運営者、州および地方自治体、および事業体が重要と考える目的でインターネットアクセスに依存するあらゆる組織が使用するネットワークにとって特に重要である。
By the end of the year, it is expected that over 60% of the Federal government’s advertised IP space will be covered by Registration Service Agreements (RSA), paving the way to establish Route Origin Authorizations (ROA) for Federal networks.  今年末までに、連邦政府が公表したIP空間の60%以上が登録サービス契約(RSA)によってカバーされ、連邦ネットワークのルートオリジン認可(ROA)の確立への道筋が整うことが期待されている。
To meet this goal, ONCD led an effort to develop a Federal RSA template Addendum that Federal agencies are encouraged to use to facilitate their adoption of RPKI. The provisions in this template addendum are supported by Federal laws and principles that necessitated modifications to the requirements in the standard RSA. A Federal RPKI Playbook was also developed by the National Oceanic and Atmospheric Administration to support the process of executing the RSA and establishing ROAs on Federal networks . この目標を達成するために、ONCDは連邦政府機関がRPKIの採用を促進するために使用することが推奨される連邦政府RSAテンプレート補遺の開発を主導した。このテンプレート補遺の規定は、標準RSAの要件に修正を加える必要があった連邦法および原則によってサポートされている。連邦政府RPKIプレイブックも、連邦政府ネットワークにおけるRSAの実行およびROAの確立プロセスをサポートするために、米国海洋大気庁によって開発された。
In addition to releasing the report, ONCD is today acting on one of the key recommendations in the roadmap by establishing a public-private stakeholder working group. ONCD is co-chairing the Internet Routing Security Working Group, alongside the Cybersecurity and Infrastructure Security Agency and the Communications and Information Technology Sector Coordinating Councils, to develop resources and materials to collectively advance these objectives. This working group will develop a framework for network operators to assess risk and prioritize IP address resources and critical route originations (such as those for government use and critical infrastructure operations) for the application of routing security controls such as ROAs and Route Origin Validation.   報告書の発表に加え、ONCDは本日、ロードマップにおける主要な推奨事項の1つである官民の利害関係者による作業グループの確立に取り組んでいる。ONCDは、サイバーセキュリティ・インフラセキュリティ庁およびコミュニケーション・情報技術セクター調整協議会とともに、インターネットルーティングセキュリティ作業グループの共同議長を務め、これらの目標を総合的に推進するためのリソースや材料の開発に取り組んでいる。この作業部会は、ネットワーク事業者がROAやルートオリジンバリデーションなどのルーティングセキュリティ制御を適用するために、リスクアセスメントを行い、IPアドレスリソースやクリティカルルートオリジン(政府利用や重要インフラ運用など)の優先順位付けを行うための枠組みを開発する。
“Internet security is too important to ignore which is why the Federal government is leading by example by pushing for a rapid increase in adoption of BGP security measures by our agencies,” said White House National Cyber Director Harry Coker, Jr. “ONCD, along with our public and private sector partners, are guiding a risk-informed path forward towards our communal objective. We aim for this roadmap to mitigate a longstanding vulnerability and lead to a more secure internet that is vital to our national security and the economic prosperity of all Americans.” ホワイトハウスの国家サイバー長官であるハリー・コーカー・ジュニア氏は次のように述べた。「インターネットセキュリティはあまりにも重要であり、無視することはできない。だからこそ、連邦政府は率先して、政府機関によるBGPセキュリティ対策の採用を急速に増やすよう推進している。ONCDは、官民のパートナーとともに、リスクを考慮した上で、私たちの共通の目標に向かって前進する道筋を示している。私たちは、このロードマップによって長年の脆弱性を低減し、国家の安全保障と全米民の経済繁栄に不可欠な、より安全なインターネットを実現することを目指している。」
“Securing BGP is essential to safeguarding the integrity of our digital infrastructure. Through strong partnerships–both with industry and with government agencies–we can enhance the resilience of our internet routing, ensuring a secure and reliable internet for our nation,” said CISA Director Jen Easterly. “This roadmap is a good step forward in achieving that goal. We’re excited to co-lead the collaborative effort in the Internet Routing Security Working Group and look forward to developing meaningful resources.”  CISAのジェン・イースタリー(Jen Easterly)長官は次のように述べた。「BGPのセキュリティ確保は、デジタルインフラの完全性を保護するために不可欠である。業界および政府機関との強力なパートナーシップを通じて、インターネットルーティングのレジリエンスを高め、我が国にとって安全で信頼性の高いインターネットを確保することができる。このロードマップは、その目標を達成するための前進となるだろう。インターネットルーティングセキュリティワーキンググループにおける協調的な取り組みを共同で主導できることを嬉しく思う。また、有意義なリソースの開発を楽しみにしている。」
“We must work together to improve internet routing security, and the ONCD’s roadmap sets a path for collaboration and progress, ” said Chairwoman Rosenworcel. “The FCC recently proposed having broadband providers report to us on their efforts to address BGP security, and the roadmap both complements and advances our work towards this goal.” ローゼンウォルセル委員長は次のように述べた。「インターネットルーティングのセキュリティを改善するには、協力し合う必要があり、ONCDのロードマップは協力と進歩への道筋を示している。FCCは最近、ブロードバンドプロバイダがBGPセキュリティへの取り組みについて報告することを提案しましたが、このロードマップは、この目標に向けた我々の取り組みを補完し、さらに前進させるものである。」
“NIST has a long history of working collaboratively with industry to design, measure, and standardize technologies that make internet protocols more resilient and secure,” said NIST Director Laurie E. Locascio. “This roadmap establishes a clear plan of action to expedite the adoption of current, commercially viable BGP security technologies while highlighting the need for further research and development of additional solutions.” NISTのローリー・E・ロカシオ長官は次のように述べた。「NISTは、インターネットプロトコルのレジリエンシーとセキュリティを高める技術の設計、測定、標準化において、業界と協力しながら取り組んできた長い歴史がある。このロードマップは、現在、商業的に実現可能なBGPセキュリティ技術の採用を促進するための明確な行動計画を策定するとともに、さらなる研究と追加ソリューションの開発の必要性を強調している。」
“Internet routing security is a vital part of network security that, when overlooked, can lead to loss of service, theft of data, and other malicious attacks,” said Assistant Secretary of Commerce for Communications and Information and NTIA Administrator Alan Davidson. “ONCD’s roadmap is an important step towards helping the entire Internet ecosystem protect users from these threats.” 商務省通信情報担当次官補であり、NTIA(全米技術革新庁)長官のアラン・デビッドソン氏は次のように述べた。「インターネットルーティングのセキュリティは、ネットワークセキュリティの重要な一部であり、見過ごされると、サービス停止やデータの盗難、その他の悪意のある攻撃につながる可能性がある。ONCDのロードマップは、インターネットエコシステム全体がこうした脅威からユーザーを防御する上で重要な一歩となるだろう。」
“The roadmap reflects a deep understanding of the complex Internet ecosystem landscape,” said Robert Mayer, Sr. Vice President, Cybersecurity & Innovation, USTelecom and Chair of the Communications Sector Coordinating Council. “It’s sensible and prudent approach calls for a collaborative industry and government effort to develop an informed, risk-based strategy. We look forward to working with our government partners to make meaningful progress to address this critical issue.” 米国電気通信(USTelecom)のサイバーセキュリティ・イノベーション担当シニア・バイスプレジデントであり、コミュニケーション部門調整協議会の議長を務めるロバート・メイヤー氏は次のように述べた。「このロードマップは、複雑なインターネット生態系の現状に対する深い理解を反映している。この賢明かつ慎重なアプローチは、情報に基づくリスクベースの戦略を策定するための業界と政府の協調努力を必要としている。この重要な問題に対処するための有意義な進展を実現するために、政府パートナーと協力できることを楽しみにしている。」
“Securing internet routing has been a long-term effort.  It is a difficult one because it takes a lot of different players all taking action to be useful,” said Ari Schwartz, Coordinator of the Center for Cybersecurity Policy and Law. “The Roadmap is showing us how to get secure routing done and starting up the collective action efforts needed to get us to the finish line.” サイバーセキュリティ政策・法律センターのコーディネーターであるアリ・シュワルツz氏は次のように述べた。「インターネットルーティングのセキュリティ確保は長期的な取り組みである。多くの異なる関係者が一斉に行動を起こさなければ意味がないため、これは難しい取り組みである。ロードマップは、安全なルーティングを実現する方法を示しており、ゴールに到達するために必要な集団的行動の取り組みを立ち上げている。」
BGP is one of the foundational protocols that enables over 70 thousand independent networks to operate as what is known as the internet. Internet traffic is routed between networks using BGP to announce what destinations can be reached through those networks. BGP is used by many different types of networks ranging from cloud providers, Internet Service Providers, universities, energy companies, and federal, state, and local governments. BGP binds together the modern internet. BGPは、7万を超える独立したネットワークがインターネットとして機能することを可能にする基盤プロトコルの1つである。インターネットトラフィックは、BGPを使用してネットワーク間でルーティングされ、それらのネットワークを通じて到達可能な宛先が通知される。BGPは、クラウドプロバイダ、インターネットサービスプロバイダ、大学、エネルギー企業、連邦政府、州政府、地方自治体など、さまざまなタイプのネットワークで使用されている。BGPは現代のインターネットを結びつけている。
Like too many technologies developed in the early days of the internet, BGP was not built with the security needed for today’s digital ecosystem. Internet traffic can be inadvertently or purposely diverted, which may expose personal information; enable theft, extortion, and state-level espionage; disrupt security-critical transactions; and disrupt critical infrastructure operations. The potential for widespread disruption to internet infrastructure, whether carried out accidentally or maliciously, is a national security concern.  インターネットの初期に開発された多くの技術と同様に、BGPは今日のデジタルエコシステムに必要なセキュリティを考慮して構築されたものではない。インターネットトラフィックは、意図せず、あるいは意図的に転送される可能性があり、それにより個人情報が漏洩したり、窃盗、恐喝、国家レベルのスパイ行為が可能になったり、セキュリティ上重要な取引が中断されたり、重要なインフラの運用が中断されたりする可能性がある。インターネットインフラに広範囲にわたる混乱が生じる可能性は、それが偶発的であるか悪意のある行為であるかを問わず、国家の安全保障上の懸念事項である。
ONCD is encouraging every network operator use a risk-based approach to address BGP vulnerabilities. ONCD worked with Federal partners, industry stakeholders, and subject-matter experts to consider the complexities of the internet routing ecosystem, map longstanding barriers to improving security, and recommend incentives to overcome those barriers. The roadmap provides 18 recommended actions as a result of this collaborative undertaking. ONCDは、すべてのネットワークオペレータがBGPの脆弱性に対処するためにリスクベースのアプローチを採用するよう奨励している。ONCDは、連邦政府のパートナー、業界関係者、および専門家と協力し、インターネットルーティングエコシステムの複雑性を考慮し、セキュリティ改善を阻む長年の障壁をマッピングし、それらの障壁を克服するためのインセンティブを推奨した。このロードマップは、この共同作業の結果として18の推奨行動を提示している。
You can review the Roadmap to Enhancing Internet Routing Security here, the Federal RSA Template Addendum here, and an accompanying fact sheet here. インターネットルーティングセキュリティ強化ロードマップは、こちらから、連邦政府RSAテンプレート補遺は、こちらから、また、添付のファクトシートは、こちらから閲覧できる。

 

ファクトシート

・2024.09.03 Fact Sheet: Biden-Harris Administration Releases Roadmap to Enhance Internet Routing Security

Fact Sheet: Biden-⁠Harris Administration Releases Roadmap to Enhance Internet Routing Security ファクトシート:バイデン-ハリス政権、インターネットルーティングセキュリティ強化に向けたロードマップを発表
Today, the White House Office of the National Cyber Director (ONCD) released a Roadmap to Enhancing Internet Routing Security, which aims to address a key security vulnerability associated with the Border Gateway Protocol (BGP) – the protocol that underpins the way information is routed across networks. In addition to releasing the report, ONCD, in coordination with the Cybersecurity and Infrastructure Security Agency, is establishing a public-private stakeholder working group to develop resources and materials to collectively advance the report’s recommendations. 本日、ホワイトハウスの国家サイバー長官室(ONCD)は、「インターネットルーティングセキュリティ強化に向けたロードマップ」を発表した。このロードマップは、ネットワーク上で情報をルーティングする方法の基盤となるプロトコルであるボーダーゲートウェイプロトコル(BGP)に関連する主要なセキュリティ脆弱性に対処することを目的としている。この報告書の発表に加え、ONCDはサイバーセキュリティ・インフラセキュリティ庁と連携し、報告書の提言を推進するためのリソースや資料を開発する官民合同のステークホルダー作業部会を設立する。
BGP’s original design properties do not adequately address the threat to and resilience requirements of today’s internet ecosystem. As a result, traffic can be inadvertently or purposely diverted, which may expose personal information; enable theft, extortion, and state-level espionage; disrupt security-critical transactions; and disrupt critical infrastructure operations. The potential for widespread disruption of internet infrastructure, whether carried out accidentally or maliciously, is a national security concern.   BGPの当初の設計特性は、今日のインターネットエコシステムに対する脅威やレジリエンシー要件に適切に対応していない。その結果、意図せず、あるいは意図的にトラフィックが転換され、個人情報が漏洩したり、窃盗、恐喝、国家レベルのスパイ行為が可能になったり、セキュリティ上重要な取引が中断されたり、重要なインフラストラクチャの運用が中断されたりする可能性がある。インターネットインフラストラクチャの広範囲にわたる中断の可能性は、それが偶発的であるか悪意のある行為であるかを問わず、国家安全保障上の懸念事項である。 
While there is no single solution to address all internet routing vulnerabilities, the roadmap advocates for the adoption of Resource Public Key Infrastructure (RPKI) as a mature, ready-to-implement approach to mitigate BGP’s vulnerabilities. RPKI consists of two primary components: Route Origin Authorizations (ROA) and Route Origin Validation (ROV). A ROA is a digitally-signed certificate that a network is authorized to announce a specific block of internet space (i.e., IP addresses). ROV is the process by which BGP routers use ROA data to filter BGP announcements flagged as invalid. Importantly, ROV can help protect an organization’s internet address resources only if that organization has created ROAs. インターネットルーティングの脆弱性すべてに対処する単一のソリューションは存在しないが、ロードマップでは、BGPの脆弱性を低減するための成熟した、すぐに導入可能なアプローチとして、リソース公開鍵基盤(RPKI)の採用を提唱している。RPKIは主に2つのコンポーネントで構成される。ルート・オリジン認証(ROA)とルート・オリジン検証(ROV)である。ROAは、ネットワークがインターネット空間(すなわちIPアドレス)の特定のブロックをアナウンスする権限をデジタル署名付きの証明書で認可するものである。ROVは、BGPルーターがROAデータを使用して無効とマークされたBGPアナウンスをフィルタリングするプロセスである。重要なのは、ROVは組織がROAを作成した場合にのみ、その組織のインターネットアドレスリソースを防御できるということである。
Pursuant to the President’s National Cybersecurity Strategy Implementation Plan, ONCD collaborated with Federal Government partners, industry stakeholders, and subject-matter experts to consider the complexities of the internet routing ecosystem, map longstanding barriers to improving security, and recommend incentives to overcome those barriers. Their inputs informed the 18 recommended actions highlighted in the roadmap, which are separated by network type 大統領の国家サイバーセキュリティ戦略実施計画に従い、ONCDは連邦政府のパートナー、業界関係者、および専門家と協力し、インターネットルーティングエコシステムの複雑性について検討し、セキュリティ改善の障害となっている長年の問題を洗い出し、それらの障害を克服するためのインセンティブを提案した。これらの意見は、ロードマップで強調されている18の推奨される行動に反映されている。これらの行動はネットワークの種類別に分類されている。
Baseline Actions for All Network Operators すべてのネットワーク事業者向けの基本対策
The recommended actions below apply to all network types, meaning all network service providers and entities that operate enterprise networks or hold their own IP address resources.  These recommendations are of particular importance to the networks used by critical infrastructure; state, local, Tribal, and territorial governments; and any organization dependent on internet access for purposes that the entity considers to be of high value. 以下の推奨対策は、すべてのネットワークタイプに適用される。つまり、すべてのネットワークサービスプロバイダ、およびエンタープライズネットワークを運用する事業体、または独自のIPアドレスリソースを保有する事業体に適用される。これらの推奨事項は、重要なインフラストラクチャ、州政府、地方自治体、部族政府、および領土政府、および事業体が重要とみなす目的でインターネットアクセスに依存するあらゆる組織が使用するネットワークにとって特に重要である。
1. Risk-Based Planning. Every network operator should develop, maintain, and periodically update a cybersecurity risk management plan. To inform both near- and long-term plans to implement BGP security measures, all network operatorsshould explicitly address the security and resilience of internet routing in their organization’s cybersecurity risk assessment, cybersecurity risk management analysis, and operational plans and procedures. 1. リスクに基づく計画:すべてのネットワーク運用者は、サイバーセキュリティリスクマネジメント計画を策定、維持し、定期的に更新すべきである。BGPセキュリティ対策を実施するための短期および長期計画を策定するために、すべてのネットワーク運用者は、組織のサイバーセキュリティリスクアセスメント、サイバーセキュリティリスクマネジメント分析、運用計画および手順において、インターネットルーティングのセキュリティとレジリエンスを明確に扱うべきである。
2. ROA Publication. All network operators and entities holding IP address resources should create and publish ROAs in the public RPKI repository hosted by, or delegated from, the appropriate Regional Internet Registry (RIR). Operators should use their risk-based cybersecurity risk management plan to prioritize the publication of ROAs for address prefixes they assess as high-value or high-risk first. 2. ROAの公開:すべてのネットワーク事業者およびIPアドレスリソースを保有する事業体は、適切な地域インターネットレジストリ(RIR)がホストする、または委任された公開RPKIリポジトリでROAを作成し、公開すべきである。事業者は、リスクベースのサイバーセキュリティリスクマネジメント計画を使用して、価値が高い、またはリスクが高いと評価したアドレスプレフィックスのROA公開を優先すべきである。
3. Contracting Requirements. Network operators using contractedexternal services (e.g., IP transit services, infrastructure services, cloud and content services) should include explicit requirements in future service contracts for their providers to validate BGP-enabled routes. 3. 契約要件:外部サービス(IPトランジットサービス、インフラサービス、クラウドおよびコンテンツサービスなど)を利用するネットワーク運用者は、プロバイダがBGP対応ルートを検証するための明確な要件を、今後のサービス契約に盛り込むべきである。
4. Monitoring. Network operatorsshould monitor the status of their ROA data, routing security threats, outages, and disruptions and assess the quality of their internet routing services. Such monitoring can be done in-house or contracted through commercial monitoring services. 4. 監視:ネットワーク運用者は、ROAデータの状況、ルーティングセキュリティの脅威、停止、中断を監視し、インターネットルーティングサービスの品質をアセスメントすべきである。このような監視は、社内で行うことも、商業的な監視サービスに委託することも可能である。
Additional Actions for Network Service Providers ネットワークサービスプロバイダのための追加措置
In addition to the baseline recommendations above, network service providers are uniquely positioned to enhance routing security for the broader ecosystem. These actions include: 上記の基本的な推奨事項に加えて、ネットワークサービスプロバイダは、より広範なエコシステムにおけるルーティングセキュリティを強化する上で、独自の立場にある。これらの措置には以下が含まれる。
1. ROV Deployment. Network service providers should deploy ROV filtering for their customers or arrange for upstream providers to do so. Large and small providers alike bear responsibility for ROV filtering, and larger providers are encouraged to implement ROV on behalf of smaller client networks. 1. ROVの展開:ネットワークサービスプロバイダは、顧客に対してROVフィルタリングを展開するか、上位プロバイダに展開を依頼すべきである。規模の大小に関わらず、すべてのプロバイダはROVフィルタリングの責任を負うべきであり、規模の大きいプロバイダは、小規模な顧客ネットワークに代わってROVを実装することが推奨される。
2. Facilitate Customer ROA Creation. Network service providers that allocate address space to customers should provide tools and guidance to enable their clients to create ROAs, for example through the network service provider’s service portals. Network service providers should provide guidance to their customers encouraging their enrollment in RIR RPKI services. Network service providers should consider providing or creating services to support customers willing to delegate ROA creation to their service providers. 2. 顧客によるROA作成の促進:顧客にアドレス空間を割り当てるネットワークサービスプロバイダは、顧客がROAを作成できるように、例えばネットワークサービスプロバイダのサービスポータルを通じて、ツールやガイダンスを提供すべきである。ネットワークサービスプロバイダは、顧客がRIRのRPKIサービスに登録するようガイダンスを提供すべきである。ネットワークサービスプロバイダは、ROAの作成をサービスプロバイダに委任することを希望する顧客をサポートするサービスを提供または作成することを検討すべきである。
3. Routing Security Practices Disclosure. Network service providers should disclose their actions to implement routing security on their networks. Providers should establish a standardized means and format for disclosure of security practices. 3. ルーティングセキュリティ実施状況の開示:ネットワークサービスプロバイダは、自社のネットワーク上でルーティングセキュリティを実施するための行動を開示すべきである。プロバイダは、セキュリティ対策の開示のための標準化された手段とフォーマットを確立すべきである。
Actions for Federal Government and Communications and Information Technology Sector Stakeholder Collaboration 連邦政府およびコミュニケーションおよびITセクターの利害関係者との連携に向けた行動
The Federal Government is working collaboratively with communications and IT sector stakeholders to take specific actions to improve internet routing security. The Cybersecurity and Infrastructure Security Agency (CISA), as the Sector Risk Management Agency for the Communications and IT critical infrastructure sectors, in coordination with ONCD and in collaboration with the Communications and IT Sector Coordinating Councils, is establishing a joint working group under the auspices of the Critical Infrastructure Partnership Advisory Council to develop resources and materials to advance ROA and ROV implementation and internet routing security. The working group will consider: 連邦政府は、インターネットルーティングセキュリティの改善に向けた具体的な行動を取るため、コミュニケーションおよびITセクターの関係者と協力している。 サイバーセキュリティ・インフラセキュリティ庁(CISA)は、コミュニケーションおよびITの重要インフラセクターのセクターリスクマネジメント機関として、ONCDと連携し、コミュニケーションおよびITセクター調整協議会と協力しながら、重要インフラパートナーシップ諮問協議会の支援の下、ROAおよびROVの実施とインターネットルーティングセキュリティの推進に向けたリソースおよび資料を開発するための合同作業部会を設置している。作業部会では、以下の事項を検討する。
1. Risk Criteria and Prioritization Framework Development. The working group will develop criteria and a framework for network operators to assess risk and prioritize IP address resources and critical route originations (such as government use, critical infrastructure operations, etc.) for the application of routing security efforts to include ROA and ROV. Additionally, the working group will determine meaningful measures of progress, and create a standardized set of templates for network service providers to disclose routing security practices. 1. リスク規準と優先順位付けフレームワークの開発:作業部会では、ネットワークオペレータがROAとROVを含むルーティングセキュリティ対策を適用するにあたり、リスクをアセスメントし、IPアドレスリソースとクリティカルルートオリジン(政府利用、クリティカルインフラ運用など)の優先順位付けを行うための規準とフレームワークを開発する。さらに、作業部会では、進捗状況を適切に評価する尺度を決定し、ネットワークサービスプロバイダがルーティングセキュリティ対策を開示するための標準テンプレート一式を作成する。
2. Network Service Provider Playbook for Customers. The working group will develop a playbook, informed by diverse industry perspectives and parts of the internet service ecosystem, that outlines steps for customers to establish ROAs. 2. ネットワークサービスプロバイダによる顧客向けプレイブック:作業部会は、インターネットサービスエコシステムの一部である多様な業界の視点から得た情報を基に、顧客がROAを確立するための手順を概説したプレイブックを作成する。
3. Additional Activities and Progress Updates. The working group will stay informed of updates within the community and deliver a periodic update to the Federal Government that addresses priority issue areas. 3. その他の活動と進捗状況の更新:作業部会は、コミュニティ内の最新情報を把握し、優先課題領域を取り上げた定期的な更新情報を連邦政府に提供する。
Policy Actions Specific to the Federal Government 連邦政府に特化した政策措置
U. S. Federal departments and agencies should implement routing security on their networks, incorporate routing security in procurement requirements, engage in outreach with critical stakeholder communities, assess data from outages caused by routing incidents, promote and incentivize routing security best practices, provide training, reduce barriers to routing security, and monitor threats to routing security. 米国連邦政府の省庁および機関は、自らのネットワークにルーティングセキュリティを導入し、調達要件にルーティングセキュリティを組み込み、重要な利害関係者コミュニティとの連携を図り、ルーティングインシデントによるサービス停止からデータをアセスメントし、ルーティングセキュリティのベストプラクティスを推進し、奨励し、トレーニングを提供し、ルーティングセキュリティの障壁を低減し、ルーティングセキュリティに対する脅威を監視すべきである。
1. Guidance to the Federal Enterprise. The Office of Management and Budget (OMB) should establish guidance for Federal departments and agencies to implement ROAs in a timely manner, aligned with agency risk assessments. 1. 連邦政府エンタープライズへのガイダンス: 行政管理予算局(OMB)は、各政府機関のリスクアセスメントと整合性を保ちつつ、連邦政府の各部門および機関がROAを適時に実施するためのガイダンスを策定すべきである。
2. Contracting Requirements. OMB, working through the Federal Acquisition Regulatory Council and in coordination with the General Services Administration, should require the Federal Government’s contracted service providers to adopt and deploy current commercially-viable internet routing security technologies, and perform ROV filtering on the contracted services connecting to the internet.   2. 契約要件:OMBは連邦調達規制協議会と連携し、一般調達局と調整しながら、連邦政府の契約サービスプロバイダに、現在商業的に利用可能なインターネットルーティングセキュリティ技術を採用し展開すること、およびインターネットに接続する契約サービスに対してROVフィルタリングを実施することを義務付けるべきである。 
3. Federal Grant Guidance. Federal agencies providing grant funding to build critical infrastructure that includes internet-connected systems or technologies, especially broadband networks, should require that grant recipients incorporate routing security measures into their projects. 3. 連邦助成金に関する指針:インターネットに接続されたシステムや技術、特にブロードバンドネットワークを含む重要なインフラの構築に助成金を支給する連邦機関は、助成金の取得者に、そのプロジェクトにルーティングセキュリティ対策を組み込むことを義務付けるべきである。
4. Metrics and Progress Reporting. OMB should establish a reporting mechanism for measuring Federal agency adoption of ROA, monitoring progress, and conducting analytics, where appropriate. The effort should leverage existing data sources and tools provided by academic and third-party partners. 4. 指標および進捗の報告:OMBは、連邦機関によるROAの採用状況を測定し、進捗状況を監視し、必要に応じて分析を行うための報告メカニズムを確立すべきである。この取り組みでは、学術機関やサードパーティのパートナーが提供する既存のデータソースやツールを活用すべきである。
5. Standards and Technology Development. The National Institute for Standards and Technology (NIST) should continue to lead and coordinate USG efforts to research, standardize, and foster commercialization of BGP security and resilience mechanisms to address the remaining BGP vulnerabilities, including malicious BGP path manipulations, route leak mitigation, and peering authentication. NIST should also continue to develop monitoring and measurement tools to assess the progress and correctness of the global deployment of these additional mechanisms. 5. 標準および技術の開発:国立標準技術研究所(NIST)は、悪意のあるBGPパス操作、ルートリークの低減、ピアリング認証など、残存するBGPの脆弱性に対処するためのBGPセキュリティおよびレジリエンスのメカニズムの研究、標準化、商業化の促進に向けた政府の取り組みを主導し、調整を継続すべきである。また、NISTは、これらの追加メカニズムの世界的な展開の進捗状況と正確性をアセスメントするためのモニタリングおよび測定ツールの開発も継続すべきである。
6. Outreach and Education. CISA, through its public-private engagement efforts, should conduct an outreach campaign to increase U.S.-based enterprise network owners’ awareness of the benefits of ROA and ROV. CISA should continue to enhance network defenders’ tactical understanding of normal routing behavior, routing anomalies, and route-specific risks that impact network security policy. 6. 啓発活動と教育:CISAは、官民連携の取り組みを通じて、米国を拠点とするエンタープライズネットワークの所有者のROAとROVのメリットに対する認識を高めるための啓蒙キャンペーンを実施すべきである。CISAは、ネットワークセキュリティポリシーに影響を与える通常のルーティング動作、ルーティングの異常、ルート固有のリスクについて、ネットワーク防御者の戦術的理解を深めるための取り組みを継続すべきである。
7. International Engagement. The Department of State, in coordination with appropriate agencies, should highlight internet routing security efforts and best practices in engagements with international partners to increase awareness of the benefits of the adoption of internet routing security measures. 7. 国際的な取り組み:国務省は、適切な政府機関と連携し、インターネットルーティングセキュリティ対策の採用による利益に対する認識を高めるため、国際的なパートナーとの取り組みにおいて、インターネットルーティングセキュリティの取り組みとベストプラクティスを強調すべきである。
8. Research and Development. Research-funding agencies should continue to fund the development of internet routing-focused measurement, monitoring, and alerting technology to facilitate U.S. and global internet routing security deployment efforts.  Funding should support government entities, academic institutions, and independent subject matter experts equipped to measure progress, develop solutions, and inform future innovation. Continued investment should also address the next generation of threats and solutions. 8. 研究開発:研究助成機構は、米国および世界のインターネットルーティングセキュリティの展開努力を促進するために、インターネットルーティングに重点を置いた測定、モニタリング、および警告技術の開発への資金提供を継続すべきである。資金は、進捗状況の測定、ソリューションの開発、および将来のイノベーションの通知を行う能力を備えた政府事業体、学術機関、および独立した専門家を支援すべきである。また、次世代の脅威とソリューションに対処するための継続的な投資も必要である。

 

報告書

・[PDF]

20240905-94008

・[DOCX][PDF] 仮訳

 

 

| | Comments (0)

英国 サイバーセキュリティ侵害調査 2025 開始の案内... 2025年 (2024.09.03) +最新報告書等

こんにちは、丸山満彦です。

UKのサイバーセキュリティ侵害調査 2025が開始されるとアナウンスされていますね...

● GOV.UK

・2024.09.03 Cyber Security Breaches Survey 2025

1_20240303060201

ちょうどよいタイミングなので、このUKのサイバーセキュリティ侵害調査 (Cyber Security Breaches Surve)についてまず、簡単に説明をしておきますね...(このブログでも過去に気まぐれに紹介していますが...)。そして、2021年から始まった、大規模組織に焦点をあてたサイバーセキュリティ縦断調査 (Cyber security longitudinal survey) 」についても触れておきます。

UKでは、内務省 (Home office) [wikipedia]と、科学技術革新省 (Department for Science, Innovation and Technology) [wikipedia]が共同で毎年サイバーセキュリティ侵害調査 (Cyber Security Breaches Survey) を調査していますね...これは、公式な調査で、2017年からの調査結果はウェブで公表されています...

この調査は、英国政府が企業、慈善団体、教育機関がサイバーセキュリティにどのように取り組んでいるか、またどのような課題に直面しているかを把握することを目的したもののようです...

ただ、英国の企業規模別の企業数(2023年)でいうと、全企業数約556万社のうち、250人以上の規模の会社は約6千社 (0.1%)で中小企業のデータが中心となっています。

上記の企業数の調査では、従業員数でいうと、250 人以上の会社が占める割合は、全英従業員数 約28百万人のうち約11百万人(約40%)、売上高は全英全体約4.5兆ポンドのうち約2.1兆ポンド(50%弱)と大きい状況です...

そこで、2020年1月28日にこの調査の変更案が提案され、この結果を受け、2024.05.27に次のように決定した。この調査は従来通り調査を続けることとし、大企業については別途調査を検討することとなり、大企業中心の縦断調査をすることになった。

大企業についての調査は、科学技術革新省 (Department for Science, Innovation and Technology) とデジタル・文化・メディア・スポーツ省(Department for Digital, Culture, Media & Sport)[wikipedia] が実施している「サイバーセキュリティ縦断調査 (Cyber security longitudinal survey) 」で2021年から開始され、2024年現在Wave3として、3年間実施されています。

これらの活動は当然に英国の国家サイバー戦略2022と連携した活動となっています...

 

 


 

GOV.UK

サイバーセキュリティ侵害調査

Cyber Security Breaches Surve

2024.04.09 CSBS 2024 HTML CSBS 2024 本文
    HTML CSBS 2024: education institutions annex 附属書:教育機関
    HTML CSBS 2024: technical report 調査手法等の説明
    HTML CSBS 2024: pre-release access list 公表前閲覧者リスト
2023.04.19 CSBS 2023 HTML CSBS 2023 本文
    HTML CSBS 2023: education institutions annex 附属書:教育機関
    HTML CSBS 2023: technical report 調査手法等の説明
    HTML CSBS 2023: pre-release access list 公表前閲覧者リスト
2022.03.30 CSBS 2022 HTML CSBS 2022 本文
    HTML Educational institutions findings annex - CSBS 2022 附属書:教育機関
    PDF Infographic of key business findings - CSBS 2022 ℹ️:営利企業:発見事項
    PDF Infographic of micro & small business key findings - CSBS 2022 ℹ️:小・零細企業:発見事項
    PDF Infographic of medium & large business key findings - CSBS 2022 ℹ️:中・大企業:発見事項
    PDF Infographic of charities key findings - CSBS 2022 ℹ️:非営利団体:発見事項
    PDF Education annex - CSBS 2022 附属書:教育機関
    PDF Technical annex - CSBS 2022 附属書:調査手法等の説明
    PDF Pre-release list - CSBS 2022 公表前閲覧者リスト
2021.03.24 CSBS 2021 HTML CSBS 2021 本文
    PDF CSBS 2021 - PDF version 本文
    PDF CSBS 2021 - business infographic ℹ️:営利企業:発見事項
    PDF CSBS 2021 - micro and small business infographic ℹ️:小・零細企業:発見事項
    PDF CSBS 2021 - medium and large business infographic ℹ️:中・大企業:発見事項
    PDF CSBS 2021 - charity infographic ℹ️:非営利団体:発見事項
    HTML CSBS 2021 Education Annex 附属書:教育機関
    PDF CSBS 2021 Education Annex 附属書:教育機関
    PDF CSBS 2021 Technical Annex 附属書:調査手法等の説明
    PDF CSBS 2021 Pre-release access list 公表前閲覧者リスト
2020.03.25 CSBS 2020 HTML CSBS 2020 本文
    PDF CSBS 2020 - main report PDF 本文
    PDF Education Annex - CSBS 2020 附属書:教育機関
    PDF Technical Annex - CSBS 2020 附属書:調査手法等の説明
    PDF Business trends infographic ℹ️:営利企業:傾向
    PDF Charity trends infographic ℹ️:非営利団体:傾向
    PDF Micro & small business trends infographic ℹ️:小・零細企業:傾向
    PDF Medium & large business trends infographic ℹ️:中・大企業:傾向
    PDF CSBS 2020: Pre-release list 公表前閲覧者リスト
2019.07.02 CSBS 2019 PDF CSBS 2019: Main report 本文
    PDF CSBS 2019: General findings visualisation (Business and Charities) ℹ️:全体:発見事項
    PDF CSBS 2019: Micro/Small Business findings visualisation ℹ️:小・零細企業:発見事項
    PDF CSBS 2019: Medium/Large Business findings visualisation ℹ️:中・大企業:発見事項
    PDF CSBS 2019: Charities findings visualisation ℹ️:非営利団体:発見事項
    PDF CSBS 2019: Technical Annex 附属書:技術書
    PDF CSBS 2019: Pre-release list 公表前閲覧者リスト
・2018.04.24 CSBS 2018 PDF CSBS 2018: Main report 本文
    PDF CSBS 2018: General findings visualisation (Business and Charities) ℹ️:全体:発見事項
    PDF CSBS 2018: Micro/Small Business findings visualisation ℹ️:小・零細企業:発見事項
    PDF CSBS 2018: Medium/Large Business findings visualisation ℹ️:中・大企業:発見事項
    PDF CSBS 2018: Charities findings visualisation ℹ️:非営利団体:発見事項
    PDF CSBS 2018: Technical Annex 附属書:調査手法等の説明
    PDF CSBS 2018: Pre-release list 公表前閲覧者リスト
・2017.04.19 CSBS 2017 PDF CSBS 2017: main report 本文
    PDF General business findings visualisation ℹ️:全体:発見事項
    PDF Micro/small business findings visualisation ℹ️:営利企業:発見事項
    PDF Medium/large business findings visualisation ℹ️:発見事項:中・大企業
    PDF CSBS 2017: Technical annex 附属書:調査手法等の説明
    PDF Pre-release access list 公表前閲覧者リスト

ℹ️=インフォグラフィックス

 

年度

発表日

入り口 本文 教育機関 調査手法等 Keyfindings
General Micro-Small Medium-Large Charities
2024 2024.04.09 HTML HTML   HTML   HTML          
2023 2023.04.19 HTML HTML   HTML   HTML          
2022 2022.03.30 HTML HTML   HTML PDF   PDF PDF PDF PDF PDF
2021 2021.03.24 HTML HTML PDF HTML PDF   PDF PDF PDF PDF PDF
2020 2020.03.26 HTML HTML PDF   PDF   PDF PDF PDF PDF PDF
2019 2019.04.03 HTML   PDF       PDF PDF PDF PDF PDF
2018 2018.04.25 HTML   PDF       PDF PDF PDF PDF PDF
2017 2017.04.19 HTML   PDF       PDF PDF PDF PDF  

 

2020年改訂提案の件...

結果

・2020.05.27 Consultation outcome Cyber Security Breaches Survey - Consultation Response

変更

・2020.01.28 Proposed changes to the Cyber Security Breaches Survey

 


 

サイバーセキュリティ縦断調査

Cyber security longitudinal survey

2024.03.20 2024:Wave3 HTML CSLS - wave three 本文
    PDF Infographic summaries of key findings ℹ️:全体:発見事項
    PDF CSLS - wave three technical report 調査手法等
2022.12.29 2023:wave2 HTML Cyber security longitudinal study - wave two 本文
    PDF Cyber security longitudinal study - wave two technical report 調査手法等
    PDF Medium businesses infographic - CSLS wave two ℹ️ :中企業
    PDF Large businesses infographic - CSLS wave two ℹ️ :大企業
    PDF Charities infographic - CSLS wave two ℹ️ :非営利団体
2022.01.27 2021:wave1 HTML CSLS: wave 1 本文
    PDF CSLS: wave one 本文
    PDF Medium businesses infographic - CSLS ℹ️ :中企業
    PDF Large businesses infographic - CSLS ℹ️ :大企業
    PDF Charities infographic - CSLS ℹ️ :非営利団体
    PDF Technical annex - CSLS wave one 調査手法等

 


それぞれの最新の報告書のサマリー・・・

↓↓↓

» Continue reading

| | Comments (0)

2024.09.04

米国 連邦金融機関審査委員会(FFIEC) 「開発、取得、保守」小冊子(検査員も使うよ)の改訂 (2024.08.29)

こんにちは、丸山満彦です。

米国連邦金融機関審査委員会(FFIEC) が、「開発および取得」を改訂し、「開発、取得、保守」に名称も変更していますね..

内容は、システム開発、運用等をしている人にはわかりやすい構成です。

マニュアルではなく"booklet"です..."examiner"も使います...

変更点については、以下を参考に...基本的には、エンタープライズ全体に適用することを前提、プロセスベース、原則ベースのアプローチ、を強調しつつ、現在の技術動向に合わせて改訂したということろでしょうか...あっ、NIST等との用語の統一も...

日本では、検査マニュアルが廃止(2019.12.18)されてほぼ6年になりますかね...

 

Federal Financial Institutions Examination Council; FFEIC

What's New

・2024.08.29 Development and Acquisition Booklet Revision and Name Change to Development, Acquisition, and Maintenance Booklet

Development and Acquisition Booklet Revision and Name Change to Development, Acquisition, and Maintenance Booklet 「開発および取得」小冊子の改訂と名称変更 「開発、取得、保守」小冊子
The FFIEC members revised and renamed the Development and Acquisition booklet to Development, Acquisition, and Maintenance (DA&M) to incorporate updated information technology (IT) risk practices and frameworks. In keeping with our approach for booklet revisions and as seen in the Business Continuity Management and Architecture, Infrastructures, & Operations booklets, we drafted the booklet following a principles-based approach to IT risk management. This will allow the booklet’s central tenets to remain relevant to examiners even as innovation and technological changes occur in the financial services sector. Changes in this new booklet include the following: FFIECのメンバーは、最新のITリスクの慣行および枠組みを盛り込むため、「開発および取得」小冊子を「開発、取得、保守(DA&M)」小冊子に改訂し、名称を変更した。小冊子の改訂に関するアプローチに従い、「事業継続管理」および「アーキテクチャ、インフラ、業務」小冊子に見られるように、ITリスクマネジメントに関するプリンシプル・ベースのアプローチに従って小冊子のドラフトを作成した。これにより、金融サービス業界で技術革新や技術変化が起こっても、本冊子の基本原則は常に検査員にとって関連性のあるものとなる。本冊子の変更点は以下の通りである。
・The change in the booklet’s title reflects an increased focus on principles-based, enterprise-wide, process-oriented approaches that consider the development of technology components within the overall business structure (development), acquisition and procurement of IT infrastructure hardware and software components (acquisition), and maintenance and change control processes for services to provide ongoing security and value for internal and external customers (maintenance). ・この冊子のタイトル変更は、ビジネス構造全体におけるテクノロジーコンポーネントの開発(開発)、ITインフラのハードウェアおよびソフトウェアコンポーネントの取得および調達(取得)、ならびに内外の顧客に継続的なセキュリティと価値を提供するためのサービスの保守および変更管理プロセス(保守)を考慮した、エンタープライズ全体にわたる原則ベースのプロセス指向のアプローチに重点が置かれるようになったことを反映している。
・Significant changes include the additions of new sections in the narrative related to development, acquisition, and maintenance, including an overview of the subject, governance; risk management; common risk elements applicable to hardware and software component technologies, as well as a section for the discussions related to Maintenance of systems and components. ・重要な変更点としては、開発、取得、保守に関する説明に新たなセクションを追加し、対象の概要、ガバナンス、リスクマネジメント、ハードウェアおよびソフトウェアコンポーネント技術に共通するリスク要素、システムおよびコンポーネントの保守に関する議論のセクションなどを含めた。
・In the Common Risk Topics section, we included risk management discussions for risks that affect each of the entity’s DA&M functions. This section includes hardware and software types; licenses, agreements, and copyright protection; secure development, data, and secure operating environments; microservices, containers, and APIs; methodologies for project management and development; quality management and documentation standards; IT project management and post-implementation review; system development life cycle; and third-party relationship risk management and supply chain considerations. ・共通リスクトピックのセクションでは、事業体のDA&M機能それぞれに影響を与えるリスクに対するリスクマネジメントの議論を含めた。このセクションには、ハードウェアおよびソフトウェアの種類、ライセンス、契約、著作権保護、セキュアな開発、データ、セキュアな運用環境、マイクロサービス、コンテナ、API、プロジェクト管理および開発の方法論、品質管理および文書化標準、ITプロジェクト管理および実装後のレビュー、システム開発ライフサイクル、サードパーティ関係リスク管理およびサプライチェーンの考慮事項などが含まれる。
・In the Development section, we added discussions relating to strategic planning of the IT development to integrate with the business functions of the enterprise and provide for service delivery to customers. This includes development standards and controls, testing, DevOps and DevSecOps, and functional development types. ・開発セクションでは、企業のビジネス機能と統合し、顧客へのサービス提供を可能にするためのIT開発の戦略的計画に関する議論を追加した。これには、開発標準と管理、テスト、DevOpsとDevSecOps、機能開発の種類が含まれる。
・In the Acquisition section, we included sections on acquisition policies, standards, and procedures; acquisition projects; solicitation; evaluation; and contracts and other agreements. ・取得セクションでは、取得方針、標準、手順、取得プロジェクト、募集、評価、契約およびその他の合意に関するセクションを追加した。
・We updated the Maintenance section to address key operational principles in IT environments. We included discussions of preventive maintenance, change management (including implementing changes, control considerations, change types, and change management documentation), end-of-life, termination and disposal, and maintenance documentation. ・保守のセクションを更新し、IT環境における主要な運用原則を取り上げた。予防保守、変更管理(変更の実施、管理上の考慮事項、変更の種類、変更管理文書を含む)、製品寿命終了、終了および廃棄、保守文書に関する議論を含めた。
・Throughout the booklet, we made improvements in consistency and use of authoritative standards for the revision of booklets by: ・小冊子全体を通して、以下の方法で一貫性と権威ある標準の使用を改善した。
・・Identifying clearer references back to NIST and other authoritative sources. ・・NIST およびその他の権威ある情報源への参照をより明確に識別した。
・・Replacing “financial institutions” with the term “entities” as the principles in the narrative also apply to third-party service providers and significant service providers that we examine. ・・本文の原則がサードパーティのサービスプロバイダや、当社が調査する重要なサービスプロバイダにも適用されるため、「金融機関」という用語を「事業体」という用語に置き換えた。
・・Aligning definitions and terminology with authoritative sources and standards organizations (e.g., NIST), where appropriate. ・・定義および用語を、権威ある情報源および標準化団体(NIST など)と整合させた。
・・Including joint or interagency guidance applicable to DA&M with accompanying respective agency announcements for consistency. ・・DA&M に適用される合同または省庁間による指針を、整合性を保つためにそれぞれの省庁の発表と併せて記載した。

 

・[HTML][PDF] Development, Acquisition, and Maintenance

20240904-34703

 

目次...

Introduction 序文
I Overview of Development, Acquisition, and Maintenance I 開発、取得、保守の概要
II Governance of Development, Acquisition, and Maintenance II 開発、取得、保守のガバナンス
II.A Policies, Standards, and Procedures II.A 方針、標準、手順
II.B Roles and Responsibilities II.B 役割と責任
II.B.1 Board, Senior Management, and Other Common Roles II.B.1 取締役会、上級管理職、その他の共通の役割
II.B.2 IT Project Management Roles II.B.2 ITプロジェクト管理の役割
II.B.3 Development Roles II.B.3 開発の役割
II.B.4 Acquisition Roles II.B.4 取得の役割
II.B.5 Maintenance Roles II.B.5 保守の役割
II.B.6 Other Common Development, Acquisition, and Maintenance Roles II.B.6 その他の一般的な開発、取得、保守の役割
II.B.7 Supply Chain Roles II.B.7 サプライチェーンの役割
II.B.8 Other Support Functions II.B.8 その他のサポート機能
II.B.9 Audit's Role II.B.9 監査の役割
III Risk Management of Development, Acquisition, and Maintenance III 開発、取得、保守のリスクマネジメント
III.A Risk Identification III.A リスクの識別
III.B Risk Measurement III.B リスクの測定
III.C Risk Monitoring and Reporting III.C リスクの監視と報告
III.D Controlling or Mitigating Risk III.D リスクの抑制または低減
IV Common Development, Acquisition, and Maintenance Risk Topics IV 開発、取得、保守に共通するリスクトピック
IV.A Open-Source IV.A オープンソース
IV.B Commercial-off-the-Shelf IV.B 商用汎用品
IV.C Licenses, Agreements, and Copyright Protection IV.C ライセンス、契約、および著作権保護
IV.C.1 Software Licenses IV.C.1 ソフトウェアライセンス
IV.C.1(a) Free and Open-Source Software Licenses IV.C.1(a) フリーおよびオープンソースソフトウェアライセンス
IV.C.1(b) Proprietary Software Licenses IV.C.1(b) プロプライエタリソフトウェアライセンス
IV.C.2 Hardware Licenses IV.C.2 ハードウェアライセンス
IV.C.3 Copyright Protection IV.C.3 著作権保護
IV.D Secure Development IV.D 安全な開発
IV.E Data IV.E データ
IV.F Secure Operating Environments IV.F 安全な運用環境
IV.G Microservices IV.G マイクロサービス
IV.H Containers IV.H コンテナ
IV.I Application Programming Interfaces IV.I アプリケーション・プログラミング・インターフェース
IV.I.1 API Gateway IV.I.1 API ゲートウェイ
IV.I.2 API Risk Mitigation IV.I.2 API リスク低減
IV.J Methodologies IV.J 方法論
IV.J.1 Waterfall IV.J.1 ウォーターフォール
IV.J.2 Agile IV.J.2 アジャイル
IV.K Quality Management IV.K 品質管理
IV.L Documentation Standards IV.L 文書化標準
IV.M Post-Implementation Review IV.M 実装後のレビュー
IV.N IT Project Management IV.N IT プロジェクト管理
IV.N.1 IT Project Phases IV.N.1 IT プロジェクトのフェーズ
IV.N.1(a) Initiation IV.N.1(a) 開始
IV.N.1(b) Planning IV.N.1(b) 計画
IV.N.1(c) Execution IV.N.1(c) 実行
IV.N.1(d) Closeout IV.N.1(d) 終了
IV.N.2 Monitoring and Controlling IV.N.2 モニタリングと管理
IV.N.3 IT Project Documentation IV.N.3 IT プロジェクトの文書化
IV.N.3(a) IT Project Request IV.N.3(a) IT プロジェクトの要求
IV.N.3(b) Business Case IV.N.3(b) ビジネスケース
IV.N.3(c) Feasibility Study IV.N.3(c) 実現可能性調査
IV.N.3(d) IT Project Plans IV.N.3(d) ITプロジェクト計画
IV.N.3(e) Closeout Documentation IV.N.3(e) 終了時文書
IV.O System Development Life Cycle IV.O システム開発ライフサイクル
IV.O.1 SDLC Phases IV.O.1 SDLCフェーズ
IV.O.1(a) Initiation IV.O.1(a) 開始
IV.O.1(b) Development or Acquisition IV.O.1(b) 開発または取得
IV.O.1(c) Implementation and Assessment IV.O.1(c) 実装およびアセスメント
IV.O.1(d) Operations and Maintenance IV.O.1(d) 運用および保守
IV.O.1(e) Sunset and Disposal IV.O.1(e) 終了および廃棄
IV.P Third-Party Relationship Risk Management IV.P サードパーティ関係リスク管理
IV.P.1 Planning IV.P.1 計画
IV.P.2 Due Diligence and Third-Party Selection IV.P.2 デューデリジェンスおよびサードパーティの選定
IV.P.3 Contract Negotiation IV.P.3 契約交渉
IV.Q Supply Chain Considerations IV.Q サプライチェーンの考慮事項
IV.Q.1 Supply Chain Risk Management IV.Q.1 サプライチェーンリスクマネジメント
IV.Q.2 Software Bill of Material IV.Q.2 ソフトウェア部品表
IV.Q.3 Enterprise Risk Management and Supply Chain Risks IV.Q.3 エンタープライズリスクマネジメントとサプライチェーンリスク
V Development V 開発
V.A Development Standards and Controls V.A 開発標準と制御
V.B Testing V.B テスト
V.C DevOps and DevSecOps V.C DevOpsとDevSecOps
V.C.1 DevOps V.C.1 DevOps
V.C.2 DevSecOps V.C.2 DevSecOps
V.D Functional Development Types V.D 機能開発の種類
V.D.1 Model Development V.D.1 モデル開発
V.D.2 Database Development V.D.2 データベース開発
VI Acquisition VI 調達
VI.A Acquisition Policies, Standards, and Procedures VI.A 調達方針、標準、手順
VI.B Acquisition Projects VI.B 調達プロジェクト
VI.C Solicitation VI.C 募集
VI.D Evaluation VI.D 評価
VI.E Contracts and Other Agreements VI.E 契約およびその他の合意
VI.E.1 Statement of Work VI.E.1 作業内容記述書
VI.E.2 Master Services Agreement VI.E.2 マスターサービス契約
VI.E.3 Service Level Agreement VI.E.3 サービスレベル契約
VI.E.4 Contracts VI.E.4 契約
VI.E.5 Escrowed Source Code Agreements and Documentation VI.E.5 エスクローソースコード契約および文書化
VI.E.6 Exit Strategy VI.E.6 出口戦略
VII Maintenance VII 保守
VII.A Preventive Maintenance VII.A 予防保守
VII.B Change Management VII.B 変更管理
VII.B.1 Implementing Changes VII.B.1 変更の実施
VII.B.2 Additional Control Considerations in Change Management VII.B.2 変更管理における追加の管理上の考慮事項
VII.B.2(a) Data Controls in the Testing Environment VII.B.2(a) テスト環境におけるデータ制御
VII.B.2(b) Library Controls VII.B.2(b) ライブラリ制御
VII.B.2(c) Code Repository Controls VII.B.2(c) コードリポジトリ制御
VII.B.3 Change Types VII.B.3 変更の種類
VII.B.3(a) Routine Modifications VII.B.3(a) 日常的な修正
VII.B.3(b) Major Modifications VII.B.3(b) 大規模な修正
VII.B.3(c) Emergency Modifications VII.B.3(c) 緊急の修正
VII.B.4 Change Management Documentation VII.B.4 変更管理文書
VII.B.4(a) Change Request Form VII.B.4(a) 変更依頼書
VII.B.4(b) Impact Analysis VII.B.4(b) 影響分析
VII.B.4(c) Rollback or Back-Out Plan VII.B.4(c) ロールバックまたはバックアウト計画
VII.C End-of-Life VII.C 製品寿命終了
VII.D Termination and Disposal VII.D 終了および廃棄
VII.E Maintenance Documentation VII.E 保守文書
Appendix A: Examination Procedures 附属書 A:審査手順
Appendix B: Glossary 附属書 B:用語集
Appendix C: Abbreviations 附属書 C:略語
Appendix D: References 附属書 D:参考文献

 

その他のBoolket


アーキテクチャ、インフラストラクチャ、業務

Architecture, Infrastructure, and Operations

・2021.06.30 Revision of the Operations Booklet and Name Change to Architecture, Infrastructure, and Operations Booklet

・[HTML][PDF] Architecture, Infrastructure, and Operations

20240904-41353

 


事業継続マネジメント

Business Continuity Management

・2019.11.14 Business Continuity Management

・[HTML][PDF] Business Continuity Management

20240904-41752

 

 


情報セキュリティ

 Information Security

・2016.09.09 Revised the Information Security Booklet

・[HTNL][PDF] Information Security

20240904-42216

 

 

| | Comments (0)

2024.09.03

米国 国土安全保障省 重要インフラの所有者および運営者向けAIの安全およびセキュリティガイドライン (2024.04.26)

こんにちは、丸山満彦です。

国土安全保障省が重要インフラの所有者および運営者向けAIの安全およびセキュリティガイドラインを公表していました...

NISTのAI Risk Management Frameworkとの参照表もついています...そうか、AI RMFは発行してからすでに1年8月たっているのか...

重要インフラの所有者および運営者向けとなっていますが、普通に使えます。整理されていて、とても有益だと思います...

 

Department of Homeland Security

・2024.04.26 Safety and Security Guidelines for Critical Infrastructure Owners and Operators

Safety and Security Guidelines for Critical Infrastructure Owners and Operators 重要インフラの所有者および運営者向け安全およびセキュリティガイドライン
The U.S. Department of Homeland Security (DHS) was tasked in Executive Order 14110: Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence to develop safety and security guidelines for use by critical infrastructure owners and operators. DHS developed these guidelines in coordination with the Department of Commerce, the Sector Risk Management Agencies (SRMAs) for the 16 critical infrastructure sectors, and relevant independent regulatory agencies. 米国国土安全保障省(DHS)は、大統領令14110「人工知能の安全、セキュリティ、信頼性の高い開発および利用」により、重要インフラの所有者および運営者が使用するための安全およびセキュリティガイドラインの策定を命じられた。DHSは、商務省、16の重要インフラセクターのセクターリスクマネジメント機関(SRMA)、および関連する独立規制機関と連携して、これらのガイドラインを策定した。
The guidelines begin with insights learned from the Cybersecurity and Infrastructure Security Agency’s (CISA) cross-sector analysis of sector-specific AI risk assessments completed by SRMAs and relevant independent regulatory agencies in January 2024. The CISA analysis includes a profile of cross-sector AI use cases and patterns in adoption and establishes a foundational analysis of cross-sector AI risks across three distinct types: 1) Attacks Using AI, 2) Attacks Targeting AI Systems, and 3) Failures in AI Design and Implementation. DHS drew upon this analysis, as well as analysis from existing U.S. government policy, to develop specific safety and security guidelines to mitigate the identified cross-sector AI risks to critical infrastructure. The guidelines incorporate the National Institute of Standards and Technology (NIST) AI Risk Management Framework (AI RMF), including its four functions that help organizations address the risks of AI systems: Govern, Map, Measure, and Manage. このガイドラインは、2024年1月にSRMAおよび関連する独立規制機関が完了したセクター固有のAIリスクアセスメントに関するサイバーセキュリティ・インフラセキュリティ庁(CISA)のセクター横断的分析から得られた洞察から始まる。CISAの分析には、セクター横断的なAIのユースケースと導入パターンに関するプロファイルが含まれ、3つの異なるタイプ、すなわち、1)AIを使用した攻撃、2)AIシステムを標的とした攻撃、3)AIの設計と実装における不具合、にわたるセクター横断的なAIリスクの基礎的な分析が確立されている。DHSは、この分析と既存の米国政府政策の分析を活用し、特定の安全およびセキュリティガイドラインを策定し、重要インフラに対する識別されたセクター横断的なAIリスクの低減を図った。このガイドラインには、国立標準技術研究所(NIST)のAIリスクマネジメントフレームワーク(AI RMF)が組み込まれており、AIシステムのリスクに対処する組織を支援する4つの機能(ガバナンス、マッピング、測定、管理)が含まれている。
While the guidelines in this document are written broadly so they are applicable across critical infrastructure sectors, DHS encourages owners and operators of critical infrastructure to consider sector-specific and context-specific AI risks and mitigations. 本ガイドラインは、重要インフラセクター全体に適用できるよう幅広く記述されているが、DHSは重要インフラの所有者および運営者に対し、セクター固有および文脈固有のAIリスクと低減策を考慮するよう推奨している。

 

・[PDF] Safety and Security Guidelines for Critical Infrastructure Owners and Operators

20240903-125730

・[DOCX][PDF] 仮訳

 

目次...

EXECUTIVE SUMMARY エグゼクティブサマリー
INTRODUCTION 序文
AI RISKS TO CRITICAL INFRASTRUCTURE 重要インフラに対するリスク
AI Uses and Patterns of Adoption AIの用途と採用パターン
Cross-Sector AI Risk Categories  クロスセクターAIリスクカテゴリー
GUIDELINES FOR CRITICAL INFRASTRUCTURE OWNERS AND OPERATORS 重要インフラの所有者および運営者のためのガイドライン
Govern: Establish an organizational culture of AI risk management 統治:AIリスク管理の組織文化を確立する。
Map: Understand your individual AI use context and risk profile マップ:個々のAIの使用状況とリスクプロファイルを理解する。
Measure: Develop systems to assess, analyze, and track AI risks 測定:AIリスクをアセスメント、分析、追跡するシステムを開発する。
Manage: Prioritize and act upon AI risks to safety and security  管理:安全・安心に対するAIリスクに優先順位をつけ、対処する。
CONCLUSION 結論
APPENDIX A: CROSS-SECTOR AI RISKS AND MITIGATION STRATEGIES 附属書A:セクター横断的なAIリスクと低減戦略
Risk Category: Attacks Using AI リスクカテゴリー:AIを利用した攻撃
Risk Category: Attacks on AI リスクカテゴリー:AIへの攻撃
Risk Category: AI Design and Implementation Failures リスクカテゴリー:AI設計と実装の失敗
General Mitigations for AI Risks  AIリスクに対する一般的低減策
APPENDIX B: GUIDELINES MAPPED TO NIST AI RMF 附属書B:NISTのAI RMFとガイドラインのマッピング
Govern 統治
Map マップ
Measure 測定
Manage 管理

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

AI RMF

・2023.01.27 NIST AIリスクフレームワーク

・2022.08.24 NIST 意見募集 AIリスクマネジメントフレームワーク(第2ドラフト)とそのプレイブック

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)

・2022.03.21 NIST SP1270 人工知能におけるバイアスの識別と管理の標準化に向けて

 

AIとセキュリティ関係

・2024.07.07 米国 MITRE AI規制を通じてAIのセキュリティと安全性を確保する

・2024.05.31 米国 NIST AIの社会技術試験・評価を推進する新プログラム「AIのリスクと影響の評価 (ARIA)」を開始

・2024.05.03 米国 商務省 NISTがAIに関する4つのドラフトを公開し、意見募集を開始 (2023.04.29)

  • NIST AI 600-1 人工知能リスクマネジメントフレームワーク: 生成的人工知能プロファイル
  • NIST SP 800-218A 生成的 AI とデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス: SSDFコミュニティプロファイル
  • NIST AI 100-4 合成コンテンツがもたらすリスクの低減 デジタルコンテンツの透明性に関する技術的アプローチの概要
  • NIST AI 100-5 AI標準に関するグローバルな関与のための計画

・2024.02.13 米国 AI安全研究所を設立

・2023.11.28 米国 CISA AI導入のロードマップ (2023.11.14)

・2023.06.16 米国 MITRE AIセキュリティのための賢明な規制の枠組み

・2023.05.01 米国 国家人工知能諮問委員会1年間の活動報告書

 

他にもいろいろあるので...

[AI/Deep Learning]から...

 

 

 

| | Comments (0)

公認会計士協会 公認会計士の一体的な資質・能力開発について(中間報告) (2024.08.30)

こんにちは、丸山満彦です。

日本公認会計士協会が、「公認会計士の一体的な資質・能力開発について(中間報告)」を公表し、意見を募集しているようですね...

● 公認会計士協会

・2024.08.30 「公認会計士の一体的な資質・能力開発について(中間報告)」の公表と意見募集について

・・[PDF] 本文

20240903-85520

検討結果の要旨は次のとおりとなっているようですね。

(1) 能力開発制度の横断的な整理(P11~P12)

(2) 公認会計士試験の試験科目の見直し(P12~P14)

(3) 公認会計士試験受験時及び公認会計士登録時の教育水準(P14~P15、P24)

(4) 実務経験の時期と質的・量的基準(P16~P18)

(5) 実務補習と修了考査(P18~P23)

(6) 公認会計士登録後の専門性の表示(P25)

(7) 資格取得後の能力開発(CPD)(P25~P29)

この報告書を読んでいると、会計士業界という閉じた社会を中心に生活している人もいるのかしら...少し昭和的な雰囲気もあって、味わい深いです...

 

ーーーーー

ビジネス環境の変化が早い中で、一定の実務能力を持っていることを保証する資格制度における、必要な実務能力をどのように定義するのか?その実務能力を持っていることをどのように保証するのか?そのためにはどのような維持制度が必要なのか?といったことが問題視され、こういう委員会が開催されることになるのだろうと思います。

私が公認会計士二次試験合格時の1992年当時は、やっと新人にノートPCが配布された頃で、まだまだ紙の監査調書が多く、会社側の会計や販売システムを司っているコンピュータもIBM互換機、AS/400が多かった時代でした。

米国では、監査基準 (SAS) でリスクアプローチ(確かSAS No.47:1983)がとられ、トレッドウェイ委員会の影響で内部統制の定義が変わり、監査意見形成について理論的に整理された頃でした。で、米国の影響をうけるBIg4の監査マニュアルがグローバルに統一されていく過程の最中でした。

また、継続企業(ゴーイングコンサーン)の開示についての議論が行われていた頃で、監査報告書で「会社が倒産するかもしれないという意見を監査人がいうのか?」みたいな議論もあったころでした。個人的には、会計公準としての継続企業の原則が成り立たなく可能性があるので、財務諸表に有用性が限定的かもしれないですよ。という注意喚起であると思っていました。その話を、先輩会計士と一緒にいった監査研究学会の大会で当時神戸大学の助教授だった内藤先生に話をした気がします...

それから、エンロン事件、SOX、JSOX、国際会計士連盟による世界的な標準化、等の時代になり、監査もより精緻に、、厳密に行われるようになってきています。

企業側も、企業活動の多くはコンピュータ処理によって支援を受ける形になっており、記録のみならず、予測もコンピュータを利用するようになってきています(当時から、需要予測に基づく自動発注システムはありましたが...)。AIの本格的な活用もこれからどんどん進みでいくことだろうと思います。

一方、公認会計士の業務領域の拡大も試みられ、非財務情報の保証といったことも行われるようになってきています。1992年当時であっても、Statement on Standards for Attestation Engagements No.2 (SSAE No.2)というものがあり、財務諸表監査以外の証明業務の基準はあったように思います。

また、当時は、1997年の京都議定書の発行にむけて環境問題に対する社会的な意識は高まっていたし、環境監査といった概念も登場したころでした。

今回の会計士協会の報告書は、資質・能力開発についての報告書なので、会計士はどうあるべきか?ということから問い直すというよりも、「国際教育基準(IES)及び「公認会計士に求められる資質・能力に関する報告書」を主たる立脚点」としているということになっています。

なので、ほぼ現在所与の会計士像を踏まえた議論になっているように思います。

 

| | Comments (0)

米国 CISA 接続されたコミュニティ・ガイダンス:相互接続されたシステムを保護するためのゼロ・トラスト (2024.08.29)

こんにちは、丸山満彦です。

CISAが接続されたコミュニティ・ガイダンス:相互接続されたシステムを保護するためのゼロ・トラストを公表していますね...

NISTがSP800-207でゼロトラスト・アーキテクチャーについての文書を公表したのですが、その後、国土安全保障省のCISAと国防総省のNSAがそれぞれゼロトラスト成熟度モデルを発表していますよね...

で柱がそれぞれちっと違うんですよね...何故なんでしょうね...

● CISA

・2024.08.29 [PDF] CONNECTED COMMUNITIES GUIDANCE: ZERO TRUST TO PROTECT INTERCONNECTED SYSTEMS

20240903-10642

・[DOCX][PDF] 仮訳

 


最初にCISAのゼロトラストの柱...

20240903-12557

Piller
1  Identity 1  アイデンティティ
2  Devices 2  デバイス
3  Networks 3 ネットワーク
4  Applications and Workloads 4  アプリケーションとワークロード
5  Data 5  データ
Cross-Cutting Capabilities 横断的な能力
(1) Visibility and Analytics  (1) 可視性と分析
(2) Automation and Orchestration  (2) 自動化とオーケストレーション
(3) Governance (3) ガバナンス

 

 

一方、NSA

1_20240525034101

 

USER ユーザー
DEVICE デバイス
APPLICATION & WORKLOAD アプリケーションとワークロード
DATA データ
NETWORK & ENVIRONMENT ネットワークと環境
AUTOMATION & ORCHESTRATION 自動化とオーケストレーション
VISIBLITY & ANALITICS 可視性と分析

 

だいたい同じなんですけどね(^^;;

NSAにはガバナンスがない...

 


 

まるちゃんの情報セキュリティ気まぐれ日記

CISA関係...

・2023.04.13 米国 CISA ゼロトラスト成熟度モデル V2.0 (2023.04.11)

・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

・2021.09.09米国 CISA 意見募集 ゼロトラスト成熟度モデル

 

NCA関係...

・2024.06.06 米国 NSA 可視性と分析のピラーを通じてゼロトラストの成熟度を進める (2024.05.30)

・2024.05.25 米国 NSA アプリケーションとワークロードのピラーを通してゼロトラストの成熟度を進める

・2024.04.15 米国 NSA データ・ピラー全体でゼロトラストの成熟度を進める (2024.04.09)

・2024.03.08 米国 NSA ネットワークと環境のピラーでゼロトラストの成熟度を進める (2024.03.05)

・2023.10.23 米国 NSA CSI: デバイス・ピラーを通じたゼロトラスト成熟度の推進

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

 

NIST...

2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2023.09.17 NIST SP 800-207A マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル

・2023.09.16 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.E リスクとコンプライアンスマネジメント

・2023.08.24 NIST SP 1800-35(第3次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.D 機能デモ

・2023.07.23 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 (Vol. B, C)

・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. C, D)

・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. B)

・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. A)

・2023.04.23 NIST SP 800-207A(ドラフト)マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.10.22 NISTのZero Trust Architecture実装プロジェクトに関する文書

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

 

 

| | Comments (0)

2024.09.02

オーストラリア ガバナンス協会 サイバーリスク対策プレイブック

こんにちは、丸山満彦です。

オーストラリアガバナンス協会 [wikipedia] によるサイバーリスク対応のためのガイドといったところでしょうか?

この団体は1909年に法人化された団体ですね。。。英国の勅許ガバナンス協会 (Chartered Governance Institute)  [wikipedia

 

経営陣のみならず、取締役がサイバーリスクマネジメント戦略を理解しておくことが重要ということで、リスクマネジメントの一環として取締役会の関与が重要ということになるのだろうと思います。

サイバーリスクが経営上のリスクのうちの大きな部分を占めていると認識されている以上、取締役会による関与というのは避けられないし、取締役会が関与しないという選択肢はありえないと思いますね...

 

Govenance Institute of Australia

・2024.08.18 An Essential Cyber Risk Playbook for Modern Organisations

An Essential Cyber Risk Playbook for Modern Organisations 現代の組織のための不可欠なサイバーリスク対策プレイブック
Safeguarding digital assets and maintaining robust cyber security protocols is at the heart of Governance Institute’s latest Cyber Risk Management Guide. デジタル資産の保護と強固なサイバーセキュリティプロトコルの維持は、ガバナンス研究所の最新サイバーリスクマネジメントガイドの中心的なテーマである。
Safeguarding digital assets and maintaining robust cyber security protocols is at the heart of Governance Institute’s latest Cyber Risk Management Guide.   デジタル資産の保護と強固なサイバーセキュリティプロトコルの維持は、ガバナンス研究所の最新サイバーリスクマネジメントガイドの中心的なテーマである。 
Unveiled this month, the guide highlights the importance of identifying critical assets and establishing a comprehensive data governance and protection process. It outlines how boards can determine and implement their cyber risk appetite through a well-structured cyber security framework.   今月発表されたこのガイドでは、重要な資産の識別と包括的なデータガバナンスおよび防御プロセスの確立の重要性が強調されている。 また、体系的に構築されたサイバーセキュリティの枠組みを通じて、取締役会がサイバーリスク許容度を決定し、それを実行する方法についても概説されている。
Megan Motto FGIA FCG, CEO of Governance Institute has stressed the importance of directors to be across cyber risk management strategies.  ガバナンス研究所のCEOであるミーガン・モットー(Megan Motto)FGIA FCGは、取締役がサイバーリスクマネジメント戦略を理解することの重要性を強調している。
“In today’s digital landscape, cyber risk management is not just an IT issue but a critical governance concern.”  「今日のデジタル環境において、サイバーリスクマネジメントは単なるITの問題ではなく、ガバナンス上の重要な懸念事項です。
“Our guide provides directors and executive staff with the necessary tools and frameworks to navigate the complexities of cyber security and protect their most valuable assets,” she said.   「我々のガイドは、取締役や経営陣に、サイバーセキュリティの複雑な状況を乗り切り、最も重要な資産を防御するための必要なツールとフレームワークを提供します」と彼女は述べた。 
The guide explores information security and makes clear the need for accountability and responsibility within organisations. It explores the importance of implementing effective controls to prevent, detect and respond to information security incidents. It also it underscores the necessity for organisations to possess the requisite skills and capabilities at all levels, including the board, to interpret and understand information security matters and make informed decisions.  このガイドでは、情報セキュリティについて検討し、組織内における説明責任と責任の必要性を明確にしている。また、情報セキュリティインシデントの予防、検知、対応に効果的な管理策を実施することの重要性を検討している。さらに、情報セキュリティ問題を解釈し理解し、十分な情報を得た上で意思決定を行うために、取締役会を含むあらゆるレベルで必要なスキルと能力を組織が備える必要性を強調している。
Other areas explored in our latest guide include:  最新ガイドでは、以下の項目についても取り上げている。
・The critical aspect of crisis management, detailing how senior executives and board members should interact with incident management teams, technical teams, corporate teams, customer management and media relations during a cyber event.  ・危機管理の重要な側面として、サイバーイベント発生時に、経営幹部や取締役がインシデント管理チーム、技術チーム、企業チーム、顧客管理、メディア対応とどのように連携すべきかを詳細に説明している。
・A framework for making pre-emptive decisions, such as whether to pay a ransomware demand and the legal implications of such actions.  ・ランサムウェアの要求に応じるかどうか、またそのような行動が法律に抵触する可能性があるかどうかなど、先を見越した意思決定を行うための枠組み。
・Notification requirements for cyber incidents, including regulatory, contractual, and reputational obligations.   ・規制、契約、評判に関する義務など、サイバーインシデントに関する通知要件。 
・Advises on the appropriate timing for notifying insurers and the specific policies under which claims should be made.  ・保険会社への通知の適切なタイミングや、保険請求を行うべき特定の保険契約に関するアドバイス。
The release of this guide comes at an important time, as organisations face an ever-evolving threat landscape. By adopting the principles and practices outlined in Governance Institute’s Cyber Risk Management Guide, organisations can strengthen their resilience against cyber threats and ensure they are well-prepared to respond to incidents effectively.   このガイドの発表は、進化し続ける脅威の状況に企業が直面しているという重要なタイミングである。ガバナンス・インスティチュートのサイバーリスクマネジメントガイドに概説されている原則と実践を採用することで、企業はサイバー脅威に対するレジリエンシーを強化し、インシデントに効果的に対応するための十分な準備ができていることを確実にすることができる。 

 

 

Effective Cyber Risk Management: A best practice governance guide

Effective Cyber Risk Management: A best practice governance guide 効果的なサイバーリスクマネジメント:ガバナンスのベストプラクティスガイド
Navigate the complexities of cyber security with this helpful resource. この役立つリソースでサイバーセキュリティの複雑性をナビゲートする。
In the face of an ever-changing cyber threat landscape, Governance Institute of Australia has unveiled a pivotal resource for leaders titled, ‘Effective Cyber Risk Management: A best practice governance guide for digitally secure and resilient organisations.’ The guide is a comprehensive publication designed to fortify your organisation’s digital defences and guide you through the complexities of cyber security.  オーストラリアのガバナンス研究所は、刻々と変化するサイバー脅威の状況を踏まえ、リーダーのための重要なリソースとして『効果的なサイバーリスクマネジメント:デジタルセキュリティとレジリエンスを備えた組織のためのガバナンスのベストプラクティスガイド』を発表した。このガイドは、組織のデジタル防御を強化し、サイバーセキュリティの複雑性をナビゲートするための包括的な出版物である。
As an important piece of thought leadership, the guide empowers directors and executive staff with the tools and knowledge to safeguard your organisation’s most valuable assets. Megan Motto FGIA FCG, CEO of Governance Institute, emphasises, “Cyber risk management transcends IT; it’s a fundamental governance imperative.”  重要な思考リーダーシップの一環として、このガイドは、貴社の最も重要な資産を守るためのツールと知識を役員や経営陣に提供する。ガバナンス研究所のCEOであるメーガン・モットーFGIA FCGは、「サイバーリスクマネジメントはITの枠を超えたものであり、ガバナンスの根幹をなす必須事項である」と強調する。
A framework for operational excellence by aligning your cyber risk appetite with actionable strategies. It underscores the criticality of:  サイバーリスク許容度と実行可能な戦略を整合させることで、業務の卓越性を実現するための枠組み。
・Identifying and protecting key assets  ・重要な資産の識別と防御 
・Implementing robust data governance  ・強固なデータガバナンスの実施
・Ensuring accountability at all organisational levels  ・すべての組織レベルにおける説明責任の確保
Navigate crisis situations with confidence as our guide illuminates:  当社のガイドでは、以下の点について説明しており、危機的状況にも自信を持って対応できる。
・The dynamics of crisis management teams  ・危機管理チームのダイナミクス
・Decision-making frameworks for ransomware demands  ・ランサムウェアの要求に対する意思決定の枠組み
・Legal and notification requirements for cyber incidents  ・サイバーインシデントに関する法的および通知要件
Stay ahead of threats and elevate your organisation’s cyber resilience and readiness. Embrace the principles and practices that will shield you from cyber threats and position you to respond decisively to any incident.  脅威に先手を打ち、組織のサイバーレジリエンシーと対応力を高める。サイバー脅威から身を守り、あらゆるインシデントに迅速に対応できる体制を整えるための原則と実践を取り入れる。

 

 

・[PDF

20240902-103112

・[DOCX][PDF] 仮訳

 

目次...

1. About us 1. はじめに
・ Acknowledgements ・ 謝辞
2. Foreword 2. まえがき
3. Introduction 3. 序文
・ The cyber risk landscape ・ サイバーリスクの現状
・ Why this guide? ・ なぜこのガイドなのか?
・ Navigating this guide ・ このガイドの使い方
4. What is Cyber Risk? 4. サイバーリスクとは何か?
・ Is ‘cyber security’ the same as ‘information security’? ・ 「サイバーセキュリティ」と「情報セキュリティ」は同じものなのか?
・ Examples of cyber threats ・ サイバー脅威の例
5. Key elements of governance 5. ガバナンスの主要要素
・ The role of the board and board committees ・ 取締役会および取締役会委員会の役割
・ The role of the board ・ 取締役会の役割
・ Board committees ・ 取締役会委員会
・ Accountability and responsibility ・説明責任と責任
・ Reporting ・報告
・ Assurance ・保証
6. Elements of a Cyber Risk Management Framework 6. サイバーリスク管理フレームワークの要素
・ Start with a cyber risk strategy ・サイバーリスク戦略から始める
・ Monitor ・モニタリング
・ Adapt ・適応
・ Evaluate ・評価
・ Integration with Risk Framework ・リスクフレームワークとの統合
・ Adopting a Standard ・標準の採用
・ Role of Culture ・企業文化の役割
・ Capability and resourcing ・能力とリソース
・ Question to ask about your framework ・自社のフレームワークに関する質問
7. Risk Management Process 7. リスクマネジメントプロセス
・ Risk identification, assessment and evaluation ・リスクの識別、アセスメント、および評価
・ Risk treatment and controls ・リスクの処理と制御
・ Incident, crisis management and business continuity planning ・ インシデント、危機管理、事業継続計画
・ Planning ・ 計画
・ Training, tests, and exercises ・ トレーニング、テスト、演習
・ Post-incident review and lessons learned ・ インシデント後のレビューと教訓
・ Emerging regulation and government assistance ・ 新たな規制と政府支援
8. The Regulatory Landscape 8. 規制の概観
・ Emerging regulatory areas ・ 新たな規制分野
9. Standards, Frameworks and Certifications 9. 標準、フレームワーク、認証
・ Cyber Risk Management and Cyber Security ・ サイバーリスクマネジメントとサイバーセキュリティ
・ International Standards (IT) ・ 国際標準(IT
・ International Standard (Risk) ・ 国際標準(リスク
・ International Standard (Business Continuity) ・ 国際標準(事業継続
・ Australian Commonwealth Government Entities ・ オーストラリア連邦政府事業体
・ APRA-regulated entities: ・ APRA(オーストラリア健全性規制庁)規制事業体:
・ Payment card processing: ・ ペイメントカード処理:
10. Resources 10. リソース
・ Reporting to government ・ 政府への報告
・ Privacy ・ プライバシー
・ Cyber Resilience and Security Guidance ・ サイバーレジリエンスおよびセキュリティに関するガイダンス
・ Charities ・ 慈善団体
・ Scams ・ 詐欺
・ International ・ 国際
11. International Regulations 11. 国際規制
12. Acronyms and Glossaries 12. 略語と用語集
・ Glossaries of cybersecurity terms: ・ サイバーセキュリティ用語集:
13. References 13. 参考文献
・ Reports ・ レポート
・ Guides ・ ガイド
・ Articles ・ 記事
・ Other ・ その他

 

これは参考になるかもですね...

取締役会のチェックリスク

Are processes in place to monitor the evolving regulatory landscape and is the Board sufficiently informed about current and prospective laws and standards ahead of meetings and when decisions are being made? 進化する規制の状況を監視するプロセスは整備されているか。また、取締役会は、会議前や意思決定時に、現在および将来の法律や標準について十分な情報を得ているか。
Is the organisation’s risk framework regularly reviewed and does the board have processes to ensure management obtains independent advice and assurance where required? 組織のリスクフレームワークは定期的に見直され、取締役会は、マネジメントが必要に応じて独立した助言や保証を得られるようなプロセスを設けているか。
How does the Board ensure a whole-of-organisation risk culture, including a security-aware culture? 取締役会は、セキュリティを意識した文化を含む組織全体のリスク文化をどのように確保しているか。
Ensuring the appropriate and balanced level of investment in cyber security relative to the cyber risks facing the organisation. 組織が直面するサイバーリスクに対して、適切かつバランスの取れたサイバーセキュリティへの投資水準を確保する。
Deciding on the appropriate cyber governance structure to meet business goals. ビジネス目標を達成するために適切なサイバーガバナンス構造を決定する。
Ensuring the board receives appropriate education on cyber security and risk management.  取締役会がサイバーセキュリティとリスクマネジメントに関する適切な教育を受けるようにする。 
Overseeing the overall governance framework, including risk management and cyber security. リスクマネジメントやサイバーセキュリティを含むガバナンスの枠組み全体を監督する。
Ensuring appropriate reporting to the board, or through its committees, on cyber strategies, risks, projects, and activities, サイバー戦略、リスク、プロジェクト、活動について、取締役会または委員会を通じて適切な報告を行う、
Requiring management of stakeholders, including shareholders, customers, regulators, and the community. 株主、顧客、規制当局、地域社会を含む利害関係者の管理を義務付ける。
Ensuring that contracting risk is managed in accordance with the organisation’s delegations framework. 契約リスクが組織の権限委譲の枠組みに従って確実にマネジメントされるようにする。
Understanding and overseeing data governance. データガバナンスを理解し、監督する。

 

オーストラリア証券投資委員会 (Australian Securities and Investments Commission; ASIC) の取締役会に対する質問

Risk management framework リスクマネジメントの枠組み
Are cyber risks an integral part of the organisation’s risk management framework? サイバーリスクは組織のリスクマネジメントフレームワークに不可欠な要素となっているか?
How often is the cyber resilience program reviewed at the board level? 取締役会レベルでのサイバーレジリエンスプログラムのレビューの頻度はどの程度か。
What risk is posed by cyber threats to the organisation’s business? サイバー脅威が組織のビジネスにもたらすリスクは何か?
Does the board need further expertise to understand the risk?  取締役会はリスクを理解するためにさらなる専門知識が必要か? 
Monitoring cyber risk サイバー・リスクの監視
How can cyber risk be monitored and what escalation triggers should be adopted? サイバー・リスクをどのように監視し、どのようなエスカレーション・トリガーを採用すべきか。
Controls コントロール
What is the people strategy around cyber security? サイバーセキュリティをめぐる人材戦略とは何か?
What is in place to protect critical information assets? 重要な情報資産を保護するために、どのようなことが行われているか?
Response 対応
What needs to occur in the event of a breach? 違反が発生した場合、何が必要なのか?

 

もとはオーストラリア証券投資委員会のこちらです、、、

Key questions for an organisation’s board of directors, ASIC.

 

サイバーリスク報告のために考慮すべき質問

How often should the board and executive team receive reporting on cyber risk? 取締役会と経営陣は、どれくらいの頻度でサイバーリスクに関する報告を受けるべきか。
How often should the board discuss cyber risk with management? 取締役会はどれくらいの頻度でサイバーリスクについてマネジメントと話し合うべきか?
How are cyber risk appetite or tolerance levels defined and measured to inform reporting levels? サイバーリスクの選好度や許容度はどのように定義され、報告レベルに反映されるのか。
What are the most useful cybersecurity metrics to report to boards and executive teams in your organisation? 組織の取締役会や経営陣に報告する最も有用なサイバーセキュリティ指標は何か。
What other reporting or information do they need to put these metrics in context? (For example,  an overview of technology architecture). これらのメトリクスをコンテキストに当てはめるために、他にどのようなレポートや情報が必要なのか。(例えば、技術アーキテクチャの概要など)。
How can we ensure the information is both accurate and timely? 情報が正確でタイムリーであることをどうすれば保証できるのか?
How much information is too much or not enough? 情報量は多すぎるのか、それとも足りないのか。
What constitutes an incident disclosable/reportable externally? Have we checked the current legislative requirements relevant to our industry and organisation? 何をもってインシデントを外部に開示/報告できるものとするか?私たちの業界や組織に関連する現行の法律要件を確認したか?
How does the board determine materiality in relation to cyber security risks to inform prioritisation and compliance with disclosure requirements? 取締役会は、サイバーセキュリティリスクに関連する重要性をどのように判断し、優先順位付けと開示要件の遵守に役立てているか。

 

 

 

| | Comments (0)

米国 NSA "No Such Agency"による"No Such Podcast" が2024.09.05から始まります(毎週 6回シリーズ)

こんにちは、丸山満彦です。

国家安全保障局 (NSA) [wikipedia]は米国の情報機関の中でも通信の諜報活動 (SIGINT) を主に担当している国防総省の管轄下の部門ですね。。。1952年に設立されたようですが、国家機密を取り扱う省庁なので、あまりその活動が知られてこなかったということもあって?(映画ではよく登場しますが...)、機密指定解除された情報によるポッドキャストでその業務内容を理解してもらおうとしているようです。。。

ちなみに、中央情報局 (CIA) [wikipedia]はHUMINTを中心にしている情報機関で大統領直轄の機関です...

というNSAが、2024.09.05から毎週、10月中旬まで6回シリーズでポッドキャストをするようです。第1回目はウサマ・ビンラディンを逮捕するための米国政府の努力に対するNSAのSIGINTの貢献についての内容ですね...

 

NSA

1_20240902094101

プレス...

・2024.08.29 NSA to Launch ‘No Such Podcast,’ Pulling Back Curtain on Mission, Culture, People

 

 

 

PodCastはこちらで...

NSA.gov/Podcast

 

 

 

 

| | Comments (0)

米国 CISA サイバー報告の改善に向けた新しいポータルを開設 (2024.08.29)

こんにちは、丸山満彦です。

米国のCISAが、自主的なサイバーインシデント報告のウェブページを公開していますね...

アカウントを作成して登録すると、進捗を保存して、またその続きから入力できるようにしたり、CISA側でも進捗を確認できたりするようです...

匿名での報告も引き続きできます。

自主的にインシデント報告することが、インシデント発生者にとってもメリットがあるような仕組みをつくろうというのは素晴らしいですね。強制的に報告させる仕組みをつくることもできるでしょうが、自主的に報告することにメリットがあるのであれば、より多くの、より有益な情報が多く、集まることになり、その情報を適切に分析することにより、より社会に有益なフィードバックができるようになりますよね...

 

● CISA

プレス

・2024.08.29 CISA Launches New Portal to Improve Cyber Reporting

CISA Launches New Portal to Improve Cyber Reporting CISA、サイバー報告の改善に向けた新しいポータルを開設
CISA Services Portal and Voluntary Cyber Incident Reporting webpage, with resources and frequently asked questions, is now live CISAサービスポータルおよび自主的なサイバーインシデント報告に関するウェブページが公開され、リソースやよくある質問が掲載されている
WASHINGTON – Today, the Cybersecurity and Infrastructure Security Agency (CISA) announces its cyber incident reporting form moved to the new CISA Services Portal as part of its ongoing effort to improve cyber incident reporting
.
ワシントン – サイバーセキュリティ・インフラセキュリティ庁(CISA)は本日、サイバーインシデント報告の改善に向けた継続的な取り組みの一環として、サイバーインシデント報告フォームを新しいCISAサービスポータルに移行したことを発表した。
The Portal is a secure platform with enhanced functionality for cyber incident reporting, including integration with login.gov credentials. The portal’s enhanced functionality includes the ability to save and update reports, share submitted reports with colleagues or clients for third-party reporting, and search and filter reports. A new collaboration feature allows users to engage in informal discussions with CISA. このポータルは、ログイン.govの認証情報との統合など、サイバーインシデント報告のための機能強化されたセキュアなプラットフォームである。ポータルの機能強化には、報告の保存と更新、同僚やクライアントとの報告の共有、サードパーティ報告のための報告の検索とフィルタリングなどが含まれる。新しいコラボレーション機能により、ユーザーはCISAと非公式な議論を行うことができる。
“Any organization experiencing a cyber attack or incident should report it – for its own benefit, and to help the broader community. CISA and our government partners have unique resources and tools to aid with response and recovery, but we can’t help if we don’t know about an incident,” said CISA Executive Assistant Director for Cybersecurity Jeff Greene. “Sharing information allows us to work with our full breadth of partners so that the attackers can’t use the same techniques on other victims, and can provide insight into the scale of an adversary’s campaign. CISA is excited to make available our new portal with improved functionality and features for cyber reporting.” CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターであるジェフ・グリーン氏は次のように述べた。
「サイバー攻撃やインシデントを経験した組織は、必ず報告すべきです。自らの利益のため、そしてより広範なコミュニティを支援するためです。CISAと政府パートナーは、対応と復旧を支援する独自の資源とツールを備えていますが、インシデントについて知らなければ支援はできません。情報を共有することで、私たちはパートナーの皆様と協力し、攻撃者が他の被害者に同じ手口を使えないようにし、敵対者のキャンペーンの規模に関する洞察を提供することができます。CISAは、サイバー報告のための機能と特徴を改善した新しいポータルを公開できることを嬉しく思います。」
To guide incident reporters through the reporting process, CISA also released a voluntary cyber incident reporting resource. It helps entities understand “who” should report an incident, “why and when” they should report, as well as “what and how to report.” Several resources to reduce cyber risk are also available. インシデント報告者を報告プロセスに導くため、CISAは自主的なサイバーインシデント報告リソースも公開した。このリソースは、インシデントを報告すべき「誰」、報告すべき「理由とタイミング」、および「何をどのように報告するか」について、事業体が理解するのに役立つ。また、サイバーリスクを軽減するリソースもいくつか利用可能である。
CISA encourages all organizations to take advantage of its new streamlined portal and voluntarily report cyber incidents. CISAは、すべての組織がこの新しい合理化されたポータルを活用し、自主的にサイバーインシデントを報告することを推奨している。
Learn more by visiting the CISA Services Portal and Voluntary Cyber Incident Reporting Resource. CISAサービスポータルおよび自主的なサイバーインシデント報告リソースにアクセスして、詳細をご確認ください。

ポータルのトップ...

CISA Services Portal

20240902-64414

 

 

報告...

Report to CISA

・・インシデント報告

アカウント登録しないといけませんが...

・・インジケーターの提出

・・マルウェアの報告(米国国民限定) 

・・脆弱性の報告(CMUのウェブーページ)

・・米国政府ウェブサイトの脆弱性の報告(CMUのウェブーページ)

 

参考

インシデントハンドリングガイド...

・2012.08.06 [PDF] NIST SP800-61 r2 Computer Security Handling Guide

20240902-72932

r3のドラフトが2024.04.03に公開され、意見募集されていました...

 

 

連邦政府インシデント通知ガイド

・[HTML] Federal Incident Notification Guidelines

・[PDF] US-CERT Federal Incident Notification Guidelines

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.04.05 米国 意見募集 NIST SP 800-61 Rev.3(初期公開ドラフト) サイバーセキュリティリスクマネジメントのためのインシデント対応の推奨と考慮事項: CSF 2.0 コミュニティプロファイル

 

 

| | Comments (0)

2024.09.01

米国 CISA FBI MS-ISAC HHS RansomHubランサムウェアに対する警告 (2024.08.29)

こんにちは、丸山満彦です。

CISA(サイバーセキュリティ・重要インフラセキュリティ庁)、FBI(連邦捜査局)、MS-ISAC(複数州情報共有分析センター)、HHS(保健福祉省)が共同で、既知のRansomHubランサムウェアのIOCおよびTTPを周知するためのアドバイザリーを公表していますね...

 

CISA

・2024.08.29 CISA and Partners Release Advisory on RansomHub Ransomware

CISA and Partners Release Advisory on RansomHub Ransomware CISAとパートナーがランサムウェア「RansomHub」に関する勧告を発表
Today, CISA—in partnership with the Federal Bureau of Investigation (FBI), Multi-State Information Sharing and Analysis Center (MS-ISAC), and Department of Health and Human Services (HHS)—released a joint Cybersecurity Advisory, #StopRansomware: RansomHub Ransomware. This advisory provides network defenders with indicators of compromise (IOCs), tactics, techniques, and procedures (TTPs), and detection methods associated with RansomHub activity identified through FBI investigations and third-party reporting as recently as August 2024. 本日、CISAは連邦捜査局(FBI)、多州間情報共有・分析センター(MS-ISAC)、保健福祉省(HHS)と共同で、サイバーセキュリティに関する共同勧告「#StopRansomware: RansomHub Ransomware(ランサムウェアの阻止:RansomHubランサムウェア)」を発表した。この勧告は、2024年8月に行われたFBIの調査およびサードパーティからの報告により識別されたRansomHubの活動に関連する、侵害の兆候(IOC)、戦術、技術、手順(TTP)、および検知方法について、ネットワーク防御者に提供するものである。
RansomHub is a ransomware-as-a-service variant—formerly known as Cyclops and Knight—which has recently attracted high-profile affiliates from other prominent variants such as LockBit and ALPHV. RansomHubは、以前はCyclopsやKnightとして知られていたランサムウェア・アズ・ア・サービス(RaaS)の亜種であり、最近ではLockBitやALPHVなどの他の著名な亜種から注目度の高い関連組織を引きつけている。
CISA encourages network defenders to review this advisory and apply the recommended mitigations. See #StopRansomware and the #StopRansomware Guide for additional guidance on ransomware protection, detection, and response. Visit CISA’s Cross-Sector Cybersecurity Performance Goals for more information on the CPGs, including added recommended baseline protections. CISAは、ネットワークの防御担当者に本勧告を確認し、推奨される低減策を適用するよう促している。ランサムウェアの防御、検知、対応に関する追加のガイダンスについては、#StopRansomwareおよび#StopRansomwareガイドを参照のこと。推奨される追加のベースライン防御策を含むCPGの詳細については、CISAの「Cross-Sector Cybersecurity Performance Goals」を参照のこと。
CISA encourages software manufacturers to take ownership of improving the security outcomes of their customers by applying secure by design methods. For more information on Secure by Design, see CISA’s Secure by Design webpage and joint guide Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software. CISAは、ソフトウェア製造事業者に対して、セキュア・バイ・デザイン手法を適用することで、顧客のセキュリティ成果の改善に責任を持つことを推奨している。セキュア・バイ・デザインの詳細については、CISAのセキュア・バイ・デザインに関するウェブページおよび共同ガイド「サイバーセキュリティリスクのバランスを変える:セキュア・バイ・デザインソフトウェアのための原則とアプローチ」を参照のこと。

 

 

・2024.08.29 #StopRansomware: RansomHub Ransomware

#StopRansomware: RansomHub Ransomware #StopRansomware:ランサムウェア
Alert Code : AA24-242A 警告コード:AA24-242A
Actions to take today to mitigate cyber threats from ransomware: ランサムウェアによるサイバー脅威を低減するために今日行うべき対策:
・Install updates for operating systems, software, and firmware as soon as they are released. ・オペレーティングシステム、ソフトウェア、およびファームウェアのアップデートがリリースされたら、できるだけ早くインストールする。
・Require phishing-resistant MFA (i.e., non-SMS text based) for as many services as possible. ・可能な限り多くのサービスで、フィッシングに強いMFA(SMSテキストベースではない)を要求する。
・Train users to recognize and report phishing attempts. ・ユーザーにフィッシングの試みを認識し報告するようトレーニングする。
Summary まとめ
Note: This joint Cybersecurity Advisory is part of an ongoing #StopRansomware effort to publish advisories for network defenders that detail various ransomware variants and ransomware threat actors. These #StopRansomware advisories include recently and historically observed tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs) to help organizations protect against ransomware. Visit stopransomware.gov to see all #StopRansomware advisories and to learn more about other ransomware threats and no-cost resources. 注:この共同サイバーセキュリティ勧告は、さまざまなランサムウェアの亜種とランサムウェアの脅威行為者を詳細に説明する勧告をネットワーク防御者に公表する、継続中の#StopRansomware活動の一部である。これらの #StopRansomware 勧告には、最近および過去に観測された戦術、技術、手順(TTP)や侵入の痕跡(IOC)が含まれており、組織がランサムウェアに対する防御を強化するのに役立つ。stopransomware.gov にアクセスすると、すべての #StopRansomware 勧告を確認できるほか、その他のランサムウェアの脅威や無償のリソースについて詳しく知ることができる。
The Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), the Multi-State Information Sharing and Analysis Center (MS-ISAC), and the Department of Health and Human Services (HHS) (hereafter referred to as the authoring organizations) are releasing this joint advisory to disseminate known RansomHub ransomware IOCs and TTPs. These have been identified through FBI threat response activities and third-party reporting as recently as August 2024. RansomHub is a ransomware-as-a-service variant—formerly known as Cyclops and Knight—that has established itself as an efficient and successful service model (recently attracting high-profile affiliates from other prominent variants such as LockBit and ALPHV). 連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、複数州情報共有・分析センター(MS-ISAC)、保健福祉省(HHS)(以下、作成組織)は、既知のRansomHubランサムウェアのIOCおよびTTPを周知するために、この共同勧告を発表する。これらは、2024年8月にもFBIの脅威対応活動やサードパーティの報告を通じて識別されている。RansomHubは、以前はCyclopsやKnightとして知られていたランサムウェア・アズ・ア・サービス(RaaS)の亜種であり、効率的で成功したサービスモデルとして確立されている(最近では、LockBitやALPHVなどの他の著名な亜種から注目度の高い提携先を引きつけている)。
Since its inception in February 2024, RansomHub has encrypted and exfiltrated data from at least 210 victims representing the water and wastewater, information technology, government services and facilities, healthcare and public health, emergency services, food and agriculture, financial services, commercial facilities, critical manufacturing, transportation, and communications critical infrastructure sectors. 2024年2月の発足以来、RansomHubは、上下水道、IT、政府サービスおよび施設、ヘルスケアおよび公衆衛生、緊急サービス、食品および農業、金融サービス、商業施設、重要製造事業者、交通、コミュニケーションといった重要インフラ部門の少なくとも210人の被害者からデータを暗号化し、外部に持ち出している。
The affiliates leverage a double-extortion model by encrypting systems and exfiltrating data to extort victims. It should be noted that data exfiltration methods are dependent on the affiliate conducting the network compromise. The ransom note dropped during encryption does not generally include an initial ransom demand or payment instructions. Instead, the note provides victims with a client ID and instructs them to contact the ransomware group via a unique .onion URL (reachable through the Tor browser). The ransom note typically gives victims between three and 90 days to pay the ransom (depending on the affiliate) before the ransomware group publishes their data on the RansomHub Tor data leak site. このグループは、システムを暗号化しデータを外部に持ち出すという二重の恐喝モデルを活用して、被害者から金銭を脅し取っている。 データ外部流出の手法は、ネットワーク侵害を実行するグループによって異なる点に留意すべきである。 暗号化中にドロップされる身代金要求書には、通常、当初の身代金要求や支払い指示は含まれていない。代わりに、そのメモにはクライアントIDが記載されており、Torブラウザでアクセス可能な.onion URLを通じてランサムウェアグループに連絡するよう指示されている。 ランサムメモでは、通常、ランサムウェアグループがTorデータ漏洩サイトRansomHubにデータを公開する前に、被害者に3日から90日の間に身代金を支払うよう求めている(アフィリエイトによって異なる)。
The authoring organizations encourage network defenders to implement the recommendations in the Mitigations section of this cybersecurity advisory to reduce the likelihood and impact of ransomware incidents. 作成組織は、ネットワークの防御担当者に、ランサムウェアのインシデントの可能性と影響を低減するために、このサイバーセキュリティ勧告の「低減策」セクションに記載されている推奨事項を実施するよう呼びかけている。

 

・[PDF

20240901-91746

 

 

 

 

| | Comments (0)

経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0 (2024.08.29)

こんにちは、丸山満彦です。

経済産業省が、ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0を公表していますね...昨年、2023.07.23に初版を公表して、2024.04.26にドラフトが意見募集され、その反映を受けて2024.08.29に確定していますね...

 

Ver1.0の内容に加えて、以下の内容を盛り込んでいるようですね...

PDFのページ数では167ページです...


(1)脆弱性管理プロセスの具体化(第7章)

SBOMを活用することで、ソフトウェアの脆弱性管理を通じた脆弱性リスクの低減が効果として見込まれていることから、SBOMを活用するプロセスの中でも、脆弱性管理に関するフェーズが特に重要です。本章では、ソフトウェアの脆弱性を管理する一連プロセスにおいてSBOMを効果的に活用するための具体的な手順と考え方をまとめることで、SBOM活用による効果を高めるための参考情報を提供しています。

(2)「SBOM対応モデル」の追加(8.付録)

本モデルでは、SBOM導入の効果及びコストを勘案して実際にSBOMを導入することが妥当な範囲を検討するためのフレームワークを示しています。当該フレームワークを用いることで、高度な管理を行えるソフトウェア、すなわちセキュアなソフトウェアが市場に適切に評価され、その流通が促進されることが期待できます。

(3)「SBOM取引モデル」の追加(9.付録)

本モデルでは、ソフトウェア部品の受発注において、調達者と供給者の間でSBOMに関して契約に規定すべき事項(要求事項、責任、コスト負担、権利等)について参考となる例を示しています。


 

実務に充てる影響が大きいと想定されるためか、意見も多く集まっているように思いました。意見の内容を読むと、ガイドの内容をより深く理解できるかもしれませんね...

 

経済産業省

・2024.08.29 サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引を策定しました

 

・[PDF] ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0

20240901-12241

 目次...

1. 背景と目的
1.1.
背景
1.2.
目的
1.3.
主な対象読者
1.4.
主な対象ソフトウェア
1.5.
本書の構成と活用方法
1.6.
本手引のサマリー

2. SBOM の概要
2.1. SBOM
とは
2.2. SBOM
導入のメリット
2.3. SBOM
の「最小要素」
2.4. SBOM
フォーマットの例
2.5. SBOM
に関する誤解と事実

3. SBOM 導入に関する基本指針・全体像
3.1. SBOM
導入における基本指針
3.2. SBOM
導入プロセス

4. 環境構築・体制整備フェーズにおける実施事項・認識しておくべきポイント
4.1. SBOM
適用範囲の明確化
4.2. SBOM
ツールの選定
4.3. SBOM
ツールの導入・設定
4.4. SBOM
ツールに関する学習

5. SBOM 作成・共有フェーズにおける実施事項・認識しておくべきポイント
5.1.
コンポーネントの解析
5.2. SBOM
の作成
5.3. SBOM
の共有

6. SBOM 運用・管理フェーズにおける実施事項・認識しておくべきポイント
6.1. SBOM
に基づく脆弱性管理、ライセンス管理等の実施
6.2. SBOM
情報の管理

7. 脆弱性管理プロセスの具体化
7.1.
目的
7.2.
脆弱性管理における課題・問題認識
7.3.
プロセス全体像
7.4.
各フェーズの手順と方法

8. 付録:SBOM 対応モデル
8.1.
目的と背景
8.2. SBOM
可視化フレームワークと対応モデル
8.3. SBOM
対応モデルと活用方法
8.4. SBOM
対応モデルの参考例(自動車分野)
8.5. SBOM
対応モデルの参考例(ソフトウェア製品分野)
8.6. SBOM
対応モデルの参考例(医療機器分野)
8.7. SBOM
対応モデル(案)の分野横断比較

9. 付録:SBOM 取引モデル
9.1.
背景と目的(問題認識)
9.2.
概要
9.3.
取引モデルの考え方
9.4. SBOM
取引モデル
9.5. SBOM
対応モデルと SBOM 取引モデルの関係と位置づけ
9.6.
既存のモデル契約書との関係
9.7.
活用パターン
9.8.
課題と今後の検討の方向性

10. 付録:チェックリスト・用語集等
10.1. SBOM
導入に向けた実施事項チェックリスト
10.2.
用語集
10.3.
参考情報

 

 

・[PDF] ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0概要資料

20240901-12424

 

・[XLS] ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0付録チェックリスト

 

 


 

e-Gov

・2024.08.29 「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0(案)」に対する意見募集の結果について

・[PDF] 意見募集で寄せられた御意見に対する考え方  

20240901-20516

 


 

経済産業省 - サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース

Ver1.0からの議論

2024.08.21 第13回 資料1 議事次第・配布資料一覧
資料2 委員名簿
資料3 サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォースの検討の方向性
参考資料1 ソフトウェア管理に向けたSBOMの導入に関する手引ver2.0(案)」に対する意見募集で寄せられた御意見に対する考え方
参考資料2 ソフトウェア管理に向けたSBOMの導入に関する手引ver2.0(案)
2024.02.28 第12回 資料1 議事次第・配布資料一覧
資料2 委員名簿
資料3 サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォースの検討の方向性
資料4 通信分野におけるSBOMの導入に向けた検討について
参考資料 ソフトウェア管理に向けたSBOMの導入に関する手引Ver2.0(案)
議事要旨
2023.10.31 第11回 資料1 議事次第・配布資料一覧
資料2 委員名簿
資料3 サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォースの検討の方向性
資料4 デジタル庁におけるTrustworthyなサービス実現のための取り組み
議事要旨
2023.07.18 第10回  
2023.02.28 第9回  
2022.11.28 第8回  
2022.07.26 第7回  
2022.03.03 第6回  
2021.10.29 第5回  
2021.01.13 第4回  
2019.12.04 第3回  
2019.11.06 第2回  
2019.09.05 第1回  

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

SBOM関係...

・2024.05.26 中国 TC260 意見募集 国家標準「ネットワークセキュリティ技術ソフトウェア部品表 (SBOM) データフォーマット」案 (2024.05.16)

・2024.03.14 IPA NIST SP 800-161 rev.1 システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティスの翻訳 (2024.01.31)

・2024.01.08 米国 NSA SBOM管理のための推奨事項 (Ver. 1.1)

・2023.11.12 米国 NSA CISA ソフトウェアサプライチェーンの確保: ソフトウェア部品表の開示に関する推奨事項

・2023.11.09 米国 CISA 脆弱性悪用可能性交換情報の発行時期

・2023.09.26 米国 CISA サプライチェーンリスクマネジメント(SCRM)のためのハードウェア部品表フレームワーク(HBOM)

・2023.09.18 米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ

・2023.09.01 NIST SP 800-204D(初期公開ドラフト)DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略

・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183:製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)

・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

・2023.04.25 米国 CISA SBOM関連の二文書

・2023.04.18 国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13)

・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...

・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践

・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善

・2022.09.18 米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表

・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

 

 

 

 

 

 

| | Comments (0)

2024.08.31

中国 2025年までにIoT分野で30以上の新しい国家標準と業界標準を開発する見込み

こんにちは、丸山満彦です。

中国政府が、2025年までにIoT分野で30以上の新しい国家標準と業界標準を開発する見込みであると発表していますね...

そして、その国家標準、業界標準は国際標準に提案されていくことになりますね...かつて英国は、英国標準を国際標準にしていくことを結構していましたが(例えば、ISO9001、ISO14001、ISO27001といったマネジメントシステム認証の国際標準もかつては英国標準でした...)、それと同じようなことをかんがえているのかもしれませんね...

 

中华人民共和国中央人民政府

・2024.08.27 预计到2025年我国新制定30项以上物联网领域国家标准和行业标准

预计到2025年我国新制定30项以上物联网领域国家标准和行业标准 中国は2025年までにIoT分野で30以上の新しい国家標準と業界標準を開発する見込み
新华社北京8月27日电 记者27日从工业和信息化部获悉,工业和信息化部、国家标准化管理委员会近日联合发文提出,到2025年,我国新制定物联网领域国家标准和行业标准30项以上,参与制定国际标准10项以上,引领物联网产业高质量发展的标准体系加快形成。 北京8月27日新華社:工業・情報化部(MIIT)と国家標準化管理委員会(NSAC)はこのほど、2025年までにIoT(IoT)分野で30以上の新たな国家標準と業界標準を策定し、10以上の国際標準の策定に参加することで、IoT産業の高品質な発展につながる標準システムの形成を加速させることを提案する共同文書を発表した。
物联网是以感知技术和网络通信技术为主要手段,实现人、机、物的泛在连接,提供信息感知、信息传输、信息处理等服务的基础设施。当前,我国物联网产业已形成庞大市场规模,在技术创新突破、行业融合应用、产业生态培育等方面取得积极成效。 IoTは、センス技術とネットワーク通信技術を主な手段として、人、機械、モノのユビキタス接続を実現し、情報認識、情報伝送、情報処理、その他のサービスインフラを提供するものである。 現在、中国のIoT産業は巨大な市場規模を形成しており、技術革新のブレークスルー、産業統合と応用、産業生態育成の面で成果を上げている。
根据两部门联合印发的《物联网标准体系建设指南(2024版)》,物联网标准体系包括基础标准、技术标准、建设运维标准和应用标准等4部分,其中,技术标准包括感知技术、网络与通信技术、数据处理技术、融合技术、射频与电磁兼容技术、边缘计算技术、物联网操作系统、数字孪生技术等标准。 両部門が共同で発表した「IoT標準システム構築ガイドライン(2024年版)」によると、IoT標準システムには、基本標準、技術標準、構築・運用・保守標準、応用標準の4つの部分があり、このうち技術標準には、センシング技術、ネットワーク・通信技術、データ処理技術、コンバージェンス技術、RF・電磁両立性技術、エッジコンピューティング技術、IoT・オペレーティングシステム、デジタルツイン技術などの標準が含まれる。 技術やその他の標準が含まれる。
指南提出,将加快物联网国际标准转化,提升国内和国际标准关键指标的一致性程度,积极参与国际标准化组织(ISO)、国际电工委员会(IEC)、国际电信联盟(ITU)等标准国际化活动,同全球产业链上下游企业共同制定物联网国际标准。 同ガイドは、IoTの国際標準化を加速させ、国内標準と国際標準の主要指標の整合性を向上させ、国際標準化機構(ISO)、国際電気標準会議(IEC)、国際電気通信連合(ITU)の標準の国際化に積極的に参加し、グローバル産業チェーンの上流と下流の企業と協力してIoTの国際標準を策定することを提案している。

 

● 中华人民共和国工业和信息化部

・2024.08.26 两部门关于印发物联网标准体系建设指南(2024版)的通知

两部门关于印发物联网标准体系建设指南(2024版)的通知 IoTの標準システム構築のためのガイドライン(2024年版)の発行に関する両部門の通知
工业和信息化部 国家标准化管理委员会关于印发物联网标准体系建设指南(2024版)的通知 IoTの標準システム構築のためのガイドライン(2024年版)の発行に関する工業情報化部国家標準化管理委員会の通知
工信部联科函〔2024〕206号 工業情報化部聯絡書簡[2024]第206号
各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门、市场监管局(厅、委),有关行业协会、标准化技术组织、标准化专业机构: 各省、自治区、中央政府直轄市、計画分離市、新疆生産建設兵団、工業・情報化主管部門、市場監督局(部門、委員会)、関連業界団体、標準化技術組織、標準化専門機関:
为扎实推进《新产业标准化领航工程实施方案(2023-2035年)》,加强标准工作顶层设计,引领物联网产业高质量发展,工业和信息化部、国家标准化管理委员会组织编制了《物联网标准体系建设指南(2024版)》。现印发给你们,请结合实际,抓好贯彻落实。 新産業標準化試行プロジェクト実施計画(2023-2035年)」を堅固に推進し、標準業務のトップレベル設計を強化し、IoT産業の高品質な発展をリードするため、工業情報化部と国家標準化管理委員会は『IoT標準システム構築の手引き(2024年版)』を作成した。 実情に合わせ、しっかりと実施すること。
工业和信息化部 工業情報化部
国家标准化管理委员会 国家標準化管理委員会

 

・[PDF] 物联网标准体系建设指南(2024版)[downloaded]

・[DOCX][PDF] 仮訳

 

これがIoT標準体系の全体像ですかね...

1_20240831071701

 

 

 

| | Comments (0)

«米国 GAO 環境保護庁は上下水道システムに対するサイバーセキュリティリスクに対処するための戦略を早急に立案すべき (2024.08.01)