2025.05.20

米国 NIST サイバーセキュリティ白書 CSWP 41 悪用される可能性の高い脆弱性 - 脆弱性悪用確率の提案指標

こんにちは、丸山満彦です。

NISTがセキュリティ白書 CSWP 41 悪用される可能性の高い脆弱性 - 脆弱性悪用確率の提案指標を公表していますね...


毎年公表される何万ものソフトウェアやハードウェアの脆弱性のうち、悪用されるのはごく一部である。どの脆弱性が悪用されるかを予測することは、事業体の脆弱性是正活動の効率性と費用対効果にとって重要である。


まさにその通りですよね...

何でもかんでも脆弱性を修正する必要があるかというとそうではないわけです。

それは、脆弱性の特徴をとってもそうですし、利用されている環境によっても変わってくると思います...

利用環境との関係については、各組織が個別に判断しないといけないわけですが、脆弱性の性質については、もう少し精度を上げていく余地はありそうな気がしますよね...ということでこの研究報告ということだと思います。。。

データをとってベンダーや利用者と連携して適正な効果的な手法を考えていく必要がありそうですね...

 

NIST - ITL

・2025.05.19 NIST CSWP 41 Likely Exploited Vulnerabilities: A Proposed Metric for Vulnerability Exploitation Probability

 

NIST CSWP 41 Likely Exploited Vulnerabilities: A Proposed Metric for Vulnerability Exploitation Probability NIST CSWP 41 悪用される可能性の高い脆弱性 - 脆弱性悪用確率の提案指標
Abstract 概要
This work presents a proposed security metric to determine the likelihood that a vulnerability has been observed to be exploited. Only a small fraction of the tens of thousands of software and hardware vulnerabilities that are published every year will be exploited. Predicting which ones is important for the efficiency and cost effectiveness of enterprise vulnerability remediation efforts. Currently, such remediation efforts rely on the Exploit Prediction Scoring System (EPSS), which has known inaccurate values, and Known Exploited Vulnerability (KEV) lists, which may not be comprehensive. The proposed likelihood metric may augment EPSS remediation (correcting some inaccuracies) and KEV lists (enabling measurements of comprehensiveness). However, collaboration with industry is necessary to provide necessary performance measurements. 本研究では、脆弱性が悪用される可能性を判断するためのセキュリティ指標を提案する。毎年公表される何万ものソフトウェアやハードウェアの脆弱性のうち、悪用されるのはごく一部である。どの脆弱性が悪用されるかを予測することは、事業体の脆弱性是正活動の効率性と費用対効果にとって重要である。現在のところ、このような改善努力は、不正確な値が知られている Exploit Prediction Scoring System (EPSS) や、包括的でない可能性のある Known Exploited Vulnerability (KEV) リストに依存している。提案する尤度評価指標は、EPSS の是正(不正確さの一部を修正)と KEV リストの補強(包括性の測定が可能)になるかもしれない。しかし、必要な性能測定を提供するためには、産業界との協力が必要である。

 

・[PDF]

20250520-35746

・[DOCX][PDF] 仮訳

 

目次..

1. Introduction 1. 序論
2. Background 2. 背景
2.1. Common Vulnerabilities and Exposures 2.1. 一般的な脆弱性とエクスポージャー
2.2. Exploit Prediction Scoring System 2.2. エクスプロイト予測スコアリングシステム
2.3. Known Exploited Vulnerability Lists 2.3.既知の脆弱性リスト
3. Purpose and Uses 3. 目的と用途
3.1. Measurement of the Expected Proportion of Exploited CVEs 3.1. 悪用されるCVEの予想される割合の測定
3.2. Measurement of the Comprehensiveness of KEV Lists 3.2. KEVリストの包括性の測定
3.3. Augmenting KEV-Based Remediation Prioritization 3.3. KEVに基づく修復の優先順位付けを強化する
3.4. Augmenting EPSS-Based Remediation Prioritization 3.4. EPSSに基づく改善の優先順位付けを強化する
4. Equations 4. 方程式
4.1. LEV Equation 4.1. LEV方程式
4.2. LEV2 Equation 4.2. LEV2方程式
5. Equation Derivation 5. 方程式の導出
5.1. EPSS Scores as Pre-Threat Intelligence 5.1. 脅威前のインテリジェンスとしてのEPSSスコア
5.2. EPSS Scores as Lower Bounds 5.2. 下限値としてのEPSSスコア
5.3. EPSS Scores as Conditional Probabilities 5.3. 条件付き確率としてのEPSSスコア
6. Example Output 6. 出力例
7. Empirical Results 7. 実証結果
7.1. LEV Distributions 7.1. LEV分布
7.2. Proportion of CVEs Expected to be Exploited 7.2. 悪用が予想されるCVEの割合
7.3. LEV Recall of KEV Lists 7.3. KEVリストのLEVリコール
8. KEV List Comprehensiveness Measurements and Potential Sources of Error 8. KEVリストの包括性の測定と潜在的な誤差の原因
8.1. KEV policy choice 8.1. KEVポリシーの選択
8.2. Probability error 8.2. 確率誤差
8.3. Analysis error 8.3. 分析エラー
8.4. KEV visibility error 8.4. KEV視認性エラー
8.5. Calibration error 8.5. 校正エラー
8.6. Chance 8.6. チャンス
9. Performance 9. パフォーマンス
10. Implementation and Availability 10. 実施と利用可能性
10.1. NVD Download 10.1. NVD ダウンロード
10.2. CISA KEV Download 10.2. CISA KEV ダウンロード
10.3. EPSS Download and Data 10.3. EPSSダウンロードとデータ
11. Conclusion 11. 結論
References 参考文献
Appendix A. EPSS Documentation 附属書 A.EPSS文書
Appendix B. List of Abbreviations and Acronyms 附属書B.略語と頭字語のリスト

 

 

 

| | Comments (0)

2025.05.19

フランス CNIL より良いプライバシー保護のためのモバイルアプリケーションについての勧告(2025.05.13)

こんにちは、丸山満彦です。

CNILが”Recommendation on mobile applications”を公表していますね...

・2025.05.13 Mobile applications: CNIL publishes its recommendations for better privacy protection

 

Mobile applications: CNIL publishes its recommendations for better privacy protection モバイルアプリケーション CNIL、より良いプライバシー保護のための勧告を発表
Following a public consultation, the CNIL has published the final version of its recommendations to help professionals design mobile applications that respect privacy. Starting from 2025 onwards, it will ensure that these recommendations are taken into account through enforcement actions. 公開協議の結果、CNILはプライバシーを尊重したモバイルアプリケーションを設計する専門家を支援するための勧告の最終版を公表した。2025年以降、CNILは強制措置を通じてこれらの勧告が考慮されるようにする。
French citizens increasingly use mobile applications in their daily life, whether to communicate, play, find their way around, shop, meet new people, monitor their health... In 2023, for example, they downloaded 30 applications on average and used their cell phones for an average of 3 hours 30 minutes a day (source: data.ai). フランス国民は、コミュニケーション、遊び、道案内、買い物、新しい人との出会い、健康管理など、日常生活でモバイルアプリケーションを利用する機会が増えている。例えば、2023年には、平均30個のアプリケーションをダウンロードし、1日平均3時間30分携帯電話を使用している(出典:data.ai)。
However, the mobile environment poses greater risks to data confidentiality and security than the web. しかし、モバイル環境はウェブよりもデータの機密性とセキュリティに大きなリスクをもたらす。
Mobile applications have access to more varied and sometimes more sensitive data, such as real-time location, photographs and health data. Moreover, the permissions required from users to access functions and data on their device are often quite extensive (microphone, contact list, etc.). Finally, many stakeholders are involved in the operation of a single application, and are therefore likely to collect or share personal data. モバイル・アプリケーションは、リアルタイムの位置情報、写真、健康データなど、より多様で、時にはよりセンシティブなデータにアクセスできる。さらに、ユーザーがデバイス上の機能やデータにアクセスするために必要なアクセス許可は、かなり広範囲に及ぶことが多い(マイク、連絡先リストなど)。最後に、1つのアプリケーションの運用には多くの関係者が関与するため、個人データを収集または共有する可能性が高い。
In its recommendations, the CNIL reiterates the principles laid down by law and offers advice to help professionals design privacy-friendly applications. CNILは勧告の中で、法律で定められた原則を繰り返し、専門家がプライバシーに配慮したアプリケーションを設計するのに役立つアドバイスを提供している。
Recommendations for better GDPR compliance GDPRコンプライアンス向上のための提言
Resources for all mobile application stakeholders すべてのモバイルアプリケーション関係者のためのリソース
The CNIL recommendations are aimed at all those involved in developing and making available mobile applications, to ensure enhanced protection of personal data at every stage: CNILの勧告は、モバイルアプリケーションの開発および提供に携わるすべての関係者を対象としており、あらゆる段階で個人データの保護を強化することを目的としている:
・Mobile application publishers, who make mobile applications available to users. ・モバイルアプリケーションをユーザーに提供するモバイルアプリケーション発行者。
・Mobile application developers, who write the computer codes that make up a mobile application. ・モバイルアプリケーション開発者:モバイルアプリケーションを構成するコンピュータコードを記述する。
・Software development kit (SDK) providers, who develop "ready-to-use" functionalities that can be directly integrated by developers into mobile applications (audience measurement, advertising targeting, etc.). ・ソフトウェア開発キット(SDK)プロバイダ:開発者がモバイルアプリケーションに直接統合できる「すぐに使える」機能(オーディエンス測定、広告ターゲティングなど)を開発する。
・Operating system providers, who provide the operating systems (e.g. iOS or Android) on which mobile applications will run. ・オペレーティングシステムプロバイダー:モバイルアプリケーションが動作するオペレーティングシステム(iOSやAndroidなど)を提供する。
・Application store providers, who offer platforms for downloading new applications. ・アプリケーションストア・プロバイダは、新しいアプリケーションをダウンロードするためのプラットフォームを提供する。
The objectives of the recommendations 勧告の目的
1. Clarifying and framing the role of each stakeholder 1. 各ステークホルダーの役割を明確にし、枠組みを作る。
The recommendations specify the division of responsibilities between stakeholders in the mobile ecosystem, and clarify their respective obligations to provide legal certainty. They also provide practical advice on how to manage their collaboration. 勧告は、モバイルエコシステムにおける利害関係者間の責任分担を明確にし、それぞれの義務を明確にして法的確実性を提供する。また、各ステークホルダーの協力関係を管理する方法について、実践的なアドバイスを提供する。
2. Improving user information on the use of their data 2. データ利用に関するユーザー情報の改善
The recommendations are aimed at improving user information on the use of their data. This information should always be clear, accessible and presented at the right time in the application. 勧告は、データの利用に関するユーザー情報の改善を目的としている。この情報は常に明確で、アクセスしやすく、アプリケーションの適切なタイミングで提示されるべきである。
They offer advice and best practices to stakeholders, in particular to ensure that users understand whether the permissions requested are really necessary for the application to function. 特に、要求された許可がアプリケーションの機能にとって本当に必要なものであるかどうかをユーザーが理解できるようにするために、関係者に助言とベストプラクティスを提供する。
3. Ensuring that consent is informed and not forced 3. 同意がインフォームド・コンセントであり、強制されたものでないことを保証する。
The recommendations reiterate that applications must obtain consent to process data that is not necessary for their operation, e.g. for targeted advertising purpose.
勧告は、アプリケーションが、例えばターゲット広告の目的のために、その運用に必要でないデータを処理する同意を得なければならないことを繰り返し述べている。
They specify the conditions under which consent must be sought, and in particular that it must not be forced. Users must be able to refuse consent, or to withdraw their consent if they change their mind, as simply as they are asked to give it. Finally, the recommendations indicate how the collection of consent can be articulated with the system of technical permissions. 特に、同意を強制してはならない。利用者は、同意を求められたときと同様に、同意を拒否したり、気が変わったら同意を撤回したりできなければならない。最後に、勧告は、同意の収集と技術的許可のシステムをどのように関連づけることができるかを示している。
Read the recommendation 勧告を読む
This document is a courtesy translation. Only the French version is legally binding. この文書は表向きの翻訳である。法的拘束力を持つのはフランス語版のみである。
A follow-up of the consultation with stakeholders 利害関係者との協議のフォローアップ
Rich contributions from a variety of stakeholders 様々な利害関係者からの豊富な貢献
Following the example of its work on cookies, the CNIL held consultations with various stakeholders representing the mobile application ecosystem, to gain a better understanding of all the issues at stake in this complex sector. The CNIL's work was also informed by a reflection on the economic issues associated with data collection in the mobile world.  The CNIL published a summary of the contributions received on its website (in French). CNILは、Cookieに関する作業の例に倣い、モバイルアプリケーションのエコシステムを代表する様々な利害関係者と協議を行い、この複雑な分野で問題となっているすべての問題について理解を深めた。CNILの作業は、モバイルの世界におけるデータ収集に関連する経済的な問題についての考察からも情報を得ていた。CNILはウェブサイトに寄せられた意見の概要を掲載した(フランス語)。
The draft recommendations resulting from this work was then submitted for public consultation in July 2023, to gather the opinions of all stakeholders, whether from the associative sector, the general public or professional circles. この作業から得られた勧告のドラフトは2023年7月に公開協議に付され、団体部門、一般市民、専門家を問わず、すべての利害関係者の意見を収集した。
The CNIL received contributions from various stakeholders in the mobile application ecosystem. CNILは、モバイルアプリケーションのエコシステムにおける様々な利害関係者から寄稿を受けた。
► Read the summary of contributions to the public consultation (in French) 公開協議への意見の概要を読む(フランス語)
The opinion of the French Competition Authority, a first concrete expression of the ADLC-CNIL joint declaration ADLC-CNIL共同宣言の最初の具体的な表現であるフランス競争当局の見解
For the first time, this work led the CNIL to formally refer the matter to the French Competition Authority (Autorité de la concurrence or ADLC in French), in view of the growing interaction between personal data protection and competition law. The ADLC delivered its opinion on December 4, 2023. 個人データ保護と競争法との相互作用の高まりを踏まえ、CNILはこの作業により初めて、この問題をフランス競争当局(Autorité de la concurrence、仏語ではADLC)に正式に付託した。ADLCは2023年12月4日に意見書を提出した。
The referral to the ADLC, which follows on from the joint declaration signed by the two authorities in December 2023, is the first concrete expression of the commitments made by the two institutions. They thus reaffirm their shared desire to develop and exploit the synergies in the framework of their missions as regulators, for a responsible and equitable digital industry. ADLCへの付託は、2023年12月に両当局が署名した共同宣言に続くものであり、両当局のコミットメントの最初の具体的表現である。このように両者は、責任ある公正なデジタル産業のために、規制当局としての使命の枠組みにおいてシナジーを発展させ、活用するという共通の願いを再確認している。
► Read the joint document on close cooperation between the CNIL and the Autorité de la concurrence on mobile applications (in French) モバイルアプリケーションに関するCNILとAutorité de la concurrenceの緊密な協力に関する共同文書(フランス語)を読む。
New clarifications from the CNIL CNILによる新たな説明
The contributions received during the public consultation and the opinion of the ADLC have broaden and consolidated the recommendations, published in their final version. パブリックコンサルテーションで寄せられた意見とADLCの意見により、最終版として公表された勧告はより広範になり、統合された。
The CNIL has clarified its recommendations on several points, both in form and substance:  CNILは、形式的にも実質的にも、いくつかの点について勧告を明確化した: 
・In particular, the CNIL has made a clearer distinction between what is mandatory – and applies to everyone – and what is a recommendation or best practice, in order to provide greater legal certainty. 特に、CNILは、法的な確実性を高めるため、すべての人に適用される義務的なものと、勧告やベストプラクティスとの区別を明確にした。
It also explained the interactions between the recommendations and the consideration of competition issues. It points out that the recommendation must be applied in compliance with competition law and the Digital Market Act (DMA). また、勧告と競争問題の検討との相互作用についても説明している。勧告は競争法とデジタル市場法(DMA)を遵守して適用されなければならないと指摘している。
・Finally, the CNIL has refocused its recommendations on permissions systems, targeting so-called "technical" permissions, designed by OS suppliers, which enable the user to give or block access to certain information (contact book, geolocation, microphone, camera, etc.), regardless of the purposes for which they might be used (advertising, statistics, technical, etc.). 最後に、CNILは、OSサプライヤーが設計した、いわゆる「技術的」アクセス許可を対象とするアクセス許可システムに関する勧告に焦点を絞っている。これは、利用目的(広告、統計、技術など)にかかわらず、ユーザーが特定の情報(連絡帳、ジオロケーション、マイク、カメラなど)へのアクセスを許可またはブロックできるようにするものである。
Next steps 次のステップ
Over the coming months, the CNIL will be providing support to the industry, notably through webinars. The aim is to help them make the most of the rules and guarantees set out in the recommendation, and implement the necessary measures to ensure that they are effectively complied with. 今後数ヶ月間、CNILは特にウェビナーを通じて、業界へのサポートを提供する予定である。その目的は、勧告に規定された規則や保証を最大限に活用し、それらが効果的に遵守されるよう必要な措置を講じることを支援することである。
From early spring 2025, the CNIL will deploy a specific investigation campaign on mobile applications to ensure compliance with the applicable rules. In the meantime, the CNIL will continue to deal with any complaints it receives, carry out any investigation it deems necessary and, if necessary, adopt any corrective measures required to effectively protect the privacy of mobile application users. 2025年初春から、CNILはモバイルアプリケーションに関する特定の調査キャンペーンを展開し、適用される規則の遵守を確保する。その間、CNILは引き続き、受けた苦情に対応し、必要と思われる調査を実施し、必要であれば、モバイルアプリケーション利用者のプライバシーを効果的に保護するために必要な是正措置を採用する。
This investigation campaign will complement the investigations already carried out by the CNIL, notably as part of its 2023 investigation priorities, on applications that track users for various purposes (advertising, statistics, etc.) in the absence of user consent. この調査キャンペーンは、CNILがすでに実施している調査を補完するものであり、特に2023年調査優先事項の一環として、ユーザーの同意がないにもかかわらず、様々な目的(広告、統計など)でユーザーを追跡するアプリケーションについて実施される。
Read more さらに読む
Mobile applications: CNIL publishes its recommendations for better privacy protection (in French) モバイルアプリケーション CNIL、より良いプライバシー保護のための勧告を発表(フランス語)
Mobile applications: your privacy must be better protected (in French) モバイルアプリケーション:あなたのプライバシーはよりよく保護されなければならない(フランス語)
Reference text 参考テキスト
Délibération n° 2024-061 du 18 juillet 2024 portant adoption de la recommandation relative aux applications mobiles (in French) - Légifrance モバイルアプリケーションに関する勧告の採択に関する2024年7月18日付法令第2024-061号(フランス語) - フランス

 

原文

・[PDF] Recommandation relative aux applications mobiles


20250519-61814

 

英語仮訳

・[PDF] Recommendation on mobile applications

20250519-61035

 

目次...

Table of contents 目次
1.  Introduction 1. 序論
2.  Scope of the recommendation 2. 勧告の範囲
2.1.  Who is this recommendation addressed to? 2.1. 本勧告は誰に向けたものか?
2.2.  What is meant by "mobile application"? 2.2. モバイルアプリケーション」とは何か?
2.3.  Who are the stakeholders in the mobile applications sector? 2.3. モバイルアプリケーション分野の利害関係者は誰か?
3.  Is the application subject to the rules on the protection of personal data? 3. アプリケーションは個人データ保護に関する規則の対象者か?
3.1.  Application of the ePrivacy Directive 3.1. eプライバシー指令の適用
3.2.  Application of the GDPR 3.2. GDPRの適用
3.3.  Processing covered by the domestic exemption 3.3. 国内適用除外の対象となる処理
4.  What are the roles of each stakeholder in the use of the application? 4. アプリケーションの使用における各関係者の役割は何か?
4.1.  Why is it important to determine the role of every stakeholder within the meaning of the GDPR? 4.1. GDPRの意味における各関係者の役割を決定することがなぜ重要なのか?
4.2.  Determine the qualifications of each stakeholder 4.2. 各利害関係者の資格を決定する
5.  Publisher-specific recommendations 5. 提供社固有の勧告
5.1.  Design its application 5.1. アプリケーションを設計する
5.2.  Mapping partners 5.2. パートナーのマッピング
5.3.  Managing consent and people's rights 5.3. 同意と人々の権利を管理する
5.4.  Maintain compliance throughout the lifecycle of the application 5.4. アプリケーションのライフサイクルを通じてコンプライアンスを維持する
5.5.  Permissions and data protection by design 5.5. 設計による防御とデータ保護
5.6.  Checklist 5.6. チェックリスト
6.  Developer-specific recommendations 6. 開発者固有の勧告
6.1.  Formalise your relationship with the publisher 6.1. 提供社との関係を正式にする
6.2.  Assume its advisory role towards the publisher 6.2. 提供社に対する助言的役割を引き受ける
6.3.  Making good use of SDKs 6.3. SDKをうまく活用する
6.4.  Ensure the security of the application 6.4. アプリケーションのセキュリティを確保する
6.5.  Checklist 6.5. チェックリスト
7.  Software Development Kit (SDK) Provider Specific Recommendations 7. ソフトウェア開発キット(SDK)プロバイダ固有の勧告
7.1.  Designing your service 7.1. サービスの設計
7.2.  Documenting the right information 7.2. 正しい情報を文書化する
7.3.  Managing consent and people's rights 7.3. 同意と人々の権利を管理する
7.4.  Participate in maintaining compliance of the application over time 7.4. 長期にわたるアプリケーションのコンプライアンス維持に参加する
7.5.  Checklist 7.5. チェックリスト
8.  Operating System (OS) Provider Specific Recommendations 8. オペレーティングシステム(OS)プロバイダ固有の勧告
8.1.  Ensure the compliance of the processing of personal data implemented 8.1. 実施されるパーソナルデータの処理のコンプライアンスを確保する。
8.2.  Ensuring that partners are properly informed 8.2. パートナーへの適切な情報提供を徹底する
8.3.  Provide tools to enable respect for users' rights and consent 8.3. 利用者の権利と同意の尊重を可能にするツールを提供すること
8.4.  Provide a secure platform 8.4. 安全なプラットフォームを提供する。
8.5.  Checklist 8.5. チェックリスト
9.  Application Store Provider Specific Recommendations 9. アプリケーションストア・プロバイダ固有の勧告
9.1.  Analyze applications submitted by publishers 9.1. パブリッシャーから提出されたアプリケーションを分析する
9.2. Implement transparent application review processes that incorporate verification of basic data protection rules 9.2. 基本的なデータ保護ルールの検証を組み込んだ、透明性のあるアプリケーション審査プロセスを導入する。
9.3.  Inform users and provide them with reporting tools 9.3. ユーザーに情報を提供し、報告ツールを提供する。
9.4.  Checklist 9.4. チェックリスト
10.  Glossary 10. 用語集

 

 

 

 

 

| | Comments (0)

2025.05.18

欧州 ENISA サイバー・ストレステストのためのハンドブック (2025.05.15)

こんにちは、丸山満彦です。

ENISAが、サイバー・ストレステストのためのハンドブックを公表していますね...

EUでは、サイバーレジリエンス関係でいえば、NIS2指令により、重要インフラに対する包括的(水平的)な規制がかかっていることに加え、金融セクターに対するDORAのようなセクター毎の規制の2階建ての規制が特徴ですね。。。

このような背景もあって、ENISAがサイバーレジリエンス強化のためサイバー・ストレステストのハンドブックを作成し、公表していますね...

 

ストレステストは金融機関では10年以上前から行われていると思います。ストレステストは、極端な変動等のストレスが生じた場合、個別の組織、業界全体等がそのストレスに耐えられるかを確認するための演習という感じですかね...

例えば、リーマンショックのような大規模な株価の下落とそれに続く景気後退や、広域大規模災害、世界的なパンデミックと景気後退が同時に生じた場合に、個別の金融機関、国の金融システム全体がもつか?ということを個別企業ごとに、あるいは国として、演習を行うというかんじだと思います。

それを、サイバー起因のストレスが生じた場合に適用しようというのが、サイバー・ストレステストという感じでしょうかね...

この文書では、次のように説明していますね...

cyber stress test サイバー・ストレステスト
a cyber stress test is a targeted assessment of the resilience of individual entities and their ability to withstand and recover from significant cybersecurity incidents, ensuring the provision of critical services, in different risk scenarios.   サイバー・ストレステストは、個々の事業体のレジリエンスと、さまざまなリスクシナリオにおいて、重要なサービスの提供を確保しつつ、重大なサイバーセキュリティインシデントに耐え、そこから回復する能力に関する的を絞ったアセスメントである。

金融機関や一部の重要インフラ業界においては、すでに実施がされているかもしれませんが、他の業界、事業体において、実施する際の参考になりそうですね...

 

ENISA

・2025.05.15 Handbook for Cyber Stress Tests

20250518-62110

・[DOCX][PDF] 仮訳

 

 

目次...

1. INTRODUCTION 1. 序論
1.1 SCOPE AND TARGET AUDIENCE 1.1 スコープと対象読者
1.2 POLICY CONTEXT 1.2 政策の背景
2. STRESS TESTING FOR CYBERSECURITY AND RESILIENCE 2. サイバーセキュリティとレジリエンスのためのストレステスト
2.1 DEFINING CYBER STRESS TESTS 2.1 サイバー・ストレステストの定義
2.2 CYBER STRESS TESTS AS PART OF THE SUPERVISION TOOLKIT 2.2 監督ツールキットの一部としてのサイバー・ストレステスト
3. STEP-BY-STEP GUIDE FOR CYBER STRESS TESTING 3. サイバー・ストレステストのためのステップバイステップ・ガイド
4. NATIONAL, REGIONAL AND UNION CYBER STRESS TESTS 4. 国、地域、連合のサイバー・ストレステスト
5. CONCLUSIONS 5. 結論
ANNEX A: HEALTH SECTOR EXAMPLE 附属書A:医療セクターの例
ANNEX B: CASE STUDIES – FINANCE AND ENERGY 附属書B:ケーススタディ-金融とエネルギー
FINANCIAL SECTOR – ECB’S 2024 CYBER RESILIENCE STRESS TEST 金融セクター - 欧州中央銀行(ECB)の2024年サイバーレジリエンス・ストレス・テスト
ENERGY SECTOR – 2024 HYBRID THREAT STRESS TEST エネルギーセクター - 2024年ハイブリッド脅威ストレステスト
REFERENCES 参考文献

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー
Stress tests became well-known in the wake of the global financial crisis of 2007–2009, when banking regulators, under the Basel Committee on Banking Supervision, wanted to supervise the asset portfolios of banks more closely and analyse if they were sufficiently strong to withstand financial shock scenarios.  ストレステストが有名になったのは、2007年から2009年にかけての世界的な金融危機の後である。バーゼル銀行監督委員会の下、銀行規制当局が銀行の資産ポートフォリオをより綿密に監督し、金融ショックシナリオに耐えるだけの十分な強度があるかどうかを分析しようと考えたからである。
Stress tests have been recently used to test cybersecurity, offering a new, lightweight and targeted method for assessing cybersecurity and resilience. For example, in 2022 the Bank of England did a cyber stress test of retail payment services in the United Kingdom and, in 2024, the European Central Bank (ECB) carried out a large cyber resilience stress test of EU banks. Last year the European Commission supported the EU Member States in conducting an EU coordinated stress test of the resilience of the EU’s energy sector focusing on physical threats in scope of the Critical Entities Resilience (CER) Directive.  ストレステストは最近、サイバーセキュリティのテストに利用されるようになり、サイバーセキュリティとレジリエンスを評価するための軽量で的を絞った新しい手法を提供している。例えば、2022年にはイングランド銀行が英国のリテール決済サービスのサイバー・ストレステストを実施し、2024年には欧州中央銀行(ECB)がEUの銀行の大規模なサイバーレジリエンスストレステストを実施した。昨年、欧州委員会はEU加盟国を支援し、重要事業体レジリエンス(CER)指令の範囲内で、物理的脅威に焦点を当てたEUのエネルギー部門のレジリエンスに関するEU協調ストレステストを実施した。
In this handbook, we define a cyber stress test as ‘a targeted assessment of the resilience of individual organisations and their ability to withstand and recover from significant cybersecurity incidents, ensuring the provision of critical services, in different risk scenarios.’ Stress tests focus on resilience, use resilience metrics and can be used to test both preparedness measures and responsive recovery measures.  本ハンドブックでは、サイバー・ストレステストを「個々の組織のレジリエンスと、さまざまなリスクシナリオにおいて、重要なサービスの提供を確保しつつ、重大なサイバーセキュリティインシデントに耐え、そこから回復する能力を対象としたアセスメント」と定義している。ストレステストはレジリエンスに焦点を当て、レジリエンスの評価指標を使用し、準備対策と対 応回復対策の両方をテストするために使用できる。
This handbook contains a simple, five step guide to cyber stress testing (see illustration):  本ハンドブックには、サイバー・ストレステストの簡単な5ステップガイドが含まれている(図参照):
1. defining the test scope and objectives, engaging with stakeholders;  1. テスト範囲と目的を定義し、利害関係者と関わる
2. designing the test, choosing the methodology, refining the scenarios;  2. テストの設計、手法の選択、シナリオの洗練
3. execution of the cyber stress test;  3. 実施
4. analysing results and identifying gaps;  4. 結果を分析し、ギャップを特定
5. following up on gaps and issues identified in the stress test.  5. ストレステストで特定されたギャップや問題をフォローアップする。
We also apply this step-by-step guide to a practical example, explaining how a cyber stress test could be done in the health sector. We also explain how cyber stress tests can be carried out at the national, regional and EU levels.  また、このステップバイステップのガイドを実際の例に当てはめ、医療セクタ ーでどのようにサイバー・ストレステストを実施できるかを説明する。また、国、地域、EUレベルでどのようにサイバー・ストレステストを実施できるかも説明する。
For authorities, cyber stress tests can be a good way to start a dialogue with the sector, about both strategic and systemic risks, as well as more technical issues. Gaps revealed by stress tests can be discussed openly in collaborative and voluntary settings, but can also be followed up in a stricter supervision context.  監督機関にとって、サイバー・ストレステストは、より技術的な問題だけでなく、戦略的リスクとシステミックリスクの両方について、セクターとの対話を開始する良い方法となり得る。ストレステストによって明らかになったギャップは、協調的かつ自主的な場においてオープンに議論することができるが、より厳格な監督の状況においてもフォローアップすることができる。
Considering the current EU policy context – with the European Union focusing more on preparedness and resilience, and with the transposition of the NIS2 Directive  concluding – cyber stress tests can become an important new tool in the toolkit of the NIS authorities in the coming years. At ENISA, we look forward to supporting national authorities and agencies, at the national and EU levels, with carrying out national-, regional- and EU-level cyber stress tests.  EUが準備態勢とレジリエンスにより重点を置き、NIS2指令(  )の移管が完了しつつある現在のEUの政策状況を考慮すると、サイバー・ストレステストは今後数年間、NIS当局のツールキットにおける重要な新たなツールとなる可能性がある。ENISAでは、国レベル、地域レベル、EUレベルのサイバー・ストレステストの実施において、国およびEUレベルの監督機関や機関を支援することを楽しみにしている。

 

1_20250518063401

 


 

参考文献は役立ちそうなので...

  1. ストレステスト・ベストプラクティス:https://www.hvst.com/posts/stresstesting-best-practices-X7QTObdl
  2. イングランド銀行、2024年英国銀行システムのストレステストに対するイングランド銀行のアプローチ。https://www.bankofengland.co.uk/stress-testing/2024/boes-approach-tostress-testing-the-uk-banking-system

  3. バーゼル銀行監督委員会、2018年。サイバーレジリエンス:実践の範囲。https://www.bis.org/bcbs/qis/biiiimplmoninstr_oct18.pdf

  4. 連邦準備制度理事会、2021 年。ドッド・フランク法ストレステスト2021:Supervisory Stress Test Methodology. https://www.federalreserve.gov/publications/files/2021-april-supervisory-stress-testpdf

  5. 中央計画局、2020年オランダ中小企業のストレステスト。https://www.cpb.nl/sites/default/files/omnidownload/CPB-Background-Document-June2020-Astress-test-of-Dutch-pdf

  6. サイバーセキュリティ・インフラセキュリティ庁(CISA), 2024.インフラレジリエンス計画枠組み(IRPF) https://www.cisa.gov/resourcestools/resources/infrastructure-resilience-planning-framework-irpf

  7. デンマーク金融監督庁、2024年サイバー・ストレステストは金融セクターのオペレーショナル・レジリエンスを強化する。https://www.dfsa.dk/news/2024/nov/cyber-stress-testing

  8. 国防総省、2018年。サイバーセキュリティ試験評価ガイドブック。https://www.dau.edu/sites/default/files/Migrated/CopDocuments/Cybersecurity-Test-and-Evaluation-Guidebook-Version2-change-1.pdf

  9. ESMA - 欧州証券市場庁、2017年。Methodological Framework - 2017 EU-Wide CCP Stress Test Exercise. https://www.esma.europa.eu/document/methodological-framework-2017-ccp-stress-testexercise

  10. Esposito, S., Stojadinovic, B., Babic, A., Dolsek, M., Iqbal, S., Selva, J., Broccardo, M., Mignan, A., Giardini, D., 2018.A Risk-Based Multi-Level Methodology to Stress Test Critical Infrastructure Systems. https://www.earth-org/server/api/core/bitstreams/b5ca3c77-578d-4a2d-a70f-030765db93fb/content

  11. 欧州銀行監督機構、2020年。2023 EU 全体のストレステスト。https://www.eba.europa.eu/risk-and-data-analysis/risk-analysis/eu-wide-stress-testing

  12. 欧州中央銀行(ECB)、2024年。「ECB to Stress Tests Banks' Ability to Recover from Cyberattack" - プレスリリース.https://www.bankingsupervision.europa.eu/press/pr/date/2024/html/ssm.pr240103~a26e1930 。 ja.

  13. 欧州中央銀行(ECB)、2023年。2023年ユーロ圏銀行のストレステスト-最終結果。https://www.bankingsupervision.europa.eu/ecb/pub/pdf/ssm.Report_2023_Stress_Test~96bb5 en. 

  14. 欧州中央銀行(ECB)、2023年。Supervisory Review and Evaluation Process (SREP) available at: https://www.bankingsupervision.europa.eu/banking/srep/2023/html/ssm.srep202302_supervis ja.

  15. 欧州中央銀行(ECB)、2021年。コロナウイルス(COVID-19)パンデミックにおけるユーロ圏銀行システムのマクロプルーデンス・ストレステスト。https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4112397

  16. 欧州中央銀行(ECB)、2021年。ECBエコノミーワイド気候ストレステスト。https://www.ecb.europa.eu/pub/pdf/other/castmanual201408en.pdf

  17. 欧州中央銀行、2018年TIBER-EU枠組み。https://www.ecb.europa.eu/pub/pdf/other/ecb.tiber_eu_framework.en.pdf

  18. 欧州中央銀行(ECB)、2015年。包括的アセスメントストレステストマニュアル。https://www.ecb.europa.eu/pub/pdf/other/castmanual201408en.pdf

  19. 欧州委員会共同研究センター(JRC), 2016.Harmonized approach to stress tests for critical infrastructural 重要インフラに対するストレステストのための調和されたアプローチ Available at: https://publications.jrc.ec.europa.eu/repository/bitstream/JRC104663/jrc104663_online_05_01

  20. 欧州委員会、2016年自然災害に対する重要インフラのストレステストの調和されたアプローチ https://op.europa.eu/en/publicationdetail/-/publication/aa009c90-d6ff-11e6-ad7c-01aa75ed71a1/language-en

  21. 欧州委員会、2014年重要インフラのレジリエンス改善のためのストレステストの開発:A Feasibility Analysis.https://ec.europa.eu/jrc/en/publication/developing-stress-tests-improve-resilience-criticalinfrastructures-feasibility-analysis

  22. 欧州保険・職業年金機構、2019年。2019 年職業年金ストレステスト。https://www.eiopa.europa.eu/browse/financialstability/occupational-pensions-stress-test/occupational-pensions-stress-test-2019_en

  23. 欧州原子力安全規制機関グループ(ENSREG)、2011年。EU「ストレステスト」仕様書。https://www.ensreg.eu/sites/default/files/EU 。 %20Stress %20Test %20Peer %20Review %20Final %20Report_0.

  24. 欧州システミック・リスク委員会、2025年。金融セクターにおけるサイバーレジリエンスのシナリオテストに関するハンドブック。

  25. 欧州連合(EU)、2019年。高度道路交通システムのセキュリティに関する規則(C-ITS)。https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=PI_COM %3AC %282019 %

  26. 欧州連合(EU)、2022年デジタルサービス法(DSA)。https://eurlex.europa.eu/legal-content/EN/TXT/?uri=CELEX

  27. 欧州連合(EU)、2019年サイバーセキュリティ法(CSA)。https://eurlex.europa.eu/EN/legal-content/summary/the-eu-cybersecurity-act.html

  28. 金融安定理事会、2020年。Cyber Incident Response and Recovery Toolkit. https://www.fsb.org/2020/10/cyber-incident-response-and-recovery-toolkit/

  29. 国際通貨基金(IMF)、2023年。マクロ・プルデンシャル・ストレス・テスト・モデル:A Survey. https://www.imf.org/en/Publications/WP/Issues/2023/08/25/Macro-PrudentialStress-Test-Models-A-Survey-537990

  30. KPMG、2024年。Cyber Resilience Stress Test (CRST). https://kpmg.com/xx/en/ourinsights/ecb-office/hacking-the-2024-ecb-cyber-stress-html

  31. Linkov, I., Trump, B. D., Trump, J., Pescaroli, G., Hynes, W., Mavrodieva, A., Panda, A., 2022.重要インフラのレジリエンス・ストレス・テスト。 https://www.sciencedirect.com/science/article/abs/pii/S2212420922005428?via %3Dihub
    https://doi.org/10.1016/j.ijdrr.2022.103323

  32. 国立標準技術研究所、2020年。情報システムと組織のためのセキュリティとプライバシー管理。https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

  33. Pendleton, J., Levite, A., Kolasky, B., 2024.クラウドの安心感:レジリエンスと信頼を強化する枠組み。https://carnegieendowment.org/research/2024/01/cloudreassurance-a-framework-to-enhance-resilience-and-trust?lang=en

  34. リスクビジネス、2024年備え続ける:ストレステストの世界の動向。https://riskbusiness.com/wp-content/uploads/2024/01/Stress-Testing-Report-Janpdf

  35. Seðlabanki Íslands, 2023.TIBER-IS 実施ガイド。https://www.sedlabanki.is/library/Skraarsafn/Fjarmalainnvidir/TIBER-IS-Implementationpdf

  36. パキスタン国立銀行、2020年ストレステストに関するガイドライン2020(FSD Circular No 01 of 2020の付属書A)。https://lsecentralbanking.medium.com/anintroduction-to-stress-testing-15d7e933dfc1

  37. Tan, M., Sung Jae, P., Hazarudin, H. A., 2021.LSE SU Central Banking Society - ストレステスト序論.

  38. De, R., Taft, J. P., Webster, M. S., Forrester, J. P., Bisanz, M., 2020.米国の銀行規制当局が発表した「オペレーショナル・レジリエンスのための健全な慣行」。https://lsecentralbanking.medium.com/anintroduction-to-stress-testing-15d7e933dfc1

  39. 投資協会、2021年シナリオテスト:シビアだが可能性はある。https://www.theia.org/node/32166

 

 

| | Comments (0)

2025.05.17

「重要電子計算機に対する不正な行為による被害の防止に関する法律」とその法律の施行に伴う関係法律の整備等に関する法律が成立しましたね...そして、クリアランス制度がはじまりましたね...(2025.05.16)

こんにちは、丸山満彦です。

そういえば、2025.05.16からセキュリティクリアランス制度がはじまりましたね...

 

そして、いわゆる能動的サイバー防御を認めることも含むサイバー対処能力強化法といわれる

  • 重要電子計算機に対する不正な行為による被害の防止に関する法律案
  • 重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案

が参議院で可決されましたね...

参議院の本会議は、押しボタンでの投票となりますので、個人別に賛成したかどうかがわかりますね...



個人的にはなかなか緻密に作られている法律と感じました...法案を書いた人はすごい...

 

 

参議院

まずは、サイバー対処能力強化法

・2025.05.16 議案情報

・・[PDF] 要旨

参議院で可決された法律案は

・・[PDF] 提出法案

20250517-54026

 

・・[PDF] 衆議院内閣委員会の修正案(可決)

20250517-54115

 

次に整備法案

・2025.05.16 議案情報

・・[PDF] 要旨

参議院で可決された法律案は

・・[PDF] 提出法案

 

サイバー能力対処法を理解した上でということになると思いますが、セットとなっている整備法についてもざっとその概要を

要旨...


一、警察官職務執行法を改正し、警察庁長官が指名する警察官は、サイバーセキュリティを害することその他情報技術を用いた不正な行為に用いられる電気通信等又はその疑いがある電気通信等を認めた場合であって、そのまま放置すれば人の生命、身体又は財産に対する重大な危害が発生するおそれがあるため緊急の必要があるときは、そのいとまがないと認める特段の事由がある場合を除いてサイバー通信情報監理委員会の承認を得た上で、当該電気通信等の送信元等である電子計算機の管理者その他関係者に対し、危害防止のため通常必要と認められる措置であって電気通信回線を介して行う電子計算機の動作に係るものをとることを命じ、又は自らその措置をとることができるものとする。

二、自衛隊法を改正し、内閣総理大臣は、重要電子計算機のうち一定のものに対する特定不正行為であって、本邦外にある者による特に高度に組織的かつ計画的な行為と認められるものが行われた場合において、これにより重大な支障が生ずるおそれが大きいと認められ、かつ、その発生を防止するために自衛隊が有する特別の技術又は情報が必要不可欠であること等により自衛隊が対処を行う特別の必要があると認めるときは、自衛隊の部隊等に当該特定不正行為による当該重要電子計算機への被害を防止するために必要な電子計算機の動作に係る措置であって電気通信回線を介して行うもの(通信防護措置)をとるべき旨を命ずることができるものとする。また、当該措置をとるべき旨を命ぜられた部隊等の職務の執行及び自衛隊又は日本国にあるアメリカ合衆国の軍隊が使用する一定の電子計算機をサイバーセキュリティを害することその他情報技術を用いた不正な行為から職務上警護する自衛官の職務の執行について、警察官職務執行法の必要な規定を準用するものとする。

三、サイバーセキュリティ基本法を改正し、サイバーセキュリティ戦略本部について、内閣総理大臣を本部長、全ての国務大臣を本部員とする組織に改めるとともに、その所掌事務について見直しを行う。

四、内閣法を改正し、内閣官房に内閣サイバー官一人を置く

五、この法律は、一部の規定を除き、重要電子計算機に対する不正な行為による被害の防止に関する法律の施行の日から施行する。


 

法案


第二一七回閣第五号

重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案

(国家公務員法の一部改正)

第一条 国家公務員法(昭和二十二年法律第百二十号)の一部を次のように改正する。

第二条第三項第五号の四中「及び内閣情報官」を「、内閣情報官及び内閣サイバー官」に改める。

(警察官職務執行法の一部改正)

第二条 警察官職務執行法(昭和二十三年法律第百三十六号)の一部を次のように改正する。

第六条の次に次の一条を加える。

(サイバー危害防止措置執行官による措置)

第六条の二 警察庁長官は、警察庁又は都道府県警察の警察官のうちから、次項の規定による処置を適正にとるために必要な知識及び能力を有すると認められる警察官をサイバー危害防止措置執行官として指名するものとする。

2 サイバー危害防止措置執行官は、サイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。)を害することその他情報技術を用いた不正な行為(以下この項において「情報技術利用不正行為」という。)に用いられる電気通信若しくはその疑いがある電気通信(以下この項及び第四項ただし書において「加害関係電気通信」という。)又は情報技術利用不正行為に用いられる電磁的記録(電子的方式、磁気的方式その他人の知覚によつては認識することができない方式で作られる記録であつて、電子計算機による情報処理の用に供されるものをいう。以下この項において同じ。)若しくはその疑いがある電磁的記録(以下この項において「加害関係電磁的記録」という。)を認めた場合であつて、そのまま放置すれば人の生命、身体又は財産に対する重大な危害が発生するおそれがあるため緊急の必要があるときは、加害関係電気通信の送信元若しくは送信先である電子計算機又は加害関係電磁的記録が記録された電子計算機(以下この条において「加害関係電子計算機」と総称する。)の管理者その他関係者に対し、加害関係電子計算機に記録されている加害関係電磁的記録の消去その他の危害防止のため通常必要と認められる措置であつて電気通信回線を介して行う加害関係電子計算機の動作に係るもの(適切に危害防止を図るために通常必要と認められる限度において、電気通信回線を介して当該加害関係電子計算機に接続して当該加害関係電子計算機に記録されたその動作に係る電磁的記録を確認することを含む。)をとることを命じ、又は自らその措置をとることができる。

3 加害関係電子計算機が国内に設置されていると認める相当な理由がない場合における当該加害関係電子計算機の動作に係る前項の規定による処置は、警察庁の警察官であるサイバー危害防止措置執行官に限り、とることができるものとする。この場合において、当該サイバー危害防止措置執行官は、あらかじめ、警察庁長官を通じて、外務大臣に協議しなければならない。

4 サイバー危害防止措置執行官は、第二項の規定による処置をとる場合には、あらかじめ、サイバー通信情報監理委員会の承認を得なければならない。ただし、当該加害関係電子計算機から重要電子計算機(重要電子計算機に対する不正な行為による被害の防止に関する法律(令和七年法律第▼▼▼号)第二条第二項に規定する重要電子計算機をいう。)に対してその機能に重大な障害を生じさせ、又は生じさせるおそれのある加害関係電気通信が現に送信されている場合その他の当該危害防止のためにはサイバー通信情報監理委員会の承認を得るいとまがないと認める特段の事由がある場合は、この限りでない。

5 第三項に規定する場合における前項の承認の求めは、第三項の規定による協議の結果を添えて行わなければならない。

6 サイバー通信情報監理委員会は、第四項の承認の求めがあつた場合において、当該求めが第二項及び第三項の規定に照らして適切であると認めるときは、当該承認をするものとする。

7 サイバー危害防止措置執行官は、第二項の規定による処置をとるに際しては、みだりに関係者の正当な業務を妨害してはならない。

8 サイバー危害防止措置執行官は、第二項の規定による処置をとつたときは、当該加害関係電子計算機の管理者に同項に規定する措置をとることを命じた場合を除き、国家公安委員会規則で定めるところにより、遅滞なく、その旨を当該管理者に通知するものとする。ただし、当該加害関係電子計算機に関係する危害の防止に支障がある場合及び当該管理者の所在が不明である場合は、この限りでない。

9 サイバー危害防止措置執行官は、第四項ただし書の規定によりサイバー通信情報監理委員会の承認を得ないで第二項の規定による処置をとつたときは、速やかに、当該処置についてサイバー通信情報監理委員会に通知しなければならない。

10 前項の規定による通知を受けたサイバー通信情報監理委員会は、当該通知に係る処置が第二項、第三項及び第四項ただし書の規定に照らして適切に行われたかどうかを確認し、第二項の規定による処置に係る事務の適正な実施を確保するため必要があると認めるときは、当該確認の結果に基づき、当該通知を行つたサイバー危害防止措置執行官が所属する警察庁又は都道府県警察の警察庁長官又は警視総監若しくは道府県警察本部長(次項において「警察庁長官等」という。)に対し、必要な措置をとるべきことを勧告するものとする。

11 サイバー危害防止措置執行官は、この条の規定による措置の実施について、警察庁長官等(第三項に規定する場合にあつては、警察庁長官)の指揮を受けなければならない。

(特別職の職員の給与に関する法律の一部改正)

第三条 特別職の職員の給与に関する法律(昭和二十四年法律第二百五十二号)の一部を次のように改正する。

第一条第八号中「及び内閣情報官」を「、内閣情報官及び内閣サイバー官」に改め、同条第十四号の三の次に次の一号を加える。

十四の四 サイバー通信情報監理委員会の委員長及び常勤の委員 第一条第四十七号の三の次に次の一号を加える。

四十七の四 サイバー通信情報監理委員会の非常勤の委員 別表第一官職名の欄中「カジノ管理委員会委員長」を

「 カジノ管理委員会委員長

サイバー通信情報監理委員会委員長 」

に、「及び内閣情報官」を「、内閣情報官及び内閣サイバー官」に、「カジノ管理委員

会の常勤の委員」を

「 カジノ管理委員会の常勤の委員

サイバー通信情報監理委員会の常勤の委員 」 に改める。

(自衛隊法の一部改正)

第四条 自衛隊法(昭和二十九年法律第百六十五号)の一部を次のように改正する。

第二十二条第一項中「又は第八十一条の二第一項」を「、第八十一条の二第一項又は第八十一条の三第一項」に改め、「出動」の下に「その他の行動」を加える。

第八十一条の二の次に次の一条を加える。 (重要電子計算機に対する通信防護措置)

第八十一条の三 内閣総理大臣は、重要電子計算機に対する特定不正行為(重要電子計算機に対する不正な行為による被害の防止に関する法律(令和七年法律第▼▼▼号)第二条第四項に規定する特定不正行為をいい、電気通信回線を介して行われるものに限る。以下この項及び第四項第一号において同じ。)であつて、本邦外にある者による特に高度に組織的かつ計画的な行為と認められるものが行われた場合において、次の各号のいずれにも該当することにより自衛隊が対処を行う特別の必要があると認めるときは、部隊等に当該特定不正行為(当該特定不正行為を行つた者による同種の特定不正行為を含む。第一号において同じ。)による当該重要電子計算機への被害を防止するために必要な電子計算機の動作に係る措置であつて電気通信回線を介して行うもの(以下この条及び第九十一条の三において「通信防護措置」という。)をとるべき旨を命ずることができる。

一 当該特定不正行為により重要電子計算機に特定重大支障(重要電子計算機の機能の停止又は低下であつて、当該機能の停止又は低下が生じた場合に、当該重要電子計算機に係る事務又は事業の安定的な遂行に容易に回復することができない支障が生じ、これによつて国家及び国民の安全を著しく損なう事態が生ずるものをいう。次号において同じ。)が生ずるおそれが大きいと認めること。

二 特定重大支障の発生を防止するために自衛隊が有する特別の技術又は情報が必要不可欠であること。

三 国家公安委員会からの要請又はその同意があること。

2 前項の「重要電子計算機」とは、重要電子計算機に対する不正な行為による被害の防止に関する法律第二条第二項に規定する重要電子計算機(同項第三号に該当するものにあつては、防衛省が調達する装備品等の開発及び生産のための基盤の強化に関する法律(令和五年法律第五十四号)第二十七条第一項に規定する契約事業者である者が次に掲げる情報を取り扱うために使用するものに限る。)をいう。

一 日米相互防衛援助協定等に伴う秘密保護法(昭和二十九年法律第百六十六号)第一条第三項に規定する特別防衛秘密である情報

二 特定秘密の保護に関する法律(平成二十五年法律第百八号)第三条第一項に規定する特定秘密(同法第五条第四項の規定により防衛大臣が保有させ、又は同法第八条第一項の規定により防衛大臣が提供したものに限る。)である情報

三 防衛省が調達する装備品等の開発及び生産のための基盤の強化に関する法律第二十七条第一項に規定する装備品等秘密である情報

四 重要経済安保情報の保護及び活用に関する法律(令和六年法律第二十七号)第三条第一項に規定する重要経済安保情報(同法第十条第一項の規定により防衛大臣が提供し、又は同条第二項の規定により防衛大臣が保有させたものに限る。)である情報

3 第一項の規定により通信防護措置をとるべき旨を命ぜられた部隊等は、警察庁又は都道府県警察(次項第四号において「警察庁等」という。)と共同して当該通信防護措置を実施するものとする。

4 内閣総理大臣は、第一項の規定により部隊等に通信防護措置をとるべき旨を命ずる場合には、あらかじめ、防衛大臣と国家公安委員会との間で協議をさせた上で、次に掲げる事項を指定しなければならない。

一 通信防護措置により対処を行う特定不正行為及び防護の対象となる第二項に規定する重要電子計算機

二 通信防護措置として実施すべき措置に関する事項

三 通信防護措置の期間

四 警察庁等と共同して通信防護措置を実施する要領その他の警察庁等との連携に関する事項

五 その他必要な事項

5 内閣総理大臣は、前項第三号の期間内であつても、通信防護措置の必要がなくなつたと認める場合には、速やかに、部隊等に通信防護措置の終了を命じなければならない。

第八十六条中「第八十一条の二第一項」の下に「、第八十一条の三第一項」を加える。 第八十九条第一項中「)の規定は、」を「。第六条の二を除く。)の規定は」に改め、「ついて」の下に「、同法第六条の二第二項から第十一項までの規定は当該自衛官のうちこの項において準用する同条第二項の規定による処置を適正にとるために必要な能力を有する部隊等として防衛大臣が指定する部隊等に属するものの職務の執行について、それぞれ」を加え、「あるのは、」を「あるのは」に改め、「者」と」の下に「、同法第六条の二第三項中「処置は、警察庁の警察官であるサイバー危害防止措置執行官に限り、とることができるものとする。この場合において、当該」とあるのは「処置をとる」と、「警察庁長官」とあるのは「防衛大臣」と、同条第四項中「あらかじめ」とあるのは「あらかじめ、防衛大臣を通じて」と、同条第八項中「国家公安委員会規則」とあるのは「防衛省令」と、「その旨を」とあるのは「その旨を部隊等の長を通じて」と、同条第九項中「サイバー通信情報監理委員会に」とあるのは「防衛大臣を通じてサイバー通信情報監理委員会に」と、同条第十項中「当該通知を行つたサイバー危害防止措置執行官が所属する警察庁又は都道府県警察の警察庁長官又は警視総監若しくは道府県警察本部長(次項において「警察庁長官等」という。)」とあり、及び同条第十一項中「警察庁長官等(第三項に規定する場合にあつては、警察庁長官)」とあるのは「防衛大臣」と」を加える。

第九十一条の二の次に次の一条を加える。

(重要電子計算機に対する通信防護措置の際の権限)

第九十一条の三 警察官職務執行法第六条の二第二項から第十一項までの規定は、第八十一条の三第一項の規定により通信防護措置をとるべき旨を命ぜられた部隊等の自衛官の職務の執行について準用する。この場合において、同法第六条の二第二項中「サイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。)を害することその他情報技術を用いた不正な行為(以下この項において「情報技術利用不正行為」という。)」とあるのは「重要電子計算機(自衛隊法(昭和二十九年法律第百六十五号)第八十一条の三第二項に規定する重要電子計算機をいう。第四項において同じ。)に対する特定不正行為(同条第一項に規定する特定不正行為をいう。以下この項において同じ。)」と、「情報技術利用不正行為に」とあるのは「当該特定不正行為に」と、同条第三項中「処置は、警察庁の警察官であるサイバー危害防止措置執行官に限り、とることができるものとする。この場合において、当該」とあるのは「処置をとる」と、「警察庁長官」とあるのは「防衛大臣」と、同条第四項中「あらかじめ」とあるのは「あらかじめ、防衛大臣を通じて」と、同項ただし書中「重要電子計算機(重要電子計算機に対する不正な行為による被害の防止に関する法律(令和七年法律第▼▼▼号)第二条第二項に規定する重要電子計算機をいう。)」とあるのは「重要電子計算機」と、同条第八項中「国家公安委員会規則」とあるのは「防衛省令」と、「その旨を」とあるのは「その旨を部隊等の長を通じて」と、同条第九項中「サイバー通信情報監理委員会に」とあるのは「防衛大臣を通じてサイバー通信情報監理委員会に」と、同条第十項中「当該通知を行つたサイバー危害防止措置執行官が所属する警察庁又は都道府県警察の警察庁長官又は警視総監若しくは道府県警察本部長(次項において「警察庁長官等」という。)」とあり、及び同条第十一項中「警察庁長官等(第三項に規定する場合にあつては、警察庁長官)」とあるのは「防衛大臣」と読み替えるものとする。

第九十二条第二項中「及び第九十条第一項」を「(第六条の二を除く。)及び第九十条第一項」に、「規定は、」を「規定は」に、「海上保安庁法第十六条」を「同法第六条の二第二項から第十一項までの規定は当該自衛官のうちこの項において準用する同条第二項の規定による処置を適正にとるために必要な能力を有する部隊等として防衛大臣が指定する部隊等に属するものが前項の規定により公共の秩序の維持のため行う職務の執行について、海上保安庁法第十六条」に、「準用する。」を「、それぞれ準用する。」に改め、「者」と」の下に「、同法第六条の二第三項中「処置は、警察庁の警察官であるサイバー危害防止措置執行官に限り、とることができるものとする。この場合において、当該」とあるのは「処置をとる」と、「警察庁長官」とあるのは「防衛大臣」と、同条第四項中「あらかじめ」とあるのは「あらかじめ、防衛大臣を通じて」と、同条第八項中「国家公安委員会規則」とあるのは「防衛省令」と、「その旨を」とあるのは「その旨を部隊等の長を通じて」と、同条第九項中「サイバー通信情報監理委員会に」とあるのは「防衛大臣を通じてサイバー通信情報監理委員会に」と、同条第十項中「当該通知を行つたサイバー危害防止措置執行官が所属する警察庁又は都道府県警察の警察庁長官又は警視総監若しくは道府県警察本部長(次項において「警察庁長官等」という。)」とあり、及び同条第十一項中「警察庁長官等(第三項に規定する場合にあつては、警察庁長官)」とあるのは「防衛大臣」と」を加え、「この項において準用する警察官職務執行法第七条及びこの法律」を「自衛隊法(昭和二十九年法律第百六十五号)第九十二条第二項において準用する警察官職務執行法第七条及び自衛隊法」に、「この項において準用する海上保安庁法」を「同法第九十二条第二項において準用する」に改め、「、「海上保安官又は海上保安官補の職務」とあるのは「第七十六条第一項(第一号に係る部分に限る。)の規定により出動を命ぜられた自衛隊の自衛官が公共の秩序の維持のため行う職務」と」を削る。

第九十五条の四を第九十五条の五とし、第九十五条の三の次に次の一条を加える。

(自衛隊等が使用する特定電子計算機の警護のための権限)

第九十五条の四 警察官職務執行法第六条の二第二項から第十一項までの規定は、次に掲げる特定電子計算機(不正アクセス行為の禁止等に関する法律(平成十一年法律第百二十八号)第二条第一項に規定する特定電子計算機をいう。)をサイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。)を害することその他情報技術を用いた不正な行為から職務上警護する自衛官の職務の執行について準用する。この場合において、警察官職務執行法第六条の二第二項中「、サイバーセキュリティ」とあるのは「、自衛隊法(昭和二十九年法律第百六十五号)第九十五条の四第一項各号に掲げる特定電子計算機(第四項ただし書において「特定電子計算機」という。)に対するサイバーセキュリティ」と、「情報技術利用不正行為に」とあるのは「当該情報技術利用不正行為に」と、同条第三項中「処置は、警察庁の警察官であるサイバー危害防止措置執行官に限り、とることができるものとする。この場合において、当該」とあるのは「処置をとる」と、「警察庁長官」とあるのは「防衛大臣」と、同条第四項中「あらかじめ」とあるのは「あらかじめ、防衛大臣を通じて」と、同項ただし書中「に対し」とあるのは「である特定電子計算機に対し」と、同条第八項中「国家公安委員会規則」とあるのは「防衛省令」と、「その旨を」とあるのは「その旨を部隊等の長を通じて」と、同条第九項中「サイバー通信情報監理委員会に」とあるのは「防衛大臣を通じてサイバー通信情報監理委員会に」と、同条第十項中「当該通知を行つたサイバー危害防止措置執行官が所属する警察庁又は都道府県警察の警察庁長官又は警視総監若しくは道府県警察本部長(次項において「警察庁長官等」という。)」とあり、及び同条第十一項中「警察庁長官等(第三項に規定する場合にあつては、警察庁長官)」とあるのは「防衛大臣」と読み替えるものとする。

一 自衛隊が使用する特定電子計算機

二 日本国とアメリカ合衆国との間の相互協力及び安全保障条約に基づき日本国にあるアメリカ合衆国の軍隊が使用する特定電子計算機

2 前項第二号に掲げる特定電子計算機に対する同項の警護は、アメリカ合衆国の軍隊から要請があつた場合であつて、防衛大臣が必要と認めるときに限り、自衛官が行うものとする。

(情報処理の促進に関する法律の一部改正)

第五条 情報処理の促進に関する法律(昭和四十五年法律第九十号)の一部を次のように改正する。

第五十一条第二項中「第一号」の下に「又は第二号」を加える。

第六条 情報処理の促進に関する法律の一部を次のように改正する。

第五十一条第二項中「(第一号又は第二号に係る部分に限る。)」を「若しくは重要電子計算機に対する不正な行為による被害の防止に関する法律(令和七年法律第▼▼▼ 号)第七十二条第一項若しくは第二項」に改める。

(国立研究開発法人情報通信研究機構法の一部改正)

第七条 国立研究開発法人情報通信研究機構法(平成十一年法律第百六十二号)の一部を次のように改正する。

第十四条に次の一項を加える。

3 機構は、前二項の業務のほか、サイバーセキュリティ基本法第三十一条第一項(第二号に係る部分に限る。)の規定による事務を行う。 (行政機関が行う政策の評価に関する法律の一部改正)

第八条 行政機関が行う政策の評価に関する法律(平成十三年法律第八十六号)の一部を次のように改正する。

第六条第一項中「カジノ管理委員会」の下に「、サイバー通信情報監理委員会」を加える。

(情報通信技術を活用した行政の推進等に関する法律の一部改正)

第九条 情報通信技術を活用した行政の推進等に関する法律(平成十四年法律第百五十一号)の一部を次のように改正する。

第二十七条本文中「カジノ管理委員会規則」の下に「、サイバー通信情報監理委員会規則」を加え、同条ただし書中「カジノ管理委員会、」の下に「サイバー通信情報監理委員会、」を、「カジノ管理委員会規則」の下に「、サイバー通信情報監理委員会規則」を加える。

(民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律の一部改正)

第十条 民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律(平成十六年法律第百四十九号)の一部を次のように改正する。

第九条本文中「カジノ管理委員会規則」の下に「、サイバー通信情報監理委員会規則」を加え、同条ただし書中「カジノ管理委員会、」の下に「サイバー通信情報監理委員会、」を、「カジノ管理委員会規則」の下に「、サイバー通信情報監理委員会規則」を加える。

(産業競争力強化法の一部改正)

第十一条 産業競争力強化法(平成二十五年法律第九十八号)の一部を次のように改正する。

第百四十七条第三項本文中「カジノ管理委員会規則」の下に「、サイバー通信情報監理委員会規則」を加え、同項ただし書中「カジノ管理委員会、」の下に「サイバー通信情報監理委員会、」を、「カジノ管理委員会規則」の下に「、サイバー通信情報監理委員会規則」を加える。

(サイバーセキュリティ基本法の一部改正)

第十二条 サイバーセキュリティ基本法(平成二十六年法律第百四号)の一部を次のように改正する。

第七条に次の一項を加える。

2 情報システム若しくはその一部を構成する電子計算機若しくはプログラム、情報通信ネットワーク又は電磁的記録媒体(以下この項において「情報システム等」という。)の供給者は、サイバーセキュリティに対する脅威により自らが供給した情報システム等に被害が生ずることを防ぐため、情報システム等の利用者がその安全性及び信頼性の確保のために講ずる措置に配慮した設計及び開発、適切な維持管理に必要な情報の継続的な提供その他の情報システム等の利用者がサイバーセキュリティの確保のために講ずる措置を支援する取組を行うよう努めるものとする。

第十七条第五項中「命を受けて内閣官房副長官補」を「内閣サイバー官」に改める。

第二十六条第一項中第五号を第六号とし、第四号を第五号とし、同項第三号中「又は」を「及び」に、「で発生した」を「におけるサイバーセキュリティの確保の状況の評価(情報システムに対する不正な活動であって情報通信ネットワーク又は電磁的記録媒体を通じて行われるものの監視及び分析並びに」に改め、「を含む。)」の下に「を含む。)」を加え、同号を同項第四号とし、同項第二号の次に次の一号を加える。

三 重要社会基盤事業者等におけるサイバーセキュリティの確保に関して国の行政機関が実施する施策の基準の作成(当該基準の作成のための重要社会基盤事業者等におけるサイバーセキュリティの確保の状況の調査を含む。)及び当該基準に基づく施策の評価その他の当該基準に基づく施策の実施の推進に関すること。

第二十六条中第三項を第四項とし、第二項の次に次の一項を加える。

3 本部は、次に掲げる場合には、あらかじめ、サイバーセキュリティ推進専門家会議の意見を聴かなければならない。

一 サイバーセキュリティ戦略の案を作成しようとするとき。

二 第一項第二号又は第三号の基準を作成しようとするとき。

三 第一項第二号又は第三号の評価について、その結果の取りまとめを行おうとするとき。

第二十八条第一項中「内閣官房長官」を「内閣総理大臣」に改め、同条第三項中「、第三号及び第五号」を「から第四号まで及び第六号」に改め、同条第五項を削る。

第三十条第二項中「次に掲げる者(第一号から第六号までに掲げる者にあっては、副本部長に充てられたものを除く。)」を「本部長及び副本部長以外の全ての国務大臣」に改め、同項各号を削り、同条の次に次の一条を加える。

(サイバーセキュリティ推進専門家会議)

第三十条の二 本部に、サイバーセキュリティ推進専門家会議(以下この条において「専門家会議」という。)を置く。

2 専門家会議は、次に掲げる事務をつかさどる。

一 第二十六条第三項の規定により本部長に意見を述べること。

二 前号に掲げるもののほか、サイバーセキュリティに関する施策で重要なものについて調査審議し、必要があると認めるときは、本部長に意見を述べること。

3 専門家会議の委員は、サイバーセキュリティに関し優れた識見を有する者のうちから、内閣総理大臣が任命する。

第三十一条第一項第一号中「独立行政法人及び指定法人におけるサイバーセキュリティに関する対策の基準に基づく監査」を「同号に規定する監査(独立行政法人及び指定法人に係るものに限る。)」に、「又は同項第三号」を「、同項第三号に掲げる事務(同号に規定する調査に係るものに限る。)又は同項第四号」に、「独立行政法人又は指定法人で発生したサイバーセキュリティに関する重大な事象の原因究明のための調査」を「同号に規定する調査(独立行政法人及び指定法人に係るものに限る。)」に改め、同項第二号中「第二十六条第一項第四号」を「第二十六条第一項第五号」に改め、同号を同項第三号とし、同項第一号の次に次の一号を加える。

二 第二十六条第一項第四号に掲げる事務(同号に規定する活動の監視及び分析に係るものに限る。) 国立研究開発法人情報通信研究機構、独立行政法人情報処理推進機構その他当該活動の監視及び分析について十分な技術的能力及び専門的な知識経験を有するとともに、当該事務を確実に実施することができるものとして政令で定める法人

第三十三条第二項中「前項」を「前二項」に、「同項」を「第一項」に改め、同項を同条第三項とし、同条第一項の次に次の一項を加える。

2 本部は、その所掌事務を遂行するため必要があると認めるときは、重要社会基盤事業者及びその組織する団体の代表者に対して、前項の協力を求めることができる。この場合において、当該求めを受けた者は、その求めに応じるよう努めるものとする。

第三十五条中「命を受けて内閣官房副長官補」を「内閣サイバー官」に改める。

第三十六条中「内閣法」の下に「(昭和二十二年法律第五号)」を加える。

第十三条 サイバーセキュリティ基本法の一部を次のように改正する。

目次中「第二十四条」を「第二十三条」に、「第二十五条」を「第二十四条」に改める。

第十二条第二項第三号中「の促進」を削る。

第十四条の見出し中「の促進」を削り、同条中「関し」の下に「、重要な設備に係る電子計算機の被害の防止のための情報の整理及び分析を行うとともに」を加える。

第十七条を削り、第十八条を第十七条とし、第十九条から第二十四条までを一条ずつ繰り上げ、第四章中第二十五条を第二十四条とする。

第二十六条第一項中第五号を削り、第六号を第五号とし、同条を第二十五条とし、第二十七条を第二十六条とする。

第二十八条第三項中「第二十六条第一項第二号から第四号まで及び第六号」を「第二十五条第一項第二号から第五号まで」に改め、同条を第二十七条とし、第二十九条を第二十八条とし、第三十条を第二十九条とする。

第三十条の二第二項第一号中「第二十六条第三項」を「第二十五条第三項」に改め、同条を第三十条とする。

第三十一条第一項第一号中「第二十六条第一項第二号」を「第二十五条第一項第二号」に改め、同項第二号中「第二十六条第一項第四号」を「第二十五条第一項第四号」に改め、同項第三号を削る。

第三十八条中「第十七条第四項又は」を削る。

(情報通信技術を利用する方法による国の歳入等の納付に関する法律の一部改正)

第十四条 情報通信技術を利用する方法による国の歳入等の納付に関する法律(令和四年法律第三十九号)の一部を次のように改正する。

第十四条本文中「カジノ管理委員会規則」の下に「、サイバー通信情報監理委員会規則」を加え、同条ただし書中「カジノ管理委員会、」の下に「サイバー通信情報監理委員会、」を、「カジノ管理委員会規則」の下に「、サイバー通信情報監理委員会規則」を加える。

(内閣法の一部改正)

第十五条 内閣法(昭和二十二年法律第五号)の一部を次のように改正する。

第十五条の二第二項第四号中「及び内閣情報官」を「、内閣情報官及び内閣サイバー官」に改める。

第十六条第六項中「二人」を「三人」に改め、同条第七項中「者」の下に「及び内閣サイバー官」を加える。

第十七条第二項中「内閣情報官」の下に「、内閣サイバー官」を加える。

第十九条の次に次の一条を加える。

第十九条の二 内閣官房に、内閣サイバー官一人を置く。

内閣サイバー官は、内閣官房長官、内閣官房副長官及び内閣危機管理監を助け、次に掲げる事務を掌理する。

第十二条第二項第二号から第五号までに掲げる事務のうちサイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。)の確保に関するもの(国家安全保障局、内閣広報官及び内閣情報官の所掌に属するものを除く。)

サイバーセキュリティ基本法第十七条第五項の規定により内閣官房において処理することとされたサイバーセキュリティ協議会の庶務

サイバーセキュリティ基本法第三十五条の規定により内閣官房において処理することとされたサイバーセキュリティ戦略本部に関する事務

第十五条第四項から第六項までの規定は、内閣サイバー官について準用する。

第十六条 内閣法の一部を次のように改正する。

第十九条の二第二項中第二号を削り、第三号を第二号とする。

(内閣府設置法の一部改正)

第十七条 内閣府設置法(平成十一年法律第八十九号)の一部を次のように改正する。

第三条第二項中「安全の確保」の下に「、国等の重要な電子計算機等に対する不正な行為による被害の防止のための措置の適正な実施を確保するための審査及び検査の遂行」を加える。

第四条第一項に次の一号を加える。

三十七 重要電子計算機(重要電子計算機に対する不正な行為による被害の防止に関する法律(令和七年法律第▼▼▼号)第二条第二項に規定するものをいう。第三項第二十七号の七において同じ。)に対する特定不正行為(同条第四項に規定するものをいう。同号において同じ。)による被害の防止のための基本的な政策に関する事項 第四条第三項第二十七号の六の次に次の一号を加える。

二十七の七 重要電子計算機に対する不正な行為による被害の防止に関する法律に基づく重要電子計算機に対する特定不正行為による被害の防止に関する事務に関すること(他省及び金融庁の所掌に属するものを除く。)。

第四条第三項第五十九号の三の次に次の一号を加える。

五十九の四 重要電子計算機に対する不正な行為による被害の防止に関する法律第四十八条に規定する事務

第十六条第二項中「カジノ管理委員会」の下に「、サイバー通信情報監理委員会」を加える。

第六十四条の表カジノ管理委員会の項の次に次のように加える。


サイバー通信情報監理委員会


重要電子計算機に対する不正な行為による被害の防止に関する法律

 

附 則

(施行期日)

第一条 この法律は、重要電子計算機に対する不正な行為による被害の防止に関する法律(令和七年法律第▼▼▼号)の施行の日から施行する。ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。

一 附則第四条の規定 公布の日

二 第一条の規定、第三条中特別職の職員の給与に関する法律第一条第八号の改正規定及び同法別表第一の改正規定(「及び内閣情報官」を「、内閣情報官及び内閣サイバー官」に改める部分に限る。)、第五条、第七条、第十二条及び第十五条の規定並びに第十七条中内閣府設置法第四条第一項に一号を加える改正規定及び同条第三項第二十七号の六の次に一号を加える改正規定 重要電子計算機に対する不正な行為による被害の防止に関する法律附則第一条第二号に掲げる規定の施行の日

三 第三条の規定(前号に掲げる改正規定を除く。)、第八条から第十一条まで及び第十四条の規定並びに第十七条の規定(同号に掲げる改正規定を除く。) 重要電子計算機に対する不正な行為による被害の防止に関する法律附則第一条第三号に掲げる規定の施行の日

(サイバーセキュリティ基本法の一部改正に伴う経過措置)

第二条 この法律の施行の日(以下この条及び次条において「施行日」という。)前に第十三条の規定による改正前のサイバーセキュリティ基本法第十七条第一項のサイバーセキュリティ協議会の事務に従事していた者に係る当該事務に関して知り得た秘密を漏らし、又は盗用してはならない義務及び施行日前に同法第三十一条第一項第三号に掲げる事務の委託を受けた法人の役員又は職員であった者に係る当該委託に係る事務に関して知り得た秘密を漏らし、又は盗用してはならない義務については、施行日以後も、なお従前の例による。

(罰則の適用に関する経過措置)

第三条 施行日前にした行為及び前条の規定によりなお従前の例によることとされる場合における施行日以後にした行為に対する罰則の適用については、なお従前の例による。

(政令への委任)

第四条 前二条に定めるもののほか、この法律の施行に関し必要な経過措置(罰則に関する経過措置を含む。)は、政令で定める。

(デジタル庁設置法の一部改正)

第五条 デジタル庁設置法(令和三年法律第三十六号)の一部を次のように改正する。

第四条第一項第二号中「第二十六条第一項」を「第二十五条第一項」に改める。  

 

理 由

重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴い、重大な危害を防止するための一定の警察官又は自衛官による電子計算機の動作に係る措置に関する規定を整備するとともに、サイバーセキュリティ基本法その他の関係法律について所要の規定の整備等を行う必要がある。これが、この法律案を提出する理由である。

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

 

能動的サイバー防御・サイバー対処能力強化法関係...

・2025.02.08 内閣官房 サイバー対処能力強化法案及び同整備法案 (2025.02.07)

・2025.01.29 自民党 能動的サイバー防御の導入へ 関係会議が法案概要を了承 (2025.01.24)

 

・2024.12.28 内閣官房 内閣サイバー官(特別職、次官級)・国家サイバー統括室の新設と【内閣府】防災監(次官級)の新設(政府の災害対応の司令塔機能の抜本的強化)(2024.12.27)

 

・2024.12.02 内閣官房 サイバー安全保障分野での対応能力の向上に向けた提言 (2024.11.29)

 

・2024.10.22 参議院常任委員会調査室・特別調査室 「能動的サイバー防御に係る制度構築の方向性と課題」

 

・2024.09.13 自民党 サイバー安全保障分野での対応能力向上に向けた提言 (2024.09.11)

 

・2024.08.29 内閣官房 サイバー安全保障分野での対応能力の向上に向けた有識者会議 これまでの議論の整理 (2024.08.07)

・2024.07.13 防衛白書(2024年)

・2024.03.23 国立国会図書館 調査及び立法考査局 サイバーセキュリティの確保と通信の秘密の保護―この 20年の議論と能動的サイバー防御導入等に向けた課題―

・2023.09.23 サイバー領域への軍事的適応の課題:オランダの事例研究 (2023.07.13)

・2023.07.28 防衛白書(2023年) (+ 能動的サイバー防衛...)

・2023.07.17 英国 NCSC アクティブ・サイバーディフェンス第6次報告書 (2023.07.06) そういえばNCSCは「アクティブ・サイバーディフェンスは防御であって攻撃ではない」と言ってました...

・2023.06.17 経団連 サイバー安全保障に関する意見交換会を開催

・2023.05.24 米国 国防総合大学 「統合抑止力とサイバー空間 - 国益追求のためのサイバー作戦の役割を探る論文選集」(2023.05.15)

・2023.04.03 米国 米サイバー軍がアルバニアでイランからのサイバー攻撃に対する防衛的ハント作戦を実施 (2023.03.23)

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.08.23 米国 サイバー司令部:クロアチアと米国のサイバー防衛隊が悪質な行為者をハントする

・2021.04.07 ハックバックを認めるべき?民間企業による積極的サイバー防衛についての記事 ... Oxford Academic, Journal of Cybersecurity: Private active cyber defense and (international) cyber security—pushing the line?

・2021.02.21 U.K. NSCS 2019年能動的サイバー防御についての実績報告書 (Active Cyber Defence (ACD) - The Third Year)

 

 

クリアランス制度(経済安保情報活用及び保護法)

・2025.02.25 特定秘密の保護に関する法律と重要経済安保情報の保護及び活用に関する法律の比較...

・2025.02.06 内閣府 重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定に関し、統一的な運用を図るための基準 (2025.01.31)

・2024.05.11 日本でもセキュリティクリアランス制度が本格的に導入されることになりましたね...

・2024.02.28 内閣 重要経済安保情報の保護及び活用に関する法律案が閣議決定

・2024.02.20 経団連 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する提言 (2024.02.15)

・2024.01.30 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 最終取りまとめ (2024.01.19)

・2023.12.22 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第9回)

・2023.10.12 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第7回)

・2023.08.27 参議院常任委員会調査室・特別調査室:セキュリティ・クリアランス制度導入の方向性と主な論点 ~技術流出の防止等による国力向上を目指した制度構築に向けて~

・2023.06.08 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 中間論点整理

・2023.04.08 自民党 セキュリティ・クリアランスで法整備を経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が提言

・2023.02.27 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.10.19 自民党 わが国が目指すべき 経済安全保障の全体像について~新たな国家安全保障戦略策定に向けて~ (2022.10.04)

 

 

米国...

・2024.02.26 米国 GAO 国防総省インテリジェンス:プログラムの監督を強化しリスクを管理するために必要な行動

・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)

・2023.11.20 NIST 意見募集 IR8496 NIST IR 8496(初公開ドラフト) データ収集改善のためのデータ格付の概念と考察

・2023.11.05 RAND研究所 多様で信頼される労働力 - 国家安全保障担当者の審査における偏見の可能性と不公平の原因となりうる要素の検証

・2023.07.24 Rand研究所 セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する(+米国セキュリティクリアランス関連リンク)

・2022.08.18 米国 国土安全保障省 内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要

・2021.09.21 国務省OIG 国務省のセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要

 

その他...

・2024.08.08 英国 政府のセキュリティ格付

・2024.07.30 オーストラリア会計検査院 (ANAO) 国防省によるマイクリアランス・システムの調達と導入 (2024.07.11)

 

 

| | Comments (0)

2025.05.16

米国 NIST IR 8259 Rev.1(初期公開ドラフト)IoT製品製造者のための基礎的サイバーセキュリティ活動の5年振りの改訂関係...IR 8572も...(2025.05.13)

こんにちは、丸山満彦です。

2020年に制定されたIoTサイバーセキュリティ改善法(Internet of Things Cybersecurity Improvement Act)により、NISTはIoTサイバーセキュリティガイドラインを5年ごとに見直すことが求められているので、その改訂ドラフトとなるNIST IR 8259「IoTデバイス製造者のための基礎的サイバーセキュリティ活動」を公開し、意見募集を開始していますね...

 

これを最初に意識しておくと、全体がよみやすいかもです...市場投入前の4つ、投入後の3つの活動...

Manufacturer Activities Impacting the loT Product Pre-Market Phase loT製品の市場投入前段階に影響を与える製造事業者の活動
Activity 1: Identify Expected Customers and Define Expected Use Cases 活動1:想定される顧客を識別し、想定されるユースケースを定義する
Activity 2: Research Customer Cybersecurity Needs and Goals 活動2:顧客のサイバーセキュリティ・ニーズと目標を調査する
Activity 3: Determine How to Address Customer Needs and Goals 活動 3: 顧客のニーズと目標に対処する方法を決定する
Activity 4: Plan for Adequate Support of Customer Needs and Goals 活動 4: 顧客のニーズと目標を十分にサポートするための計画を立てる
Manufacturer Activities Impacting the loT Product Post-Market Phase 4. loT製品の市販後段階に影響を与える製造事業者の活動
Activity 5: Support Product Cybersecurity through End-of-Life 活動5:耐用年数を通じた製品のサイバーセキュリティのサポート
Activity 6: Define Approaches for Communicating to Customers 活動6:顧客へのコミュニケーション・アプローチの定義
Activity 7: Decide What to Communicate to Customers and How to Communicate It 活動7: 顧客に何をどのようにコミュニケーションするかを決める

 

で、2025.03.05に開催されたワークショップの開催についての概要報告書(NIST IR 8572  "IoTデバイス製造業者のための基礎的サイバーセキュリティ活動に関するワークショップ "ワークショップ概要報告書)も公表されていますね...

これを読むと、IoTセキュリティの対応についての課題が理解しやすいかもですね。。。

 

NIST - ITL

・2025.05.13 NIST IR 8259 Rev. 1 (Initial Public Draft) Foundational Cybersecurity Activities for IoT Product Manufacturers

 

NIST IR 8259 Rev. 1 (Initial Public Draft) Foundational Cybersecurity Activities for IoT Product Manufacturers NIST IR 8259 Rev.1(初公開ドラフト)IoT製品製造者のための基礎的サイバーセキュリティ活動
Announcement 発表
NIST is releasing the draft revision of NIST IR 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers, in keeping with the requirement in the Internet of Things (IoT) Cybersecurity Improvement Act in 2020 to revisit NIST’s IoT cybersecurity guidelines every five years. This document describes recommended activities related to cybersecurity for manufacturers, spanning pre-market and post-market, to help them develop products that meet their customers’ needs and expectations for cybersecurity. This revision marks a pivotal change to addressing the full IoT product scope as well as broadening consideration of maintenance, support and end of life considerations for IoT products. We look forward to hearing your thoughts and comments on this draft.   NISTは、2020年に制定されたIoTサイバーセキュリティ改善法(Internet of Things Cybersecurity Improvement Act)において、NISTのIoTサイバーセキュリティガイドラインを5年ごとに見直すことが求められていることを踏まえ、NIST IR 8259「IoTデバイス製造者のための基礎的サイバーセキュリティ活動」の改訂ドラフトを公開する。この文書では、製造事業者がサイバーセキュリティに対する顧客のニーズと期待に応える製品を開発できるよう、市販前と市販後にまたがるサイバーセキュリティに関する推奨活動について説明している。今回の改訂は、IoT製品の保守、サポート、耐用年数終了に関する検討の幅を広げるとともに、IoT製品の全範囲に対応するという極めて重要な変更を意味する。本ドラフトに対する皆様のご意見をお待ちしている。 
See this NIST Cybersecurity Insights blog post for more information! 詳細については、NIST Cybersecurity Insightsのブログ記事を参照されたい!
Abstract 概要
Internet of Things (IoT) products often lack product cybersecurity capabilities their customers—organizations and individuals—can use to help mitigate their cybersecurity risks. Manufacturers can help their customers by improving the securability of their IoT products by providing necessary cybersecurity functionality and by providing customers with the cybersecurity-related information they need. This publication describes recommended activities related to cybersecurity that manufacturers should consider performing before their IoT products are sold to customers. These foundational cybersecurity activities can help manufacturers lessen the cybersecurity-related efforts needed by customers, which in turn can reduce the prevalence and severity of compromises. モノのインターネット(IoT)製品には、顧客(組織や個人)がサイバーセキュリティ・リスクを緩和するために利用できる製品のサイバーセキュリティ機能が欠けていることが多い。製造事業者は、必要なサイバーセキュリティ機能をプロバイダとして提供し、顧客が必要とするサイバーセキュリティ関連情報を顧客に提供することで、IoT製品の安全性を向上させ、顧客を支援することができる。本書では、製造事業者が IoT 製品を顧客に販売する前に実施を検討すべき、サイバーセキュリティに関する推奨活動について説明する。これらの基本的なサイバーセキュリティ活動は、製造事業者が顧客が必要とするサイバーセキュリティ関連の取り組みを軽減し、ひいては侵害の蔓延と深刻度を低減するのに役立つ。

 

先、ブログの記事...

・2025.05.13 Five Years Later: Evolving IoT Cybersecurity Guidelines

 

Five Years Later: Evolving IoT Cybersecurity Guidelines 5年後 進化するIoTサイバーセキュリティ・ガイドライン
The Background…and NIST’s Plan for Improving IoT Cybersecurity 背景...そしてIoTサイバーセキュリティ改善のためのNISTの計画
The passage of the Internet of Things (IoT) Cybersecurity Improvement Act in 2020 marked a pivotal step in enhancing the cybersecurity of IoT products. Recognizing the increasing internet connectivity of physical devices, this legislation tasked NIST with developing cybersecurity guidelines to manage and secure IoT effectively. As an early building block, we developed NIST IR 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers, which describes recommended activities related to cybersecurity for manufacturers, spanning pre-market and post-market, to help them develop products that meet their customers’ needs and expectations for cybersecurity. 2020年にモノのインターネット(IoT)サイバーセキュリティ改善法が成立したことは、IoT製品のサイバーセキュリティを強化する上で極めて重要な一歩となった。この法律は、物理デバイスのインターネット接続が増加していることを認識し、NISTにIoTを効果的に管理し保護するためのサイバーセキュリティガイドラインの策定を課した。初期のビルディングブロックとして、NISTはNIST IR 8259「Foundational Cybersecurity Activities for IoT Device Manufacturers(IoTデバイス製造事業者のための基礎的サイバーセキュリティ活動)」を策定した。これは、製造事業者がサイバーセキュリティに対する顧客のニーズと期待に応える製品を開発できるよう、市場投入前と市場投入後にわたるサイバーセキュリティに関する推奨活動を記述したものである。
Since then, NIST has built upon NIST IR 8259 and its related sector-neutral technical (NIST IR 8259A) and non-technical (NIST IR 8259B) baselines to help manufacturers and customers consider the cybersecurity of IoT products. The documents in the NIST IR 8259 series have been used to inform and develop subsequent publications that elaborate on IoT cybersecurity across sectors and use cases (e.g., federal agency use cases and the U.S. Cyber Trust Mark for consumer IoT). NIST IR 8259 serves as a foundational document providing the conceptual and contextual basis for all these publications . それ以来、NISTは、製造事業者と顧客がIoT製品のサイバーセキュリティを検討するのを支援するために、NIST IR 8259と関連するセクターニュートラルの技術的ベースライン(NIST IR 8259A)および非技術的ベースライン(NIST IR 8259B)をベースにしてきた。NIST IR 8259シリーズの文書は、セクターやユースケース(連邦政府機関のユースケースや消費者向けIoTの米国サイバートラストマークなど)を横断してIoTサイバーセキュリティについて詳しく説明する後続の出版物の情報提供や開発に利用されてきた。NIST IR 8259 は、これらすべての出版物の概念的・文脈的基礎を提供する基礎文書としての役割を果たしている。
The IoT Cybersecurity Improvement Act called for NIST to revisit our IoT cybersecurity guidelines every five years. With that in mind, as well as the evolution of IoT product components and technologies, NIST will be beginning our five-year revision of NIST SP 800-213, IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements and NIST SP 213A, IoT Device Cybersecurity Guidance for the Federal Government: IoT Device Cybersecurity Requirement Catalog…with NIST IR 8259 being our first step. IoTサイバーセキュリティ改善法は、NISTが5年ごとにIoTサイバーセキュリティガイドラインを見直すことを求めている。IoT製品のコンポーネントや技術の進化を念頭に、NISTはNIST SP 800-213「連邦政府向けIoTデバイスサイバーセキュリティガイダンス」の5年ごとの改訂を開始する予定である: 連邦政府向けIoTデバイスサイバーセキュリティガイダンス:IoTデバイスサイバーセキュリティ要件の確立」と「NIST SP 213A(連邦政府向けIoTデバイスサイバーセキュリティガイダンス:IoTデバイスサイバーセキュリティ要件の確立)」の5年にわたる改訂を開始する: NIST IR 8259はその第一歩である。
Starting with our Workshops ワークショップから始める
To kick off the revision process, we held two public workshops in the last six months to gather comments on the general state of IoT cybersecurity and discussing concepts that should be added or further emphasized in NIST IR 8259. We saw impressive participation across both workshops with a total of over 400 combined in-person and virtual participants. 改訂プロセスを開始するために、我々は過去6ヶ月間に2つの公開ワークショップを開催し、IoTサイバーセキュリティの一般的な状態に関するコメントを収集し、NIST IR 8259に追加またはさらに強調すべき概念について議論した。両ワークショップとも、直接の参加者とバーチャルな参加者を合わせると合計400人以上の参加者があり、目覚ましい参加者数を記録した。
Key themes NIST brought to the discussion for starting the conversation about what was needed in a NIST IR 8259 update was: NISTは、NIST IR 8259の更新に何が必要かについて議論を開始するために、次のような主要テーマを議論に持ち込んだ:
・Expanded focus on IoT products; ・IoT製品への焦点の拡大;
・Considerations needed for Industrial IoT; ・産業用IoTに必要な考慮事項;
・The relationship between privacy considerations and IoT cybersecurity; and ・プライバシーの考慮とIoTサイバーセキュリティの関係。
・Cybersecurity considerations for maintenance, repair, and end-of-life for IoT products. ・IoT製品の保守、修理、耐用年数の終了に関するサイバーセキュリティの考慮事項。
Feedback from the workshop collectively highlighted key challenges and opportunities with three central needs emerging: ワークショップからのフィードバックは、3つの中心的なニーズとともに、重要な課題と機会を浮き彫りにした:
1. Lifecycle-Centric Security: Addressing cybersecurity throughout the IoT product lifecycle with transparency, traceability, and the consideration of evolving demands. 1. ライフサイクル中心のセキュリティ: ライフサイクル中心のセキュリティ:透明性、トレーサビリティ、進化する要求を考慮しながら、IoT製品のライフサイクル全体を通してサイバーセキュリティに対処する。
2. Risk Visibility and Evaluation: Tackling challenges from limited visibility, unforeseen use cases, and unexpected environments, with an emphasis on assessing the scale of impacts. 2. リスクの可視化と評価: 限られた可視性、予期せぬユースケース、予期せぬ環境から生じる課題に取り組み、影響の規模を評価することに重点を置く。
3. Effective Communication: Bridging gaps between manufacturers and customers during pre-market and post-market phases to improve alignment and sustain cybersecurity. 3. 効果的なコミュニケーション: 市場投入前および市場投入後の段階における製造事業者と顧客との間のギャップを埋め、連携を改善し、サイバーセキュリティを維持する。
What Changes Can I Expect and What is Coming Next? どのような変化を期待し、次に何が起こるのか?
NIST heard many notable points and ideas from participants across both workshops (details can be found in the summary reports from workshop 1 and workshop 2), along with additional industry roundtables and other events. The invaluable feedback we’ve gotten has helped streamline updates to NIST IR 8259 in the form of comprehensive changes that expand the focus on IoT products, highlighting product cybersecurity capabilities as central to IoT cybersecurity. NISTは、両ワークショップ(詳細はワークショップ1およびワークショップ2のサマリーレポートに記載)に加え、追加の業界円卓会議やその他のイベントを通じて、参加者から多くの注目すべき点やアイデアを聞いた。我々が得た貴重なフィードバックは、IoTサイバーセキュリティの中心である製品のサイバーセキュリティ能力を強調し、IoT製品への焦点を拡大する包括的な変更という形で、NIST IR 8259の更新を合理化するのに役立った。
So far, updates have been made to the NIST IR 8259 background section to connect cybersecurity goals with risks, offering deeper insights into system-level cybersecurity. Other specific changes include adding a seventh foundational activity and expanding the existing six key activities with new questions to help manufacturers anticipate product deployment and usage, clarify data management across IoT components, share enhanced language on lifecycle and support expectations, outline refined discussions on cybersecurity communications, and share updates to technical and non-technical capabilities. これまでのところ、NIST IR 8259の背景セクションの更新が行われ、サイバーセキュリティの目標とリスクとが結び付けられ、システムレベルのサイバーセキュリティについてより深い洞察が提供されている。その他の具体的な変更点としては、製造事業者が製品の展開と利用を予測し、IoTコンポーネント全体のデータ管理を明確にし、ライフサイクルとサポートへの期待に関する強化された文言を共有し、サイバーセキュリティコミュニケーションに関する洗練された議論を概説し、技術的および非技術的能力に関する最新情報を共有するために、7つ目の基礎的活動を追加し、既存の6つの主要な活動を新たな質問で拡張することが挙げられる。
We look forward to continuing the conversation and discussing our initial public draft at our June 18, 2025 virtual discussion forum and receiving your feedback during our public comment period for NIST IR 8259 which closes on July 11, 2025. We are also planning to engage in further conversations with the community and provide further updates as we work to finalize NIST IR 8259 Rev 1 by the end of the year. NIST remains committed to advancing IoT cybersecurity and fostering a secure ecosystem for connected product technologies across industries. 我々は、2025年6月18日に開催されるバーチャル・ディスカッション・フォーラムにおいて、対話を継続し、我々の最初の公開ドラフトについて議論し、2025年7月11日に締め切られるNIST IR 8259のパブリックコメント期間中に皆様のご意見を頂戴することを楽しみにしている。また、年内のNIST IR 8259 Rev 1の最終化に向けて、コミュニティとのさらなる対話を行い、さらなる最新情報を提供する予定である。NISTは引き続き、IoTサイバーセキュリティを推進し、業界を超えたコネクテッド製品技術の安全なエコシステムを育成することに尽力する。

 

改定案...

・・[PDF] NIST.IR.8259r1.ipd

20250516-42317

 

エグゼクティブサマリー...

Executive Summary    エグゼクティブ・サマリー 
Manufacturers are creating an incredible variety and volume of internet-ready products and systems broadly known as the Internet of Things (IoT). Many of these IoT products and systems do not fit the standard definitions of information technology (IT) (e.g., smartphones, servers, laptops) that have been used as the basis for defining product cybersecurity capabilities.   製造事業者は、モノのインターネット(IoT)として広く知られるインターネット対応の製品やシステムを驚くほど多様かつ大量に生み出している。これらのIoT製品やシステムの多くは、製品サイバーセキュリティ能力の定義の基礎として用いられてきた情報技術(IT)の標準的な定義(スマートフォン、サーバー、ラップトップなど)に当てはまらない。 
The purpose of this publication is to give manufacturers recommendations for improving the securability of their IoT products. Securability means the IoT products offer product cybersecurity capabilities—cybersecurity features or functions that the IoT devices and other product components provide through their own technical means (i.e., hardware and software) or related non-technical services from the manufacturer (i.e., vulnerability disclosure programs). An IoT product that is resilient to attacks, supports forensic analysis following an incident, recovers quickly after an incident, keeps customer data confidential and free of tampering, develops a reputation of being trustworthy, etc. is one that customers can adopt and trust. Thus, investing in producing a secure IoT product contributes to the success of the IoT product in the market, increasing innovation, protecting the nation, and supporting individuals in their daily lives. Cybersecurity of an IoT product must begin in the product planning phase when the decision-makers are able to allocate resources towards modeling and prioritizing threats, then designing and implementing effective product cybersecurity capabilities that help address these threats. Additionally, allocating resources for post-market support of the product when it’s deployed in the field goes a long way to establishing a relationship of trust with the customer. Constantly evaluating the ever-changing threat landscape, investigating security incidents that happen in the field, and maintaining the IoT product’s ability to remain securable in the field all help the customer manage their cybersecurity risks while also enhancing the reputation of the IoT product and its manufacturer.   本書の目的は、IoT製品の安全性を改善するための推奨事項を製造事業者に示すことである。脆弱性とは、IoT 製品が製品のサイバーセキュリティ機能、すなわち、IoT デバイスやその他の製品コンポーネントが、独自の技術的手段(ハードウェアやソフトウェアなど)、または製造事業者の関連する非技術的サービス(脆弱性開示プログラムなど)を通じて提供するサイバーセキュリティ機能や特徴を備えていることを意味する。攻撃に対するレジリエンス、インシデント発生後のフォレンジック分析への対応、インシデント発生後の迅速な復旧、顧客データの機密保持と改ざんの防止、信頼できるという評判の醸成などを実現するIoT製品は、顧客が採用し、信頼できるものである。このように、安全なIoT製品の製造に投資することは、市場におけるIoT製品の成功、イノベーションの拡大、国家の保護、個人の日常生活の支援に貢献する。IoT製品のサイバーセキュリティは、意思決定者が脅威のモデル化と優先順位付けにリソースを割り当てることができる製品計画段階から開始する必要があり、その後、これらの脅威に対処するのに役立つ効果的な製品のサイバーセキュリティ機能を設計し、実装する。さらに、製品が市場に展開された後のサポートにリソースを割り当てることは、顧客との信頼関係を確立する上で大きな意味を持つ。絶えず変化する脅威の状況を常に評価し、現場で発生したセキュリティ・インシデントを調査し、IoT 製品が現場で安全性を維持できる能力を維持することはすべて、顧客がサイバーセキュリティ・リスクをマネジメントするのに役立つと同時に、IoT 製品とその製造事業者の評判を高めることにもなる。 
This publication describes seven recommended foundational cybersecurity activities that manufacturers should consider to improve the securability of their IoT products. Four of the activities primarily impact decisions and actions performed by the manufacturer before a product is sent out for sale (pre-market), and the remaining three activities primarily impact decisions and actions performed by the manufacturer after product sale (post-market). Performing all seven activities can help manufacturers provide IoT products that better support the cybersecurity-related efforts needed by customers, which can reduce the prevalence and severity of IoT product compromises. These activities are intended to fit within a manufacturer’s existing development process and may already be achieved in whole or part by that existing process.  本書では、製造事業者が IoT 製品の安全性を改善するために検討すべき、推奨される 7 つの基本的なサイバーセキュリティ活動について説明する。このうち4つの活動は、主に製品が販売される前(プリマーケット)に製造事業者が行う意思決定と行動に影響を与え、残りの3つの活動は、主に製品が販売された後(ポストマーケット)に製造事業者が行う意思決定と行動に影響を与える。7 つの活動すべてを実施することで、製造事業者は、顧客が必要とするサイバーセキュリティ関連の取り組みをよりよくサポートする IoT 製品を提供することができ、IoT 製品の侵害の蔓延と深刻度を低減することができる。これらの活動は、製造事業者の既存の開発プロセスに適合するように意図されており、その既存のプロセスによって、全体的または部分的に既に達成されている可能性がある。
Note that this publication is primarily intended to inform the manufacturing of new products or products that are being redesigned. However, much of the information in this publication can be used when upgrading products already in production. 本書は、主に新製品または再設計中の製品の製造に情報を提供することを意図していることに留意されたい。しかし、本書の情報の多くは、すでに生産されている製品を改良する際にも利用できる。

 

 

 

目次と図表...

1. Introduction 1. 序論
1.1. Purpose and Scope 1.1. 目的と範囲
1.2. Publication Structure 1.2. 出版構成
2. Background 2. 背景
2.1. Product Cybersecurity and System Cybersecurity 2.1. 製品のサイバーセキュリティとシステムのサイバーセキュリティ
2.2. Composition of loT Products 2.2. loT製品の構成
2.3. Entities in an loT Product Ecosystem 2.3. loT製品エコシステムにおける事業体
2.4. The Role of the Manufacturer in Cybersecurity 2.4. サイバーセキュリティにおける製造事業者の役割
2.5. loT Product Customer Cybersecurity Needs and Goals 2.5.loT製品の顧客のサイバーセキュリティのニーズと目標
3. Manufacturer Activities Impacting the loT Product Pre-Market Phase 3. loT製品の市場投入前段階に影響を与える製造事業者の活動
3.1. Activity 1: Identify Expected Customers and Define Expected Use Cases 3.1. 活動1:想定される顧客を識別し、想定されるユースケースを定義する
3.2. Activity 2: Research Customer Cybersecurity Needs and Goals 3.2. 活動2:顧客のサイバーセキュリティ・ニーズと目標を調査する
3.3. Activity 3: Determine How to Address Customer Needs and Goals 3.3. 活動 3: 顧客のニーズと目標に対処する方法を決定する
3.4. Activity 4: Plan for Adequate Support of Customer Needs and Goals 3.4. 活動 4: 顧客のニーズと目標を十分にサポートするための計画を立てる
4. Manufacturer Activities Impacting the loT Product Post-Market Phase 4. loT製品の市販後段階に影響を与える製造事業者の活動
4.1. Activity 5: Support Product Cybersecurity through End-of-Life 4.1. 活動5:耐用年数を通じた製品のサイバーセキュリティのサポート
4.2. Activity 6: Define Approaches for Communicating to Customers 4.2. 活動6:顧客へのコミュニケーション・アプローチの定義
4.3. Activity 7: Decide What to Communicate to Customers and How to Communicate It 4.3. 活動7: 顧客に何をどのようにコミュニケーションするかを決める
4.3.1. Cybersecurity Risk-Related Assumptions 4.3.1. サイバーセキュリティリスク関連の前提条件
4.3.2. Support and Lifespan Expectations 4.3.2. サポートと寿命への期待
4.3.3. Product Composition and Capabilities 4.3.3. 製品の構成と能力
4.3.4. Software Updates 4.3.4. ソフトウェアの更新
4.3.5. Product Retirement Options 4.3.5. 製品の廃止オプション
4.3.6. Technical and Non-Technical Cybersecurity Capabilities 4.3.6. 技術的および非技術的サイバーセキュリティ能力
5. Conclusion 5. 結論
References 参考文献
Appendix A. List of Abbreviations and Acronyms 附属書A. 略語と頭字語のリスト
Appendix B. Glossary 附属書B. 用語集
Appendix C. Change Log 附属書C. 変更履歴
List of Figures 図のリスト
Fig. 1. Relationship of organizational information system elements to an organization's cybersecurity. 図 1. 組織のサイバーセキュリティと組織の情報システム要素の関係
Fig. 2. Example of a network showing multiple loT products based around different loT devices which are supported by various kinds of loT product components 図 2. 様々な種類のloT製品コンポーネントによってサポートされる、異なるloTデバイスを中心とした複数のloT製品を示すネットワークの例。
Fig. 3. Activities Discussed in this Publication Grouped by Phase Impacted 図3. 本書で取り上げる活動を、影響を受けるフェーズごとにグループ化したもの
Fig. 4. Cybersecurity Connections Between loT Product Manufacturers and Customers 図4. loT製品製造事業者と顧客のサイバーセキュリティ上のつながり
Fig. 5. Customer Cybersecurity Needs and Goals Reflected in and Informed by Many Applicable Regulations and Other Documents. 図5. 顧客のサイバーセキュリティに関するニーズと目標は、多くの適用可能な規制やその他の文書に反映され、それらに示唆されている。
Fig. 6. Technical and non-technical means that can support cybersecurity of loT products provided as product cybersecurity capabilities... 図 6. 製品のサイバーセキュリティ機能として提供されるloT製品のサイバーセキュリティをサポートできる技術的および非技術的手段...

 

 

序論...

1. Introduction   1. 序論 
Manufacturers are creating an incredible variety and volume of internet-ready products and systems broadly known as the Internet of Things (IoT). Many of these IoT products and systems do not fit the standard definitions of information technology (IT) (e.g., smartphones, servers, laptops) that have been used as the basis for defining product cybersecurity capabilities. IoT products are frequently expected to be in service for decades, may have strict cost limits, could utilize an unorthodox operating environment (e.g., extreme temperatures, high humidity, significant latency) that may affect their cybersecurity posture and expectations.  製造事業者は、IoTとして広く知られるインターネット対応の製品やシステムを、驚くほど多様かつ大量に生み出している。これらの IoT 製品やシステムの多くは、製品のサイバーセキュリティ能力を定義するための基準として使用されてきた情報技術(IT)の標準的な定義(スマートフォン、サーバ、ラップトップなど)に当てはまらない。IoT 製品は、数十年にわたり使用されることが多く、厳しいコスト制限を受ける可能性があり、サイバーセキュリティの態勢や期待に影響を及ぼす可能性のある異例の動作環境(極端な温度、高湿度、大幅な遅延など)を利用する可能性がある。
As IoT adoption has increased over the last two decades, threats and vulnerabilities have also grown. For example, large, resilient botnets made up of compromised IoT devices, such as the Mirai botnet resulted in response from the United States Government in the form of Executive Order (EO) 13800. [1] Since that time, there’s been increasing acknowledgement of the importance of cybersecurity of IoT products and efforts to support and promote it. [2] Even today, trust in IoT, which is supported by cybersecurity is seen as a key factor to sustaining and amplifying the adoption and innovation of IoT products. [3] Manufacturers should consider the cybersecurity of their IoT products to ensure customers can trust the products and their operation. Doing so can not only protect customers as they deploy and use IoT products, but manufacturers themselves by increasing trust in their products, supporting their reputation among customers, and reducing the likelihood of attacks on manufacturers’ internal systems. Finally, considering cybersecurity in the development and support of IoT products protects the Nation, internet, and public at large by reducing the likelihood of attacks utilizing IoT products (e.g., botnets).   この20年間でIoTの導入が進むにつれ、脅威や脆弱性も増大している。例えば、Miraiボットネットのような侵害されたIoTデバイスで構成される大規模でレジリエンスの高いボットネットは、大統領令(EO)13800という形で米国政府の対応を招いた。[1]以来、IoT製品のサイバーセキュリティの重要性が認識されるようになり、それを支援・促進する取り組みが行われている。[2] 現在でも、サイバーセキュリティに支えられたIoTへの信頼は、IoT製品の採用とイノベーションを維持・拡大するための重要な要素であると考えられている。[製造事業者は、顧客が製品とその動作を信頼できるように、IoT製品のサイバーセキュリティを考慮すべきである。そうすることで、顧客が IoT 製品を展開し使用する際に顧客を保護できるだけでなく、製造事業者自身も、製品に対する信頼を高め、顧客からの評判を支え、製造事業者の内部システムに対する攻撃の可能性を減らすことができる。最後に、IoT 製品の開発とサポートにおいてサイバーセキュリティを考慮することは、IoT 製品を利用した攻撃(ボットネットなど)の可能性を低減することで、国家、インターネット、および公衆全体を保護することになる。 
1.1. Purpose and Scope  1.1. 目的と範囲 
IoT products are digital equipment or systems that sense or actuate on the physical world while being connected or connectable to the Internet. IoT products in scope for this publication may be comprised of a single IoT device and nothing else or they may be comprised of the IoT device and additional IoT product components (e.g., backends, companion applications, and specialty networking/gateway hardware). An IoT device has at least one transducer (sensor or actuator) for interacting directly with the physical world and at least one network interface (e.g., Ethernet, Wi-Fi, Bluetooth, Long-Term Evolution (LTE), Zigbee, Ultra-Wideband (UWB)) for interfacing with the digital world. In this document, “components” refers to the components of an IoT product. Sub-components of an IoT device (e.g., a processor or memory) are outside the scope of this publication.  IoT 製品とは、インターネットに接続または接続可能でありながら、物理世界を感知または作動するデジ タル機器またはシステムである。本書の適用範囲に含まれる IoT 製品は、単一の IoT デバイスとそれ以外のものから構成される場合もあれば、IoT デバイスと追加の IoT 製品コンポーネント(バックエンド、コンパニオンアプリケーション、特殊なネットワーキング/ゲートウェイハードウェアなど)から構成される場合もある。IoTデバイスは、物理世界と直接相互作用するための少なくとも1つのトランスデューサ(センサまたはアクチュエータ)と、デジタル世界と相互作用するための少なくとも1つのネットワークインターフェース(例えば、イーサネット、Wi-Fi、Bluetooth、LTE(Long-Term Evolution)、Zigbee、UWB(Ultra-Wideband))を有する。本書において「コンポーネント」とは、IoT 製品の構成要素を指す。IoT デバイスのサブコンポーネント(プロセッサやメモリなど)は、本書の対象外である。
The purpose of this publication is to provide manufacturers recommendations for developing securable IoT products. Securable means that the IoT products operate in a way and offers functionality such that a customer (or other users) can effectively manage the cybersecurity of the IoT product and the system to which it’s connected. This publication provides guidelines for securable IoT products rather than secure IoT products because:  本書の目的は、セキュアな IoT 製品を開発するための推奨事項を製造事業者に提供することである。セキュアな IoT 製品とは、顧客(または他のユーザ)が IoT 製品およびそれが接続されるシステムのサイバーセキュリティを効果的に管理できるような方法で動作し、機能を提供する IoT 製品を意味する。本書は、セキュアな IoT 製品ではなく、セキュアな IoT 製品に関するガイドラインを提供する: 
1. When considering that IoT products will be attached to networks and primarily managed by customers when deployed, IoT product manufacturers cannot create something that is secure in an absolute sense, but rather securable by customers in deployment.  1. IoT 製品はネットワークに接続され、展開時には主に顧客によって管理されることを考慮すると、IoT 製品の製造事業者は、絶対的な意味でセキュアなものを作ることはできない。
2. Secure operation of IoT products is only part of the scope of this document, and this document also addresses how IoT products should support the cybersecurity of customers and the systems they attach to.  2. IoT 製品のセキュアな運用は、本文書の範囲の一部に過ぎず、本文書では、IoT 製品が、顧客や、IoT 製品に接続されるシステムのサイバーセキュリティをどのようにサポートすべきかについても取り上げる。
IoT products will offer product cybersecurity capabilities—cybersecurity features or functions that products provide through their own technical means (i.e., device hardware and software)—that customers, including both organizations and individuals, need to secure the IoT products when used in their systems and environments. While all customers may need to take some actions to secure their IoT products (e.g., changing a default password), product cybersecurity capabilities will need to be tailored to the expected knowledge of the customer. All IoT product components will contribute to the securability of IoT products, and so product cybersecurity capabilities will include aspects of how IoT products function that ensure secure operation of the IoT product, but may not be used directly by customers. For example, confidentiality measures such as encryption should be part of the IoT product’s implementation to protect data-at-rest and data-in-transit, even for data that is stored on and shared between IoT product components.  IoT 製品は、製品のサイバーセキュリティ機能、すなわち、製品が独自の技術的手段(すなわち、 デバイスのハードウェアとソフトウェア)を通じて提供するサイバーセキュリティ機能や機能を提供す るが、組織と個人の両方を含む顧客は、そのシステムや環境で IoT 製品を使用する際に、IoT 製品のセキュリ ティを確保する必要がある。すべての顧客は、IoT 製品をセキュアにするために何らかの行動をとる必要があるかもしれないが(例えば、 デフォルトパスワードの変更)、製品のサイバーセキュリティ能力は、顧客の期待される知識に合わせて調整する必要があ る。すべての IoT 製品コンポーネントは、IoT 製品の安全性に貢献するため、製品サイバーセキュリティ 能力には、IoT 製品の安全な運用を確保する IoT 製品の機能の側面が含まれるが、顧客が直接使用することはない。例えば、IoT 製品のコンポーネントに保存され、IoT 製品のコンポーネント間で共有されるデー タであっても、静止データと転送中のデータを保護するために、暗号化などの機密性対策が IoT 製品の実装の一部であるべきである。
Finally, IoT product manufacturers or other supporting entities will often need to perform actions or provide services that their customers need to maintain the cybersecurity of the product. From this publication, IoT product manufacturers will learn how they can help IoT product customers with cybersecurity risk management by carefully considering which product cybersecurity capabilities to design into their products and which actions or services may also be needed to support the IoT product’s securability.   最後に、IoT 製品の製造事業者やその他の支援事業者は、製品のサイバーセキュリティを維持するために、顧客が必要とするアクションを実行したり、サービスを提供したりする必要がある場合が多い。本書から、IoT 製品の製造事業者は、製品にどのようなサイバーセキュリティ機能を設計するか、また、IoT 製品の安全性をサポートするためにどのようなアクションやサービスが必要になるかを慎重に検討することで、IoT 製品の顧客のサイバーセキュリティリスクマネジメントをどのように支援できるかを学ぶことができる。 
Therefore, a securable IoT product has product cybersecurity capabilities (i.e., hardware and software) and other support provided by the manufacturer or other supporting entity that customers may need to mitigate common and expected cybersecurity risks related to the use of the IoT product and its connection to customers’ systems.  したがって、安全性の高い IoT 製品には、製品のサイバーセキュリティ機能(すなわち、ハード ウェアとソフトウェア)と、IoT 製品の使用と顧客のシステムとの接続に関連する一般的で予想されるサイ バーセキュリティリスクを緩和するために顧客が必要とする可能性のある製造事業者またはその他のサポ ート事業者が提供するその他のサポートがある。
This publication is intended to address a wide range of IoT use cases. IoT products will be used in systems and environments with many other products and system components, some of which may be IoT, while others may be conventional IT equipment. For some use cases (e.g., healthcare), the guidelines in this document can be complimented with applicable standards, regulations, and guidance.  本書は、幅広い IoT ユースケースに対応することを意図している。IoT 製品は、他の多くの製品やシステムコンポーネントと一緒にシステムや環境で使用されることになるが、その中には IoT 製品もあれば、従来の IT 機器もある。一部のユースケース(例:ヘルスケア)については、本書のガイドラインを、適用される標準、 規制、およびガイダンスで補完することができる。
This publication is primarily intended to inform the manufacturing of new devices and products or products that are being redesigned. However much of the information in this publication can be used when upgrading products already in production. By implementing the activities discussed in this document, manufacturers can increase the trustworthiness of the IoT products they produce, including products’ longevity, thus improving the manufacturer’s reputation and contributing to the success of the deployment.  本書は主に、新しい機器や製品、または再設計中の製品の製造に情報を提供することを意図している。しかし、本書に記載されている情報の多くは、すでに製造されている製品を改良する際にも利用できる。製造事業者は、本書で取り上げた活動を実施することで、製品の長寿命化を含め、製造する IoT 製品の信頼性を高めることができ、その結果、製造事業者の評判を向上させ、展開の成功に貢献することができる。
Readers do not need a technical understanding of IoT product composition and capabilities, but a basic understanding of cybersecurity principles is assumed.  読者は、IoT 製品の構成と機能に関する技術的な理解は必要ないが、サイバーセキュリティの原 則に関する基本的な理解があることを前提とする。
1.2. Publication Structure  1.2. 本書の構成 
The remainder of this publication is organized into the following sections and appendices:  本書の残りの部分は、以下のセクションと附属書で構成されている: 
・Section 2 provides background information needed to understand the seven recommended pre-market and post-market activities described in Sections 3 and 4.  セクション2 では、セクション3 及びセクション4 で説明する推奨される 7 つの市販前・市販後活動を理解するために必 要な背景情報を提供する。
・Section 3 includes recommended manufacturer activities that primarily impact securability efforts by the manufacturer before sale (i.e., premarket). The Section 3 activities are:   セクション3は、主に販売前(すなわち、市販前)の製造事業者の安全性確保努力に影響を与える推奨される製造事業者の活動を含む。セクション3の活動は以下のとおりである: 
・・Activity 1: Identify expected customers and users and define expected use cases.   活動1:想定される顧客とユーザーを特定し、想定されるユースケースを定義する。 
・・Activity 2: Research customer cybersecurity needs and goals.  o Activity 3: Determine how to address customer cybersecurity needs and goals.   活動2:顧客のサイバーセキュリティニーズと目標を調査する。 o 活動3:顧客のサイバーセキュリティニーズと目標に対応する方法を決定する。 
・・Activity 4: Plan for adequate support of customer needs and goals.   活動4:顧客のニーズや目標を適切にサポートするための計画を策定する。 
・Section 4 includes recommended manufacturer activities that primarily impact securability efforts by the manufacturer after sale (i.e., post-market). The Section 4 activities are:   セクション 4 には、主に販売後(すなわち、市販後)の製造事業者による安全性確保への取り組みに影 響を与える、推奨される製造事業者の活動が含まれている。セクション4の活動は以下のとおりである: 
・・Activity 5: Support product cybersecurity through end-of-life.   活動5:製造終了時まで製品のサイバーセキュリティをサポートする。 
・・Activity 6: Define and plan approaches for communicating with customers.   活動6:顧客とのコミュニケーション方法を定義し、計画する。 
・・Activity 7: Decide what information needs to be communicated to customers and which defined approaches are most appropriate for the information.   活動7:どのような情報を顧客に伝える必要があり、どのようなアプローチが最も適切かを決定する。 
・Section 5 provides a conclusion for the publication.  セクション5では、本書の結論を述べている。
・The References section lists the references for the publication.  参考文献のセクションには、本書の参考文献を掲載している。
・Appendix A provides a list of acronyms and abbreviations used in the publication.  附属書Aは、本書で使用されている頭字語や略語のリストである。
・Appendix B contains a glossary of selected terms used in the publication.  附属書Bは、本書で使用されている用語集である。
・Appendix C presents changes that were made to the original NIST IR 8259 report in writing this Initial Public Draft.  附属書Cは、本初期公開草案を作成するにあたり、NIST IR 8259報告書の原文に加えられた変更点を示している。

 

間を飛ばして、結論(^^)

5. Conclusion  5. 結論
This publication discusses seven cybersecurity-related activities for IoT product manufacturers and gives examples of questions manufacturers can answer for each activity. Manufacturers who choose to perform one or more of these foundational cybersecurity activities should determine the applicability of the example questions and identify any other questions that may help to understand customers’ cybersecurity needs and goals, including the product cybersecurity capabilities the customers expect. The questions highlighted for each activity are meant as a starting point and do not entirely define each activity. Also, the process described in this publication is not meant to imply that the role of manufacturers is limited to providing capabilities that require action by customers, but rather should drive manufacturers to better understand their customers’ needs and goals in the context of the IoT product, which may require automated capabilities, and/or additional supporting non-technical actions. For some customers and use cases, where it is possible and appropriate, limited customer responsibility for cybersecurity may lead to better cybersecurity outcomes for the ecosystems than if the burden was left fully on customers. 本書では、IoT 製品製造者のための 7 つのサイバーセキュリティ関連活動について説明し、各活動につい て製造者が回答できる質問の例を示した。これらの基礎的なサイバーセキュリティ活動を 1 つ以上実施することを選択した製造事業者は、質問例の適 用可能性を判断し、顧客が期待する製品のサイバーセキュリティ能力など、顧客のサイバーセキュリティ ニーズと目標を理解するのに役立ちそうな他の質問を特定する必要がある。各活動で強調されている質問は、出発点としてのものであり、各活動を完全に定義するものではない。また、本書で説明するプロセスは、製造事業者の役割が、顧客の行動を必要とする機能のプロバイダに限定されることを意味するものではなく、むしろ、自動化された機能、および/または、技術的でない追加的な支援を必要とする可能性のある、IoT 製品のコンテキストにおける顧客のニーズと目標をよりよく理解するよう、製造事業者を後押しするものである。一部の顧客とユースケースについては、サイバーセキュリティに対する顧客の責任を限定することが可能かつ適切である場合、その負担を完全に顧客に委ねるよりも、エコシステムにとってより良いサイバーセキュリティの成果につながる可能性がある。

 

変更履歴...

Appendix C. Change Log  附属書C. 変更履歴 
NIST IR 8259 was originally published as final in May 2020. To ensure the guidelines are timely, useful, and effective, NIST has spent the time from December 2024 until May 2025 to revisit NIST IR 8259, determine potential areas of revision, engage with the IoT cybersecurity community, and prepare this revised Initial Public Draft of the document. The following areas have been revised from the original NIST IR 8259 to this Initial Public Draft NIST IR 8259 Revision 1 throughout the document:  NIST IR 8259は当初2020年5月に最終版として発行された。本ガイドラインをタイムリーで有用かつ効果的なものとするため、NISTは2024年12月から2025年5月までの期間を費やして、NIST IR 8259を再検討し、改訂の可能性がある分野を決定し、IoTサイバーセキュリティコミュニティに関与し、本改訂初公開ドラフトを作成した。本初期公開草案 NIST IR 8259 Revision 1 では、文書全体を通して、以下の部分がオリジナルの NIST IR 8259 から改訂されている: 
• Discussion of IoT Devices has been expanded to IoT Products. This includes in the title. o The definition of IoT Device is the same as it was in the original NIST IR 8259.  ・IoT デバイスの議論は、IoT 製品に拡大された。IoT デバイスの定義は、オリジナルの NIST IR 8259 と同じである。
• As such, the concepts of IoT Products and IoT Product Components have been added to the document to compliment the concept of IoT Devices.  ・そのため、IoT デバイスの概念を補完するために、IoT 製品と IoT 製品コンポーネントの概念が文書に追加された。
o Backends, companion applications, and specialty networking hardware have been added as examples of IoT Product Components other than IoT Devices.  ・・ IoT デバイス以外の IoT 製品コンポーネントの例として、バックエンド、コンパニオンアプリケーショ ン、および特殊ネットワーキングハードウェアが追加された。
o Definitions for these “new” concepts were derived from NIST’s prior work, NIST IR 8425 and NIST’s efforts in response to EO 14028 that led to the publication of NIST IR 8425.  ・・これらの「新しい」概念の定義は、NIST の先行研究である NIST IR 8425、および NIST IR 8425 の公表につながった EO 14028 に対応する NIST の取り組みに由来している。
• The concept of product cybersecurity capabilities has been added, which is analogous and related to the concept of device cybersecurity capabilities from the original document but includes other IoT Product Components other than strictly IoT Devices in their scope/boundary.  ・製品サイバーセキュリティ能力(product cybersecurity capabilities)の概念が追加された。これは、元の文書にあったデバイスサイバーセキュリティ能力(device cybersecurity capabilities)の概念に類似し、関連しているが、その範囲/境界には、厳密には IoT デバイス以外の他の IoT 製品コンポーネントも含まれる。
o Device cybersecurity capabilities are still included in the revision as part of product cybersecurity capabilities that are implemented by IoT devices themselves. The definition of device cybersecurity capabilities is the same as it was in the original NIST IR 8259.  ・・デバイスサイバーセキュリティ能力は、IoT デバイス自体によって実装される製品サイバーセキュリティ 能力の一部として、改訂版にもまだ含まれている。デバイスのサイバーセキュリティ能力の定義は、元の NIST IR 8259 と同じである。
• Edits were made to clarify the role risk and risk assessment can play in creating securable IoT products.  ・編集は、安全な IoT 製品を作成する上でリスクとリスクアセスメントが果たす役割を明確にするために行われた。
o Introduced the term initial assessment of risk in Section 3 to differentiate the process and output related to risk of a product that a manufacturer could create compared to a full risk assessment that would be performed by customer organizations.  ・・顧客組織が実施する完全なリスクアセスメントと比較して、製造事業者が作成できる製品のリスクに関するプロセスとアウトプットを区別するために、セクション3にリスクの初期アセスメントという用語を導入した。
• Edits were made to highlight end-of-life considerations and other aspects of an IoT product’s post-market life. The new post-market activity was added to partly address this in Section 4.  ・・IoT製品の市販後の使用に関する考慮事項等を強調するために、編集が加えられた。セクション4では、これに部分的に対応するために、新たな市販後活動が追加された。
Some Sections received significantly more new content:  いくつかのセクションでは、大幅に新しい内容が追加された: 
• Section 2: New sub-sections were added to provide further clarification on the topics of:  ・セクション2:新しいサブセクションが追加され、以下のトピックをさらに明確にした: 
o Product cybersecurity and its relationship to cybersecurity of deployed systems.  ・・製品のサイバーセキュリティと展開システムのサイバーセキュリティとの関係 
o Explanation of IoT Products and their composition of IoT Product Components.   ・・IoT 製品とその構成要素である IoT 製品コンポーネントの説明 
o Identification of roles beyond customer and manufacturer that could be in an IoT product’s “ecosystem.” ・・IoT 製品の 「エコシステム 」における顧客と製造事業者以外の役割の特定
• Section 4: Added a Foundational Activity to the Post-Market group of activities: Activity 5: Support Product Cybersecurity through End-of-Life.  ・セクション4:「市場投入後の活動」グループに「基盤的活動」を追加した: 活動5:使用終了まで製品のサイバーセキュリティをサポートする。
o This new activity highlights efforts manufacturers should consider that may be needed when IoT products are post market. These activities are predominantly  communication related.  ・・この新しい活動は、IoT製品が市販後に必要となる可能性のある製造事業者が検討すべき取り組みに焦点を当てている。これらの活動は、主にコミュニケーションに関するものである。
Beyond these technical revisions, edits have been made throughout the document to clarify language and concepts, including additional figures, removing or revising confusing phrasing, and updating some examples given to demonstrate concepts. References were also updated to reflect current versions of documents and documents published since May 2020.  これらの技術的な改訂以外にも、文言や概念を明確にするために、図表の追加、紛らわしい表現の削除や修正、概念を示すために示されたいくつかの例の更新など、文書全体にわたって編集が行われた。また、2020年5月以降に発表された文書の最新版や文献を反映させるため、参考文献も更新した。

 

 

ワークショップの概要報告書...

・2025.05.13 NIST IR 8572 Workshop Summary Report for “Workshop on Foundational Cybersecurity Activities for IoT Device Manufacturers”

NIST IR 8572 Workshop Summary Report for “Workshop on Foundational Cybersecurity Activities for IoT Device Manufacturers” NIST IR 8572 「IoTデバイス製造者のための基礎的サイバーセキュリティ活動に関するワークショップ 」ワークショップ概要報告書
Abstract 概要
This report summarizes discussions held at the March 5, 2025 "Workshop on Foundational Cybersecurity Activities for IoT Device Manufacturers” organized by the NIST Cybersecurity for the Internet of Things (IoT) program. This workshop follows an earlier event held in December 2024 titled “Workshop on Updating Manufacturer Guidance for Securable Connected Product Development” to identify major update areas to NIST IR 8259. Similarly, the purpose of this more recent workshop was to discuss planned updates to NIST IR 8259 and gather additional feedback on taking a product viewpoint with greater emphasis on the IoT product lifecycle, expanded discussion of risk analysis, application to industrial contexts, and cybersecurity considerations around data management to support privacy goals. Over time, NIST work has built upon the concepts introduced in the NIST IR 8259, as reflected in subsequent publications that elaborate on IoT cybersecurity for specific sectors and use cases (e.g., federal agency use of IoT, consumer use of IoT in the home or in small businesses). 本報告書は、NISTのモノのインターネット(IoT)向けサイバーセキュリティプログラムが主催した2025年3月5日の「IoTデバイス製造者のための基礎的サイバーセキュリティ活動に関するワークショップ」で行われた議論をまとめたものである。このワークショップは、2024年12月に開催された「安全なコネクテッド製品開発のための製造事業者ガイダンスの更新に関するワークショップ」に続くもので、NIST IR 8259の主な更新箇所を特定するためのものである。同様に、今回のワークショップの目的は、NIST IR 8259の更新計画について議論し、IoT製品のライフサイクルに重点を置いた製品の視点、リスク分析の議論の拡大、産業環境への適用、プライバシー目標をサポートするためのデータ・マネジメントに関するサイバーセキュリティの考慮について、追加のフィードバックを収集することであった。時間の経過とともに、NIST の作業は NIST IR 8259 で導入された概念に基づいて構築され、特定の分野やユースケース(例えば、連邦政府機関による IoT の利用、消費者による家庭や中小企業での IoT の利用)の IoT サイバーセキュリティについて詳しく説明したその後の出版物に反映されている。

 

・・NIST.IR.8572

 

ワークショップでの重要な7つのポイントってところですかね...

1. There is broad support for expanding the discussion of IoT products in NIST IR 8259 to make products more central to the IoT cybersecurity baseline and allow further exploration of the cybersecurity considerations of other IoT product components beyond the device.     1. NIST IR 8259 における IoT 製品の議論を拡大し、製品を IoT サイバーセキュリティのベースラインの中心に据えるとともに、デバイス以外の他の IoT 製品コンポーネントのサイバーセキュリティへの配慮をさらに検討できるようにすることに、幅広い支持が集まっている。 
2. Many cybersecurity challenges are aggravated by the limited visibility each role in the IoT ecosystem (e.g., manufacturer, integrator, customer) has into the cybersecurity of the whole system.  2. 多くのサイバーセキュリティの課題は、IoTエコシステムにおける各役割(製造事業者、インテグレータ、顧客など)がシステム全体のサイバーセキュリティを見通すことができないために悪化している。
3. Performing risk analysis for IoT products remains a challenge due to the potential for unintended use or unexpected environments of use.   3. IoT製品のリスク分析は、意図しない使用や想定外の使用環境の可能性があるため、依然として課題となっている。 
4. In understanding the magnitude of a risk, it is important to understand the scale of the potential impact from a threat.  4. リスクの大きさを理解するには、脅威による潜在的な影響の規模を理解することが重要である。
5. Communicating effectively throughout IoT pre-market and post-market activities involves bridging gaps between manufacturer knowledge and customer ability to use the information.  5. IoTの市場投入前および市場投入後の活動を通じて効果的にコミュニケーションを図るには、製造事業者の知識と顧客の情報活用能力とのギャップを埋める必要がある。
6. Transparency and traceability are foundational to maintaining product cybersecurity throughout the IoT product lifecycle.  6. 透明性とトレーサビリティは、IoT製品のライフサイクルを通じて製品のサイバーセキュリティを維持するための基盤である。
7. Discussions throughout the workshop highlighted challenges in IoT product lifecycle management emphasizing IoT product risks, vulnerabilities, and evolving ecosystem demands.  7. ワークショップを通しての議論では、IoT製品のリスク、脆弱性、進化するエコシステムの要求に重点を置いたIoT製品ライフサイクルマネジメントにおける課題が浮き彫りになった。

 

 

...

2. Speaker Summaries   2. 講演者サマリー 
The summaries below highlight significant points from the speakers and identify discussion topics.  以下の要約は、講演者の重要なポイントを強調し、ディスカッションのトピックを特定するものである。
2.1  Jon Boulos, Kimberly-Clark and Wisconsin IoT Council, “Fortifying the Future”   2.1 Jon Boulos氏(Kimberly-Clark社、ウィスコンシン州IoT協議会)、"Fortifying the Future」 
Mr. Jon Boulos focused on considering cybersecurity risks and controls from a product and ecosystem perspective. Many of today’s traditional IoT security programs focus on a devicecentric approach. His presentation provided an overview of cybersecurity activities that should take place in each step of the product life cycle. Performing a risk assessment during the planning and design stages should accommodate growth within the expanding IoT ecosystem within its lifecycle stages. By adopting a product-centric approach, IoT device manufacturers can ensure comprehensive cybersecurity measures that are proactive, user-centric, and better aligned with the overall product lifecycle and user needs.  Jon Boulos氏は、サイバーセキュリティのリスクとコントロールを製品とエコシステムの観点から考えることに焦点を当てた。今日の伝統的なIoTセキュリティプログラムの多くは、デバイス中心のアプローチに焦点を当てている。講演では、製品ライフサイクルの各段階で実施すべきサイバーセキュリティ活動の概要が紹介された。計画・設計段階でリスクアセスメントを実施することで、ライフサイクルの各段階で拡大するIoTエコシステムの成長に対応することができる。製品中心のアプローチを採用することで、IoTデバイス製造事業者は、プロアクティブでユーザー中心、かつ製品ライフサイクル全体とユーザーニーズにより合致した包括的なサイバーセキュリティ対策を確保することができる。
This discussion included the integration of IoT devices into industrial systems and how it requires a comprehensive approach to address the complexities and security challenges. He pointed out that integration of IoT devices into industrial systems significantly increases the complexity of those systems. Adopting IoT technology and developing these secure systems requires a unique skillset and often is seen as a significant investment.  Ensuring interoperability and security can be difficult without established standards and protocols.   このディスカッションでは、産業システムへのIoTデバイスの統合と、それがいかに複雑性とセキュリティ上の課題に対処するための包括的なアプローチを必要とするかが議論された。同氏は、IoTデバイスを産業用システムに統合することで、それらのシステムの複雑性が大幅に増すことを指摘した。IoT技術を採用し、これらのセキュアなシステムを開発するには、独自のスキルセットが必要であり、しばしば多額の投資とみなされる。相互運用性とセキュリティの確保は、標準とプロトコルが確立されていなければ難しい。 
Mr. Boulos went on to highlight opportunities to help device manufacturers succeed and move faster:   ブーロス氏はさらに、デバイス製造事業者が成功し、より速く前進するための機会を強調した: 
• Create clear standards and guidelines from a cybersecurity and privacy perspective for IoT device manufacturers and solution providers.   - IoTデバイスメーカーとソリューションプロバイダのために、サイバーセキュリティとプライバシーの観点から明確な標準とガイドラインを作成する。 
• Certification and labeling programs are emerging for both devices and overall solutions.  - デバイスとソリューション全体の両方について、認証とラベリングのプログラムが登場している。
• Data standards, integration, and communication protocols can help facilitate ecosystem compatibility to ensure devices can communicate.   - データ標準、統合、コミュニケーション・プロトコルは、デバイスが確実にコミュニケーションできるよう、エコシステムの互換性を促進するのに役立つ。 
• Dependable supply chains are important.  - 信頼できるサプライチェーンは重要である。
• Clear and consistent standards increase device interoperability and decrease cost.   - 明確で一貫性のある標準は、機器の相互運用性を高め、コストを削減する。 
• Providing direction on “mandatory” requirements would benefit manufacturers.   - 必須」要件の方向性を示すことは、製造事業者に利益をもたらす。 
• Educating the workforce and/or future workforce for the digital transformation of the economy, such as developing training initiatives to increase skilled resources to implement and maintain IoT solutions.  - IoTソリューションの実装と保守を行う熟練リソースを増やすための研修イニシアティブの開発など、経済のデジタル変革に向けた労働力および/または将来の労働力の教育。
• Public and private partnerships strengthen IoT security by leveraging the strengths, knowledge, and resources from both industry and government.  - 官民パートナーシップは、産業界と政府双方の強み、知識、リソースを活用することで、IoTセキュリティを強化する。
The overall goal is to provide adequate flexibility for innovation while maintaining an appropriate level of security based on the context of the use case, data, risk, etc. Manufacturers would also benefit from clarification on where the US Cyber Trust Mark applies as well as the standardization of protocols and network infrastructure.   全体的な目標は、ユースケース、データ、リスクなどの状況に基づき、適切なレベルのセキュリティを維持しつつ、イノベーションに十分な柔軟性を提供することである。製造事業者は、プロトコルとネットワーク・インフラの標準化だけでなく、米国サイバートラストマークの適用範囲の明確化からも恩恵を受けるだろう。 
2.2 Brad Goodman, FIDO Alliance and Dell, “Leveraging FIDO Alliance cybersecurity standards in support of IR8259”  2.2 ブラッド・グッドマン、FIDOアライアンスとデル、「IR8259のサポートにおけるFIDOアライアンスのサイバーセキュリティ標準の活用」
Mr. Brad Goodman discussed the Fast Identity Online (FIDO) Alliance’s work on the FIDO Device Onboarding (FDO) Initiative and on FIDO’s Passkey credentials. FIDO is an open industry association with a focused mission to reduce the world’s reliance on passwords. The central concern is that while techniques and methods already exist to secure point-to-point communication, systems can still be easily exploited.   ブラッド・グッドマン氏は、FIDOアライアンスのFIDO Device Onboarding(FDO)イニシアティブとFIDOのPasskeyクレデンシャルに関する取り組みについて説明した。FIDOはオープンな業界団体であり、パスワードへの依存を減らすことを使命としている。中心的な懸念は、ポイント・ツー・ポイント・コミュニケーションの安全性を確保する技術や方法はすでに存在しているものの、システムは依然として容易に悪用されうるということである。 
FDO addresses the question of establishing trust between two points to communicate securely, reliably, and in an automated fashion. It is a method for secure, zero-touch IoT device onboarding. Zero-touch means that it does not require a user to perform any operation. FDO provides mutual assurance between cloud and device that each is genuine and should interoperate with the other. It is all public key based.   FDOは、セキュアで信頼性の高い自動化された通信を行うために、2点間の信頼を確立するという問題に取り組んでいる。これは、セキュアでゼロタッチのIoTデバイス・オンボーディングのための手法である。ゼロタッチとは、ユーザーが何らかの操作を行う必要がないことを意味する。FDOは、クラウドとデバイスの間で、それぞれが本物であり、相互運用が可能であるという相互保証を提供する。すべて公開鍵ベースである。 
FIDO’s principal project is Passkey which is a password replacement based on FIDO protocols that provide faster, easier, more secure sign-ins to online services. A passkey may be synced across a secure cloud so that it is readily available on all of a user’s devices, or it can be bound to a dedicated device such as a FIDO security key. Passkeys are a user authentication system. In the IoT space, this would most probably be used to secure user-to-cloud components of an IoT product to control the product.    FIDOの主要プロジェクトはPasskeyで、FIDOプロトコルに基づくパスワードの代替品であり、オンラインサービスにより速く、より簡単で、より安全なサインインを提供する。パスキーは、ユーザーのすべてのデバイスですぐに利用できるように安全なクラウド上で同期させることもできるし、FIDOセキュリティキーのような専用デバイスにバインドすることもできる。パスキーはユーザー認証システムである。IoTの分野では、おそらくIoT製品のユーザーからクラウドへのコンポーネントを保護し、製品を制御するために使用されるだろう。 
Mr. Goodman spoke on the technical protocols of how FIDO device onboarding works from factory to owner. Identity of a device should always be done through key-based mechanisms. FDO provides a way to initiate a strong, binding enrollment or security between device and cloud, whereas passkeys provide phishing-resistant password-less user authentication to that cloud. Mr. Goodman indicated that the scope of the process is designed to work across a spectrum of use cases and hardware types and that FDO provides a rigid and provable mechanism to establish ownership.   グッドマン氏は、FIDOデバイスのオンボーディングが工場から所有者までどのように機能するかの技術プロトコルについて語った。デバイスの識別は、常に鍵ベースのメカニズムによって行われるべきである。FDOは、デバイスとクラウド間の強固で拘束力のある登録やセキュリティを開始する方法をプロバイダするのに対し、パスキーはクラウドに対してフィッシングに強いパスワードレスなユーザー認証を提供する。Goodman氏は、このプロセスの範囲は、さまざまなユースケースやハードウェアの種類にまたがって機能するように設計されており、FDOは所有権を確立するための厳密で証明可能なメカニズムを提供すると述べた。 
3. Workshop Takeaways   3. ワークショップの要点 
This section summarizes the takeaways and observations across the entire workshop from invited speaker presentations to breakout sessions.  このセクションでは、招待講演者のプレゼンテーションから分科会まで、ワークショップ全体を通しての収穫と考察をまとめる。
The following takeaways are the ideas, observations, and suggestions that NIST heard from workshop discussion participants, and which received significant support from participants. This workshop was not a forum for developing consensus; rather, the takeaways represent recurrent themes which emerged during discussions—not formal positions taken by participants. This document cannot capture every thought, opinion, and suggestion provided during the workshop. These takeaways do not represent NIST recommendations or guidelines; rather, they provide important feedback to the program and serve as a basis for future conversations within the community.   以下の要点は、NISTがワークショップのディスカッション参加者から聞いたアイデア、観察、提案であり、参加者から大きな支持を得たものである。本ワークショップはコンセンサスを形成するための場ではない。むしろ、この要点は、参加者の正式な立場ではなく、ディスカッション中に浮かび上がった繰り返し出てくるテーマを表している。この文書は、ワークショップ中にプロバイダから提供されたすべての考え、意見、提案を網羅することはできない。これらの要点は、NISTの勧告やガイドラインを示すものではなく、むしろ、プログラムへの重要なフィードバックを提供し、コミュニティ内での今後の議論の基礎となるものである。 
3.1 Support for a focus on product level cybersecurity in NIST IR 8259  3.1 NIST IR 8259において製品レベルのサイバーセキュリティに焦点を当てることへの支持 
There is broad support for expanding the discussion of IoT products in NIST IR 8259 to make products more central to the IoT cybersecurity baseline and allow further exploration of the cybersecurity considerations of other IoT product components beyond the device.     NIST IR 8259 における IoT 製品の議論を拡大し、IoT サイバーセキュリティのベースラインにおいて製品をより中心的なものとし、デバイス以外の他の IoT 製品コンポーネントのサイバーセキュリティへの配慮をさらに検討できるようにすることについては、幅広い支持がある。 
The workshop discussion participants were supportive of NIST IR 8259 taking a product viewpoint to approach cybersecurity and recognized the value in moving from the existing document’s device-centric focus. Discussions indicated that IoT product components, which may be remote, have important access privileges to and control over the IoT device or devices within the IoT product. It was recognized that the special relationship between IoT product components creates new cybersecurity risks. These risks arise due to product components sharing potentially sensitive data and having control responsibilities over the IoT device’s behavior.   ワークショップのディスカッション参加者は、NIST IR 8259 がサイバーセキュリティにアプローチするために製品の視点を取り入れることを支持し、既存の文書のデバイス中心から移行することの価値を認識した。議論によると、IoT 製品のコンポーネントは、遠隔地にある可能性があるが、IoT デバイスまたは IoT 製品内のデバイスに対する重要なアクセス権限と管理を持っていることが示された。IoT 製品コンポーネント間の特別な関係は、新たなサイバーセキュリティリスクを生み出すことが認識された。これらのリスクは、製品コンポーネントが潜在的にセンシティブなデータを共有し、IoTデバイスの動作に対する制御責任を持つために生じる。 
3.2 Roles and their effect on cybersecurity challenges in the IoT ecosystem   3.2 IoTエコシステムにおけるサイバーセキュリティの課題に対する役割とその影響 
Many cybersecurity challenges are aggravated by the limited visibility each role in the IoT ecosystem (e.g., manufacturer, integrator, customer) has into the cybersecurity of the whole system.  多くのサイバーセキュリティの課題は、IoTエコシステム内の各役割(製造事業者、インテグレーター、顧客など)がシステム全体のサイバーセキュリティに対して持つ可視性が限られていることによって悪化している。
When discussing IoT cybersecurity, the participants frequently returned to the challenge of the varying information and visibility available to different roles across the IoT ecosystem. Manufacturers are best positioned to understand the cybersecurity capabilities of their IoT products including the cybersecurity capabilities of components from across the supply chain that are used to create the IoT product. Customers have highly varying cybersecurity knowledge depending on a number of factors such as whether they are a home consumer, small business, or large enterprise. Participants noted that additional roles are often needed in heterogeneous systems where components from various manufacturers must function securely together. System integrators, brand owners, retailers and other specialized support services can be mediators between the manufacturer and customer. These discussions also emphasized the role of third-party platform providers.  IoTサイバーセキュリティについて議論する際、参加者は、IoTエコシステム全体で役割ごとに利用できる情報や可視性が異なるという課題に頻繁に立ち戻った。製造事業者は、IoT製品のサイバーセキュリティ能力を理解するのに最も適した立場にあり、IoT製品の製造に使用されるサプライチェーン全体のコンポーネントのサイバーセキュリティ能力も理解できる。顧客のサイバーセキュリティに関する知識は、一般消費者、中小企業、エンタープライズなど、さまざまな要因によって大きく異なる。参加者は、さまざまな製造事業者のコンポーネントが安全に連携して機能しなければならない異種システムでは、追加の役割が必要になることが多いと指摘した。システム・インテグレーター、ブランド・オーナー、小売業者、その他の専門的なサポート・サービスは、製造事業者と顧客の仲介役となりうる。これらの議論では、サードパーティーのプラットフォームプロバイダーの役割も強調された。
Clarifying expectations and collaborating among roles is critical for securing the IoT ecosystem. With manufacturers, brand owners, integrators, and customers all having unique responsibilities, participants stressed the need to clearly define these roles to help streamline collaboration, communication, and risk management. Integrators were noted in particular as key intermediaries, responsible for adapting manufacturers' security protocols to customerspecific demands and helping bridge communication gaps effectively.   IoTエコシステムの安全性を確保するためには、期待される役割を明確にし、役割間で協力することが重要である。製造事業者、ブランドオーナー、インテグレーター、顧客はそれぞれ独自の責任を負っているため、参加者は、コラボレーション、コミュニケーション、リスクマネジメントを効率化するために、これらの役割を明確に定義する必要性を強調した。特にインテグレーターは、製造事業者のセキュリティ・プロトコルを顧客固有の要求に適合させ、コミュニケーション・ギャップを効果的に埋める役割を担う重要な仲介役であると指摘された。 
Some participants identified a need for worked examples to help clarify potential collaborations across roles in the ecosystem such as integrators and manufacturers. For example, an integrator may need to analyze the risk of incorporating multiple systems from multiple manufacturers for a specific deployment.   参加者の中には、インテグレーターや製造事業者といったエコシステム内の役割を超えた潜在的な協力関係を明確にするために、実例が必要であると指摘する者もいた。例えば、インテグレーターは、特定の展開のために複数の製造事業者の複数のシステムを組み込むリスクを分析する必要があるかもしれない。 
3.3 Challenges of IoT product risk analysis   3.3 IoT製品のリスク分析の課題 
Performing risk analysis for IoT products remains a challenge due to the potential for unintended use or unexpected environments of use.  IoT製品のリスク分析を行うことは、意図しない使用や想定外の使用環境になる可能性があるため、依然として課題となっている。
Participants discussed the challenges manufacturers face in conducting risk assessments without full visibility into customer environments. It was noted that in large enterprises or high security environments, there is a need for collaboration among manufacturers, system integrators, and customers due to shared responsibility and the need for customers to also perform some risk analyses. NIST’s Risk Management Framework for Information Systems and Organizations, NIST SP 800-37 Rev. 2 [4], Security and Privacy Controls for Information Systems and Organizations, NIST SP 800-53 rev. 5 [5], and IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements, SP 800-213 [6] provide information for manufacturers, system integrators and enterprise customers in the performance of risk assessment and mitigations. Several participants responded that these resources were helpful, but additional guidelines or standards are needed that take the manufacturer’s perspective and consider varying risk levels across diverse deployment environments. Participants noted that current risk assessment mechanisms are aimed at addressing vulnerabilities within known, specific environments, which does not easily fit the typical manufacturer viewpoint of seeking to consider a range of possible product deployments. Participants highlighted the importance of these clarifications to ensure risks are properly identified, prioritized, and mitigated.  参加者は、製造事業者が顧客環境を完全に可視化することなくリスクアセスメントを実施する際に直面する課題について議論した。大企業や高度なセキュリティ環境では、製造事業者、システムインテグレーター、顧客の間で責任を共有し、顧客もリスク分析を行う必要があるため、協力する必要があることが指摘された。NISTの「情報システム及び組織のためのリスクマネジメントフレームワーク」(NIST SP 800-37 Rev. 2 [4])、「情報システム及び組織のためのセキュリティ及びプライバシーコントロール」(NIST SP 800-53 rev. 5 [5])、「連邦政府のためのIoTデバイスサイバーセキュリティガイダンス」[6]は、製造事業者、システムインテグレータ、エンタープライズ顧客がリスクアセスメントと緩和を実施するための情報を提供している。何人かの参加者は、これらのリソースは有用であるが、製造事業者の視点に立ち、多様な展開環境における様々なリスクレベルを考慮した追加のガイドラインや標準が必要であると回答した。参加者は、現在のリスクアセスメントの仕組みは、既知の特定の環境における脆弱性に対処することを目的としており、想定される製品展開の範囲を考慮しようとする典型的な製造事業者の視点には容易に適合しないと指摘した。参加者は、リスクが適切に特定され、優先順位が付けられ、緩和されるようにするためには、このような明確化が重要であると強調した。
Alternatively, small business customers or home consumers cannot be expected to have the knowledge needed for detailed risk analysis and rely on the manufacturers who must assume greater responsibility. It was noted that the US Cyber Trust Mark program for certifying the cybersecurity of consumer IoT products only covers products as the manufacturer ships and maintains them and does not consider that installers or other IT professionals acting on behalf of the customer might have a role. The discussion underscored the complexities of the manufacturer-customer relationship emphasizing the need for careful communication to collaboratively navigate risk challenges.  また、中小企業の顧客や一般消費者が詳細なリスク分析に必要な知識を持つことは期待できず、より大きな責任を負わなければならない製造事業者に頼ることになる。消費者向けIoT製品のサイバーセキュリティを認証する米国のサイバートラストマーク・プログラムは、製造事業者が出荷・保守する製品のみを対象としており、顧客の代理として行動する設置業者やその他のIT専門家が役割を担う可能性を考慮していないことが指摘された。ディスカッションでは、製造事業者と顧客の関係の複雑さが浮き彫りになり、リスクの課題を協働で解決するためには慎重なコミュニケーションが必要であることが強調された。
Some participants noted that there are scalability concerns with tailoring products to individual customer needs or deployment scenarios. Customization to individual deployments could strain resources. It was suggested that integrators could play a critical role in adapting products to meet specific operational demands.  参加者の中には、個々の顧客のニーズや展開シナリオに合わせて製品をカスタマイズすることに拡張性の懸念があると指摘する者もいた。個々の展開に合わせてカスタマイズすることは、リソースを圧迫する可能性がある。インテグレーターは、特定の運用上の要求に製品を適合させる上で、重要な役割を果たす可能性が示唆された。
3.4 Scaling threat impacts and relating to the magnitude of risks    3.4 脅威の影響の拡大とリスクの大きさとの関係 
In understanding the magnitude of a risk, it is important to understand the scale of the potential impact from a threat.  リスクの大きさを理解する上で、脅威による潜在的影響の規模を理解することが重要である。
Risk is defined as “A measure of the extent to which an entity is threatened by a potential circumstance or event, and typically a function of: (i) the adverse impacts that would arise if the circumstance or event occurs; and (ii) the likelihood of occurrence.” [7] While threat taxonomies exist (e.g., MITRE EMB3D), there are no widely recognized taxonomies for discussing the potential impact of a threat. In the workshop discussions, participants discussed the impact of threats in terms of:   リスクとは、「事業体が潜在的な状況や事象によってどの程度脅かされるかを示す尺度であり、通常、次のような機能である」と定義されている: (i)その状況や事象が発生した場合に生じるであろう悪影響と、(ii)発生の可能性の関数である。[脅威の分類法は存在するが(例えば、MITRE EMB3D)、脅威の潜在的影響を議論するための広く認知された分類法は存在しない。ワークショップでの議論では、参加者は以下の観点から脅威の影響について議論した: 
1. Operational impacts to the specific local networks, IoT devices, and Information Technology (IT) experiencing the cybersecurity event; and   1. サイバーセキュリティ・イベントを経験した特定のローカル・ネットワーク、IoT デバイス、情報技術(IT)に対する運用上の影響。 
2. Environmental impacts that use the resources of compromised local networks to launch broader attacks on critical infrastructure or industries (e.g., botnets).   2. 侵害されたローカル・ネットワークのリソースを利用して、重要なインフラや産業に対してより広範な攻撃を仕掛ける環境への影響(ボットネットなど)。 
The participants also used terms such as “vertical” versus “horizontal,” respectively, when discussing these two scenarios, illustrating the lack of consensus on the terminology.  Though risks are generally categorized as having either operational or environmental impacts, environmental impacts could be a step towards operational impacts or vice versa.   参加者は、これら 2 つのシナリオについて議論する際に、それぞれ「垂直的」と「水平的」といった用語も使用しており、 用語に関するコンセンサスが得られていないことを物語っている。リスクは一般に、運用上の影響と環境上の影響のどちらかに分類されるが、環境上の影響は運用上の影響への一歩となる可能性もあるし、その逆もある。 
3.5 Communicating effectively involves bridging gaps between manufacturers and customers  3.5 効果的なコミュニケーションには、製造事業者と顧客の間のギャップを埋めることが含まれる。
Communicating effectively throughout IoT pre-market and post-market activities involves bridging gaps between manufacturer knowledge and customer ability to use the information.  IoTの市販前・市販後の活動を通じて効果的にコミュニケーションを図るには、製造事業者の知識と顧客が情報を活用する能力とのギャップを埋めることが必要である。
Communication emerged as pivotal to both the pre-market and post-market stages across multiple discussions with participants regarding challenges, strategies, and roles. While some emphasized the limitations manufacturers face in direct communication with customers, especially for products sold through retailers or installed by integrators, others agreed that raising broader cybersecurity awareness is critical.  コミュニケーションは、課題、戦略、役割に関する参加者との複数のディスカッションを通じて、市場投入前と市場投入後の両方の段階で極めて重要であることが浮かび上がった。製造事業者が顧客と直接コミュニケーションすることの限界を強調する意見がある一方で、特に小売業者を通じて販売される製品やインテグレータによって設置される製品については、より広範なサイバーセキュリティ意識を高めることが重要であるとの意見で一致した。
Discussions indicated pre-market efforts should include setting clear expectations about device capabilities, operational lifespans, end-of-life plans, and modular upgrade paths to provide clarity to customers and integrators.   市場投入前の取り組みとしては、顧客とインテグレータに明確な情報を提供するために、機器の機能、運用寿命、使用終了計画、モジュール式アップグレードパスに関する明確な期待値を設定することが必要であるとの議論があった。 
For post-market communication efforts, participants discussed the importance of communication planning including:  市販後のコミュニケーション活動については、参加者は以下のようなコミュニケーション計画の重要性について議論した: 
• How to tailor communication strategies to align with the expected customers’ knowledge, and   - 以下のようなコミュニケーション計画の重要性について議論した。 
• Education and awareness strategies targeting both consumer and workforce users that focuses on explaining IoT product behavior, mitigating anomalies, and practicing strong cybersecurity hygiene.   - IoT製品の動作説明、異常の緩和、強力なサイバーセキュリティ衛生の実践に重点を置いた、消費者と従業員の両方のユーザーを対象とした教育・啓発戦略。 
As part of post-market communication, participants further emphasized the need for ongoing communication about vulnerabilities, fault tolerance, updates, and product behaviors. Participants discussed the importance of manufacturers ensuring that messages are clear and are delivered using effective notification systems. One participant suggested that automation with tools like the Open Security Controls Assessment Language (OSCAL) can provide real-time monitoring and updating, ensuring consistent and accurate communication.   市販後のコミュニケーションの一環として、参加者はさらに、脆弱性、耐障害性、アップデート、製品の動作に関する継続的なコミュニケーションの必要性を強調した。参加者は、輸入事業者がメッセージを明確にし、効果的な通知システムを用いて配信することの重要性について議論した。参加者の一人は、OSCAL(Open Security Controls Assessment Language)のようなツールを使って自動化することで、リアルタイムのモニタリングとアップデートが可能になり、一貫性のある正確なコミュニケーションが確保できると提案した。 
Difficulties maintaining direct communication with customers and users limit the ability to convey critical product updates, vulnerabilities, or lifecycle plans. This gap necessitates that manufacturers acknowledge what limitations to communication exist and acknowledge that some ability to reach customers may be lost when retailers or integrators act as mediators between the manufacturer and customer.    顧客やユーザーとの直接的なコミュニケーションを維持することが困難であるため、製品の重要な更新、脆弱性、ライフサイクル計画を伝える能力に限界がある。このギャップにより、製造事業者はコミュニケーションにどのような制限があるかを認識し、小売業者やインテグレーターが製造事業者と顧客の仲介役を務める場合、顧客とのコミュニケーション能力が失われる可能性があることを認識する必要がある。 
3.6 Transparency and traceability throughout the IoT product lifecycle   3.6 IoT製品のライフサイクルを通じた透明性とトレーサビリティ 
Transparency and traceability are foundational to maintaining product cybersecurity throughout the IoT product lifecycle.  透明性とトレーサビリティは、IoT製品のライフサイクルを通じて製品のサイバーセキュリティを維持するための基盤である。
Participants emphasized the importance of both transparency and traceability in IoT product lifecycle management. In this context, transparency is open communication about cybersecurity practices and lifecycle expectations, and traceability is the ability to track and verify IoT components throughout their lifecycle.   参加者は、IoT製品のライフサイクル管理における透明性とトレーサビリティの両方の重要性を強調した。この文脈では、透明性とはサイバーセキュリティの実践とライフサイクルの期待に関するオープンなコミュニケーションであり、トレーサビリティとはライフサイクルを通じてIoTコンポーネントを追跡・検証する能力である。 
Transparency was noted as foundational for addressing vulnerabilities, setting expectations, and fostering trust among stakeholders; however, transparency can also bring risks.  透明性は、脆弱性に対処し、期待を設定し、利害関係者間の信頼を醸成するための基盤であると指摘されたが、透明性はリスクももたらしうる。
Participants discussed the potential risks resulting from attackers exploiting publicly disclosed information (e.g., vulnerabilities). It was further noted that the customer and the attacker might be one and the same, such as when a malicious actor purchases a product for the purpose of identifying its vulnerabilities and exploiting other instances of the product. While acknowledging these challenges, it was noted that transparency helps mitigate long-term risks by providing the customer and others in the ecosystem the insights and solutions needed to maintain the products’ cybersecurity. Some participants pointed out that transparency in reporting problems is particularly vital to customers, and that information gained when manufacturers are transparent can be utilized by proactive customers.  参加者は、攻撃者が公開された情報(脆弱性など)を悪用することによって生じる潜在的リスクについて議論した。さらに、悪意ある行為者が製品の脆弱性を特定し、その製品の他のインスタンスを悪用する目的で製品を購入する場合など、顧客と攻撃者が同一である可能性があることが指摘された。このような課題を認識する一方で、透明性を確保することは、製品のサイバーセキュリティを維持するために必要な洞察や解決策を顧客やエコシステム内の他の人々に提供することで、長期的なリスクの緩和に役立つことが指摘された。参加者の中には、問題を報告する際の透明性は顧客にとって特に重要であり、製造事業者が透明性を確保することで得られる情報は、積極的な顧客が活用することができると指摘する者もいた。
Participants noted the value of traceability when securing the supply chain, ensuring chain of custody, and implementing tamper-proof mechanisms. Participants pointed out tools like Secured Component Verification (SCV) certificates and device keys are mechanisms to help improve traceability. Zero-trust architectures using techniques like real-time continuous monitoring were suggested as ways to enhance traceability across IoT ecosystems, but these could pose a challenge in operational environments which are sensitive to latency.   参加者は、サプライチェーンの安全性確保、Chain of Custodyの確保、改ざん防止メカニズムの導入におけるトレーサビリティの価値を指摘した。参加者は、SCV(Secured Component Verification)証明書やデバイスキーのようなツールが、トレーサビリティの改善に役立つ仕組みであると指摘した。IoTエコシステム全体のトレーサビリティを強化する方法として、リアルタイムの継続的モニタリングのような技術を使用したゼロトラストアーキテクチャが提案されたが、これらはレイテンシに敏感な運用環境では課題となる可能性がある。 
3.7 Additional cybersecurity related challenges   3.7 サイバーセキュリティに関するその他の課題 
Discussions throughout the workshop highlighted challenges in IoT product lifecycle management emphasizing IoT product risks, vulnerabilities, and evolving ecosystem demands.  ワークショップを通じて議論されたのは、IoT製品のリスク、脆弱性、進化するエコシステムの需要に重点を置いた、IoT製品のライフサイクルマネジメントにおける課題であった。
Participants discussed a number of evolving challenges related to cybersecurity that have emerged for IoT products:   参加者は、IoT製品に出現したサイバーセキュリティに関連する多くの進化する課題について議論した: 
• Risks posed by unsupported "zombie devices" that lack updates or patches, compensating controls to address the additional risk from this status, and continue to operate on the network, creating security blind spots;   - サポートされていない「ゾンビ・デバイス」がもたらすリスクは、アップデートやパッチがなく、この状態から生じる追加リスクに対処するための代償制御がなく、ネットワーク上で動作し続けるため、セキュリティの死角が生じる; 
• Lack of secure disposal for decommissioned IoT products and product components to prevent exploitation of sensitive data or credentials as a weakness in the IoT ecosystem;  - IoTエコシステムの弱点として、機密データや認証情報の悪用を防ぐために、廃止されたIoT製品や製品コンポーネントの安全な処分が欠如している; 
• Absence of modular replacement strategies for IoT products in long-term use cases such as industrial or healthcare settings where lifespans for products may be long;   - 製品の寿命が長い産業やヘルスケア環境などの長期的な使用ケースにおける IoT 製品のモジュール式交換戦略の欠如; 
• Concerns raised regarding replay attacks during ownership transitions that can make the prior owner’s data accessible to the new owner;  - 所有権の移行時に、前の所有者のデータに新しい所有者がアクセスできるようにするリプレイ攻撃に関する懸念; 
• Potential for unexpected or nefarious activity from IoT products such as collecting unintended data continues to impede trust in IoT;   - 意図しないデータの収集など、IoT製品による予期せぬ活動や悪意のある活動の可能性が、IoTへの信頼を阻害し続けている; 
• Practical complexities of integrating IoT products into diverse ecosystems; and   - IoT製品を多様なエコシステムに統合する際の実際的な複雑さ。 
• Technical challenges to supporting post-quantum cryptography for most IoT products, particularly on IoT devices.  - ほとんどのIoT製品、特にIoTデバイスで耐量子暗号をサポートするための技術的課題。
While some ideas for means of addressing these challenges came up during discussions, all need further evaluation to identify the right mix of technical capabilities, manufacturer support, and public education to address.  ディスカッションの中で、これらの課題に対処する手段のアイデアがいくつか出てきたが、いずれも、技術的能力、製造事業者のサポート、一般市民への教育の適切な組み合わせを特定するためには、さらなる評価が必要である。
4. Conclusion  4. 結論 
The March 5th workshop was a productive conversation that yielded many discussions and significant feedback. The workshop was structured to walk through the NIST IR 8259 document pre-market and post-market activities, starting with an overview and intertwined with keynote speakers who added context from their unique technical perspectives.   3月5日のワークショップは、多くの議論と重要なフィードバックをもたらした生産的な対話であった。ワークショップは、NIST IR 8259文書の概要から始まり、基調講演者のユニークな技術的視点からの解説を交えながら、市販前及び市販後の活動をウォークスルーする構成とした。 
From the participant discussions, NIST received feedback that will be important to the revision of NIST IR 8259.  Continuing communication across the roles in the IoT ecosystem is essential to building robust IoT cybersecurity documents that apply in a wide range of deployment scenarios. In the long term, greater communication across these roles remains critical to understanding IoT cybersecurity challenges and potential means of addressing those challenges.   参加者の議論から、NISTはNIST IR 8259の改訂に重要なフィードバックを得た。幅広い展開シナリオに適用できる強固なIoTサイバーセキュリティ文書を構築するためには、IoTエコシステムにおける役割を超えた継続的なコミュニケーションが不可欠である。長期的には、IoT サイバーセキュリティの課題と、それらの課題に対処するための潜在的な手段を理解するためには、これらの役割を超えたコミュニケーションの拡大が引き続き不可欠である。 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.28 米国 NIST IR 8498 スマートインバーターのサイバーセキュリティ:住宅および小規模商業用ソーラーエネルギーシステムのためのガイドライン(2024.12.20)

・2024.09.14 米国 NIST IR 8425A 一般消費者向けルーター製品に推奨されるサイバーセキュリティ要件 (2024.09.10)

・2024.08.02 米国 FCC IoTのためのサイバーセキュリティ・ラベリング最終規則

・2024.05.19 米国 NIST IR 8498(初公開ドラフト) スマートインバータのサイバーセキュリティ: 住宅用および商用簡易太陽光発電システムのガイドライン (2024.05.10)

・2024.03.20 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14)

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

| | Comments (0)

2025.05.15

経済産業省 「サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ」(2025.05.14)

こんにちは、丸山満彦です。

経済産業省が「サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ」を公表していますね...

私も委員として検討をしてきました。人材については、過去からいろいろと検討されてきていて、いつも同じような話を繰り返しているような面もありますが。。。(^^)

今回は、

・トップ人材、高度専門人材の強化の一環として、セキュリティキャンプの拡充を図る

・地域を含む中小企業等のセキュリティ対策を推進する観点から、国家資格である情報処理安全確保支援士(登録セキスペ)の増強を図る

という点が主なテーマになっています。

セキュリティ人材(幅広いですが)の市場価値を正しく認識してもらい(そう言う意味では活用する側である経営者の力量も高めないといけないのですが)、日本においても魅力的な市場として、多くの優秀な人材にサイバーセキュリティに関わってもらえるようにするということも重要ですよね...(海外との価格差があるので、英語で仕事ができる優秀な人材は海外に流れていってしまっています...)

トップ人材、高度専門人材(あわせて、高度人材)と言う意味では、セキュリティを専門に学んできている人だけでなく、その周辺領域(AIなど)の人にもセキュリティの知見を加えることで、より高度な人材になってもらえるようにすることが重要と考えています。そのためにセキュリティキャンプを広げたいと考えています。そして、そのような高度人材の継続的な力量の向上のためにも、コミュニティづくりを積極的に支援できないかと考えています。

世界の多くの国で同じように悩みを抱えている中小企業のセキュリティ対策。日本は、サイバーセキュリティお助け隊と、登録セキスペという制度があり、一つのモデルになるのではないかと思い、さらに規模と質の向上が図れないかと思っています。

登録セキスペの資格維持を質を下げることなく、コストを削減できる方法を考え、また、登録セキスペを利用しやすいようにするための施策をいくつかそろえ、登録セキスペに対するニーズの拡大と登録セキスペを目指す人材の拡大が図れないかと考えています。特に中小企業では、登録セキスペをセキュリティ顧問のような形で活用できたりするのもよいかと思います。もう少し規模が大きな会社であれば、社内弁護士のような感じで特別枠として採用するというのもありだと思っています。

と、いう思いを頭の片隅にいれて最終とりまとめを読んでいただけると、より理解が進むのではないかと思っています...

 


 

経済産業省

・2025.05.14 「サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ」を公表しました


経済産業省は、セキュリティ人材の裾野を更に拡大していくために必要な施策の在り方について検討を進め、本日、検討の概要を「サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ」(最終取りまとめ)として公表しました。
最終取りまとめでは、情報処理安全確保支援士(登録セキスペ)の活用促進や制度の見直しなどの方向性を示すとともに、登録セキスぺの登録人数を2030年までに5万人(2025年4月時点で約2.4万人)まで増やす目標を掲げています。中小企業等が実施すべきセキュリティ対策に応じた人材確保・育成の方策を示すとともに、国家資格である登録セキスペを取得した外部専門人材の活用を促し、サイバーセキュリティ対策の強化につなげていきます。経済産業省としては、今後、各施策の継続的な改善を実施しながら、更なる人材育成のための方策を検討し、人材の質・量の強化を図っていきます。

1.背景・趣旨

我が国においてサイバーセキュリティ人材が不足しているとの声は多く、国内で約11万人不足しているとの民間調査結果もあります。サイバーセキュリティ人材の不足に対応するためには、トップ人材や高度専門人材から、地域の中小企業等でセキュリティ対策を推進する人材まで、各層の課題に応じた施策を戦略的に進めることが重要となります。

このため、経済産業省では、令和6年7月より「サイバーセキュリティ人材の育成促進に向けた検討会」を開催し、有識者による議論を進めてきました。検討会では、これまで一定の効果を生み出している既存の施策の拡充・改善をベースとして、実際に政策ニーズを有する組織の方へのヒアリング等も通じて検討を行い、令和7年5月に政策対応の方向性を「サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ」として、取りまとめました。

※ (出典)ISC2 Cybersecurity Workforce Study 2023
2.「サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ」の概要

「サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ」は、「サイバーセキュリティ人材の育成促進に向けた検討会」の検討内容を整理したものであり、以下の方針を示すとともに、登録セキスぺの登録人数を2030年までに5万人(2025年4月時点で約2.4万人)まで増やす目標を掲げています。今後、各施策の継続的な改善を実施しながら、更なる人材育成のための方策を検討し、人材の質・量の強化を図っていきます

サイバーセキュリティ人材の育成促進に向けた施策の方向性

(1)セキュリティ・キャンプの拡充

  • AI等の特定領域と掛け合わせた高度セキュリティ人材の育成を目的とする新たなキャンプを実施する。
  • 修了生の継続的な知見研鑽・社会還元・活躍状況共有等を目的としたコミュニティを整備する。

(2)登録セキスぺの活用促進

  • 個社の状況に応じた個別相談・支援等が可能な登録セキスペのリスト(アクティブリスト)を整備し、中小企業支援機関等を通じて中小企業との人材マッチングを促進する。
  • 所定の実務経験を有する者を対象に、資格更新時の講習のみなし受講制度を導入する。   

(3)中堅・中小企業等における人材確保策の提示

  • 中堅・中小企業が実施すべきセキュリティ対策に応じた人材確保・育成の実践的方策ガイドをβ版として整理する。
  • 人材を育成する際に参照できる教材・資格等も提示する。

目指す効果

  • トップ人材の育成スケール拡大(現状の2倍以上)
  • セキュリティ人材のキャリアの魅力化
  • 登録セキスペの活躍機会(中小企業のセキュリティ確保等の実務経験機会)増加
  • 登録セキスペ資格更新時の負担軽減
  • 中堅・中小企業におけるセキュリティ人材探索コストの低減
  • 中堅・中小企業内での内部人材育成容易化
※ 2030年までに登録セキスペ5万人(2025年4月時点で約2.4万人)を達成

 


 

 

| | Comments (0)

2025.05.14

英国 内閣府 アンバー・ブック:中央政府における危機管理 Ver.3(2025.04.28)

こんにちは、丸山満彦です。

英国政府の危機管理の指針である、Amber Bookが12振りに改訂されていますね...政府の危機管理体制の進展を踏まえて、構成と内容を大幅に変更したとのことです...

これはあくまでも英国の政治体制を踏まえたもので、イングランドにおける中央政府、地域政府、地方政府間の関係や、英国中央政府とスコットランド、ウェールズ、北アイルランドの地方分権政府との関係を踏まえた、役割と責任についての話でもあるので、状況が異なる日本にそのまま持ってくることはできないでしょうが、考え方など参考になる部分はあるとは思います。

 

 

UK Cabinet Office

・2025.04.28 Guidance The Amber Book - Managing Crisis in Central Government

 

エグゼクティブサマリー...

・[PDF] [HTMLThe Little Amber Book: Executive Summary 

 

本文

・[PDF] [HTMLThe Amber Book: Managing crisis in central government

20250514-55354

 

附属書

・[PDF] [HTML] The Amber Book: Appendices

 


 

エグゼクティブサマリー 目次...  
Introduction and purpose 序論と目的
UK’s emergency management system 英国の緊急事態管理システム
Amber Book governance アンバーブックのガバナンス
Amber Book roles and responsibilities アンバーブックの役割と責任
Lifecycle of a crisis 危機のライフサイクル
Organisational resilience 組織のレジリエンス
TRAFFORD Model TRAFFORDモデル
   
本文 目次…  
Revision history of the Amber Book: Managing crisis in central government アンバー・ブックの改訂履歴 中央政府における危機ガバナンス
Foreword まえがき
Chapter 1: Introduction 第1章 序論
Chapter 2: The UK’s emergency management system 第2章 英国の緊急事態管理システム
Chapter 3: Governance playbook 第3章 ガバナンス・プレイブック
Chapter 4: Roles and responsibilities 第4章 役割と責任
Chapter 5: Pre-crisis 第5章 危機前
Chapter 6: During the acute crisis 第6章 危機発生時
Chapter 7: Post-acute crisis 第7章 危機発生後
Chapter 8: Organisational resilience 第8章 組織のレジリエンス
   
附属書 目次…  
Appendix A: Resilience Cycle 附属書A:レジリエンス・サイクル
Appendix B: Overview of the Civil Contingencies Act 2004 附属書B:2004 年民間非常事態法の概要
Appendix C: Default COBR response assumptions 附属書C:デフォルトの COBR 対応の想定
Appendix D: TRAFFORD Model 附属書D:TRAFFORDモデル
Appendix E: Emergency management arrangements in England 附属書E:イングランドにおける緊急事態管理の取り決め
Appendix F: Emergency management arrangements in the devolved governments 附属書F:分権政府における緊急事態管理の取り決め
Appendix G Working with the devolved governments in crisis response 附属書G:危機対応における分権政府との協力
Appendix H: Arrangements in the Overseas Territories and Crown Dependencies 附属書H:海外領土および王室属領における取り決め
Glossary of terms 用語集
Bibliography 参考文献

 

Resilience Cycle

1_20250514062401

 

TRAFFORD Moedl

1_20250514060701

 

Tracking: The prior identification of emerging trends, risks and issues 追跡:新たなトレンド、リスク、問題の事前特定
Risk reduction: Intervention ahead of crisis to prevent or mitigate リスクの軽減:危機を未然に防ぎ、緩和する。
Activation: Timely and organised acceleration of effort to achieve a response tempo 活性化:対応テンポを達成するために、タイムリーかつ組織的に取り組みを加速させる。
Framing: The establishment of strategic objectives, crisis pathways and delivery models フレーミング:戦略目標、危機の道筋、提供モデルの確立
Facts: Data driven situational awareness and insight 事実:データによる状況認識と洞察
Operations: Maintenance of effective decision-making, resourcing and information flows 運用:効果的な意思決定、リソースの確保、情報の流れの保守
Response: The identification and implementation of policy and operational recovery routes 対応:政策および業務上の復旧ルートの特定と実施
Development: The transition back to BAU, or bespoke structures, and learning lessons 開発:BAU、または特注の構造への移行、および教訓の学習

 

 

中央政府と地方政府間の分担関係

1_20250514062801

 

 

Chapter 2: The UK’s emergency management system 第2章 英国の緊急事態管理システム Chapter 2 defines the underpinning principles and models of response which govern crisis response in the UK. 第2章では、英国の危機対応を統治する基本原則と対応モデルを定義している。
Chapter 3: Governance playbook 第3章 ガバナンス・プレイブック Chapter 3 sets out the primary governance structures within the Amber Book to co-ordinate the response to both acute and enduring crises, and support wider civil contingency activities. 第3章では、急迫した危機と永続的な危機の両方への対応を調整し、より広範な有事活動を支援するため の、アンバー・ブックにおける主要なガバナンス構造を示している。
Chapter 4: Roles and responsibilities 第4章 役割と責任 Chapter 4 sets out the core roles and responsibilities of an organisation’s ministers and officials within the central government response. 第4章は、中央政府の対応における組織の閣僚や役人の中核的な役割と責任を定めている。
Chapter 5: Pre-crisis 第5章 危機前 Chapter 5 details the phase prior to a crisis arising and central government’s activities for maintaining oversight of its risk profile, and the steps taken to prepare for, prevent and mitigate crises. 第5章では、危機が発生する前の段階と、中央政府のリスクプロファイルの監視を維持するための活動、および危機の準備、予防、緩和のためにとられた措置について詳述する。
Chapter 6: During the acute crisis 第6章 危機発生時 Chapter 6 outlines government’s arrangements and structures when responding to an acute crisis. 第6章では、急迫した危機に対応する際の政府の体制と仕組みについて概説している。
Chapter 7: Post-acute crisis 第7章 危機発生後 Chapter 7 outlines how UK government transitions from the response to an acute crisis to business-as-usual, enduring response, and/or recovery structures to oversee the next phase of crisis management. 第7章では、英国政府がどのように急性危機への対応から、通常の業務、永続的な対応、そして/または危機管理の次の段階を監督するための復旧体制へと移行していくのかについて概説している。
Chapter 8: Organisational resilience 第8章 組織のレジリエンス Chapter 8 details arrangements for maintaining the organisational resilience of COBR crisis management arrangements so that it is able to deliver as intended through uncertainty and disruption. 第8章は、COBR危機管理体制が不確実性や混乱を通じて意図したとおりの成果を上げられるよう、その組織的レジリエンスを維持するための取り決めについて詳述する。

 

1_20250514063601

 

 

 

 


 

2004年 民間緊急事態法

U.K. Legislation.govCivil Contingencies Act 2004

 

教訓管理(Lessons Management)...

・2024.09.30 Lessons Management Best Practice Guidance

 

共同ドクトリン:相互運用性の枠組み

・2024.04 Joint Doctrine: the interoperability framework 2024

 

危機管理コミュニケーション:運用モデル

・2023 Crisis Communications: Operating Model

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.05.12 英国 レジリエンスアカデミー 演習ベストプラクティス・ガイダンスと教訓管理ベストプラクティス・ガイダンス (2024.09.30)

 

| | Comments (0)

2025.05.13

欧州議会 シンクタンク AIと著作権 汎用AIのトレーニング (2025.04.23)

こんにちは、丸山満彦です。

汎用AIがモデルをトレーニングする際に大規模なデータが必要となるが、そのデータをウェブのクローリングで実施したりする場合に著作権で保護された資料が含まれる場合があります。そこで、著作権法との関係が気になるわけですが、、、

著作権に関するEU指令2019/790」では、テキストマイニング等について、研究者向けに第3条、一般的に第4条で次のように定めていますね...

 

Article 3 第3条
Text and data mining for the purposes of scientific research 科学研究を目的とするテキストマイニングおよびデータマイニング
1. Member States shall provide for an exception to the rights provided for in Article 5(a) and Article 7(1) of Directive 96/9/EC, Article 2 of Directive 2001/29/EC, and Article 15(1) of this Directive for reproductions and extractions made by research organisations and cultural heritage institutions in order to carry out, for the purposes of scientific research, text and data mining of works or other subject matter to which they have lawful access. 1. 加盟国は、科学研究を目的として、研究機関及び文化遺産機構が合法的なアクセス権を有する著作物又はその他の対象物のテキストマイニング及びデータマイニングを実施するために行う複製及び抽出について、指令96/9/ECの第5条(a)及び第7条(1)、指令2001/29/ECの第2条、並びに本指令の第15条(1)に規定される権利の例外を定めるものとする。
2. Copies of works or other subject matter made in compliance with paragraph 1 shall be stored with an appropriate level of security and may be retained for the purposes of scientific research, including for the verification of research results. 2. 第1項に従って作成された著作物又はその他の主題の複製物は、適切な水準のセキュリ ティをもって保管されなければならず、かつ、研究結果の検証を含む科学的研 究の目的のために保管することができる。
3. Rightholders shall be allowed to apply measures to ensure the security and integrity of the networks and databases where the works or other subject matter are hosted. Such measures shall not go beyond what is necessary to achieve that objective. 3. 権利者は、著作物又はその他の主題がホストされているネットワーク及びデータベースの安全性及び完全性を確保するための措置を適用することが許されるものとする。当該措置は、その目的を達成するために必要な範囲を超えるものであってはならない。
4. Member States shall encourage rightholders, research organisations and cultural heritage institutions to define commonly agreed best practices concerning the application of the obligation and of the measures referred to in paragraphs 2 and 3 respectively. 4. 加盟国は、権利者、研究機関及び文化遺産機構に対し、それぞれ第2項及び第3項にいう義務及び措置の適用に関して共通に合意されたベスト・プラクティスを定めるよう奨励するものとする。
Article 4 第4条
Exception or limitation for text and data mining テキストマイニングおよびデータマイニングの例外または制限
1. Member States shall provide for an exception or limitation to the rights provided for in Article 5(a) and Article 7(1) of Directive 96/9/EC, Article 2 of Directive 2001/29/EC, Article 4(1)(a) and (b) of Directive 2009/24/EC and Article 15(1) of this Directive for reproductions and extractions of lawfully accessible works and other subject matter for the purposes of text and data mining. 1. 加盟国は、テキストマイニング及びデータマイニングを目的とする合法的にアクセス可能な著作物及びその他の対象物の複製及び抽出について、指令 96/9/ECの第5条(a)及び第7条(1)、指令 2001/29/ECの第2条、指令 2009/24/ECの第4条(1)(a)及び(b)、並びに本指令の第15条(1)に規定される権利の例外又は制限を定めるものとする。
2. Reproductions and extractions made pursuant to paragraph 1 may be retained for as long as is necessary for the purposes of text and data mining. 2. 第1項に従って行われる複製及び抽出は、テキストマイニング及びデータマイニングの目的に必要な限り保持することができる。
3. The exception or limitation provided for in paragraph 1 shall apply on condition that the use of works and other subject matter referred to in that paragraph has not been expressly reserved by their rightholders in an appropriate manner, such as machine-readable means in the case of content made publicly available online. 3. 第1項に規定する例外又は制限は、同項にいう著作物その他の主題の利用が、オンライン上で公に利用可能なコンテンツの場合には機械可読の手段など適切な方法で、その権利者によって明示的に留保されていないことを条件として適用されるものとする。
4. This Article shall not affect the application of Article 3 of this Directive. 4. 本条は本指令の第3条の適用に影響しないものとする。

 

また、AI法においても第53条1(c)で著作権遵守ポリシーの策定や、(d)でトリーニングデータの概要の公開等が義務付けられていますね...

 

研究者たちは汎用AIのトレーニングに著作物を使用する際の法的制限と不確実性についての懸念が残っているという感じですかね...

 

今月中に欧州委員会から「General-Purpose AI Code of Practice」が公表される予定なので、その内容も確認しないとですかね...3月に第3次ドラフトが公表されています...

 

European Parliament - Think Tank

・2025.04.23 AI and copyright: The training of general purpose AI

・[PDF]

20250513-60812

 

AI and copyright: The training of general-purpose AI AIと著作権 汎用AIのトレーニング
To train their models, general-purpose AI (GPAI) providers need large datasets, which may include copyrighted materials. Despite the EU Directive 2019/790 on Copyright and the EU Artificial Intelligence (AI) Act, researchers have identified legal limitations and uncertainty in the use of copyrighted materials for GPAI training. 汎用AI(GPAI)プロバイダはモデルをトレーニングするために大規模なデータセットを必要とするが、これには著作権で保護された資料が含まれる場合がある。著作権に関するEU指令2019/790とEU人工知能(AI)法にもかかわらず、研究者たちはGPAIのトレーニングに著作物を使用する際の法的制限と不確実性を指摘している。
Training GPAI GPAIのトレーニング
AI models able to perform a wide range of distinct tasks, such as OpenAI’s GPT models, are known as general-purpose AI (GPAI), and are each trained on a very large amount of data. The European AI Act legally defines GPAI, using factors such as capabilities, characteristics, and number of end-users. This definition comprises what are also known as generative AI models or foundation models. The latest GPAI models are multimodal, meaning they can work with different types of content. Moreover, current state-of-the-art GPAI are termed 'reasoning models, as they are able to 'reason' step by step. OpenAI’s o3-mini model and DeepSeek’s R1 model are examples of recently released reasoning models. OpenAIのGPTモデルのような、幅広い明確なタスクを実行できるAIモデルは、汎用AI(GPAI)として知られ、それぞれ非常に大量のデータでトレーニングされる。欧州AI法は、能力、特性、エンドユーザーの数などの要素を用いて、GPAIを法的に定義している。この定義は、生成的AIモデルや基礎モデルとも呼ばれるものを構成している。最新のGPAIモデルはマルチモーダルモデルであり、異なるタイプのコンテンツを扱うことができる。さらに、現在の最先端のGPAIは、段階的に「推論」することができるため、「推論モデル」と呼ばれている。OpenAIのo3-miniモデルやDeepSeekのR1モデルは、最近リリースされた推論モデルの一例である。
GPAI models rely on deep learning techniques, which involve training the internal parameters of the model using data. The construction of datasets for training starts with the collection stage. In practice, this often relies on freely available online materials. OpenAI’s GPT-4o model was trained using data including publicly available data. Mistral’s 7b model was also trained with data from the web. Providers have generally maintained confidentiality around the exact data used to train their models, considering it a key part of their competitive edge. On the other hand, rights-holders fear losing control over their content. Various pending lawsuits outside the EU, listed by researchers, claim that GPAI training data contains copyrighted materials. GPAIモデルはディープラーニング技術に依存しており、データを使ってモデルの内部パラメータをトレーニングする。トレーニング用のデータセットの構築は、収集段階から始まる。実際には、自由に利用できるオンライン素材に頼ることが多い。OpenAIのGPT-4oモデルは、公開されているデータを含むデータを使ってトレーニングされた。Mistralの7bモデルもウェブ上のデータで学習された。プロバイダは一般的に、モデルの学習に使用した正確なデータの機密性を維持しており、それが競争力の重要な部分であると考えている。一方、権利保有者はコンテンツの管理権を失うことを恐れている。GPAIのトレーニングデータには著作物が含まれているとして、研究者が挙げたEU域外の様々な係争中の訴訟がある。
EU copyright law and the AI Act EU著作権法とAI法
To find publicly available web data to train GPAI, providers use web crawlers – programmes that autonomously navigate the web in order to perform a defined set of actions. OpenAI’s crawlers are known as GPTBot. Web crawlers have been used for years by companies such as Google, whose Googlebots crawl the web to index content for their search engine. As highlighted by researchers, the emergence of the web 'created unprecedented challenges and opportunities for copyright holders', although international copyright law has been changed to some extent to adapt to the Information Age. GPAIをトレーニングするために一般に公開されているウェブデータを見つけるために、プロバイダはウェブクローラー(定義された一連のアクションを実行するために自律的にウェブをナビゲートするプログラム)を使用する。OpenAIのクローラーはGPTBotとして知られている。ウェブクローラーは、グーグルなどの企業で長年使用されてきた。グーグルボットは、検索エンジンにコンテンツをインデックスするためにウェブをクロールする。研究者によって強調されたように、ウェブの出現は「著作権者にとって前例のない挑戦と機会を生み出した」。
Copyright law grants exclusive economic and moral rights to authors, such as the right to reproduce, distribute, communicate to the public, and make available to the public. With the Information Society Directive (Directive 2001/29), the EU created an exception for temporary acts of reproduction as part of a technological process (Article 5(1)). The EU Copyright Directive (Directive 2019/790) added two new exceptions for ‘text and data mining’ (TDM) purposes (Articles 3 and 4). TDM is defined as 'any automated analytical technique aimed at analysing text and data in digital form in order to generate information which includes but is not limited to patterns, trends and correlations'. The exceptions allow, under specific conditions, the reproduction and extraction of protected works for TDM purposes. Performing such acts would otherwise constitute violations of certain rights under copyright and database law. 著作権法は、著作者に、複製権、頒布権、公衆への伝達権、公衆の利用に供する権利など、排他的な経済的権利と著作者人格権を認めている。EUは情報社会指令(指令2001/29)で、技術的プロセスの一環としての一時的な複製行為について例外を設けた(第5条1項)。EU著作権指令(指令2019/790)では、「テキスト・データマイニング」(TDM)目的の2つの新しい例外が追加された(第3条と第4条)。TDMは「パターン、傾向、相関関係を含むがこれに限定されない情報を生成するために、デジタル形式のテキストやデータを分析することを目的とした自動分析技術」と定義されている。例外は、特定の条件下で、TDMの目的で保護された著作物を複製・抽出することを認めている。このような行為を行うことは、そうでなければ著作権法やデータベース法に基づく特定の権利の侵害を構成することになる。
The European AI Act has two provisions related to copyright (Article 53(1)(c) and (d)). The first requires GPAI providers to comply with copyright law and the opt-out exception of the Copyright Directive, which authorises TDM as long as rights-holders do not express their refusal. It concerns any provider placing a GPAI on the EU market, ‘regardless of the jurisdiction in which the copyright-relevant acts underpinning the training of those general-purpose AI models take place’ (recital 106). The second provision requires GPAI providers to make public a sufficiently detailed summary explaining the content used for training. Those requirements apply to providers of GPAI with or without systemic risks. To facilitate compliance with the regulation, the Commission is due to release a GPAI Code of Practice in May 2025. 欧州AI法には、著作権に関する2つの規定がある(第53条1項(c)および(d))。一つ目は、GPAIプロバイダが著作権法および著作権指令のオプトアウト例外を遵守することを要求するもので、権利者が拒否を表明しない限りTDMを許可するものである。この規定は、GPAIをEU市場に上市するプロバイダに関係するもので、「それらの汎用AIモデルのトレーニングを支える著作権関連の行為が行われる法域に関係なく」(前文106)。第二の規定は、GPAIのプロバイダに対し、トレーニングに使用されたコンテンツを説明する十分詳細な要約を公表することを求めている。これらの要件は、システミックリスクの有無にかかわらず、GPAIのプロバイダに適用される。規制の遵守を促進するため、欧州委員会は2025年5月にGPAI実施規範を発表する予定である。
Problem of copyrighted materials in GPAI training< GPAIトレーニングにおける著作権物の問題<
According to researchers, the EU legislation does not yet fully address issues related to AI models and intellectual property law. The core issue is the potential presence of copyrighted materials in GPAI training datasets. Researchers have therefore been trying to assess to what extent copyright exceptions permit the reproduction of works for GPAI training. They believe the existing Copyright Directive’s TDM exceptions are not clear enough, thus legal limitations and uncertainty remain problematic. 研究者によると、EUの法律は、AIモデルと知的財産権法に関する問題にまだ十分に対処していないという。中心的な問題は、GPAIのトレーニングデータセットに著作権で保護された素材が含まれている可能性があることだ。そのため研究者たちは、著作権の例外がGPAIトレーニングのための著作物の複製をどの程度認めているかをアセスメントしようとしている。彼らは、既存の著作権指令のTDMの例外は十分に明確でないと考えており、そのため法的制限と不確実性が依然として問題となっている。
Uncertainty and limitations with the legal framewor
法的枠組みの不確実性と限界
The two TDM exceptions only cover specific rights protected under copyright law. However, exceptions to other rights, such as the right of communication to the public, could be needed. Indeed, researchers argue that the right of communication to the public could be triggered by enabling public access to GPAI models that produce outputs with substantial portions of copyright-protected works. つのTDM例外は、著作権法で保護されている特定の権利のみを対象としている。しかし、公衆へのコミュニケーションの権利など、他の権利に対する例外が必要になる可能性もある。実際、研究者たちは、著作権で保護された著作物のかなりの部分を含む出力を生成するGPAIモデルへの一般アクセスを可能にすることによって、公衆へのコミュニケーションの権利が引き起こされる可能性があると主張している。
Regarding the two exceptions themselves, researchers identified legal uncertainties in using them to train GPAI models with copyright-protected materials. 2つの例外そのものについて、研究者らは、著作権で保護された素材を用いてGPAIモデルをトレーニングするために例外を使用する際の法的不確実性を指摘した。
The first exception for reproduction and extraction of works authorises research organisations and cultural heritage institutions to perform TDM for the purposes of scientific research and under lawful access (Article 3, Copyright Directive). There are two issues with claiming this exception for GPAI training. Firstly, researchers expressed concerns over its technical applicability. Indeed, rights-holders can implement technological protection measures (TPM) – such as restrictive application programming interfaces limiting requests – to control TDM, which would prevent researchers from fully exercising their right. Secondly, the ambiguity surrounding the 'lawful access' condition further complicates the practical application of the exception. In this context, stakeholders could be better to conclude licensing agreements than to rely on the exception. As noted by stakeholders, several Member States have broadened the legal framework for scientific research in their transposition of the Directive. They have extended the exception to include communication to the public, in addition to reproduction and extraction. 著作物の複製と抽出に関する第一の例外は、研究機関や文化遺産機構が、科学的研究を目的として、合法的なアクセスの下でTDMを行うことを認めている(著作権指令第3条)。この例外をGPAIのトレーニングに適用することには2つの問題がある。第一に、研究者はその技術的な適用可能性に懸念を表明した。実際、権利者はTDMを制御するために、要求を制限する制限的なアプリケーション・プログラミング・インターフェースなど、技術的保護手段(TPM)を実装することができる。第二に、「合法的なアクセス」という条件をめぐる曖昧さが、例外の実際の適用をさらに複雑にしている。この文脈では、関係者は例外に依存するよりも、ライセンス契約を締結した方がよいだろう。関係者が指摘するように、いくつかの加盟国は指令の移管にあたり、科学研究の法的枠組みを拡大している。これらの国は例外を拡大し、複製や抽出に加えて、公衆へのコミュニケーションも含めるようにした。
The second exception for reproduction and extraction of work authorises TDM as long as it 'has not been expressly reserved by their right holders in an appropriate manner, such as machine-readable means ...' (Article 4, Copyright Directive). This is known as the opt-out exception. Stakeholders have been debating the definition of ‘machine-readable’ and the duration for which reproductions of works can be kept. For ‘machine-readable’, GPAI providers support the adoption of an easy-to-access standardised file such as robot.txt. A recent German court case ruled that including the opt-out in ‘natural language’ – for instance in terms of use – qualifies as a machine-readable opt-out. Experts noted that this decision may be appealed 'given the fundamental legal issues involved and the ambiguity of the law ...'. Researchers added that the opt-out mechanism is likely to fail whenever rights-holders do not have the administrative rights for the webpage displaying their works, as they cannot add the opt-out themselves. Regarding the duration for which reproductions of works can be kept, the exception allows it for as long as needed for TDM. However, GPAI providers may need them for further processes such as evaluating models. 著作物の複製と抽出に関する第二の例外は、「機械読み取り可能な手段などの適切な方法で、権利者によって明示的に留保されていない」限り、TDMを認めている(著作権指令第4条)。これはオプトアウトの例外として知られている。関係者は、「機械可読」の定義と著作物の複製を保存できる期間について議論してきた。「機械可読」については、GPAIプロバイダはrobot.txtのようなアクセスしやすい標準化されたファイルの採用を支持している。最近のドイツの裁判では、オプトアウトを「自然言語」(例えば利用規約)に含めることが、機械可読のオプトアウトとして適格であるとの判断が下された。専門家は、この判決は「基本的な法的問題と法律の曖昧さを考慮すれば」控訴される可能性があると指摘している。研究者たちは、オプトアウトの仕組みは、権利者が自分の著作物を表示するウェブページの管理者権限を持たない場合、オプトアウトを自分で追加することができないため、失敗する可能性が高いと付け加えた。著作物の複製物の保存期間については、例外的にTDMに必要な期間だけ保存することが認められている。しかし、GPAIプロバイダは、モデルの評価などのさらなるプロセスのために複製物を必要とする可能性がある。
Potential next steps 次のステップの可能性
A number of Member States set up a Copyright Infrastructure Task Force in 2023 to assist the Commission in finding solutions. Meanwhile, the Council of the EU published a summary in December 2024 of the Member States’ views on the issue. Several Member States state that ‘copyright uses for AI training go beyond the scope of the TDM exception’. The majority considers that introducing a legislative instrument is not necessary at this stage, prioritising implementation and monitoring of the existing legal framework. 多くの加盟国が2023年に著作権インフラ・タスクフォースを立ち上げ、欧州委員会が解決策を見出すのを支援している。一方、EU理事会は2024年12月、この問題に関する加盟国の見解の概要を発表した。いくつかの加盟国は、「AIトレーニングのための著作権利用はTDM例外の範囲を超えている」と述べている。大多数は、現段階では法的手段の導入は必要ないと考えており、既存の法的枠組みの実施と監視を優先している。
Commissioner Henna Virkkunen suggested in October 2024 that the Commission should investigate if specific licensing mechanisms would facilitate the conclusion of licences between creative industries and AI companies. Unlike the Copyright Directive’s requirements on certain uses of protected content by online services, the AI Act does not mention licensing agreements in the context of GPAI training. ヘンナ・ヴィルクネン委員は2024年10月、欧州委員会は、特定のライセンス・メカニズムがクリエイティブ産業とAI企業間のライセンス締結を促進するかどうかを調査すべきであると提案した。オンラインサービスによる保護されたコンテンツの特定の使用に関する著作権指令の要件とは異なり、AI法はGPAIトレーニングの文脈でのライセンス契約には言及していない。
While the AI Act’s GPAI Code of Practice will not have the mandate to change the EU copyright framework, this guidance could be an intermediate step before the review of the Copyright Directive, set by law for June 2026. A revised Copyright Directive could address the identified limitations and uncertainties in training GPAI using copyright-protected works. AI法のGPAI実践規範は、EUの著作権の枠組みを変更する権限は持たないが、この指針は、2026年6月に法律で定められた著作権指令の見直しの前の中間的なステップとなる可能性がある。著作権指令が改正されれば、著作権で保護された著作物を使用したGPAIのトレーニングにおける識別された限界や不確実性に対処することができる。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.03.29 欧州委員会 汎用AI実践規範の第3ドラフトを発表 (2025.03.11)

・2025.03.13 欧州委員会 AI法における汎用AIモデル - Q&A (2025.03.10)

・2025.02.08 欧州委員会 規則(EU)2024/1689(AI法)が定める人工知能の禁止行為に関する欧州委員会ガイドライン

・2024.12.22 欧州委員会 汎用AI実践規範の第2ドラフトを発表 (2024.12.19)

・2024.12.06 欧州委員会 AI法における汎用AIモデル - Q&A (2024.11.20)

・2024.11.17 欧州委員会 汎用AI実践規範の最初のドラフトを発表 (2024.11.14)

・2024.10.30 欧州 AI法の調和標準の策定について...

・2024.09.08 欧州評議会 AI条約の署名開始... (2024.09.05)

・2024.08.05 欧州AI法が施行された... (2024.08.01)

・2024.07.19 ドイツ BfDI フランス CNIL オランダ AP EU AI法関連

・2024.07.16 EU 2024.07.12にAI法がEU官報に掲載された

・2024.05.22 EU 欧州理事会がAI法を承認...まもなく発効されますね...

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2023.12.10 欧州委員会、欧州議会がAI法について政治的合意

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

 

 

| | Comments (0)

2025.05.12

英国 レジリエンスアカデミー 演習ベストプラクティス・ガイダンスと教訓管理ベストプラクティス・ガイダンス (2024.09.30)

こんにちは、丸山満彦です。

昨年の9月に英国政府のレジリエンスアカデミーが「演習のベストプラクティス・ガイダンス」とその附属書、「教訓管理ベストプラクティス・ガイダンス」とその附属書を公表していました(^^;;...

 

・[PDF] Exercising Best Practice Guidance

20250512-42404

 

これは2020年に公表された「地域レジリエンスフォーラムのための国家レジリエンス標準」の補完文書となるもののようです。このガイダンスは、英国政府の省庁、ALB(Arms-Length Bodies:独立行政法人)、分権行政機関、およびより広範なレジリエンス専門家が、それぞれのレジリエンス能力をテストする際の支援となるよう、演習における優れた先進的な実践方法を提供するものという位置付けですね...

2013年に公表されていた「緊急時の計画と準備:演習と訓練ガイダンス」に代わるもので、地域レジリエンスフォーラムのための国家レジリエンス標準(National Resilience Standard for Local Resilience Forums)No 8: 演習(Exercising)に沿ったものであり、これを強化するもので、LRFが一貫して優れた先進的な実践を特定し、その能力と準備態勢の全体的なレベルを自己保証するための個別基準ということのようです。

 

次に、「教訓管理ベストプラクティス・ガイダンス」。

・[PDF] Lessons Management Best Practice Guidance 

20250512-44823

こちらは、教訓管理をレジリエンス・フレームワークの3つの基本原則に位置づけるものということのようです。。。

振り返りの重要性を忘れがちな組織の方は、特に目を通した方が良いのではと思ったりします...

 

英国政府のためのガイダンスですが、おそらく民間企業でも参考になることが多いと思い、備忘録...

そして、サイバーレジリエンスの分野にも参考になることがあると思います...Read Teamingなどの記述もありますしね...

 

最初に関連しそうなものを...

 

2004年 民間緊急事態法

U.K. Legislation.govCivil Contingencies Act 2004

 

レジリエンスフレームワーク

・2022.12 [PDF] Resilience Framework

20250512-42747

 

地域レジリエンスフォーラムのための国家レジリエンス標準

・2020.08 [PDF] National Resilience Standards for Local Resilience Forums (LRFs) Version 3.0

20250512-42631

 

・国防省

・[PDF] 2021.06 Red Teaming Handbook Third Edition

20250512-54727

 

 

 

 


 

UK Resilience Academy

・2024.09.30 Exercising Best Practice Guidance

 

本文...

・・[HTML] Exercising Best Practice Guidance 

・・[PDF] Exercising Best Practice Guidance 

20250512-42404

 

Exercising Best Practice Guidance 演習ベストプラクティス・ガイダンス
This guidance provides good and leading practice in exercising to support UK Government departments, agencies, Arms-Length Bodies (ALBs), devolved administrations and wider resilience professionals in testing their resilience capabilities. このガイダンスは、英国政府の各省庁、機関、独立行政法人(ALB)、分権行政機関、および広くレジリエンス の専門家が、それぞれのレジリエンス能力をテストする際の支援となるよう、演習の優れた実践方法と 先導的な実践方法を提供するものである。
Introduction 序論
Preface 序文
Part One: Purpose and Principles of Exercising 第1部:演習の目的と原則
The Purpose of Exercising 演習の目的
Exercise Planning Fundamentals 演習計画の基礎
Exercise Planning: The Planning Cycle 演習計画: 計画サイクル
Part Two: Types of Exercises 第2部:演習の種類
Tabletop Exercises (TTX) 卓上演習(TTX)
Stress Test Exercising ストレステスト演習
Live play exercises 実演演習
Part Three: Evaluation 第3部:評価 はじめに 2022年に発行される: 評価
Evaluation 評価
Introduction 序論
Published in 2022, the Resilience Framework focuses on the foundational building blocks of resilience. The framework uses ‘resilience’ to refer to an ability to withstand or quickly recover from a difficult situation, but also to get ahead of those risks and tackle challenges before they manifest. It sets out the plan to 2030 to strengthen the systems and capabilities that underpin the UK’s resilience to all civil contingencies risks. Planning and preparation for risks cannot be considered reliable until they have been exercised and shown to be workable. This is why exercises play an essential role in strengthening resilience, enabling us to test and validate the structures, plans, procedures and skills required to deliver an effective response when needed[footnote 1]. Importantly, there must also be a system in place to learn from exercises, to evidence and understand areas of good practice, or identify areas for refinement and improvement. 2022年に発表されたレジリエンス・フレームワークは、レジリエンスの基礎となる構成要素に焦点を当て ている。この枠組みでは、「レジリエンス」とは、困難な状況に耐えたり、困難な状況から速やかに回復したりする能力を指すだけでなく、そのようなリスクに先回りして、課題が顕在化する前にそれに対処することも意味している。この枠組みは、あらゆる民間偶発リスクに対する英国のレジリエンスを支えるシステムと能力を強化するための2030年までの計画を定めている。リスクに対する計画と備えは、演習を行い、実行可能であることが示されない限り、信頼できるものとは言えない。このため、演習はレジリエンスを強化する上で不可欠な役割を果たし、必要なときに効果的な対応を行うために必要な体制、計画、手順、スキルをテストし、妥当性を確認することができる[脚注 1]。また、重要なことは、演習から学び、優れた事例を実証し、理解し、改善・改良すべき分野を特定するためのシステムが整備されていなければならないということである。
This highlights both the importance of the commitment to a reinvigorated National Exercising Programme (NEP), and of the many and varied exercises carried out within sectors and local settings, to test preparedness throughout the resilience system[footnote 2]. Exercising is a critical tool for building resilience, enhancing civil protection capabilities, and contributing to wider national strategic goals. The Cabinet Office, through the National Exercising Programme (NEP), directs and coordinates the delivery of coherent exercising activity to meet national resilience objectives.
このことは、国家演習プログラム(NEP)の再活性化に対するコミットメントと、レジリエンシー・システム全体を通じて準備態勢をテストするために、各部門や地域の環境の中で実施される多種多様な演習の重要性を浮き彫りにしている[脚注2]。演習は、レジリエンスを構築し、市民保護能力を高め、より広範な国家戦略目標に貢献するための重要な手段である。内閣府は、国家演習プログラム(NEP)を通じて、国家のレジリエンス目標を達成するための首尾一貫した演習活動の実施を指示・調整している。
This first publication of the Exercising Best Practice Guidance (2024) has been jointly developed by the Cabinet Office and its Emergency Planning College (EPC), primarily for all those working in the public sector on civil contingency risks and resilience. この最初の「演習ベストプラクティスガイダンス(2024年版)」は、内閣府とその緊急時計画カレッジ(EPC)が共同で作成したもので、主に公共部門で民間不測事態のリスクとレジリエンスに取り組むすべての人々を対象としている。
This includes: those with duties and responsibilities under the Civil Contingencies Act (2004) whether national, regional, devolved or local; Government Departments and Arm’s Length Bodies; Local Resilience Forum partners and agencies; and other resilience players such as the Voluntary and Community Sector (VCS). For the purpose of this guidance we define an exercise as a process to train for, assess, practice and improve performance in an organisation.’[footnote 3] This guidance is non-statutory and non-mandatory. It acknowledges that a range of existing exercise guidance is in use across Departments, Devolved Administrations and across the resilience community and it has been designed to complement it all. これには、国、地域、分権、地方を問わず、市民非常事態法(2004年)の下で義務と責任を負う者、政府省庁や独立行政法人(Arm's Length Bodies)、地域レジリエンス・フォーラムのパートナーや機関、ボランティア・コミュニティ・セクターなどのその他のレジリエンス関係者が含まれる。本ガイダンスの目的上、演習とは、組織のパフォーマンスを訓練、アセスメント、実践、改善するためのプロセスと定義する。このガイダンスは、既存のさまざまな演習ガイダンスが、各省庁、分権行政機関、そしてレジリエンスコミュニティ全体で使用されていることを認め、それらをすべて補完するために作成された。
To support that process this Exercising Best Practice Guidance has been split into three parts: そのプロセスを支援するため、この「演習ベストプラクティスガイダンス」は3部に分かれている:
Part 1 covers the purpose and principles of exercising. This includes the fundamentals of exercise planning, types of exercises and an overview of the planning cycle. It aims to support all aspects of exercising, from framing activity in the wider context of resilience strategy, through to scoping, planning, designing, delivering and evaluating high quality exercises. It provides a categorisation of the types of exercise to provide coherence and understanding across all stakeholders. 第1部では、演習の目的と原則を取り上げる。これには、演習計画の基本、演習の種類、計画サイクルの概要が含まれる。このガイダンスは、レジリエンス戦略のより広範な文脈における活動の枠組みから、質の高い演習のスコーピング、計画、設計、実施、評価に至るまで、演習のあらゆる側面を支援することを目的としている。また、すべての利害関係者に一貫性と理解を提供するために、演習の種類を分類している。
Part 2 details the ‘common to all’ aspects of a comprehensive and effective exercise planning process. This includes an overview of different types of exercises used in resilience building, and helpful templates and examples to support those engaged in exercise work. 第2部では、包括的で効果的な演習計画プロセスの「すべてに共通する」側面について詳述する。これには、レジリエンス構築に用いられるさまざまなタイプの演習の概要や、演習業務に携わる人々を支援するための有用なテンプレートや事例が含まれている。
Part 3 focuses on the importance of exercise evaluation. It includes applicable methodologies, techniques, and processes that can be used across exercise types, to deliver effective and appropriate evaluation of the exercise cycle. Further guidance and tools for effective lesson capture and identification and management can be found in the Lessons Management Best Practice Guidance 2024. 第3部では、演習評価の重要性に焦点を当てている。演習サイクルの効果的かつ適切な評価を行うために、演習の種類を問わず適用可能な方法論、技術、プロセスが含まれている。効果的な教訓の収集、特定、管理のためのさらなるガイダンスやツールは、「教訓管理ベストプラクティスガイダンス2024」に記載されている。
Combined, these areas will not only inform the quality of our exercising in practice, but also help to ensure that our planning and preparedness for the risks we face are continually reviewed and strengthened. これらの分野を組み合わせることで、実際の訓練の質を高めるだけでなく、直面するリスクに対する計画と備えを継続的に見直し、強化することができる。
Preface 序文
Purpose 目的
1. The purpose of the Exercising Best Practice Guidance is to provide a practical guide for individuals and teams who plan, prepare and deliver exercises in a civil contingency resilience setting. It is designed as a ‘hands on’ reference source for practitioners, and is not therefore intended to deliver an academic examination of the subject. 1. 演習のベストプラクティス・ガイダンスの目的は、民間の有事のレジリエンスの場で演習を計画、準備、 実施する個人やチームのための実践的なガイドを提供することである。このガイダンスは、実務者のための「実践的な」参考資料として作成されたものであり、このテーマについて学術的な検討を行うことを意図したものではない。
Context 背景
2. This Guidance is written to support the commitment in the Resilience Framework (PDF, 6MB) to reinvigorate the ‘National Exercising Programme (NEP) to test plans, structures and skills’. It aligns with and reinforces the outcome and the good practice statements in ‘National Resilience Standard for Local Resilience Forums No 8: Exercising’. 2. このガイダンスは、レジリエンス・フレームワーク(PDF, 6MB)にある、「計画、構造、スキルをテストするための全国演習プログラム(NEP)」を再活性化するという公約を支援するために書かれたものである。このガイダンスは、「地域レジリエンス・フォーラムのための国家レジリエンス標準No.8:演習」の成果およびグッドプラクティスに関する記述と整合し、これを強化するものである。
Scope 範囲
3. This Guidance focuses directly on enabling individuals and teams to plan, prepare and deliver exercises across the whole resilience landscape and through the resilience cycle. It directly supports the implementation of the NEP objective to ‘inform the future of high-quality resilience training.’ 3. このガイダンスは、個人やチームがレジリエンスの全体像とレジリエンス・サイクル全体を通じて演習を計画、準備、実施できるようにすることに直接焦点を当てている。このガイダンスは、「質の高いレジリエンス訓練の未来に情報を提供する」という NEP の目標の実施を直接支援するものである。
4. The first part of the guide seeks to establish a shared understanding of the approach to exercising resilience in a national risk context. It provides a baseline for those tasked with or responsible for integrating an exercise or programme of exercises into their organisation’s resilience activity. 4. このガイドの最初の部分は、国家的リスクの状況におけるレジリエンス演習のアプローチについての共通理解を確立することを目的としている。このガイドは、組織のレジリエンス活動に演習や演習プログラムを組み込むことを任務とする者、あるいはその責任を負う者に、基本的な考え方を提供するものである。
5. The second and third parts are aimed at practitioners who are tasked to plan, prepare and deliver specific types of exercising to meet the direction of the NEP, and in accordance with relevant standards (such as Local Resilience Forum (‘LRF’) National Standards). 5. 第 2 部と第 3 部は、NEP の方向性を満たし、関連する標準(ローカル・レジリエンス・フォーラム (LRF)の全国標準など)に従って、特定の種類の演習を計画、準備、実施することを任務とする実務者を対象としている。
Other Relevant Documents その他の関連文書
6. The Exercising Best Practice Guidance is linked with the Resilience Framework (PDF, 6MB), the Managing Lessons Best Practice Guidance (2024) and the Ministry of Defence Red Teaming Handbook (PDF< 4MB) (2021). 6. 演習ベストプラクティスガイダンスは、レジリエンス・フレームワーク(PDF, 6MB)、to(2024)、国防省レッドチームハンドブック(PDF< 4MB)(2021)とリンクしている。

以下、略...


演習実施の原則(Principles of exercising)...

1_20250512055801

 

演習計画サイクル(The Planning Cycle)

1_20250512060001

 

 

 

附属書...

・・[HTML] Exercising Best Practice: Annexes and Resources 

・・[PDF] Exercising Best Practice: Annexes and Resources 

20250512-43507

 

 

 


 

教訓管理(Lessons Management)...

・2024.09.30 Lessons Management Best Practice Guidance

 

エグゼエクティブサマリー...

・・「HTML] Lessons Management Best Practice Guidance: Executive Summary

・・[PDF] Lessons Management Best Practice Guidance: Executive Summary

20250512-50333

Structure: In line with these objectives, the guidance comprises the following sections: 構成:これらの目的に沿って、ガイダンスは以下のセクションで構成されている:
Lessons Management 教訓管理
Lesson Identification 教訓の識別
Lesson Prioritisation 教訓の優先順位付け
Lesson Implementation 教訓の実施
Embedding Learning and Change 教訓と変革の定着
Process 1: Lesson Identification プロセス1:教訓の識別
Capture キャプチャー
Analyse 分析
Identify 特定
Validate 妥当性確認
Report 報告
Share 共有
Process 2: Lesson Prioritisation プロセス2:教訓の優先順位付け
Organise 整理
Appraise 評価
Assess アセスメント
Prioritise 優先順位付け
Assign 割り当て
Review レビュー
Process 3: Lesson Implementation プロセス 3: 教訓実施
Lead 指導
Plan 計画
Act 行動
Monitor 監視
Evaluate 評価
Report 報告
Process 4: Embedding Change プロセス4:変革の定着
Plan 計画
Integrate 統合
Monitor 監視
Assure 保証
Review レビュー
Mature 成熟

1_20250512054401

 

 

本文...

・・[HTML] Lessons Management Best Practice Guidance

・・[PDF] Lessons Management Best Practice Guidance

20250512-44823

 

附属書...

・・[HTML] Lessons Management Best Practice Guidance: Annexes

・・[PDF] Lessons Management Best Practice Guidance: Annexes 

20250512-51042

 

 

 

 

 

| | Comments (0)

2025.05.11

カリフォルニア州 プライバシー保護法案の修正案についての意見募集 (2025.05.08)

こんにちは、丸山満彦です。

カリフォルニア州の消費者プライバシー保護法の改正案が2024.11.22にだされ、意見募集されたのですが、その結果を受けて再びの改正案が公表されていますね...

サイバーセキュリティ監査、リスクアセスメント、自動意思決定技術(ADMT)、および保険会社に関する規制に関する改正案ですね...

 

California Privacy Protection Agency

・2025.05.08 Proposed Regulations on CCPA Updates, Cybersecurity Audits, Risk Assessments, Automated Decisionmaking Technology (ADMT), and Insurance Companies

 

Proposed Regulations on CCPA Updates, Cybersecurity Audits, Risk Assessments, Automated Decisionmaking Technology (ADMT), and Insurance Companies CCPA の更新、サイバーセキュリティ監査、リスクアセスメント、自動意思決定技術(ADMT)、および保険会社に関する規制案
On November 8, 2024, the California Privacy Protection Agency (Agency) Board voted to commence formal rulemaking on the following regulatory subjects: CCPA Updates, Cybersecurity Audits, Risk Assessments, Automated Decisionmaking Technology (ADMT), and Insurance Companies. Specifically, the proposed regulations seek to (1) update existing CCPA regulations; (2) implement requirements for certain businesses to conduct risk assessments and complete annual cybersecurity audits; (3) implement consumers' rights to access and opt–out of businesses' use of ADMT; and (4) clarify when insurance companies must comply with the CCPA. 2024年11月8日、カリフォルニア州プライバシー保護庁(以下「庁」)理事会は、CCPA の更新、サイバーセキュリティ監査、リスクアセスメント、自動意思決定技術(ADMT)、および保険会社に関する以下の規制事項について、正式な規則制定を開始することを決議した。具体的には、この規制案は (1) 既存の CCPA 規制の更新、(2) 特定の事業者にリスクアセスメントの実施と年次サイバーセキュリティ監査の完了を義務付ける要件の導入、(3) 消費者が事業者の ADMT の利用にアクセスし、それをオプトアウトする権利の導入、および (4) 保険会社が CCPA を遵守しなければならない場合について明確化することを目的としている。
Notice Register Publication Date: November 22, 2024 通知登録日:2024年11月22日
Status of the Proposal: On May 9, 2025, the Agency noticed modifications to the text of the proposed regulations. The Public Comment Period for the proposed changes is open from May 9, 2025 – June 2, 2025. The comment period closes on June 2, 2025, at 5:00 p.m. Pacific Time. 提案の現状:2025年5月9日、当局は提案された規制の文言の変更を通知した。提案された変更に関するパブリックコメント期間は、2025年5月9日から2025年6月2日まで。コメント期間は、2025年6月2日午後5時(太平洋時間)に終了する。
Public comments may be submitted to the Agency electronically at [mail]
, or by mail at the address included in the Notice of Modifications to Text of Proposed Regulations and Additional Documents Relied Upon. Please include “Public Comment on CCPA Updates, Cyber, Risk, ADMT, and Insurance Regulations” in the subject line of your comment.
パブリックコメントは、[mail]
から電子的に、または「規制案の文面変更および追加資料に関する通知」に記載された住所宛てに郵送で提出することができる。コメントの件名には、「CCPA の更新、サイバー、リスク、ADMT、および保険に関する規制に関するパブリックコメント」と記載してください。
Please note that all information provided in oral and written comments is subject to public disclosure. 口頭および書面によるコメントで提供された情報は、すべて公開されることにご留意ください。
Rulemaking Documents 規則制定文書
May 9, 2025 – Public Notice of Modifications to Proposed Regulations 2025年5月9日 – 提案規則の改定に関する公的通知 
Notice of Modifications to Text of Proposed Regulations and Additional Materials Relied Upon ・提案規則の本文の改定および依拠する追加資料に関する通知
Modified Text of Proposed Regulations ・提案規則の改定本文
20250511-65758
January 13, 2025 – Public Notice of Extension of Comment Period 2025年1月13日 – コメント期間の延長に関する公的通知 
・Notice of Extension of Public Comment Period and Additional Hearing Date ・コメント期間の延長および追加公聴会の日程に関する通知 
November 22, 2024 – Public Notice of Rulemaking and Related Documents 2024年11月22日 – 規則制定および関連文書に関する公的通知
Notice of Extension of Public Comment Period and Additional Hearing Date ・意見提出期間の延長および追加公聴会の日程に関する公告
Notice of Proposed Rulemaking ・規則制定案の公告
Text of Proposed Regulation ・規則案の本文
Initial Statement of Reasons ・最初の理由説明
Initial Statement of Reasons Appendix A: Standardized Regulatory Impact Assessment ・最初の理由説明 附属書 A:標準化された規制影響評価
Economic and Fiscal Impact Statement (STD 399) ・経済および財政への影響に関する声明(STD 399
Public Comments パブリックコメント
Comments received during the November 22, 2024 – February 19, 2025 Comment Period are linked below. 2024 年 11 月 22 日から 2025 年 2 月 19 日までの意見提出期間に寄せられたコメントは、以下のリンクからご覧いただけます。
書面によるコメント
口頭によるコメント
Preliminary Rulemaking Activities 予備的な規則制定活動
The California Privacy Protection Agency solicited preliminary written comments from the public via an Invitation for Preliminary Comments on Proposed Rulemaking on the following topics: Cybersecurity Audits, Risk Assessments, and Automated Decisionmaking from February 10, 2023 through March 27, 2023. That period has now closed, and the public comments are available via the links below. カリフォルニア州プライバシー保護局は、2023年2月10日から2023年3月27日まで、サイバーセキュリティ監査、リスクアセスメント、および自動意思決定に関する規則制定案に関する予備的意見募集を通じて、予備的な書面による意見を一般から募集した。この期間は終了しており、パブリックコメントは、以下のリンクからご覧いただけます。
Preliminary Public Comments 予備的なパブリックコメント
予備的な公開コメント期間中に受け付けたコメント
予備的な公開コメント期間終了後に受け付けたコメント
Transcripts 議事録
Public Hearing – January 14, 2025 公開聴聞会 – 2025年1月14日
Public Hearing – February 19, 2025 公開聴聞会 – 2025年2月19日
Webcasts ウェブキャスト
Public Hearing – January 14, 2025 公開聴聞会 – 2025年1月14日
Public Hearing – February 19, 2025 公開聴聞会 – 2025年2月19日
Further Information 詳細情報
Information regarding the rulemaking process will be posted to [web]. If you would like to receive notifications regarding rulemaking activities, please subscribe to the “Rulemaking Proceedings” email list at [web]. Please note that comments are public records and will be published on the Agency's website. 規則制定手続きに関する情報は、[web] に掲載されます。規則制定活動に関する通知を受け取りたい場合は、[web]. で「Rulemaking Proceedings」メールリストに登録してください。コメントは公文書であり、機関のウェブサイトに公開されることにご注意ください。

 

 

 

修正案の削除部分を削除した内容...

» Continue reading

| | Comments (0)

米国 FBI サポートが終了したルータを悪用したサイバー犯罪について警告

こんにちは、丸山満彦です。

サポートが終了したルータを悪用したサイバー犯罪についてFBIが警告をだしていますね...

サポートが終了したルータは脆弱性があっても通常は対応されないないので、それを狙った侵入し、サイバー犯罪等に利用することができるわけですが、侵入し成功したルーターを他の人に利用してもらうということも可能となりますよね...

ボットネットの一部になってしまうと...

そういえば、家庭用ルーター等のCyber Trust Markの運用がFCC(連邦取引委員会)で始まっているように思うのですが、それはどうなっているのでしょうかね...2025年の後半、クリスマスプレゼントの購入の前(11月かあ12月前半?)に開始される可能性が高いようなかんじですかね...

 

FBI

・2025.05.07 Cyber Criminal Proxy Services Exploiting End of Life Routers

Alert Number: I-050725-PSA

Cyber Criminal Proxy Services Exploiting End of Life Routers サポートが終了したルータを悪用したサイバー犯罪プロキシサービス
The Federal Bureau of Investigation (FBI) is issuing this announcement to inform individuals and businesses about proxy services taking advantage of end of life routers that are susceptible to vulnerabilities. When a hardware device is end of life, the manufacturer no longer sells the product and is not actively supporting the hardware, which also means they are no longer releasing software updates or security patches for the device. Routers dated 2010 or earlier likely no longer receive software updates issued by the manufacturer and could be compromised by cyber actors exploiting known vulnerabilities. 連邦捜査局(FBI)は、脆弱性の影響を受けやすいサポートが終了したルータを悪用したプロキシサービスについて、個人および企業に周知するため、本アナウンスを発表する。ハードウェア・デバイスの製造が終了した場合、製造事業者はその製品の販売を終了し、ハードウェアのサポートも終了する。2010年以前のルーターは、製造事業者が発行するソフトウェア・アップデートを受け取らない可能性が高く、既知の脆弱性を悪用したサイバー行為によって侵害される可能性がある。
End of life routers were breached by cyber actors using variants of TheMoon malware botnet. Recently, some routers at end of life, with remote administration turned on, were identified as compromised by a new variant of TheMoon malware. This malware allows cyber actors to install proxies on unsuspecting victim routers and conduct cyber crimes anonymously. サポートが終了したルーターは、TheMoonマルウェア・ボットネットの亜種を使用したサイバー行為者によって侵入された。最近、リモート管理がオンになっているサポートが終了したルーターの一部が、TheMoonマルウェアの新しい亜種によって侵害されていることが確認された。このマルウェアにより、サイバー・アクターは疑うことを知らない被害者のルーターにプロキシをインストールし、匿名でサイバー犯罪を行うことができる。
Proxies and Router Vulnerabilities プロキシとルーターの脆弱性
A proxy server is a system or router that provides a gateway between users and the Internet. It is an intermediary between end-users and the web pages they visit online. A proxy is a service that relays users' Internet traffic while hiding the link between users and their activity. プロキシサーバーは、ユーザーとインターネットの間にゲートウェイを提供するシステムまたはルーターである。エンドユーザーと彼らがオンラインで閲覧するウェブページとの仲介役である。プロキシは、ユーザーのインターネット・トラフィックを中継し、ユーザーとその活動の間のリンクを隠すサービスである。
Cyber actors use proxy services to hide their identities and location. When actors use a proxy service to visit a website to conduct criminal activity, like stealing cryptocurrency or contracting illegal services, the website does not register their real IP address and instead registers the proxy IP. サイバー・アクターは、プロキシ・サービスを利用して、自分の身元や居場所を隠す。行為者がプロキシ・サービスを利用してウェブサイトを訪問し、暗号通貨の窃盗や違法サービスの契約などの犯罪行為を行う場合、ウェブサイトは実際のIPアドレスを登録せず、代わりにプロキシIPを登録する。
TheMoon Malware TheMoon マルウェア
TheMoon malware was first discovered on compromised routers in 2014 and has since gone through several campaigns. TheMoon does not require a password to infect routers; it scans for open ports and sends a command to a vulnerable script. The malware contacts the command and control (C2) server and the C2 server responds with instructions, which may include instructing the infected machine to scan for other vulnerable routers to spread the infection and expand the network. TheMoon マルウェアは2014年に侵害されたルーターで初めて発見され、その後いくつかのキャンペーンを経ている。TheMoonはルーターを感染させるのにパスワードを必要とせず、開いているポートをスキャンし、脆弱性のあるスクリプトにコマンドを送信する。マルウェアはコマンド・アンド・コントロール(C2)サーバーに連絡し、C2サーバーは感染したマシンに他の脆弱性ルーターをスキャンして感染を広げ、ネットワークを拡大するよう指示するなどの対応をとる。
Tips to Protect Yourself 防御のための識別
Commonly identified signs of malware infections on routers include overheating devices, problems with connectivity, and changes to settings the administrator does not recognize. ルーターにおけるマルウェア感染の兆候としてよく確認されるのは、デバイスの過熱、接続性の問題、管理者が認識していない設定の変更などである。
The FBI recommends individuals and companies take the following precautions: FBIは、個人および企業に対し、以下の予防策を講じることを推奨している:
・If the router is at end of life, replace the device with an updated model if possible. ・ルーターの寿命が来ている場合は、可能であれば最新のモデルに交換する。
・Immediately apply any available security patches and/or firmware updates for your devices. ・利用可能なセキュリティ・パッチやファームウェア・アップデートを直ちに適用する。
・Login online to the router settings and disable remote management/remote administration, save the change, and reboot the router. ・ルータの設定にオンラインでログインし、リモート管理/遠隔管理を無効にし、変更を保存して、ルータを再起動する。
・Use strong passwords that are unique and random and contain at least 16 but no more than 64 characters. Avoid reusing passwords and disable password hints. ・ユニークでランダムな、16 文字以上 64 文字以下の強力なパスワードを使用する。パスワードの再利用を避け、パスワードヒントを無効にする。
・If you believe there is suspicious activity on any device, apply any necessary security and firmware updates, change your password, and reboot the router. ・デバイスに不審な動きがあると思われる場合、必要なセキュリティとファームウェアのアップデートを適用し、パスワードを変更し、ルーターを再起動する。
Victim Reporting and Additional Information 被害者の報告および追加情報
If you suspect you are a victim of a proxy service or your personal information has been compromised: プロキシサービスの被害者であると思われる場合、または個人情報が漏洩していると思われる場合:
・File a complaint with the FBI Internet Crime Complaint Center (IC3), www.ic3.gov. When available, please include the following information regarding the incident: date, time, and location of the incident; type of activity; number of people affected; type of equipment used for the activity; the name of the submitting organization; designated point of contact. ・FBIインターネット犯罪苦情センター(IC3)www.ic3.gov。その際、インシデントに関する以下の情報を含めること:インシデントの発生日時、場所、アクティビティの種類、影響を受けた人数、アクティビティに使用された機器の種類、提出組織の名前、指定された連絡先。
・Contact your account provider immediately to regain control of your accounts, change passwords, and place alerts on your accounts for suspicious login attempts and/or transactions. ・アカウントの制御を回復し、パスワードを変更し、不審なログイン試行および/またはトランザクションのためのアラートをアカウントに配置するために、アカウントプロバイダに直ちに連絡する。

 

1_20250428102201

 


 

CyberTrust Markについてはこのブログをみれば、リンク先を含めてある程度の情報が入手できるように思います...

まるちゃんの情報セキュリティ気まぐれ日記

・2025.01.10 米国 ホワイトハウス サイバートラストマークを開始...

 

 

 

| | Comments (0)

2025.05.10

英国 NCSC サイバーレジリエンスの信頼を高める新たな2つの保証イニシアティブ(サイバーレジリエンス試験施設(CTRFs)プログラム 、サイバー敵対シミュレーション(CyAS)スキーム) そのためのアセスメント原則とクレーム(APC)(2025.05.08)

こんにちは、丸山満彦です。

英国のNCSCが、サイバーレジリエンスの信頼を高める新たな2つの保証イニシアティブ

  • サイバーレジリエンス試験施設(CTRFs)プログラム
  • サイバー敵対シミュレーション(CyAS)スキーム

を開始すると発表していますね。

Cyber Resilience Test Facilities (CTRFs) は、技術ベンダーが一貫した構造的な方法で自社製品のサイバーレジリエンスを実証し、英国政府を含む官民組織による独立した監査やアセスメントを可能にする、保証された施設の全国ネットワークを構築するものということのようです...

技術アシュアランスについては2年前にこのブログでも紹介しています...

Scheme for Cyber Adversary Simulation (CyAS) の下で認定された企業は、組織のサイバーレジリエンスをテストするサービスを提供する。これには、模擬サイバー攻撃を防止、検知、対応する能力も含まれる。

英国は、国家のサイバーレジリエンスを高めるために、サイバーセキュリティ技術のある会社を育成し、その能力を保証し、政府が利用しやすくするとともに、政府が利用していることを通じて、民間への利用を促進しようと考えていますよね...

文化や、商習慣が違うところはありますが、日本でもこのコンセプトを参考にすることは良いかもしれませんね...

Cyber Essensialsの制度も含め、英国のサイバーセキュリティ政策には学ぶことが多いようにも思います...ちなみに2021年12月に公表された英国のサイバー戦略は、日本語でも読めます。(このブログ

 

NCSC

1_20250121060101

発表...

・2025.05.08 New assurance initiatives to help boost confidence in cyber resilience

New assurance initiatives to help boost confidence in cyber resilience サイバーレジリエンスへの信頼を高める新たな保証イニシアティブ
・Two initiatives designed to help boost confidence in cyber resilience announced at flagship CYBERUK conference ・サイバーレジリエンスの信頼性を高めるための2つの取り組みが、CYBERUK会議で発表された。
・A new ecosystem of assured Cyber Resilience Test Facilities will allow vendors to demonstrate the cyber resilience of their products ・保証されたサイバー・レジリエンス試験施設の新たなエコシステムにより、ベンダーは自社製品のサイバー・レジリエンスを実証できるようになる
・A Cyber Adversary Simulation scheme will launch in summer to help organisations test their defences ・サイバー・アドバサリー・シミュレーション・スキームが夏に開始され、組織の防御テストを支援する。
The National Cyber Security Centre (NCSC) – a part of GCHQ – has today announced two initiatives to help improve national cyber resilience. GCHQの一部である国家サイバーセキュリティセンター(NCSC)は本日、国家のサイバーレジリエンス向上を支援する2つのイニシアチブを発表した。
The new Cyber Resilience Test Facilities (CTRFs) programme is developing a national network of assured facilities which will allow technology vendors to demonstrate the cyber resilience of their products in a consistent and structured way, enabling independent audits and assessments by public and private sector organisations, including the UK government. 新しいサイバーレジリエンス試験施設(CTRFs)プログラムは、技術ベンダーが一貫した構造的な方法で自社製品のサイバーレジリエンスを実証し、英国政府を含む官民組織による独立した監査やアセスメントを可能にする、保証された施設の全国ネットワークを構築するものである。
The CRTFs will adopt a Principles-Based Assurance (PBA) methodology, moving away from traditional compliance-based schemes, to enhance consumer confidence in the cyber resilience of products and broaden the range of assured products. CRTFsは、従来のコンプライアンスベースのスキームから原則ベースの保証(PBA)手法を採用し、製品のサイバーレジリエンスに対する消費者の信頼を高め、保証される製品の範囲を広げる。
The NCSC will also be launching a new scheme for Cyber Adversary Simulation (CyAS) in early summer. Companies assured under the Cyber Adversary Simulation Scheme will deliver services to test an organisation’s cyber resilience, including their ability to prevent, detect and respond to simulated cyber attacks. NCSCはまた、初夏に新たなサイバー敵対シミュレーション(CyAS)スキームを立ち上げる予定である。サイバー敵対シミュレーションスキームの下で認定された企業は、組織のサイバーレジリエンスをテストするサービスを提供する。これには、模擬サイバー攻撃を防止、検知、対応する能力も含まれる。
Both of these initiatives have been formally announced at this year’s CYBERUK, the government’s flagship cyber security conference. これら2つのイニシアチブは、政府の主要なサイバーセキュリティ会議である今年のCYBERUKで正式に発表された。
They are the latest in the NCSC’s efforts to help organisations bolster resilience and work towards addressing concerns raised by CEO Richard Horne in December 2024 about the growing gap between cyber threats and existing defences. これらは、NCSCが組織のレジリエンスを強化し、2024年12月にリチャード・ホーン最高経営責任者(CEO)が提起した、サイバー脅威と既存の防御の間のギャップが拡大しているという懸念に対処するための取り組みの最新版である。
NCSC Director for National Resilience Jonathon Ellison said: NCSCのジョナソン・エリソン国家レジリエンス担当ディレクターは、次のように述べた:
“The Cyber Resilience Test Facilities and Cyber Adversary Simulation schemes mark a significant step forward in our mission to enhance the UK’s cyber resilience. 「サイバーレジリエンス試験施設とサイバー敵シミュレーション計画は、英国のサイバーレジリエンスを強化するという我々の使命において、大きな前進を意味する。
“The test facilities will allow consumers to be more confident in the security of connected products. And through testing their response to simulated cyber attacks, the UK’s most critical infrastructure will be further empowered to defend against evolving online threats.” 「この試験施設によって、消費者はコネクテッド製品の安全性をより確信できるようになる。また、模擬的なサイバー攻撃への対応をテストすることで、英国の最も重要なインフラは、進化するオンラインの脅威から防衛する力をさらに強化されるだろう。
The CyAS scheme has been developed in partnership with cyber oversight bodies, cyber regulators and government, who are exploring the use of the scheme in their sectors. It has been designed as a means of providing end-to-end assurance and evidence for any organisation of sufficient maturity and criticality to test their cyber defences. CyASスキームは、サイバー監視団体、サイバー規制当局、政府とのパートナーシップにより開発された。CyASスキームは、十分な成熟度と重要性を持つ組織がサイバー防御をテストするために、エンドツーエンドの保証と証拠を提供する手段として設計された。
The scheme will launch as a Minimum Viable Product and is expected to evolve as the user community grows. このスキームは、ミニマム・ヴァイブル・プロダクトとして立ち上げられ、ユーザー・コミュニティの成長とともに進化していくことが期待されている。
Find out more about CRTFs by visiting the NCSC's Cyber Resilience Testing pages. CRTFの詳細については、NCSCのサイバー・レジリエンス・テストのページを参照されたい。

 

サイバーレジリエンス試験施設(CTRFs)プログラム

Cyber Resilience Test Facilities

 

Cyber Resilience Test Facilities サイバーレジリエンス試験設備
Cyber Resilience Testing サイバーレジリエンス試験
About Cyber Resilience Test Facilities (CRTF) サイバーレジリエンス試験施設(CRTF)について
Focus on risk, not compliance コンプライアンスではなくリスクに焦点を当てる
CRTF Vision Statement CRTFビジョンステートメント
Information for CRTFs CRTFのための情報
What will CRTFs do? CRTFは何をするのか?
Requirements for CRTFs CRTFの要件
Application process 申請プロセス
Information for technology vendors テクノロジー・ベンダー向け情報
How does it work? どのように機能するのか?
How will this help you? どのように役立つのか?
Who is this for? 誰のためのものか?
Assurance Principles and Claims documents 保証原則とクレーム文書
   
Cyber Resilience Testing サイバーレジリエンス試験
About Cyber Resilience Test Facilities (CRTF) サイバー・レジリエンス試験施設(CRTF)について
As the cyber risk continues to grow, organisations need greater understanding and increased confidence in the resilience of their connected products and technology. サイバーリスクが増大し続ける中、企業は、接続された製品や技術のレジリエンスに対する理解を深め、信頼性を高める必要がある。
To meet this need the NCSC has developed a new UK assurance methodology to enable vendors to demonstrate the cyber resilience of their connected products in a structured and consistent way. This will also enable industry and government services to independently audit and assess those products in a consistent way. このニーズに応えるため、NCSCは、ベンダーが構造化された一貫した方法で接続製品のサイバーレジリエンスを実証できるよう、英国の新しい保証手法を開発した。これにより、産業界や政府は、一貫した方法でこれらの製品を独自に監査・評価できるようになる。
To deliver this new assurance methodology NCSC is setting up Cyber Resilience Test Facilities (CRTFs) that will deliver assurance for a wide range of internet connected products. The CRTFs delivering this new service will conduct these evaluations against the Principles Based Assurance (PBA) methodology, as part of a wider NCSC transition away from compliance-based assurance schemes. This will enable consumers of technology to have confidence in the cyber resilience of the connected products they purchase whilst at the same time extending the reach of NCSC by harnessing industry to deliver assurance for a much wider range of cyber products than is possible today. この新しい保証方法を提供するため、NCSCは、幅広いインターネット接続製品の保証を提供するサイバーレジリエンス試験施設(CRTFs)を設立する。この新しいサービスを提供するCRTFは、コンプライアンスに基づく保証スキームから脱却するNCSCの幅広い移行の一環として、原則に基づく保証(PBA)手法に照らして評価を実施する。これにより、技術消費者は購入するコネクテッド製品のサイバーレジリエンスに自信を持つことができるようになると同時に、産業界を活用することでNCSCの活動範囲を拡大し、現在よりもはるかに広範なサイバー製品に保証を提供できるようになる。
The initial service offering assesses products against the Cyber Resilience Testing (CRT) Assurance Principles and Claims (APC) standard. This standard has been aligned with Software Security Code of Practice. 初期のサービスでは、サイバー・レジリエンス・テスト(CRT)のアセスメント原則と主張(APC)標準に照らして製品を評価する。この標準は、ソフトウェア・セキュリティ規範(Software Security Code of Practice)と整合している。
The service will be delivered through a national ecosystem of CRTFs that have been assured by the NCSC to conduct this third-party evaluation. このサービスは、このサードパーティ評価を実施することがNCSCによって保証されたCRTFの国内エコシステムを通じて提供される。
Focus on risk, not compliance コンプライアンスではなくリスクに焦点を当てる
The NCSC’s new approach to Technology Assurance is Principles Based Assurance (PBA) - an approach that puts the focus on risk outcomes. NCSCの技術保証に対する新しいアプローチは、原則に基づく保証あり、リスクの結果に重点を置くアプローチである。
Cyber Resilience Testing is the application of PBA to gain confidence in a product’s cyber resilience against attacks from its public interfaces – usually the internet. サイバーレジリエンス試験は、PBAを応用して、製品のパブリックインターフェース(通常はインターネット)からの攻撃に対する製品のサイバーレジリエンスに対する信頼性を得るものである。
To enable evidence and assessment against principles, the NCSC has created a set of artefacts called Assurance Principles & Claims (APCs). CRTFs can be employed by technology vendors to independently verify the resilience of a product against these APCs to enable the vendor to demonstrate the cyber resilience of their products in a structured, accessible and consistent way. 原則に対する証拠と評価を可能にするために、NCSC はアセスメント原則とクレーム(APC)と呼ばれる一連の成果物を作成した。CRTF は、技術ベンダーが製品のレジリエンスをこれらの APC に照らして独自に検証するために利用することができ、ベンダーは構造化され、利用しやすく、一貫性のある方法で製品のサイバーレジリエンスを実証することができる。
CRTF Vision Statement CRTFビジョンステートメント
A national ecosystem of assured test facilities to provide buyers with confidence in the cyber resilience of the connected products they purchase. 購入するコネクテッド製品のサイバーレジリエンスに対する信頼性をプロバイダに提供するために、保証されたテスト施設の国家エコシステムを構築する。
In addition to identifying risks and the implications to vendors and customers - allowing better risk management decisions to be taken by organisations and businesses - CRTFs will: リスクとベンダーや顧客への影響を識別することに加え、CRTFは、組織や企業がより良いリスクマネジメントを決定できるようにする:
・Boost confidence in the technology supply chain through enabling better decision-making. ・より良い意思決定を可能にすることで、技術サプライチェーンに対する信頼を高める。
・Enhance the wider UK resilience to cyber threats through the development of deeper understanding of risks. ・リスクをより深く理解することにより、サイバー脅威に対する英国のレジリエンスを強化する。
・Promote best practice amongst technology vendors by encouraging further engagement and understanding of cyber risk across the market. ・市場全体におけるサイバーリスクへのさらなる関与と理解を促すことにより、技術ベンダー間のベストプラクティスを促進する。
Information for CRTFs CRTFのための情報
CRTFs deliver cyber resilience testing for a wide range of internet connected products. Not only will this raise the bar for cyber resilient product development, it will also widen the range of cyber products that can be assured, while ensuring that this is performed consistently and uniformly. CRTFは、インターネットに接続された様々な製品のサイバーレジリエンス試験を実施する。これにより、サイバーレジリエンス製品開発の水準が高まるだけでなく、保証できるサイバー製品の幅が広がる。
CRTFs will ensure that modern cyber security assurance approaches, particularly Principles Based Assurance (PBA), can be used to better help security risk decision makers. CRTFは、最新のサイバーセキュリティ保証アプローチ、特に原則に基づく保証(Principles Based Assurance:PBA)を、セキュリティリスクの意思決定者をよりよく支援するために利用できるようにする。
To enable evidence and assessment against principles in a consistent way, the NCSC has created a set of artefacts called Assurance Principles & Claims (APCs). CRTFs will use the appropriate APC set to define the relevant security outcomes
.
一貫した方法で原則に照らした証拠と評価を可能にするため、NCSC はアセスメント原則とクレーム(APC)と呼ばれる一連の成果物を作成した。CRTFは、適切なAPCセットを使用して、関連するセキュリティ成果を定義する。
What will CRTFs do? CRTFは何をするのか?
The NCSC expects its Cyber Resilience Test Facilities to be able to: NCSC は、サイバーレジリエンス試験施設に以下を期待する:
・Evaluate vendor-supplied evidence to demonstrate where the product meets the claims set out in the APCs. ・ベンダーが提供したエビデンスを評価し、製品が APC に規定された主張を満たしていることを実証する。
・Identify gaps in evidence and describe the associated risk, to provide vendors and end customers with an appropriate level of information to satisfy their risk appetite. ・ベンダーとエンドカスタマーのリスク選好度を満たす適切なレベルの情報を提供するために、エビデンスにおけるギャップを特定し、関連するリスクを説明する。
・Effectively communicate this to vendors, using the standardised output report format. ・標準化された報告書フォーマットを用いて、ベンダーに効果的に伝える。
Requirements for CRTFs CRTFの要件
To become a Cyber Resilience Testing Facility (CRTF), it is necessary that your organisation is able to demonstrate the following criteria to NCSC: サイバーレジリエンス試験施設(CRTF)になるためには、組織が以下の規準をNCSCに証明できることが必要である:
・Completion of training and assessment in the application of Principles Based Assurance (PBA). ・原則に基づくアセスメント(PBA)の適用に関する研修と評価を完了すること。
・Conduct a Trial Evaluation in order to provide the evidence necessary for UKAS ISO/IEC 17020 accreditation and to demonstrate the ability to conduct a full CRT assessment including the production of the required output reports ・UKAS ISO/IEC 17020認定に必要な証拠を提供し、要求される出力報告書の作成を含む完全なCRTアセスメントを実施する能力を実証するために、トライアル評価を実施すること
・Sign a contract with NCSC, agreeing to carry out Cyber Resilience Testing (CRT) in line with expectations and ongoing continual improvement of processes. ・NCSCと契約を締結し、期待に沿ったサイバーレジリエンス・テスト(CRT)を実施し、継続的にプロセスを改善することに同意すること。
Application process 申請プロセス
If you wish to apply or for more information contact our CRTF team: [mail] 申請を希望する場合、または詳細については、CRTFチームまで連絡すること:[mail]
At the NCSC, we are taking action to remove artificial barriers to entry. So, if you spot something which you think unfairly prevents you from applying, please let us know using our feedback form (opens to Microsoft Forms). NCSCでは、人為的な参入障壁を取り除くための措置を講じている。そのため、応募を不当に妨げていると思われる点を発見された場合は、フィードバック・フォーム(Microsoft Formsが開きます)を使ってお知らせいただきたい。
Information for technology vendors 技術ベンダー向け情報
Cyber Resilience Test Facilities (CRFT) aim to provide confidence in the technology and products you sell; this confidence can, in turn, be shared to end users and customers. サイバー・レジリエンス・テスト・ファシリティ(CRFT)は、貴社が販売する技術や製品に対する信頼を提供することを目的としている。
To gain this confidence, a CRTF will conduct a thorough assessment of the cyber risks that may impact your product; the outcome will allow you to make decisions on how you might mitigate or tolerate such risks depending on your risk appetite. この信頼を得るために、CRTFは貴社の製品に影響を与える可能性のあるサイバーリスクの徹底的なアセスメントを実施する。その結果、貴社のリスクアセメントに応じて、そのようなリスクをどのように緩和するか、またはどのように許容するかを決定することができる。
How does it work? どのように機能するのか?
All CRTFs have been assured by the NCSC to conduct assessments using Principle Based Assurance (PBA) methodology against the defined Cyber Resilience Testing Assurance Principles and Claims (APC). すべてのCRTFは、定義されたサイバー・レジリエンス・テストの保証原則と主張(APC)に対して、原則に基づく保証(PBA)手法を使ってアセスメントを実施することをNCSCから保証されている。
As a vendor, you will be expected to work alongside a CRTF to provide the evidence required for the evaluation of your product. ベンダーとしては、CRTFと協力して、製品の評価に必要な証拠を提供することが期待される。
Once you have chosen a CRTF to work with, you will be asked to provide evidence, from your documentation or testing you have done, to demonstrate how your technology meets the cyber security claims set out within the APC. Find out more about APCs. 協力するCRTFが決まったら、自社の技術がAPCに規定されたサイバーセキュリティの主張をいかに満たしているかを示す証拠を、自社の文書や実施した試験から提出するよう求められる。APCの詳細
Details of our initial list of Cyber Resilience Test Facilities will be published shortly. サイバーレジリエンス試験施設の初期リストの詳細は、まもなく公表される予定である。
How will this help you? どのように役立つのか?
The main outcome of this process is an output report which is delivered by the CRTF directly to the vendor, in accordance with NCSC guidelines. It will provide information on a products resilience against the principles outlined in the Cyber Resilience Testing APC. このプロセスの主な成果は、NCSCのガイドラインに従ってCRTFがベンダーに直接提供する出力報告書である。これは、サイバーレジリエンス試験APCに概説されている原則に対する製品のレジリエンスに関する情報を提供するものである。
Using the information presented in the output report, you may wish to make changes to your product, or you may decide that any risks highlighted are not relevant to your products value to end users. Ultimately, this puts the management and ownership of this risk into the hands of those who will be best positioned to judge the impacts. 出力レポートに示された情報を使って、製品に変更を加えたい場合もあれば、浮き彫りになったリスクはエンドユーザーにとっての製品の価値には関係ないと判断する場合もある。最終的には、このリスクのマネジメントとオーナーシップを、影響を判断するのに最も適した立場にある人の手に委ねることになる。
Who is this for? 誰のためのものなのか?
The initial operating capability of CRTFs will be focused primarily on products which have a direct requirement for robust cyber security – for example, tech products that need to be secure, rather than those that are specifically cyber security products. CRTFの初期運用能力は、特にサイバーセキュリティ製品ではなく、堅牢なサイバーセキュリティが直接要求される製品(例えば、安全性が要求される技術製品)に主眼を置く。
Further services are under development and will be rolled out to provide a higher level of assurance where cyber security enforcing functionality is paramount to vendors and their customers. さらなるサービスは現在開発中であり、ベンダーとその顧客にとってサイバーセキュリティを実施する機能が最も重要である場合に、より高いレベルの保証を提供するために展開される予定である。
Assurance Principles and Claims documents 保証原則とクレームに関する文書
Assurance Principles and Claims (APC) documents 保証原則とクレーム(APC)文書
Product Cyber Resilience Testing APC opens as pdf (also available from the Downloads section, below) ・プロダクト・サイバー・レジリエンス・テストのAPCはPDFで開く。
An APC document is the key artefact for any assurance service using the NCSC Principles Based Assurance (PBA) method. The APC plays the role of a standard in traditional compliance-based assurance activity, defining the scope of the assurance activity and the information needed for an assessment. APC 文書は、NCSC 原則に基づく保証(PBA)手法を用いた保証サービスにとって重要な成果物である。APCは、従来のコンプライアンスに基づく保証活動における標準の役割を果たし、保証活動の範囲とアセスメントに必要な情報を定義する。
The APC is a collection of Principles and Claims. The principles define the scope of the assurance activity setting out an ideal state that a product can be measured against. To assist with this measurement each principle is deconstructed into a set of claims (using a claims-argument-evidence method) that are designed to be easily evidenced. APCは、原則とクレームの集合体である。原則は、保証活動の範囲を定義するもので、製品を測定する際の理想的な状態を示す。この測定を支援するため、各原則は(主張-論拠-証拠という方法を用いて)一連の主張に分解され、容易に証明できるように設計されている。
How to use APCs to do Assurance アセスメントを実施するための APC の利用方法
APCs are downloadable from the NCSC website and can be used by anyone for self-assessment (or continuous improvement) of the cyber security properties of any product, system or service covered by an APC. APC は NCSC のウェブサイトからダウンロードでき、APC の対象となる製品、システム、サービスのサイバーセキュリティ特性の自己評価(または継続的改善)に誰でも利用できる。
Independent test facilities called Cyber Resilience Test Facilities (CRTFs) are NCSC approved organisations who can carry out independent assessments using these same APCs. A CRTF assessment will follow 3 steps which require the reasoning in the claims trees: サイバーレジリエンス試験施設(Cyber Resilience Test Facilities:CRTF)と呼ばれる独立した試験施設は、NCSCが承認した組織であり、同じAPCを使用して独立したアセスメントを実施することができる。CRTFのアセスメントは、クレームツリーの推論を必要とする3つのステップを踏む:
1. Claims modifications: A conversation to determine whether the published APC is a good fit. If it is not then it is possible for the CRTF to approve modified claims so long as the formal reasoning can be adjusted to still support a link from the modified claim back to the Principle. 1. クレームの修正:公表されたAPCが適合しているかどうかを判断するための会話。そうでない場合、CRTF は、修正されたクレームからプリンシプルへのリンクをサポートするように形式的な理由を調整できる限り、修正されたクレームを承認することが可能である。
2. Evidence gathering: Once claims are agreed with the CRTF evidence is gathered and submitted to the CRTF for analysis. 2. 証拠収集: クレームがCRTFと合意されたら、証拠を収集し、分析のためにCRTFに提出する。
3. Evidence interpretation and outputs: Where evidence clearly supports a claim this is simply reported. Where evidence is deficient (or not offered) then the CRTF can use the reasoning in the claims trees to interpret this deficiency in the context of the underlying Principle. This is then reported as a risk against the Principle. 3. 証拠の解釈とアウトプット: 証拠がクレームを明確に裏付けている場合は、単に報告される。エビデンスが不足している(又は提出されていない)場合、CRTF はクレームツリーの推論を用い て、この不足を基本原則の文脈で解釈することができる。この場合、プリンシプルに対するリスクとして報告される。

 

・2025.04.24 [PDF] Product Cyber Resilience Testing (CRT) Assurance Principles and Claims (APC) v1.0 April 2025

20250510-74754

・[DOCX][PDF] 仮訳

 

テーマと原則...

Theme 1:  Secure design and development 安全な設計と開発
Principle 1.1  Follow an established secure development framework.  確立された安全な開発フレームワークに従う。 
Principle 1.2  Understand the composition of the software and assess risks linked to the ingestion and maintenance of third-party components throughout the development lifecycle.  ソフトウェアの構成を理解し、開発ライフサイクルを通じてサードパーティ製コンポーネントの取り込みと保守に関連するリスクをアセスメントする。 
Principle 1.3  Have a clear process for testing software and software updates before distribution.  配布前にソフトウェアやソフトウェアのアップデートをテストするための明確なプロセスを持つ。 
Principle 1.4  Follow secure by design and secure by default principles throughout the development lifecycle of the software.  ソフトウェアの開発ライフサイクル全体を通じて、セキュア・バイ・デザインとセキュア・バイ・デフォルトの原則に従う。 
Theme 2:  Build environment security 環境セキュリティの構築
Principle 2.1  Protect the build environment against unauthorised access.  ビルド環境を不正アクセスから保護する。 
Principle 2.2  Control and log changes to the build environment.  ビルド環境の変更を管理し、履歴を残す。 
Theme 3:  Secure deployment and maintenance 安全な展開と保守
Principle 3.1  Distribute software securely to customers.  ソフトウェアを顧客に安全に配布する。 
Principle 3.2  Implement and publish an effective vulnerability disclosure process.  効果的な脆弱性開示プロセスを導入し、公表する。 
Principle 3.3  Have processes and documentation in place for proactively detecting, prioritising and managing vulnerabilities in software components.  ソフトウェアコンポーネントの脆弱性を積極的に検知、優先順位付け、管理するためのプロセスと文書を整備する。プロセスと文書を整備する。 
Principle 3.4  Report vulnerabilities to relevant parties where appropriate.  必要に応じて、脆弱性を関係者に報告する。 
Principle 3.5  Provide timely security updates, patches and notifications to customers.  タイムリーなセキュリティアップデート、パッチ、通知を顧客に提供する。 
Theme 4:  Communication with customers 顧客とのコミュニケーション
Principle 4.1  Provide information to the customer specifying the level of support and maintenance provided for the software being sold.  販売するソフトウェアのサポートと保守のレベルを明記した情報を顧客に提供する。 
Principle 4.2  Provides at least 1 year’s notice to customers of when the software will no longer be supported or maintained by the vendor.  ソフトウェアがベンダーによるサポートや保守を受けられなくなる時期について、少なくとも1年前に顧客に通知する。 
Principle 4.3  Make information available to customers about notable incidents that may cause significant impact to customer organisations.  顧客組織に重大な影響を及ぼす可能性のある注目すべきインシデントについて、顧客に情報を提供する。 
Theme 5:  Product specific usage, design and operation 製品固有の使用法、設計、操作
Principle 5.1   Design the product to be usable  使いやすい製品を設計する 
Principle 5.2  Ensure only authorised users have access to product data and functionality  権限のあるユーザーのみが製品データと機能にアクセスできるようにする。 
Principle 5.3  Protect sensitive data and the integrity of the product  機密データと製品の完全性を保護する 
Principle 5.4  Enable the logging and monitoring of security events  セキュリティイベントのロギングと監視を有効にする 

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.25 英国 NCSC 原則に基づく保証(PBA) (2023.04.17)

 

 

| | Comments (0)

2025.05.09

英国 NCSC 2027年までのAIがサイバー脅威に与える影響 AIの脅威が生む「デジタルデバイド」でリスク増大

こんにちは、丸山満彦です。

NCSCが、2027年までのAIがサイバー脅威に与える影響について、、、、

AIの脅威が生む「デジタルデバイド」でリスク増大すると警鐘していますね...つまり、攻撃者はAIを活用し、より高度で複雑な攻撃を大量に実施できるようになる。一方、それを踏まえた防御能力を備えない組織は、その攻撃に耐えられなくなる...

つまり、AIを活用した脅威を防御できない組織は、より大きなサイバーリスクにさらされる

私もそう思います...

 

攻撃面でいうとAIを活用することにより、例えば、

・より検知されにくいマルウェアをより早く開発できるようになる

・認証を突破するための情報を入手するためのフィッシングが高度になる

・対応が難しいDDoS攻撃がより簡単に実施できるようになる

といったことが、考えつきます...

 

 

NCSC

1_20250121060101

・2025.05.07 UK critical systems at increased risk from 'digital divide' created by AI threats

UK critical systems at increased risk from 'digital divide' created by AI threats 英国の重要システム、AIの脅威が生む「デジタルデバイド」でリスク増大
New report warns that organisations unable to defend AI-enabled threats are exposed to greater cyber risk. 新しい報告書は、AIを活用した脅威を防御できない組織は、より大きなサイバーリスクにさらされると警告している。
・GCHQ’s National Cyber Security Centre warns a ‘digital divide’ between organisations that can keep pace with AI-enabled threats and those that cannot is set to heighten the UK's overall cyber risk. ・GCHQのナショナル・サイバー・セキュリティ・センターは、AIによる脅威に対応できる組織とそうでない組織との間に「デジタル・デバイド」が生じ、英国全体のサイバー・リスクが高まると警告している。
・New report, published day one of CYBERUK conference, says artificial intelligence will almost certainly further reduce time between vulnerabilities being disclosed and being exploited by malicious actors. ・CYBERUK会議の初日に発表された新しい報告書によると、人工知能は脆弱性が公表されてから悪意ある行為者に悪用されるまでの時間をほぼ確実に短縮するという。
・The NCSC urges organisations to follow advice to implement AI tools securely and maintain protective security measures on wider systems. ・NCSCは組織に対し、AIツールを安全に導入し、より広範なシステムで保護的なセキュリティ対策を維持するよう、助言に従うよう促している。
Over the next two years, a growing divide will emerge between organisations that can keep pace with AI-enabled threats and those that fall behind –xposing them to greater risk and intensifying the overall threat to the UK’s digital infrastructure, cyber chiefs have warned today (Wednesday). 今後2年間で、AIを活用した脅威に対応できる組織と対応に遅れをとる組織との間に格差が生じ、組織はより大きなリスクにさらされ、英国のデジタル・インフラに対する全体的な脅威が強まると、サイバー責任者は本日(水曜日)警告した。
A new report, launched by Pat McFadden, the Chancellor of the Duchy of Lancaster at the National Cyber Security Centre’s (NCSC) CYBERUK conference, outlines how artificial intelligence will impact the cyber threat from now to 2027, highlighting how AI will almost certainly continue to make elements of cyber intrusion operations more effective and efficient. ランカスター公国のパット・マクファデン首相が、ナショナル・サイバー・セキュリティ・センター(NCSC)のCYBERUK会議で発表した新しい報告書は、人工知能が現在から2027年までにサイバー脅威にどのような影響を与えるかを概説しており、AIがサイバー侵入作戦の要素をより効果的かつ効率的にすることはほぼ間違いないと強調している。
It warns that, by 2027, AI-enabled tools are set to enhance threat actors’ ability to exploit known vulnerabilities, adding that whilst the time between the disclosure and exploitation has already shrunk to days, AI will almost certainly reduce this further, posing a challenge for network defenders. 同報告書は、2027年までに、AI対応ツールは既知の脆弱性を悪用する脅威アクターの能力を強化することになると警告し、情報公開から悪用までの時間はすでに数日に短縮されているが、AIはこれをさらに短縮することはほぼ確実であり、ネットワーク防御者にとっての課題となると付け加えている。
The report also suggests that the growing incorporation of AI models and systems across the UK’s technology base, particularly within critical national infrastructure and where there are insufficient cyber security controls, will almost certainly present an increased attack surface and opportunities for adversaries. 報告書はまた、英国の技術基盤全体、特に重要な国家インフラ内やサイバーセキュリティ制御が不十分な場所で、AIモデルやシステムの組み込みが進むことで、敵対者にとって攻撃対象や機会が増加することはほぼ確実であると指摘している。
As AI technologies become more embedded in business operations, organisations are being urged to act decisively to strengthen cyber resilience and mitigate against AI-enabled cyber threats. AI技術が事業運営に組み込まれるにつれて、組織はサイバーレジリエンスを強化し、AIを利用したサイバー脅威から緩和するために断固とした行動をとることが求められている。
Paul Chichester, NCSC Director of Operations, said: NCSCのオペレーション・ディレクターであるポール・チチェスターは、次のように述べている:
"We know AI is transforming the cyber threat landscape, expanding attack surfaces, increasing the volume of threats, and accelerating malicious capabilities.  「AIはサイバー脅威の状況を一変させ、攻撃対象領域を拡大し、脅威の量を増やし、悪意のある能力を加速させている。
"While these risks are real, AI also presents a powerful opportunity to enhance the UK’s resilience and drive growth—making it essential for organisations to act.  「こうしたリスクは現実に存在するが、AIは英国のレジリエンスを強化し、成長を促進する強力な機会でもある。
"Organisations should implement strong cyber security practices across AI systems and their dependencies and ensure up-to-date defences are in place." 「組織は、AIシステムとその依存関係に強力なサイバーセキュリティ対策を実施し、最新の防御体制を確保すべきである。
The integration of AI and connected systems into existing networks requires a renewed focus on fundamental security practices. The NCSC has published a range of advice and guidance to help organisations take action, including by using the Cyber Assessment Framework and 10 Steps to Cyber Security. AIやコネクテッド・システムを既存のネットワークに統合するには、基本的なセキュリティ対策に改めて焦点を当てる必要がある。NCSCは、サイバーアセスメント枠組みやサイバーセキュリティのための10ステップの活用など、組織が対策を講じるための様々なアドバイスやガイダンスを発表している。
The report also highlights, in the rush to provide new AI models, developers will almost certainly prioritise the speed of developing systems over providing sufficient cyber security, increasing the threat from capable state-linked actors and cyber criminals. 報告書はまた、新しいAIモデルの提供を急ぐあまり、開発者が十分なサイバーセキュリティを提供するよりもシステム開発のスピードを優先することはほぼ確実であり、国家と連携した有能な脅威アクターやサイバー犯罪者からの脅威を増大させることを強調している。
Earlier this year, the UK government announced the new AI Cyber Security Code of Practice, produced by the NCSC and the Department for Science, Innovation and Technology (DSIT), which will help organisations develop and deploy AI systems securely. 今年初め、英国政府はNCSCと科学技術革新省(DSIT)が作成した新しいAIサイバーセキュリティ実践規範を発表した。
The Code of Practice will form the basis of a new global standard for secure AI through the European Telecommunications Standards Institute (ETSI). この実践規範は、欧州電気通信標準化機構(ETSI)を通じて、安全なAIのための新しい世界標準の基礎となる。
The assessment builds on the NCSC’s previous report, the near-term impact of AI on the cyber threat assessment, published in January 2024 and looks to highlight the most significant impacts on cyber threats to the UK from AI developments over the coming years. このアセスメントは、2024年1月に発表されたNCSCの前回の報告書「サイバー脅威評価におけるAIの短期的影響」に基づくもので、今後数年間のAIの発展による英国へのサイバー脅威への最も重要な影響を明らかにするものである。
View The Impact of AI on Cyber Threat - From Now to 2027 assessment AIのサイバー脅威への影響-これから2027年までのアセスメントを見る

 

 

・2025.05.07 Impact of AI on cyber threat from now to 2027

Impact of AI on cyber threat from now to 2027 現在から2027年までのAIがサイバー脅威に与える影響
An NCSC assessment highlighting the impacts on cyber threat from AI developments between now and 2027. NCSCのアセスメントは、現在から2027年までのAIの発展によるサイバー脅威への影響を強調している。
NCSC assessment NCSCアセスメント
NCSC Assessment (NCSC-A) is the authoritative voice on the cyber threat to the UK. We combine source information – classified intelligence, industry knowledge, academic material and open source – to provide independent key judgements that inform policy decision making and improve UK cyber security. We work closely with government, industry and international partners for expert input into our assessments. NCSCアセスメント(NCSC-A)は、英国にとってのサイバー脅威に関する権威ある見解である。機密情報、業界知識、学術材料、オープンソースなどのソース情報を組み合わせて、政策決定に情報を提供し、英国のサイバーセキュリティを改善する独立した重要な判断を提供している。政府、産業界、国際的なパートナーと緊密に協力し、専門家の意見をアセスメントに反映させている。
NCSC-A is part of the Professional Heads of Intelligence Assessment (PHIA). PHIA leads the development of the profession through analytical tradecraft, professional standards, and building and sustaining a cross-government community. NCSC-Aはプロフェッショナル・ヘッズ・オブ・インテリジェンス・アセスメント(PHIA)の一部である。PHIAは、分析技術、専門標準、政府横断的コミュニティの構築と維持を通じて、専門家の育成を主導している。
This report uses formal probabilistic language (see yardstick) from NCSC-A product to inform readers about the near-term impact on the cyber threat from AI. To find out more about NCSC-A, please contact the NCSC directly. 本レポートは、AIによるサイバー脅威への短期的影響について読者に伝えるために、NCSC-A製品から正式な確率論的言語(ヤードスティックを参照)を使用している。NCSC-Aの詳細については、NCSCに直接お問い合わせいただきたい。
How likely is a 'realistic possibility'? 現実的な可能性」とはどの程度のものなのか?
Professional Head of Intelligence Assessment (PHIA) probability yardstick プロフェッショナル・ヘッド・オブ・インテリジェンス・アセスメント(PHIA)の確率基準
NCSC Assessment uses the PHIA probability yardstick every time we make an assessment, judgement, or prediction. The terms used correspond to the likelihood ranges below: NCSCアセスメントは、評価、判断、予測を行うたびにPHIA確率基準を使用している。使用する用語は以下の可能性の範囲に対応している:
1_20250509054101
Key judgements 主要な判断
・Artificial intelligence (AI) will almost certainly continue to make elements of cyber intrusion operations more effective and efficient, leading to an increase in frequency and intensity of cyber threats. ・人工知能(AI)は、サイバー脅威の頻度と強度の増加につながり、サイバー侵入作戦の要素をより効果的かつ効率的にし続けることはほぼ確実である。
・There will almost certainly be a digital divide between systems keeping pace with AI-enabled threats and a large proportion that are more vulnerable, making cyber security at scale increasingly important to 2027 and beyond. ・AIを活用した脅威と歩調を合わせているシステムと、より脆弱なシステムとの間にデジタルデバイドが生じることはほぼ確実であり、2027年以降、規模に応じたサイバーセキュリティの重要性が高まる。
・Assuming a lag, or no change to cyber security mitigations, there is a realistic possibility of critical systems becoming more vulnerable to advanced threat actors by 2027. Keeping pace with 'frontier AI' capabilities will almost certainly be critical to cyber resilience for the decade to come. ・サイバーセキュリティ緩和策に遅れがある、あるいは変化がないと仮定すると、2027年までに重要なシステムが高度な脅威アクターに対してより脆弱になる現実的な可能性がある。フロンティアAI」の能力と歩調を合わせることが、今後10年間のサイバーレジリエンスにとって重要であることはほぼ間違いない。
・Proliferation of AI-enabled cyber tools will highly likely expand access to AI-enabled intrusion capability to an expanded range of state and non-state actors. ・AI対応サイバー・ツールの普及により、AIを活用した侵入能力へのアクセスが、国家および非国家主体に拡大する可能性が高い。
・The growing incorporation of AI models and systems across the UK’s technology base, and particularly within critical national infrastructure (CNI), almost certainly presents an increased attack surface for adversaries to exploit. ・英国の技術基盤全体、特に重要な国家インフラ(CNI)内でAIモデルやシステムの導入が進むことで、敵対者が悪用する攻撃対象が拡大することはほぼ間違いない。
・Insufficient cyber security will almost certainly increase opportunity for capable state-linked actors and cyber criminals to misuse AI to support offensive activities. ・サイバーセキュリティが不十分であれば、国家とつながりのある有能な行為者やサイバー犯罪者が、攻撃活動を支援するためにAIを悪用する機会が増えることはほぼ確実である。
Context 背景
This report builds on NCSC Assessment of near-term impact of AI on cyber threat published in January 2024. It highlights the assessment of the most significant impacts on cyber threat from AI developments between now and 2027. It focuses on the use of AI in cyber intrusion. It does not cover wider threat enabled by AI, such as influence operations. AI and its application to cyber operations is changing fast. Technical surprise is likely. 本レポートは、2024年1月に発表された「AIがサイバー脅威に与える短期的影響に関するNCSCアセスメント」に基づいている。現在から2027年までの間にAIの発展がサイバー脅威に及ぼす最も重要な影響についてのアセスメントに焦点を当てている。サイバー侵入におけるAIの利用に焦点を当てている。影響力の行使など、AIが可能にする広範な脅威はカバーしていない。AIとそのサイバー作戦への応用は急速に変化している。技術的なサプライズが起こる可能性がある。
Note
AI offers great potential for efficiency and creativity. However, organisations are strongly encouraged to follow the NCSC's guidance on deploying AI tools securely, and to protect themselves from cyber threats. Please refer to the following douments: AIは効率性と創造性に大きな可能性を提供する。しかし、組織はAIツールを安全に展開し、サイバー脅威から身を守るために、NCSCのガイダンスに従うことが強く推奨される。以下の資料を参照されたい:
AI and cyber security: what you need to know AIとサイバーセキュリティ:知っておくべきこと
Guidelines for secure AI system development 安全なAIシステム開発のためのガイドライン
Assessment アセスメント
AI will almost certainly continue to make elements of cyber intrusion operations more effective and efficient, leading to an increase in frequency and intensity of cyber threats. AIは、サイバー脅威の頻度と強度の増加につながり、サイバー侵入作戦の要素をより効果的かつ効率的にし続けることはほぼ確実である。
Cyber threat actors are almost certainly already using AI to enhance existing tactics, techniques and procedures (TTPs) in victim reconnaissance, vulnerability research and exploit development, access to systems through social engineering, basic malware generation and processing exfiltrated data. To 2027, this will highly likely increase the volume and impact of cyber intrusions through evolution and enhancement of existing TTPs, rather than creating novel threat vectors. サイバー脅威アクターは、被害者偵察、脆弱性調査とエクスプロイト開発、ソーシャル・エンジニアリングによるシステムへのアクセス、基本的なマルウェア生成、流出データの処理において、既存の戦術、技術、手順(TTP)を強化するためにAIを利用していることはほぼ確実である。2027年まで、このことは、新たな脅威のベクトルを生み出すのではなく、既存のTTPの進化と強化を通じて、サイバー侵入の量と影響を増大させる可能性が高い。
In the near-term, only highly capable state actors with access to requisite investment, quality training data and expertise will be able to harness the full potential of AI in advanced cyber operations. The majority of other cyber threat groups are almost certain to focus on the use, or repurposing of commercially available and open-source AI models to uplift their capability. The release of capable open-source models likely lowers the barrier to the building of similar models and narrow AI-enabled tools to enhance capability across both cyber defence and threat. 当面は、必要な投資、質の高い訓練データ、専門知識を利用できる、能力の高い国家主体のみが、高度なサイバー作戦においてAIの可能性をフルに活用できるだろう。その他のサイバー脅威グループの大半は、その能力を向上させるために、市販されているAIモデルやオープンソースのAIモデルの利用や再利用に重点を置くことはほぼ確実である。オープンソースの有能なモデルが公開されたことで、サイバー防衛と脅威の両面で能力を向上させるために、同様のモデルや狭い範囲のAI対応ツールを構築することへの障壁が低くなった可能性が高い。
AI cyber capability is likely to make cyber security at scale increasingly important to 2027 and beyond. AIサイバー能力は、2027年以降、規模を拡大したサイバーセキュリティの重要性をますます高める可能性が高い。
The most significant AI cyber development will highly likely come from AI-assisted vulnerability research and exploit development (VRED) that enables access to systems through the discovery and exploitation of flaws in the underlying code or configuration. 最も重要なAIサイバー開発は、基礎となるコードまたは構成の欠陥の発見と悪用を通じてシステムへのアクセスを可能にするAI支援脆弱性調査と悪用開発(VRED)からもたらされる可能性が高い。
By 2027, AI-enabled tools will almost certainly enhance threat actors’ capability to exploit known vulnerabilities, increasing the volume of attacks against systems that have not been updated with security fixes. System owners already face a race in identifying and mitigating disclosed vulnerabilities before threat actors can exploit them. The time between disclosure and exploitation has shrunk to days and AI will almost certainly reduce this further. This will highly likely contribute to an increased threat to CNI or CNI supply chains, particularly any operational technology with lower levels of security. 2027年までに、AI対応ツールは、既知の脆弱性を悪用する脅威アクターの能力をほぼ確実に強化し、セキュリティ修正プログラムが更新されていないシステムに対する攻撃の量を増加させるだろう。システム所有者はすでに、脅威アクターに悪用される前に、公表された脆弱性を特定し緩和する競争に直面している。情報開示から悪用までの時間は数日にまで短縮されており、AIがこれをさらに短縮することはほぼ間違いない。このことは、CNIやCNIサプライチェーン、特にセキュリティレベルの低い運用技術に対する脅威を増大させる可能性が高い。
However, AI will also aid system owners and software developers in securing systems. As there is a remote chance of universal access to AI for cyber security defence by 2027, there will almost certainly be a digital divide between systems keeping pace with AI-enabled threat, and a large proportion that are more vulnerable. しかし、AIは、システム所有者やソフトウェア開発者がシステムを安全に保護するための助けにもなる。2027年までにサイバーセキュリティ防衛のためにAIが普遍的に利用される可能性はほとんどないため、AIを利用した脅威と歩調を合わせているシステムと、より脆弱性の高いシステムの間には、ほぼ間違いなくデジタルデバイドが存在することになる。
Keeping pace with frontier AI cyber developments will almost certainly be critical to cyber resilience for the decade to come. フロンティアAIのサイバー開発に歩調を合わせることが、今後10年間のサイバーレジリエンスにとって極めて重要になることはほぼ間違いない。
For skilled cyber actors with the ability to fine-tune AI models or build sovereign AI systems dedicated to vulnerability exploitation, AI will highly likely enhance zero-day discovery and exploitation techniques to 2027. Zero-days are unpatched, and likely unknown, vulnerabilities in systems that threat actors can exploit in the knowledge their targets will likely be vulnerable. Assuming a lag, or no change to cyber security mitigations, there is a realistic possibility of critical systems becoming more vulnerable to advanced threat actors by 2027. AIモデルを微調整したり、脆弱性の悪用に特化した主権AIシステムを構築したりする能力を持つ熟練したサイバーアクターにとって、AIは2027年までゼロデイを発見し悪用する技術を強化する可能性が高い。ゼロデイとはパッチが適用されていない、おそらく未知のシステムの脆弱性のことで、脅威アクターはターゲットが脆弱である可能性が高いことを認識した上で、これを悪用することができる。サイバーセキュリティ緩和策に遅れがある、または変更がないと仮定すると、2027年までに重要システムが高度な脅威アクターに対してより脆弱になる現実的な可能性がある。
By 2027, skilled cyber actors will highly likely be using AI-enabled automation to aid evasion and scalability. 2027年までに、熟練したサイバー・アクターは、回避と拡張性を支援するためにAI対応の自動化を利用する可能性が高い。
The development of fully automated, end-to-end advanced cyber attacks is unlikely to 2027. Skilled cyber actors will need to remain in the loop. But skilled cyber actors will almost certainly continue to experiment with automation of elements of the attack chain such as identification and exploitation of vulnerabilities, rapid changes to malware and supporting infrastructure to evade detection. This human-machine teaming will highly likely make the identification, tracking and mitigation of threat activity more challenging without the development of effective AI assistance for defence. 完全に自動化されたエンド・ツー・エンドの高度なサイバー攻撃が開発される可能性は2027年まで低い。熟練したサイバー行為者は、その輪の中にとどまる必要がある。しかし、熟練したサイバー・アクターは、脆弱性の特定と悪用、マルウェアの迅速な変更、検知を回避するためのインフラ支援など、攻撃チェーンの要素の自動化をほぼ確実に試行し続けるだろう。このような人間と機械の連携は、防衛のための効果的なAI支援が開発されない限り、脅威活動の特定、追跡、緩和をより困難なものにする可能性が高い。
Proliferation of AI-enabled cyber tools will highly likely increase access to AI-enabled intrusion capability to an expanded range of state and non-state actors. AI対応サイバー・ツールの普及により、国家および非国家主体によるAI対応侵入能力へのアクセスが拡大する可能性が高い。
The commercial cyber intrusion sector will almost certainly incorporate AI into products on offer. It is highly likely criminal use of AI will increase by 2027 as AI becomes more widely adopted in society. Skilled cyber criminals will highly likely focus on getting around safeguards on available AI models and AI-enabled commercial penetration testing tools to make AI-enabled cyber tools available 'as a service'. This will uplift (from a low base) novice cyber criminals, hackers for hire and hacktivists in conducting opportunistic information gathering and disruptive operations. 商業的なサイバー侵入の分野では、提供される製品にAIが組み込まれることはほぼ確実である。AIが社会に広く普及するにつれて、2027年までにAIの犯罪利用が増加する可能性が高い。熟練したサイバー犯罪者は、利用可能なAIモデルのセーフガードを回避することや、AI対応の商用侵入テストツールに焦点を当て、AI対応のサイバーツールを「サービスとして」利用できるようにする可能性が高い。これによって、初心者のサイバー犯罪者、雇われハッカー、ハクティビストは、日和見主義的な情報収集や破壊活動を行うことができるようになる。
The growing incorporation of AI models and systems across the UK’s technology base, and particularly within CNI, almost certainly presents an increased attack surface for adversaries to exploit. 英国の技術基盤全体、特にCNIにおいて、AIモデルやシステムの導入が進んでいることは、敵対者にとって攻撃対象の拡大を意味する。
AI systems include data, methods for teaching and evaluating AI, and the necessary technology to use them. AI technology is increasingly connected to company systems, data, and operational technology for tasks. Threat actors will almost certainly exploit this additional threat vector. Techniques such as direct prompt injection, software vulnerabilities, indirect prompt injection and supply chain attack are already capable of enabling exploitation of AI systems to facilitate access to wider systems. AIシステムには、データ、AIを教育・評価する方法、それらを使用するために必要な技術が含まれる。AI技術は、企業のシステム、データ、業務技術にますます接続されるようになっている。脅威アクターはほぼ間違いなく、この新たな脅威ベクトルを悪用するだろう。直接的プロンプト・インジェクション、ソフトウェアの脆弱性、間接的プロンプト・インジェクション、サプライチェーン攻撃などの手法は、より広範なシステムへのアクセスを容易にするためにAIシステムを悪用することを可能にすることがすでに可能である。
Insufficient cyber security will almost certainly increase opportunity for capable state-linked actors and cyber criminals to misuse AI systems for cyber threat. サイバーセキュリティが不十分であれば、国家と結びついた有能な脅威アクターやサイバー犯罪者がAIシステムをサイバー脅威のために悪用する機会が増えることはほぼ間違いない。
In the rush to provide a market-leading AI model (or applications that are more advanced than competitors) there is a risk that developers will prioritise an accelerated release schedule over security considerations, increasing the cyber threat from compromised or insecure systems. 市場をリードするAIモデル(または競合他社よりも先進的なアプリケーション)のプロバイダを急ぐあまり、開発者がセキュリティへの配慮よりもリリーススケジュールの前倒しを優先し、侵害されたシステムや安全でないシステムによるサイバー脅威が増大するリスクがある。
The threat will also be enabled by insecure data handling processes and configuration, which includes この脅威は、安全でないデータ処理プロセスや設定によってももたらされる。これには、
・transmitting data with weak encryption making it vulnerable to interception and manipulation ・データを脆弱な暗号化で送信し、傍受や操作に対して脆弱にすることが含まれる。
・poor identity management and storage increasing the risk of credential theft, particularly those with privileged access or reused across multiple systems ・IDマネジメントや保管が不十分で、クレデンシャル盗難のリスクが高まる。特に、特権的なアクセス権を持つクレデンシャルや、複数のシステムで再利用されるクレデンシャル。
collecting extensive user data, increasing the risk of de-anonymising users and enabling targeted attack ・膨大なユーザーデータを収集し、ユーザーの匿名化を解除し、標的型攻撃を可能にするリスクを高める。
Fundamental cyber security practices in the integration and configuration of AI and connected systems will be key to mitigating threats. Organisations that use AI systems will almost certainly need to maintain up-to-date cyber security measures on their AI systems and their dependencies.
AIと接続されたシステムの統合と構成における基本的なサイバーセキュリティの実践が、脅威緩和の鍵となる。AIシステムを使用する組織は、AIシステムとその依存関係について、ほぼ間違いなく最新のサイバーセキュリティ対策を維持する必要がある。
Implications 意味
AI will almost certainly pose cyber resilience challenges to 2027 and beyond, across critical systems and economy and society. These will range from responding to an increased volume of attacks, managing an expanded attack surface and keeping pace with unpredictable advancements and proliferation of AI-cyber capability. AIは、2027年以降、重要なシステムや経済社会全体にサイバーレジリエンスの課題をもたらすことはほぼ確実である。これらは、増加する攻撃量への対応、拡大する攻撃対象の管理、AIサイバー能力の予測不能な進歩と拡散への対応など、多岐にわたるだろう。

Glossaary 用語解説
Artificial intelligence (AI) 人工知能(AI)
Artificial intelligence encompasses systems able to perform tasks that would normally require human intelligence. It includes machine learning  (a type of AI by which computers find patterns in data or solve problems automatically without having to be explicitly programmed) and generative AI (AI tools that can produce different types of content, including text, images and video). 人工知能は、通常は人間の知性を必要とするタスクを実行できるシステムを包含する。機械学習(コンピュータが明示的にプログラムすることなく、データのパターンを見つけたり、自動的に問題を解決したりするAIの一種)や生成的AI(テキスト、画像、ビデオなど、さまざまな種類のコンテンツを生成できるAIツール)も含まれる。
Frontier AI フロンティアAI。
Frontier AI refers to AI systems that can provide a wide variety of tasks that match or exceed the capabilities present in today’s most advanced systems. フロンティアAIとは、今日の最先端システムに存在する能力と同等か、それ以上の多様なタスクを提供できるAIシステムを指す。
AI system AIシステム
An AI system comprises the host infrastructure, management systems, access control systems and programming interface and can comprise multiple AI designs and models. AIシステムは、ホスト・インフラ、管理システム、アクセス管理システム、プログラミング・インターフェースで構成され、複数のAI設計とモデルで構成される。
AI design AI設計
AI design refers to the mathematical and algorithmic processes and constraints that are used to convert inputs into outputs. These can vary widely from narrow linear functions to execute single tasks to interconnected functionality to execute complex, decision-orientated tasks. AI設計とは、入力を出力に変換するために使用される数学的およびアルゴリズム的プロセスと制約を指す。これらは、単一のタスクを実行するための狭い線形機能から、複雑な意思決定指向のタスクを実行するための相互接続された機能まで、幅広く変化する可能性がある。
Vulnerability 脆弱性
A vulnerability is a weakness, or flaw in a system or process in a computer system or process. An attacker may seek to exploit a vulnerability to gain access to a system. The code developed to do this is known as an exploit. A zero-day exploit exploits a vulnerability where there are no security fixes available. A zero-day becomes a 'known' (or n-day vulnerability) once a security fix has been issued by the vendor. Exploitation of known vulnerabilities rely on finding systems that have not been updated. 脆弱性とは、コンピュータ・システムやプロセスにおける弱点、または欠陥のことである。攻撃者は脆弱性を悪用してシステムにアクセスしようとすることがある。そのために開発されたコードがエクスプロイトと呼ばれる。ゼロデイ攻撃は、利用可能なセキュリティ修正がない脆弱性を悪用する。ゼロデイ脆弱性は、ベンダ ーからセキュリティ修正プログラムが発行されると、「既知の」(あるいはn-day脆弱性)脆弱性となる。既知の脆弱性の悪用は、アップデートされていないシステムを見つけることに依存する。

 

まるちゃんの情報セキュリティ気まぐれ日記

このレポートの元になった報告書を紹介している私のブログはこちら...

・2024.02.06 英国 NCSC AIによるサイバー脅威への短期的影響 - ランサムウェアの脅威はAIによって増加すると警告 (2024.01.24)

・2025.02.02 英国 科学・イノベーション・技術省 AIサイバーセキュリティ実践規範 (2025.01.31)

 

AIのセキュリティリスク

・2024.06.27 英国 国家サイバーセキュリティセンター 人工知能 (AI) のサイバーセキュリティに関する研究 (2024.05.15)

 

 

AIについてのセキュリティリスクの全体感は、私が2020年にサイバー犯罪に関する白浜シンポジウムで説明した資料がわかりやすいとおもいます...

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

 

| | Comments (0)

2025.05.08

英国 NCSC 英国政府はパスキーに移行

こんにちは、丸山満彦です。

NCSCが英国政府は今年の後半にデジタルサービス全体にパスキーを導入する予定であると発表していますね...また、NCSCがFIDOアライアンス[wikipedia]に参加するようです...

セキュリティの強化とともにコスト削減も考えていますね...

 

NCSC

1_20250121060101

・2025.05.07 UK pioneering global move away from passwords

UK pioneering global move away from passwords 英国、パスワードからの脱却を世界先駆けて推進
Government to roll out passkey technology across digital services as an alternative to SMS-based verification. 政府は、SMS ベースの認証に代わるものとして、デジタルサービス全体にパスキー技術を導入する。
・Government set to roll out passkey technology across digital services later this year. ・政府は、今年後半にデジタルサービス全体にパスキー技術を導入する予定。
・SMS-based verification to be replaced by more secure, cost-effective solution. ・SMS ベースの認証は、より安全でコスト効率の高いソリューションに置き換えられる。
・NCSC joins FIDO Alliance to shape international passkey standards. ・NCSC は、国際的なパスキーの標準策定のために FIDO アライアンスに参加。
The UK government is set to roll out passkey technology for its digital services later this year as an alternative to the current SMS-based verification system, offering a more secure and cost-effective solution that could save several million pounds annually. 英国政府は、現在の SMS ベースの検証システムの代替手段として、今年後半にデジタルサービスにパスキー技術を導入する予定だ。これにより、より安全でコスト効率の高いソリューションが実現し、年間数百万ポンドのコスト削減が見込まれる。
Announced on the first day of the government’s flagship cyber security event, CYBERUK, the move to implement passkey technology for the government’s GOV.UK services marks a major step forward in strengthening the nation’s digital security. 政府のサイバーセキュリティに関する主要イベント「CYBERUK」の初日に発表された、政府の GOV.UK サービスにパスキー技術を導入する動きは、英国のデジタルセキュリティ強化における大きな前進となる。
Passkeys are unique digital keys that are today tied to specific devices, such as a phone or a laptop, that help users log in safely without needing an additional text message or other code. When a user logs in to a website or app, their device uses this digital key to prove the user’s identity without needing to send a code to a secondary device or to receive user input. パスキーは、スマートフォンやノートパソコンなどの特定のデバイスに紐付けられた一意のデジタルキーで、ユーザーが追加のテキストメッセージやコードを入力せずに安全にログインできるようにする。ユーザーがウェブサイトやアプリにログインする際、デバイスはこのデジタルキーを使用してユーザーの身分を証明し、二次デバイスにコードを送信したり、ユーザー入力を受け取ったりする必要がない。
This method is more secure because the key remains stored on the device and cannot be easily intercepted or stolen, making them phishing-resistant by design. As a result, even if someone attempts to steal a password or intercept a code, they would be unable to gain access without the physical device that contains the passkey. この方法は、鍵がデバイスに保存されたままになるため、容易に傍受や盗難のリスクがなく、設計上フィッシング攻撃に耐性がある。その結果、パスワードを盗んだりコードを傍受したりしても、パスキーを含む物理的なデバイスがなければアクセスできない。
The NCSC considers passkey adoption as vital for transforming cyber resilience at a national scale, and the UK is already leading internationally with the NHS becoming one of the first government organisations in the world to offer passkeys to users. NCSC は、パスキーの採用は国家規模のサイバーレジリエンスの変革に不可欠であると考えており、英国はすでに国際的に先駆的な取り組みを進めており、NHS はパスキーをユーザーに提供する世界初の政府機関のひとつとなっている。
In addition to enhanced security and cost savings, passkeys offer users a faster login experience, saving approximately one minute per login when compared to entering a username, password, and SMS code. セキュリティの強化とコスト削減に加え、パスキーはユーザーにログインの高速化をもたらし、ユーザー名、パスワード、SMS コードを入力する場合に比べ、1 回のログインあたり約 1 分の時間を節約できる。
AI and Digital Government Minister Feryal Clark said: AI およびデジタル政府担当大臣のフェリアル・クラーク氏は、次のように述べている。
“The rollout of passkeys across GOV.UK services marks another major step forward in strengthening the UK’s digital defences while improving the user experience for millions. 「GOV.UK サービス全体にパスキーを導入することは、英国のデジタル防御を強化すると同時に、何百万人ものユーザーのユーザーエクスペリエンスを向上させる、もう一つの大きな前進だ。
“Replacing older methods like SMS verification with modern, secure passkeys will make it quicker and easier for people to access essential services — without needing to remember complex passwords or wait for text messages. SMS による検証などの旧式の方法を、現代的で安全なパスキーに置き換えることで、複雑なパスワードを覚えたり、テキストメッセージを待ったりすることなく、人々はより迅速かつ簡単に重要なサービスにアクセスできるようになる。
“This shift will not only save users valuable time when interacting with government online, but it will reduce fraud and phishing risks that damage our economic growth.” この移行により、ユーザーはオンラインで政府とやり取りする際に貴重な時間を節約できるだけでなく、経済成長を損なう詐欺やフィッシングのリスクも軽減される」。
NCSC Chief Technical Officer Ollie Whitehouse said: NCSC の最高技術責任者、オリー・ホワイトハウス氏は次のように述べている。
“The NCSC has a stated objective for the UK to move beyond passwords in favour of passkeys, as they are secure against common cyber threats such as phishing and credential stuffing.  「NCSC は、フィッシングやクレデンシャルスタッフィングなどの一般的なサイバー脅威に対して安全であるパスキーを、パスワードに代わるものとして英国で普及させることを目標としている。
“By adopting passkey technology, government is not only leading by example by strengthening the security of its services but also making it easier and faster for citizens to access them.  パスキー技術を採用することで、政府はサービスのセキュリティを強化するだけでなく、市民がサービスにアクセスしやすくなり、アクセス時間も短縮されるという、模範的な取り組みを先導することになる。
“We strongly advise all organisations to implement passkeys wherever possible to enhance security, provide users with faster, frictionless logins and to save significant costs on SMS authentication.” すべての組織は、セキュリティを強化し、ユーザーに迅速でスムーズなログインを提供し、SMS 認証にかかる大幅なコストを削減するために、可能な限りパスキーを導入することを強く推奨する。
The NCSC has also today announced that it has joined the FIDO Alliance, the global body shaping the future of password-free authentication. This step will allow the UK to play an active role in the evolution of passkey standards. NCSC は本日、パスワード不要の認証の未来を形作るグローバル団体である FIDO アライアンスに参加したことを発表した。この措置により、英国はパスキーの標準化の進化において積極的な役割を果たすことができる。」
Executive Director and CEO of the FIDO Alliance Andrew Shikiar said: FIDO アライアンスのエグゼクティブディレクター兼 CEO であるアンドリュー・シキアル氏は、次のように述べている。
“The UK Government’s adoption of passkeys across its digital services reflects a profound decision that stands to protect UK citizens’ while providing the government with greater security and operational efficiency.  By prioritising modern, phishing-resistant authentication, the UK is setting a strong example for both the public and private sectors in the UK and beyond. 「英国政府がデジタルサービス全体にパスキーを採用したことは、英国国民を保護すると同時に、政府にセキュリティと業務効率の向上をもたらすという、深い決断を反映したものだ。フィッシングに強い最新の認証を優先することで、英国は英国およびその他の国の公共部門と民間部門の両方に強力な手本を示している。
“We’re also very pleased that the NCSC has joined the FIDO Alliance, which allows agencies across the UK government to collaborate with other thought leaders in the Alliance to advance the development and deployment of foundational technologies that will strengthen our collective cyber resilience.”  また、NCSC が FIDO アライアンスに参加したことを大変嬉しく思う。これにより、英国政府の機関は、アライアンスの他のオピニオンリーダーと協力し、私たちのサイバーレジリエンスを強化する基盤技術の開発と展開を推進することができる」と述べた。
As described in a recent blog, the NCSC views passkeys as the future of online authentication, and is working with vendors and organisations to make passkeys widely available as an option for users.  最近のブログでも述べたように、NCSC はパスキーをオンライン認証の未来と捉え、パスキーをユーザーに広く利用可能なオプションとして提供するために、ベンダーや組織と協力している。

 

 


 

上でいわれているブログ記事については、こちら...

まるちゃんの情報セキュリティ気まぐれ日記

・2025.01.21 英国 NCSC ブログ パスキー:完璧ではないが、改善されつつある (2025.01.15)

 

| | Comments (0)

2025.05.07

中国 「AI技術の濫用を是正する」特別措置を3ヶ月間、2段階にわけて実施 (2025.04.30)

こんにちは、丸山満彦です。

生成AIを含むAI技術が社会にもたらす負の側面と中国共産党が考えることの取り締まり強化を3ヶ月間、2段階に分けて実施するようです。

第1段階:AI技術の源流管理を強化し、違法なAIアプリケーションを整理・整備し、AI生成合成技術とコンテンツの識別管理を強化し、ウェブサイトやプラットフォームの検出・偽装防止能力の向上を推進

  1. 違反AI製品の取り締まり強化
  2. 違反AI製品の使い方の伝授、宣伝等の取り締まり強化
  3. トレーニングデータの管理強化
  4. 事業者の安全管理の強化
  5. コンテンツの表示要件違反の取り締まり強化
  6. 重点分野(医療、金融、未成年者など)のセキュリティリスクへの対応強化

第2段階:AI技術を利用して、風説、虚偽の情報、わいせつで下品なコンテンツを制作・発信したり、他人になりすましたり、ネット工作活動に従事したりするなどの顕著な問題に着目し、関連する違法・有害な情報を集中的に整理し、違反アカウント、MCN機関、ウェブサイトプラットフォームを処分・処罰。

  1. AIを利用して風説を流布に対する処分・処罰
  2. AIを利用して虚偽の情報を制作・発信に対する処分・処罰
  3. AIを利用して、わいせつで低俗なコンテンツを作成・発信に対する処分・処罰
  4. AIを利用して他人を偽装し、著作権侵害や違法行為に対する処分・処罰
  5. AIを利用してネット工作活動に対する処分・処罰
  6. AI製品サービスおよびアプリケーションの違反行為に対する処分・処罰
  7. 未成年者の権利侵害に対する処分・処罰

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2025.04.30 中央网信办部署开展“清朗·整治AI技术滥用”专项行动

中央网信办部署开展“清朗·整治AI技术滥用”专项行动 中央ネット情報弁公室、「清朗・AI技術の乱用取り締まり」特別措置の実施を指示
为规范AI服务和应用,促进行业健康有序发展,保障公民合法权益,近日,中央网信办印发通知,在全国范围内部署开展为期3个月的“清朗·整治AI技术滥用”专项行动。 AIサービスおよびアプリケーションの規範化、業界の健全かつ秩序ある発展の促進、および国民の合法的権利の保護を目的として、中央ネット情報弁公室は先日、全国規模で3カ月にわたる「清朗・AI技術の乱用取り締まり」特別措置の実施を指示する通知を発行した。
中央网信办有关负责人表示,本次专项行动分两个阶段开展。第一阶段强化AI技术源头治理,清理整治违规AI应用程序,加强AI生成合成技术和内容标识管理,推动网站平台提升检测鉴伪能力。第二阶段聚焦利用AI技术制作发布谣言、不实信息、色情低俗内容,假冒他人、从事网络水军活动等突出问题,集中清理相关违法不良信息,处置处罚违规账号、MCN机构和网站平台。 中央ネット情報弁公室の担当者は、今回の特別措置は2段階に分けて実施されると述べた。第1段階では、AI技術の源流管理を強化し、違法なAIアプリケーションを整理・整備し、AI生成合成技術とコンテンツの識別管理を強化し、ウェブサイトやプラットフォームの検出・偽装防止能力の向上を推進する。 第2段階では、AI技術を利用して、風説、虚偽の情報、わいせつで下品なコンテンツを制作・発信したり、他人になりすましたり、ネット工作活動に従事したりするなどの顕著な問題に着目し、関連する違法・有害な情報を集中的に整理し、違反アカウント、MCN機関、ウェブサイトプラットフォームを処分・処罰する。
第一阶段重点整治6类突出问题:一是违规AI产品。利用生成式人工智能技术向公众提供内容服务,但未履行大模型备案或登记程序。提供“一键脱衣”等违背法律、伦理的功能。在未经授权同意情况下,克隆、编辑他人声音、人脸等生物特征信息,侵犯他人隐私。二是传授、售卖违规AI产品教程和商品。传授利用违规AI产品伪造换脸视频、换声音频等教程信息。售卖违规“语音合成器”“换脸工具”等商品信息。营销、炒作、推广违规AI产品信息。三是训练语料管理不严。使用侵犯他人知识产权、隐私权等权益的信息。使用网上爬取的虚假、无效、不实内容。使用非法来源数据。未建立训练语料管理机制,未定期排查清理违规语料。四是安全管理措施薄弱。未建立与业务规模相适应的内容审核、意图识别等安全措施。未建立有效的违规账号管理机制。未定期开展安全自评估。社交平台对通过API接口接入的AI自动回复等服务底数不清、把关不严。五是未落实内容标识要求。服务提供者未对深度合成内容添加隐式、显式内容标识,未向使用者提供或提示显式内容标识功能。内容传播平台未开展生成合成内容监测甄别,导致虚假信息误导公众。六是重点领域安全风险。已备案AI产品提供医疗、金融、未成年人等重点领域问答服务的,未针对性设置行业领域安全审核和控制措施,出现“AI开处方”“诱导投资”“AI幻觉”等问题,误导学生、患者,扰乱金融市场秩序。 第1段階では、6つの顕著な問題を取り締まる。1つ目は、違反AI製品だ。生成型AI技術を利用してコンテンツサービスを一般に提供しているが、大規模モデルに関する届出や登録手続きを行っていない。 法律や倫理に反する「ワンクリックで服を脱がせる」などの機能を提供している。他人の音声や顔などの生体情報を、許可なく複製・編集し、プライバシーを侵害している。2つ目は、違反AI製品の教程や商品の販売・伝授。違反AI製品を利用して顔交換動画や音声交換動画を作成する方法を教える教程情報を伝授している。違反「音声合成器」「顔交換ツール」などの商品情報を販売している。 違法なAI製品に関する情報をマーケティング、宣伝、普及している。3つ目は、トレーニング用データ管理の厳格化不足だ。他人の知的財産権、プライバシー権などの権利を侵害する情報を使用している。インターネットから収集した虚偽、無効、不実の内容を使用している。違法な出所のデータを使用している。トレーニング用データ管理メカニズムを構築しておらず、違法なデータを定期的に調査・削除していない。4つ目は、安全管理措置の脆弱さだ。事業規模に見合ったコンテンツの審査、意図の識別などの安全対策が確立されていない。効果的な違法アカウントの管理メカニズムが確立されていない。 定期的なセキュリティ自己評価を実施していない。ソーシャルプラットフォームは、APIインターフェースを介してアクセスするAI自動返信などのサービスの基盤が不明確であり、管理が厳格ではない。5つ目は、コンテンツの表示要件が実施されていないこと。サービス提供者は、深層合成コンテンツに暗示的または明示的なコンテンツ表示を追加しておらず、ユーザーに明示的なコンテンツ表示機能を提供または提示していない。コンテンツ配信プラットフォームは、合成コンテンツの監視・選別を実施していないため、虚偽の情報が一般市民を誤解させる原因となっている。 6つ目は、重点分野のセキュリティリスクだ。医療、金融、未成年者などの重点分野における質問応答サービスを提供するAI製品が登録されているにもかかわらず、業界分野のセキュリティ審査および管理措置が適切に設定されておらず、「AIによる処方箋」や「投資誘導」、「AIの幻覚」などの問題が発生し、学生や患者を誤導し、金融市場の秩序を乱している。
第二阶段重点整治7类突出问题:一是利用AI制作发布谣言。无中生有、凭空捏造涉时事政治、公共政策、社会民生、国际关系、突发事件等各类谣言信息,或擅自妄测、恶意解读重大方针政策。借突发案事件、灾难事故等,编造、捏造原因、进展、细节等。冒充官方新闻发布会或新闻报道,发布谣言信息。利用AI认知偏差生成的内容进行恶意引导。二是利用AI制作发布不实信息。将无关图文、视频拼凑剪辑,生成虚实混杂、半真半假的信息。模糊修改事件发生的时间、地点、人物等要素,翻炒旧闻。制作发布涉财经、教育、司法、医疗卫生等专业领域的夸大、伪科学等不实内容。借助AI算命、AI占卜等误导欺骗网民,传播迷信思想。三是利用AI制作发布色情低俗内容。利用AI脱衣、AI绘图等功能生成合成色情内容或他人不雅图片、视频,衣着暴露、搔首弄姿等软色情、二次元擦边形象,或扮丑风等导向不良内容。制作发布血腥暴力场景,人体扭曲变形、超现实怪物等恐怖诡谲画面。生成合成“小黄文”“荤段子”等性暗示意味明显的小说、帖文、笔记。四是利用AI假冒他人实施侵权违法行为。通过AI换脸、声音克隆等深度伪造技术,假冒专家、企业家、明星等公众人物,欺骗网民,甚至营销牟利。借AI对公众人物或历史人物进行恶搞、抹黑、歪曲、异化。利用AI冒充亲友,从事网络诈骗等违法活动。不当使用AI“复活逝者”,滥用逝者信息。五是利用AI从事网络水军活动。利用AI技术“养号”,模拟真人批量注册、运营社交账号。利用AI内容农场或AI洗稿,批量生成发布低质同质化文案,博取流量。使用AI群控软件、社交机器人批量点赞跟帖评论,刷量控评,制造热点话题上榜。六是AI产品服务和应用程序违规。制作和传播仿冒、套壳AI网站和应用程序。AI应用程序提供违规功能服务,例如创作类工具提供“热搜热榜热点扩写成文”等功能,AI社交、陪聊软件等提供低俗软色情对话服务等。提供违规AI应用程序、生成合成服务或课程的售卖、推广引流等。七是侵害未成年人权益。AI应用程序诱导未成年人沉迷、在未成年人模式下存在影响未成年人身心健康的内容等。 第2段階では、7つの顕著な問題の改善に重点的に取り組む。1つ目は、AIを利用して風説を流布することだ。 時事政治、公共政策、社会民生、国際関係、突発事件などに関する虚偽の情報をでっち上げたり、重大な方針政策を勝手に推測・悪意を持って解釈したりする。突発事件や災害事故などを利用し、原因、進展、詳細などをでっち上げたり捏造したりする。公式の記者会見やニュース報道を装って虚偽の情報を発信する。AIの認知バイアスを利用して生成されたコンテンツで悪意を持って誘導する。 2つ目は、AIを利用して虚偽の情報を制作・発信すること。無関係な画像や動画を切り貼りして編集し、虚実混在の半真実の情報を生成する。事件の発生日時、場所、人物などの要素を曖昧に改変し、過去のニュースを再利用する。金融、教育、司法、医療など専門分野に関する誇張や偽科学的な虚偽の内容を制作・発信する。AI占いやAI占いを利用してネットユーザーを誤導・欺瞞し、迷信思想を拡散する。3つ目は、AIを利用して、わいせつで低俗なコンテンツを作成・発信すること。AIの脱衣機能やAI絵作成機能を利用して、わいせつなコンテンツや他人のわいせつな画像・動画を合成し、露出度の高い服装や挑発的なポーズなどのソフトポルノや二次元キャラクターの境界線を越えた画像、醜悪な風貌のキャラクターなど、不健全なコンテンツを作成・発信する。血生臭い暴力シーンや、人体が歪曲変形した超現実的な怪物など、恐怖や不気味さを誘う画面を作成・発信する。 性的な暗示が明らかな小説、投稿、メモなどの「小黄文」「荤段子」を生成合成する。4つ目は、AIを利用して他人を偽装し、著作権侵害や違法行為を行うこと。AIによる顔交換、音声クローンなどの高度な偽造技術を利用して、専門家、企業家、芸能人などの公人を偽装し、ネットユーザーを欺く行為。AIを利用して公人や歴史的人物を悪ふざけ、中傷、歪曲、変形する行為。 AIを利用して親族や友人を装い、ネット詐欺などの違法行為を行う。AIを不適切に利用して「故人を蘇らせる」行為や、故人の情報を濫用する。5つ目は、AIを利用してネット工作活動である。AI技術で「アカウント育成」を行い、本物の人間を模倣して大量のソーシャルメディアアカウントを登録・運営。AIコンテンツファームやAIリライトツールを利用して、低品質で同質的な文案を大量生成・投稿し、アクセス数を稼ぐ。 AI群制御ソフトウェアやソーシャルロボットを利用して、大量に「いいね!」やコメントを投稿し、アクセス数を水増しして話題を作り出す。6つ目は、AI製品サービスおよびアプリケーションの違反行為。偽造、偽装したAIウェブサイトやアプリケーションを作成、拡散する。AIアプリケーションが違反機能を提供する。例えば、創作ツールが「トレンドワードや人気ランキングの話題を文章に展開」する機能を提供したり、AIソーシャル、チャットアプリが低俗なソフトポルノ会話サービスを提供したりする。 違法なAIアプリケーション、生成合成サービス、またはコースの販売、宣伝、誘導など。7つ目は、未成年者の権利侵害。AIアプリケーションが未成年者を依存に誘導したり、未成年者モードで未成年者の心身健康に悪影響を及ぼすコンテンツを含むなど。
中央网信办有关负责人强调,各地网信部门要充分认识专项行动对于防范AI技术滥用风险,维护网民合法权益的重要意义。切实履行属地管理责任,督导网站平台对照专项行动有关要求,健全AI生成合成内容审核机制,提升技术检测能力,做好整改落实。加强人工智能相关政策的宣传推广和人工智能素养的科普教育,引导各方正确认识和应用人工智能技术,不断凝聚治理共识。 中央ネット情報弁公室の担当者は、各地のネット情報部門は、AI技術の乱用リスクの防止とネットユーザーの合法的な権利の保護における特別措置の重要性を十分に認識すべきだと強調した。管轄区域の管理責任を確実に履行し、ウェブサイトプラットフォームが特別措置の関連要件を遵守するよう監督し、AI生成合成コンテンツの審査メカニズムを整備し、技術検査能力を向上させ、改善措置を確実に実施すること。人工知能関連政策の広報・普及と人工知能リテラシーの科学教育を強化し、各関係者に人工知能技術の正しい理解と活用を促し、ガバナンスに関するコンセンサスを継続的に形成すること。

 

 

1_20210612030101


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.03.16 中国 人工知能生成合成コンテンツ識別弁法 (2025.03.14)

・2024.09.23 中国 「人工知能生成の合成コンテンツ識別に関する措置(意見募集稿)」と国家標準 「人工知能が生成したコンテンツのラベル付け方法」に対する意見募集

・2023.09.11 中国 生成的AIについての専門家の解釈 (2023.08.29)

・2023.07.14 中国 国家サイバースペース管理局他 生成的AIサービス管理暫定弁法 施行は2023.08.15

・2023.04.12 中国 意見募集 生成的人工知能サービス管理弁法

・2023.01.18 中国 サイバー法制白書 2022 (2023.01.12)

・2022.12.23 中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国 インターネット情報サービス深層合成管理規定 (深層合成で作ったものにはマークを...)(2022.11.25)

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

 

 

| | Comments (0)

2025.05.06

デジタル庁 地方公共団体の基幹業務システムの統一・標準化 「先行団体の事例から得られた移行作業における留意事項」(2025.05.02)

こんにちは、丸山満彦です。

デジタル庁が進めている地方公共団体の基幹業務システムの統一・標準化について、このブログではあまり話題にしてこなかったのですが、

大規模なシステム移行ということで、大変な作業ということはみなさま理解はしていると思いますが、どれほど大変なのかについて、現場の方、デジタル庁側で議論を進めている方と、大きな旗を振っている方の間で(大きな?)隙間があるような気もして、少し心配になってきました...

ということで、少し紹介です...

基幹システムの移行ということで最近でも、お菓子製造業でも物流が止まり、「プリンがない!」とトラブルになった事例は記憶にあるかもしれません。

それほど大規模なシステム移行でなくても、機能追加といったよう比較すると規模が大きくないシステム開発や保守作業であっても、ATMが止まったり、ETCが使えなくなったりとトラブルがありますよね(ほとんどの場合はうまくいっているのですが...)

自治体の場合は、20+αの業務について、理論的には1,700余の自治体を対象とする移行の話となるので、それだけ聞いても大変ですよね...もちろん、各自治体で独自の政策も行っているわけですしね...2025年度末の移行完了に向けて進められていますね...

過去、大規模システムの移行に伴うシステム開発の開発過程監査や、システム開発の失敗に関わる訴訟等に関わった経験からいうと、システム移行等の大規模開発の失敗の原因はそんなに多くはないです。

大体は、最初から無理な計画をごり押しして進めたら案の定、うまくいかなかった。現場は、うまくいかないのはわかっていたが、上からは必達だと言われるので仕方なく進めていた。内心はうまくいかないのはわかっているので、早くプロジェクトから抜け出したいと思っている。上は、さらに上が決めたことなので、メンツを保つためにもなんとかしなければならないと、檄だけ飛ばす。。。(失敗しても上は責任を有耶無耶にするケースが多いかも...)

次に多いと思うのは、途中で問題が発生し、現場が上に報告したが、上がさらに上に上げずに握りつぶして(リソースの手当て等をせずに)、そのままプロジェクトが破綻していく...

もう一つ追加しておくべきは、十分なテスト時間をとらずに本番移行し、トラブルが発生し、大きな損害を出す。(これは表にでるので目立ちます...)

 

このようなプロジェクトの失敗をしないためには、次の5つの理解(腹落ち)が重要なのだろうと思います。

 

1. 理論的に無理なことは、根性を持ち出したり、忖度してもどうしようもない。諦めるものは諦める。(大和で沖縄に突っ込む計画をたてても、途中で沈められる)

2. リソース(人、金、時間を含む)を十分に与えられれないのに、命令しても開発はすすまない。(十分な食料を与えずに戦場に兵をだしても、飢え死にして成果は上がらない)

3.「 万に一つの成功の可能性がある」からと進むのはよいが、その場合、重要なのはうまくいかなかった場合の代替策を念入りに立てる(代替策になる可能性が高いので)

4. 想定外のことは必ず起こるので、リソース(人、金、時間を含む)には余裕を持たせる(余裕がないと臨機応変な対応ができず、想定通りの目的を完遂できない)

5. 忖度せず、情報は正直にすべて適切な粒度で全体に共有されること(特にネガティブな情報ほど)

 

この5つのポイントで重要なのは、判断する層(経営層、政治家や省庁の幹部)と作業をする層(現場)の間の信頼関係だと思います。正しい情報を適切に伝えると、理論的に適切な対応がされる。という当たり前の状況を作ることだと思います。。。

あと、大規模プロジェクトは、走りながら考えるではかなり無理な部分もあるので、最初にきっちりと計画を立てるのが重要かと思います。。。最初の計画が重要!

 

ということを頭の片隅にいれながら...

 

デジタル庁地方公共団体の基幹業務システムの統一・標準化

・2025.05.02 [PDF] 先行団体の事例から得られた移行作業における留意事項

20250506-70327

 

業務に関する留意事項

  1. 業務視点でのチェックは所管課が自ら行う必要がある。
  2. 仕様の変更により窓口運用が大きく変わる可能性がある。
  3. 機能追加等による効率化を踏まえた業務フローを検討する。

スケジュールに関する留意事項

  1. リカバリ・リスケを想定したスケジュールを組む。
  2. 十分な確認時間の確保の必要性

帳票に関する留意事項

  1. 帳票が変わることに伴い住民への案内も変更になる場合がある。
  2. 帳票要件以外の帳票も確認する。
  3. 帳票の出力テストをどこまで本番と同じ環境で行うか。

データに関する留意事項

  1. 同一ベンダでの移行であっても、データが原因で想定外の動きをすることがある。

データ連携に関する留意事項

  1. 連携方法が変わる場合は、どのような変更があるか理解する。
  2. 過渡期連携の調整は入念に行う。

ガバメントクラウド・ネットワークに関する留意事項

  1. ネットワーク構成の検討は、庁内環境とクラウド環境の全体像を捉えて行う。

ベンダに関する留意事項

  1. 対面での調整が少ない場合は、よりコミュニケーションを密にする。
  2. Gapの代替案についてはベンダにも協力してもらう。

テスト・本稼働に関する留意事項

  1. パターンの数だけ確認する必要性
  2. 検証環境の構築は、利便性を優先するか事故防止を優先するか検討する。
  3. 本番稼働時の処理時間を意識して確認を行う。
  4. 障害の切り分けをどこまで自分で行う必要があるか、事前に確認を行う。
  5. 特異なケースの確認

 

大規模システム開発、基幹業務のシステム移行については、金融機関は経験が豊富で、いろいろ参考になることが多いと思いますので、

こちらは是非参考に...

 

● 金融庁

・2019.06.21 「システム統合・更改に関するモニタリングレポート」の公表について

・[PDF] システム統合・更改に関するモニタリングレポート

20250506-71510

 

 

で、標準仕様書は...

・2025.04.30 [XLSX] 地方公共団体の基幹業務システムの標準仕様書改定状況一覧(令和7年4月30日時点)

20250506-70757

全体をみるとそこそこ変更がありますね...

 


 

地方公共団体の基幹業務システムの統一・標準化

・・標準準拠システムへの移行が令和8年度(2026年度)以降とならざるを得ないことが具体化した場合の措置


標準準拠システムへの移行が令和8年度(2026年度)以降とならざるを得ないことが具体化した場合の措置

以下のような理由により令和8年度(2026年度)以降の移行とならざるを得ないことが具体化したシステムを「特定移行支援システム※」としています。

  • 現行システムがメインフレームで運用されているもの
  • 現行システムがパッケージシステムではない個別開発システムで運用されているもの
  • 現行事業者が標準準拠システムの開発を行わないとしているシステムであり、かつ代替システム調達の見込みが立たないもの
  • 事業者のリソースひっ迫による開発又は移行作業等の遅延の影響を受けるものなど

このような特定移行支援システムについてデジタル庁、総務省及び制度所管省庁は、地方公共団体から把握した当該システムの状況及び移行スケジュールも踏まえて、標準化基準を定める主務省令において、所要の移行完了の期限を設定することとし、概ね5年以内に標準準拠システムへ移行できるよう積極的に支援することとしています。

※地方公共団体情報システム標準化基本方針(令和6年12月24日閣議決定)において、従来の移行困難システムが特定移行支援システムと改められました。

特定移行支援システムの状況とその対応

2023年10月に全団体に対し、移行困難システムの把握に関する調査を実施し、2024年3月に調査結果の公表を行いました。その後も継続して調査を行い、デジタル庁と総務省において標準準拠システムへの移行が令和8年度(2026年度)以降とならざるを得ないことが具体化したシステムの申し出があった団体にヒアリング等を行ったうえで、結果の精査等を実施しました。
その結果、標準化の対象となる全34,592システムのうち、2025年1月末時点で2,989システム(8.6%)が特定移行支援システムに該当する見込みであることが判明しました。団体数では1,788団体のうち554団体(31.0%)が特定移行支援システムを有します。9システム(6団体)については、特定移行支援システムに該当せず、判定を保留とし、引き続き状況を調査していきます。
今後も調査を継続して行い、移行状況予定に変更が生じた時点で速やかに、各団体へ調査票の提出を求め、必要に応じてデジタル庁と総務省においてヒアリングを実施する予定です。

また、特定移行支援システムを有する地方公共団体のうち、現行システム提供事業者の撤退等により、次期事業者の選定に至っていない地方公共団体へのフォローアップとして、地方公共団体が次期事業者を選定する際の参考となるよう、事業者に関する情報提供を実施していきます。

  • デジタル庁において、事業者協議会を通じて、事業者における特定移行支援システムを有する地方公共団体への対応可否を確認し、対応が可能な場合には、その受け入れ検討条件をアンケート調査により収集
  • 地方公共団体に対して、次期事業者を選定する際の参考情報として収集した情報を提供

 

 

こちらも参考に...

地方公共団体の基幹業務等システムの統一・標準化に関する関係省庁会議

 

 

失敗しているのに成功したことにした政策とならないように(^^::

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.12.09 デジタル庁 地方公共団体におけるアナログ規制の見直しに係る課題調査事業の報告書 (2023.12.04)

・2023.06.25 デジタル庁 デジタル社会の実現に向けた重点計画 (2023.06.09)

・2022.06.13 デジタル庁 デジタル社会の実現に向けた重点計画 (2022.06.08)

・2021.12.30 総務省 デジタル時代における住民基本台帳制度のあり方に関する検討会報告書

・2021.06.28 「デジタル社会の実現に向けた重点計画」 at 2021.06.18

・2021.05.13 参議院 デジタル社会形成基本法案等を議決 デジタル庁設置、個人情報保護法改正、地方自治体システム標準化等。。。

・2021.02.10 内閣官房 IT総合戦略室が「デジタル社会形成基本法案」「デジタル庁設置法案」「デジタル社会の形成を図るための関係法律の整備に関する法律案」を国会に提出しましたね。。。

・2020.12.31 自民党デジタル社会推進本部 デジタル庁創設に向けた中間提言 at 2020.12.22 (小林史明議員公式サイト)

 

 

| | Comments (0)

2025.05.05

米国 NIST SP 800-234(初期公開ドラフト) ハイパフォーマンス・コンピューティング(HPC)セキュリティオーバーレイ (2025.05.01)

こんにちは、丸山満彦です。

NISTがSP 800-234(初期公開ドラフト) ハイパフォーマンス・コンピューティング(HPC)セキュリティオーバーレイを公表し、意見募集をしていますね...

AI開発にもHPCは重要で、そのためのセキュリティも重要となりますよね...

SP 800-53Bで定義された中程度のベースラインをベースに、HPCのコンテキストでの適用性を高めるために、60のセキュリティ対策に補足的なガイダンスや考察を加えたものということです...

ちなみに、NISTのHPCについての文書

Release Date Series Number Title Status
2025.05.01 SP 800-234 High-Performance Computing (HPC) Security Overlay Draft
2024.02.09 SP 800-223 High-Performance Computing Security: Architecture, Threat Analysis, and Security Posture Final
2023.09.26 IR 8476 3rd High-Performance Computing Security Workshop: Joint NIST-NSF Workshop Report Final
2023.02.06 SP 800-223 High-Performance Computing (HPC) Security: Architecture, Threat Analysis, and Security Posture Draft (Obsolete)

 

● NIST - ITL

・2025.05.01 NIST SP 800-234 (Initial Public Draft) High-Performance Computing (HPC) Security Overlay

NIST SP 800-234 (Initial Public Draft) High-Performance Computing (HPC) Security Overlay NIST SP 800-234(初期公開ドラフト) ハイパフォーマンス・コンピューティング(HPC)セキュリティオーバーレイ
Announcement 発表
High-performance computing (HPC) systems provide fundamental computing infrastructure for large-scale artificial intelligence (AI) and machine learning (ML) model training, big data analysis, and complex simulations at exceptional speeds. Securing HPC systems is essential for safeguarding AI models, protecting sensitive data, and realizing the full benefits of HPC capabilities. ハイパフォーマンス・コンピューティング(HPC)システムは、大規模な人工知能(AI)や機械学習(ML)モデルのトレーニング、ビッグデータ分析、複雑なシミュレーションを卓越した速度で行うための基本的なコンピューティングインフラを提供する。HPCシステムの防御は、AIモデルの保護、機密データの保護、HPC機能のメリットをフルに発揮するために不可欠である。
This NIST Special Publication introduces an HPC security overlay that is designed to address the unique characteristics and requirements of HPC systems. Built upon the moderate baseline defined in SP 800-53B, the overlay tailors 60 security controls with supplemental guidance and/or discussions to enhance their applicability in HPC contexts. This overlay aims to provide practical, performance-conscious security guidance that can be readily adopted. For many organizations, it offers a robust foundation for securing HPC environments while also allowing for further customization to meet specific operational or mission needs. このNIST特別刊行物は、HPCシステム特有の特性と要件に対応するように設計されたHPCセキュリティ・オーバーレイを紹介している。このオーバーレイは、SP 800-53Bで定義された中程度のベースラインをベースに、HPCのコンテキストでの適用性を高めるために、60のセキュリティ対策に補足的なガイダンスや考察を加えたものである。このオーバーレイは、すぐに採用できる実用的でパフォーマンスに配慮したセキュリティガイダンスを提供することを目的としている。多くの組織にとって、HPC 環境の安全性を確保するための強固な基盤を提供すると同時に、特定の運用やミッションのニーズに合わせてさらにカスタマイズすることも可能である。
The public comment period is open through July 3rd, 2025.  パブリックコメント期間は2025年7月3日までである。
Additional information can be found at the NIST HPC Security Working Group website. 追加情報はNIST HPCセキュリティ・ワーキンググループのウェブサイトを参照のこと。
Abstract 要旨
High-performance computing (HPC) systems provide fundamental computing infrastructure for large-scale artificial intelligence (AI) and machine learning (ML) model training, big data analysis, and complex simulations at exceptional speeds. Securing HPC systems is essential for safeguarding AI models, protecting sensitive data, and realizing the full benefits of HPC capabilities. This NIST Special Publication introduces an HPC security overlay that is designed to address the unique characteristics and requirements of HPC systems. Built upon the moderate baseline defined in SP 800-53B, the overlay tailors 60 security controls with supplemental guidance and/or discussions to enhance their applicability in HPC contexts. This overlay aims to provide practical, performance-conscious security guidance that can be readily adopted. For many organizations, it offers a robust foundation for securing HPC environments while also allowing for further customization to meet specific operational or mission needs. ハイパフォーマンス・コンピューティング(HPC)システムは、大規模な人工知能(AI)や機械学習(ML)モデルのトレーニング、ビッグデータ分析、複雑なシミュレーションを卓越した速度で行うための基本的なコンピューティング・インフラを提供する。HPCシステムの防御は、AIモデルの保護、機密データの保護、およびHPC機能のメリットをフルに発揮するために不可欠である。このNIST特別刊行物は、HPCシステム特有の特性と要件に対応するように設計されたHPCセキュリティ・オーバーレイを紹介している。このオーバーレイは、SP 800-53Bで定義された中程度のベースラインをベースに、HPCのコンテキストでの適用性を高めるために、60のセキュリティ対策に補足的なガイダンスや考察を加えたものである。このオーバーレイは、すぐに採用できる実用的でパフォーマンスに配慮したセキュリティガイダンスを提供することを目的としている。多くの組織にとって、HPC 環境の安全性を確保するための強固な基盤を提供すると同時に、特定の運用やミッションのニーズに合わせてさらにカスタマイズすることも可能である。

 

・[PDF] NIST.SP.800-234.ipd

20250503-233131

 

目次...

1. Introduction 1. 序文
2. HPC Security Overlay Summary 2. HPC セキュリティ・オーバーレイの概要
3. Tailored Security Control Specifications 3. カスタマイズされたセキュリティ制御仕様
3.1. Role-Based Access Control 3.1. 役割ベースのアクセス管理
3.2. HPC Logging 3.2. HPCログ
3.3. User Sessions 3.3. ユーザーセッション
3.4. HPC Backup 3.4. HPCバックアップ
3.5. HPC Network Connections 3.5. HPCネットワーク接続
3.6. Identification and Authentication 3.6. 識別と認証
3.7. Emergency Handling 3.7. 緊急時の対応
3.8. User-Developed Software 3.8. ユーザー開発ソフトウェア
3.9. Impact on HPC Performance and Scalability 3.9. HPCパフォーマンスとスケーラビリティへの影響
3.10. Inapplicable to HPC 3.10. HPC には適用できない
3.11. Shared GPUs and Accelerators 3.11. 共有GPUとアクセラレータ
3.12. HPC-Specific Training and Security Overlay Tailoring 3.12. HPC特有のトレーニングとセキュリティ・オーバーレイの調整
3.13. HPC Management, Operation, and Maintenance 3.13. HPCの管理、運用、保守
3.14. Access to HIPC 3.14. HIPCへのアクセス
4. Summary 4. まとめ
References 参考文献
List of Tables 表一覧
Table 1. A Summary of Security Controls in the HPC Control Overlay 表1. HPC制御オーバレイにおけるセキュリティ制御の概要
List of Figures 図一覧
Fig. 1. HPC system reference aarchitectuur 図1. HPCシステム・リファレンス・アーキテクチャ

 

 

1_20240212065501

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.13 NIST SP 800-223 高性能コンピューティング(HPC)セキュリティ:アーキテクチャ、脅威の分析、およびセキュリティ状態

・2023.09.30 NIST IR 8476 第3回 高性能コンピューティングセキュリティワークショップ: NIST-NSF合同ワークショップ報告書

・2023.07.21 CSA ハイパフォーマンス・コンピューティング机上演習ガイド

・2023.02.08 NIST SP 800-223 (ドラフト) 高性能コンピューティング(HPC)セキュリティ:アーキテクチャ、脅威の分析、およびセキュリティ状態

 

 

| | Comments (0)

2025.05.04

米国 NIST IR 7621 Rev.2(初期公開ドラフト)中小企業のサイバーセキュリティ: 非雇用企業

こんにちは、丸山満彦です。

NISTが、中小企業向けのサイバーセキュリティの内部文書、IR 7621の改訂2版のドラフトが公開され、意見募集がされています。

これは2009年に最初の文書が、2016年に現在の改訂1版が確定しています。今回は10年ぶり?の改訂に向けてのドラフトとなります。

今回のドラフトでは、対象範囲を絞って、より明確にしているところがポイントです。

まず、

・「情報セキュリティ」からそのサブセットの「サイバーセキュリティ」に

次に

・「中小企業一般」から「個人事業主」に

絞っています。

そして、CSF 2.0を利用したものになっているのがポイントですね。。。

・個人事業主を対象としているという点と、

・にもかかわらず、ガバナンスの観点を強化したCSF2.0を使っている点

が非常に興味深い...

日本の零細企業のセキュリティ対策にも参考となるかもですね...

 

 

● NIST - ITL

・2025.05.01 NIST IR 7621 Rev. 2 (Initial Public Draft) Small Business Cybersecurity: Non-Employer Firms

NIST IR 7621 Rev. 2 (Initial Public Draft) S%mall Business Cybersecurity: Non-Employer Firms NIST IR 7621 Rev.2(初期公開ドラフト)中小企業のサイバーセキュリティ: Non-Employer Firms
Announcement 発表
According to the U.S. Small Business Administration Office of Advocacy, there are 34.8 million small businesses in the United States, comprising 99% of all U.S. businesses. Of those, 81.7% are non-employer firms with no paid employees other than the owners of the business. These businesses, though small in size, are represented in every industry and sector of the economy and contribute significantly to the Nation’s innovation and industrial competitiveness. This publication specifically addresses cybersecurity basics for non-employer firms with no paid employees other than the owners of the business, helping them to use the NIST Cybersecurity Framework 2.0 to begin managing their cybersecurity risks. The actions included within this publication are ones that small businesses can take on their own with limited technical knowledge or with minimal budget to implement. To make these guidelines applicable to a broader audience, cybersecurity risk management considerations are included for businesses as they grow and hire employees, if they decide to do so. 米国中小企業局によると、米国には3,480万社の中小企業があり、全米企業の99%を占めている。そのうち81.7%は、経営者以外に有給の従業員を持たない非雇用企業である。これらの企業は、規模こそ小さいが、経済のあらゆる産業や部門に代表者を擁し、米国のイノベーションと産業競争力に大きく貢献している。本書では、事業主以外に有給の従業員を持たない非雇用型企業のサイバーセキュリティの基本を特に取り上げ、NIST サイバーセキュリティフレームワーク 2.0 を活用してサイバーセキュリティリスクのマネジメントを開始できるように支援する。本書に含まれるアクションは、技術的な知識が乏しかったり、実施するための予算が最小限であったりしても、中小企業が独自に実施できるものである。このガイドラインをより幅広い読者に適用できるようにするため、企業が成長し、従業員を雇用することになった場合のサイバーセキュリティ・リスクマネジメントに関する考慮事項が含まれている。
One of the most significant changes to this revision is its narrowed scope. The previous versions of this publication discussed the broader topic of information security. To simplify and focus the content, this revised publication is now focused specifically on cybersecurity, which is a subset of information security. Based on community input, the audience has also been narrowed. Whereas prior versions were focused generally on “small business,” which is a very broad and diverse population, this revision is tailored to a more specific population—non-employer firms. Subsequent publications within this series may address other business populations. Revision 2 of this publication also reflects changes in technology and recent updates to NIST publications, including the Cybersecurity Framework (CSF) 2.0 and the NIST IR 8286 series. Another major update is that the information is presented in tabular format to enhance readability. 今回の改訂で最も大きな変更点の一つは、対象範囲を狭めたことである。本書の旧版では、情報セキュリティという広範なトピックを取り上げていた。内容を簡素化し、焦点を絞るため、今回の改訂版では、情報セキュリティのサブセットであるサイバーセキュリティに特化した。コミュニティからの意見に基づき、対象者も絞られた。旧版では、非常に広範で多様な人々である「中小企業」に全般的に焦点を当てていたのに対し、今回の改訂では、より特定の人々、すなわち非雇用者企業に合わせたものとなっている。本シリーズの後続刊行物では、他の企業集団を取り上げる可能性がある。本書の改訂 2 は、技術の変化や、サイバーセキュリティ枠組み(CSF)2.0 や NIST IR 8286 シリーズを含む NIST 出版物の最近の更新も反映している。もう一つの大きな更新点は、読みやすさを高めるために情報を表形式で示したことである。
Abstract 概要
This report is designed to help small firms use the NIST Cybersecurity Framework (CSF) 2.0 to begin managing their cybersecurity risks. The document is tailored to the smallest of businesses—those with no employees, or “non-employer” firms. These firms are also often colloquially referred to as “solopreneurs.” The goal of the publication is to introduce fundamentals of a small business cybersecurity program in non-technical language at the earliest stage of a business to set a solid cybersecurity risk management foundation. Considerations for maturing cybersecurity risk management as the business scales are included to make the document useful for entities of varying sizes. This publication is not all-encompassing, and implementation of a cybersecurity risk management strategy will vary based on the organization’s sector, size, resources, and contractual or regulatory requirements. 本レポートは、小規模企業が NIST サイバーセキュリティフレームワーク(CSF)2.0 を使用してサイバーセキュリティリスクのマネジメントを開始できるように設計されている。本書は、従業員のいない企業、つまり「非雇用」企業といった、最も小規模な企業向けに作成されている。このような企業は、俗に「個人事業主」とも呼ばれる。本書の目的は、事業の初期段階において、中小企業のサイバーセキュリティ・プログラムの基礎を非技術的な言葉で紹介し、サイバーセキュリティ・リスクマネジメントの基礎を固めることである。事業規模に応じてサイバーセキュリティ・リスクマネジメントを成熟させるための考察も含まれており、様々な規模の事業体にとって有用な文書となっている。本書はすべてを網羅するものではなく、サイバーセキュリティリスクマネジメント戦略の実施は、組織の業種、規模、リソース、契約上または規制上の要件によって異なる。

 

・[PDF] NIST.IR.7621r2.ipd

20250503-163636

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. 序文
2. The NIST Cybersecurity Framework 2. NIST サイバーセキュリティ枠組み
Govern Function (GV) ガバナンス機能(GV)
Identify Function (ID) 識別機能(ID)
Protect Function (PR) 保護機能(PR)
Detect Function (DE) 検知機能(DE)
Respond Function (RS) 対応機能(RS)
Recover Function (RC) 回復機能(RC)
3. Conclusion 3.結論
References 参考文献
Appendix A. Glossary 附属書 A. 用語集 
Appendix B. Acronyms 附属書 B. 頭字語
Appendix C. Calculating, Documenting, Categorizing, and Prioritizing Cybersecurity Assets and Risks Worksheet 附属書 C. サイバーセキュリティ資産とリスクの計算、文書化、分類、優先順位付けワークシート
Appendix D. Respond and Recover Worksheet 附属書 D. 対応と回復ワークシート
Appendix E. Authentication Worksheet 附属書 E. 認証ワークシート
Appendix F. Change Log 附属書 F. 変更履歴
List of Tables 表一覧
Table 1: Cybersecurity Risk Management Lifecycle 表 1:サイバーセキュリティリスクマネジメントのライフサイクル
Table 2: Getting Started with an Asset Inventory 表 2:資産インベントリの開始
Table 3: The Six Functions of the CSF 表 3:CSF の 6 つの機能
Table 4: Column Headings with Descriptions 表 4:列見出しと説明
Table 5: Documenting Legal, Regulatory, and Contractual Cybersecurity Requirements  表 5:法的、規制的、および契約上のサイバーセキュリティ要件の文書化 
Table 6: MFA Starter Checklist  表 6:MFA スターターチェックリスト
Table 7: Sample Response Contact Table 表 7:対応連絡先表のサンプル
Table 8: Sample Asset Categorization-Appendix 表 8:資産分類のサンプル-附属書
Table 9: Sample Potential Events and Risks to Assets-Appendix 表 9:想定される出来事と資産に対するリスクの例-附属書
Table 10: Sample Contact Table-Appendi 表 10:サンプル連絡先表-附属書
Table 11: Sample Reporting Requirements Table-Appendix 表 11:サンプル報告要件表-附属書
Table 12: Sample MFA Table-Appendix 表 12:サンプル MFA 表-附属書
Table 13: Sample Default Manufacturer Passwords Table-Appendix 表 13:サンプルデフォルト製造事業者パスワード表-附属書
List of Figures 図一覧
Figure 1: Notional Architecture for Non-Employer Firm 図 1:非雇用企業の想定アーキテクチャ
Figure 2: The Cybersecurity Framework Functions 図 2:サイバーセキュリティ枠組みの機能

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー
Small businesses are a substantial and critical part of the U.S. and global economy. According to the U.S. Small Business Administration Office of Advocacy [3], there are 34.8 million small businesses in the United States, comprising 99% of all U.S. businesses. Of those, 81.7% are nonemployer firms with no paid employees other than the owners of the business. These businesses, though small in size, are represented in every industry and sector of the economy and contribute significantly to the Nation’s innovation and industrial competitiveness.   中小企業は、米国経済および世界経済において重要かつ重要な役割を担っている。 米国および世界経済にとって重要かつ重要な役割を担っている。米国中小企業局(U.S. Small Business Administration Office of Advocacy)[3]によると、米国には 3,480 万の中小企業があり、米国企業全体の 99%を占めている。そのうち81.7%は、経営者以外に有給の従業員を持たない非雇用企業である。これらの企業は、規模こそ小さいものの、経済のあらゆる産業と部門に代表者を擁し、国の技術革新と産業競争力に大きく貢献している。 
As small businesses have become more reliant upon data and technology to operate and scale a modern business, cybersecurity has become a fundamental risk that must be addressed alongside other business risks (e.g., financial risks, natural disasters, competitors) as part of broader enterprise risk management (ERM) planning. A cybersecurity incident can be devastating to a small business and can negatively impact its ability to deliver goods and services, with effects cascading to customers, employees, business partners, and potentially the community. Establishing a strong cybersecurity culture early in the business’ development, even before employees are hired, creates a foundation from which to build a resilient business in the face of ever-increasing cybersecurity risks. No business - of any size - can prevent every cybersecurity incident from occurring. But it can implement a cybersecurity plan that will enhance security while achieving business objectives.   中小企業が近代的なビジネスを運営し、規模を拡大するためにデータやテクノロジーへの依存度が高まるにつれ、サイバーセキュリティは、より広範なエンタープライズ・リスク・マネジメント(ERM)計画の一環として、他のビジネスリスク(財務リスク、自然災害、競合他社など)と並んで対処しなければならない基本的なリスクとなっている。サイバーセキュリティのインシデントは、中小企業に壊滅的な打撃を与え、商品やサービスを提供する能力に悪影響を及ぼし、その影響は顧客、従業員、ビジネス・パートナー、そして潜在的には地域社会にまで連鎖する可能性がある。従業員を雇用する前の早い段階から、強力なサイバーセキュリティ文化を確立することで、増大し続けるサイバーセキュリティ・リスクに直面してレジリエンスに優れたビジネスを構築する基盤が構築される。どのような規模の企業であっても、すべてのサイバーセキュリティ・インシデントの発生を防ぐことはできない。しかし、ビジネス目標を達成しながらセキュリティを強化するサイバーセキュリティ計画を実施することはできる。 
NIST IR 7621, Revision 2 Updates  NIST IR 7621改訂第2版 更新箇所
One of the most significant changes to this revision is its narrowed scope. The previous versions of this publication discussed the broader topic of information security. To simplify and focus the content, this revised publication is now focused specifically on cybersecurity, which is a subset of information security. Based on community input, the audience has also been narrowed. Whereas prior versions were focused generally on “small business,” which is a very broad and diverse population, this revision is tailored to a more specific population—non-employer firms [2]. Subsequent publications within this series may address other business populations. Revision 2 of this publication also reflects changes in technology and recent updates to NIST publications, including the Cybersecurity Framework (CSF) 2.0 and the NIST IR 8286 series. Another major update is that the information is presented in tabular format to enhance readability.  今回の改訂の最も大きな変更点の一つは、対象範囲を狭めたことである。本書の以前のバージョンでは、情報セキュリティという広範なトピックについて論じていた。内容を簡素化し、焦点を絞るために、この改訂版では、情報セキュリティのサブセットであるサイバーセキュリティに特化した。コミュニティからの意見に基づき、対象者も絞られた。旧版では、非常に広範で多様な「中小企業」を対象としていたのに対し、本改訂版では、より具体的な「非雇用者企業」を対象としている[2]。本シリーズの後続刊行物では、他の企業集団を取り上げる可能性がある。本書の改訂 2 は、技術の変化や、サイバーセキュリティ枠組み(CSF)2.0 や NIST IR 8286 シリーズを含む NIST 出版物の最近の更新も反映している。もう一つの大きな更新点は、情報が表形式で表示され、読みやすくなったことである。
Relationship to the CSF 2.0 and Other NIST Publications  CSF 2.0 および他の NIST 出版物との関係
This publication uses the CSF 2.0 [1] and the CSF 2.0 Small Business (SMB) Quick Start Guide (QSG) as a foundation from which to address cybersecurity for a specific audience—nonemployer firms. This publication goes into significantly more detail than the SMB QSG and brings in additional NIST publications as reference material to connect and demonstrate important concepts through graphics, tables, and appendices.   本書は、CSF 2.0 [1]および CSF 2.0 小規模企業(SMB)クイックスタートガイド(QSG)を基礎として、特定の対象者(非雇用者企業)向けのサイバーセキュリティに取り組んでいる。本書は、SMB QSG よりも大幅に詳細な内容となっており、NIST の追加刊行物を参考資料として取り入れ、図、表、附属書を通じて重要な概念を結びつけ、実証している。 
“No business - of any size - can prevent every cybersecurity incident from occurring. But it can implement a cybersecurity plan that will enhance security while delivering business objectives.” 「どのような規模の企業であっても、すべてのサイバーセキュリティインシデントの発生を防ぐことはできない。しかし、ビジネス目標を達成しながらセキュリティを強化するサイバーセキュリティ計画を実施することはできる。

 

 

IR7621の履歴...

2025.05.01 IR 7621 Rev. 2 Small Business Cybersecurity: Non-Employer Firms
Draft
2024.03.18 IR 7621 Rev. 2 PRE-DRAFT Call for Comments | Small Business Information Security: The Fundamentals Draft (Obsolete)
2016.11.03 IR 7621 Rev. 1 Small Business Information Security: The Fundamentals Final
2014.12.16 IR 7621 Rev. 1 Small Business Information Security: the Fundamentals Draft (Obsolete)
2009.10.01 IR 7621 Small Business Information Security: the Fundamentals Withdrawn

 

 


 

中小企業、小事業向けのサイバーセキュリティ対策関連...

まるちゃんの情報セキュリティ気まぐれ日記

・2025.03.04 英国 サイバーエッセンシャルズ 小規模の弁護士事務所・新興技術企業への助成

・2024.12.23 英国 Cyber Essentials 2025.04.28以降の要求事項等について...

・2024.10.23 英国 全学校にオンライン脅威に対する防御として無料のサイバーサービスを提供

・2024.08.20 英国 サイバーエッセンシャル発行数 (2023.07-2024.06)

・2024.05.02 英国 サイバーエッセンシャル発行数 (2023.01-2023.12)

・2024.03.27 ドイツ CyberRisikoCheck:中小企業向けITセキュリティ

・2024.03.25 米国 NIST NIST IR 7621 Rev. 2(初期ドラフト)プレドラフト意見募集|「小事業の情報セキュリティ: 基礎編」

・2024.03.16 経済産業省 サイバーセキュリティお助け隊サービスの新たな類型(2類)の創設に係るサービス基準の改定版の公開

・2024.03.07 米国 NSIT サイバーセキュリティ・フレームワーク(CSF)2.0 関連 SP 1299, 1300, 1301, 1302, 1303, 1305 (2024.02.26)

 (SP1300が中小企業向けです...)

・2023.10.24 米国 CISA 中小企業向け:強靭なサプライチェーンリスクマネジメント計画策定のためのリソースガイド

・2023.07.13 英国 小規模企業のサイバーセキュリティをサポート:サイバーアドバイザリー制度 (2023.04.17)

・2020.10.11 UK National Cyber Security Centreがスモールビジネス向けサイバーセキュリティガイド改訂版を公開していますね。。。(Cyber Essentials認定も意識して)

 

| | Comments (0)

2025.05.03

米国 NIST SP 800-236 2024会計年度サイバーセキュリティ・プライバシー年次報告書 (2025.04.28)

こんにちは、丸山満彦です。

米国のNISTのサイバー&プライバシー分野の年次報告です...

予算獲得のためかもしれませんが...年度(2023.10.01-2024.09.30) の出来事を振り返る上で参考になりますね。。。もう少し早くだせばよいのにね...

 

● NIST - ITL

・2025.04.28 NIST SP 800-236 Fiscal Year 2024 Cybersecurity and Privacy Annual Report

NIST SP 800-236 Fiscal Year 2024 Annual Report for NIST Cybersecurity and Privacy Program NIST SP 800-236 2024 年度 NIST サイバーセキュリティ・プライバシープログラム年次報告書
Abstract 概要
Throughout Fiscal Year 2024 (FY 2024) — from October 1, 2023, through September 30, 2024 — the NIST Information Technology Laboratory (ITL) Cybersecurity and Privacy Program successfully responded to numerous challenges and opportunities in security and privacy. This Annual Report highlights the ITL Cybersecurity and Privacy Program’s FY 2024 research activities, including the ongoing participation and development of international standards, research, and practical applications in several key priority areas (e.g., post-quantum cryptography, NIST Cybersecurity Framework [CSF 2.0], and new CSF profiles), improved software and supply chain cybersecurity, work on IoT cybersecurity guidelines, National Cybersecurity Center of Excellence (NCCoE) projects, a new comment site for NIST’s Risk Management Framework, the release of a Phish scale, progress in the Identity and Access Management program, and Strategic and Emerging Research Initiatives (SERI) for autonomous vehicles.  2023 年 10 月 1 日から 2024 年 9 月 30 日までの 2024 会計年度(FY2024)を通して、NIST 情報技術研究所(ITL)のサイバーセキュリティ・プライバシープログラムは、セキュリティとプライバシーにおける数多くの課題と機会に成功裏に対応した。本年次報告書では、ITLサイバーセキュリティ・プライバシープログラムの2024年度の研究活動に焦点を当て、いくつかの重要な優先分野(例.耐量子暗号、NISTサイバーセキュリティ・フレームワーク[CSF 2.0]、新しいCSFプロファイル)、ソフトウェアとサプライチェーンのサイバーセキュリティの改善、IoTサイバーセキュリティ・ガイドラインの作成、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)プロジェクト、NISTのリスクマネジメント・フレームワークの新しいコメントサイト、フィッシュ・スケールのリリース、アイデンティティ・アンド・アクセス・マネジメント・プログラムの進展、自律走行車の戦略的・新興研究イニシアチブ(SERI)などである。

 

・[PDF] NIST.SP.800-236

20250503-55128

 

目次...

Foreword まえがき
PRIORITY AREAS 重点分野
Cryptography 暗号
Education & Workforce  教育・人材
Emerging Technology  新興技術
Human-Centered Cybersecurity  人間中心のサイバーセキュリティ
Identity & Access Management  アイデンティティとアクセス管理
Privacy  プライバシー
Risk Management  リスクマネジメント
Trusted Networks & Platforms  信頼されるネットワークとプラットフォーム
National Cybersecurity Center of Excellence (NCCoE)  国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)
Stakeholder Engagement & Events ステークホルダー・エンゲージメントとイベント

 

過去分を含めた目次...

2024 2023 2022 2021 2020 2019 2018 2017
SP800-236 SP 800-229 SP 800-225 SP 800-220 SP 800-214 SP 800-211 SP 800-206  SP 800-203
暗号 暗号 暗号 暗号の標準と検証 サイバーセキュリティの啓発と教育  サイバーセキュリティとプライバシーの標準化の進化 サイバーセキュリティとプライバシー基準の推進 国際ITセキュリティ標準へのITLの関与
教育・人材 教育、トレーニング、人材開発  教育、トレーニング、人材開発 サイバーセキュリティの測定 アイデンティティとアクセス管理 リスク管理の強化 リスクマネジメントの強化 リスク管理
新興技術 新興技術  アイデンティティとアクセス管理 教育と労働力 測定基準と測定 暗号標準と検証の強化 暗号の標準と検証の強化 バイオメトリクス標準と関連する適合性評価試験ツール
人間中心のサイバーセキュリティ 人間中心のサイバーセキュリティ プライバシー アイデンティティとアクセス管理 リスクマネジメント 先端サイバーセキュリティ研究・応用開発 サイバーセキュリティの研究・応用開発の推進 サイバーセキュリティアプリケーション
アイデンティティとアクセス管理 アイデンティティとアクセス管理 リスクマネジメントと計測 プライバシーエンジニアリング プライバシーエンジニアリング  サイバーセキュリティについての意識向上、トレーニング、教育、人材育成 サイバーセキュリティの意識向上、トレーニング、教育、人材開発 ソフトウェアの保証と品質
プライバシー プライバシー 信頼できるネットワークとプラットフォーム リスクマネジメント 新規技術 アイデンティティとアクセス管理の強化 アイデンティティとアクセス管理の強化 連邦サイバーセキュリティ調査研究
リスクマネジメント リスクマネジメント 利用可能なサイバーセキュリティ 信頼できるネットワーク 暗号の標準化と検証 通信・インフラ保護の強化 必インフラストラクチャの保護強化  コンピュータ・フォレンジック
信頼されるネットワークとプラットフォーム 信頼できるネットワークとプラットフォーム   信頼できるプラットフォーム 信頼性の高いネットワーク 新技術の確保 新規技術の保護 サイバーセキュリティに関する知識・訓練・教育・アウトリーチ
国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE) NIST 国立サイバーセキュリティ・センター・オブ・エクセレンス     信頼性の高いプラットフォーム セキュリティテストと測定ツールの進化 セキュリティのテストと測定ツールの推進 暗号標準化プログラム
              バリデーションプログラム
              ID ・アクセス管理
              新規技術の研究
              ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE)
              インターネットインフラ保護
              高度なセキュリティ試験と測定
              技術的な安全性の指標
              利便性とセキュリティ

 

本文部分...

Foreword まえがき
Back to the future. As we look back on our past fiscal year’s work in cybersecurity and privacy, we can see the fruition of many long-standing efforts that will position us well in the changing times ahead.  未来に戻る。サイバーセキュリティとプライバシーの分野における昨年度の取り組みを振り返ると、これからの変化する時代に対応するための長年の取り組みが結実したことがわかる。
NIST has set foundations to ensure our security and privacy now and into the future with new quantum- resistant encryption algorithms, updates to the NIST Cybersecurity Framework, and the establishment of Artificial Intelligence programs, testbeds, and research agendas. Our research has also demonstrated practical applications of our work that spans several key priority areas that are outlined in this report with hyperlinked pointers to help you dig deeper and learn more.  NISTは、新しい量子耐性暗号アルゴリズム、NISTサイバーセキュリティ枠組みの更新、人工知能プログラム、テストベッド、研究課題の確立など、現在そして将来にわたって私たちのセキュリティとプライバシーを確保するための基盤を整えてきた。また、NISTの研究は、いくつかの重要な優先分野にわたって、その実用的な応用を実証してきた。この報告書では、さらに深く掘り下げて学ぶのに役立つハイパーリンク付きのポインタとともに、その概要を紹介している。
NIST’s work aligns with and supports many national initiatives to protect our Nation, including the National Cybersecurity Strategy and its related Implementation Plan, new policies for federal agencies from the Office of Management and Budget, initiatives from the Office of the National Cyber Director, and response actions directed by the National Security Council. NIST leads many standards- setting organizations around the world and ensures that U.S. priorities, requirements, and technologies are at the forefront of standards activities. This enables the development of products and services that meet our needs and are unquestionably secure. We are proud of and excited about the relevance and impact of our work as we continue to protect our information, economy, and way of life.  NIST の業務は、国家サイバーセキュリティ戦略とそれに関連する実施計画、行政管理予算局による連邦政府機関向けの新政策、国家サイバー長官室によるイニシアティブ、国家安全保障会議が指示する対応措置など、国家を保護するための多くの国家的イニシアティブと連携し、これを支援している。NISTは世界中の多くの標準策定組織をリードし、米国の優先事項、要件、技術が標準化活動の最前線にあることを保証している。これにより、我々のニーズを満たし、疑いなく安全な製品やサービスの開発が可能になる。われわれは、情報、経済、生活様式を守り続けているわれわれの活動の妥当性と影響力に誇りを持ち、また興奮している。
We hope that you will take the time to review some of the key highlights of our cybersecurity and privacy accomplishments from FY 2024 and to explore some of our priorities, programs, and projects. You can learn about the many conferences and workshops we had in the last fiscal year by viewing the recordings or reading the event proceedings, and we invite you to participate directly with us in our upcoming events.  2024 年度のサイバーセキュリティとプライバシーの成果の主なハイライトをご覧いただき、私たちの優先事項、プログラム、プロジェクトのいくつかを探っていただければ幸いである。昨年度に開催された多くの会議やワークショップについては、録画をご覧になるか、イベントの議事録をお読みになればお分かりになると思う。
Most importantly, we look forward to learning more from you as we work together to address the challenges of today and journey into the future. As ever, we appreciate your support and hope that you are making the best possible use of NIST’s work.  最も重要なことは、私たちが協力して今日の課題に取り組み、未来に向かって歩んでいく中で、皆さんからさらに多くのことを学べることを楽しみにしているということだ。これまで同様、皆様のご支援に感謝するとともに、皆様がNISTの活動を最大限に活用されることを願っている。
Matthew Scholl  Matthew Scholl
Chief, Computer Security Division, NIST  Chief, Computer Security Division, NIST
Rodney Petersen  Rodney Petersen
Interim Chief, Applied Cybersecurity Division, NIST Interim Chief, Applied Cybersecurity Division, NIST
Cryptography 暗号
Cryptography is foundational to our security and data protection needs. The standards, guidelines, recommendations, and tools provided by NIST’s Cryptography priority area enable the trustworthy assurance of integrity and confidentiality in all types of information and technology — now and in the future. 暗号は我々のセキュリティとデータ保護のニーズにとって基礎となるものである。NISTの暗号技術優先領域が提供する標準、ガイドライン、勧告、およびツールは、現在および将来のあらゆる種類の情報と技術における完全性と機密性の信頼できる保証を可能にする。
Major Accomplishments in FY 2024: 2024年度の主な成果
• NIST published the first three Federal Information Processing Standards (FIPS) for postquantum cryptography. These standards specify key-establishment and digital signature schemes that are designed to resist future attacks by quantum computers, which threaten the security of current standards. The three algorithms specified in these standards are each derived from different submissions to the NIST Post-Quantum Cryptography (PQC) Standardization Project ・NIST は、ポスト量子暗号に関する最初の 3 つの連邦情報処理標準(FIPS)を発行した。これらの標準は、現在の標準の安全性を脅かす量子コンピュータによる将来的な攻撃に耐えるように設計された鍵確立およびデジタル署名方式を規定している。これらの標準に規定されている3つのアルゴリズムは、それぞれNISTの耐量子暗号(PQC)標準化プロジェクトに提出された異なるアルゴリズムから派生したものである。
• The PQC team hosted the Fifth PQC Standardization Conference in April 2024. This conference discussed the finalization of the initial PQC FIPS and the ongoing evaluation of the Round 4 Public-Key Encryption and Key-Establishment Algorithms and the Additional Digital Signature Schemes that are being considered for future standardization. ・PQCチームは2024年4月に第5回PQC標準化会議を開催した。この会議では、初期 PQC FIPS の最終化、および将来の標準化を検討しているラウンド 4 公開鍵暗号化アルゴリズムと鍵確立アルゴリズム、および追加電子署名方式の進行中の評価について議論された。
• The Multi-Party Threshold Cryptography (MPTC) and Privacy-Enhancing Cryptography (PEC) projects jointly released the initial public draft of NIST Internal Report (IR) 8214C, NIST First Call for Multi-Party Threshold Schemes (MPTS). The document’s scope includes advanced techniques, such as fully homomorphic encryption, zero-knowledge proofs, and the building blocks of secure multi-party computation. As part of an effort to obtain public comments, NIST hosted the MPTS 2023 workshop and three events of the Special Topics on Privacy and Public Auditability (STPPA). ・マルチパーティ閾値暗号(MPTC)プロジェクトとプライバシー拡張暗号(PEC)プロジェクトは共同で、NIST内部報告書(IR)8214C「NIST First Call for Multi-Party Threshold Schemes(MPTS)」の初公開ドラフトを発表した。この文書の範囲には、準同型暗号、ゼロ知識証明、安全なマルチパーティ計算の構成要素などの高度な技術が含まれている。パブリックコメントを得るための取り組みの一環として、NISTはMPTS 2023ワークショップと、プライバシーと公開監査可能性に関する特別刊行物(STPPA)の3つのイベントを開催した。
NIST’s Crypto Publication Review Board completed seven publication reviews, and five reviews are in progress to update and modernize the portfolio of cryptographic standards. ・NISTの暗号出版審査委員会は7件の出版審査を完了し、5件の審査が暗号標準のポートフォリオの更新と近代化のために進行中である。
Learn more about this priority area この優先分野の詳細
Education & Workforce 教育・人材
The Education and Workforce priority area energizes, promotes, and coordinates a robust community that works together to advance an integrated ecosystem of cybersecurity education, training, and workforce development. 教育・人材優先分野は、サイバーセキュリティの教育、訓練、労働力開発の統合されたエコシステムを推進するために協働する強固なコミュニティを活性化、促進、調整する。
Major Accomplishments in FY 2024: 2024 年度の主な成果
• A major update to the NICE Framework was released as the Version 1.0.0 Components, which incorporated changes to almost every level of the NICE Framework’s structure and includes a list of 11 learner-focused Competency Areas. The new Components were released in multiple data formats, including as part of NIST’s Cybersecurity and Privacy Reference Tool ・NICE フレームワークの大幅な更新が行われ、バージョン 1.0.0 コンポーネントが発表された。新しいコンポーネントは、NISTのサイバーセキュリティ及びプライバシー・リファレンス・ツールの一部など、複数のデータ形式でリリースされた。
• NIST released two new resources in support of the NICE Strategic Plan Goal 4.6: “Expand international outreach to promote the NICE Framework and document approaches being used in other countries.” The new NICE Framework components have been translated into five languages, and a list of international Cybersecurity Skills and Workforce Frameworks is now available. The list includes a representative sample of cybersecurity, cyber-related, digital literacy skills, and workforce frameworks from countries around the world. ・NICE戦略計画の目標4.6 「NICEフレームワークを普及させるために国際的なアウトリーチを拡大し、他国で使用されているアプローチを文書化する 」を支援するために、NISTは2つの新しいリソースをリリースした。新しい NICE フレームワークの構成要素は 5 つの言語に翻訳され、国際的なサイバーセキュリティ技能・人材フレームワークのリストが利用可能になった。このリストには、世界各国のサイバーセキュリティ、サイバー関連、デジタルリテラシースキル、労働力の枠組みの代表例が含まれている。
• The NICE Community Coordinating Council’s Promote Career Discovery Working Group launched the Cybersecurity Career Ambassador Program. The Transform Learning Process Working Group published the Landscape of Performance-Based Assessments in Cybersecurity. ・NICE コミュニティー調整カウンシルの「サイバーセキュリティキャリア大使プログラム」を開始した。学習プロセス変革作業部会は、「サイバーセキュリティにおけるパフォーマンスベースのアセスメントの展望」を発表した。
• The Cybersecurity Education and Workforce Group published an update to NIST Special Publication (SP) 800-50r1 (Revision 1), Building a Cybersecurity and Privacy Learning Program. ・サイバーセキュリティ教育・人材育成グループは、NIST 特別刊行物(SP)800-50r1(改訂 1)「サイバーセキュリティおよびプライバシー学習プログラムの構築」の最新版を発表した。
• The Regional Alliances and Multistakeholder Partnerships to Stimulate (RAMPS) Cybersecurity Education and Workforce Development Program awarded cooperative agreements totaling nearly $6.6 million aimed at building the workforce needed to safeguard enterprises from cybersecurity risks. The grants of roughly $200,000 apiece were distributed to 33 education and community organizations in 22 states that are working to address the nation’s shortage of skilled cybersecurity employees. Learn more about the RAMPS Communities. ・サイバーセキュリティ教育・人材育成プログラム(RAMPS)を活性化するための地域連合とマルチステークホルダー・パートナーシップは、サイバーセキュリティリスクからエンタープライズを守るために必要な人材育成を目的とした、総額約660万ドルの協力協定を締結した。1件あたり約20万ドルの助成金は、サイバーセキュリティの熟練従業員不足に取り組む22州の33の教育および地域団体に配布された。RAMPSコミュニティについての詳細はこちら。
• Several events were held throughout FY 2024, including the NICE Conference, K12 Conference, RICET, webinars, and FISSEA.   ・2024年度を通して、NICE会議、K12会議、RICET、ウェビナー、FISSEAなど、いくつかのイベントが開催された。 
Learn more about this priority area この優先分野についての詳細はこちら
Emerging Technology 新興技術
The rapid evolution of technology brings extraordinary opportunities and unavoidable challenges. NIST’s cybersecurity researchers study these emerging technologies to understand their security and privacy capabilities, vulnerabilities, configurations, and overall structures to develop standards, guidelines, and references for improving their approaches before they are deployed. テクノロジーの急速な進化は、並外れた機会と避けられない課題をもたらす。NISTのサイバーセキュリティ研究者は、これらの新技術を研究し、そのセキュリティとプライバシーの能力、脆弱性、構成、全体的な構造を理解することで、それらが展開される前にそのアプローチを改善するための標準、ガイドライン、リファレンスを開発している。
Major Accomplishments in FY 2024: 2024 年度の主な成果
• NIST released the final version of AI 100-2 E2023, Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations. ・NIST は、AI 100-2 E2023 の最終版である「敵対的機械学習」を公表した。
SP 800-218A, Secure Software Development Practices for Generative AI and Dual-Use Foundation Models: An SSDF Profile, augments the secure software development practices identified in SP 800-218, Secure Software Development Framework (SSDF) with recommendations, considerations, notes, and informative references that are specific to generative AI and dual-use foundation model development. ・SP 800-218A「生成的AIとデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス」を発表した: An SSDF Profile」は、SP 800-218「安全なソフトウェア開発枠組み(SSDF)」で特定された安全なソフトウェア開発プラクティスを、生成的AIとデュアルユースファウンデーションモデル開発に特化した推奨事項、考慮事項、注釈、参考文献で補強したものである。
• NIST launched a project to investigate immersive technologies and their potential cybersecurity and privacy considerations. The findings will inform a possible roadmap for NIST competencies around these technologies, focusing on cybersecurity and privacy risk management. ・NISTは、没入型技術とその潜在的なサイバーセキュリティおよびプライバシーに関する検討事項を調査するプロジェクトを開始した。調査結果は、サイバーセキュリティとプライバシーのリスクマネジメントに焦点を当てた、これらの技術に関するNISTコンピテンシーのロードマップとなる可能性がある。
NIST IR 8425A, Recommended Cybersecurity Requirements for Consumer-Grade Router Products, comprehensively maps router cybersecurity standards provisions to the NIST baseline.  ・NIST IR 8425A「一般消費者向けルータ製品に対する推奨サイバーセキュリティ要件」は、ルータのサイバーセキュリティ標準規定をNISTのベースラインに包括的にマッピングしたものである。
• NIST held an open discussion forum and released the initial public draft of Cybersecurity White Paper (CSWP) 33, Product Development Cybersecurity Handbook for IoT Product Manufacturers, which describes considerations for developing and deploying secure IoT products across sectors and use cases and extends NIST’s work to consider the cybersecurity of IoT product component configurations. ・NISTはオープンディスカッションフォーラムを開催し、サイバーセキュリティ白書(CSWP)33「IoT製品製造者のための製品開発サイバーセキュリティハンドブック」の初期公開草案を発表した。このハンドブックは、セクターやユースケースを超えて安全なIoT製品を開発・展開するための考慮事項を記述し、IoT製品のコンポーネント構成のサイバーセキュリティを考慮するためにNISTの作業を拡張したものである。
•NIST led the IoT Interagency Federal Working Group and collaborated with the IoT Advisory Board as it developed findings and recommendations on how the U.S. can reduce barriers to adopting IoT technologies. The findings were documented in a September 2024 report. ・NISTは、IoT省庁間連邦作業部会を主導し、IoT諮問委員会と協力して、米国がIoT技術を採用する際の障壁を低減する方法に関する調査結果と勧告を作成した。調査結果は2024年9月の報告書にまとめられている。
Learn more about this priority area この優先分野についての詳細はこちら
Human-Centered Cybersecurity 人間中心のサイバーセキュリティ
The mission of the Human-Centered Cybersecurity priority area is to “champion the human in cybersecurity.” Through research and other human-centered projects, the program team seeks to better understand and improve people’s cybersecurity interactions, perceptions, and behaviors to empower them to be active, informed participants in cybersecurity. 人間中心のサイバーセキュリティ優先分野の使命は、「サイバーセキュリティにおいて人間を支持する」ことである。研究およびその他の人間中心のプロジェクトを通じて、プログラム・チームは、サイバーセキュリティにおける人々の相互作用、認識、行動をよりよく理解し、改善することで、サイバーセキュリティに積極的かつ十分な情報を得た上で参加できるようにすることを目指している。
Major Accomplishments in FY 2024: 2024 年度の主な成果
• The phishing project team published theNIST Phish Scale User Guide handbook on applying the Phish Scale — a novel method for measuring socially engineered email attacks. The guide has been downloaded over 20,000 times since its release. The Phish Scale is used in public- and private-sector organizations around the world to aid those who manage phishing awareness training programs in enhancing training effectiveness and strengthening organizations’ security postures.  ・フィッシング・プロジェクト・チームは、社会的に操作された電子メール攻撃を測定する新しい手法であるフィッシュ・スケールの適用に関するハンドブック「NISTフィッシュ・スケール・ユーザー・ガイド」を発行した。このガイドブックは公開以来20,000回以上ダウンロードされている。フィッシング・スケールは世界中の公共および民間の組織で使用されており、フィッシング意識向上およびトレーニング・プログラムを管理する人々がトレーニングの効果を高め、組織のセキュリティ体制を強化するのに役立っている。
• The youth security and privacy project team continued participation in the White House Kids Online Health and Safety (KOHS) Task Force. NIST provided technical expertise and worked with multi-agency colleagues in three task force working groups to deliver a first-of-its-kind report, Best Practices for Families and Guiddlines for Industry. This report includes: (1) best practices for parents and caregivers to promote youth online health, safety, and privacy; (2) recommended industry practices; (3) a research agenda that identifies domains of further inquiry; and (4) recommended next steps for policymakers. ・青少年のセキュリティとプライバシー・プロジェクト・チームは、ホワイトハウスのKids Online Health and Safety(KOHS)タスクフォースへの参加を継続した。NISTは技術的な専門知識を提供し、3つのタスクフォース・ワーキンググループで複数の省庁の同僚と協力して、これまでにない報告書「家族のためのベストプラクティスと産業界のためのガイドライン」を作成した。この報告書には以下の内容が含まれている: (1)青少年のオンライン上の健康、安全、プライバシーを促進するための保護者や介護者のためのベストプラクティス、(2)推奨される産業界のプラクティス、(3)さらなる調査の必要性を特定する研究課題、(4)政策立案者のための推奨される次のステップ。
• NIST published results from practitioner and researcher survey studies that explored how human-centered cybersecurity concepts can be better integrated into practice and how practitioners can better inform human-centered cybersecurity research. To address some of the challenges identified in the studies, NIST launched the Human-Centered Cybersecurity Community of Interest, an online forum that brings practitioners and researchers together to share perspectives and facilitate collaboration. NIST also co-sponsored and served on the organizing committee for ConnectCon, an interactive workshop that brings together cybersecurity experts from academia, industry, and government to identify and discuss the most pressing human-centered cybersecurity challenges that organizations face today. ・NIST は、人間中心のサイバーセキュリティの概念をどのように実践にうまく取り入れることができるか、また、人間中心のサイバーセキュリティの研究をどのように実践者にうまく伝えることができるかについて調査した、実務者および研究者の調査研究の結果を発表した。この調査で明らかになった課題のいくつかに対処するため、NISTは「人間中心のサイバーセキュリティ・コミュニティ・オブ・インタレスト」を立ち上げ、実務者と研究者が一堂に会して視点を共有し、協力を促進するオンラインフォーラムを開設した。NISTはまた、学術界、産業界、政府からサイバーセキュリティの専門家を集め、組織が今日直面している最も差し迫った人間中心のサイバーセキュリティの課題を特定し、議論する対話型ワークショップであるConnectConを共催し、組織委員会のメンバーも務めた。
Learn more about this priority area この優先分野の詳細
Identity & Access Management アイデンティティとアクセス管理
Identity and Access Management (IAM) is the cornerstone of data protection, privacy, and security. NIST’s IAM priority area provides research, guidelines, and technology transition activities to help ensure that the right humans, devices, data, and processes have the right access to the right resources at the right time. ID & アクセス管理(IAM)は、データ保護、プライバシー、セキュリティの要である。NISTのIAM優先分野は、適切な人、デバイス、データ、プロセスが適切なリソースに適切なタイミングでアクセスできるようにするための研究、ガイドライン、技術移行活動を提供する。
Major Accomplishments in FY 2024: 2024年度の主な成果
• After adjudicating nearly 4,000 comments, NIST published a second public draft of all four volumes of SP 800-63-4, Digital Identity Guidelines, which provide a foundation for the inclusion of new techniques and technologies into federal IAM programs. ・NIST は、4,000 件近いコメントを審査した後、SP 800-63-4「デジタル・アイデンティティ・ ガイドライン」全 4 巻の第 2 次公開ドラフトを公表した。
• NIST’s IAM team published updates to the suite of SP 800-73-5 documents, which specify the Interfaces of Personal Identity Verification (PIV) Credentials (Part 1), (Part 2), and (Part 3), and completed updates to SP 800-78-5, Cryptographic Algorithms and Key Sizes for Personal Identity Verification. ・NIST の IAM チームは、個人 ID 検証(PIV)クレデンシャルのインタフェース(パート 1)、(パート 2)、(パート 3)を規定する一連の SP 800-73-5 文書の更新を発表し、SP 800-78-5 「個人 ID 検証の暗号アルゴリズムおよび鍵サイズ」の更新を完了した。
• NIST continuously updates the Face Recognition/Analysis Technology Evaluation (FRTE/FATE) to provide critical benchmarking for emerging applications of facial recognition and analysis. NIST IR 8525: Face Analysis Technology Evaluation: Age Estimation and Verification, was also released to evaluate the ability of face analysis to estimate age based on a subject’s face image, which is something essential to emerging age verification schemes. ・NISTは顔認識/分析技術評価(FRTE/FATE)を継続的に更新し、顔認識と分析の新たなアプリケーションに重要なベンチマークを提供している。NIST IR 8525:顔分析技術評価: 年齢推定と検証」もまた、新しい年齢検証スキームに不可欠な、被験者の顔画像に基づいて年齢を推定する顔分析の能力を評価するためにリリースされた。

• NIST established an NCCoE project and Cooperative Research and Development Agreement (CRADA) consortium comprised of over 20 commercial and government partners to focus on creating implementation guidelines for the use of Cryptographically Verifiable Digital Credentials for online services. ・NIST は、NCCoE プロジェクトと、20 を超える商業および政府のパートナーで構成される CRADA(Cooperative Research and Development Agreement)コンソーシアムを設立し、オンラインサービスにおける暗号的に検証可能なデジタル・クレデンシャルの使用に関する実装ガイドラインの作成に注力した。
• NIST’s IAM team contributed to the final version of the Mobile Driving License Application standard (ISO/IEC 18013-7) and updated their reference implementation for the standard to facilitate testing and the certification of products. ・NISTのIAMチームは、モバイル運転免許証アプリケーション標準(ISO/IEC 18013-7)の最終版に貢献し、標準のリファレンス実装を更新して、テストと製品の認証を容易にした。
Learn more about this priority area この優先分野の詳細
PRIVACY プライバシー
Privacy is integral to the trust that supports the growth of the digital economy and improves our quality of life. NIST has prioritized Privacy Engineering to support measurement science and system engineering principles through frameworks, risk models, and guidelines that protect privacy and civil liberties. プライバシーは、デジタル経済の成長を支え、私たちの生活の質を改善する信頼に不可欠である。NISTは、プライバシーと市民的自由を保護する枠組み、リスクモデル、ガイドラインを通じて、計測科学とシステム工学の原則をサポートするために、プライバシー工学を優先している。
Major Accomplishments in FY 2024: 2024年度の主な成果
• NIST released the initial public draft of SP 800-226, Guidelines for Evaluating Differential Privacy Guarantees. This publication focuses on differential privacy — a privacy-enhancing technology that quantifies privacy risks to individuals when their information appears in a dataset.  ・NISTは、SP800-226「差分プライバシー保証の評価のためのガイドライン」の最初の公開草案を公表した。この出版物は、差分プライバシーに焦点を当てたものである。差分プライバシーとは、個人情報がデータセットに含まれる場合に、個人に対するプライバシーリスクを定量化するプライバシー強化技術である。
• NIST held the Ready, Set, Update! Privacy Framework 1.1 + Data Governance and Management (DGM) Profile Workshop to inform an update of the NIST Privacy Framework to Version 1.1 and the development of the DGM Profile. NIST also released concept papers for the Privacy Framework, Version 1.1 and the DGM Profile in advance of the workshop. 
・NISTはReady, Set, Updateを開催した!Privacy Framework 1.1 + Data Governance and Management (DGM) Profile Workshopを開催し、NISTプライバシー・フレームワークのバージョン1.1への更新とDGMプロファイルの開発に関する情報を提供した。NISTはワークショップに先立ち、プライバシーフレームワークバージョン1.1とDGMプロファイルのコンセプトペーパーも発表した。
• NIST published Diverse Community Data for Benchmarking Data Privacy Algorithms to disseminate major findings from the Collaborative Research Cycle (CRC) — a community challenge to evaluate de-identification algorithms. ・NISTは、データ・プライバシー・アルゴリズムのベンチマークのための多様なコミュニティ・データを公表し、共同研究サイクル(CRC)から得られた主要な知見を広めた。
• NIST released the Collaborative Research Cycle (CRC) Data and Metrics Archive, which is the largest global synthetic data evaluation ever performed—and an ongoing program that leads advancements in synthetic data technology. The program has over a dozen citations and has been featured in multiple conferences and workshops. ・NISTは、これまでに実施された世界最大の合成データ評価であり、合成データ技術の進歩をリードする継続的なプログラムであるCollaborative Research Cycle (CRC) Data and Metrics Archiveをリリースした。このプログラムは十数件の引用を受け、複数の会議やワークショップで取り上げられている。
62,214 NIST Privacy Framework downloads in FY24 (Approx 29% increase from FY23) Top 10 Countries – Privacy Framework Total Downloads NIST プライバシーフレームワークの 24 年度ダウンロード数 62,214 件(23 年度比約 29%増) 上位 10 カ国 ・プライバシーフレームワーク 総ダウンロード数
Learn more about this priority area この優先分野の詳細
Risk Management リスクマネジメント
Enabling effective risk management is the foundation and goal of the entire NIST cybersecurity and privacy portfolio — from cryptographic algorithm standards to enterprise risk management guidelines. Using NIST risk management resources, organizations can better understand risks, select and implement appropriate countermeasures, measure effectiveness, and implement continuous monitoring and improvement. 効果的なリスクマネジメントを可能にすることは、暗号アルゴリズム標準からエンタープライズリスクマネジメントガイドラインに至るまで、NIST のサイバーセキュリティとプライバシーのポートフォリオ全体の基盤であり目標である。NISTのリスクマネジメントリソースを利用することで、組織はリスクをよりよく理解し、適切な対策を選択・実施し、有効性を測定し、継続的な監視と改善を実施することができる。
Major Accomplishments in FY 2024: 2024 年度の主な成果
• NIST published the Cybersecurity Framework (CSF) Version 2.0 in February 2024 after a process of extensive stakeholder collaboration. New implementation resources were published to accompany the Framework, including profiles, quick start guides, and informative references. NIST also worked with stakeholders around the world to translate and verify international translations of the CSF and associated resources. ・NIST は、広範な関係者の協力のプロセスを経て、2024 年 2 月にサイバーセキュリティ枠組み(CSF)バージョン 2.0 を公表した。枠組みに合わせて、プロファイル、クイックスタートガイド、参考文献など、新たな実装リソースが公表された。NIST はまた、世界中の利害関係者と協力して、CSF と関連リソースの国際的な翻訳と検証を行った。
• NIST used the SP 800-53 Public Comment Site to propose new controls, hold a public comment period, and issue revised controls and assessment procedures within 30 days in response to a gap in the control catalog. ・NIST は、SP800-53 パブリックコメントサイトを利用して、新たな管理策を提案し、パブリックコメント期間を設け、管理策カタログのギャップに対応して、30 日以内に改訂された管理策とアセスメント手順を発行した。
• Additional resources for implementers were released, including a series of free, self-paced online introductory courses on security and privacy controls, assessment procedures, control baselines, and the NIST Risk Management Framework for Small Enterprises Quick Start Guide (QSG). ・セキュリティとプライバシーのコントロール、アセスメント手順、コントロール・ベースライン、小規模企業向けNISTリスクマネジメントフレームワーク・クイックスタートガイド(QSG)に関する一連の無料オンライン入門コースなど、実装者向けの追加リソースがリリースされた。
• NIST continued to lead and support community engagement on cybersecurity supply chain risk management (C-SCRM) through the Software and Supply Chain Assurance (SSCA) Forum and Engineering Biology Research Consortium Workshops, support the Federal Acquisition Security Council, and issued two QSGs on establishing a C-SCRM capability using the CSF 2.0 and conducting due diligence on potential suppliers before procurement. ・NIST は、ソフトウェアとサプライチェーン保証(SSCA)フォーラム や エンジニアリング・バイオロジー・リサーチ・コンソーシアム・ワークショップを通じて、サイバーセキュリティ・サプライチェーン・リスクマネジメント(C-SCRM)に関するコミュニティ参画を主導・支援し、連邦調達安全評議会を支援し、CSF 2.0 を用いた C-SCRM 能力の確立と調達前の潜在的サプライヤに対するデューデリジェンスの実施に関する 2 つの QSG を発行した。
• NIST released beta prototypes of the Cyber Incident Data Analysis Repository and Cyber Supply Chain Survey Tool for stakeholder feedback and improvement. The prototypes are designed to anonymously collect and share cybersecurity incident and supply chain data for measurement and metrics analytics and to provide users with educational and informative resources to improve their C-SCRM. ・NIST は、関係者のフィードバックと改善のために、サイバーインシデントデータ分析レポジトリとサイ バーサプライチェーン調査ツールのベータ版プロトタイプを公開した。このプロトタイプは、サイバーセキュリティインシデントとサプライチェーンデータを匿名で収集・共有し、測定とメトリクス分析を行うとともに、C-SCRMを改善するための教育的・有益なリソースをユーザに提供することを目的としている。
Learn more about this priority area この優先分野の詳細
TRUSTED NETWORKS & PLATFORMS 信頼されるネットワークとプラットフォーム
We all rely on the hardware, software, and networks that form the fabric of our digital ecosystems. NIST’s Trusted Networks and Platforms priority area supports foundational and applied research and practical implementation guidelines and standards to ensure secure, reliable, and resilient technology across industry sectors. 私たちは皆、デジタル・エコシステムの基盤を形成するハードウェア、ソフトウェア、ネットワークに依存している。NISTのTrusted Networks and Platforms優先分野は、産業部門全体で安全で信頼性が高く、レジリエンスに優れた技術を確保するための基礎研究、応用研究、実用的な実装ガイドラインと標準を支援している。
Major Accomplishments in FY 2024: 2024 年度の主な成果
• NIST launched the hardware security program to identify existing and emerging cybersecurity threats and develop mitigation techniques for semiconductors, including cybersecurity and supply chain standards, guidelines, and recommended practices in collaboration with the semiconductor community. NIST also hosted a Supply Chain workshop and published NIST IR 8540, Report on Secure Hardware Assurance Reference Dataset Program. ・NIST は、半導体コミュニティと協力して、サイバーセキュリティとサプライチェーンの標準、ガイドライン、推奨プラクティスなど、既存および新たなサイバーセキュリティの脅威を特定し、半導体の緩和技術を開発するハードウェアセキュリティプログラムを開始した。NIST はまた、サプライチェーンワークショップを開催し、NIST IR 8540「安全なハードウェア保証参照データセットプログラムに関する報告書」を発行した。
• To support data safeguarding, NIST released NIST IR 8432, Cybersecurity of Genomic Data; SP 1800-28, Data Confidentiality: Identifying and Protecting Assets Against Data Breaches; SP 180029, Data Confidentiality: Detect, Respond to, and Recover from Data Breaches; and NIST IR 8496, Data Classification Concepts and Considerations for Improving Data Protection.
・データ保護を支援するため、NISTはNIST IR 8432「ゲノムデータのサイバーセキュリティ」、SP1800-28「データの機密性」を発表した: SP 1800-28「データの機密性:データ侵害に対する資産の識別と防御」、SP 180029「データの機密性」である: NIST IR 8496「データ保護を改善するためのデータ分類の概念と考察」である。
• NIST published SP 1800-38B, Migration to Post-Quantum Cryptography (PQC) Quantum Readiness: Cryptographic Discovery, and SP 1800-38C, Migration to PQC Quantum Readiness: Testing Draft Standards. ・NISTは、SP1800-38B「ポスト量子暗号(PQC)量子対応への移行:暗号発見」とSP1800-38C「ポスト量子暗号(PQC)量子対応への移行」を発表した。
• NIST published SP 800-231, Bugs Framework (BF): Formalizing Cybersecurity Weaknesses and Vulnerabilities; SP 800-204D, Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD Pipelines; SP 800-218A, Secure Software Development Practices for Generative AI and Dual-Use Foundation Models: An SSDF Community Profile; and enhanced the Software Assurance Reference Dataset (SARD) with four test suites from the Static Analysis Tool Exposition (SATE) VI. NIST also improved the AI Bug Finder, and the National Software Reference Database added data from 10,000+ new or updated applications (totaling over 42 million files) to assist with computer security and digital forensics analysis. ・NISTは、SP 800-231「Bugs Framework(BF)」を発表した: SP 800-204D「DevSecOps CI/CDパイプラインにおけるソフトウェアサプライチェーンセキュリティの統合のための戦略」、SP 800-218A「生成的AIおよびデュアルユース基盤モデルのための安全なソフトウェア開発の実践」を発表した: SSDF コミュニティプロファイル)、ソフトウェア保証リファレンスデータセット(SARD)を静的分析ツール解説(SATE)VIの4つのテスト・スイートで強化した。NISTはまた、AIバグファインダーを改善し、ナショナルソフトウェアリファレンスデータベースには、コンピュータセキュリティとデジタルフォレンジック分析を支援するために、10,000以上の新規または更新されたアプリケーション(合計4,200万ファイル以上)のデータを追加した。
• NIST published CSWP 36, Applying 5G Cybersecurity and Privacy Capabilities: Introduction to the White Paper Series; CSWP 36A, Protecting Subscriber Identifiers with Subscription Concealed Identifier (SUCI): Applying 5G Cybersecurity and Privacy Capabilities; CSWP 36B, Using Hardware-Enabled Security to Ensure 5G System Platform Integrity: Applying 5G Cybersecurity and Privacy Capabilities; and CSWP 36C, Reallocation of Temporary Identities: Applying 5G Cybersecurity and Privacy Capabilities.
・ NIST は、CSWP 36「5G サイバーセキュリティおよびプライバシー機能の適用:ホワイトペーパーシリーズ序文」、CSWP 36A「加入者識別情報を加入者非公開識別情報(SUCI)で保護:5G サイバーセキュリティおよびプライバシー機能の適用」、CSWP 36B「ハードウェアによるセキュリティを使用して 5G システムプラットフォームの整合性を確保: 5G サイバーセキュリティおよびプライバシー機能の適用」、および「CSWP 36C、一時的な ID の再割り当て:5G サイバーセキュリティおよびプライバシー機能の適用」を発表した。
Learn more about this priority area この優先分野の詳細
NATIONAL CYBERSECURITY CENTER OF EXCELLENCE ACTIVITIES 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE
The mission of the National Cybersecurity Center of Excellence (NCCoE) is to accelerate the adoption of secure technologies. The NCCoE works collaboratively with industry and other government agencies to address cybersecurity challenges facing the nation by demonstrating the use of commercial technologies and standards. 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)の使命は、安全な技術の採用を加速することである。NCCoE は産業界や他の政府機関と協力し、商用技術や標準の利用を実証することで、国家が直面するサイバーセキュリティの課題に取り組んでいる。
Major Accomplishments in FY 2024: 2024 年度の主な成果
• NIST received approval to continue sponsorship of the National Cybersecurity Federally Funded Research and Development Center (FFRDC), which is now in its tenth year. ・NIST は、10 年目を迎える国立サイバーセキュリティ連邦資金研究開発センター(FFRDC)のスポンサー継続の承認を得た。
• The NCCoE held 167 active Cooperative Research and Development Agreements (CRADAs) in 2024 with industry, government, and academic organizations to provide in-kind contributions of technology and expertise toward NCCoE projects. New consortia were established for water cybersecurity and mobile driver’s license projects, and the migration to postquantum cryptography consortium grew to over 40 organizations. The NCCoE announced new collaborations with SEMI on semiconductor manufacturing cybersecurity and Hudson Alpha and the University of Alabama in Huntsville on the cybersecurity and privacy of genomic data. NCCoE had a cumulative total of 758 collaborators working on NCCoE projects, with 26,714 companies and organizations producing cybersecurity guides and other products. ・NCCoE は、NCCoE のプロジェクトに技術や専門知識を現物で提供するため、産業界、政府、学術機関との間で、2024 年に 167 件の有効な協力研究開発契約(CRADA)を締結した。水サイバーセキュリティとモバイル運転免許証プロジェクトのために新しいコンソーシアムが設立され、ポスト量子暗号への移行コンソーシアムは40以上の組織に成長した。NCCoEは、半導体製造のサイバーセキュリティに関するSEMI、ゲノムデータのサイバーセキュリティとプライバシーに関するハドソンアルファとアラバマ大学ハンツビル校との新たな協力関係を発表した。NCCoEのプロジェクトに携わる協力者は累計758人で、26,714の企業や組織がサイバーセキュリティガイドやその他の製品を作成した。
• The NCCoE partnered with 39 National Cybersecurity Excellence Partners (NCEPs) and led U.S. organizations to provide insights into emerging cybersecurity and privacy technology issues. Joint meetings of the NCEPs were hosted by the NCCoE, Dell, and Cloudflare. The NCCoE also held Interagency Agreements with the Department of State, the U.S. Navy, and the U.S. Space Force. ・NCCoEは、39の全米サイバーセキュリティ・エクセレンス・パートナー(NCEPs)と提携し、米国の組織を率いて、サイバーセキュリティとプライバシー技術の新たな問題についての洞察を提供した。NCEPの合同会議は、NCCoE、デル、クラウドフレアが主催した。NCCoEはまた、国務省、米海軍、米宇宙軍とも省庁間協定を結んだ。
• The NCCoE released 25 publications — including NIST 1800-Series Special Publications, Interagency Reports, Cybersecurity White Papers, and new GitHub publications — to provide guidelines for data security, genomic data cybersecurity and privacy, zero trust architectures, 5G cybersecurity, post-quantum cryptography migration, data classification practices, supply chain traceability, smart inverters, water cybersecurity, and more. ・NCCoEは、NIST 1800シリーズ特別刊行物、省庁間報告書、サイバーセキュリティ白書、および新しいGitHub刊行物を含む25の刊行物を発表し、データセキュリティ、ゲノムデータのサイバーセキュリティとプライバシー、ゼロトラストアーキテクチャ、5Gサイバーセキュリティ、ポスト量子暗号移行、データ格付実務、サプライチェーントレーサビリティ、スマートインバータ、水サイバーセキュリティなどのガイドラインを提供した。
1_20250503061701
• The NCCoE introduced a new series of 5G Cybersecurity White Papers to offer short-form content that is easy to digest for a broader audience. Other outputs included the NIST Dioptra AI open-source test platform and GitHub Pages for several projects.  ・NCCoEは、5Gサイバーセキュリティ・ホワイトペーパーの新シリーズを導入し、幅広い読者に向けて消化しやすい短編コンテンツを提供した。その他の成果としては、NIST Dioptra AIオープンソース・テスト・プラットフォームや、いくつかのプロジェクトのGitHubページがある。
• The NCCoE increased its efforts on CSF 2.0 Community Profiles to help organizations implement the new CSF. ・NCCoE は、組織が新しい CSF を実施するのを支援するために、CSF 2.0 Community Profiles への取り組みを強化した。
• The NCCoE held 17 events and webinars in FY 2024, including CSF 2.0 Community Profile webinars, and continued to host quarterly Cybersecurity Connections networking events for the small business community in partnership with the State of Maryland (MD) and Montgomery County, MD. The NCCoE also launched a new LinkedIn page and the NCCoE Speakers Corner to increase awareness of the Center. ・NCCoE は、2024 年度に、CSF 2.0 コミュニティ・プロファイルのウェビナーを含む 17 のイベントとウェビナーを開催し、メリーランド州(MD)およびメリーランド州モントゴメリー郡と連携して、中小企業コミュニティ向けのネットワーキング・イベント「サイバーセキュリティ・コネクションズ」を四半期ごとに継続して開催した。NCCoEはまた、LinkedInの新しいページとNCCoEスピーカー・コーナーを開設し、センターの認知度を高めた。
• The NCCoE continued its summer internship program for undergraduate and graduate students for the 14th year. The NCCoE also participated in NIST’s Summer Institute to provide cybersecurity resources to middle school teachers. ・NCCoEは、学部生および大学院生を対象とした夏季インターンシップ・プログラムを14年目も継続した。NCCoEはまた、NISTのサマー・インスティテュートに参加し、中学校の教師にサイバーセキュリティのリソースを提供した。
• The NCCoE continued to expand its cybersecurity and privacy topics, including post-quantum cryptography, natural language processing, trusted IoT, resilience for critical infrastructure and supply chains, and NIST Framework resources and tools ・NCCoEは、ポスト量子暗号、自然言語処理、信頼されるIoT、重要インフラとサプライチェーンのレジリエンス、NISTフレームワークのリソースとツールなど、サイバーセキュリティとプライバシーに関するトピックの拡大を継続した。
Learn more about this priority area この優先分野についての詳細はこちら
Events & Stakeholder Engagement イベント&ステークホルダー・エンゲージメント
NIST cybersecurity and privacy events are rooted in collaboration, information sharing, and transparency. By hosting events, NIST can directly interact with broad audiences and share information about a wide range of topics on a continuous basis. NISTのサイバーセキュリティとプライバシーのイベントは、コラボレーション、情報共有、透明性に根ざしている。イベントを開催することで、NISTは幅広い聴衆と直接交流し、幅広いトピックに関する情報を継続的に共有することができる。
• The NIST Cybersecurity and Privacy Program hosted over 80 events in FY 2024, including conferences, workshops, collaborative meetings, webinars, panel discussions, forums, and working groups.  ・NISTサイバーセキュリティ・プライバシープログラムは、2024年度に、会議、ワークショップ、共同会議、ウェビナー、パネルディスカッション、フォーラム、ワーキンググループなど、80以上のイベントを開催した。
• NIST worked closely with event attendees to share information, collaborate with the public, and hold active discussions with cybersecurity and privacy experts across sectors and industries. These open discussions and collaborative interactions helped inform NIST’s work, and the events streamlined NIST’s information-sharing abilities with key audiences. ・NISTはイベント参加者と緊密に連携し、情報を共有し、一般市民と協力し、セクターや業界を超えたサイバーセキュリティやプライバシーの専門家と活発な議論を行った。こうしたオープンな議論や協力的な交流はNISTの業務に情報を提供するのに役立ち、イベントはNISTの主要な聴衆との情報共有能力を効率化した。
• NIST’s cybersecurity and privacy event details are located on websites across our NCCoE events page, CSRC events Page, and our NIST events overview page. ・NISTのサイバーセキュリティとプライバシーに関するイベントの詳細は、NCCoEイベントページ、CSRCイベントページ、NISTイベント概要ページに掲載されている。
FY 2024 event topics included: 2024年度のイベントのトピックは以下の通りである:
Cryptography  暗号技術
Education and Workforce  教育と人材
Identity and Access Management   アイデンティティとアクセスマネジメント
Internet of Things  モノのインターネット
NIST Frameworks NISTの枠組み
Privacy  プライバシー
Risk Management  リスクマネジメント
Securing Emerging Technologies  新興技術のセキュリティ
Small Businesses   中小企業
Software ソフトウェア
Learn more about this priority area この優先分野の詳細
OPPORTUNITIES TO ENGAGE WITH NIST ON CYBERSECURITY & PRIVACY サイバーセキュリティとプライバシーに関してNISTと関わる機会
NIST depends on developers, researchers, and everyday users of technologies and information to guide cybersecurity and privacy focus areas. NISTは、サイバーセキュリティとプライバシーの重点分野を導くために、技術や情報の開発者、研究者、日常的な利用者に依存している。
• Details on engaging with NIST are available here. ・NISTとの関わり方についての詳細はこちらをご覧いただきたい。
• Many NIST projects are supported by guest researchers, both foreign and domestic. ・NISTのプロジェクトの多くは、国内外のゲスト研究者によって支えられている。
The Pathways Program supports Federal Government internships for students and recent graduates. ・パスウェイ・プログラムは、学生や新卒者を対象とした連邦政府インターンシップを支援している。
• NIST funds industrial and academic research in several ways: ・NISTはいくつかの方法で産業および学術研究に資金を提供している:
The Small Business Innovation Research Program (SBIR) funds research and development proposal. ・中小企業技術革新研究プログラム(SBIR)は、研究開発提案に資金を提供する。
• NIST offers grants to encourage work in the fields of precision measurement, fire research, and materials science. For general information on NIST’s grant programs, please contact Christopher Hunton at grants@nist.gov. ・NISTは精密測定、火災研究、材料科学の分野での研究を奨励する助成金を提供している。NISTの助成金プログラムに関する一般的な情報については、クリストファー・ハントン(grants@nist.gov)までお問い合わせいただきたい。
• The Information Technology Laboratory (ITL) Speakers Bureau enables engagement with universities and colleges to raise student and faculty awareness about the exciting work going on at NIST and motivate them to consider pursuing opportunities to work with IT. ・情報技術研究所(ITL)スピーカー・ビューローは、大学やカレッジとの連携を可能にし、NISTで行われているエキサイティングな研究に対する学生や教員の認識を高め、ITLとの共同研究の機会を追求することを検討する意欲を高める。
• More information about NIST’s research, projects, publications, and events can be found on the NIST Computer Security Resource Center (CSRC) website and the NIST Cybersecurity website. ・NISTの研究、プロジェクト、出版物、イベントに関する詳細は、NISTコンピュータセキュリティリソースセンター(CSRC)のウェブサイトおよびNISTサイバーセキュリティのウェブサイトを参照のこと。

 

 

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.05.24 米国 NIST SP 800-229 2023会計年度サイバーセキュリティ・プライバシー年次報告書

・2023.06.09 NIST SP 800-225 2022年度サイバーセキュリティ・プライバシー年次報告書 (2023.05.30)

・2022.10.02 NIST SP 800-220 2021年度サイバーセキュリティ・プライバシー年次報告書 (2022.09.26)

・2021.10.01 NIST SP 800-214 2020年度サイバーセキュリティ・プライバシー年次報告書

・2020.08.26 NIST/ITLのサイバーセキュリティプログラム年次報告書2019

・2020.03.15 NIST SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Program

 

| | Comments (0)

2025.05.02

金融安定理事会 (FSB) インシデント報告交換フォーマット(FIRE)を公表 (2025.04.15)

こんにちは、丸山満彦です。

金融安定理事会 (FSB) インシデント報告交換フォーマット(FIRE)の最終報告が公表されていました...

金融庁のウェブページでも紹介されていますね。。。

企業が複数者に報告する必要がある場合の報告を標準化し、報告する側も、報告を受ける側も、その処理をできる限り機械処理できるようにするものですね...

今後の導入をみながら、例えば2年後に導入の経験等を踏まえたワークショップを開催しようと考えているようですね...

金融機関のみならず、普及すればよいですね...必須項目については、業界によっては、多少の違いがあってもよいかもですね...

 

Financial Stability Board

プレス...

・2025.04.15 FSB finalises the common Format for Incident Reporting Exchange (FIRE)

FSB finalises the common Format for Incident Reporting Exchange (FIRE) FSB、インシデント報告交換のための共通フォーマット(FIRE)を最終決定
・FIRE is a standardised yet adaptable format to enhance the efficiency and consistency of cyber and operational incident reporting. ・FIREは、サイバーおよび業務上のインシデント報告の効率性と一貫性を高めるための、標準化されながらも適応可能なフォーマットである。
・Developed in collaboration with private sector experts, FIRE reduces the reporting burden for firms operating across multiple jurisdictions and improves communication with and among authorities. ・民間セクターの専門家と共同で開発されたFIREは、複数の法域で活動する企業の報告負担を軽減し、当局とのコミュニケーションや当局間のコミュニケーションを改善する。
・FIRE supports a phased implementation and is designed to be interoperable with current systems, encouraging widespread adoption. ・FIREは段階的な導入をサポートし、現行システムとの相互運用が可能なように設計されており、普及を促している。
The Financial Stability Board (FSB) has today published its finalised Format for Incident Reporting Exchange (FIRE), a global initiative aimed at streamlining cyber and operational incident reporting. By introducing a standardised format, FIRE addresses the fragmentation in reporting requirements, alleviating the burden on firms that operate across multiple jurisdictions. 金融安定理事会(FSB)は本日、サイバーおよびオペレーショナルインシデント報告の合理化を目指した世界的イニシアティブであるインシデント報告交換フォーマット(FIRE)の最終版を公表した。標準化された書式を導入することで、FIREは報告要件の断片化に対処し、複数の法域で事業を展開する企業の負担を軽減する。
At a time of heightened cyber risks and increasing reliance on technology and third-party services, the ability to respond swiftly and effectively to operational incidents – particularly cyber incidents – has become more critical than ever. FIRE facilitates timely action and fosters improved communication and coordination among authorities across borders. サイバーリスクが高まり、テクノロジーやサードパーティ・サービスへの依存度が高まっている現在、業務インシデント(特にサイバーインシデント)に迅速かつ効果的に対応する能力は、これまで以上に重要になっている。FIREはタイムリーな対応を促進し、国境を越えた当局間のコミュニケーションと協調の向上を促進する。
Developed in close partnership with the private sector, FIRE encompasses a wide range of operational and cyber incidents. Its potential applicability extends to third-party service providers and firms beyond the financial sector. Its focus on promoting convergence and flexibility in incident reporting has garnered strong support, underscoring its practical value and relevance to stakeholders. 民間セクターとの緊密なパートナーシップのもと開発されたFIREは、幅広い業務インシデントとサイバーインシデントを網羅している。その潜在的な適用範囲は、金融セクター以外のサードパーティ・サービス・プロバイダや企業にも及ぶ。インシデント報告における収束と柔軟性を促進することに重点を置いているため、強い支持を集めており、その実用的な価値と利害関係者にとっての妥当性が強調されている。
For jurisdictions without a standardised reporting framework, FIRE offers a robust foundation upon which they can build. For those with existing frameworks, it supports a phased implementation approach and is designed to be interoperable with current systems, ensuring a smooth transition and encouraging broad adoption. 標準化された報告枠組みを持たない国・地域にとって、FIREは強固な基盤を提供する。既存の枠組みを持つ国にとっては、FIREは段階的な導入アプローチをサポートし、現行システムとの相互運用が可能なように設計されている。
Klaas Knot, President of De Nederlandsche Bank and Chair of the FSB, said: “FIRE demonstrates how international regulatory cooperation can deliver benefits for all stakeholders. It also highlights the value of public-private partnerships in tackling shared challenges, such as those related to cyber and operational resilience.” オランダ銀行総裁でFSB議長のクラース・ノット(Klaas Knot)氏は、次のように述べた: 「FIREは、国際的な規制協力がいかにすべての利害関係者に利益をもたらすかを示している。FIREはまた、サイバーやオペレーショナル・レジリエンスに関連するような共通の課題に取り組む上での官民パートナーシップの価値を浮き彫りにしている」と述べた。
Notes to editors 編集後記
The finalised FIRE framework reflects public feedback received on the consultative version issued in October 2024, as well as the results of a robustness test that the FSB conducted using sanitised data from industry stakeholders. 最終化されたFIREの枠組みは、2024年10月に公表された諮問版に対して寄せられた一般からのフィードバックと、FSBが業界関係者から得たデータを編集して実施した堅牢性テストの結果を反映している。
FIRE builds on the FSB Recommendations to Achieve Greater Convergence in Cyber Incident Reporting, published in 2023. The 2023 Recommendations included an updated cyber lexicon and a concept for developing a common format for incident reporting exchange (FIRE) as a way to achieve greater convergence in cyber incident reporting. FIREは、2023年に公表された「サイバーインシデント報告におけるより大きな収束を達成するためのFSB勧告」に基づいている。2023年勧告には、サイバーインシデント報告の収束を高める方法として、最新のサイバー用語集と、インシデント報告交換のための共通フォーマット(FIRE)開発のコンセプトが含まれていた。
The FSB coordinates at the international level the work of national financial authorities and international standard-setting bodies and develops and promotes the implementation of effective regulatory, supervisory, and other financial sector policies in the interest of financial stability. It brings together national authorities responsible for financial stability in 24 countries and jurisdictions, international financial institutions, sector-specific international groupings of regulators and supervisors, and committees of central bank experts. The FSB also conducts outreach with approximately 70 other jurisdictions through its six Regional Consultative Groups. FSBは、各国金融当局と国際標準化団体の作業を国際レベルで調整し、金融の安定のために効果的な規制、監督、その他の金融セクター政策の策定と実施を促進する。FSBは、24カ国・地域の金融安定に責任を負う各国当局、国際金融機構、規制・監督当局からなるセクター別の国際グループ、中央銀行の専門家からなる委員会を結集している。FSBはまた、6つの地域協議グループ(Regional Consultative Groups)を通じて、他の約70の国・地域ともアウトリーチを行っている。
The FSB is chaired by Klaas Knot, President of De Nederlandsche Bank. The FSB Secretariat is located in Basel, Switzerland and hosted by the Bank for International Settlements. FSBの議長はクラース・ノットオランダ銀行総裁が務めている。FSB事務局はスイスのバーゼルにあり、国際決済銀行がホストしている。

 

報告書...

・2025.04.15 Format for Incident Reporting Exchange (FIRE): Final report

Format for Incident Reporting Exchange (FIRE): Final report インシデント報告交換フォーマット(FIRE): 最終報告書
The FSB has developed FIRE to reduce fragmentation in the reporting of cyber and other operational incidents and enhance cross-border cooperation. FSBは、サイバーインシデントやその他のオペレーショナルインシデントの報告の分断を減らし、国境を越えた協力を強化するため、FIREを開発した。
Cyber and operational incidents pose significant risks to the stability of the financial system. Incident reporting serves as a critical tool for supervisors to monitor disruptions. Timely and effective incident response and recovery are essential to mitigating risks to financial stability. サイバー・インシデントやオペレーショナル・インシデントは、金融システムの安定性に重大なリスクをもたらす。インシデント報告は、監督当局が混乱を監視するための重要なツールとなる。迅速かつ効果的なインシデント対応と復旧は、金融の安定に対するリスクを緩和するために不可欠である。
This report presents the Format for Incident Reporting Exchange (FIRE), a common framework that financial firms can use to report operational incidents, including cyber incidents. 本レポートは、金融機関がサイバー・インシデントを含む業務上のインシデントを報告するために使用できる共通の枠組みであるFIRE(Format for Incident Reporting Exchange)を紹介している。
Developed in collaboration with the private sector, FIRE is a global initiative designed to promote consistency, address the challenges of reporting to multiple authorities, and enhance communication within and across jurisdictions. FIREは民間セクターと共同で開発されたグローバルなイニシアティブであり、一貫性を促進し、複数の認可当局に報告する際の課題に対処し、法域内および法域を超えたコミュニケーションを強化することを目的としている。
FIRE provides a set of standardised information items and is designed in a way to maximise flexibility and interoperability. It covers a broad range of operational and cyber incidents and can also be used by third-party service providers and organisations beyond the financial sector. Industry practitioners have praised FIRE for its practical benefits. FIREは標準化された一連の情報項目をプロバイダとして提供し、柔軟性と相互運用性を最大化するように設計されている。FIREは幅広い業務インシデントやサイバーインシデントをカバーし、サードパーティーのサービスプロバイダーや金融セクター以外の組織も利用することができる。業界関係者は、FIREの実用的な利点を高く評価している。
For jurisdictions without a standardised reporting framework, FIRE offers a strong foundation to build upon. For those with existing frameworks, it supports phased implementation and is designed to integrate seamlessly with current systems, enabling a smooth transition and fostering widespread adoption. 標準化された報告枠組みを持たない国・地域にとって、FIREはその上に構築するための強固な基盤を提供する。既存の枠組みを持つ国・地域にとっては、段階的な導入をサポートし、現行システムとシームレスに統合できるよう設計されているため、スムーズな移行が可能となり、広範な導入が促進される。
To facilitate adoption of FIRE globally, the FSB is also releasing a downloadable taxonomy package, containing a data model based on the Data Point Model (DPM) method, enabling machine-readable formats of FIRE, such as in eXtensible Business Reporting Language (XBRL), as well as associated validation rules. FSBはまた、FIREのグローバルな採用を促進するため、データ・ポイント・モデル(DPM)手法に基づくデータ・モデルを含む、ダウンロード可能なタクソノミ・パッケージを公表している。
The FSB will hold a workshop with industry and authorities in 2027 to review the experiences with FIRE and implementation challenges. FSBは2027年に産業界や当局とワークショップを開催し、FIREの経験と導入上の課題を検討する。

 

・[PDF

20250502-52915

・[DOCX][PDF] 仮訳

 

・[Youtube]

20250502-52656

 

タクソノミーパッケージ

Format for Incident Reporting Exchange (FIRE): Taxonomy package

Format for Incident Reporting Exchange (FIRE): Taxonomy package インシデント報告交換フォーマット(FIRE): 分類パッケージ
On 15 April 2025 the FSb published a Format for Incident Reporting Exchange (FIRE), designed to streamline cyber incident reporting. To facilitate adoption of FIRE globally, the following technical supporting standards are also published and available for downloading along with the FIRE reporting requirements: 2025年4月15日、FSbはサイバーインシデント報告の合理化を目的としたFormat for Incident Reporting Exchange (FIRE)を発表した。FIREの世界的な採用を促進するため、以下の技術標準も公表され、FIREの報告要件とともにダウンロードできる:
DPM Data Dictionary DPMデータ辞書
This is the data dictionary, in DPM 1.0., providing the structured representation of the data required for FIRE reporting. これはDPM 1.0のデータディクショナリで、FIRE報告に必要なデータの構造化表現を提供する。
Data Point Model (DPM) is a data centric method for organising business terms and concepts hierarchically. It presents data in various reporting scenarios derived from the underlying legal requirements in a business friendly and non-technical manner. DPM bridges the communications gap between business and IT by providing a necessary common understanding. Business concepts are specified in the DPM according to formal rules required by IT specialists, while remaining manageable by policy experts and other data users. データ・ポイント・モデル(DPM)は、ビジネス用語や概念を階層的に整理するデータ中心の手法である。基礎となる法的要件から導き出される様々な報告シナリオにおけるデータを、ビジネスフレンドリーかつ非技術的な方法で提示する。DPMは、必要な共通理解をプロバイダとして提供することで、ビジネスとITのコミュニケーションギャップを埋める。ビジネスコンセプトは、IT専門家が必要とする正式なルールに従ってDPMで規定されるが、同時に、ポリシーの専門家やその他のデータ利用者が管理しやすい状態を保つ。
The DPM method provides a precise, complete and unambiguous definition of terms and concepts. This enables building logical structures of information requirements (such as messages, tables, data sets or cubes) based on underlying business dictionaries that can be understood by both business and technical users. Developed through cooperation between European stakeholders, DPM is now contained in ISO 5116 and is used by various national and international regulators. DPM法は、用語や概念の正確で完全かつ曖昧性のない定義を提供する。これにより、ビジネスユーザーと技術ユーザーの両方が理解できる基本的なビジネス辞書に基づいて、情報要件の論理構造(メッセージ、テーブル、データセット、キューブなど)を構築することができる。欧州の関係者の協力により開発されたDPMは、現在ISO 5116に含まれ、さまざまな国内外の規制当局で使用されている。
Download: FIRE DPM v1.0 (zip file | 428 KB) ダウンロードする FIRE DPM v1.0 (zipファイル | 428 KB)
Validation rules 妥当性確認ルール
Validation rules are tests to be applied to reported data to check its consistency. 妥当性確認ルールとは、報告されたデータの整合性を確認するために適用されるテストである。
If the result of a validation rule to a set of data is true, the data reported is consistent according to that rule. If the result is false, the reported information presents an inconsistency that should be checked or corrected. データセットに対する妥当性確認ルールの結果が真であれば、報告されたデータはそのルールに従って一貫している。結果が偽の場合、報告された情報にはチェックまたは修正すべき矛盾がある。
Download: FIRE validation rules v1.0 (xlsx file | 25 KB) ダウンロード: FIRE妥当性確認ルールv1.0 (xlsxファイル | 25 KB)
XBRL taxonomy XBRLタクソノミ
FIRE report with XBRL tagging to support the report submission. 報告書提出をサポートするXBRLタグ付FIRE報告書
eXtensible Business Reporting Language (XBRL) is a standard for digital reporting of financial, performance, risk and compliance information. It is a freely licensed, open standard available to all. eXtensible Business Reporting Language (XBRL)は、財務、業績、リスク、コンプライアンス情報をデジタルで報告するための標準である。XBRLは自由にライセンスされ、誰でも利用できるオープンな標準である。
The provided XBRL taxonomy is an example. If implemented by a national authority, this taxonomy would facilitate reporting by entities in formats such as XBRL-XML or xBRL-CSV. Some jurisdictions already have existing XBRL-based reporting mechanisms, while others may choose to use different methods for implementation. プロバイダが提供するXBRL分類法はその一例である。このタクソノミーを各国の認可機関が導入すれば、事業体によるXBRL-XMLやxBRL-CSVといった形式での報告が容易になる。既にXBRLに基づく報告メカニズムを持っている法域もあれば、別の方法を選択する法域もある。
There are a variety of XBRL tools – both open source and enterprise-wide – available for institutions to facilitate the validation and creation of XBRL reports. XBRL報告書の妥当性確認や作成を容易にするために、機構が利用できるXBRLツールは、オープンソースからエンタープライズまで様々なものがある。
In its simplest form, an Excel plug-in could provide the FIRE template, and after updating, it could run the validation rule along with the generation of the submission-ready XBRL file. Institutions can explore various software solutions that meet their specific needs, including open-source options, to effectively manage their XBRL reporting requirements. 最も単純な形では、エクセルのプラグインがFIREテンプレートを提供し、更新後、提出可能なXBRLファイルの生成とともに妥当性確認ルールを実行することができる。機構は、XBRL報告要件を効果的に管理するために、オープンソースソフトウェアを含め、それぞれのニーズに合った様々なソフトウェアソリューションを検討することができる。
More information about XBRL and supporting software is available on the XBRL International website. XBRLとそれをサポートするソフトウェアの詳細については、XBRL Internationalのウェブサイトを参照されたい。
Download: ダウンロード
FIRE XBRL Taxonomy v1.0 (zip file | 792 KB) FIRE XBRLタクソノミv1.0 (zipファイル | 792 KB)
FIRE XBRL incident report example (zip file | 3 KB) FIREXBRLインシデント・レポート例 (zipファイル | 3 KB)
The FSB will maintain this taxonomy package and may publish new versions of it, for example, if new DPM and/or XBRL functionalities become available. FSBはこのタクソノミ・パッケージを維持管理し、新しいDPMやXBRL機能が利用可能になった場合などには、新バージョンを公表する可能性がある。

 

 

金融庁

・2025.04.22 金融安定理事会による最終報告書「インシデント報告交換フォーマット(FIRE)」の公表について

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.11.01 金融安定理事会 (FSB) 市中協議文書「インシデント報告交換フォーマット(FIRE)」の公表 (2024.10.17)

・2023.04.17 金融安定理事会 (FSB) サイバーインシデント報告におけるより大きな収束を実現するための提言

・2022.10.23 金融安定理事会 サイバーインシデント報告における収斂を高めるための提言

 

 

| | Comments (0)

2025.05.01

デジタル庁 電子署名及び認証業務に関する法律施行規則の一部を改正する命令案等に対する意見募集 (2024.04.28)

こんにちは、丸山満彦です。

デジタル庁が、電子署名及び認証業務に関する法律施行規則の一部を改正する命令案等に対する意見募集をしていますね...

2001年に制定されてから大きな変更が行われていなかったので、技術的動向やセキュリティに関する考え方の変化等を踏まえて、認定基準に関する課題やその課題解決のために「令和6年度電子署名法認定基準のモダナイズ検討会」において認定基準の見直し等の方向性(このブログ...)について議論してきた結果を踏まえての改定案ということですかね。。。

 

● デジタル庁

・2025.04.28 電子署名法施行規則の一部を改正する命令案等に係る意見募集を行います

 

● eGov

・2025.04.28 電子署名及び認証業務に関する法律施行規則の一部を改正する命令案等に対する意見募集について

 

改正の概要...

・[PDF] 

20250501-53504

 

意見募集にかかっているのは...

(1) 電子署名法施行規則の改正案 電子署名及び認証業務に関する法律施行規則(平成13年総務省・法務省・経済産業省令第2号)の一部を改正する命令

(2) 電子署名法認定指針の改正案 電子署名及び認証業務に関する法律に基づく特定認証業務の認定に係る指針(平成13年総務省・法務省・経済産業省告示第2号)の一部を改正する件

(3) 電子署名法調査方針の改正案 電子署名及び認証業務に関する法律に基づく指定調査機関の調査に関する方針(デジタル庁統括官(デジタル社会共通機能担当)・法務省民事局長通知)

 

 


 

参考

財団法人日弁連法務研究財団で2020.12.18に開催され松本さんの資料...

 

● 財団法人日弁連法務研究財団

・2020.09.18 シンポジウム「電子契約の過去・現在・未来-書面・押印・対面の見直しのための技術と法」(2020年12月18日)のご案内

・[PDF] 電子署名法の課題と未来」/松本 泰 氏(セコム(株)IS研究所)

20250501-63212

これを読むと(あるいは動画できくと...)方向性がわかるかも...

 


まるちゃんの情報セキュリティ気まぐれ日記

・2025.03.22 デジタル庁 電子署名法認定基準のモダナイズ検討会報告書 (2025.03.21)

 

| | Comments (0)

2025.04.30

NEXCO中日本 広域的なETCシステム障害発生時の危機管理検討委員会 「広域的なETCシステム障害発生に対する当面の対策」(2025.04.22)

こんにちは、丸山満彦です。

2025.04.06に発生したETCシステムの障害で高速道路使用が混乱しましたが、その後速やかに第三者委員による検討委員会が組成され(2025.04.18)、2回の委員会の開催を経て、2025.04.22に当面の対策が公表されていますね...

委員には、JPCERT/CCの理事長もされている菊池先生も就任されていますね...

今後6月中を目処として、「再発防止策の取りまとめ」と「広域的なシステム障害への危機対応マニュアルの策定」を行うようです...

 

NEXCO中日本

広域的なETCシステム障害発生時の危機管理検討委員会

委員

委員長 中村 英樹 名古屋大学大学院
環境学研究科 教授
委員 菊池 浩明 明治大学 総合数理学部 先端メディアサイエンス学科 専任教授
委員 伊藤 歌奈子 弁護士
(愛知県弁護士会所属)

 

議事内容

・2025.04.18 第1回委員会

  • 議事概要 
    • 3.議事
      (1)広域的な ETC システム障害の発生事象について
      (2)システム障害の原因について
      (3)委員会の進め方とスケジュール
    • 4.議事概要
      〇広域的な ETC システム障害の発生事象について、システム障害への対応、料金所における ETC レーンの運用、お客さまへの情報提供の状況を確認し、当面の対策としての主な検討項目と主な課題について意見交換をした。
      〇システム障害の原因究明に向け、ETC カードの判定データが破損した状況を確認し、再発防止について意見交換をした。
      〇今後、6 月中を目処に、再発防止策をとりまとめ、広域的なシステム障害への危機対応マニュアルを策定していくことを確認した。


2025.04.22 第2回委員会

  • 議事概要 
  • 3.議事
    (1)今回のシステム障害に対する原因究明結果
    (2)広域的なETCシステム障害発生に対する当面の対策
    (3)委員会の進め方とスケジュール
  • 4.議事概要
    〇今回のシステム障害に対する原因究明結果について確認した
    〇当面の対策として講じる、料金所における ETC のレーンの運用、お客さまへの情報提供、ETC システム障害からの早期復旧、本部体制の構築及び連絡体制の構築について確認した
    〇今回の広域的な ETC システム障害に係る供用約款の位置付け、通行料金、瑕疵、損害賠償責任及び不正通行についての考え方を確認した
    〇深夜割引見直しの運用開始時期について、改めて工程の精査を実施していくことを確認した
    〇今後、6 月中を目処に再発防止策をとりまとめ、広域的なシステム障害への危機対応マニュアルを策定していくことを確認した

  • 委員会資料 [downloaded]

  • 広域的なETCシステム障害発生に対する当面の対策 [downloaded]

20250430-53618

 


 

話は別ですが、最近

三井住友銀行のATM@関西での障害(勘定系システムの障害で22時間後に復旧)や

・2029.04.30 NHK 三井住友銀行 システム障害 すべて復旧と発表

・2025.04.29 NHK 三井住友銀行 システム障害で計47か所のATM利用できず

 

イベリア半島での停電

・2025.04.29 NHK スペインとポルトガル大規模停電 復旧も鉄道遅延など影響続く

首相「15ギガワットの電力 わずか5秒間で失われた」


スペインのサンチェス首相は28日、国民向けの演説の中で「技術者から聞いている話では、28日午後0時33分に15ギガワットの電力がわずか5秒間で失われた」と述べ、国内の電力需要の6割程度が一瞬にして失われたことを明らかにし、技術者などが原因の究明を急いでいると説明しました。

 

など、いろいろとありますね...

 


 

委員の先生方には是非、私のブログの次のトピックスを読んでいただきたいですね...(^^)

まるちゃんの情報セキュリティ気まぐれ日記

・2025.04.07 社会的に止まっては困る業務に関わる情報システムについて...

 

あとは、レジリエンスについての長年の蓄積がある金融機関の事例等が参考になると思いますので、こちらのトピックスも...

・2024.06.29 金融庁 金融機関のシステム障害に関する分析レポート 2024 (2024.06.26)

 

・2023.07.07 金融庁 「「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」の改訂(案)に対するパブリック・コメントの結果等の公表」及び「金融機関のシステム障害に関する分析レポート」 (2023.06.30)

・2022.07.05 金融庁 「金融機関のITガバナンス等に関する調査結果レポート」及び「金融機関のシステム障害に関する分析レポート」

・2021.07.02 金融庁 「金融機関のITガバナンス等に関する調査結果レポート」及び「金融機関のシステム障害に関する分析レポート」の公表について

 

 

| | Comments (0)

2025.04.29

Google Mandiantのレポート (M-Trends 2025 Report) (2025.04.24)

こんにちは、丸山満彦です。

Mandiantが2025年の脅威インテリジェンスレポートを公表していますね...ダウンロードをするためには、会社関係の登録が必要となります...

レポートは92ページあります。

 

・組織への侵入経路は

  • 最も多いのは脆弱性の悪用で33%。攻撃者は特にセキュリティデバイスやネットワークエッジデバイスを標的にしている。
  • 次に多いのは盗み出した認証情報(16%)とフィッシング(14%)。認証情報の窃取やソーシャルエンジニアリングの巧妙化が脅威を増大させている。認証情報の盗難は、地下フォーラムでの購入やインフォスティーラーによる収集を通じて増加している。多要素認証(MFA)の導入が急務。

・攻撃を受けている割合

  • 金融セクター 全体の約18%。同期は価値高いデータの入手や金銭的利益。
  • 続いて、専門職、ハイテク企業、政府、ヘルスケア

・攻撃者の滞在時間(検知するまでの時間)

  • 11日
  • 攻撃者による通知(14%)、内部検知(43%)、外部の検知(43%)

・新たな脅威

  • 北朝鮮のITワーカーによる内部脅威。金融、通信、ハイテク業界で確認されている。初期侵入の5%
  • Web3を標的した攻撃の増加

 

Google

・2025.04.24 M-Trends 2025 Report is now available

M-Trends 2025 Report is now available M-Trends 2025 レポートを発表
Stay ahead of the latest cyber threats with frontline insights from our incident response investigations. インシデント対応調査から得た最前線の知見で、最新のサイバー脅威を先取りしよう。
In this 16th edition of M-Trends, we share our observations and analysis of the dynamic threat landscape, and aim to provide security professionals with actionable guidance to enhance their security posture. M-Trendsの第16版である本レポートでは、ダイナミックな脅威の状況についての見解と分析を共有し、セキュリティ担当者にセキュリティ体制を強化するための実用的なガイダンスを提供することを目的としている。
Key trends explored in the report: 本レポートの主なトレンド
・Incident response metrics, including top detection sources and initial infection vectors ・インシデント対応の指標(上位の検知ソースや初期感染ベクトルなど
・Growing risk posed by infostealer malware ・情報窃取マルウェアがもたらすリスクの増大
・The Democratic People’s Republic of Korea IT worker threat ・朝鮮民主主義人民共和国のIT労働者の脅威
・The danger of unsecured data repositories ・安全でないデータ保管庫の危険性
・The Iranian threat landscape in 2024 ・2024年におけるイランの脅威状況
・The evolution of data theft in cloud and software as a service environments ・クラウドおよびSaaS環境におけるデータ盗難の進化
・Common themes in cloud compromise investigations ・クラウド侵害の調査に共通するテーマ
・Threats to Web3 and cryptocurrency ・Web3と暗号通貨への脅威

 

 

登録するとファイルがダウンロードできます...

20250429-52258

 

目次...

Introduction 序文
By the Numbers 数字で見る
Campaigns and Global Events キャンペーンと世界的な出来事
Targeted Attacks 標的型攻撃
Ransomware ランサムウェア
Cloud Compromises クラウド侵害
Threat Techniques 脅威の手口
Regional Reports 地域別レポート
 Americas  米州
 EMEA  欧州・中東・アフリカ
 JAPAC  日本
Articles 記事
Infostealer Malware Continues to Create a Threat to Enterprise Systems エンタープライズシステムへの脅威を生み続けるインフォステアマルウェア
Democratic People’s Republic of Korea Insider Threats 朝鮮民主主義人民共和国 インサイダーの脅威
The 2024 Iranian Threat Landscape 2024年イランの脅威情勢
Evolution of Data Theft in Cloud and Software-as-a-Service Environments クラウドおよびソフトウェア・アズ・ア・サービス環境におけるデータ盗難の進化 クラウドとSaaS環境におけるデータ盗難の進化
Common Themes in Cloud Compromise Investigations クラウド侵害の調査における共通のテーマ
Security Recommendations for Diverse Cloud and Hybrid Environments 多様なクラウドおよびハイブリッド環境に対するセキュリティの推奨
Threats to Web3 and Cryptocurrency Web3と暗号通貨への脅威
Unsecured Data Repositories 安全でないデータリポジトリ
Conclusion 結論
MITRE ATT&CK MITRE ATT&CK
Bibliography 参考文献

 

 

 

 

| | Comments (0)

2025.04.28

米国 FBI 従業員セルフサービスウェブサイトのなりすましに警告...(2025.04.25)

こんにちは、丸山満彦です。

企業や政府などの従業員が例えば給与明細を確認したり、住所変更などを自分でするようなサイトを模したサイトに誘導し、認証情報等を盗み出すような手口について、FBIが警告していますね。。。

個人、企業に対しての対策も書いていますけどね...

利用者としては、コピーされるとわかりませんよね... URLをちゃんと見るという感じなんでしょうけど...

 

IC3

・2025.04.25 Cyber Criminals Impersonating Employee Self-Service Websites to Steal Victim Information and Funds

 

Alert Number: I-042425-PSA アラート番号:I-042425-PSA
Cyber Criminals Impersonating Employee Self-Service Websites to Steal Victim Information and Funds サイバー犯罪者が従業員セルフサービスウェブサイトになりすまし、被害者の情報と資金を盗む
The FBI is warning the public that cyber criminals are targeting users of employee self-service websites owned by companies and government services. The cyber criminals are using search engine advertisements to impersonate legitimate websites and steal victim information and funds. FBIは、サイバー犯罪者が企業や政府サービスが所有する従業員セルフサービスウェブサイトの利用者を標的にしていることを警告している。サイバー犯罪者は、検索エンジン広告を利用して正規のウェブサイトになりすまし、被害者の情報や資金を盗んでいる。
Cyber criminals use fraudulent search engine advertisements to direct users to malicious websites that mimic the legitimate sites in appearance, but steal login credentials and other financial information when the victim logs in. Previously, cyber criminals primarily targeted small business commercial bank accounts in account takeover schemes, but have expanded to target payroll, unemployment programs, and health savings accounts with the goal of stealing money through fraudulent wire transactions or redirecting payments. サイバー犯罪者は、不正な検索エンジン広告を利用してユーザーを悪意のあるウェブサイトに誘導し、正規サイトの外観を模倣するが、被害者がログインした際にログイン認証情報やその他の財務情報を盗み出す。以前は、サイバー犯罪者は口座乗っ取りスキームで主に中小企業の商業銀行口座をターゲットにしていたが、不正な電信取引や支払いのリダイレクトを通じて金銭を盗むことを目的に、給与、失業プログラム、健康貯蓄口座をターゲットに拡大している。
Methodology 手口
Cyber criminals use advertisements that imitate legitimate companies to misdirect targets conducting an internet search for a specific website. The fraudulent URL appears at the top of search results and mimics the legitimate business URL with minimal differences, such as a minor misspelling. When targets click on the fraudulent advertisement link, they are redirected to a phishing website that closely mirrors the legitimate website. When the target enters login credentials, the cyber criminal intercepts the credentials. サイバー犯罪者は、正規の企業を模倣した広告を利用し、特定のウェブサイトをインターネット検索している標的を誤誘導する。不正なURLは検索結果の上位に表示され、スペルミスなど最小限の違いで正規企業のURLを模倣する。ターゲットが不正な広告リンクをクリックすると、正規のウェブサイトを忠実に模倣したフィッシング・ウェブサイトにリダイレクトされる。ターゲットがログイン認証情報を入力すると、サイバー犯罪者はその認証情報を傍受する。
Cyber criminals use captured credentials to gain full access to the victim's legitimate account and may use social engineering tactics to obtain the victim's token, if multi-factor authentication is enabled. One social engineering tactic involves masquerading as a bank representative while calling the victim and asking for their one-time passcode. The phishing site may also prompt the victim to enter their multifactor token. If a bank account is compromised, cyber criminals can transfer money from the accounts. If an employee payroll account, unemployment account, health savings account, or retirement account is accessed, the cyber criminal can change the direct deposit information and redirect future payments. If cyber criminals gain access to victim personally identifiable information (PII), they can also create new accounts that defraud victims. One indicator that cyber criminals have compromised a victim's financial account is the receipt of thousands of spam emails within a short period of time. Cyber criminals use spam emails to prevent the victim from noticing a legitimate organization's notification of account compromise サイバー犯罪者は、取得した認証情報を使って被害者の正規アカウントにフルアクセスし、多要素認証が有効になっている場合は、ソーシャル・エンジニアリングの手口を使って被害者のトークンを取得することもある。ソーシャル・エンジニアリングの1つの手口は、銀行の代表者になりすまして被害者に電話をかけ、ワンタイム・パスコードの入力を求めるというものである。フィッシング・サイトでは、被害者に多要素トークンの入力を促すこともある。銀行口座が侵害されると、サイバー犯罪者は口座から送金することができる。従業員の給与口座、失業口座、健康貯蓄口座、または退職口座にアクセスされた場合、サイバー犯罪者は口座振替情報を変更し、将来の支払いをリダイレクトすることができる。サイバー犯罪者が被害者の個人を特定できる情報(PII)にアクセスした場合、被害者を詐取する新しい口座を作ることもできる。サイバー犯罪者が被害者の金融口座に侵入したことを示す一つの指標は、短期間に何千通ものスパムメールを受信することである。サイバー犯罪者は、スパムメールを利用して、被害者が正規の組織からの口座侵害の通知に気付かないようにする
Tips to Protect Yourself 自分を守るための防御策
While most search engine advertisements are not malicious, it is important to practice caution when accessing a web page through an advertisement. 検索エンジンの広告のほとんどは悪意があるものではないが、広告を経由してウェブページにアクセスする際には注意が必要である。
The FBI recommends individuals take the following precautions: FBIは、個人に対して、以下のような注意を払うよう推奨している:
・Exercise caution when clicking on advertisements. Before clicking on an advertisement, check the URL to make sure the site is authentic. A malicious URL may be similar to the legitimate URL, but with typos. Malicious advertisements may also redirect users to a different website than indicated. ・広告をクリックする際には十分注意すること。広告をクリックする前にURLを確認し、そのサイトが認証されていることを確認する。悪意のあるURLは、正規のURLと似ているが、タイプミスがある場合がある。また、悪質な広告は、ユーザーを表示とは異なるウェブサイトにリダイレクトさせることもある。
・Type the business's URL directly into an internet browser address bar to access the official website instead of searching for it in a search engine. ・検索エンジンで探すのではなく、インターネット・ブラウザのアドレスバーに企業のURLを直接入力して公式サイトにアクセスする。
・Use an ad blocking extension when performing internet searches. Most internet browsers allow a user to add extensions, including extensions that block advertisements. These ad blockers can be turned on and off within a browser to permit advertisements on certain websites while blocking advertisements on others. ・インターネット検索を行う際には、広告ブロック拡張機能を使用する。ほとんどのインターネット・ブラウザでは、ユーザーが拡張機能を追加することができ、その中には広告をブロックする拡張機能も含まれている。これらの広告ブロック機能は、ブラウザ内でオン・オフを切り替えることができ、特定のウェブサイトでは広告を許可し、他のウェブサイトでは広告をブロックすることができる。
・Use Bookmarks or Favorites for navigating to login websites rather than clicking on Internet search results or advertisements. Multi-factor authentication will not protect you if you land on a fraudulent login page. ・インターネットの検索結果や広告をクリックするのではなく、ブックマークやお気に入りを使用してログイン・ウェブサイトに移動する。多要素認証では、詐欺的なログインページにアクセスした場合に保護されない。
・If your account requires multi-factor authorization, be aware that cyber criminals may use social engineering techniques to obtain access to accounts, including calling and pretending to be a bank employee or technical support to obtain a One-Time Passcode. アカウントに多要素認証が必要な場合、サイバー犯罪者はソーシャル・エンジニアリングのテクニックを使ってアカウントにアクセスすることがある。
The FBI recommends businesses take the following precautions: FBIは、企業に対して以下のような予防策を講じることを推奨している:
・Use domain protection services to notify businesses when similar domains are registered to prevent domain spoofing. ・ドメイン詐称を防ぐため、類似のドメインが登録された際に企業に通知するドメイン防御サービスを利用する。
・Notify the user immediately via multiple methods (phone, email, text message) when fraudulent wire transactions are detected. ・不正な電信取引が検知された場合は、複数の方法(電話、電子メール、テキストメッセージ)で直ちにユーザーに通知する。
・Educate users about spoofed websites and the importance of confirming destination URLs. ・なりすましのウェブサイトや、宛先URLを確認することの重要性について、利用者を教育する。
・Educate users about where to find legitimate downloads for programs provided by the business. ・事業者が提供するプログラムの正規のダウンロード先がどこにあるか、ユーザーを教育する。
Reporting 報告
If you believe you clicked on a fraudulent search engine advertisement, report the fraud to the FBI Internet Crime Complaint Center at www.ic3.gov. Be sure to include transaction information when available. When fraudulent transactions are reported in a timely manner and complete transaction information is provided, the IC3 Recovery Asset Team may be able to assist in freezing hundreds of thousands of dollars for victims of cybercrime, including fraud. It is also important to contact your bank/payroll/health savings organization to request a recall or reversal as soon as you recognize fraud. 不正な検索エンジンの広告をクリックしたと思われる場合は、FBIインターネット犯罪苦情センター(www.ic3.gov)に詐欺を報告する。その際、取引情報があれば必ず記載すること。詐欺取引が適時に報告され、完全な取引情報が提供された場合、IC3 Recovery Asset Teamは、詐欺を含むサイバー犯罪の被害者のために数十万ドルの凍結を支援できる可能性がある。また、詐欺に気づいたらすぐに銀行/給与支払機関/健康貯蓄機関に連絡し、回収または取り消しを要請することも重要である。

 

 

1_20250428102201

 

 

 

| | Comments (0)

デジタル庁 ウェブアクセシビリティ検証結果 (2025.04.25)

こんにちは、丸山満彦です。

「誰一人取り残されない、人にやさしいデジタル社会の実現」を目指しているデジタル庁が3回目となるウェブアクセシビリティ検証結果を公表していますね...

これはデジタル庁が自ら、「https://www.digital.go.jp/ 以下の全てのページ」を対象とし、JIS X 8341-3:2016 高齢者・障害者等配慮設計指針−情報通信における機器,ソフトウェア及びサービス− 第3部:ウェブコンテンツ に準拠しているかを、ウェブアクセシビリティ基盤委員会が公表しているウェブコンテンツのウェブコンテンツの JIS X 8341-3:2016 対応度表記ガイドラインに基づいて、75ページをサンプリングし確認をしたものですね。今年で3回目となりますね...

満たしている適合レベルは、「Aに一部準拠」ですね。。。

ちなみに、JIS X 8341-3:2016では、次の3つの適合レベルがあります...


  • A(最低レベル)
  • AA
  • AAA(最高レベル)

 

こういうことは重要(このブログも字が小さいかも...)ですね。。。利用者がサイバー犯罪(例えばフィッシングなど)に巻き込まれるリスクについて、アクセシビリティがどう影響するのかよくわからないところはありますが、少し考えておきたいと思っています...

 

デジタル庁

・2025.04.25 ウェブアクセシビリティ

 

結果

ウェブアクセシビリティ検証結果

該当がない項目はグレーにしています...適合していない項目は太字にしています...

No. 達成基準 適合レベル 適用 結果
1.1.1 非テキストコンテンツ A ×
1.2.1 音声だけ及び映像だけ(収録済み) A -
1.2.2 キャプション(収録済み) A
1.2.3 音声解説又はメディアに対する代替コンテンツ(収録済み) A ×
1.2.4 キャプション(ライブ) AA -
1.2.5 音声解説(収録済み) AA ×
1.3.1 情報及び関係性 A ×
1.3.2 意味のある順序 A
1.3.3 感覚的な特徴 A -
1.4.1 色の使用 A
1.4.2 音声の制御 A
1.4.3 コントラスト(最低限レベル) AA
1.4.4 テキストのサイズ変更 AA
1.4.5 文字画像 AA -
2.1.1 キーボード操作 A
2.1.2 キーボードトラップなし A
2.2.1 タイミング調整可能 A -
2.2.2 一時停止,停止及び非表示 A -
2.3.1 3回のせん(閃)光,又はしきい(閾)値以下 A -
2.4.1 ブロックスキップ A
2.4.2 ページタイトル A ×
2.4.3 フォーカス順序 A
2.4.4 リンクの目的(コンテキスト内) A
2.4.5 複数の手段 AA
2.4.6 見出し及びラベル AA
2.4.7 フォーカスの可視化 AA
3.1.1 ページの言語 A ×
3.1.2 一部分の言語 AA ×
3.2.1 フォーカス時 A -
3.2.2 入力時 A -
3.2.3 一貫したナビゲーション AA
3.2.4 一貫した識別性 AA
3.3.1 エラーの特定 A
3.3.2 ラベル又は説明 A
3.3.3 エラー修正の提案 AA
3.3.4 エラー回避(法的,金融及びデータ) AA -
4.1.1 構文解析 A
4.1.2 名前(name),役割(role)及び値(value) A

 

 


 

過去の結果...

・2024.04.01 令和5年度の検証結果

・2022.08.31 令和4年度の検証結果

 

 

1_20240704061101

 

追記(2025.04.29)

Aに一部準拠」ですが、多くの企業や政府組織のウェブサイトはほぼ準拠できていないと思われるので、これはそれなりにすごいことです...

NEDOは「AAに一部準拠」。。。https://www.nedo.go.jp/qinf/ac_result2023.html

 


 

関連...

規格協会

・2016.03.22 JIS X 8341-3:2016 高齢者・障害者等配慮設計指針―情報通信における機器,ソフトウェア及びサービス―第3部:ウェブコンテンツ

 

●  ウェブアクセシビリティ基盤委員会

ガイドライン

 最新のガイドライン

Web Content Accessibility Guidelines (WCAG) 2.2 (日本語訳)

WCAG2.2が勧告となったことから、JIS X 8341-3の改訂の動きもありますね...

・2024.11.21 JIS X 8341-3の改正に関する準備──ウェブアクセシビリティ基盤委員会 作業部会6

 

W3C

Web Content Accessibility Guidelines (WCAG) 2.2

 

 

 

| | Comments (0)

«米国 FBI 2024年インターネット犯罪レポート (2025.04.23)