2021.09.23

金融庁 みずほ銀行及びみずほフィナンシャルグループに対する行政処分について

こんにちは、丸山満彦です。

度重なる、システム障害について金融庁がみずほ銀行及びみずほフィナンシャルグループに対して行政処分をだしましたね。。。

 

● 金融庁

・2021.09.22 みずほ銀行及びみずほフィナンシャルグループに対する行政処分について


金融庁は、本日、株式会社みずほ銀行(以下「当行」という。)及び株式会社みずほフィナンシャルグループ(以下「当社」という。)に対し、以下のとおり業務改善命令を発出した。

Ⅰ.業務改善命令の内容

【みずほ銀行】(銀行法第26条第1項

  1.  当面のシステム更改及び更新等(顧客影響を生ずる機器の更改及び更新並びに保守作業を含む。以下同じ。)の計画について、これまでのシステム障害、システム更改及び更新等を行う必要性及び緊急性並びに銀行業務に及ぼすリスクを踏まえた、再検証及び見直しを行うこと。
  2.  上記1.により再検証及び見直しを行った上で実行すべきシステム更改及び更新等がある場合には、当該システム更改及び更新等に係る適切な管理態勢(障害発生時の顧客対応に係る態勢を含む。以下同じ。)を確保すること。
  3.  当面のシステム更改及び更新等の計画について、上記1.に基づく再検証及び見直しの結果並びに上記2.に基づく適切な管理態勢の確保のための計画を10月29日(金)まで(10月末までの計画については、10月6日(水)まで)に提出し、速やかに実行すること。なお、当該計画の変更又は追加等を行った場合には、速やかに追加報告を行うこと。


【みずほフィナンシャルグループ】(銀行法第52条の33第1項

  1.  当行によるシステム更改及び更新等の計画に係る再検証及び見直しの結果並びに適切な管理態勢の確保のための計画を検証すること。
  2.  上記1.の検証結果について、10月29日(金)までに提出すること。

 
Ⅱ.処分の理由

 【みずほ銀行

  1.  当行は、令和3年2月から9月の間に合計7回のシステム障害を発生させ、個人・法人の利用者に大きな影響を及ぼしている。これを受け、金融庁は検査において、当行及び当社のシステム面及びガバナンス面について全般的な検証を進めている。
  2.  一方、当行においては、今後、業務継続上必要なシステム更改及び更新等の実施が見込まれており、これらが新たなシステム障害の発生を招くことのないよう、システム更改及び更新等に係る適切な管理態勢を確保する必要があると認められる。


【みずほフィナンシャルグループ】

 当社においては、当行の銀行持株会社として、当行の行うシステム更改及び更新等に係る管理態勢の状況を適切に経営管理する必要があると認められる。

 


まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.16 みずほFG システム障害特別調査委員会の調査報告書

10年前の話...

・2011.05.21 みずほ銀行 システム障害特別調査委員会の調査報告書

・2011.03.29 金融庁 みずほ銀の事故の根本原因を検査

 

こちらは着服事例

・2006.01.15 銀行行員等による顧客預金の着服

 

 

| | Comments (0)

2021.09.22

NIST SP 800-50 Rev.1 (ドラフト)  ドラフト作成前のコメント募集:サイバーセキュリティとプライバシーに関する意識向上とトレーニングプログラムの構築

こんにちは、丸山満彦です。

NISTが、SP 800-50 Rev.1 (ドラフト)  ドラフト作成前のコメント募集:サイバーセキュリティとプライバシーに関する意識向上とトレーニングプログラムの構築を公表し、意見募集をしていますね。

ここでえられた意見を踏まえて、ドラフトを作成するようですね。。。

● NIST - ITL

・2021.09.21 SP 800-50 Rev. 1 (Draft) PRE-DRAFT Call for Comments: Building a Cybersecurity and Privacy Awareness and Training Program

 

SP 800-50 Rev. 1 (Draft) PRE-DRAFT Call for Comments: Building a Cybersecurity and Privacy Awareness and Training Program SP 800-50 Rev.1 (ドラフト)  ドラフト作成前のコメント募集:サイバーセキュリティとプライバシーに関する意識向上とトレーニングプログラムの構築
Announcement 発表
Cybersecurity awareness and training resources, methodologies, and requirements have evolved since NIST Special Publication (SP) 800-50, Building an Information Technology Security Awareness and Training Program, was published in 2003 and companion document NIST SP 800-16, Information Technology Security Training Requirements: a Role- and Performance-Based Model, was published in 1998 (a 3rd draft revision was released in 2014).  New guidance to inform this work comes from the National Defense Authorization Act (NDAA) for FY2021 and the Cybersecurity Enhancement Act of 2014; in addition, the 2016 update to OMB Circular A-130 emphasizes the role of both privacy and security in the federal information life cycle and requires agencies to have both security and privacy awareness and training programs. To ensure NIST stakeholders benefit from guidance informed by these updated resources, methodologies, and requirements, NIST plans to update SP 800-50 to include privacy, and potentially consolidate with SP 800-16. The new proposed title for SP 800-50 is Building a Cybersecurity and Privacy Awareness and Training Program. 2003年にNIST Special Publication (SP) 800-50「情報技術セキュリティの意識向上とトレーニングプログラムの構築」が発行され、関連文書であるNIST SP 800-16「情報技術セキュリティのトレーニング要件:役割とパフォーマンスに基づくモデル」が1998年に発行されて以来、サイバーセキュリティの認識とトレーニングのリソース、方法論、要件は進化してきました(2014年に第3次改訂版が発表されました)。 この作業に役立つ新たなガイダンスは、2021年度の国防権限法(NDAA)と2014年のサイバーセキュリティ強化法から得られたものです。さらに、2016年に更新されたOMB Circular A-130では、連邦情報のライフサイクルにおけるプライバシーとセキュリティの両方の役割が強調されており、各機関がセキュリティとプライバシーの両方の意識向上とトレーニングプログラムを持つことが求められています。NISTのステークホルダーが、これらの最新のリソース、方法論、要求事項を反映したガイダンスの恩恵を受けられるように、NISTはSP 800-50を更新してプライバシーを含め、SP 800-16と統合する可能性を計画しています。SP 800-50の新しいタイトル案は「サイバーセキュリティとプライバシーに関する意識向上とトレーニングプログラムの構築」です。
The public is invited to provide input by November 5, 2021, for consideration in the update. The list of topics below covers the major areas in which NIST is considering updates. Reviewers may respond to any or all topic areas as they choose. Reviewers may also provide other relevant comments unrelated to the specific topics below. 更新内容を検討するために、2021年11月5日までに一般からの意見を募集しています。以下のトピックのリストは、NISTが更新を検討している主な分野を網羅しています。レビュアーは、任意のトピック領域に回答することができます。また、以下のトピック以外にも、関連するコメントを寄せていただいても構いません。
1. Updated Security Awareness and Training Program Lifecycle: 1. セキュリティ教育・訓練プログラムのライフサイクルの更新
NIST proposes updating the descriptions of and terminology used for building a security awareness and training program to include the following elements. NIST seeks input on how to improve items A-E, including any elements that may be missing: NISTは、セキュリティ意識とトレーニングプログラムを構築するための説明と用語を更新し、以下の要素を含めることを提案する。NISTは、項目A~Eをどのように改善するか、欠けている可能性のある要素を含めて意見を求めている。
a. Identifying the organization’s awareness and training needs a. 組織の認識とトレーニングのニーズの特定
b. Planning and designing the awareness and training program b. 意識向上とトレーニングプログラムの計画と設計
c. Developing the awareness and training materials c. 意識向上とトレーニングの教材の開発
d. Implementing the program content d. プログラムの実施
e. Post-implementation assessment e. 実施後の評価
2. Incorporation of Privacy Awareness and Training Programs: 2. プライバシーに関する意識向上とトレーニングプログラムの組み込み
NIST proposes incorporating descriptions of and terminology used for building a privacy awareness and training program in parallel with a security awareness and training program. NIST seeks input on whether: NISTは、セキュリティ意識向上・研修プログラムと並行して、プライバシー意識向上・研修プログラムを構築するための説明や用語を取り入れることを提案しています。NISTは、以下の点について意見を求めています。
a. The process steps for building a security awareness and training program in item 1 above also accurately reflect the process steps for building a privacy awareness and training program. a. 上記項目1のセキュリティ意識向上とトレーニングプログラム構築のプロセスステップは、プライバシー意識向上とトレーニングプログラム構築のプロセスステップも正確に反映しています。
b. There are any training and awareness activities that are unique to privacy. b. プライバシーに特有のトレーニングや意識向上のための活動する。
c. There are key privacy training and awareness terminology and topics that should be addressed. c. プライバシーに関するトレーニングや意識向上のための主要な用語やトピックがあり、それらを取り扱うべきです。
3. Consolidation of SP 800-50 with SP 800-16: 3. SP 800-50とSP 800-16の統合
Originally, NIST SP 800-50 and NIST SP 800-16 operated as companion guidance documents. NIST proposes combining content from NIST SP 800-16 into NIST SP 800-50 and producing a single reference document to describe the fundamental elements necessary to develop a security and privacy awareness and training program. もともとNIST SP 800-50とNIST SP 800-16は付随するガイダンス文書として運用されていました。NISTは、NIST SP 800-16の内容をNIST SP 800-50に統合し、セキュリティとプライバシーに関する意識向上とトレーニングプログラムの開発に必要な基本要素を記述した単一の参考文書を作成することを提案します。
a.  Identify benefits or impacts of this proposed consolidation of guidance. a.  提案されているガイダンスの統合による利点や影響を明らかにすること。
b. Identify the content of NIST SP 800-50 and NIST SP 800-16 that you or your organization are using and how. b. NIST SP 800-50及びNIST SP 800-16のうち、あなた又はあなたの組織が使用している内容及び方法を特定すること。
c. Describe which aspects of NIST SP 800-50 and NIST SP 800-16 have been the most useful and why. c. NIST SP 800-50及びNIST SP 800-16のどの部分が最も有用であったか、またその理由を説明すること。
d. Describe which aspects of NIST SP 800-50 and NIST SP 800-16 have been the least useful and why. d. NIST SP 800-50及びNIST SP 800-16のどの部分が最も役に立たなかったか,そしてその理由を記述すること。
e. Share key concepts or topics that are missing from these publications, including what they are and why they merit special attention. e. これらの出版物に欠けている重要な概念やトピックを共有し、それらが何であるか、なぜ特別な注意を払う必要があるのかを含むこと。
General feedback is requested on: 一般的なフィードバックをお願いします。
1. The scope of NIST SP 800-50 and NIST SP 800-16. Please specify what the scope should be if the two are consolidated. 1. NIST SP 800-50 と NIST SP 800-16 のスコープについて。両者を統合した場合のスコープはどうあるべきか、具体的に教えてください。
2. The range of program areas and work roles included in the publications. 2. 出版物に含まれるプログラム領域と作業の役割の範囲。

3. Terminology, including descriptions of types of cybersecurity and privacy risks, threats, and technologies. 3. サイバーセキュリティとプライバシーに関するリスク、脅威、技術の種類の説明を含む用語。
4. Appropriateness of program development framework guidance for organizations of varying size and complexity. 4. 様々な規模と複雑さを持つ組織に対するプログラム開発フレームワークガイダンスの適切性。
5. The work role and responsibilities of those who manage the privacy and IT security awareness and training programs. With respect to security, explain if the NICE Framework Work Roles of Cyber Curriculum Developer or Cyber Instructor sufficiently capture the responsibilities.  5. プライバシー及びITセキュリティ意識向上・研修プログラムを管理する者の業務上の役割及び責任。セキュリティに関しては、NICEフレームワークの作業役割である「サイバーカリキュラム開発者」または「サイバーインストラクター」がその責任を十分に捉えているかどうかを説明すること。
6. Redundancy of material; or material now addressed by other NIST publications. 6. 資料の重複、または他の NIST 出版物で扱われている資料。
When providing comments, please be specific and include the rationale for any proposed additions or deletions of material. コメントを提出する際には、具体的に、提案された資料の追加や削除の根拠を含めてください。
Submitted comments, including attachments and other supporting materials, will become part of the public record and are subject to public disclosure. Personally-identifiable information (PII) and confidential business information should not be included (e.g., account numbers, Social Security numbers, names of other individuals). Comments that contain profanity, vulgarity, threats, or other inappropriate language will not be posted or considered. 提出されたコメントは、添付ファイルやその他の補足資料を含めて、パブリックレコードの一部となり、公開されることになります。個人を特定できる情報(PII)や企業の機密情報(口座番号、社会保障番号、他の個人の名前など)は記載しないでください。冒涜的な言葉、下品な言葉、脅迫的な言葉、その他の不適切な言葉を含むコメントは、投稿または検討されません。
An Initial Public Draft of the update, which will be published as SP 800-50 Revision 1, is scheduled for an early 2022 release. このアップデートの初期公開草案は、SP 800-50 Revision 1として発行され、2022年初頭にリリースされる予定です。

 

■ 関連文書

SP 800-50 Building an Information Technology Security Awareness and Training Program

SP 800-16 Information Technology Security Training Requirements: a Role- and Performance-Based Model

 

Nist_20210922094701

| | Comments (0)

NIST SP 1800-32 (ドラフト) 産業用IoTの安全性確保 分散型エネルギー源のサイバーセキュリティ

こんにちは、丸山満彦です。

NISTがSP 1800-32 (ドラフト) 産業用IoTの安全性確保 分散型エネルギー源のサイバーセキュリティを公表し、意見募集をしていますね。。。

2021.04.21に暫定ドラフトを出したものの更新版です。米国の電力環境を前提としていますので、日本では参考にならない部分も多いかもしれませんね。。。

課題の整理の仕方、対策の考え方といった部分は参考になると思います。。。

 

● NIST - ITL

・2021.09.21 SP 1800-32 (Draft) Securing the Industrial Internet of Things: Cybersecurity for Distributed Energy Resources

 

SP 1800-32 (Draft) Securing the Industrial Internet of Things: Cybersecurity for Distributed Energy Resources SP 1800-32 (ドラフト) 産業用IoTの安全性確保 分散型エネルギー源のサイバーセキュリティ
Announcement 発表内容
The use of small-scale distributed energy resources (DERs) is growing rapidly and transforming the power grid. In fact, a distribution utility may need to remotely communicate with thousands of DERs and other grid-edge devices—many of which are not owned by them.  Any attack that can deny, disrupt, or tamper with DER communications could prevent a utility from performing necessary control actions and could diminish grid resiliency. 小規模分散型エネルギー資源(DER)の利用は急速に拡大しており、電力網に変革をもたらしています。実際、配電事業者は、何千ものDERやその他のグリッドエッジデバイスと遠隔で通信する必要があるかもしれませんが、その多くは事業者が所有していません。 DER の通信を拒否、妨害、または改ざんするような攻撃を受けた場合、配電事業者は必要な制御を行うことができず、送電網の回復力が低下する可能性があります。
In this practice guide, the NCCoE applies standards, best practices, and commercially available technology to protect the digital communication, data, and control of cyber-physical grid-edge devices. The guide demonstrates an example solution for monitoring and detecting unusual behavior of connected industrial internet of things devices and building a comprehensive audit trail of trusted IIoT data flows. この実践ガイドでは、NCCoEが標準規格、ベストプラクティス、および市販の技術を適用して、サイバーフィジカルなグリッドエッジ機器のデジタル通信、データ、および制御を保護します。このガイドでは、接続された産業用IoTデバイスの異常な動作を監視・検出し、信頼できるIIoTデータフローの包括的な監査証跡を構築するためのソリューションの例を示しています。
Abstract 概要
The Industrial Internet of Things (IIoT) refers to the application of instrumentation and connected sensors and other devices to machinery and vehicles in the transport, energy, and other critical infrastructure sectors. In the energy sector, distributed energy resources (DERs) such as solar photovoltaics including sensors, data transfer and communications systems, instruments, and other commercially available devices that are networked together. DERs introduce information exchanges between a utility’s distribution control system and the DERs to manage the flow of energy in the distribution grid. 産業用IoT(IIoT)とは、輸送、エネルギー、およびその他の重要なインフラ分野の機械や車両に、計測器や接続されたセンサーなどのデバイスを適用することを指します。エネルギー分野では、太陽光発電などの分散型エネルギー資源(DER)に、センサー、データ転送・通信システム、計測器、その他の市販の機器がネットワーク接続されています。DERは、配電網におけるエネルギーの流れを管理するために、電力会社の配電制御システムとDERの間で情報交換を行います。
This practice guide explores how information exchanges among commercial- and utility-scale DERs and electric distribution grid operations can be monitored and protected from certain cybersecurity threats and vulnerabilities. この実践ガイドでは、商業規模および公益事業規模のDERと配電網運用との間の情報交換をどのように監視し、特定のサイバーセキュリティの脅威や脆弱性から保護するかを検討しています。
The NCCoE built a reference architecture using commercially available products to show organizations how several cybersecurity capabilities, including communications and data integrity, malware detection, network monitoring, authentication and access control, and cloud-based analysis and visualization can be applied to protect distributed end points and reduce the IIoT attack surface for DERs. NCCoEは、市販の製品を使用してリファレンス・アーキテクチャを構築し、通信とデータの整合性、マルウェアの検出、ネットワークの監視、認証とアクセス制御、クラウドベースの分析と可視化など、いくつかのサイバーセキュリティ機能を適用して分散型エンドポイントを保護し、DERのIIoT攻撃対象を削減する方法を組織に示しました。

 

・[PDF] Draft SP 1800-32

20210922-55453

Executive Summary エグゼクティブサマリー
Protecting Industrial Internet of Things (IIoT) devices at the grid edge is arguably one of the more difficult tasks in cybersecurity. There is a wide variety of devices, many of which are deployed and operate in a highly specific manner. Their connectivity, the conduit through which they can become vulnerable, represents a growing cyber threat to the distribution grid. In this practice guide, the National Cybersecurity Center of Excellence (NCCoE) applies standards, best practices, and commercially available technology to protect the digital communication, data, and control of cyber-physical grid-edge devices. We demonstrate how to monitor and detect unusual behavior of connected IIoT devices and build a comprehensive audit trail of trusted IIoT data flows. グリッドエッジにある産業用IoT(IIoT)デバイスを保護することは、サイバーセキュリティの中でも最も困難な作業の一つであることは間違いありません。デバイスには様々な種類があり、その多くは非常に特殊な方法で配置され、動作しています。これらの機器が脆弱になるきっかけとなる接続性は、配電網にとって増大するサイバー脅威となっています。この実践ガイドでは、NCCoE(National Cybersecurity Center of Excellence)が、標準規格、ベストプラクティス、および市販の技術を適用して、サイバーフィジカルなグリッドエッジ機器のデジタル通信、データ、制御を保護します。接続されているIIoT機器の異常な動作を監視・検出し、信頼できるIIoTデータフローの包括的な監査証跡を構築する方法を紹介しています。

 

■ 参考

SP 1800-32 (Draft) Securing the Industrial Internet of Things: Cybersecurity for Distributed Energy Resources (Preliminary Draft)

● NIST -NNCoE

・2021.04.22 NCCoE Releases Draft Guide on Securing the Industrial Internet of Things

Example Solution Addresses Cybersecurity Challenges for Distributed Energy Resources

Securing the Industrial Internet of Things

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.23 NIST SP 1800-32 (ドラフト)産業用IoTの保護:分散型エネルギー源のサイバーセキュリティ(暫定ドラフト)

 

| | Comments (0)

英国 ICO(データ保護局)がデータフローに関するG7会議を開催した理由

こんにちは、丸山満彦です。

2021.09.07-08にかけてデータ保護局(ICO)が、G7諸国のデータ保護およびプライバシー当局、ならびに経済協力開発機構(OECD)および世界経済フォーラム(WEF)のゲストを集めて、情報の共有に関する議論を行ったわけですが、主催国である英国のデータ保護局長官が、データフローに関するG7会議を開催したのか、発言していますね。。。

U.K. Information Commissioner's Office

・2020.09.20 International progress for domestic benefit: why the ICO convened a G7 meeting on data flows

International progress for domestic benefit: why the ICO convened a G7 meeting on data flows 国内の利益のための国際的進展:ICOがデータフローに関するG7会議を開催した理由
The free flow of data between countries is crucial for UK businesses. It enables international trade, opens up backroom efficiencies like cloud services, and accelerates data-driven innovation. 国家間のデータの自由な流れは、英国企業にとって極めて重要です。国際貿易を可能にし、クラウドサービスなどのバックルームの効率性を高め、データ主導のイノベーションを加速させます。
That importance is recognised in ‘data free flows with trust’ being a focus at recent G20 and G7 meetings. この重要性は、最近のG20やG7の会合で「信頼できるデータの自由な流れ」が重視されていることからも認識されています。
As a regulator, my office plays an important role in the trust aspect of that ambition. We oversee the checks and balances that reassure people their data is protected, and that new data-driven products and business models can be trusted. 規制当局である私たちは、この強い目標についての信頼面で重要な役割を果たしています。私たちは、人々にデータが守られていることを確信させ、新しいデータ駆動型の製品やビジネスモデルが信頼できるものであることを保証するためのチェックアンドバランスを監督しています。
It is important we take an international view on this work. Firstly, in our borderless digital world, the protections we offer people here in the UK rely on international cooperation – the data people share through phone apps or online can travel round the world in moments. Secondly, businesses benefit from the more consistent approach to international regulation of common issues that cooperation brings. And finally, some of the challenges my office faces are too large to overcome alone. この業務には、国際的な視野を持つことが重要です。第一に、国境のないデジタル世界では、英国の人々に提供する保護は、国際的な協力に依存しています。携帯電話のアプリやオンラインで人々が共有するデータは、一瞬にして世界を駆け巡ります。第二に、企業にとっては、国際協力によって共通の課題に対してより一貫したアプローチで国際的な規制を行えるというメリットがあります。そして最後に、私たち当局が直面している課題の中には、私たち当局だけで克服するには大きすぎるものもあります。
It was with this focus on international collaboration for practical benefit that I convened a meeting of my G7 counterparts earlier this month, organised as part of the digital and technology track that forms part of the UK’s presidency of G7 this year. We wanted to consider how we could better work together to enable data free flow with people’s trust. 今月初め、私は実用的な利益のための国際協力に焦点を当てて、G7のカウンターパートとの会合を開催しました。私たちは、人々の信頼を得てデータの自由な流通を可能にするために、どのように協力していけばよいかを考えました。
Over the course of two days, we discussed seven topics, covering specific uses of data, like AI and cookies; how privacy overlaps with competition and national security; and regulatory aspects like enforcement, deterrents and the impact of the pandemic. 2日間にわたり、AIやCookieなどのデータの具体的な利用方法、プライバシーが競争や国家安全保障とどのように重なるのか、また、強制力や抑止力、パンデミックの影響といった規制面など、7つの話題について議論しました。
Throughout, our focus was on where we could commit to making progress that would have a positive impact domestically, both on the organisations we regulate, and the people whose rights we protect. 私たちは、規制対象となる組織と、その権利を守る人々の両方に対して、国内でポジティブな影響を与えるような進展を約束できるところに焦点を当てました。
Our work around cookies is a good example. As I said ahead of the meeting, people’s privacy needs to be meaningfully protected. Where people grow tired of having to engage with so many cookie pop-ups, there is a risk they then give more personal data that they would like. And the system is far from ideal for organisations running websites too. But with nearly two billion websites around the world, no single country can tackle this issue alone. Cookieに関する取り組みはその好例です。会議の前にも申し上げましたが、人々のプライバシーは有意義に保護される必要があります。多くのCookieのポップアップに人々がうんざりしている場合、人々が望む以上の個人情報を提供してしまう危険性があります。また、ウェブサイトを運営している企業にとっても、このシステムは理想的とはいえません。しかし、世界には約20億ものウェブサイトがあり、一国だけでこの問題に取り組むことはできません。
At our meeting, the G7 data protection and privacy authorities committed to working together with tech firms, standards bodies, designers, civil society and of course users, to find better ways to secure informed and meaningful consent online. Our initial planning on this work is underway, and will lead to us examining the role of web browsers, software applications and device settings in enabling people to set and update their privacy preferences. 今回の会合で、G7のデータ保護およびプライバシーに関する当局は、技術企業、標準化団体、デザイナー、市民社会、そしてもちろんユーザーと協力して、オンライン上でインフォームドコンセントと意味のある同意を確保するためのより良い方法を見つけることを約束しました。この作業の初期計画は現在進行中で、人々がプライバシーに関する好みを設定・更新できるようにするためのウェブブラウザ、ソフトウェアアプリケーション、デバイス設定の役割を検討することになっています。
Cookies are just one example of where progress was made, and further details on all of the agreed outcomes, as well as a summary of the topics discussed, can be found in the communique. Cookieは、進展が見られた一例です。合意されたすべての成果の詳細および議論されたトピックの概要は、コミュニケに記載されています。
This is timely and important work. The government today reiterated its vision of data flows, supported by high standards for personal data protection, as a key enabler of international trade. My office’s work supports that vision, from working with G7 colleagues, to chairing the Global Privacy Assembly, to providing advice and support to the Department for International Trade. これはタイムリーで重要な仕事です。政府は本日、個人情報保護の高い基準に支えられたデータの流れが、国際貿易の重要な実現手段であるというビジョンを繰り返し表明しました。私の事務所の活動は、G7の同僚との協力、Global Privacy Assemblyの議長、国際貿易省への助言と支援など、このビジョンを支えるものです」。

 

 

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.17 G7データ保護・プライバシー機関ラウンドテーブル 2021.09

・2021.09.07 英国 データ保護局 (ICO) のブログ Cookie承諾の茶番はやめて、そろそろ真面目に考えようとG7の個人データ・プライバシー関連当局に呼びかける...

 

 

| | Comments (0)

2021.09.21

国務省OIG 国務省のセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要

こんにちは、丸山満彦です。

米国連邦政府の国務省のOIGがセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要という報告書を公開していますね。。。

内容の不備というよりも、プロセス管理の不備というところですかね。。。

 

U.S. Department of State  - Office of Inspector General

・2021.09.17 [PDF] Management Assistance Report: Process To Report Department of State Security Clearance Data to the Office of the Director of National Intelligence Needs Improvement

20210921-54556

 

Summary of Review   レビューの概要  
During an Audit of the Integrity and Use of Security Clearance Data Reported to the Office of the Director of National Intelligence (ODNI), which is ongoing and being conducted jointly with the Inspector General of the Intelligence Community, the Office of Inspector General (OIG) identified deficiencies in the Department of State’s (Department) reporting of security clearance data to ODNI.[1] The reporting of security clearance data is required by the Intelligence Authorization Act for FY 2010, codified at 50 U.S. Code § 3104, and the National Defense Authorization Act for FY 2018, codified at 10 U.S. Code § 1564 note.[2] To comply with the legislation, ODNI requires each Intelligence Community element to submit quarterly and annual assessments of Timeliness Data and National Security Metrics.[3]  国家情報長官室(ODNI)に報告されたセキュリティ・クリアランス・データの整合性と利用に関する監査(現在進行中で、情報コミュニティの監察官と共同で実施されている)において、監察官室(OIG)は、国務省(Department)のODNIへのセキュリティ・クリアランス・データの報告に不備があることを確認しました。[1]セキュリティクリアランスデータの報告は、50 U.S. Code § 3104で成文化されている2010年度の情報認可法と、10 U.S. Code § 1564注で成文化されている2018年度の国防認可法によって求められています。[2]この法律を遵守するために、ODNIは各情報コミュニティの要素に、「適時性データ」と「国家安全保障指標」の四半期および年次評価を提出するよう求めています。 [3]
The Timeliness Data reporting requirement is meant to identify the processing time of personnel security clearances at each phase of the process (initiation, investigation, and adjudication), by clearance level, for both initial investigations and periodic reinvestigations during the prior fiscal year for Government and contractor employees. The National Security Metrics reporting requirements include, among other things, identifying the timeliness for each phase of the security clearance process; number of completed or pending cases that took longer than 1 year; number of individuals enrolled in continuous evaluation; adjudicative reporting requirements for denied, revoked, and appealed cases; and reciprocity reporting requirements. Once ODNI collects the information from each agency, it prepares an annual report to Congress, in accordance with the Intelligence Authorization Act for FY 2010, codified at 50 U.S. Code § 3104, and the National Defense Authorization Act for FY 2018, codified at 10 U.S. Code § 1564 note. The Bureau of Diplomatic Security (DS) is responsible for the Department’s security clearance investigations.  適時性データの報告要件は、前年の会計年度において、政府および請負業者の従業員を対象とした初回調査と定期的な再調査の両方について、クリアランスレベル別に、プロセスの各段階(開始、調査、裁定)における人員のセキュリティクリアランスの処理時間を特定することを目的としています。国家安全保障指標の報告要件には、特に、セキュリティ・クリアランス・プロセスの各段階における適時性の特定、1年以上かかった完了または保留案件の数、継続的評価に登録された個人の数、拒否された案件、取り消された案件、上訴された案件の裁定報告要件、および互恵的報告要件が含まれます。ODNIは、各機関から情報を収集すると、50 U.S.コード§3104で成文化されている2010年度の情報認可法と、10 U.S.コード§1564注で成文化されている2018年度の国防認可法に基づいて、議会への年次報告書を作成します。外交安全局(DS)は、本省のセキュリティクリアランス調査を担当しています。 
OIG found that the Department’s methodology for collecting and reporting FY 2019 quarterly and annual Timeliness Data and National Security Metrics did not meet ODNI requirements. Specifically, to report Timeliness Data, OIG found that DS collected a random sample of security clearance cases for the quarter and reported the average for each quarterly submission to ODNI for the initiation phase, which is not reflective of the true timeframe for completing the initiation phase for all security clearances because it involves an average timeframe of the sample of cases selected. With respect to the National Security Metrics, OIG found that in FY 2019, DS did not submit the required quarterly reporting to ODNI because the process to provide all of the information on a quarterly basis was considered too cumbersome due to the manual nature of collecting and organizing the data. OIG also found that of the two reporting requirements (Timeliness Data and National Security Metrics), DS had outdated standard operating procedures to guide the collection and reporting process for Timeliness Data and had not developed standard operating procedures for collecting and reporting National Security Metrics. Moreover, DS told OIG that there was only one official responsible for collecting and reporting security clearance data to ODNI.  OIGは、2019年度の四半期および年次の「適時性データ」と「国家安全保障指標」を収集・報告するための省の手法がODNIの要件を満たしていないことを発見しました。具体的には、適時性データを報告するために、OIGは、DSが四半期のセキュリティクリアランス事例の無作為なサンプルを収集し、ODNIに提出した各四半期の開始段階の平均値を報告していることを発見しましたが、これは選択した事例のサンプルの平均的な時間枠を含むため、すべてのセキュリティクリアランスの開始段階を完了するための真の時間枠を反映していません。国家安全保障指標に関して、OIGは、2019年度、DSがODNIに必要な四半期報告書を提出しなかったことを明らかにしました。その理由は、四半期ごとにすべての情報を提供するプロセスは、データの収集と整理が手作業であるため、あまりにも煩雑であると考えられたからです。またOIGは、2つの報告要件(適時性データと国家安全保障指標)のうち、DSは適時性データの収集と報告プロセスを示す標準作業手順書が古く、国家安全保障指標の収集と報告のための標準作業手順書を作成していないことを発見しました。さらに、DSはOIGに対し、セキュリティクリアランスデータの収集とODNIへの報告を担当する職員は1人しかいないと述べました。 
The FY 2019 reporting deficiencies occurred, in part, because the case management system DS used to maintain all of the Department’s security clearance data in FY 2019 did not have the capability to produce the exact data required for ODNI reporting. For example, the case management system used in FY 2019 could not connect to and extract the initiation phase timeframe data that were maintained on a separate IT system. As a result, DS selected a random sample of security clearance cases for the quarter and reported the average for each quarterly submission to ODNI. However, this methodology is not reflective of the true timeframe for completing the initiation phase for all security clearances because it involves a random sample. Consequently, OIG was unable to recreate the data that DS reported to ODNI for FY 2019 to verify that the information submitted was accurate. It is important to note that the limitations of the case management system used in FY 2019 were recently addressed. Specifically, in January 2021, DS implemented a new case management system that can directly connect to and access the initiation phase data to complete the Timeliness Data reporting requirements. However, OIG found that additional system modifications to the new case management system are needed to fully meet ODNI reporting requirements for the National Security Metrics.   2019年度の報告の不備は、2019年度に部局のすべてのセキュリティクリアランスデータを維持するために使用したケース管理システムDSが、ODNIの報告に必要な正確なデータを作成する機能を持たなかったことが原因のひとつです。例えば、2019年度に使用した案件管理システムは、別のITシステムで管理されていた開始段階の時間枠データに接続して抽出することができませんでした。その結果、DSは四半期のセキュリティクリアランス案件をランダムに選択し、ODNIへの各四半期の提出物の平均値を報告しました。しかし、この方法は無作為のサンプルを用いているため、すべてのセキュリティ・クリアランスの開始段階を完了するための真の時間枠を反映していません。その結果、OIGは、DSが2019年度にODNIに報告したデータを再現して、提出された情報が正確であることを確認することができませんでした。なお、2019年度に使用された症例管理システムの限界は、最近になって対処されたことが重要です。具体的には、DSは2021年1月に、開始段階のデータに直接接続してアクセスできる新しいケース管理システムを導入し、適時性データの報告要件を完了させた。しかし、OIGは、国家安全保障指標に関するODNIの報告要件を完全に満たすためには、新しい症例管理システムに対する追加のシステム修正が必要であることを発見しました。  
Until DS makes the necessary modifications to the case management system to respond to all reporting requirements, establishes requisite internal controls to guide the reporting process to ODNI, and adequately resources the process with staff and supervisory support to fulfill the reporting requirements, the Department will not have assurance that the data reported to ODNI, and subsequently to Congress, are accurate and reliable. OIG therefore made three recommendations to address the deficiencies identified in this report. On the basis of DS’s response to a draft of this report, OIG considers all three recommendations resolved, pending further action. A synopsis of DS’s comments on the recommendations offered and OIG’s reply follow each recommendation in the Results section of this report. DS’s response to a draft of this report is reprinted in its entirety in Appendix A.  DSがすべての報告要件に対応するために事例管理システムに必要な変更を加え、ODNIへの報告プロセスを導くために必要な内部統制を確立し、報告要件を満たすためにスタッフと監督者のサポートでプロセスを適切に支援するまでは、DSはODNIに報告されたデータ、続いて議会に報告されたデータが正確で信頼できるものであることを保証できません。そこでOIGは、本報告書で指摘された欠陥に対処するため、3つの提言を行った。本報告書の草稿に対するDSの回答に基づき、OIGは3つの勧告すべてが解決され、今後の対応が保留されていると考えています。提言に対するDSのコメントとOIGの回答の概要は、本報告書の「結果」セクションの各提言の後に記載されています。本報告書の草稿に対するDSの回答は、その全文を附属書Aに掲載しています。
[1] The objectives of the ongoing audit are to determine whether: (1) Intelligence Community elements accurately capture, document, and report required security clearance processing timeliness information; (2) Intelligence Community elements calculate processing timeliness in a consistent manner; (3) the Security Executive Agent accurately compiles and reports data provided by Intelligence Community elements, as required; and (4) the Security Executive Agent uses Timeliness Data to address the security clearance backlog and inform security clearance-related policy decisions. This audit is currently delayed as a result of the COVID-19 pandemic.  [1] 現在行われている監査の目的は、以下の点を確認することです。(1) 情報コミュニティの要素が、必要なセキュリティ・クリアランス処理の適時性情報を正確に把握し、文書化し、報告しているか、(2) 情報コミュニティの要素が、一貫した方法で処理の適時性を計算しているか、(3) セキュリティ担当執行官が、情報コミュニティの要素から提供されたデータを必要に応じて正確に集計し、報告しているか、(4) セキュリティ担当執行官が、適時性データを、セキュリティ・クリアランスのバックログに対処し、セキュリティ・クリアランス関連の政策決定に役立てているか、を判断することを目的としている。この監査は、COVID-19 パンデミックの結果、現在延期されている。 
[2] See 10 U.S. Code § 1564 note, Background and Security Investigations for Department of Defense Personnel, (k)(1).   [2] 10 U.S. Code § 1564 note, 背景 and Security Investigations for Department of Defense Personnel, (k)(1)を参照。  
[3] ODNI developed its reporting requirements based on the data reported to Congress as detailed in 50 U.S. Code  § 3104 and 10 U.S. Code § 1564 note, Background and Security Investigations for Department of Defense Personnel.  [3] ODNIは、50 U.S.コード§3104と10 U.S.コード§1564注「国防省職員の身元調査とセキュリティ調査」で詳述されているように、議会に報告されたデータに基づいて、その報告要件を作成した。 

 

 

・仮訳 [DOCX]

| | Comments (0)

2021.09.20

米国 SEC長官の上院での証言(2) 投資家はサイバーセキュリティに関する情報を企業に求めている

こんにちは、丸山満彦です。

SECの長官が上院で証言していますが、その中にサイバーセキュリティに関する投資の開示に関する話がありました。。。

 

U.S. Securities and Exchange Commission: SEC - Testimony

・2021.09.14. Testimony Before the United States Senate Committee on Banking, Housing, and Urban Affairs

 

Issuers and Issuer Disclosure 発行体と発行体情報開示
The third theme relates to issuers and issuer disclosure. 3つ目のテーマは、発行者と発行者の情報開示に関するものです。
Disclosures 開示
Since the 1930s, when Franklin Delano Roosevelt and Congress worked together to reform the securities markets, there’s been a basic bargain in our capital markets: investors get to decide what risks they wish to take. Companies that are raising money from the public have an obligation to share information with investors on a regular basis. フランクリン・デラノ・ルーズベルトと議会が協力して証券市場を改革した1930年代から、資本市場には、投資家がどのようなリスクを取りたいかを決定するという基本的な取引が存在しています。公的機関から資金を調達している企業は、定期的に投資家と情報を共有する義務があります。
Those disclosures changes over time. Over the years, we’ve added disclosure requirements related to management discussion and analysis, risk factors, executive compensation, and much more. 情報開示の内容は時とともに変化します。これまでに、マネジメントディスカッション&アナリシス (MD&A) 、リスクファクター、役員報酬など、さまざまな開示項目が追加されてきました。
Today’s investors are looking for consistent, comparable, and decision-useful disclosures around climate risk, human capital, and cybersecurity. I’ve asked staff to develop proposals for the Commission’s consideration on these potential disclosures. These proposals will be informed by economic analysis and will be put out to public comment, so that we can have robust public discussion as to what information matters most to investors in these areas. 今日の投資家は、気候変動リスク、人的資本、サイバーセキュリティについて、一貫性があり、比較可能で、意思決定に役立つ情報を求めています。私は、これらの潜在的な情報開示について、委員会が検討するための提案を作成するようスタッフに求めました。これらの提案は、経済分析に基づいて作成され、パブリックコメントに付されます。そうすることで、これらの分野で投資家にとって最も重要な情報は何かについて、しっかりとした議論を行うことができます。
Companies and investors alike would benefit from clear rules of the road. I believe the SEC should step in when there’s this level of demand for information relevant to investors’ investment decisions. 明確なルールがあれば、企業にも投資家にもメリットがあります。私は、投資家の投資判断に関連する情報がこれほど求められているのであれば、SECが介入すべきだと考えています。

 

Sec_20210920060901

 

まるちゃんの情報セキュリティ気まぐれ日記

SEC方針関係

・2021.03.12 SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03

 

| | Comments (0)

米国 SEC長官の上院での証言(1) 暗号資産に関して「私たちはもっとうまくやれるはず」

こんにちは、丸山満彦です。

SECの長官が上院で証言していますが、その中に暗号資産に関する話がありました。。。

 

U.S. Securities and Exchange Commission: SEC - Testimony

・2021.09.14. Testimony Before the United States Senate Committee on Banking, Housing, and Urban Affairs

 

 

Market Structure
市場構造
Crypto Assets Market 暗号資産市場
Next, I’ll turn to a newer market structure issue: crypto assets. 次に、新たな市場構造の問題として、暗号資産を取り上げます。
Right now, large parts of the field of crypto are sitting astride of — not operating within — regulatory frameworks that protect investors and consumers, guard against illicit activity, and ensure for financial stability. 現在、暗号の分野の大部分は、投資家や消費者を保護し、不正行為を防止し、金融の安定性を確保するための規制の枠組みの中ではなく、その上に乗っかっている状態です。
Currently, we just don’t have enough investor protection in crypto finance, issuance, trading, or lending. Frankly, at this time, it’s more like the Wild West or the old world of “buyer beware” that existed before the securities laws were enacted. This asset class is rife with fraud, scams, and abuse in certain applications. We can do better. 現在、暗号金融、発行、取引、貸付において、投資家の保護は十分ではありません。率直に言って、現時点では、西部開拓時代や、証券取引法が制定される前に存在していた古い「buyer beware(買う奴が気をつけろ)」の世界のようなものです。この資産クラスには、詐欺や不正行為が蔓延しており、特定の用途では乱用されています。私たちはもっとうまくやれるはずです。
I have asked SEC staff, working with our fellow regulators, to work along two tracks: 私は、SECのスタッフに、他の規制当局と協力して、2つのトラックに沿って作業するように求めました。
One, how can we work with other financial regulators under current authorities to best bring investor protection to these markets? 1つは、現在の権限で他の金融規制当局と協力して、これらの市場に投資家保護をもたらすためにはどうすればよいか。
Two, what gaps are there that, with Congress’s assistance, we might fill? 2つ目は、議会の協力を得て、どのようなギャップを埋めることができるかということです。
At the SEC, we have a number of projects that cross over both tracks: SECでは、この2つの観点からいくつかのプロジェクトを進めています。
・The offer and sale of crypto tokens ・暗号トークンの提供と販売
・Crypto trading and lending platforms ・暗号取引および貸付プラットフォーム
・Stable value coins ・安定した価値のあるコイン
・Investment vehicles providing exposure to crypto assets or crypto derivatives ・暗号資産または暗号デリバティブへのエクスポージャーを提供する投資ビークル
・Custody of crypto assets ・暗号資産のカストディ
With respect to investor protection, we’re working with our sibling agency, the CFTC, as our two agencies each have relevant, and in some cases, overlapping jurisdiction in the crypto markets. With respect to a broader set of policy frameworks, we’re working with not only the CFTC, but also the Federal Reserve, Department of Treasury, Office of the Comptroller of the Currency, and other members of the President’s Working Group on Financial Markets on these matters.[11] 投資家保護に関しては、兄弟機関であるCFTC(商品先物取引委員会)と協力しています。これは、2つの機関がそれぞれ暗号市場に関連する管轄権を有しており、場合によっては重複する管轄権もあるためです。より広範な政策フレームワークに関しては、CFTCだけでなく、連邦準備制度理事会、財務省、通貨監督庁、その他の金融市場に関する大統領のワーキンググループのメンバーとも協力しています[11]。
Further, I’ve suggested that platforms and projects come in and talk to us. Many platforms have dozens or hundreds of tokens on them. While each token’s legal status depends on its own facts and circumstances, the probability is quite remote that, with 50, 100, or 1,000 tokens, any given platform has zero securities. Make no mistake: To the extent that there are securities on these trading platforms, under our laws they have to register with the Commission unless they qualify for an exemption. さらに、私は、プラットフォームやプロジェクトが私たちと話し合うことを提案してきました。多くのプラットフォームには、何十、何百ものトークンが存在します。各トークンの法的地位はそれぞれの事実と状況に依存しますが、50、100、1,000のトークンを持っていても、あるプラットフォームがゼロの証券を持っている可能性は極めて低いと言えます。勘違いしないでください。これらの取引プラットフォームに証券が存在する限り、わが国の法律では、免除の資格がない限り、委員会に登録しなければなりません。
I am technology-neutral. I think that this technology has been and can continue to be a catalyst for change, but technologies don’t last long if they stay outside of the regulatory framework. I believe that the SEC, working with the CFTC and others, can stand up more robust oversight and investor protection around the field of crypto finance. 私はテクノロジーには中立です。テクノロジーはこれまでも、そしてこれからも変化のきっかけになると思いますが、テクノロジーは規制の枠外にあると長続きしません。SECはCFTCなどと協力して、暗号金融の分野でより強固な監視と投資家保護を行うことができると信じています。
... ...
[11] See “Readout of the Meeting of the President’s Working Group on Financial Markets to Discuss Stablecoins” (July 19, 2021), available at [web] [11] ステーブルコインを議論する「金融市場に関する大統領のワーキンググループ」会合の議事録 (2021.07.19) を参照 
[web].

 

Sec_20210920060901

ちなみに、日本の法的枠組みは資金決済に関する法律に規定されていますね。。。

● e-Gov - 資金決済に関する法律


【資金決済に関する法律(資金決済法)】
(定義)
第二条
この法律において「暗号資産交換業」とは、次に掲げる行為のいずれかを業として行うことをいい、「暗号資産の交換等」とは、第一号及び第二号に掲げる行為をいい、「暗号資産の管理」とは、第四号に掲げる行為をいう。
 暗号資産の売買又は他の暗号資産との交換
 前号に掲げる行為の媒介、取次ぎ又は代理
 その行う前二号に掲げる行為に関して、利用者の金銭の管理をすること。
 他人のために暗号資産の管理をすること(当該管理を業として行うことにつき他の法律に特別の規定のある場合を除く。)。

 

第4号はいわゆるカストディ業務ですね。。。

金融庁 

・[PDF] 暗号資産事務ガイドライン

 


 

Market Structure 市場構造
Treasury Market 財務省市場
Non-Treasury Fixed Income Market 財務省以外の債券市場
Equity Market 株式市場
Security-Based Swaps セキュリティベースドスワップ
Crypto Assets Market 暗号資産市場
Predictive Data Analytics 予測型データ分析
Issuers and Issuer Disclosure 発行体と発行体情報開示
Disclosures 開示
Special Purpose Acquisition Companies, China, and 10b5-1 Plans 特別目的買収会社、中国、10b5-1プラン
Funds and Investment Management ファンドと投資管理
Enforcement and Examinations 取締りと審査
Conclusion まとめ

 


 

まるちゃんの情報セキュリティ気まぐれ日記

SEC方針関係

・2021.03.12 SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03

 

暗号資産関係

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.09.14 カナダ サイバーセキュリティセンタ:ランサムウェア:防止および回復する方法(ITSAP.00.099)

・2021.08.23 リキッドグループのQUOINE株式会社および海外関係会社での暗号資産流出(100億円以上?)

・2021.08.12 米国のSECはサイバー関連の専門家を年収1600万円−2800万円で募集中

・2021.07.17 米国 連邦政府国務省 国内の重要インフラに対する外国からの悪質なサイバー活動に関する情報提供についての報奨(最高約11億円

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.04.14 Cloud Security Alliance 暗号資産交換セキュリティガイドライン

・2021.03.21 金融活動作業部会 仮想資産および仮想資産サービスプロバイダーへのリスクベースアプローチに関するガイダンスの更新草案を公表

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

・2021.02.11 NIST NISTIR 8301 Blockchain Networks: Token Design and Management Overview(ブロックチェーンネットワーク:トークンのデザインと管理の概要)

・2021.02.10 ENISA 暗号に関する2つの報告書 「ポスト量子暗号:現状と量子緩和」と「暗号資産:デジタル通貨と分散型台帳技術の概要」

・2021.01.26 JC3 Forum 2021 - サイバー犯罪の特定・軽減・無効化 (2021.03.12午後)

・2021.01.24 Interpol ASEANのサイバー脅威評価報告書2021

・2020.12.30 US OIG によるFBIのダークウェブの利用に関する監査 at 2020.12.17

・2020.11.22 INTERPOL, Europol, バーゼルガバナンス研究所 「第4回犯罪金融と暗号通貨に関する世界会議」の7つの推奨事項

・2020.11.10 NYDFS - Twitter Investigation Report ニューヨーク州金融サービス局 ツイッター調査報告書 @2020.10.14

・2020.11.08 米国 10億US$以上の価値のある暗号通貨を没収するための民事訴訟を提起

・2020.09.18 欧州議会 暗号資産のリスクに関する報告書を発表、サイバー耐性とプライバシーを重要な関心事として強調

・2020.08.29 米国司法省 北朝鮮のサイバーハッキングプログラムと中国の暗号通貨マネーロンダリングネットワークとの継続的なつながり

・2020.06.27 ”CryptoCore”は2年間で暗号通貨取引所から約200億円以上相当の暗号通貨を盗んでいる???

・2020.06.15 日本銀行金融研究所 暗号資産とブロックチェーンの安全性の現状と課題 by 松尾真一郎

・2020.04.21 仮想通貨が2,500万ドル(約27億円)盗まれたようですね。。。

 

| | Comments (0)

2021.09.19

NISTIR 8360 アクセス制御ポリシー検証のための機械学習

こんにちは、丸山満彦です。

NISTが、アクセス制御ポリシー検証のための機械学習についての報告書を公開していますね。。。

興味深い内容です。

● NIST -ITL

・2021.09.16 NISTIR 8360 Machine Learning for Access Control Policy Verification

・[PDF]  NISTIR 8360 (DOI)

20210919-11443

 

Abstract 概要
Access control policy verification ensures that there are no faults within the policy that leak or block access privileges. As a software test, access control policy verification relies on methods such as model proof, data structure, system simulation, and test oracle to verify that the policy logic functions as expected. However, these methods have capability and performance issues related to inaccuracy and complexity limited by applied technologies. For instance, model proof, test oracle, and data structure methods initially assume that the policy under verification is faultless unless the policy model cannot hold for test cases. Thus, the challenge of the method is to compose test cases that can comprehensively discover all faults. Alternatively, a system simulation method requires translating the policy to a simulated system. The translation between systems may be difficult or impractical to implement if the policy logic is complicated or the number of policy rules is large. To answer these challenges, this internal report (IR) proposes
an efficient and straightforward method for access control policy verification by applying a classification algorithm of machine learning, which does not require comprehensive test cases, oracle, or system translation but rather checks the logic of policy rules directly, making it more efficient and feasible compared to traditional methods.

アクセス制御ポリシーの検証では、アクセス権限を漏らしたり遮断したりするような欠陥がポリシー内にないことを確認します。アクセス制御ポリシーの検証は,ソフトウェアテストとして,モデル証明,データ構造,システムシミュレーション,テストオラクルなどの手法を用いて,ポリシーの論理が期待通りに機能することを確認します。しかし、これらの手法には、不正確さや複雑さなど、応用技術によって制限される能力や性能の問題があります。例えば,モデル証明,テストオラクル,データ構造の手法は,テストケースに対してポリシーモデルが成立しない場合を除き,検証対象のポリシーが故障しないことを最初に仮定します。そのため、すべての欠陥を包括的に発見できるテストケースを構成することが、この手法の課題となります。あるいは、システムシミュレーション手法では、ポリシーをシミュレーションされたシステムに翻訳する必要があります。ポリシーの論理が複雑であったり、ポリシールールの数が多い場合には、システム間の変換が困難であったり、現実的でない場合があります。このような課題に応えるため、本IRでは、機械学習の分類アルゴリズムを適用することで、包括的なテストケースやオラクル、システムの翻訳を必要とせず、ポリシールールの論理を直接チェックすることで、従来の手法に比べて効率的で実現性の高いアクセス制御ポリシーの検証手法を提案しています。

 

Executive Summary  要旨 
Access control policy verification ensures that there are no faults within the policy that leak or block access privileges. As a software test, access control policy verification relies on methods such as model proof, data structure, system simulation, and test oracle to verify that the policy logic functions as expected. However, these methods have capability and performance issues related to inaccuracy and complexity limited by applied technologies. For instance, model proof, test oracle, and data structure methods initially assume that the policy under verification is faultless unless the policy model cannot hold for test cases. Thus, the challenge of the method is to compose test cases that can comprehensively discover all faults. Alternatively, a system simulation method requires translating the policy to a simulated system. The translation between systems may be difficult or impractical to implement if the policy logic is complicated or the number of policy rules is large.   アクセス制御ポリシーの検証では、アクセス権限を漏らしたり遮断したりするような欠陥がポリシー内にないことを確認します。ソフトウェアテストとしてのアクセス制御ポリシー検証は,ポリシーロジックが期待通りに機能することを検証するために,モデル証明,データ構造,システムシミュレーション,テストオラクルなどの手法に依存しています。しかし、これらの手法には、不正確さや複雑さなど、応用技術によって制限される能力や性能の問題があります。例えば,モデル証明,テストオラクル,データ構造の手法は,テストケースに対してポリシーモデルが成立しない場合を除き,検証対象のポリシーが故障しないことを最初に仮定します。そのため、すべての欠陥を包括的に発見できるテストケースを構成することが、この手法の課題となります。一方、システムシミュレーション手法では、ポリシーをシミュレーションされたシステムに翻訳する必要があります。ポリシーの論理が複雑であったり,ポリシールールの数が多かったりすると,システム間の変換が困難であったり,現実的でなかったりします。 
To answer these challenges, this report proposes an efficient and straightforward method for access control policy verification by applying a classification algorithm of machine learning, which does not require comprehensive test cases, oracle, or system translation but rather checks the logic of policy rules directly, making it more efficient and feasible compared to traditional methods. This report demonstrates an experiment for the proposed method with an example that uses current available machine learning tools to facilitate the random forest classification algorithm. The result illustrates its capabilities as well as parameter settings for performing the verification steps. Ultimately, three general applications are provided: enhancement of existing verification methods, verification of access control policies with numerical attributes, and policy enforcement that can be supported by the proposed machine learning policy verification method.  これらの課題を解決するために,本報告では,機械学習の分類アルゴリズムを適用することで,包括的なテストケースやオラクル,システムの翻訳を必要とせず,ポリシールールの論理を直接チェックすることで,従来の手法に比べて効率的で実現性の高いアクセスコントロールポリシーの検証手法を提案します.本報告書では,現在入手可能な機械学習ツールを用いて,ランダムフォレスト分類アルゴリズムを促進する例を用いて,提案手法の実験を行っています。その結果、検証ステップを実行するためのパラメータ設定と同様に、その機能を説明しています。最終的には、既存の検証方法の強化、数値属性を持つアクセス・コントロール・ポリシーの検証、および提案する機械学習ポリシー検証方法によってサポートされるポリシー・エンフォースメントの3つの一般的なアプリケーションが提供されます。 

Executive Summary  エグゼクティブ・サマリー 
1 Introduction 1 はじめに
2 Machine Learning for Access Control Verification 2 アクセスコントロール検証のための機械学習
3 RFC verification approach 3 RFC検証のアプローチ
4 Applications 4 アプリケーション
5 Conclusion 5 まとめ
References 参考文献

 

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.03.25 NISTIR 8360 (ドラフト) アクセス制御ポリシー検証のための機械学習

| | Comments (0)

2021.09.18

JNSA 「現代のサイバーセキュリティの法的課題についての国際的な研究」に関する調査報告書

こんにちは、丸山満彦です。

サイバーセキュリティ企業の老舗団体JNSAが、「現代のサイバーセキュリティの法的課題についての国際的な研究」に関する調査報告書を公表しています。

高橋弁護士のチームです。

読み応えあります!!!

 

JNSA

Jnsa_20210918025301

・2021.09.13 「現代のサイバーセキュリティの法的課題についての国際的な研究に関する調査報告書」データ

・[PDF] Part1:ランサムウェアによる被害の実情及び支払いの可否に対する議論の動向、その他の対応における注目すべき事案

20210918-24847

・[PDF] Part2:脅威インテリジェンスサービスの利用における注意すべき法令上の問題についての調査

20210918-25622

・[PDF] Part3:情報セキュリティサービス提供者と法執行機関・監督官庁などとの協力

20210918-25640

 

 

| | Comments (0)

2021.09.17

警察庁 ランサムウェア被害防止対策

こんにちは、丸山満彦です。

警察庁がランサムウェア被害防止対策を公表していますね。。。

先日はカナダのサイバーセキュリティセンタのウェブページを紹介しましたが、まぁ世界的に被害が広がっていますからね。犯罪行為なので、警察に連絡をして解決に向けて協力してもらうことは重要ですよね。。。

警察庁

・2021.09.16 ランサムウェア被害防止対策について【令和3年9月16日更新】

・[PDF] (参考) 広報啓発用リーフレット

20210917-145331

  • ランサムウェアとは
  • ランサムウェアの手口
  • 被害の未然防止対策
    ・電子メール等への警戒
    ・OS等の脆弱性対策
    ・ウイルス対策ソフトの導入等によるマルウェア対策
    ・認証情報の適切な管理
  • 感染に備えた被害軽減対策
  • 感染してしまったら・・
  • 再発防止対策
  • 参考リンク

参考リンク



 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.14 カナダ サイバーセキュリティセンタ:ランサムウェア:防止および回復する方法(ITSAP.00.099)

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.09.05 米国 CISA FBI 休日と週末のためのランサムウェアの認識

・2021.08.26 米国 White House バイデン大統領が「米国のサイバーセキュリティを共同で改善する」と発言していますね。。。

・2021.08.26 米国 カリフォルニア州 医療機関等へのランサムウェアの被害を踏まえ、司法長官が医療データ・プライバシー法の完全な遵守を呼びかけていますね

・2021.08.03 ENISA サプライチェーン・セキュリティ攻撃の増加を理解する

・2021.07.26 Europol、オランダ警察、 Kaspersky、McAfee - NO MORE RANSOM (NMR) 復号ツール取り揃えています...

・2021.06.11 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル(暫定草案)

2021.06.10 米国 国土安全保障委員会 パイプラインに潜むサイバー脅威:コロニアル・ランサムウェア攻撃から得た教訓を重要インフラの防御に活かす

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.05.21 U.S. GAO (blog) コロニアルパイプラインへのサイバー攻撃は、連邦政府および民間部門のサイバーセキュリティへの備えの必要性を認識させた

・2021.05.10 米国の精製石油パイプライン運用会社がランサムウェアにやられ、被害拡大を防止するためにパイプラインを停止した

・2021.04.15 カプコン 不正アクセスに関する調査結果のご報告【第4報】

・2021.04.11 FBI インターネット犯罪レポート2020を発表

・2021.02.15 総務省 「テレワークセキュリティガイドライン(第5版)」(案)に対する意見募集

・2021.02.14 オーストラリア ACSC 2020年の医療セクターのサイバーセキュリティ脅威についてのスナップショット

・2021.02.05 米国 National Cyber​​ Investigative Joint TaskForceがランサムウェアのファクトシートを発表していますね。。。

・2021.02.02 Perl公式サイトのドメイン”perl.com”が乗っ取られランサムウェアを配布するサイトと同一のIPアドレスにホストされているようですね、、、

・2021.01.31 Canadian Centre for Cyber Security がIT復旧計画の策定に関する文書を公開していましたね。。。at 2021.01.14

・2021.01.28 IPA 「情報セキュリティ10大脅威 2021」を発表してますね。。。

・2021.01.24 CISA ランサムウェアのリスクを低減するためのキャンペーンを開始し、ランサムウェア対策のサイトを立ち上げていますね。。。

・2021.01.24 Interpol ASEANのサイバー脅威評価報告書2021

・2021.01.14 英国 政府がスポーツ団体に対してサイバーセキュリティ犯罪者から身を守るための会議を主催したようですね。。。

・2020.12.26 JNSAの2020年セキュリティ十大ニュース

・2020.12.25 組織に対するランサムウェア攻撃の実証研究:脆弱性に影響を与える重大性と顕著な要因の評価 Oxford Academic - Journal of Cybersecurity

・2020.12.09 SP 1800-25 Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events

・2020.12.09 SP 1800-26 Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.10.30 米国CISA 経済的利益を目的としてヘルスケア業界をターゲットにしたサイバー犯罪者が、ランサムウェアをシステムに感染させるために使用する、戦術・技術・手順(TTP)の説明

・2020.10.03 米国財務省は金融機関等にランサムウェアの支払いを勧めた場合の制裁リスクを強調する勧告を出していますね。。。

・2020.10.03 ランサムウェアに関するブルース シュナイアーさんのブログ

・2020.09.23 NIST SP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructive Events  ランサムウェア等の破壊的なイベントからの復旧

・2020.08.08 Interpol COVID-19により在宅勤務に関連する脆弱性と経済的利益が増加し、今後サイバー犯罪はさらに増える?

・2020.06.10 EKANS / Snake - 工場やプラントのセキュリティ

・2020.04.30 ランサムウェア攻撃者からの防御方法 by Microsoft Threat Protection Intelligence Team

・2020.04.10 外貨両替のTravelex社はSodinokibiランサムウェアの解決のために2.3MUS$(2.5億円)の身代金を支払った?

・2020.04.07 Interpol 病院に対ランサムウェアの攻撃に気をつけるようにアウアンスしていますね。。。COVID-19対応で大変な状況なのに犯罪者もちょっと考えてみてよ...

・2020.04.06 アルジェリアの石油合弁会社がMazeランサムウェアに攻撃され投資計画等の機密情報がネット上に公開されているようです。。。

・2020.01.29 IPA 情報セキュリティ10大脅威 2020

 

だいぶ前ですが、ここにもランサムウェアがでていました・・・

・2005.06.14 米国 ファーミングを中心とした悪意ある行為

 

| | Comments (0)

G7データ保護・プライバシー機関ラウンドテーブル 2021.09

こんにちは、丸山満彦です。

2021.09.07-08にかけて英国情報コミッショナーオフィス(ICO)が、G7諸国のデータ保護およびプライバシー当局、ならびに経済協力開発機構(OECD)および世界経済フォーラム(WEF)のゲストを集めて、情報の共有に関する議論を行った結果の報告です。。。

● 個人情報保護委員会

・2021.09.13 丹野委員長及び大島委員がG7データ保護・プライバシー機関ラウンドテーブルに出席

コミュニケです。。。

 ・[PDF] “Data Free Flow with Trust” ROUNDTABLE OF G7 DATA PROTECTION AND PRIVACY AUTHORITIES 07 – 08 SEPTEMBER 2021- Communiqué -

 ・[PDF] 『信頼性のある自由なデータ流通(DFFT:データ・フリー・フロー・ウィズ・トラスト)』G7 データ保護・プライバシー機関ラウンドテーブル コミュニケ(仮訳) 

 

20210917-14003

英国の場合

U.K. Information Commissioner's Office

・2020.09.09 G7 data protection and privacy authorities’ meeting: communiqué

・[PDF] “Data Free Flow with Trust” ROUNDTABLE OF G7 DATA PROTECTION AND PRIVACY AUTHORITIES 07 – 08 SEPTEMBER 2021- Communiqué -

 

Cookieの話はのっていないような気もするんですけど、、、

 

1_20210917020101

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.07 英国 データ保護局 (ICO) のブログ Cookie承諾の茶番はやめて、そろそろ真面目に考えようとG7の個人データ・プライバシー関連当局に呼びかける...

| | Comments (0)

Cloud Security Alliance STAR認証;継続的監査の導入

こんにちは、丸山満彦です。

Cloud Security Allianceが継続的監査の導入についての報告書を公表していますね。。。

1996年に堀江正之先生が執筆した「システム監査の理論」に継続的監査について触れられていたと思います。ついに現実になるのでしょうか???

これは、STAR認証のレベル3と最も高いレベルの監査ということのようです。。。

POCを募集中のようです。

 

Cloud Security Alliance (CSA)

・2021.09.15 (press) Cloud Security Alliance Releases New Guidelines Providing Insight Into Effectively Using Its Industry-Leading Security Assessment, Assurance Tools

・2021.09.14 The Evolution of STAR: Introducing Continuous Auditing

・[PDF] 簡単な質問に答えるとダウンロードできます

20210917-02235

Introductio はじめに
Value Proposition バリュープロポジション
How Does STAR Level 3 Work? STAR Level 3の仕組みとは?
Roles and Responsibilities 役割と責任
Continuous Auditing Foundations 継続的監査の基礎
Preparing for the Continuous Audit 継続的監査の準備
Executing the Continuous Audit 継続的監査の実施
 Collection  収集
 Measurement  測定
 Evaluation  評価
 Certification  認証
Conclusion 結論
References 参考文献

Continuous-audit-model_20210917074001

» Continue reading

| | Comments (0)

2021.09.16

金融庁 会計監査の在り方に関する懇談会(令和3事務年度)はじまりました

こんにちは、丸山満彦です。

金融庁で「会計監査の在り方に関する懇談会(令和3事務年度)」の第一回が開催されたようですね。。。

 

金融庁 - 会計監査の在り方に関する懇談会

・2021.09.15(第1回)議事次第

・配付資料

[PDF] 資料1 「会計監査の在り方に関する懇談会(令和3事務年度)」メンバー名簿(PDF:88KB)

[PDF] 資料2 運営要領(案)(PDF:103KB)

[PDF] 資料3 事務局資料(PDF:2.52MB)

 

事務局として、論点例を示していますね。。。 


議論の視点(例)

① 監査品質の向上に向け、監査市場の仕組み・構造を踏まえ、監査法人のマネジメント/ガバナンスに関してどのような点を検討すべきか。特に、能力ある中小監査法人が上場会社の監査の担い手として品質の高い監査を行うために検討すべき点は何か。

  • 一般投資家を含め多数のステークホルダーを有する上場会社の監査について、監査の担い手の規模、体制、リソース、規律付け等の観点で、他の監査と比してどのような考慮が求められるか。
  • 上場会社監査の担い手となる中小監査法人に対し、どのようなサポートが行われることが求められるか。

② 企業不正を見抜く力の向上に向け、公認会計士の能力向上・能力発揮について、どのような取組みが考えられるか。

  • 企業不正を見抜く力を向上させるため、継続的な人材育成・教育として、どのような能力開発が必要になると考えるか。また、そうした人材育成・教育の担保をどのように図っていくべきか。
  • 能力ある公認会計士の活躍の機会を十分確保するためにどのような点を検討すべきか。
  • 公認会計士の活躍の場が多様化する中、いわゆる組織内会計士を含め、公認会計士全体の能力発揮を実現するために検討すべき点は何か。
  • この他、監査基準等の制度面において、企業不正を見抜くために取り組むべき点は何か。

③ 「第三者の眼」として、チェック機能の更なる向上が期待される主体とその役割についてどう考えるか。

  • 当局や日本公認会計士協会によるエンフォースメントの実効性の向上に向け、検討すべき点は何か。

④ 監査品質の向上に向けた取組みが市場において自律的に行われるよう、会計監査に関する情報提供として、更なる充実が期待される事項は何か。

⑤ コーポレート・ガバナンス改革に向けた取組みと歩調を合わせる形で、“監査”機能の更なる向上を促すために検討すべき事項は何か。

  • 財務報告の信頼性の向上などに向け、監査機能が果たすべき更なる役割は何か。

 

個別の論点例について、いろいろと考えるところはあるのですが、特に、監査の品質向上については、外部有識者等の意見を聞くのも悪くはないですが、公認会計士武田雄治のブログ(■CFOのための最新情報■)にも書いているように、会計士に直接アンケートをとったらよいと思います。

また、監査法人単体で考えるのではなく、同じブランドのコンサルティング会社や税理士法人、弁護士法人等も合わせた全体のガバナンスの話を金融庁としてやったほうがよいと思います(所管を超えるという議論があるのかもしれませんが、今や一体運営しているので。。。)

それから、海外との連携のあり方にも触れた方が良いのかもしれませんね。。。どこまで、グローバルのガバナンスを影響をうけるとか。。。

 

八田先生には、ここ10年ほどお話はしていませんが、委員の方には知り合いも何人かいるので、議論の行方は楽しみです(^^)

 

 


 

■CFOのための最新情報■

・2021.09.16 金融庁「会計監査の在り方に関する懇談会」開催される

こちらの記事にデータがありますね。。。

・2021.09.13 4大大手監査法人の決算出揃う 監査証明業務売上高は今期もEY新日本がトップ

 

 

| | Comments (0)

総務省 「プラットフォームサービスに関する研究会 中間とりまとめ」及び意見募集の結果の公表

こんにちは、丸山満彦です。

総務省が、「プラットフォームサービスに関する研究会 中間とりまとめ」及び意見募集の結果を公表していますね。。。

グローバルに活動している企業では、法律はともかく、各国ごとの政策にすべて対応することはできないため、ユーザや収益の多い主要国への対応を優先するでしょうね。

日本程度の国であれば、企業の力に負けていく部分がでてくるのでしょうね。日本一国での対応ではなく、国が連携して対応をしていく必要があるでしょうね。。。そうなると、国ごとに異なる法律もその内容がある程度収斂していくのでしょうかね。。。個人情報保護法のように。。。

日本人全体が、国際的な感覚をもって考えていかないといけないのでしょうかね。。。

 

総務省 - プラットフォームサービスに関する研究会

・2021.09.15「プラットフォームサービスに関する研究会 中間とりまとめ」及び意見募集の結果の公表

 ・[PDF] 別紙1:「プラットフォームサービスに関する研究会」中間とりまとめ(案)に対する意見募集結果

 ・[PDF] 別紙2:プラットフォームサービスに関する研究会 中間とりまとめ

20210916-33318

 

 

誹謗中傷への対応


20210916-32432 20210916-32409


 

偽情報への対応 

20210916-32738 20210916-32720 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.02 欧州議会 Think Tank デジタルサービスにおけるターゲット広告や行動に基く広告の規制:利用者のインフォームド・コンセントをいかに確保するか

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.07.29 国連 地域間犯罪司法研究所 人工知能によるオンラインテロ対策 at 2021.06.30

・2021.07.01 防衛研究所 中国が目指す認知領域における戦いの姿

・2021.07.01 防衛研究所 バイデン政権と中国

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.26 欧州委員会 合同サイバーユニットを提案

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.21 米国 上院議員がデータ保護法案を再提出

・2021.06.20 NATO ブリュッセル・サミット・コミュニケ

・2021.06.13 U.S. White House 新大西洋憲章

・2021.06.04 欧州検査院 特別報告書 EUに影響を与える偽情報:対処しても対処しきれない

・2021.05.24 自動で偽の情報を作成するマシーンはできるのか?

・2021.05.03 U.S. CISA 偽情報・誤情報の脅威とその対応方法についての(いかにもアメリカンな)漫画

・2021.04.22 米国によるロシア制裁後のロシア連邦安全保障会議書記と米国大統領補佐官(国家安全保障担当)との電話会談

・2021.02.23 2021年の国連の社会正義の日のテーマは「デジタル経済における社会正義の呼びかけ」で、世界経済フォーラムは「デジタル世界において社会正義を如何に実現するかについての4つの視点」を公表していますね。。。

・2021.01.26 RAND研究所 真実の崩壊に対抗するためのメディアリテラシー標準についての報告

・2021.01.18 新聞紙学的(平和博さんのブログ) - ディープフェイクスにどれだけ騙される? 意外な実験結果とは

・2020.12.10 デジタル時代のニュース消費の測定 - Pew Research Center

・2020.12.07 民主主義を守るための偽情報との戦い

・2020.11.28 国連(UNICRI) テロリスト、過激派、組織犯罪グループがソーシャルメディアを悪用しCOVID-19対応中の政府への信頼失墜をさせようとしている

・2020.11.24 フェイク画像はここまで来たのか・・・ (The New York Times)+IDF辻井先生のコラム

・2020.11.23 Europol, UNICRI, Trendmicro 犯罪者もAIを活用!(ディープフェイクだけではない)

・2020.11.04 情報ネットワーク法学会 第20回研究大会

・2020.10.22 米国GAOのブログでDeepfakeが取り上げられていますね。。。

・2020.08.08 Interpol COVID-19により在宅勤務に関連する脆弱性と経済的利益が増加し、今後サイバー犯罪はさらに増える?

・2020.07.02 ディズニーがメガピクセルのディープフェイクで映画?

・2020.04.20 別人になりきってオンラインビデオ会議に参加できるオープンソースのディープフェイクツール「Avatarify」...

・2020.04.04 Europol COVID-19パンデミックに乗じて行われるサイバー犯罪と偽情報等に関する報告書

・2020.03.31 英国政府はCOVID-19に関する偽情報(misinformation)を取り締まるチームを設置したようですね。。。

・2020.01.27 Deepfake


少し古いですが...

・2005.09.27 中国 新規則策定 ネット上で非合法な集会・デモ禁止

 

 

 

» Continue reading

| | Comments (0)

2021.09.15

Cloud Security Alliance 安全なサーバーレス・アーキテクチャをどう設計すればよいか

こんにちは、丸山満彦です。

Cloud Security Allianceが安全なサーバーレス・アーキテクチャの設計の仕方についての報告書を公表していますね。。。

どんどんサーバーレス・アーキテクチャにかわっていくんでしょうね。。。クラウド利用のもっとも良い点の一つですよね。。


Cloud Security Alliance (CSA)

・2021.09.14 How to Design a Secure Serverless Architecture

How to Design a Secure Serverless Architecture 安全なサーバーレス・アーキテクチャをどう設計すればよいか
Like any solution, serverless computing brings with it a variety of cyber risks. This paper covers security for serverless applications, focusing on best practices and recommendations. It offers an extensive overview of the different threats, focusing on the application owner risks that serverless platforms are exposed to and suggesting the appropriate security controls. 他のソリューションと同様に、サーバーレスコンピューティングは様々なサイバーリスクをもたらします。本報告書では、サーバーレスアプリケーションのセキュリティについて、ベストプラクティスや推奨事項を中心に取り上げています。サーバーレスプラットフォームがさらされているアプリケーションオーナーのリスクに焦点を当て、適切なセキュリティコントロールを提案することで、さまざまな脅威の概要を説明しています。
The recommendations and best practices described in this paper are intended for a wide audience, including application developers, security professionals, CISOs, system and security administrators, information system security officers, and others who are interested in the security of serverless computing. 本報告書に記載されている推奨事項やベストプラクティスは、アプリケーション開発者、セキュリティ専門家、CISO、システム・セキュリティ管理者、情報システム・セキュリティ・オフィサーなど、サーバーレス・コンピューティングのセキュリティに関心のある方を含む幅広い層を対象としています。

・[PDF] 簡単な質問に答えるとダウンロードできます

20210915-120432

 

Executive Summary エグゼクティブサマリー
Serverless platforms enable developers to develop and deploy faster, allowing an easy way to move to Cloud-native services without managing infrastructures like container clusters or virtual machines. As businesses work to bring technology value to market faster, serverless platforms are gaining adoption with developers.  サーバーレス・プラットフォームは、開発者が開発と導入を迅速に行うことを可能にし、コンテナ・クラスターや仮想マシンなどのインフラを管理することなく、クラウド・ネイティブ・サービスへの移行を容易に実現します。企業がテクノロジーの価値をより早く市場に投入するために、サーバーレス・プラットフォームは開発者の間で採用されつつあります。
Like any solution, Serverless brings with it a variety of cyber risks. This paper covers security for serverless applications, focusing on best practices and recommendations. It offers an extensive overview of the different threats focusing more on the  Application Owner risks that Serverless platforms are exposed to and suggest the appropriate security controls.  他のソリューションと同様に、サーバーレスも様々なサイバーリスクをもたらします。本報告書では、サーバーレスアプリケーションのセキュリティについて、ベストプラクティスと推奨事項を中心に取り上げています。サーバーレス・プラットフォームがさらされるアプリケーション・オーナーのリスクに焦点を当てて、さまざまな脅威の概要を説明し、適切なセキュリティ対策を提案しています。
From a deployment perspective, organizations adopting serverless architectures can focus on core product functionality without being bothered by managing and controlling the platform or the compute resources with their respective load balancing, monitoring, availability, redundancy, and security aspects. Serverless solutions are inherently scalable and offer an abundance of optimized compute resources for the “Pay as you go” paradigm.  導入の観点からは、サーバーレスアーキテクチャを採用している企業は、プラットフォームやコンピューティングリソースの管理や制御、ロードバランシング、モニタリング、可用性、冗長性、セキュリティなどに煩わされることなく、製品のコア機能に集中することができます。 サーバーレスソリューションは本質的にスケーラブルであり、「Pay as you go」パラダイムに最適化されたコンピュートリソースを豊富に提供します。
Further, from a software development perspective, organizations adopting serverless architectures are offered deployment models under which the organization is no longer required to manage and control the underlying operating system, application server, or software runtime environment. As a result, such organizations can deploy services with less time to market and lower their overall operational costs.  さらに、ソフトウェア開発の観点から見ると、サーバーレスアーキテクチャを採用している組織には、基盤となるオペレーティングシステム、アプリケーションサーバー、ソフトウェアランタイム環境を管理・制御する必要がない展開モデルが提供されます。その結果、企業は市場投入までの時間を短縮し、全体的な運用コストを削減しながらサービスを展開することができます。
This paper›s recommendations and best practices were developed through extensive collaboration among a diverse group with extensive knowledge and practical experience in information security, cloud operations, application containers, and microservices. The information is intended for a wide variety of audiences who may have some responsibility in Serverless environments. 本論文の推奨事項とベストプラクティスは、情報セキュリティ、クラウド運用、アプリケーションコンテナ、マイクロサービスに関する豊富な知識と実践経験を持つ多様なグループの広範な協力により作成されました。この情報は、サーバーレス環境において何らかの責任を負う可能性のある、幅広い読者を対象としています。

 

 

» Continue reading

| | Comments (0)

Cloud Security Alliance クラウドネイティブな鍵管理サービスを利用するための推奨事項

こんにちは、丸山満彦です。

Cloud Security Allianceがをクラウドネイティブな鍵管理サービスを利用するための推奨事項を公表していますね・・・

いろいろなモノがクラウドネイティブになっていくでしょうね。。。これから、、、

そうなると、セキュリティ機能の大半もクラウド上に載っていき、設定の問題になるのでしょうかね。。。

セッキュリティコンサルもそうなると範囲が狭くなっていくのかもしれませんね。。。

 

Cloud Security Alliance (CSA)

・2021.09.14 クラウドネイティブな鍵管理サービスを利用するための推奨事項

Recommendations for Adopting a Cloud-Native Key Management Service クラウドネイティブな鍵管理サービスを採用するための推奨事項
The purpose of this document is to provide general guidance for choosing, planning, and deploying cloud-native Key Management Systems (KMS). The guidance within will provide recommendations that address technical, operational, legal, regulatory, and financial aspects of leveraging a cloud-native KMS. The goal is to optimize business outcomes, including agility, cost, and compliance.  本文書の目的は、クラウド・ネイティブな鍵管理システム(KMS)を選択、計画、導入するための一般的なガイダンスを提供することである。このガイダンスでは、クラウド・ネイティブな KMS を活用する際の技術的、運用的、法的、規制的、財務的な側面に対応する推奨事項を提供する。その目的は、アジリティ、コスト、コンプライアンスなどのビジネス成果を最適化することにあります。

・[PDF] 簡単な質問に答えるとダウンロードできます

20210915-91525

 

Acknowledgments 謝辞
1. Introduction 1. はじめに
1.1 Purpose 1.1 目的
1.2 Scope 1.2 対象範囲
1.3 Target Audience 1.3 対象となる読者
2. Cloud-Native KMS Overview 2. クラウドネイティブなKMSの概要
3. Choosing a Cloud-Native KMS 3. クラウドネイティブなKMSの選択
3.1 Technical Considerations 3.1 技術的検討事項
3.1.1 Hardware Security Module (HSM) Backed Keys 3.1.1 ハードウェア・セキュリティ・モジュール(HSM)を使った鍵のバックアップ
3.1.2 General Technical Considerations 3.1.2 一般的な技術的検討事項
3.2 Operational Considerations 3.2 運用面での検討事項
3.3 Regulatory Considerations 3.3 規制に関する検討事項
3.4 Legal Considerations 3.4 法律面での検討事項
3.5 Financial Considerations 3.5 財務上の検討事項
4. Planning a Cloud-Native KMS 4. クラウドネイティブなKMSの計画
4.1 Technical Considerations 4.1 技術的な検討事項
4.1.1 Identity and Access Management 4.1.1 アイデンティティおよびアクセス管理
4.1.2 Shared Responsibilities 4.1.2 責任の共有
4.1.3 Separation of Duties (SOD) 4.1.3 義務の分離(SOD)
4.1.4 General Technical Considerations 4.1.4 一般的な技術的検討事項
4.2 Operational Considerations 4.2 運用上の検討事項
4.3 Regulatory Considerations 4.3 規制に関する検討事項
4.4 Legal Considerations 4.4 法律上の検討事項
4.5 Financial Considerations 4.5 財務上の検討事項
5. Deploying a Cloud-Native KMS 5. クラウドネイティブなKMSの導入
5.1 Technical Considerations 5.1 技術的検討事項
5.2 Operational Considerations 5.2 運用上の検討事項
5.3 Regulatory Considerations 5.3 規制に関する検討事項
5.4 Legal Considerations 5.4 法律上の検討事項
5.5 Financial Considerations 5.5 財務上の検討事項
6. Conclusion 6. 結論
7. References 7. 参考文献
Appendix A: Acronyms 附属書A:頭字語
Appendix B: Glossary 附属書B:用語集

 

20210915-93739

 

Cloud Key Management

・2021.03.01 クラウドサービス使用時の鍵管理-日本語翻訳

・2020.11.09 Key Management in Cloud Services

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.03.10 Cloud Security Alliance Japanが「クラウドサービスの鍵管理」を翻訳していましたね。。。 at 2021.03.01

・2020.11.11 Cloud Security Allianceが「クラウドサービスにおける鍵管理」を公開していますね。。。

 

» Continue reading

| | Comments (0)

Cloud Security Alliance クラウド・コントロール・マトリクス v4.0 実装ガイダンス

こんにちは、丸山満彦です。

Cloud Security Allianceがクラウド・コントロール・マトリクス v4.0 実装ガイダンスを公表していますね・・・

 

Cloud Security Alliance (CSA)

・2021.09.13 CCM v4.0 Implementation Guidelines

Research - Cloud Control Matrix (CCM)

実装ガイダンスは、簡単な質問に答えると関連資料と一緒にZIPファイルでダウンロードできます。

エクセルのシートになっています。。。

20210915-45509

 

V4 Control Domain Control Domainの仮訳
A&A Audit & Assurance  - A&A 監査・保証
AIS Application & Interface Security - AIS アプリケーションとインターフェースのセキュリティ
BCR Business Continuity Management and Operational Resilience  - BCR 事業継続管理と運用維持
CCC Change Control and Configuration Management  - CCC 変更管理と構成管理
CEK Cryptography, Encryption & Key Management 暗号、暗号化、鍵管理
DCS Datacenter Security  - DCS データセンタセキュリティ
DSP Data Security and Privacy Lifecycle Management - DSP データセキュリティとプライバシーライフサイクル管理
GRC Governance, Risk and Compliance - GRC ガバナンス、リスクとコンプライアンス
HRS Human Resources - HRS 人事
IAM Identity & Access Management - IAM アイデンティティとアクセスの管理
IPY Interoperability & Portability - IPY 相互運用性・移植容易性
IVS Infrastructure & Virtualization Security - IVS インフラと仮想化のセキュリティ
LOG Logging and Monitoring  - LOG 記録と監視
SEF Security Incident Management, E-Discovery, & Cloud Forensics - SEF セキュリティインシデント管理、Eディスカバリ、クラウドフォレンジックス
STA Supply Chain Management, Transparency, and Accountability - STA サプライチェーンの管理、透明性と説明責任
TVM Threat & Vulnerability Management - TVM 脅威と脆弱性の管理
UEM Universal Endpoint Management - UEM 統合的エンドポイント管理

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.05.30 Cloud Security Alliance CSA STAR Attestation v2 を提供する米国公認会計士へのガイドライン

・2021.01.23 Cloud Security Alliance - Cloud Controls Matrix v4を公表しましたね。。。

 

| | Comments (0)

欧州議会 Think Tank 欧州連合に関する中国の報道の動向:新華社の2012-2021年におけるEU関連報道の分析

こんにちは、丸山満彦です。

EU議会のThink Tankが欧州連合に関する中国の報道の動向について新華社の2012-2021年におけるEU関連報道を分析した報告書をだしていますね。。。

米国、欧州、中国、ロシア関係の動きというのは、気になりますね。。。

EU Parliament - Think Tank

・2021.09.10 Trends in Chinese reporting on the European Union: Xinhua's coverage of EU affairs, 2012-2021

Trends in Chinese reporting on the European Union: Xinhua's coverage of EU affairs, 2012-2021 欧州連合に関する中国の報道の動向。新華社のEU関連報道、2012-2021年
The main Chinese news service, Xinhua, has steadily expanded its coverage on the European Union over the past decade. The main challenges facing the Union have featured strongly, from the refugee crisis to Brexit to the impact of Covid 19. The tone of the coverage in this period has been neutral, rather than negative, and has not become more critical during the pandemic. Internal EU policies are often put in a favourable light, although internal divisions also feature in Xinhua's reporting. Xinhua tends to emphasise EU cooperation with China and EU divisions with the United States. It also criticises EU sanctions and human rights complaints, both about China – for example on Xinjiang and Hong Kong – and about countries including Russia and Turkey. These trends are in line with China's long-standing stated preference for the EU to become a pole in a multipolar world order that is able to balance US power, despite its disapproval of the EU's pursuit of human rights issues. Xinhua's coverage emphasises both the opportunities and the challenges facing European integration. This dual approach tends to support the view that China is ambiguous about the EU's ability to become a more influential and more useful strategic partner on the world stage. This briefing is based on a quantitative and qualitative analysis of Chinese-language online articles by the state-affiliated Xinhua News Agency since 2012, as well as a selection of secondary sources. 中国の主要報道機関である新華社は、過去10年間、EUに関する報道を着実に拡大してきました。難民危機からBrexit、Covid19の影響まで、EUが直面する主な課題が強く取り上げられています。この時期の報道のトーンは、ネガティブなものではなくニュートラルなもので、パンデミックの際に批判的になることはありませんでした。新華社の報道では、EUの内部政策は好意的に扱われることが多いですが、内部分裂も取り上げられています。新華社は、EUと中国との協力関係やEUと米国との対立を強調する傾向があります。また、新疆ウイグル自治区や香港などの中国や、ロシアやトルコなどの国々に対するEUの制裁や人権問題への不満を批判しています。このような傾向は、中国が、EUの人権問題への取り組みには否定的であるものの、EUが多極化した世界秩序の中で米国の力と均衡を保つ役割を果たすことを望んでいることと一致しています。新華社の報道は、欧州統合が直面している機会と課題の両方を強調しています。このような二重のアプローチは、中国が、EUが世界の舞台でより影響力のある、より有用な戦略的パートナーになる能力について曖昧にしているという見方を支持する傾向があります。本報告書は、2012年以降の新華社通信による中国語のオンライン記事の量的・質的分析、および二次資料の選択に基づいています。

 

テーマごとの報道のされ方です。。。

20210915-41738

中国に対する制裁や批判についてはネガティブな報道が多いのですが、それは当たり前とすると、どちらかというと、それ以外は比較的好意的な報道のような気もします。。。

・[PDF

20210915-42151

 

| | Comments (0)

2021.09.14

ENISA セクター別サイバーセキュリティ評価の方法論(270xxと15408の統合する?)

こんにちは、丸山満彦です。

ENISA セクター別サイバーセキュリティ評価の方法論(SCSA方法論)についての報告書を公表していますね。。。

さまざまな保証を統合するようなものなんでしょうかね。。。監査論とか詳しい人のサポートがいるかもですね。。まずは、読んでみようかと思います。。。

 

ENISA

・2021.09.13 Risky business or a leap of faith? A risk based approach to optimise cybersecurity certification

 

Risky business or a leap of faith? A risk based approach to optimise cybersecurity certification 危険なビジネスか、思い切ってやってみるか?サイバーセキュリティ認証を最適化するためのリスクベースのアプローチ
The European Union Agency for Cybersecurity (ENISA) launches a cybersecurity assessment methodology for cybersecurity certification of sectoral multistakeholder ICT systems. 欧州連合サイバーセキュリティ機関(ENISA)は、セクターごとのマルチステークホルダーのICTシステムのサイバーセキュリティ認証のためのサイバーセキュリティ評価手法を発表しました。
The Methodology for Sectoral Cybersecurity Assessments (SCSA Methodology) in a nutshell セクター別サイバーセキュリティ評価のための方法論(SCSA方法論)を一言で言うと
The Methodology for a Sectoral Cybersecurity Assessment - (SCSA Methodology) was developed to enable the preparation of EU cybersecurity certification schemes for sectoral ICT infrastructures and ecosystems. SCSA aims at market acceptance of cybersecurity certification deployments and supports the requirements of market stakeholders and the EU Cybersecurity Act (CSA). In particular, SCSA endorses the identification of security and certification requirements based on risks associated with the “intended use” of the specific ICT products, services and processes. セクター別サイバーセキュリティ評価のための方法論-(SCSA方法論)は、セクター別のICTインフラとエコシステムのためのEUサイバーセキュリティ認証スキームの準備を可能にするために開発されました。SCSAは、サイバーセキュリティ認証を展開する市場で受け入れられることを目指しており、市場の利害関係者やEUサイバーセキュリティ法(CSA)の要件をサポートしています。特に、SCSAは、特定のICT製品、サービス、およびプロセスの「意図された使用」に関連するリスクに基づいて、セキュリティおよび認証要件を特定することを支持しています。
The SCSA Methodology makes available to the ENISA stakeholders a comprehensive ICT security assessment instrument that includes all aspects pertinent to sectoral ICT systems and provides thorough content for the implementation of ICT security and cybersecurity certification. SCSA方法論は、セクター別のICTシステムに関連するすべての側面を含む包括的なICTセキュリティ評価手段をENISA関係者に提供し、ICTセキュリティおよびサイバーセキュリティ認証の実施のための徹底したコンテンツを提供します。
While SCSA draws from widely accepted standards, in particular ISO/IEC 27000-series and ISO/IEC 15408-series, the proposed enhancements tackle multi-stakeholder systems and the specific security and assurance level requirements concerning ICT products, processes and cybersecurity certification schemes. SCSAは広く受け入れられている規格、特にISO/IEC 27000シリーズとISO/IEC 15408シリーズを参考にしていますが、提案されている強化点は、マルチステークホルダー・システムや、ICT製品、プロセス、サイバーセキュリティ認証制度に関する特定のセキュリティおよび保証レベルの要件に取り組んでいることです。
This is achieved by introducing the following features and capabilities: これは、以下の特徴と機能を導入することによって達成されます。
・Business processes, roles of sectoral stakeholders and business objectives are documented at ecosystem level, overarching the ICT subsystems of the individual stakeholders. Stakeholders are invited to actively contribute to the identification and rating of ICT security risks that could affect their business objectives. ・ビジネスプロセス、各分野のステークホルダーの役割、ビジネス目標は、個々のステークホルダーのICTサブシステムを包括したエコシステムレベルで文書化されます。事業目的に影響を与える可能性のある ICT セキュリティリスクの特定と評価に、ステークホル ダーが積極的に貢献するよう促します。
・A dedicated method associates the stakeholders’ ratings of risks with the security and assurance level requirements to dedicated ICT subsystems, components or processes of the sectoral ICT system. ・利害関係者が評価したリスクを、セクター別 ICT システムの専用の ICT サブシステム、コンポーネン ト、またはプロセスに対するセキュリティおよび保証レベルの要求事項と関連付ける専用の手法です。
・SCSA specifies a consistent approach to implement security and assurance levels across all parts of the sectoral ICT system and provides all information required by the sectoral cybersecurity certification schemes. ・SCSA は、セクター別 ICT システムのすべての部分にセキュリティおよび保証レベルを実装するための一貫したアプロー チを規定しており、セクター別サイバーセキュリティ認証制度が必要とするすべての情報を提供します。
Benefits of the SCSA Methodology for stakeholders SCSA方法論がステークホルダーにもたらすメリット
The sectoral cybersecurity security assessment provides a comprehensive approach of the multi-faceted aspects presented by complex multi-stakeholder ICT systems and it features the following benefits: セクター別サイバーセキュリティセキュリティ評価は、複雑なマルチステークホルダーのICTシステムが提示する多面的な側面に対する包括的なアプローチを提供するものであり、以下のようなメリットがあります。
1. The security of a sectoral system requires synchronisation across all participating stakeholders. SCSA introduces comparability of security and assurance levels between different stakeholders’ systems and system components. SCSA enables building open multi-stakeholder ecosystems even among competitors to the benefit of suppliers and customers. 1. セクターシステムのセキュリティには、参加しているすべてのステークホルダーの同期が必要です。SCSAは、異なるステークホルダーのシステムおよびシステムコンポーネント間のセキュリティおよび保証レベルの比較可能性を導入します。SCSAは、競合他社であってもオープンなマルチステークホルダーのエコシステムを構築することを可能にし、サプライヤーや顧客の利益につながります。
2. The risk-based approach supports transparency and a sound balance between the cost for security and certification and the benefit of mitigating ICT-security-related business risks for each concerned stakeholder. 2. リスクベースのアプローチは、透明性と、セキュリティ及び認証のためのコストと、関係する各ステークホルダーのICTセキュリティ関連のビジネスリスクを軽減することによる利益との間の健全なバランスをサポートします。
3. Security measures can focus on the critical components, optimising the security architecture of the sectoral system, hence minimising cost of security. 3. セキュリティ対策は、重要なコンポーネントに焦点を当て、セクター別システムのセキュリティ・アーキテクチャーを最適化することで、セキュリティ・コストを最小限に抑えることができる。
4. SCSA generates accurate and consistent information on security and certification level requirements for all relevant ICT subsystems, components or processes. On this basis, suppliers can match their products to their customers’ requirements. 4. SCSAは、すべての関連するICTサブシステム、コンポーネント、またはプロセスに対するセキュリティおよび認証レベルの要件に関する正確で一貫性のある情報を生成します。この情報を基に、サプライヤーは自社の製品を顧客の要求に合わせることができる。
5. SCSA supports the integration of existing risk management tools and information security management systems (ISMS). 5. SCSAは、既存のリスク管理ツールと情報セキュリティ管理システム(ISMS)の統合をサポートします。
6. Due to a consistent definition of assurance levels, the re-use of certificates from other cybersecurity certification schemes is supported. 6. 保証水準の定義が一貫しているため、他のサイバーセキュリティ認証制度の認証書の再利用が可能です。
Target audience - Who is it meant for? 対象者 - 誰を対象としていますか?
SCSA aims at an expert level audience, in particular ICT experts, ICT security experts and decision-makers in charge of sectoral multi-stakeholder systems, as well as suppliers. Examples of relevant market sectors include mobile networks / 5G, electronic identity (eID), eHealth, payments, Mobility as a Service (MaaS) and automotive. SCSAは、専門家レベルの読者、特にICT専門家、ICTセキュリティ専門家、セクター別マルチステークホルダーシステムの責任者である意思決定者、及びサプライヤーを対象としています。関連する市場セクターの例としては、モバイルネットワーク/5G、電子ID(eID)、eHealth、ペイメント、MaaS(Mobility as a Service)、自動車などが挙げられます。
Next steps 次のステップ
After successfully passing a pilot implementation in a 5G context, SCSA will be used towards the development of the EU 5G candidate cybersecurity certification scheme. SCSAは、5Gのパイロット実施に成功した後、EUの5G候補のサイバーセキュリティ認証スキームの開発に向けて使用する予定です。

 

 

 ・2021.09.13 Methodology for a Sectoral Cybersecurity Assessment

Methodology for a Sectoral Cybersecurity Assessment セクター別サイバーセキュリティ評価のための方法論
The methodology for sectoral cybersecurity assessments described in this document (called SCSA Methodology) addresses objectives in the context of ICT security for sectoral multi-stakeholder systems and drafting sectoral cybersecurity certification schemes. Applying the SCSA Methodology will generate sound information about the sectoral ICT system and relationships between the stakeholders involved, providing transparency concerning ICT-related risks and the potential to optimize the implementation of ICT security for the sectoral ICT system. It also enables full support for the European Cybersecurity Act’s requirements concerning the risk-based identification of security and assurance requirements. 本書に記載されているセクター別サイバーセキュリティ評価のための方法論(SCSA方法論と呼ばれる)は、セクター別のマルチステークホルダーシステムのためのICTセキュリティと、セクター別サイバーセキュリティ認証制度の起草という文脈での目的に対応しています。SCSA方法論を適用することにより、セクター別ICTシステム及び関係するステークホルダー間の関係に関する健全な情報が生成され、ICT関連のリスクに関する透明性とセクター別ICTシステムのためのICTセキュリティの実施を最適化する可能性が提供されます。また、欧州サイバーセキュリティ法のセキュリティおよび保証要件のリスクベースの特定に関する要件を完全にサポートすることができます。

 

・[PDF]

20210914-142224

 

 

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Cybersecurity certification under the European Union Cybersecurity Act (CSA) is intended to increase trust and security for European consumers and businesses and help to achieve a genuine digital single market .  欧州連合サイバーセキュリティ法(CSA)に基づくサイバーセキュリティ認証は、欧州の消費者と企業の信頼と安全性を高め、真のデジタル単一市場の実現に貢献することを目的としています。
This requires that all relevant levels of the ICT market, from sectoral ICT services and systems via ICT infrastructures to ICT products and ICT processes, will be addressed and that the related cybersecurity certification schemes are well accepted by the market. The CSA stipulates specific requirements, which target efficiency and coherence between schemes of the CSA’s cybersecurity certification framework. These requirements include:  そのためには、セクター別のICTサービスやシステムから、ICTインフラ、ICT製品、ICTプロセスに至るまで、ICT市場のすべての関連レベルに対応し、関連するサイバーセキュリティ認証制度が市場に十分に受け入れられることが必要です。CSAは、CSAのサイバーセキュリティ認証フレームワークのスキーム間の効率性と一貫性を目的とした特定の要件を規定しています。これらの要件には以下が含まれます。
・The security and assurance requirements for ICT services, ICT processes or ICT products should be defined based on the risk associated with their intended use.  ICTサービス、ICTプロセス、またはICT製品のセキュリティおよび保証の要件は、その使用目的に関連するリスクに基づいて定義されなければなりません。
・Assurance levels should be implemented consistently across schemes.  保証水準はスキーム間で一貫して実施されるべきです。
・Support for security-by-design.  セキュリティ・バイ・デザインを支援します。
The methodology for sectoral cybersecurity assessments described in this document (hereinafter called SCSA Methodology) addresses these objectives in the context of drafting sectoral cybersecurity certification schemes, which address ICT services in individual market sectors. It is designed to be used as a preparatory step for the definition of a candidate scheme involving sectoral stakeholders.  本書に記載されているセクター別サイバーセキュリティ評価のための方法論(以下、 SCSA方法論)は、個々の市場セクターにおける ICTサービスを対象としたセクター別サイ バーセキュリティ認証制度を起草するという観点から、これらの目的に対応するものです。この方法論は、セクターの利害関係者が関与する候補スキームの定義の準備段階として使用されるように設計されています。
A basic principle of the proposed methodology is to establish a sound understanding of the sectoral ICT services and system as a foundation for all other functions:  提案された方法論の基本原則は、他のすべての機能の基礎として、セクターのICTサービスとシステムの健全な理解を確立することです。
・A cybersecurity assessment at the sectoral level will provide information about the objectives of the sectoral stakeholders and will identify the primary assets and related risks. As an enhancement of the typical risk assessment procedure, a ‘deep dive’ to gain detailed information about the intended use of relevant subsystems, products or services will be conducted. In addition, cyberthreat intelligence (CTI) will be employed to provide information on potential attackers, their motivation and capabilities. This adds an important parameter to the risk analysis and contributes to the information needed to assign security and assurance requirements to ICT subsystems, ICT products or ICT services based on risk.  セクターレベルでのサイバーセキュリティ評価は、セクターの利害関係者の目的に関する情報を提供し、主要な資産と関連するリスクを特定します。典型的なリスクアセスメントの手順の強化として、関連するサブシステム、製品またはサービスの使用目的に関する詳細な情報を得るための「ディープダイブ」を実施します。さらに、潜在的な攻撃者やその動機、能力に関する情報を提供するために、サイバー・スレット・インテリジェンス(CTI)が採用されます。これにより、リスク分析に重要なパラメータが追加され、リスクに基づいて ICTサブシステム、ICT製品または ICTサービスにセキュリティおよび保証の要件を割り当てるために必要な情報に貢献します。
・The SCSA Methodology provides the option to integrate sectoral, product, process and potentially also ISMS-based cybersecurity certification schemes. It offers a concept of internal risk, security and assurance reference levels. If these are commonly used, they will support consistency in the definition of risk, security and assurance across schemes. The SCSA Methodology is designed to address a wide range of certification schemes, beyond Common Criteria or other ISO/IEC 15408-based schemes. Optionally other types of certification schemes can be integrated in order to establish consistency across the various types of schemes that support the proposed methodology.   SCSA方法論は、セクター、製品、プロセス、そして潜在的にはISMSベースのサイバーセキュリティ認証制度を統合するオプションを提供します。SCSA方法論は、セクターごとの製品やプロセス、さらにはISMS ベースのサイバーセキュリティ認証制度を統合するオプションを提供します。これらが一般的に使用されれば、制度間でのリスク、セキュリティ、保証の定義の一貫性をサポートすることになります。SCSA方法論は、コモンクライテリアやISO/IEC 15408ベースの認証制度以外にも、様々な認証制度に対応できるように設計されています。提案された方法論をサポートする様々なタイプのスキーム間の一貫性を確立するために、オプションとして他のタイプの認証スキームを統合することができます。 
・A link between the ISO/IEC 270xx series of standards and ISO/IEC 15408 is needed to allow information to be exchanged between the outcome of risk assessment and the specification of security and assurance of products. The expert team has developed a mapping approach that addresses existing divergences of terminology between these standards and allows the transfer of the information that is required.  リスクアセスメントの結果と、製品のセキュリティや保証の仕様との間で情報を交換するために、ISO/IEC 270xxシリーズの規格とISO/IEC 15408との間のリンクが必要です。専門家チームは、これらの規格間の既存の用語の乖離を解決し、必要な情報の伝達を可能にするマッピングアプローチを開発しました。
・The introduction of a common, scalable approach to risk-based security and assurance supports the definition of scaled controls. These controls are associated with clear security levels which are defined in accordance with their ability to treat risk and protect against known attack potentials. The expert team has drafted a sample list of scaled controls and has described how these controls can be used in a coordinated way.   リスクベースのセキュリティと保証に共通のスケーラブルなアプローチを導入することで、 スケーラブルなコントロールの定義が可能になります。これらの管理策は、リスクを処理し、既知の攻撃の可能性から保護する能力に応じて定義される明確なセキュリティレベルと関連しています。専門家チームは、スケールドコントロールのサンプルリストを作成し、これらのコントロールをどのように協調して使用するかを説明しています。 
Based on these properties and functions, the SCSA Methodology has the potential to fully support the aforementioned requirements stipulated by the CSA and to promote the market acceptance of cybersecurity certification in the following ways:  これらの特性と機能に基づき、SCSA方法論は、CSAが規定した前述の要件を完全にサポートし、次のような方法でサイ バーセキュリティ認証の市場受容を促進する可能性があります。
・The SCSA Methodology supports the identification of risk associated with the intended use of ICT systems, ICT services and ICT processes at any level of the sectoral architecture. In applying the methodology, relevant stakeholders will be responsible for the identification of risks and they will be involved in the definition of security and assurance requirements. This will allow them to balance their view of risks against the investment needed to mitigate these risks by introducing appropriate levels of security and assurance. It can be expected that this transparent, cooperative approach will contribute significantly to the market acceptance of schemes under the CSA.   SCSA方法論は、セクター・アーキテクチャのどのレベルにおいても、ICTシステム、ICTサービス、および ICTプロセスの意図された使用に関連するリスクの特定をサポートするものです。この方法論を適用する際には、関連するステークホルダーがリスクの特定に責任を持ち、セキュリ ティ及び保証要件の定義に関与することになります。これにより、利害関係者は、リスクに対する見解と、適切なレベルのセキュリティと保証を導入することでこれらのリスクを軽減するために必要な投資のバランスを取ることができます。このような透明性のある協力的なアプローチが、CSAに基づくスキームの市場への受け入れに大きく貢献することが期待されています。 
・As required by the CSA, consistency in the implementation of assurance levels can be achieved across schemes. This will allow the re-use of certificates issued by one scheme in other schemes, thus providing an important benefit both to the business interests of product and infrastructure service providers and to their customers. At the same time, the methodology’s approach to consistency is also flexible enough to support the integration of new types of cybersecurity certification schemes, which may emerge as a result of specific requirements from different markets.  CSAが要求しているように、スキーム間で保証水準の実施に一貫性を持たせることができます。これにより、あるスキームで発行された証明書を他のスキームで再利用することが可能となり、製品・ インフラサービスプロバイダのビジネス上の利益とその顧客にとって重要なメリットがもたらされる。同時に、一貫性に対する本方法論のアプローチは、異なる市場からの特定の要求の結果として出現する可能性のある新しいタイプのサイバーセキュリティ認証制度の統合をサポートするのに十分な柔軟性も備えています。
・Introducing a common concept for security levels facilitates the definition of controls which can be commonly used across participating schemes. This provides a sound basis  セキュリティレベルに共通の概念を導入することで、参加している認証制度間で共通して使用できるコントロールの定義が容易になります。これは、そのようなコントロールのライブラリを導入するための健全な基盤となります。
for the introduction of libraries of such controls. The availability of those could significantly promote the introduction of security-by-design, as well as the implementation of defined security levels in ICT products, ICT processes and also in ICT systems.  これは、そのようなコントロールのライブラリを導入するための健全な基礎となります。これらのライブラリが利用可能になることで、セキュリティ・バイ・デザインの導入や、ICT製品、ICTプロセス、および ICTシステムにおける定義されたセキュリティレベルの実装が大幅に促進される可能性があります。
Applying the SCSA Methodology will generate sound information about the sectoral system and defined relationships between the stakeholders involved, which may enable additional tangible benefits, including:  SCSA方法論を適用することで、セクター別システムに関する健全な情報と、関係するステークホル ダー間の明確な関係が生成され、以下のような追加の具体的な利益が得られる可能性があります。
・Product and service providers will benefit from reliable information about the intended use of their products and services, as well as sectoral security and assurance requirements. This will allow them to optimize their products and their market reach.  製品やサービスの提供者は、製品やサービスの使用目的や、セクター別のセキュリティや保証の要求事項など、信頼できる情報を得ることができます。製品やサービスの提供者は、製品やサービスの使用目的や、分野別のセキュリティや保証の要求事項に関する信頼性の高い情報を得ることができ、製品や市場への参入を最適化できます。
・The defined relationships between risk, security and assurance proposed by this methodology support the definition of horizontal products and services, which can serve various sectors.  本方法論が提案するリスク、セキュリティ、および保証の関係の定義は、様々なセクターに対応可能な水平方向の製品およびサービスの定義を支援します。
・A sound understanding of the ICT system, the defined roles of the relevant parts and stakeholders, and the availability of controls with defined properties concerning risk and attack potential open new options, especially for sectors that have, for example, to deal with cost pressures and attackers with an elevated potential at the same time. Based on this methodology, the deployment of controls may be coordinated and firmly agreed between stakeholders. For example a basic-level control in an IoT device and a mediumlevel control in the sectoral back-office may be concatenated and coordinated in such a way that they jointly reach a security level that also protects against elevated attack potentials.  ICTシステムの十分な理解、関連部門や利害関係者の役割の定義、リスクや攻撃の可能性に関 して定義された特性を持つコントロールの利用が可能になることで、特に、コスト圧 力と潜在的な攻撃者に同時に対処しなければならないような部門にとって、新たな選択肢 が生まれる。この方法論に基づいて、コントロールの展開を調整し、関係者間でしっかりと合意することができます。例えば、IoTデバイスの基本的なレベルのコントロールと、セクターのバックオフィスの中程度のレベルのコントロールを連結して調整することで、高度な攻撃の可能性からも保護するセキュリティレベルに共同で到達することができます。
The version of the methodology described in this document is sufficiently mature to allow a first practical use in drafting sectoral cybersecurity certification schemes. Experience gained from this first deployment should be used to improve and consolidate the methodology.  本書に記載されている方法論のバージョンは、セクターごとのサイバーセキュリティ認証スキームを起草する際に最初の実用化を可能にするほど十分に成熟しています。この最初の導入から得られた経験は、本方法論の改善と統合に利用されるべきです。
In summary, the proposed methodology not only supports the workflow of drafting the CSA cybersecurity scheme but also offers a potential for a broader use by sectors and providers of infrastructure.  要約すると、提案されている方法論は、CSAサイバーセキュリティスキームを起草する際のワークフローをサポートするだけでなく、セクターやインフラのプロバイダがより広く利用できる可能性を秘めています。

» Continue reading

| | Comments (0)

ENISA 中小企業のセキュリティのためのツール「SecureSMEツール」を発表していますね。。。

こんにちは、丸山満彦です。

ENISAが中小企業のセキュリティのためのツール「SecureSMEツール」を発表していますね。。。EUの企業のうち99%がSMEで、約1億人(EU全体で約4.5億人)がSMEで働いているようですね。。。

2021.06.28に公開した、「中小企業のためのサイバーセキュリティの課題と推奨事項」の続編でツール編ということのようです。。。

 

ENISA

Enisa_20210914122701

 

・2021.09l.08 (news) New Tool is another step towards securing the Digital Future of SMEs

SecureSME

サイバーに関するヒントが

従業員の保護 (7)

プロセスの強化 (5)

技術的対策の強化 (7)

Covid19問題の克服 (6)

のページが用意されていてます。

全体をみるとこんな目次構成

Protect Employees (7) 従業員を守る (7)
Responsibility 社会的責任
Management Commitment マネジメント・コミットメント
Employee Buy-in 従業員の参加
Employee Awareness 従業員の意識向上
Cybersecurity Training サイバーセキュリティ・トレーニング
Cybersecurity Policies サイバーセキュリティポリシー
Third Party Management サードパーティ管理
Enhance processes (5) プロセスの強化(5)
Cybersecurity Audits サイバーセキュリティ監査
Incident Planning and Response インシデントの計画と対応
Passwords パスワード
Software Patches ソフトウェアパッチ
Data Protection データ保護
Strengthen technical measures (7) 技術的対策の強化(7)
Network Security ネットワークセキュリティ
Anti-Virus ウィルス対策
Employ Email and Web Protection Tools メール・Web保護ツールの導入
Encryption 暗号化
Security Monitoring セキュリティモニタリング
Physical Security 物理的セキュリティ
Secure Backups バックアップの確保
Overcome COVID19 issues (6) COVID19の課題を克服する (6)
Review Remote Access Facilities リモートアクセス機能の見直し
Engage with the Cloud クラウドへの取り組み
Implement Mobile Device Management モバイルデバイス管理の導入
Conduct Security Awareness Trainings セキュリティ意識向上のためのトレーニングの実施
Secure Online Sites オンラインサイトの保護
Information Sharing 情報共有

 

ビデオ (01':39'')

20210914-123054

ガイドライン

・2021.06.28 Cybersecurity for SMEs - Challenges and Recommendations

20210707-15123

 

・2021.06.28 Cybersecurity guide for SMEs - 12 steps to securing your business

20210707-21550

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.07 ENISA 中小企業のためのサイバーセキュリティの課題と推奨事項 at 2021.06.28

 

| | Comments (0)

カナダ サイバーセキュリティセンタ:ランサムウェア:防止および回復する方法(ITSAP.00.099)

こんにちは、丸山満彦です。

カナダのサイバーセキュリティセンタが、ランサムウェアへの対策を公表していますね。。。

Canadian Centre for Cyber Security

・2021.09.09 Ransomware: How to prevent and recover (ITSAP.00.099)

 

身代金については、身代金を支払うことのリスクとして、次のように説明していますね。。。

 

"Paying the ransom is not usually advised"です。

 

Risks of paying the ransom 身代金を支払うことのリスク
The decision to pay a cyber threat actor to release your files or devices is difficult and you may feel pressured to give in to the demands of the threat actor. Before you pay, contact your local police department and report the cybercrime. Paying the ransom is not usually advised, due to the following: サイバー犯罪者に身代金を支払ってファイルやデバイスを解放してもらうかどうかの判断は難しく、脅威者の要求に応じることにプレッシャーを感じるかもしれません。身代金を支払う前に、最寄りの警察署に連絡し、サイバー犯罪を通報してください。身代金を支払うことは、以下の理由から、通常はお勧めできません。
・The ransom will not guarantee access to your files. Threat actors may demand more money despite receiving the first ransom payment. ・身代金を支払っても、ファイルへのアクセスは保証されません。脅威の行為者は、最初の身代金の支払いを受けたにもかかわらず、さらに金銭を要求する場合もあります。
・It encourages threat actors to continue infecting your devices or those of other organizations with ransomware as they assume you will continue to pay with each attack. ・脅威の行為者は、あなたが攻撃のたびに身代金を支払い続けると想定しているため、あなたのデバイスや他の組織のデバイスにランサムウェアを感染させ続けることになります。
・Threat actors can use wiper malware that masquerades as ransomware. In this case, your files are not recoverable as the malware alters or permanently deletes them once the ransom is paid. ・脅威の行為者は、ランサムウェアを装ったワイパーマルウェアを使用することができます。この場合、身代金が支払われると、マルウェアがファイルを変更または永久に削除するため、ファイルは復元できません。
・Your data has likely been copied and can be leaked by the threat actor for profit. They may also continue to extort you with the copied data. ・あなたのデータはコピーされている可能性が高く、脅迫者が利益を得るために流出させることができます。また、コピーされたデータを使って、あなたを脅迫し続ける可能性もあります。
・Your payment may be used to support other ransomware attacks or terrorist organizations. ・支払った身代金は、他のランサムウェア攻撃やテロ組織の支援に使われる可能性があります。

 

Ewsbhq5xqaaro7b

 


ランサムウェア関係...

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.09.05 米国 CISA FBI 休日と週末のためのランサムウェアの認識

・2021.08.26 米国 White House バイデン大統領が「米国のサイバーセキュリティを共同で改善する」と発言していますね。。。

・2021.08.26 米国 カリフォルニア州 医療機関等へのランサムウェアの被害を踏まえ、司法長官が医療データ・プライバシー法の完全な遵守を呼びかけていますね

・2021.08.03 ENISA サプライチェーン・セキュリティ攻撃の増加を理解する

・2021.07.26 Europol、オランダ警察、 Kaspersky、McAfee - NO MORE RANSOM (NMR) 復号ツール取り揃えています...

・2021.06.11 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル(暫定草案)

2021.06.10 米国 国土安全保障委員会 パイプラインに潜むサイバー脅威:コロニアル・ランサムウェア攻撃から得た教訓を重要インフラの防御に活かす

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.05.21 U.S. GAO (blog) コロニアルパイプラインへのサイバー攻撃は、連邦政府および民間部門のサイバーセキュリティへの備えの必要性を認識させた

・2021.05.10 米国の精製石油パイプライン運用会社がランサムウェアにやられ、被害拡大を防止するためにパイプラインを停止した

・2021.04.15 カプコン 不正アクセスに関する調査結果のご報告【第4報】

・2021.04.11 FBI インターネット犯罪レポート2020を発表

・2021.02.15 総務省 「テレワークセキュリティガイドライン(第5版)」(案)に対する意見募集

・2021.02.14 オーストラリア ACSC 2020年の医療セクターのサイバーセキュリティ脅威についてのスナップショット

・2021.02.05 米国 National Cyber​​ Investigative Joint TaskForceがランサムウェアのファクトシートを発表していますね。。。

・2021.02.02 Perl公式サイトのドメイン”perl.com”が乗っ取られランサムウェアを配布するサイトと同一のIPアドレスにホストされているようですね、、、

・2021.01.31 Canadian Centre for Cyber Security がIT復旧計画の策定に関する文書を公開していましたね。。。at 2021.01.14

・2021.01.28 IPA 「情報セキュリティ10大脅威 2021」を発表してますね。。。

・2021.01.24 CISA ランサムウェアのリスクを低減するためのキャンペーンを開始し、ランサムウェア対策のサイトを立ち上げていますね。。。

・2021.01.24 Interpol ASEANのサイバー脅威評価報告書2021

・2021.01.14 英国 政府がスポーツ団体に対してサイバーセキュリティ犯罪者から身を守るための会議を主催したようですね。。。

・2020.12.26 JNSAの2020年セキュリティ十大ニュース

・2020.12.25 組織に対するランサムウェア攻撃の実証研究:脆弱性に影響を与える重大性と顕著な要因の評価 Oxford Academic - Journal of Cybersecurity

・2020.12.09 SP 1800-25 Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events

・2020.12.09 SP 1800-26 Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.10.30 米国CISA 経済的利益を目的としてヘルスケア業界をターゲットにしたサイバー犯罪者が、ランサムウェアをシステムに感染させるために使用する、戦術・技術・手順(TTP)の説明

・2020.10.03 米国財務省は金融機関等にランサムウェアの支払いを勧めた場合の制裁リスクを強調する勧告を出していますね。。。

・2020.10.03 ランサムウェアに関するブルース シュナイアーさんのブログ

・2020.09.23 NIST SP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructive Events  ランサムウェア等の破壊的なイベントからの復旧

・2020.08.08 Interpol COVID-19により在宅勤務に関連する脆弱性と経済的利益が増加し、今後サイバー犯罪はさらに増える?

・2020.06.10 EKANS / Snake - 工場やプラントのセキュリティ

・2020.04.30 ランサムウェア攻撃者からの防御方法 by Microsoft Threat Protection Intelligence Team

・2020.04.10 外貨両替のTravelex社はSodinokibiランサムウェアの解決のために2.3MUS$(2.5億円)の身代金を支払った?

・2020.04.07 Interpol 病院に対ランサムウェアの攻撃に気をつけるようにアウアンスしていますね。。。COVID-19対応で大変な状況なのに犯罪者もちょっと考えてみてよ...

・2020.04.06 アルジェリアの石油合弁会社がMazeランサムウェアに攻撃され投資計画等の機密情報がネット上に公開されているようです。。。

・2020.01.29 IPA 情報セキュリティ10大脅威 2020

だいぶ前ですが、ここにもランサムウェアがでていました・・・

・2005.06.14 米国 ファーミングを中心とした悪意ある行為

| | Comments (0)

地⽅⾃治体によるガバメントクラウドの活⽤について(案)2021.08現在

こんにちは、丸山満彦です。

備忘録です。。。

政府CIOポータル

・2021.01.22「地方自治体によるガバメントクラウドの活用について(案)」【地方自治体職員対象】

・2021.08.31 [PDF] 地⽅⾃治体によるガバメントクラウドの活⽤について(案)

  ※ (ISMAPクラウドサービスリストを更新)[downloaded]

 

途中イメージ・最終イメージ

20210914-32150

 

ガバメントクラウドを活用する業務システム

20210914-32248


 

技術的に新しいものではないので、このプロジェクトの成否は、技術の問題ではなく、人の問題、組織の問題なんですよね。。。

さて、どこまでできますでしょうか???

 

後、気になるのは、バックアップ体制ですね。いわゆる集中リスクが生じるわけですから、バックアップが重要となるのですが、どのレベルでどの程度の冗長化がされるのか、、、

それを決めるための方法論はあるのか、、、

簡単ではなさそうですね。。。

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.05.31 文部科学省 「教育情報セキュリティポリシーに関するガイドライン」公表について

・2021.05.13 参議院 デジタル社会形成基本法案等を議決 デジタル庁設置、個人情報保護法改正、地方自治体システム標準化等。。。

・2020.12.31 自民党デジタル社会推進本部 デジタル庁創設に向けた中間提言 at 2020.12.22 (小林史明議員公式サイト)

・2020.12.29 総務省 「地方公共団体における情報セキュリティポリシーに関するガイドライン」と「地方公共団体における情報セキュリティ監査に関するガイドライン」の公表及び意見募集の結果

・2020.12.25 官邸 「デジタル社会の実現に向けた改革の基本方針」と「デジタル・ガバメント実行計画」が閣議決定

・2020.12.13 総務省 意見募集「地方公共団体における情報セキュリティポリシーに関するガイドライン」(改定案)、「地方公共団体における情報セキュリティ監査に関するガイドライン」(改定案)

・2020.11.19 自民党デジタル社会推進本部がデジタル庁についての第一次提言を平井卓也デジタル改革担当相に手交

・2020.09.05 J-LIS (予告)「自治体テレワーク推進実証実験」の公募について

・2020.05.23 総務省 「自治体情報セキュリティ対策の見直しについて」の公表

 

ちょっと遡って...

・2012.07.22 総務省 ASP・SaaS・クラウドの普及拡大に向けたガイドの公表

・2010.11.16 総務省 確定 地方公共団体における情報セキュリティポリシーに関するガイドラインと地方公共団体における情報セキュリティ監査に関するガイドライン

・2010.12.12 総務省 自治体クラウド推進本部 有識者懇談会(第3回)

・2010.09.17 総務省 パブコメ 地方公共団体における情報セキュリティポリシーに関するガイドライン(案)と地方公共団体における情報セキュリティ監査に関するガイドライン(案)

・2010.08.06 総務省 電子自治体 情報セキュリティ対策の推進

・2010.08.05 総務省 自治体クラウド推進本部

・2010.05.01 内閣府 地方公共団体の業務継続ガイドライン

・2010.04.02 総務省 確定 地方公共団体におけるASP・SaaS導入活用ガイドライン

・2010.03.12 「サイバー攻撃に無防備、193自治体」だそうです。。。

・2010.03.09 総務省 自治体クラウドポータルサイトの開設

・2010.02.20 総務省 パブコメ 「地方公共団体におけるASP・SaaS導入活用ガイドライン(案)」

・2010.01.25 長崎県がクラウド事業者として市町村にサービスを提供するの件

・2010.01.18 日本経団連 「電子行政推進シンポジウム」(2009.12.08)開催の様子

・2009.03.28 総務省 電子自治体の推進に関する懇談会(セキュリティワーキング グループ)検討結果

・2008.08.23 総務省 確定 「地方公共団体におけるICT部門の業務継続計画(BCP)策定に関するガイドライン」

・2008.06.28 総務省 パブコメ 「地方公共団体におけるICT部門の業務継続計画(BCP)策定に関するガイドライン」(案)

・2008.04.26 総務省 地方自治情報管理概要

・2007.07.14 総務省 「地方公共団体におけるITガバナンスの強化ガイド」を公表

・2007.07.09 総務省 確定 「地方公共団体における情報セキュリティ監査に関するガイドライン」

・2007.06.09 総務省 パブコメ 「地方公共団体における情報セキュリティ監査に関するガイドライン」

・2007.04.02 総務省 自治体ISAC(仮称)実証実験の実施結果

・2006.09.30 総務省 地方公共団体における情報セキュリティポリシーに関するガイドラインを公表

・2006.08.21 総務省 パブコメ 「地方公共団体における情報セキュリティポリシーに関するガイドライン」(案)

・2006.06.01 地方公共団体セキュリティ対策支援フォーラム 「情報セキュリティ監査実施状況および推進課題に関する検討」報告書

・2006.04.06 総務省 「地方公共団体の情報セキュリティレベルの評価に係る制度の在り方に関する調査研究報告書」の公表

・2006.01.24 総務省 住民基本台帳ネットワークシステム及びそれに接続している既設ネットワークに関する調査票による点検状況

・2005.07.19 総務省 平成17年度電子自治体関連施策 セキュリティ認定制度

・2005.07.17 「地方公共団体における情報セキュリティ内部アセスメント(監査)の進め方」

・2005.02.15 住民基本台帳ネットワークシステム 政府と国民の信頼がポイントではないのだろうか?

 

| | Comments (0)

2021.09.13

NISTIR 8379 NIST Cybersecurity for IoT Guidanceに対するパブリックコメントを受けて開催したオンラインワークショップの要約

こんにちは、丸山満彦です。

NISTがNIST Cybersecurity for IoT Guidanceに対するパブリックコメントを受けて2021.04.22に開催したオンラインワークショップの要約を公表していますね。。。

このワークショップの基調講演がGAOというのが興味深いですよね。。。日本でいう会計検査院です。

監査した結果を報告しています。

連邦政府90機関のうち56機関でIoTが利用されているようですね。。。翻って日本政府はどうなんでしょうね。それなりに利用していると思いますが、データがないかもですね。。。

関連するNIST文書は、

Draft SP 800-213, IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements ドラフトSP 800-213「連邦政府のためのIoTデバイスサイバーセキュリティガイダンス:IoTデバイスのサイバーセキュリティ要件の確立」
Draft NISTIR 8259D, Profile Using the IoT Core Baseline and Non-Technical Baseline for the Federal Government  ドラフトNISTIR 8259D「連邦政府のためのIoTコアベースラインおよび非技術ベースラインを使用したプロファイル 」
Draft NISTIR 8259C, Creating a Profile Using the IoT Core Baseline and Non-Technical Baseline ドラフトNISTIR 8259C「IoTコアベースラインと非技術ベースラインを使用したプロファイルの作成」
NISTIR 8259B, IoT Non-Technical Supporting Capability Core Baseline NISTIR 8259B「 IoT非技術的支援能力コアベースライン」

です。

 

● NIST - ITL

・2021.09.09 NISTIR 8379 Summary Report for the Virtual Workshop Addressing Public Comment on NIST Cybersecurity for IoT Guidance

・[PDF

20210913-23956

1 Introduction 1 はじめに
1.1 About the NIST Cybersecurity for the Internet of Things Program 1.1 NIST Cybersecurity for the Internet of Things Programについて
1.2 Background 1.2 背景
1.3 About the Workshop Addressing Public Comment on NIST Cybersecurity for IoT Guidance 1.3 NISTのIoT向けサイバーセキュリティガイダンスに対するパブリックコメントを受けたワークショップについて
2 Event Summary and Key Takeaways 2 イベントの概要と主な成果
2.1 Plenary Sessions 2.1 全体会議
2.1.1 Introduction: NIST Cybersecurity for IoT Program Manager 2.1.1 はじめに IoTのためのNISTのサイバーセキュリティプログラムマネージャー
2.1.2 Keynote: GAO Survey of Federal IoT Use 2.1.2 基調講演:GAOによる連邦政府のIoT利用に関する調査
2.1.3 Groundwork: Overview of Comment Themes and Paths Forward for the Documents 2.1.3 グラウンドワーク:コメントテーマの概要とドキュメントの今後の進め方
2.1.4 Online Informative Reference Program 2.1.4 オンライン参考資料プログラム
2.1.5 Facilitator Panel Discussion & Wrap-Up 2.1.5 ファシリテーターによるパネルディスカッションとラップアップ
2.2 Summary and Takeaways from Breakout Session Discussions 2.2 分科会での議論のまとめと得られたもの
2.2.1 Breakout 1: Risk Descriptors 2.2.1 分科会1:リスク記述子(Risk Descriptors)
2.2.2 Breakout 2: System and Architecture Descriptors 2.2.2 分科会2:システムおよびアーキテクチャ記述子
2.2.3 Breakout 3: IoT Ecosystem 2.2.3 分科会3:IoTエコシステム
3 Next Steps 3 今後に向けて
References 参考文献
Appendix A: Descriptor Definitions 附属書A:記述子の定義
Appendix B: Acronyms 附属書B:頭字語

 

2.2.1 Breakout 1:  Risk Descriptors  2.2.1 分科会1:リスク記述子
The stated objective for this breakout session was to obtain feedback on the utility of the proposed risk descriptors for:   この分科会の目的は、提案されたリスク記述子の有用性について、以下のようなフィードバックを得ることでした。 
● Selection of additional needed system controls and IoT capabilities (Note that additional controls/capabilities may be non-technical)  ●追加で必要となるシステム制御および IoT 機能の選択(追加の制御/機能は非技術的なものである可能性があることに留意してください。)
● Adding or deleting requirements from NISTIR 8259D to support needed additional controls (Note that this uses the NIST SP 800-213 process and the capabilities catalogs)   ●必要な追加コントロールをサポートするためのNISTIR 8259Dからの要求事項の追加または削除(これはNIST SP 800-213プロセスと能力カタログを使用することに注意してください。) 
A goal for the descriptors is to support better understanding between manufacturers and customers about federal organizations’ expectations and requirements.  記述子の目的は、連邦組織の期待と要件について、メーカーと顧客の間の理解を深めることにあります。
Takeaway 1: IoT device use risk cannot be independently described without the context of device deployment and system architecture.  要点1:IoTデバイスの使用リスクは、デバイスの配置やシステムアーキテクチャのコンテキストなしに独立して記述することはできない。
Takeaway 2:  Unintended uses can create unanticipated risks.  論点2:意図しない使い方は、予期しないリスクを生む可能性がある。
Takeaway 3:  The descriptors could be useful as a communications tool.  論点3:記述子は、コミュニケーションツールとして有用である。
2.2.2 Breakout 2:  System and Architecture Descriptors  2.2.2 分科会2:システムおよびアーキテクチャ記述子 
The stated objective for this breakout session to obtain feedback on the utility of the proposed device and system architecture descriptors for:   この分科会の目的は、提案されたデバイスおよびシステムアーキテクチャ記述子の有用性について、以下のようなフィードバックを得ることであった。 
● Selecting additional needed (or potentially deletion of) controls (Note that the additional controls may be non-technical)  ●必要な追加管理項目の選択(または削除の可能性)(追加管理項目は非技術的なものである可能性があります。
● Adding or deleting requirements from the profile in NISTIR 8259D to support needed additional controls for devices (Note that this uses the NIST SP 800-213 process and the capabilities catalogs)   ●必要とされる追加の管理項目をサポートするために、NISTIR 8259Dのプロファイルから要件を追加または削除すること(これは、NIST SP 800-213プロセスと能力カタログを使用することに注意してください)。 
● Identifying mismatches between manufacturer expectations about usage scenarios from federal organization expectations  ●使用シナリオに関するメーカーの期待値と連邦組織の期待値との間のミスマッチの特定 
● Supporting allocation of requirements within the system addressing the constraints of device and system architecture  ●デバイスとシステム・アーキテクチャの制約に対応したシステム内での要件の割り当てをサポートします。
As with the descriptors discussed in Breakout 1, a goal for these descriptors is to support better understanding between manufacturers and customers about federal organizations’ expectations and requirements.  分科会1で議論された記述子と同様に、これらの記述子の目標は、連邦組織の期待と要求についてメーカーと顧客の間の理解を深めることです。
Takeaway 1:  The “device architecture” descriptor definitions have insufficient precision.  論点1:「デバイス・アーキテクチャ」記述子の定義は、精度が不十分である。
Takeaway 2:  More “device architecture” descriptors are needed for sufficient granularity.  要点2:十分な粒度を得るためには、より多くの「デバイスアーキテクチャ」記述子が必要である。
Takeaway 3:  The “system relationship” descriptors aren’t mutually exclusive.  要点3:「システム関係」の記述は相互に排他的なものではない。
2.2.3 Breakout 3:  IoT Ecosystem  2.2.3 第3分科会:IoTエコシステム 
The stated objective for this breakout session was to gather feedback regarding IoT device customers’ ecosystem risk considerations, and discussion was focused around how the associated risks can be mitigated:  この分科会の目的は、IoT デバイスの顧客が考慮するエコシステムのリスクに関するフィードバックを収集することであり、関連するリスクをどのように軽減できるかを中心に議論が行われました。
● What are the technical, administrative, and physical risks?  ●技術的、管理的、物理的なリスクは何か?
● What do IoT device customers need from manufacturers to support risk mitigation?  ●IoTデバイスのお客様は、リスク軽減のためにメーカーに何を求めているか 
● Why is supply-chain/vendor/manufacturer ecosystem transparency needed?   ●なぜサプライチェーン/ベンダー/メーカーのエコシステムの透明性が必要なのか? 
● Why is IoT platform/cloud ecosystem transparency needed?   ●なぜIoTプラットフォーム/クラウドのエコシステムの透明性が必要なのか? 
● Do international standards, confidence mechanisms, and trustworthiness play a role in risk mitigation, or device purchasing decisions? In what ways?  ●国際標準、信頼メカニズム、および信頼性は、リスク軽減やデバイス購入の意思決定において役割を果たしますか?どのような点で?
Takeaway 1:  A single set of ideally international requirements, standards, and associated confidence mechanisms is needed to address market fragmentation.  要点1:市場の断片化に対処するためには、理想的な国際的要件、標準、および関連する信頼性メカニズムの単一セットが必要である。
Takeaway 2:  Standards need to encourage cybersecurity by default.  論点2:基準はデフォルトでのサイバーセキュリティを推奨する必要がある。
Takeaway 3:  Supply chain security and transparency are important but very complex.  論点3:サプライチェーンのセキュリティと透明性は重要だが、非常に複雑である。

 


参考

Blog_1_v7

 


まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.15 NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか?

・2021.04.25 英国 スマートデバイスを保護するための新しいサイバーセキュリティ法の方向性

・2021.04.20 経済産業省 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き

・2021.03.31 NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

・2021.01.29 Cloud Security AllianceがIoTセキュリティコントロールフレームワーク第2版とその利用ガイドを公開していますね。。。

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.12.10 米国 2020年IoTサイバーセキュリティ改善法に大統領が署名し成立した

・2020.11.19 米国 2020年IoTサイバーセキュリティ改善法が上院を通過

・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている?

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

| | Comments (0)

2021.09.12

バイデン米大統領と習近平中国国家首席との電話会談

こんにちは、丸山満彦です。

米国時間の2021.09.09、中国時間の09.10にバイデン大統領と習近平国家首席との電話会談があったようですね。内容については中国のウェブページの方が詳細ですね。。。

米国側は、その後のサキ報道官の記者機会見も歯切れ悪いですね。。。

 

国務院 - 外交部

・2021.09.10 习近平同美国总统拜登通电话

习近平同美国总统拜登通电话 習近平氏、バイデン米大統領と電話会談
  2021年9月10日上午,国家主席习近平应约同美国总统拜登通电话,就中美关系和双方关心的有关问题进行了坦诚、深入、广泛的战略性沟通和交流。   2021年9月10日午前、習近平氏国家主席はジョー・バイデン大統領と電話会談を行い、中米関係および相互に関心のある関連問題について議論し、率直で、深く、広範な戦略的コミュニケーションと交流を行いました。
  习近平首先就飓风“艾达”造成美国多地人员伤亡和财产损失向拜登和美国人民表示慰问。拜登对此表示感谢。   習近平氏はまず、ハリケーン「アイダ」によって米国各地で発生した死傷者や物的損害に対し、バイデン氏と米国国民に哀悼の意を表しました。 バイデンはこのことに感謝の意を表しました。
  习近平指出,一段时间以来,美国采取的对华政策致使中美关系遭遇严重困难,这不符合两国人民根本利益和世界各国共同利益。中美分别是最大的发展中国家和最大的发达国家,中美能否处理好彼此关系,攸关世界前途命运,是两国必须回答好的世纪之问。中美合作,两国和世界都会受益;中美对抗,两国和世界都会遭殃。中美关系不是一道是否搞好的选择题,而是一道如何搞好的必答题。   習近平氏は、一時期、米国の対中政策が中米関係に深刻な困難をもたらしたことを指摘し、これは両国民の基本的な利益と世界各国の共通の利益に反するものだと述べました。 中国は最大の発展途上国、米国は最大の先進国であり、中国と米国が互いの関係をうまく処理できるかどうかは、世界の未来と運命を左右する問題であり、両国がうまく答えなければならない世紀の問題です。 中国と米国が協力すれば、両国と世界は利益を得ることができ、中国と米国が対立すれば、両国と世界は苦しむことになります。 中国と米国の関係は、「正しいかどうか」という多肢選択問題ではなく、「どうすれば正しいか」という必答問題なのです。
  习近平强调,中国古诗曰:“山重水复疑无路,柳暗花明又一村。”中美自1971年双边关系“破冰”以来,携手合作,给各国带来实实在在的好处。当前,国际社会面临许多共同难题,中美应该展现大格局、肩负大担当,坚持向前看、往前走,拿出战略胆识和政治魄力,推动中美关系尽快回到稳定发展的正确轨道,更好造福两国人民和世界各国人民。   習近平氏は、古代中国の詩に 「山が重く、水が怪しいときには出口がなく、柳が暗く、花が明るいときには別の村がある 」という言葉があることを強調しました。 1971年に中国と米国の二国間関係が「氷解」して以来、両国は協力してすべての国に具体的な利益をもたらしてきました。 現在、国際社会は多くの共通の問題に直面しています。 中国と米国は、大局的な見地に立ち、大きな責任を負い、前を向いて前進することを主張し、戦略的な大胆さと政治的な勇気を示し、中米関係が安定した発展の正しい軌道に一日も早く戻るよう促進し、両国民と世界の人々のより良い利益のために貢献しなければなりません。
  习近平阐述了中方在气候变化等问题上的立场,强调中方坚持生态优先、走绿色低碳的发展道路,一直积极主动承担同自身国情相符的国际责任。在尊重彼此核心关切、妥善管控分歧的基础上,两国有关部门可以继续接触对话,推进在气候变化、疫情防控、经济复苏以及重大国际和地区问题上的协调和合作,同时挖掘更多合作潜力,为两国关系增添更多积极因素。   習近平氏は、気候変動などに関する中国の立場を詳しく説明し、「中国はエコロジーを優先し、グリーンで低炭素な発展の道を追求することを主張しており、自国の国情に合った国際的な責任を常に積極的に担ってきた」と強調しました。 互いの核心的関心事を尊重し、相違点を適切に管理することを基本に、両国の関連部門は、気候変動、伝染病の予防と制御、経済復興、さらには主要な国際的・地域的問題について、引き続き対話を行い、調整と協力を促進することができ、より多くの協力の可能性を模索し、両国関係にさらに肯定的な要素を加えることができます。
  拜登表示,世界正在经历快速变化,美中关系是世界上最重要的双边关系,美中如何互动相处很大程度上将影响世界的未来。两国没有理由由于竞争而陷入冲突。美方从无意改变一个中国政策。美方愿同中方开展更多坦诚交流和建设性对话,确定双方可以开展合作的重点和优先领域,避免误解误判和意外冲突,推动美中关系重回正轨。美方期待同中方就气候变化等重要问题加强沟通合作,形成更多共识。   バイデン氏は、「世界は急速な変化を遂げており、米中関係は世界で最も重要な二国間関係であり、米中がどのように相互作用するかが世界の未来を大きく形成する」と述べました。 競争のために両国が対立する理由はありません。 米国は、これまで一度も「一帯一路」の方針を変えるつもりはありまえんでした。 米国は、中国とのより率直な交流と建設的な対話を行い、優先事項や協力分野を特定し、誤解や誤算を避け、米中関係の正しい軌道への復帰を促進したいと考えています。 米国は、気候変動などの重要な問題について中国とのコミュニケーションと協力を強化し、より多くの合意を得られることを期待しています。」と述べています。
  双方一致认为,中美元首就中美关系和重大国际问题深入沟通对引领中美关系正确发展非常重要,同意继续通过多种方式保持经常性联系,将责成双方工作层加紧工作、广泛对话,为中美关系向前发展创造条件。   双方は、米中関係および主要な国際問題について、米中両国の首脳が綿密なコミュニケーションを図ることが、米中関係の正しい発展を導くために非常に重要であることに合意し、今後も様々な手段で定期的に連絡を取り合うことにし、米中関係の前進的発展のための条件を整えるために、双方の実務者レベルでの作業と広範な対話を強化することを課題とします。

バイデン大統領が何を言ったのかと公表しているのかわかりにくいです...

 

山重水复疑无路,柳暗花明又一村」[Baidu]ですが、詩人・呂有の作品『山西の村への旅』の一節で、「ある解決策がうまくいかないとき、別の解決策を見つけることができる」という考えの例えのようです。

「行き詰まって隘路に入ってしまった時は、考え方を変えてみたら解決策が見つかるでしょう(逆境には無限の可能性があるんですよ)、アメリカさん」ということなんでしょうかね。。。

こういう歴史に敷衍された文化的なコンテンツをもってくるところが余裕を感じさせる演出なんでしょうかね。。。

《游山西村》
(南宋)陆游
莫笑农家腊酒浑,
丰年留客足鸡豚。
山重水复疑无路,
柳暗花明又一村。
箫鼓追随春社近,
衣冠俭朴古风存。
从今若许闲乘月,
拄杖无时夜叩门。

意訳:

農家がつくる濁り酒を笑ってはいけない、
豊作の年であれば、客に出す料理は鳥や豚でとても豪華だ。
山が重なり、水が曲がりくねっていて、行き止まりかと思っていたら
薄暗く生い茂った柳の向こうに、色鮮やかな桃の花に囲まれた村があった
笛を吹き、太鼓を打ち鳴らして春祭りの日が近づいているようだが
村人たちはまだ質素な服を着ていて、昔ながらの習慣が残っている。
将来、美しい月明かりの下で外出できるようになったら、
いつでも杖をついてあなたの家の門を叩きに行こう

美しい七言律詩ですね。。。

 

さて、翌日の外交部の記者会見です。

・2021.09.10 2021年9月10日外交部发言人赵立坚主持例行记者会

彭博社记者:你能否提供中美元首通话更多细节?双方还提到将责成工作层加紧工作、广泛对话,能否介绍具体情况?未来数周或数月内,中美关系可能因此次通话发生哪些值得关注的变化? ブルームバーグ記者:中米ドルコールについて、もう少し詳しく教えてください。 また、双方ともに、作業レベルを強化し、幅広い対話を行うことを課題とすると述べていますが、具体的に教えてください。 今回の呼びかけによって、今後数週間から数カ月の間に、米中関係にどのような変化が起こるでしょうか。
  赵立坚:中美分别是最大的发展中国家和最大的发达国家。中美能否处理好彼此关系,攸关世界前途命运,是两国必须回答好的世纪之问。中美合作,两国和世界都会受益;中美对抗,两国和世界都会遭殃。中美关系不是一道是否搞好的选择题,而是一道如何搞好的必答题。   Zhao Lijian:中国とアメリカは、それぞれ最大の発展途上国と最大の先進国です。 中国と米国がその関係をうまく処理できるかどうかは、世界の未来と運命にかかわる問題であり、両国がうまく答えなければならない世紀の問題である。 中国と米国が協力すれば、両国と世界は利益を得ることができ、中国と米国が対立すれば、両国と世界は苦しむことになります。 中国と米国の関係は、「うまくいくかどうか」という多肢選択問題ではなく、「どうすればうまくいくか」という必答問題なのです。
  当前,国际社会面临许多共同难题。中美应该展现大格局、肩负大担当,坚持向前看、往前走,拿出战略胆识和政治魄力,推动中美关系尽快回到稳定发展的正确轨道,更好造福两国人民和世界各国人民。   現在、国際社会は多くの共通の問題に直面しています。 中国と米国は、大局観を持ち、大きな責任を担い、前を向いて前進することを主張し、戦略的な大胆さと政治的な勇気を示し、両国民と世界の人々の向上のために、中米関係が安定した発展の正しい軌道に一刻も早く戻るように促進すべきである」と述べた。
  在此次通话中,双方一致认为,中美元首就中美关系和重大国际问题深入沟通对引领中美关系正确发展非常重要,同意继续通过多种方式保持经常性联系,将责成双方工作层加紧工作、广泛对话,为中美关系向前发展创造条件。   双方は通話中、米中関係や主要な国際問題について、中米両国の首脳が綿密なコミュニケーションを図ることが、米中関係の正しい発展を導くために非常に重要であることに合意し、今後も様々な手段で定期的に連絡を取り合うことにし、双方の実務レベルに課題を課して、米中関係の前進的発展のための条件を整えるために、作業を強化し、広範な対話を行うことにしました。
  关于你提到的具体问题,我没有可以补充的信息。   あなたがおっしゃった具体的な問題について、私は何も情報を持っていません。
《南华早报》记者:美国总统拜登在通话中表示,美方无意改变一个中国政策。中方对此有何评论?对美方表述是否满意? サウスチャイナ・モーニング・ポスト紙記者:ジョー・バイデン米大統領は、通話の中で「米国は一中国政策を変えるつもりはない」と述べた。 これに対する中国のコメントは? 米国の声明に満足していますか?
  赵立坚:台湾问题始终是中美关系中最重要、最敏感的问题。一个中国原则是中美关系的政治基础。习近平主席在通话中强调,中美应在尊重彼此核心关切、妥善管控分歧的基础上,继续接触对话,推进协调合作,为两国关系增添更多积极因素。拜登总统在通话中表示,美方从来无意改变一个中国政策。   趙麗健:台湾問題は、中米関係において常に最も重要で敏感な問題です。 中米関係の政治的基盤となっているのが「一つの中国の原則」です。 習近平国家主席は、「中国と米国は、互いの核心的関心事を尊重し、相違点を適切に管理することを基礎に、引き続き対話を行い、協調と協力を促進し、関係にさらに肯定的な要素を加えるべきである」と強調しました。 その際、バイデン大統領は「米国は一中国政策を変えるつもりはない」と述べました。

 

 

一方、米国側はあっさりしています。。。

The White House

・2021.09.09 Readout of President Joseph R. Biden Jr. Call with President Xi Jinping of the People’s Republic of China

Readout of President Joseph R. Biden Jr. Call with President Xi Jinping of the People’s Republic of China ジョセフ・R・バイデン・Jr.大統領と中国の習近平国家主席との電話会談
President Joseph R. Biden, Jr. spoke today with President Xi Jinping of the People’s Republic of China (PRC). The two leaders had a broad, strategic discussion in which they discussed areas where our interests converge, and areas where our interests, values, and perspectives diverge. They agreed to engage on both sets of issues openly and straightforwardly. This discussion, as President Biden made clear, was part of the United States’ ongoing effort to responsibly manage the competition between the United States and the PRC. President Biden underscored the United States’ enduring interest in peace, stability, and prosperity in the Indo-Pacific and the world and the two leaders discussed the responsibility of both nations to ensure competition does not veer into conflict. ジョセフ・R・バイデン・Jr.大統領は、本日、中華人民共和国の習近平国家主席と会談しました。両首脳は、広範かつ戦略的な議論を行い、我々の利益が一致する分野と、我々の利益、価値観、視点が異なる分野について議論しました。両首脳は、この2つの問題について、オープンで率直に取り組むことに合意しました。この話し合いは、バイデン大統領が明らかにしたように、米中の競争を責任を持って管理するための米国の継続的な取り組みの一環です。バイデン大統領は、インド太平洋および世界の平和、安定、繁栄に対する米国の持続的な関心を強調し、両首脳は、競争が紛争に発展しないようにするための両国の責任について議論しました。

 

翌日のサキ報道官の記者会見でのやりとりで中国に関連するところ...

・2021.09.10 Press Briefing by Press Secretary Jen Psaki, September 10, 2021

Press Briefing by Press Secretary Jen Psaki, September 10, 2021 ジェン・プサキ報道官によるプレス・ブリーフィング(2021年9月10日
... ...
Q    And just on another topic: the call with President Xi of China.  How long was that?  And also, did they discuss meeting in person at the G20? Q また、別の話題として、中国の習近平国家主席との電話会談がありました。  その時間はどのくらいでしたか?  また、G20での直接会談についても話し合われたのでしょうか?
MS. PSAKI:  It was about 90 minutes, the call.  The President has spent a lot of time with President Xi in the past, as he’s talked about publicly, and he drew on that shared experience in this call.  So the call was very familiar.  It was candid.  He didn’t avoid areas of disagreement, but the tone was not lecturing, nor was it condescending; it was respectful.  It was 90 minutes.  MS. PSAKI:通話時間は約90分でした。  大統領は、公の場で話しているように、過去に習主席と多くの時間を過ごしており、今回の通話でもその共通の経験を生かしました。  そのため、非常に親近感のある通話となりました。  率直なものでした。  意見の異なる部分を避けることはありませんでしたが、その口調は説教臭くもなく、見下しているわけでもなく、尊重されていました。  時間は90分でした。 
I don’t have anything to preview for you in terms of future meetings.  I would note that this call was about keeping the channels of communication open.  And what we’ve seen is that the importance here is about engaging Xi directly at the leader level, due to the centralization of power and the power that’s in his hands, hence that was the importance of the call.  It covered a range of topics.  今後のミーティングに関しては、何も情報を持ち合わせていません。  今回の電話では、対話のチャンネルをオープンにしておくことが重要だと述べました。  習近平氏が中央集権的であり、彼の手中にある権力のために、リーダーレベルで習近平氏に直接働きかけることが重要であることがわかりましたので、それがこの電話の重要性でした。  さまざまなトピックを取り上げました。 
... ...
Q    Thank you, Jen.  To follow up on the call with President Xi last night, exactly two weeks ago, when the intel community came up empty trying to figure out the origins of COVID, the President said “critical information” about the origins of this pandemic exists in the People’s Republic of China.  When he talked to the President of China last night, did he press him like he said he was going to? Q ジェンさん、ありがとうございました。  昨晩の習近平国家主席との会談の続きですが、ちょうど2週間前、情報機関がCOVIDの起源を解明しようとして空振りに終わったとき、大統領は、このパンデミックの起源に関する「重要な情報」は中華人民共和国に存在すると言いました。  昨夜、中国の大統領と話をしたとき、彼は言っていたように彼に圧力をかけたのでしょうか?
MS. PSAKI:  Well, I’m not going to go into a list — (alarm sounds) — of every topic discussed.  That was a very dramatic entry to that answer, but I’ll start again.  MS. PSAKI:そうですね、すべての話題をリストアップして説明するつもりはありません。  今の答えはとてもドラマチックなものでしたが、もう一度始めます。 
I’m not going to go into every list of every topic discussed.  They did discuss a range of transnational issues, including COVID-19.  And understanding its origins is, of course, a primary concern for this administration.  We continue to support phase two of the WHO’s investigation in China, and call on China to allow further studies of COVID-19 origins in China.  議論されたすべてのトピックのリストを説明するつもりはありません。  彼らはCOVID-19を含む、さまざまな国境を越えた問題を議論しました。  COVID-19の起源を理解することは、もちろん、この政権の主要な関心事です。  私たちは、中国におけるWHOの第2段階の調査を引き続き支持し、中国に対してCOVID-19の起源に関するさらなる調査を許可するよう求めています。 
I will also note that, you know, one of the topics the presidents also discussed is the importance of being able to have private discussions between the two leaders.  This is in contrast to some of the other interactions we’ve had at lower levels with the PRC.  And so, yes, it was a topic raised, but I’m not going to go into further detail. また、両首脳が話し合ったテーマの1つに、両首脳の間でプライベートな話し合いができることの重要性があります。  これは、これまでに行われてきた中国との低レベルの交流とは対照的です。  これは、これまでの中国との低レベルの交流とは対照的です。
Q    So we should understand that to mean that the President did ask him to let international investigators in to get this information that he says China has? Q つまり、中国が持っているという情報を得るために、国際的な調査機関を入れるように大統領が要請したと理解してよいのでしょうか?
MS. PSAKI:  We’ve conveyed that many times publicly.  I think they know that that’s our position and view. MS. PSAKI:私たちはそのことを何度も公に伝えてきました。  それが私たちの立場であり、見解であることを知っていると思います。
... ...
Q    Thank you, Jen.  On China, maybe — I understand you don’t want to provide too many details about the phone calls, but were human rights part of the conversation?  And also, did the President get the impression that China is willing to play an active role at the upcoming COP summit about climate?  Q ありがとうございます、ジェンさん。  中国についてですが、電話でのやりとりについてはあまり詳しくお話ししたくないとのことですが、会話の中に人権問題は含まれていましたか?  また、気候変動に関する次のCOPサミットで、中国が積極的な役割を果たすという印象を大統領は受けましたか? 
MS. PSAKI:  I’m not going to speak for what their intentions are at the COP summit.  Of course, I would note that, of course, climate around — as well as a number of topics were discussed, and the COP summit is the next big moment for the international community on that front.  And certainly, human rights were a part of the discussion, and the President did raise them, as he always does in these engagements. MS. PSAKI:中国がCOPサミットでどのような意図を持っているかを語るつもりはありません。  もちろん、気候問題を中心に、さまざまなテーマが議論され、COPサミットは国際社会にとって次の大きなチャンスであることは言うまでもありません。  また、人権についても議論され、大統領はいつものように人権問題を提起しました。
... ...
Q    Okay.  And one last one on Taiwan.  Is the administration seriously considering a request from Taiwan to change the name of its mission in Washington from “Taipei Economic and Cultural Representative Office” to “Taiwan Representative Office”? Q  わかりました。  最後にもうひとつ、台湾について。  台湾から、ワシントンにあるミッションの名称を「台北経済文化代表事務所」から「台湾代表事務所」に変更するよう要請があった場合、政権は真剣に検討しているのでしょうか?
MS. PSAKI:  I have — I would have to check with our team on this issue.  MS. PSAKI:この問題については、私たちのチームに確認しなければなりません。 
... ...
Q    — ask one last one on China? Q - 最後に中国についてお聞きします。
MS. PSAKI:  Oh, no, I got to keep going.  MS. PSAKI:あ、いえ、次の話題にいかないといけません。 

 

Fig1_20210912034601


 

参考

Yahoo! News

・2021.09.11 後退するアメリカーー米中首脳電話会談で「一つの中国」を認め、ウイグル問題を避けたバイデン by 遠藤誉

遠藤さんは、さらに踏み込んだ解釈をしていますね。。。いつも参考になります。。。

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.05 ロシア 第6回 東方経済フォーラムに習近平さんも電話で参加したようです。。。

・2021.07.21 米国、英国、欧州連合が「中国が悪意あるサイバー活動を行なっている」と発表したことに対する中国側の対応(その2)

・2021.07.20 米国、英国、欧州連合が「中国が悪意あるサイバー活動を行なっている」と発表したことに対する中国側の対応

・2021.07.14 日本の防衛白書が初めて台湾周辺情勢の安定の重要性に言及したことについての中国政府の見解

・2021.07.13 防衛白書(2021年)

・2021.07.05 中国共産党100周年の演説 at 天安門広場 by 習近平さん

・2021.07.01 防衛研究所 バイデン政権と中国

・2021.04.27 防衛研究所 台湾関係 日米首脳共同声明等

・2021.03.10 防衛省 NIDS 防衛研究所 米大統領選後の安全保障の展望

・2020.12.04 防衛省 防衛研究所 「一帯一路構想と国際秩序の行方」(安全保障国際シンポジウム報告書)

・2020.09.10 中国が「グローバル データ セキュリティ イニシアティブ」構想を米国の「クリーン ネットワーク」プログラム発表の1ヶ月後に提案

 

 

| | Comments (0)

2021.09.11

英国 Ada Lovelance 研究所 「参加型データスチュワードシップ - データの利用に人々を参加させるためのフレームワーク」

こんにちは、丸山満彦です。

英国 Ada Lovelance 研究所が「参加型データスチュワードシップ - データの利用に人々を参加させるためのフレームワーク」という報告書を公表しています。

Ada Lovelance Institute

・2021.09.07 Participatory data stewardship - A framework for involving people in the use of data

 

なかなか興味深い内容です。

英国だから、このスチュワードシップ (stewardship) ということばがでてくるのかも知れません。

データから利益を得る人も含めてデータにまつわる全ての利害関係者が参加するような仕組みが必要という考え方という感じですかね。。。

「データマイニング」、「データは資源だ」、まぁ言えば、「地下に眠っていた金や石油を掘り出して、価値を生み出す」という考え方は多分に、ゴールドラッシュを経験したり、世界有数の石油埋蔵量を誇る米国だから生まれた発想なのかもしれません。

一方、貴族が家(城)に執事を住まわせていて、後に資本家が自分の資本をレバレッジさせて金融の仕組み(銀行貸付、証券投資等)で富を築いてきた英国の目から見ると、ガバナンスやスチュワードシップのほうがしっくりくるのかもしれません。。。しらんけど。。。

ちなみに、Ada Lovelace(エイダ・ラブレイス 1815-1852)については、Wikipediaが参考になります。彼女は最初のプログラマーといわれています、、、

・[PDF

20210911-55953

Executive summary エグゼクティブ・サマリー
Foreword 序文
Introduction はじめに
・Why participatory data stewardship matters ・なぜ参加型データスチュワードシップが重要なのか?
・What do we mean by ‘stewardship’? ・スチュワードシップ」とは何を意味するのか?
Introducing a framework for participatory data stewardship 参加型データスチュワードシップの枠組みの紹介
Mechanisms for participatory data stewardship 参加型データスチュワードシップの仕組み
・Inform ・知らせる
・Consult ・相談する
・Involve ・巻き込む
・Collaborate ・協力する
・Empower ・力を与える
Who to involve when developing participatory mechanisms 参加型メカニズムの開発には誰を参加させるべきか
Benefits of effective participation for the design, development and use of data-driven systems データ駆動型システムの設計、開発、使用における効果的な参加の利点
Conclusion 結論
Methodology 方法論
Appendix 附属書
References 参考文献

 

Executive summary エグゼクティブ・サマリー
Well-managed data can support organisations, researchers, governments and corporations to conduct lifesaving health research, reduce environmental harms and produce societal value for individuals and communities. But these benefits are often overshadowed by harms, as current practices in data collection, storage, sharing and use have led to high-profile misuses of personal data, data breaches and sharing scandals. 適切に管理されたデータは、組織、研究者、政府、企業にとって、命を救う健康研究の実施や、環境への悪影響の軽減、個人やコミュニティへの社会的価値の提供に役立ちます。しかし、データの収集、保存、共有、利用に関する現在の慣行では、個人データの悪用、データ侵害、共有に関するスキャンダルが目立っているため、これらのメリットはしばしば弊害によって覆い隠されています。
These range from the backlash to Care.Data,[1] to the response to Cambridge Analytica and Facebook’s collection and use of data for political advertising.[2] These cumulative scandals have resulted in ‘tenuous’ public trust in data sharing,[3] which entrenches public concern about data and impedes its use in the public interest. To reverse this trend, what is needed is increased legitimacy, and increased trustworthiness, of data and AI use. これらのスキャンダルは、Care.Dataに対する反発[1]から、Cambridge AnalyticaやFacebookによる政治広告のためのデータ収集・利用に対する反発[2]まで、多岐にわたっています。これらのスキャンダルの累積により、データ共有に対する国民の信頼が「希薄」になり[3]、データに対する国民の懸念が定着し、公益のための利用が妨げられています。この流れを変えるために必要なのは、データとAIの利用に対する正当性と信頼性を高めることです。
This report proposes a ‘framework for participatory data stewardship’, which rejects practices of data collection, storage, sharing and use in ways that are opaque or seek to manipulate people, in favour of practices that empower people to help inform, shape and – in some instances – govern their own data. 本報告書では、「参加型データスチュワードシップのためのフレームワーク」を提案しています。これは、データの収集、保存、共有、利用の方法が不透明であったり、人々を操作しようとするものであったりすることを否定し、人々が自らのデータについて情報を提供したり、形を整えたり、場合によっては統治したりすることができるような方法を推奨するものです。
As a critical component of good data governance, it proposes data stewardship as the responsible use, collection and management of data in a participatory and rights-preserving way, informed by values and engaging with questions of fairness. 優れたデータガバナンスの重要な要素であるデータスチュワードシップとは、参加型で権利を守る方法でデータを責任をもって使用、収集、管理することであり、価値観に基づいて公平性の問題に取り組むことであると提案しています。
Drawing extensively from Sherry Arnstein’s ‘ladder of citizen participation’[4] and its more recent adaptation into a spectrum,[5] this new framework is based on an analysis of over 100 case studies of different methods of participatory data stewardship.[6] It demonstrates ways that people can gain increasing levels of control and agency over their data – from being informed about what is happening to data about themselves, through to being empowered to take responsibility for exercising and actively managing decisions about data governance. この新しいフレームワークは、シェリー・アーンスタインの「市民参加の梯子」[4]と、それを最近になってスペクトラム化したもの[5]を参考に、参加型データスチュワードシップのさまざまな手法に関する100件以上のケーススタディの分析に基づいています[6]。 このフレームワークは、人々が自分のデータに対するコントロールとエージェンシーのレベルを高めていく方法を示しています。それは、自分自身に関するデータに何が起こっているかを知ることから、データガバナンスに関する決定を行使し、積極的に管理する責任を負うことまでです。
Throughout this report, we explore – using case studies and accompanying commentary – a range of mechanisms for achieving participatory decision-making around the design, development and use of data-driven systems and data-governance frameworks. This report provides evidence that involving people in the way data is used can support greater social and economic equity, and rebalance asymmetries of power.[7] 本報告書では、データ駆動型システムおよびデータガバナンスフレームワークの設計、開発、使用に関する参加型の意思決定を実現するためのさまざまなメカニズムを、ケーススタディと解説を交えて紹介しています。本報告書は、データの利用方法に人々を参加させることで、社会的・経済的な公平性を高め、権力の非対称性のバランスを取ることができるという証拠を示しています[7]。
It also highlights how examining different mechanisms of participatory data stewardship can help businesses, developers and policymakers to better understand which rights to enshrine, in order to contribute towards the increased legitimacy of – and public confidence in – the use of data and AI that works for people and society. また、参加型データスチュワードシップのさまざまなメカニズムを検証することで、企業、開発者、政策立案者が、どの権利を明記すべきかをよりよく理解し、人々や社会に役立つデータやAIの利用の正当性と信頼性の向上に貢献することができることを強調しています。
Focusing on participatory approaches to data stewardship, this report provides a complementary perspective to Ada’s joint publication with the AI Council, Exploring legal mechanisms for data stewardship, which explores three legal mechanisms that could help facilitate responsible data stewardship.[8] 本報告書は、データスチュワードシップへの参加型アプローチに焦点を当て、エイダがAIカウンシルと共同で発行した「Exploring legal mechanisms for data stewardship」を補完する視点を提供するものです。
We do not propose participatory approaches as an alternative to legal and rights-based approaches, but rather as a set of complementary mechanisms to ensure public confidence and trust in appropriate uses of data, and – in some cases – to help shape the future of rights-based approaches, governance and regulation. 我々は参加型アプローチを法的・権利ベースのアプローチに代わるものとして提案しているのではなく、データの適切な利用に対する国民の信頼と信用を確保するための一連の補完的なメカニズムとして、また、場合によっては権利ベースのアプローチ、ガバナンス、規制の将来を形成するのに役立つものとして提案しているのです。

[1] Triggle, N. (2014). ‘Care.data: How did it go so wrong?’ BBC News. 19 Feb. Available at: https://www.bbc.co.uk/news/health-26259101 [Accessed 6 Jul. 2021]

[2] Fruchter, N., Yuan, B. and Specter, M. (2018). ‘Facebook/Cambridge Analytica: Privacy lessons and a way forward’. Internet Policy Research Initiative at MIT. Available at: https://internetpolicy.mit.edu/blog-2018-fbcambridgeanalytica/.

[3] Centre for Data Ethics and Innovation. (2020). Independent report: Addressing trust in public sector data use. GOV.UK. Available at: https://www.gov.uk/government/publications/cdei-publishes-its-first-report-on-public-sector-data-sharing/addressing-trust-in-public-sector-data-use [Accessed 15 February 2021]

[4] Arnstein, S. (1969). ‘A Ladder of Citizen Participation’. Journal of the American Institute of Planners, 35(4), pp.216-224. Available at: https://www.tandfonline.com/doi/abs/10.1080/01944366908977225

[5] Patel, R. and Gibbon, K. (2018). ‘Why decisions about the economy need you’. The RSA. Available at: https://www.thersa.org/blog/2017/04/why-decisions-about-the-economy-need-you [Accessed 15 February 2021]

[6] Patel, R. and Peppin, A. (2020). ‘Exploring principles for data stewardship’. Ada Lovelace Institute. Available at: https://www.adalovelaceinstitute.org/project/exploring-principles-for-data-stewardship/ [Accessed 16 Feb. 2021]

[7] Kapoor, Astha and Whitt, Richard S. (2021). Nudging Towards Data Equity: The Role of Stewardship and Fiduciaries in the Digital Economy. February 22. Available at SSRN: https://ssrn.com/abstract=3791845 or http://dx.doi.org/10.2139/ssrn.3791845

[8] Ada Lovelace Institute. (2021). Exploring legal mechanisms for data stewardship. Available at: https://www.adalovelaceinstitute.org/report/legal-mechanisms-data-stewardship/


 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.05 コーポレートガバナンス・コード改訂(案)

 

今回の文書は、下記の文書の補足文書の位置付けのようです。。。

・2021.03.06 英国 Ada Lovelace 研究所 データスチュワードシップの法的メカニズムを探る

 

 

| | Comments (0)

«米国 CSET AIの偶発事故:新たな脅威となる可能性