2021.01.23

防衛省主催のCTF(サイバーコンテスト)(^^)

こんにちは、丸山満彦です。

防衛省がCTFをするようですね。。。

 

  • 開催日時:2021.03.14 09:00-21:00
  • 募集期間:2021.01.25-2021.02.12
  • 募集人数:200名
  • 募集資格:日本国籍を有する個人(防衛省、自衛隊の職員は不可)
  • コンテスト方式:オンラインCTF(個人戦)

 

詳細はウェブページで。。。

 

● 防衛省

防衛省サイバーコンテスト 参加者募集中

 

-----

・防衛省のサイバー政策(令和2年版 防衛白書へのリンク)

  1. サイバー領域をめぐる動向
    https://www.mod.go.jp/j/publication/wp/wp2020/html/n13301000.html

  2. サイバー領域での対応
    https://www.mod.go.jp/j/publication/wp/wp2020/html/n31302000.html

  3. サイバー領域の利用にかかる協力
    https://www.mod.go.jp/j/publication/wp/wp2020/html/n33302000.html

 


| | Comments (0)

2021.01.22

ENISA 「ヘルスケアサービスのためのクラウドセキュリティー」を公表

こんにちは、丸山満彦です。

ENISAが「ヘルスケアサービスのためのクラウドセキュリティー ([PDF] CLOUD SECURITY FOR HEALTHCARE SERVICES ) 」を公表していますね。。。医療機関等のヘルスケアサービス提供事業者のクラウド利用はますます進むと思われるので、そのためのガイドラインということですね。ヘルスケアサービスということで、3つのユースケースが記載されていますね。

  1. 電子健康記録 (EHR) :患者情報、健康診断結果等の健康データの収集、保存、管理、送信に焦点を当てたシステム等
  2. 遠隔治療:患者と医師のやり取りを支援する遠隔医療等
  3. 医療機器:医療機器データをさまざまな利害関係者が利用できるようにする、あるいは機器の監視に利用できるようにするなど、医療機器の操作を支援するクラウドサービス。

● ENISA

・2021.01.18 (press) Securing Cloud Services for Health

・2021.01.18 (publication) Cloud Security for Healthcare Services

報告書は、

・[PDF] CLOUD SECURITY FOR HEALTHCARE SERVICES

この報告書は、昨年公表した「病院のサイバーセキュリティ調達ガイドライン ([PDF] PROCUREMENT GUIDELINES FOR CYBERSECURITY IN HOSPITALS - Good practices for the security of Healthcare services)」に基づくものですね。。。

CLOUD SECURITY FOR HEALTHCARE SERVICESの目次は、

1. INTRODUCTION 1. 序論
1.1 CONTEXT OF THE REPORT 1.1 報告書の背景
1.2 OBJECTIVE 1.2 目的
1.3 SCOPE 1.3 範囲
1.4 TARGET AUDIENCE 1.4 想定読者
1.5 METHODOLOGY 1.5 方法論
1.6 STRUCTURE OF THE DOCUMENT 1.6 報告書の構成
2. HEALTHCARE IN THE CLOUD 2. クラウド環境のヘルスケア
2.1 POLICY CONTEXT 2.1 政策的な背景
2.1.1 The Network and Information Security Directive (NISD) 2.1.1 ネットワークおよび情報セキュリティ指令 (NISD)
2.1.2 General Data Protection Regulation 2.1.2 一般データ保護規則 (GDPR)
2.1.3 Non regulatory guidelines 2.1.3 規制外のガイドライン
2.2 CLOUD COMPUTING BASICS 2.2 クラウドコンピューティングの基本
2.2.1 Cloud Services 2.2.1 クラウドサービス
2.2.2 Cloud Deployment models 2.2.2 クラウド実装モデル
2.2.3 Division of responsibilities 2.2.3 責任の分担
2.3 TYPES OF CLOUD SERVICES IN HEALTHCARE 2.3 ヘルスケアにおけるクラウドサービスの種類
3. CYBERSECURITY CONSIDERATIONS IN CLOUD F 3. クラウドにおけるサイバーセキュリティへの配慮
3.1 CLOUD SECURITY CHALLENGES FOR HEALTHCARE 3.1 ヘルスケアにおけるクラウド・セキュリティの課題
3.2 DATA PROTECTION CHALLENGES IN THE CLOUD 3.2 クラウドにおけるデータ保護の課題
3.3 CYBERSECURITY THREATS 3.3 サイバーセキュリティの脅威
4. USE CASES 4. ユースケース
4.1 USE CASE 1 - ELECTRONIC HEALTH RECORD 4.1 ユースケース 1 - 電子健康記録
4.2 USE CASE 2 – REMOTE CARE 4.2 ユースケース 2 - 遠隔治療
4.3 USE CASE 3 – MEDICAL DEVICES 4.3 ユースケース 3 - 医療機器
5. CLOUD SECURITY MEASURES 5. クラウドの安全性の測定
5.1 CLOUD SECURITY MEASURES AND GOOD PRACTICES 5.1 クラウドセキュリティの測定方法と良い実践事例
6. CONCLUSION 6. 結論
7. REFERENCES 7. 参考文献
A ANNEX: GENERAL PRACTICES 付録A:一般的な実務
B ANNEX: MAPPING OF SECURITY MEASURES 付録B:セキュリティ対策のマッピング

 

■ 参考(関連情報)

● ENISA


 

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2020.02.25 ENISA Procurement Guidelines for Cybersecurity in Hospitals


その他、参考になりそうなENISAについての言及

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16

・2020.12.18 ENISA AI サイバーセキュリティのチャレンジ - AI脅威状況報告を公表していますね。

・2020.12.15 ENISA 5Gネットワークの脅威状況報告書のアップデート

・2020.12.12 ENISA テレコムのセキュリティガイドラインと5G関連の補足版の公表

・2020.12.11 ENISA 「CSIRTとSOCをいかに構築するか - グッドプラクティスガイド」、「分野別CSIRTの能力 - エネルギー・航空輸送分野における現状と発展」を公表していますね。。。

・2020.12.08 ENISA 自国のサイバーセキュリティ能力の成熟度を自己評価するための「国家能力評価フレームワーク(NCAF)」を発行

・2020.12.06 ENISA 第19条専門家グループ第16回会合:eIDAS監督機関等の53名の専門家が信託サービスのセキュリティとインシデント報告に関する情報を交換

・2020.11.27 ENISAがつながる&自動化された移動体 (CAM) のエコシステムにおけるセキュリティの報告書を公開していました・・・

・2020.11.26 ENISA 認証をサポートする規格

・2020.11.15 ENISAが鉄道事業向けのセキュリティガイドを公表していますね。

・2020.11.10 ENISAがIoTサプライチェーンの保護に関するガイドラインを公開していますね

・2020.10.21 ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。

・2020.10.12 欧州議会は「人工知能、ロボットおよび関連技術の倫理的側面の枠組み」を採択しましたね。。。

・2020.07.19 ENISA : ”信頼されたサイバー・セキュアな欧州に向けた新戦略”を発表

・2020.06.12 ENISA セキュリティ認証スキームになりうる領域の調査 他 WebTrust, ISMS, Common Criteria...

・2020.06.12 ENISA サイバーセキュリティインシデントの原因を視覚的にわかりやすく表示するツールの公開

・2020.06.11 ENISA 安全なユーザ認証のヒント

・2020.05.13 ENISA 電力セクターの時間サービスへの依存:時間に敏感なサービスへの攻撃についての報告書

・2020.05.09 ENISA CSIRT、法執行機関、司法機関の技術協力の強化に関する概要文書を公表

・2020.05.05 ENISA CSIRTとは何か?どのように役立つか?

・2020.04.30 ENISA CSIRTと法執行機関の連携を強化するためのトレーニング資料を追加公開

・2020.04.25 ENISA 暗号化されたトラフィック分析に関する報告書(ユースケース分析)

・2020.04.21 ENISA Underpinning software security: the role of the EU cybersecurity certification framework

・2020.04.16 ENISA eIDと信託サービスにおけるENISAの役割

・2020.04.07 ENISAがGood practices on interdependencies between OES and DSPsとISO/IEC 27002, NIST Cybersecurity Framework, Cobit5とのマッピング表を公開しましたね。。。

・2020.04.03 ENISA 「CSIRTと法執行機関の協力」を強化するための報告書

・2020.04.01 ENISA Tips for cybersecurity when buying and selling online

・2020.03.29 セキュリティ人材の育成はどこでも苦労しているようで・・・ENISA Cybersecurity Skills Development in the EU

・2020.03.25 ENISA Tips for cybersecurity when working from home

・2020.03.17 ENISA eIDAS準拠のeIDソリューションに関する報告書

2020.02.25 ENISA Procurement Guidelines for Cybersecurity in Hospitals

・2020.02.13 ENISAがEUのサイバーセキュリティ関係者のマップをつくっていますね。。。

 

 



 

 

| | Comments (0)

米国 IaaS事業者にKYCのルールを導入することを要請する大統領令 by トランプ元大統領 at 2021.01.19

こんにちは、丸山満彦です。

バイデン大統領が2021.01.20に就任にしましたが、その前日に当時のトランプ大統領により、 IaaS事業者に外国人のKYCのルールを導入することを要請する大統領令を出していますね。。。

SolarWindsの件の影響ですかね、これも...

 

Trump White House

・2021.01.19 Executive Order on Taking Additional Steps to Address the National Emergency with Respect to Significant Malicious Cyber-Enabled Activities

180日以内に、商務長官は米国のIaaS事業者がアカウントを取得した外国人の身元を確認することを要求する規則を提案することを要求していますね。。。

身元確認の項目等については、

(A) 外国人の身元、氏名、国民識別番号、住所などの情報

(B) 支払手段および支払源(関連する金融機関およびクレジットカード番号、口座番号、顧客識別子、取引識別子、仮想通貨ウォレットまたはウォレットアドレスの識別子などのその他の識別子を含む)

(C) 外国人の身元を確認するために使用される電子メールアドレスおよび電話連絡先情報

(D) アクセスまたは管理に使用されるインターネット・プロトコル・アドレス等

が例示されていますね.....

 

大統領が変わりましたが、これはこれで変更が行われなければ機能し、180日内に商務長官がこの方針に従った具体的なアクションをするわけですよね。。。ということで、米国の外国である日本のユーザも関係するということですかね。。。

 

-----

■ 報道

● DUO

・2021.01.19 TRUMP EXECUTIVE ORDER FOCUSES ON RULES FOR CLOUD PROVIDERS b

Among the last acts of the Trump Administration is an executive order aimed at blocking foreign adversaries from using cloud computing platforms in attacks against the United States.

Under the order,Taking Additional Steps to Address the National Emergency with Respect to Significant Malicious Cyber-Enabled Activities, the Commerce Department has 180 days to develop “know your customer” type of rules for infrastructure-as-a-service providers in the United States to verify the identities of foreign entities on the platform, take action if the platform is used maliciously, and maintain certain records.

| | Comments (0)

2021.01.21

世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

こんにちは、丸山満彦です。

世界経済フォーラムが毎年出している、グローバルリスクリポートですが、2021年版が公表されていますね。。。

World Economic Forum

・2021.01.19 The World Needs to Wake Up to Long-Term Risks

 ・[PDF] The Global Risks Report 2021 16th Edition INSIGHT REPORT

 

・2021.01.19 グローバルリスク報告書2021年版:世界は長期的リスクへの対応に目覚めるべきである

Preface 序文
Executive Summary 概要
Global Risks 2021: Fractured Future 2021年の世界のリスク:分断された未来
Error 404: Barriers to Digital Inclusivity 404エラー:デジタル・インクルージョンへの障壁
Pandemials: Youth in an Age of Lost Opportunity パンデミアル:機会損失時代の若者たち
Middle Power Morass: Navigating Global Divides  中産国の混迷:世界の分水嶺をナビゲートする 
Imperfect Markets: A Disorderly Industrial Shakeout  不完全市場:無秩序な産業の淘汰 
Hindsight: Reflections on Responses to COVID-19  今だから言える:COVID-19への対応を振り返って 
Postscript  終わりに
Survey Results 調査結果
・Global Risks Horizon ・グローバルリスク・ホライゾン
・Global Risks Landscape ・グローバルなリスクの状況
・Global Risks Network ・グローバルリスクネットワーク
・Evolving Risks Landscape ・リスクの発生状況

 

-----

・2020.11.03 Global Risks Report 2021

The 16th edition of the World Economic Forum’s Global Risks Report analyses the risks from societal fractures—manifested through persistent and emerging risks to human health, rising unemployment, widening digital divides, youth disillusionment and geopolitical fragmentation.
-----
過去分
PDFは第1回から揃いますね。。。

16 2021 2021.01.19 Web PDF Press
15 2020 2020.01.15  Web PDF Press
14 2019 2019.01.15 Web PDF Press
13 2018 2018.01.17 Web PDF Press
12 2017 2017.01.11 Web PDF Press
11 2016 2016.01.14 Web PDF Press
10 2015 2015.01.09 Web PDF Press
9 2014 2014.01.12 Web PDF Press
8 2013 2012.10.30 Web PDF Press
7 2012 2012.01.05 Web PDF Press
6 2011 2011.09.27 Web PDF Press
5 2010 2010.01.04 Web PDF Press
4 2009     PDF  
3 2008     PDF  
2 2007     PDF  
1 2006     PDF  
 
 
1024pxworld_economic_forum_logosvg

 

| | Comments (0)

StateRAMPはFedRAMPの州政府、自治体版?

こんにちは、丸山満彦です。

米国では、StateRAMPという非営利団体が、州政府向けにFedRAMPのようなサービスを提供するようですね。。

StateRAMPのしくみは...

  1. クラウドサービスプロバイダー(CSP)が州政府のサイバーセキュリティポリシーを満たしていることを検証するためのメカニズムを州政府に提供するプラットフォーム。

  2. 州が安全でないクラウドソリューションによるサイバーリスクを軽減し、データを保護するのに役立つ。
    FedRAMPと同様に、クラウドアプリケーションのサイバー対応を検証するための標準化されたアプローチを提供し、サイバーセキュリティプロセスを簡素化する。

  3. CSPのセキュリティステータスを保存、維持、公開し、州政府や自治体に、ステータスの更新やコンプライアンスの変更とともにCSPサイバーセキュリティ認定にアクセスするためのソースを提供する。

ということのようですね。。。

StateRAMP

評価のための文章

・Resources - Documents

2021.01.08 StateRAMP Security Assessment Framework (Ver1.2) This document provides a summary of the objectives, goals, and governance approach of StateRAMP, along with an outlined methodology to verify cloud security.
2020.12.08 StateRAMP Proposed Bylaws This framework for bylaws was developed by the StateRAMP Steering Committee. As the Board of Directors is formed in late 2020, one of their first actions will be to adopt the bylaws for the organization.

 

Srlogocircle01300x300

StateRAMP Security Assessment Framework (Ver1.2)の目次は、、、

↓↓↓↓↓

» Continue reading

| | Comments (0)

2021.01.20

ドイツの情報セキュリティ標準 BSI standard 200-4 Business Continuity Management ドラフトの意見募集

こんにちは、丸山満彦です。

ドイツの情報セキュリティ標準 BSI Standard 200-4 Business Continuity Managementのドラフト[PDF] の意見募集が2020.06.30まで行われていますね。。。

これは、従来のBSI Standards 100-4 [PDF] 危機管理に変わるもので、COVID-19パンデミックでの知見も含めた上でISO 22301との整合性も図られているようです。。。

● Bundesamt für Sicherheit in der Informationstechnik (BSI)

・2021.01.19 (News) Neuer BSI-Standard 200-4

・2021.01.19 (Publish) Modernisierter BSI-Standard 200-4 Business Continuity Management

・2021.01.19 BSI-Stan­dard 200-4

ガイドライン案 [PDF]

・2021.01.19 Hilfs­mit­tel zum BSI-Stan­dard 200-4

 

BSI standards 200シリーズの全体像がわかりやすいのはこちら・・・

・2021.01.19 BSI-Stan­dards

 

BSI-Stan­dards BSI規格
・2018.07.05 BSI-Stan­dard 200-1: Ma­na­ge­ment­sys­te­me für In­for­ma­ti­ons­si­cher­heit BSI規格200-1:情報セキュリティのための管理システム
 [PDF] [PDF English]  
・2017.11.15 BSI-Stan­dard 200-2: IT-Grund­schutz-Me­tho­dik BSI 規格 200-2: IT-Grundschutz の方法論
 [PDF] [PDF Englsih]  
・2017.11.15 BSI-Stan­dard 200-3: Ri­si­ko­ma­na­ge­ment BSI規格200-3:リスク管理
 [PDF] [PDF English]  
BSI-Stan­dard 200-4: Busi­ness Con­ti­nui­ty Ma­nage­ment (Com­mu­ni­ty Draft) BSI規格200-4:事業継続マネジメント(コミュニティドラフト)
Leit­fa­den Ba­sis-Ab­si­che­rung ガイドライン 基本的なセキュリティ
 [PDF] [PDF English]  
BSI-Stan­dards 100-1, 100-2, 100-3 BSI規格100-1、100-2、100-3
BSI-Stan­dard 100-4: Not­fall­ma­na­ge­ment BSI規格100-4:緊急事態管理

 

-----

■ 参考

● ISO

ISO 22301:2019(en) Security and resilience - Business continuity management systems - Requirements

これ、無料で読めます。。。

-----

BSI Standard 200-4 Business Continuity Management案の目次

↓↓↓↓↓


» Continue reading

| | Comments (0)

2021.01.19

欧州データ保護委員会 パブコメ データ漏えいの通知に関する事例ガイドライン

こんにちは、丸山満彦です。

欧州データ保護委員会が「データ漏えいの通知に関する事例ガイドライン (Guidelines 01/2021 on Examples regarding Data Breach Notification) 」の意見募集をしていますね。2021.03.02までです。。。

[PDF] Guidelines on Personal data breach notification under Regulation 2016/679, WP 250を補足するガイドラインという感じですね。。。

Europian Data Protection Board

・2021.01.18 (news) EDPB adopts Guidelines on examples regarding data breach notification

・(public consultation) Guidelines 01/2021 on Examples regarding Data Breach Notification

ガイドラインはこちら・・・

・[PDF] Guidelines 01/2021 on Examples regarding Data Breach Notification Adopted on 14 January 2021 Version 1.0


ガイドライン案目次です。。。

1 Introduction 1 はじめに
2 RANSOMWARE 2 ランサムウェア
2.1 CASE No. 01: Ransomware with proper backup and without exfiltration 2.1 CASE No.01: 適切なバックアップがあるが、駆除していないランサムウェアの場合
2.2 CASE No. 02: Ransomware without proper backup 2.2 CASE No.02:適切なバックアップがないランサムウェアの場合
2.3 CASE No. 03: Ransomware with backup and without exfiltration in a hospital 2.3 CASE No.03:バックアップがあるが、病院内での駆除をしていないランサムウェアの場合
2.4 CASE No. 04: Ransomware without backup and with exfiltration 2.4 CASE No.04: バックアップがないが、駆除したランサムウェアの場合
2.5 Organizational and technical measures for preventing / mitigating the impacts of ransomware attacks 2.5 ランサムウェア攻撃の防止・影響軽減のための組織的・技術的対策
3 Data Exfiltration ATTACKS 3 データ流出攻撃
3.1 CASE No. 05: Exfiltration of job application data from a website 3.1 CASE No.05:Webサイトからの求人応募データの流出
3.2 CASE No. 06: Exfiltration of hashed password from a website 3.2 CASE No.06: Webサイトからのハッシュ化されたパスワードの漏えい
3.3 CASE No. 07: Credential stuffing attack on a banking website 3.3 CASE No.07: 銀行Webサイトのクレデンシャルスタッフィング攻撃
3.4 Organizational and technical measures for preventing / mitigating the impacts of hacker attacks. 3.4 ハッカー攻撃の影響を防止・軽減するための組織的・技術的対策
4 INTERNAL HUMAN RISK SOURCE 4 内部人的リスク
4.1 CASE No. 08: Exfiltration of business data by a former employee 4.1 CASE No.08:元従業員による業務データの漏えい
4.2 CASE No. 09: Accidental transmission of data to a trusted third party 4.2 CASE No.09:信頼できる第三者へのデータ送信事故
4.3 Organizational and technical measures for preventing / mitigating the impacts of internal human risk sources 4.3 内部の人的リスク源の影響を防止・軽減するための組織的・技術的対策
5 LOST OR STOLEN DEVICES AND PAPER DOCUMENTS 5 機器、紙の文書の紛失または盗難
5.1 CASE No. 10: Stolen material storing encrypted personal data 5.1 CASE No.10:暗号化された個人データを保存している機器等の盗難
5.2 CASE No. 11: Stolen material storing non-encrypted personal data 5.2 CASE No.11:暗号化されていない個人データが保存されている機器等の盗難
5.3 CASE No. 12: Stolen paper files with sensitive data 5.3 CASE No.12:機密データの入った紙ファイルの盗難
5.4 Organizational and technical measures for preventing / mitigating the impacts of loss or theft of devices 5.4 機器の紛失・盗難による影響を防止・軽減するための組織的・技術的対策
6 MISPOSTAL 6 郵送ミス
6.1 CASE No. 13: Snail mail mistake 6.1 CASE No.13:郵送ミス
6.2 CASE No. 14: Sensitive personal data sent by mail by mistake 6.2 CASE No.14:機密性の高い個人情報を誤って郵送してしまった場合
6.3 CASE No. 15: Personal data sent by mail by mistake 6.3 CASE No.15:個人情報を誤って郵送してした場合
6.4 CASE No. 16: Snail mail mistake 6.4 CASE No.16:郵送ミス
6.5 Organizational and technical measures for preventing / mitigating the impacts of mispostal 6.5 郵送ミスの影響を防止・緩和するための組織的・技術的対策
7 Other Cases – Social Engineering 7 その他事例 - ソーシャルエンジニアリング
7.1 CASE No. 17: Identity theft 7.1 CASE No.17:ID窃盗
7.2 CASE No. 18: Email exfiltration 7.2 CASE No.18:電子メールの流出

 

■ 参考

Europian Data Protection Board

・2018.08.20 Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)

・[PDF] Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)

Edpb

| | Comments (0)

2021.01.18

新聞紙学的(平和博さんのブログ) - ディープフェイクスにどれだけ騙される? 意外な実験結果とは

こんにちは、丸山満彦です。

「新聞紙学的(平和博さんのブログ) - ディープフェイクスにどれだけ騙される? 意外な実験結果とは」の内容が興味深い。。。まぁ、考えてみれば取り立てて変わった話ではないように思えるのですが、深く考えてみると面白いかもしれません。。。おすすめです。

桜美林大学教授の平教授とは、情報ネットワーク法学会が知り合いました。知り合った当時は朝日新聞の編集者だったと思います。最近は、ファイくニュース等についての著書もあり、この分野で精力的に研究をされていますね。。。

新聞紙学的(平和博さんのブログ)

・2021.01.18 ディープフェイクスにどれだけ騙される? 意外な実験結果とは

詳細は先生のブログで・・・

 

■ 参考

Political Deepfake Videos Misinform the Public, But No More than Other Fake Media by Soubhik Barari, Christopher LucasKevin Munger

 

| | Comments (0)

2021.01.17

NTFS $ I30インデックス属性に関わるリスクの件

こんにちは、丸山満彦です。

NTFS $ I30インデックス属性に関わるリスクの件は、私もBleepingComputerの記事で初めて知ったのですが、2020年8月、10月にすでにJonas L [twitter] さんが指摘していたようですね。。。今回も彼のTwitterがきっかけです。。。

理解している利用者が意図してその作業をすることによって不都合が起こる場合は、仕方がないとしても、十分な理解がない人が利用したり、また利用者が意図していないところで不都合が起こる場合は、なんらかの対策をしないと製造者としては一般的にはよくないでしょうね。。。

今回の問題は、$ I30インデックス属性のファイルにアクセスしようとするとハードディスクに障害が出るという問題のようで、利用者が意図しないところでも生じるところに問題がありますよね。。。

この問題に対応する方法が現在はまだないため、サイバー攻撃で利用される可能性もあるわけですが、広く知られるようになれば対応方法も考えられるようになり、長期的には良いことだったのだろうと思います。

BleepingComputer

・2021.01.14 Windows 10 bug corrupts your hard drive on seeing this file's icon by

An unpatched zero-day in Microsoft Windows 10 allows attackers to corrupt an NTFS-formatted hard drive with a one-line command.

In multiple tests by BleepingComputer, this one-liner can be delivered hidden inside a Windows shortcut file, a ZIP archive, batch files, or various other vectors to trigger hard drive errors that corrupt the filesystem index instantly.

The Vergeの記事では、マイクロソフトはこの脆弱性に対応するという話になっていますね。。。

The Verge

・2021.01.15 Microsoft to fix Windows 10 bug that can corrupt a hard drive just by looking at an icon - A bizarre Windows bug for 2021 b

Jonas L @jonasLyk

 ・2021.01.09 NTFS VULNERABILITY CRITICALITY UNDERESTIMATED

Tom Warren @tomwarren

 


 

| | Comments (0)

2021.01.16

スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」に記載されている統制目標と統制活動(144項目)をとりあえず日本語にしてみた。。。

こんにちは、丸山満彦です。

以下の部分の統制活動 (Controles) が全部で144項目ありますね。。。

まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.15 スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」というガイダンスを公表していますね。

の続きにようなものです。。。

Agencia Española de Protección de Datos: AEPD

・2021.01.12 La AEPD publica una guía sobre requisitos en auditorías de tratamientos que incluyen Inteligencia Artificial(AEPDはAIを含むデータ処理監査の要件に関するガイダンスを公表した)

・[PDF] Guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial

まずは目次の該当部分を再掲・・・

III. OBJETIVOS DE CONTROL Y CONTROLES  III.統制目標と統制活動 
A. Identificación y transparencia del componente  A. 構成要素の識別と透明性 
Objetivo: Inventario del componente IA auditado  目的:監査対象となるAI構成要素の棚卸し 
Objetivo: Identificación de responsabilidades  目的:責任の明確化 
Objetivo: Transparencia  目的:透明性 
B. Propósito del componente IA  B. AI構成要素の目的 
Objetivo: Identificación de las finalidades y usos previstos  目的:目的と用途の特定 
Objetivo: Identificación del contexto de uso del componente IA  目的:AI構成要素の利用文脈の特定 
Objetivo: Análisis de la proporcionalidad y necesidad  目的:比例性と必要性の分析 
Objetivo: Determinación de los destinatarios de los datos  目的:データ受信者の決定 
Objetivo: Limitación de la conservación de datos  目的:データ保持の制限 
Objetivo: Análisis de las categorías de interesados  目的:ステークホルダーのカテゴリー分析 
C. Fundamentos del componente IA  C. AI構成要素の基礎 
Objetivo: Identificación de la política de desarrollo del componente IA  目的:AI開発方針の洗い出し 
Objetivo: Implicación del DPD  目的:データ保護代理人の関与 
Objetivo: Adecuación de los modelos teóricos base  目的:理論的基礎モデルの妥当性 
Objetivo: Adecuación del marco metodológico  目的:方法論的枠組みの妥当性 
Objetivo: Identificación de la arquitectura básica del componente  目的:構成要素の基本的なアーキテクチャの特定 
D. Gestión de los datos  D. データ管理 
Objetivo: Aseguramiento de la calidad de los datos  目的:データ品質保証 
Objetivo: Determinación del origen de las fuentes de datos  目的:データソースの出所の特定 
Objetivo: Preparación de los datos personales  目的:個人データの作成 
Objetivo: Control del sesgo  目的:偏りコントロール 
E. Verificación y validación  E. 検証と妥当性確認
Objetivo: Adecuación del proceso de verificación y validación del componente IA  目的:AI構成要素の検証・妥当性確認プロセスの適切性
Objetivo: Verificación y Validación del componente IA  目的:AI構成要素の検証と妥当性確認
Objetivo: Rendimiento  目的:パフォーマンス 
Objetivo: Coherencia  目的:干渉
Objetivo: Estabilidad y robustez  目的:安定性とロバスト性 
Objetivo: Trazabilidad  目的:トレーサビリティ 
Objetivo: Seguridad  目的:セキュリティ 

144の詳細はこちら。訳は機械翻訳を使っているので間違いがあるとは思いますが、概要をつかむということで・・・

↓↓↓↓↓

» Continue reading

| | Comments (0)

2021.01.15

スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」というガイダンスを公表していますね。

こんにちは、丸山満彦です。

スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD)が「人工知能が関与する個人データ処理の監査のための要件」というガイダンスを公表していますね。。。

スペインの個人データ保護庁は、かなり精力的に仕事をしているイメージがあります。文書がスペイン語なので私にはなかなかとっつきにくいのですが、、、そして今度の文書もスペイン語です...(なので、複数の翻訳ソフトと辞書を使いながらの訳です・・・)

Agencia Española de Protección de Datos: AEPD

・2021.01.12 La AEPD publica una guía sobre requisitos en auditorías de tratamientos que incluyen Inteligencia Artificial(AEPDはAIを含むデータ処理監査の要件に関するガイダンスを公表した)

El documento ofrece orientaciones y criterios objetivos, desde una perspectiva de protección de datos, que deberían incorporarse a las auditorías de tratamientos que incluyen componentes basados en Inteligencia Artificial この文書は、データ保護の観点から、AIを用いた構成要素を含む処理業務の監査に組み込むべき客観的な指針と基準を提供している。
El impacto que los tratamientos basados en IA podrían tener en los derechos y libertades de los ciudadanos pone de manifiesto la necesidad de establecer modelos de desarrollo maduros en los sistemas y tratamientos en los que se utilicen AIを用いた処理が市民の権利と自由に与える影響は、それらが使用されるシステムと処理において成熟した開発モデルを確立する必要性を浮き彫りにしている。
La Guía está orientada a responsables y encargados que han de auditar tratamientos que incluyan IA, a desarrolladores que quieran ofrecer garantías sobre sus productos y soluciones, a Delegados de Protección de Datos y a los equipos de auditores encargados de evaluar dichos tratamientos このガイドは、AIを含む処理業務を監査しなければならない管理者や監督者、製品やソリューションの保証を提供したいと考えている開発者、データ保護責任者、処理業務の評価を担当する監査チームを対象としている。

ガイダンスはこちら・・・

・[PDF] Guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial

ざっとウェブページの内容を意訳すると。。。

ーーーーー

分析や推論に人工知能(AI)を用いた個人データの処理業務を行うためには、品質とプライバシーを保証する成熟した開発モデルを適用する必要があります。AIを用いた処理が市民の権利と自由に与える影響は、AIを用いたシステムや処理業務について、効果的な管理、正確性、責任、説明責任、リスク管理、透明性などの対策を講じる必要があることを浮き彫りにしている。

一般データ保護規則(GDPR)の第24条では、データを処理する者は、「本規則に従って取扱いが遂行されることを確保し、かつ、そのことを説明できるようにするための適切な技術上及び組織上の措置を実装する」(個人情報保護委員会の訳)ことが義務づけられている。これらの措置は、「取扱いの性質、範囲、過程及び目的並びに自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮して」選択されなければならず、GDPRの遵守を「確保し、そのことを説明できる」ための手段の一つとして監査の実施がある。そのためには、データ保護の観点からAI構成要素の監査を行うために設計された客観的な基準を持つ必要がある。

この文書には、監査されたアルゴリズムのインベントリの作成、責任の明確化、透明性の原則の遵守、目的の明確化、処理の比例性と必要性の分析、データ保存の限界、データの品質の確保、バイアスの可能性の管理、GDPR の積極的責任の原則に準拠して行われた行動と得られた結果の検証と検証などの目的が含まれている。

この文書は主に、AIを用いた構成要素を含む処理業務を監査する必要があるデータ管理者や監督者、対象となるデータ保護義務と原則の遵守を保証し実証できるようにするや必要があるデータ管理者や監督者、製品とソリューションの保証を提供したい開発者、処理業務の監督とデータ管理者への助言の両方を担当するデータ保護責任者、そのような処理業務の評価を担当する監査チームを対象としている。

この文書は、AIを用いた処理における個人データ保護の原則の効果的な遵守に対処した、「Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial (AIを用いた処理のためのGDPR適応ガイド)」を補完するものである。その中で、監査の章が設けられ、監査は可能な評価ツールの一つとして、また、説明可能で、予測可能で、制御可能な製品を実現するための手段として提案されている。

監査の対象となる統制の選択、分析の範囲、及びその実施に必要な形式は、他の監査と同様に、監査のために定義された目的と範囲、及び実施されたリスク分析に依存する。監査人は、特定の監査に適した統制を選択し、適切と思われる統制を追加しなければならない。

文書の目次です。

I. INTRODUCCIÓN  I. 序論 
II. METODOLOGÍA DE AUDITORÍA Y TRATAMIENTOS QUE INCORPORAN COMPONENTES DE IA  II.監査の方法論及びAI構成要素を組み込んだ治療法 
A. Objetivos generales de la auditoría de un componente IA en PD  A.データ保護におけるAI構成要素の監査の一般的な目的 
B. Características singulares de la metodología de la auditoría de un componente IA en PD  B. データ保護におけるAI構成要素の監査方法の特徴 
III. OBJETIVOS DE CONTROL Y CONTROLES  III.統制目標と統制活動 
A. Identificación y transparencia del componente  A. 構成要素の識別と透明性 
Objetivo: Inventario del componente IA auditado  目的:監査対象となるAI構成要素の棚卸し 
Objetivo: Identificación de responsabilidades  目的:責任の明確化 
Objetivo: Transparencia  目的:透明性 
B. Propósito del componente IA  B. AI構成要素の目的 
Objetivo: Identificación de las finalidades y usos previstos  目的:目的と用途の特定 
Objetivo: Identificación del contexto de uso del componente IA  目的:AI構成要素の利用文脈の特定 
Objetivo: Análisis de la proporcionalidad y necesidad  目的:比例性と必要性の分析 
Objetivo: Determinación de los destinatarios de los datos  目的:データ受信者の決定 
Objetivo: Limitación de la conservación de datos  目的:データ保持の制限 
Objetivo: Análisis de las categorías de interesados  目的:ステークホルダーのカテゴリー分析 
C. Fundamentos del componente IA  C. AI構成要素の基礎 
Objetivo: Identificación de la política de desarrollo del componente IA  目的:AI開発方針の洗い出し 
Objetivo: Implicación del DPD  目的:データ保護代理人の関与 
Objetivo: Adecuación de los modelos teóricos base  目的:理論的基礎モデルの妥当性 
Objetivo: Adecuación del marco metodológico  目的:方法論的枠組みの妥当性 
Objetivo: Identificación de la arquitectura básica del componente  目的:構成要素の基本的なアーキテクチャの特定 
D. Gestión de los datos  D. データ管理 
Objetivo: Aseguramiento de la calidad de los datos  目的:データ品質保証 
Objetivo: Determinación del origen de las fuentes de datos  目的:データソースの出所の特定 
Objetivo: Preparación de los datos personales  目的:個人データの作成 
Objetivo: Control del sesgo  目的:偏りコントロール 
E. Verificación y validación  E. 検証と妥当性確認
Objetivo: Adecuación del proceso de verificación y validación del componente IA  目的:AI構成要素の検証・妥当性確認プロセスの適切性
Objetivo: Verificación y Validación del componente IA  目的:AI構成要素の検証と妥当性確認
Objetivo: Rendimiento  目的:パフォーマンス 
Objetivo: Coherencia  目的:干渉
Objetivo: Estabilidad y robustez  目的:安定性とロバスト性 
Objetivo: Trazabilidad  目的:トレーサビリティ 
Objetivo: Seguridad  目的:セキュリティ 
IV. CONCLUSIONES  IV.結論 
V. ANEXO I: DEFINICIONES  V. 附属書 I: 定義 
Anonimización  匿名化 
Aprendizaje de componentes IA  AI構成要素学習 
Auditoria  監査 
Auditoría de protección de datos de componentes IA  AI構成要素データ保護監査 
Componente IA  AI構成要素
Datos de entrada, datos de salida y datos etiquetados  入力データ、出力データ、タグ付きデータ 
Datos personales  個人データ
Ciclo de vida de un componente IA  AI構成要素のライフサイクル 
Discriminación algorítmica  アルゴリズムによる差別 
Discriminación grupal  集団差別 
Discriminación estadística  統計的差別 
IA-débil  弱いAI
Metodología de auditoría  監査の方法論 
Objetivos de control y controles  統制目的と統制活動
Perfilado  プロファイリング 
Riesgo de reidentificación  再識別のリスク 
Sesgo algorítmico  アルゴリズムのバイアス 
Variables proxy  プロキシ変数 

 

 



 

» Continue reading

| | Comments (0)

2021.01.14

重要な情報の棚卸しは必要だが、そのリストをどのように伝達する?

こんにちは、丸山満彦です。

U.S. GAOが国防省を監査し、国防省の重要な調達プログラム、技術、製造能力、および研究分野のリストの作成を開始したものの、作成さえたリストを内部および他の機関に伝達する方法を決定してないやん、、、と言う報告書を公開していますね。。。

The John S. McCain National Defense Authorization Act for Fiscal Year 2019 が国防長官に、米国の国家安全保障上の利点を維持するために重要な調達プログラム、技術、製造能力、および研究分野のリストを作成および維持することを義務付けているので、リストを作らないといけないことになっているようです(条文が長くて確認できていない・・・)。もっとも、リストがなければ管理はできないので、管理する以上、リストは必要となりますね。。。

どういう方法で伝達することにするのでしょうかね。。。

 

● U.S. GAO

・2021.01.12 DOD CRITICAL TECHNOLOGIES: Plans for Communicating, Assessing, and Overseeing Protection Efforts Should Be Completed

 

 

 

推奨事項は、

The Secretary of Defense should direct the Deputy Secretary of Defense in conjunction with the Protecting Critical Technology Task Force to determine a process for formally communicating future critical acquisition programs and technologies lists to all relevant DOD organizations and federal agencies. 国防長官は、重要技術保護タスクフォースと連携して、国防副長官に指示し、将来の重要獲得プログラムおよび技術リストをすべての関連する国防総省組織および連邦機関に正式に伝達するプロセスを決定するべきである。
The Secretary of Defense should direct the Deputy Secretary of Defense in conjunction with the Protecting Critical Technology Task Force to identify, develop, and periodically review appropriate metrics to assess the implementation and sufficiency of the assigned protection measures. 国防長官は、重要技術保護タスクフォースと連携して、割り当てられた保護手段の実施と充足性を評価するため の適切な指標を特定し、開発し、定期的にレビューするよう、国防副長官に指示すべきである。
The Secretary of Defense should direct the Deputy Secretary of Defense in conjunction with the Protecting Critical Technology Task Force to finalize the decision as to which DOD organization will oversee protection efforts beyond 2020.  国防長官は、重要技術保護タスクフォースと連携して、2020 年以降の保護努力をどの DOD 組織が監督するかについて最終決定を下すよう、国防副長官に指示すべきである。

 

| | Comments (0)

英国 政府がスポーツ団体に対してサイバーセキュリティ犯罪者から身を守るための会議を主催したようですね。。。

こんにちは、丸山満彦です。

U.K. National Cyber Security Centre: NCSC がスポーツ団体に対してサイバーセキュリティ犯罪者から身を守るための会議を2021.01.13に主催し、180名が参加したようですね。。。

日本で言うと、内閣官房サイバーセキュリティセンターが日本野球機構や各プロ野球球団、日本サッカー協会や各サッカーチーム、相撲協会や各相撲部屋、日本中央競馬会等を集めてサイバーセキュリティの会議を開催する感じですかね。。。

英国ではスポーツ団体の少なくとも70%が12か月ごとにサイバーインシデントにあっている(英国企業平均の2倍以上)とのことですから、すでに影響が出ていると言うことなんでしょうね。日本の状況はよくわかりませんが、少し違うのかもしれませんね。。。

日本でもオリンピックやラグビーの大会についてはイベントと言うことで対策をしていますね。。。また、さらにこれからeSportsも活発になってくると思うので、eSportsに対するサイバーセキュリティは重要でしょうね。。。

 

U.K. National Cyber Security Centre: NCSC

・2021.01.13 (news) Sports clubs gather for summit on the cyber threat

The NCSC is hosting a cyber security meeting to help professional sports clubs and organisations protect themselves against cyber criminals.

興味深いのは、2020.07.23に「The Cyber Threat to Sports Organisations - Ensuring fair play online」と言う報告書をNSCSが出していることですね。。。(私は見逃していましたが・・・)

The NCSC report highlights the cyber threats faced by the sports sector and suggests how to stop or lessen their impact on organisations.

 

スポーツ組織が見直すべき重要な分野として、次の3つをあげていますね。。。

1. メールセキュリティ

電子メールについての先進的な技術的コントロールは、スポーツ分野では日常的には適用されていない。なりすまし対策や多要素認証などの対策を導入することで、サイバーリスクを大幅に減らすことができる。

2. 要員のエンパワーメント

要員にトレーニングを実施している組織は半数以下である。要員は重要な防衛ラインであり、不審な行動を発見した場合には報告を促すことが不可欠である。

3. サイバーリスク管理

スポーツ組織は複雑である。組織は、コンプライアンスだけでなく(例:GDPRだけでなく)、IT資産全体ですべてのサイバーリスクが考慮されていることを保証するために、リスク管理に対する全体的なアプローチを採用することが有益である。

 

Forewords 序文
Executive summary エグゼクティブサマリー
Introduction 序章
Source of statistics 統計の出典
How digitally reliant is sport? スポーツのデジタル依存度は?
Threat overview 脅威の概要
Nature of the threat 脅威の性質
Nation-state involvement 国家の関与
Major events 主なイベント
Attack trends 攻撃の傾向
Trend 1: Business Email Compromise (BEC) トレンド1:ビジネスメール詐欺 (BEC)
Trend 2: Cyber-enabled fraud トレンド2:サイバーを利用した不正
Trend 3: Ransomware トレンド3:ランサムウェア
Venue security 会場のセキュリティ
Attack opportunities 攻撃機会
Implementation of key technical controls 主要な技術的コントロールの実施
Venue security: mitigation 会場のセキュリティ:緩和
Risk management & industry trends リスクマネジメントと業界動向
How important is cyber security and who provides leadership? サイバーセキュリティの重要性、リーダーシップを発揮するのは誰か?
What is driving cyber risk management? サイバーリスクマネジメントを推進しているのは何か?
Risk management guidance リスクマネジメントの手引き

» Continue reading

| | Comments (0)

2021.01.13

Europol 世界最大の違法ダークウェブマーケットプレイスを削除

こんにちは、丸山満彦です。

Europolが世界最大の違法なダークウェブマーケットプレイスの運営者とされるオーストラリア人を逮捕し、ダークウェブマーケットプレイスを削除したと公表していますね。。。

● Europol

・2021.01.12 DARKMARKET: WORLD'S LARGEST ILLEGAL DARK WEB MARKETPLACE TAKEN DOWN

数字で見るDarkMarket...

  • 約50万人のユーザ
  • 2,400人以上の売り手
  • 320,000以上の取引
  • 4,650ビットコイン+12,800モネロ+α(1.4億ユーロ=177億円)の送金

ユーロポールの欧州サイバー犯罪センター(EC3)は専用のダーク・ウェブ・チームを設立して逮捕にこぎつけたようですね。。。

 

| | Comments (0)

米国 ポンペオ国務長官がサイバー空間安全保障・新興技術局(CSET)の創設を国務省に指示

こんにちは、丸山満彦です。

トランプ政権から、バイデン政権への移行が予定されている中ですが、ポンペオ国務長官がサイバー空間安全保障・新興技術局(Cyberspace Security and Emerging Technologies Bureau: CSET)の創設を国務省に指示していますね。。。

U.S. Department of State

・2021.01.07 Secretary Pompeo Approves New Cyberspace Security and Emerging Technologies Bureau

The CSET bureau will lead U.S. government diplomatic efforts on a wide range of international cyberspace security and emerging technology policy issues that affect U.S. foreign policy and national security, including securing cyberspace and critical technologies, reducing the likelihood of cyber conflict, and prevailing in strategic cyber competition. The Secretary’s decision to establish CSET will permit the Department to posture itself appropriately and engage as effectively as possible with partners and allies on these pressing national security concerns.

とありますので、

サイバー空間と重要技術の確保、サイバー紛争の可能性の低減、戦略的サイバー競争での優位性の確保等、米国の外交政策や国家安全保障に影響を与える国際的なサイバー空間の安全保障と新興技術政策の幅広い問題について、米国政府の外交をCSETが主導する。

国防省は、これらの緊急の国家安全保障上の懸念事項について、適切な態勢を整え、パートナーや同盟国と可能な限り効果的に関与することができるようになる。

ということのようですが、後半部分はどういうことでしょうかね。。。

 

1_20210113003301


■ 報道等

The Hill

・2021.01.07 State Department sets up new bureau for cybersecurity and emerging technologies by MAGGIE MILLER 

Secretary of State Mike Pompeo on Thursday approved the creation of a new office at the State Department to address cybersecurity and emerging technologies.

Govinfosecurity

・2021.01.08 State Department Plans to Create Cybersecurity Office by

But Will the Move Be Carried Out Under Biden Administration?

● Infosecurity Magazine

・2021.01.11 US Announces Controversial State Department Cyber-Bureau by  

The US government has announced the creation of a new cybersecurity agency to align with the country’s diplomatic efforts.

The Bureau of Cyberspace Security and Emerging Technologies (CSET) was finally approved by outgoing secretary of state, Mike Pompeo — over a year-and-a-half after Congress was first notified of the plans.

 

昨年9月のGAOの報告

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.09.24 U.S. GAO サイバー空間安全保証・新興技術局の設立計画の策定に関連する連邦機関を関与させていない

 

CSETの導入計画を国務省が議会に送致したという記事

● Cyber Scoop

・2019.06.05 State Department proposes new $20.8 million cybersecurity bureau by

The State Department has sent to Congress a long-awaited plan to reestablish a cybersecurity-focused bureau it says is key to supporting U.S. diplomatic efforts in cyberspace.

The State Department’s new plan, obtained by CyberScoop, would create the Bureau of Cyberspace Security and Emerging Technologies (CSET) to “lead U.S. government diplomatic efforts to secure cyberspace and its technologies, reduce the likelihood of cyber conflict, and prevail in strategic cyber competition.”

The new bureau, with a proposed staff of 80 and projected budget of $20.8 million, would be led by a Senate-confirmed coordinator and “ambassador-at-large” with the equivalent status of an assistant secretary of State, who would report to the Undersecretary of State for Arms Control and International Security. The idea comes nearly two years after then-Secretary of State Rex Tillerson announced he would abolish the department’s cybersecurity coordinator position and put its support staff under the department’s economic bureau.

 

| | Comments (0)

2021.01.12

欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

こんにちは、丸山満彦です。

米国では、ニューヨーク州知事が学校での顔認識技術の使用を一時停止をする動きがありました[このブログ]が、欧米では生体認証を政府等が大々的に使うことについては一定の懸念があるようにも感じます。。。

欧州では「生体認証による大量監視慣行の禁止」が市民イニシアティブとして登録されたと公表されています。市民イニシアティブに登録されると、一定期間以内に100万人以上の署名を集める等の条件をクリアすれば立法等を検討することになります。。。今回の動きが法律になるかどうかはこれからの活動にかかってくるわけですが、欧州全体の大きな動きにしなければ立法は難しいようではあり、そう簡単ではなさそうではあります。。。

Europe Commission

プレス↓

・2021.01.07 (Press) European Citizens' Initiative: Commission decides to register an initiative for ‘a ban on biometric mass surveillance practices'

イニシアティブの登録情報のページ↓

・2021.01.07 Civil society initiative for a ban on biometric mass surveillance practices

・Additional information

・・[PDF] Annex - Civil society initiative for a ban on biometric mass surveillance practices_v2

・Draft legal act

・・[PDF] Draft legal act - Civil society initiative for a ban on biometric mass surveillance practices v2

 

イニシアティブのページ↓

RECLAIM YOUR FACE

2021.01.11現在、運動に参加している人数は12,829名と表示されていました。ウェブページによると2月には活動を開始し、開始から1年以内に7カ国から100万人の署名を集めていくようですね。。。

 

欧州委員会の市民イニシアティブ制度についての説明

Europe Commission

EUROPEAN CITIZENS' INITIATIVE

・・How it works


1_20210112004301


■ 参考

● Teiss

・2021.01.08 EU citizens’ initiative to ban biometric surveillance gets nod from EC by Jay Jay

The European Commission has decided to register a European Citizens' Initiative to ban biometric mass surveillance practices which contends that uses of biometric surveillance in EU states violate EU data protection law and restrict citizens' right to free speech and expression.

・2020 EU Parliament adopts centralised biometric database to monitor migrants by Jay Jay

The European Parliament recently voted in favour of creating a centralised biometric database that will be used by law enforcement authorities in every country in the Schengen area to better detect security threats and identity fraud and to prevent and combat irregular migration.

・2020 Why is the debate on biometrics and surveillance important now? by Anna Delaney

| | Comments (0)

2021.01.11

U.S. Twitterがトランプ大統領のアカウントを凍結した後の下院国土安全保障委員会委員長ベニーG.トンプソン議員の声明

こんにちは、丸山満彦です。

米国民の一部が米国国会議事堂に乱入した事件は、ショッキングな出来事でした。その後、TwitterやFacebookが彼のアカウントを凍結したようです。

この凍結については、一企業が言論の自由をどのように制限できるのか?という問題も提起しつつ、一方、他のSNSについても凍結すべきという考え方もあるようで、民主主義国の間でいろいと議論が必要な分野かもしれませんね。。。

The Committee on Homeland Security of the U.S. House of Representatives

・2020.01.08  CHAIRMAN THOMPSON STATEMENT AFTER TWITTER FINALLY BANS PRESIDENT TRUMP

(WASHINGTON) – Today, Rep. Bennie G. Thompson (D-MS), Chairman of the Committee on Homeland Security, released the following statement after Twitter permanently banned President Trump:

この中で、

“Facebook and YouTube must also commit to removing him from their platforms permanently. Even without his Twitter account, the President remains a direct threat to national security every minute he remains in power. Congress must still remove him immediately.”

というコメントが紹介されていますね。。。

 


2021.01.12 追記

米国通信品位法 第230条について、、、条文↓↓↓

Legal Information Insight(Cornell大学)

47 U.S. Code § 230 - Protection for private blocking and screening of offensive material

(c) Protection for “Good Samaritan” blocking and screening of offensive material

(1) Treatment of publisher or speaker

No provider or user of an interactive computer service shall be treated as the publisher or speaker of any information provided by another information content provider.

インタラクティブ・コンピュータ・サービスのプロバイダーまたはユーザは、他のコンテンツ・プロバイダーが提供する情報の発行者または発言者として扱われることはない。

(2) Civil liability

No provider or user of an interactive computer service shall be held liable on account of—

(A) any action voluntarily taken in good faith to restrict access to or availability of material that the provider or user considers to be obscene, lewd, lascivious, filthy, excessively violent, harassing, or otherwise objectionable, whether or not such material is constitutionally protected; or

インタラクティブ・コンピュータ・サービスのプロバイダーまたはユーザは、以下の事項について責任を負うことはない。

(A)プロバイダまたは利用者がわいせつ、淫乱等、不潔、過度に暴力的、嫌がらせ、その他好ましくないと判断した素材へのアクセスまたは利用可能性を制限するために善意で自発的に行った行為(その素材が憲法で保護されているかどうかに関わらず)

(B) any action taken to enable or make available to information content providers or others the technical means to restrict access to material described in paragraph (1).



ーーーーー

メルケル独首相は、法律に基づかずに企業が言論の自由を制限するのは問題があるとしていますね。

● AP News

・2021.01.11 Germany’s Merkel: Trump’s Twitter eviction ‘problematic’

But Seibert also said that the freedom of opinion is a fundamental right of “elementary significance.”

“This fundamental right can be intervened in, but according to the law and within the framework defined by legislators — not according to a decision by the management of social media platforms,” he told reporters in Berlin. “Seen from this angle, the chancellor considers it problematic that the accounts of the U.S. president have now been permanently blocked.”

 

● Politico

・2021.01.11 Merkel among EU leaders questioning Twitter’s Trump ban

European leaders said governments should regulate social media platforms, not the companies themselves.

 

● Financial Times

・2021.01.11 Angela Merkel attacks Twitter over Trump ban

The intervention highlights a key area of disagreement between the US and Europe on how to regulate social media platforms. The EU wants to give regulators more powers to force internet platforms such as Facebook or Twitter to remove illegal content.

In the US, technology companies have traditionally been left to themselves to police their own sites, though momentum is gathering behind political moves to curtail their regulatory freedoms. Several members of Congress are working on bills which would limit the legal protections social media companies have from being sued for third-party content posted on their sites. Others are pushing for a new federal data privacy bill that could mirror the EU’s General Data Protection Regulation. 



今回の行為は米国法に基づけば、法律に基づいていないとはいえないのではないかという気もします。。。それで良いかどうかは議論のあるところとしても・・・

ーーーーー

全体的な問題提起

● CNBC

・2021.01.11 Trump’s social media bans are raising new questions on tech regulation

| | Comments (0)

オーストラリア サイバーセキュリティセンター (ACSC) がサプライチェーンに関連する「サイバーセキュリティ・リスク管理ガイダンス」と「サイバーセキュリティ・リスク特定ガイダンス」を公表していますね。。。

こんにちは、丸山満彦です。

オーストラリアのサイバーセキュリティセンター (Australian Cyber Security Centre: ACSC) がサプライチェーンに関連する「サイバーセキュリティ・リスク管理ガイダンス (Cyber Supply Chain Risk Management) 」と「サイバーセキュリティ・リスク特定ガイダンス (Identifying Cyber Supply Chain Risks) 」を公表していますね。。。

サプライチェーンのリスクには地政学上のリスクの比重がより重くなってきているのでしょうかね。。。

 

Australian Cyber Security Centre: ACSC

・2021.01.07 [HTML] Cyber Supply Chain Risk Management [PDF] [DOCX]

Introduction 序章
Managing the cyber supply chain サイバーサプライチェーンの管理
Identify the cyber supply chain サイバーサプライチェーンの特定
Understand cyber supply chain risk サイバーサプライチェーンのリスクの理解
Set cyber security expectations サイバーセキュリティの期待値の設定
Audit for compliance コンプライアンスのための監査
Monitor and improve cyber supply chain security practices サイバーサプライチェーンのセキュリティ慣行の監視と改善
Further information その他の情報

 

・2021.01.07 [HTML] Identifying Cyber Supply Chain Risks [PDF] [DOCX]

Introduction 序章
Foreign control, influence and interference 外国の支配・影響力・干渉
Nationality considerations 国籍に関する考察
Foreign control 外国の規制
Foreign influence and interference 外国の影響力と干渉
Identifying cyber supply chain risks サイバーサプライチェーンのリスクの特定
Risks due to foreign control or interference 外国の支配や干渉によるリスク
Risks due to poor security practices セキュリティ対策の不備によるリスク
Risks due to lack of transparency 透明性の欠如によるリスク
Risks due to access and privileges アクセスや権限によるリスク
Further information その他の情報

 

・2021.01.07 Australian Government Information Security Manual (ISM) [PDF] [DOCX]

・・変更点 [PDF] [DOCX]

 

■ 参考

Australia Department of Home Affairs

Security of Critical Infrastructure Act 2018

 

ACSC

・2017.02 Strategies to Mitigate Cyber Security Incidents

・2020.06 The cyber security principles

・2020.06 Essential Eight Maturity Model

・2020.06 Questions to ask Managed Service Providers

・2020.06 How to Manage Your Security When Engaging a Managed Service Provider

・2020.07 Cloud Computing Security Considerations

・2020.07 Cloud Computing Security for Tenants

・[HTML] 6 Security governance for contracted goods and service providers [PDF] [DOCX]

 

 

● U.K. NCSC

Supply chain security guidance

Proposing a series of 12 principles, designed to help you establish effective control and oversight of your supply chain.

| | Comments (0)

2021.01.10

CISA アラート Microsoftクラウド環境下での侵害後の脅威アクティビティの検出

こんにちは、丸山満彦です。

SolarWinds Orion関係についてCISAから追加のアラート(AA21-008A)が出ていますね。 2020.12.17にでたアラート (AA20-352A) の補足という位置付けのようですね。

CISA

・2021.01.08 Alert (AA21-008A) Detecting Post-Compromise Threat Activity in Microsoft Cloud Environments

「Microsoftクラウド環境下での侵害後の脅威アクティビティの検出」という感じですね。かなり詳細な記述となっています。。。

・2020.12.17 Alert (AA20-352A) Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations

「政府機関、重要インフラ、民間セクターへの高度な持続的脅威の侵害」の補足という位置付けのようですね。。。

Summaryの仮訳です。。。


概要

このアラートは、「AA20-352A: 政府機関、重要インフラ、および民間セクター組織の高度な永続的脅威の侵害」に付随するアラートです。AA20-352Aは、米国政府機関、重要インフラ、および民間セクター組織のネットワークへの最初のアクセスベクターとして、APTアクターがSolarWinds Orion製品を侵害したことに主に焦点を当てています。AA20-352Aに記載されているように、CISAは、侵害されたSolarWinds Orion製品に加えて、初期アクセスベクターの証拠を持っています。

一方、このアラートでは、CISAがAPTアクターと判断した最初のアクセス・ベクターとは関係なく、アクティビティにも対応しています。具体的には、被害者のMicrosoft 365 (M365)/Azure環境で、APTアクターが侵害されたアプリケーションを使用していることを確認しています。また、このAPTアクターが、追加の資格情報とAPIを利用して、民間および公共機関のクラウド・リソースへのアクセスを行っていることも確認しています。これらの戦術、技術、手順(TTP)は、3つの重要な要素を特徴としています。

  • 連携した ID ソリューションを危うくしたり、迂回したりする。
  • 偽造された認証トークンを使用して、Microsoft のクラウド環境に横方向に移動する。
  • 被害者のクラウド環境への特権アクセスを使用して、検出が困難なAPIベースのアクセスのための永続化メカニズムを確立する。

このアラートでは、これらの TTP について説明し、ネットワーク防御者が Microsoft Azure Active Directory (AD)、Office 365 (O365)、および M365 環境を分析して潜在的な悪意のある活動を検出するための CISA 開発ツール Sparrow など、利用可能なオープンソースのツールの概要とガイダンスを提供しています。


 


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.07 米国 FBI,、CISA,、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。

・2021.01.01 U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用しているとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。

・2020.12.19 米国国土安全保障省 緊急指令21-01 関連。。。SolarWinds Orion Code Compromise

| | Comments (0)

2021.01.09

中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

こんにちは、丸山満彦です。

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China) が互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中です。2月7日までです。。。

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

・2021.01.08 关于《互联网信息服务管理办法(修订草案征求意见稿)》公开征求意见的通知(インターネット情報サービスの運営に関する措置)の改訂案について意見募集)

インターネット情報サービスの健全かつ秩序ある発展を促進し、国民、法人その他の団体の正当な権利利益を保護し、国の安全と公共の利益を守るために、当局では、産業情報技術部及び公安部と共同で、「インターネット情報サービスの運営に関する措置(パブリックコメントのための改正案)」を作成し、意見募集をしているということのようですね。。。

現在のものは2020.09.25に施行されたものですから、20年ぶりの改訂ということになります。

ちなみに現在のものは、ここです。

・2020.09.25 中华人民共和国国务院令 第292号 互联网信息服务管理办法

条文がぐっと増えてます。。。

 


 

● REUTERS

・2021.01.08 中国規制当局、電子決済・商取引サービスへの監督強化を検討

[上海/北京 8日 ロイター] - 中国の国家インターネット情報弁公室は8日、オンラインサービスに関する規則を約20年ぶりに更新し、監視対象を電子決済、ネットショッピング、ライブ配信などのサービスを提供する企業に広げる案について、意見公募を開始した。

インターネット情報弁公室は「ネット情報サービス」を初めて定義し、これらのサービスのほかニュース配信や検索エンジンが含まれるとした。


 


 

» Continue reading

| | Comments (0)

2021.01.08

米国 海事サイバーセキュリティ計画の公表

こんにちは、丸山満彦です。

米国が国家海事サイバーセキュリティ計画を公表していますね。。。

米国において海上輸送システム(MTS)
は、米国の国内総生産の4分の1(約5.4兆ドル)に貢献しているということで 米国では2017年の国家安全保障戦略において、海上輸送システム(MTS)のサイバーセキュリティを国防、国土安全保障、および経済競争力の最優先事項として指定していますね。日本ではあまり話題に上がることが少ないかもしれませんが、日本でも海事関係のサイバーセキュリティの取組は進んでいますね。。。

White House

・2020.01.05 (press) Statement from National Security Advisor Robert C. O’Brien Regarding the National Maritime Cybersecurity Plan

・2020.12 [PDF] NATIONAL MARITIME CYBERSECURITY PLAN - TO THE NATIONAL STRATEGY FOR MARITIME SECURITY

RISKS AND STANDARDS リスクと基準
Priority Action 1: The United States will de-conflict government roles and responsibilities. 優先行動 1:米国は、政府の役割と責任の不一致を解消する。
The NSC staff, through the policy coordination process, will identify gaps in legal authorities and identify efficiencies to de-conflict roles and responsibilities for MTS cybersecurity standards. NSC のスタッフは、政策調整プロセスを通じて、法的権限のギャップを特定し、MTS サイバーセキュリティ基準の役割と責任の不一致を解消するための効率性を特定する。
Priority Action 2: The United States will develop risk modeling to inform maritime cybersecurity standards and best practices. 優先行動 2:米国は、海上サイバーセキュリティ基準とベストプラクティスに情報を提供す るためのリスクモデルを開発する。
The United States Coast Guard will analyze and clarify the 2016 and 2020 cybersecurity reporting guidance for maritime stakeholders and collect maritime cyber incident reports to identify trends and attack vectors to increase maritime sector situational awareness and decrease maritime cyber risk. 米国沿岸警備隊は、海事関係者向けの 2016 年と 2020 年のサイバーセキュリティ報告ガイダンスを分析・明確化し、海事サイバーインシデント報告書を収集して傾向と攻撃ベクトルを特定し、海事部門の状況認識を高め、海事サイバーリスクを低減する。
The United States will create an international port OT risk framework based on the input from domestic and international partners and promote the framework internationally. 米国は、国内外のパートナーからのインプットに基づき、国際的な港湾OTリスクフレームワークを作成し、国際的に推進する。
Priority Action 3: The United States will strengthen cybersecurity requirements in port services contracts and leasing. 優先行動3:米国は、港湾サービス契約及びリースにおけるサイバーセキュリティ要件を強化する。
United States Federal agencies will work with the GSA to develop and implement mandatory contractual cybersecurity language for maritime critical infrastructure owned, leased, or regulated by the United States government to decrease cybersecurity risk to the Nation. 米国の連邦機関はGSAと協力して、米国政府が所有、リース、または規制する海上重要インフラのための強制的な契約上のサイバーセキュリティ言語を開発し、実施することで、国家へのサイバーセキュリティリスクを減少させる。
Priority Action 4: The United States will develop procedures to identify, prioritize, mitigate, and investigate cybersecurity risks in critical ship and port systems. 優先行動4:米国は、重要な船舶および港湾システムにおけるサイバーセキュリティリスクを特定し、優先順位をつけ、緩和し、調査するための手順を策定する。
DHS will promote cybersecurity grants and initiatives to protect maritime critical infrastructure. DHSは、海上の重要インフラを保護するためのサイバーセキュリティ補助金とイニシアチブを推進する。
The United States will establish a cyber-forensics process for maritime investigations. 米国は、海事調査のためのサイバーフォレンジックプロセスを確立する。
   
INFORMATION AND INTELLIGENCE SHARING 情報と情報の共有
Priority Action 1: Exchange United States government information with the maritime industry. 優先行動 1:米国政府と海事産業間で情報を共有する。
The United States will promote domestic and international engagement to facilitate information sharing and best practices to build a coalition of maritime cybersecurity advocates. 米国は、情報共有とベストプラクティスを促進し、海事サイバーセキュリティ擁護者の連合を構築するために、国内および国際的な関与を促進する。
The United States will establish procedures and policies that govern the receipt and processing of maritime reports of industry cybersecurity incidents to build a coalition of maritime cybersecurity advocates. 米国は、海事サイバーセキュリティ擁護者の連合を構築するために、業界のサイバーセキュリティ事故に関する海事報告書の受領と処理を管理する手順と方針を確立する。
Priority Action 2: Share cybersecurity intelligence with appropriate non-government entities. 優先行動 2: サイバーセキュリティに関する情報を適切な非政府機関と共有する。
DHS will extend domestic successes to identify avenues to share maritime cybersecurity information and intelligence, as applicable, with the international community. DHSは、国内の成功例を拡大して、必要に応じて国際社会と海事サイバーセキュリティ情報や情報を共有する手段を特定する。
Priority Action 3: Prioritize maritime cybersecurity intelligence collection. 優先行動 3:海上サイバーセキュリティ情報収集に優先順位をつける。
The United States will develop and prioritize maritime cyber intelligence requirements, including assessments of partners’ cybersecurity needs and capabilities, broadly sharing with MTS stakeholders, to the extent allowable, to guide risk modeling and adversary cyber risk assessments. 米国は、パートナーのサイバーセキュリティのニーズと能力の評価を含む海上サイバー情報の要件を開発し、 優先順位を付け、許容される範囲で MTS の利害関係者と広く共有し、リスクモデルと敵対者のサイバーリスク評価の指針とする。
   
CREATE A MARITIME CYBERSECURITY WORKFORCE 海事サイバーセキュリティ作業部会の創設
Priority Action 1: The United States will produce cybersecurity specialists in port and vessel systems. 優先行動 1:米国政府は、港湾・船舶システムのサイバーセキュリティ専門家を育成する。
DHS, through the United States Coast Guard, in coordination with other applicable departments and agencies, will develop cybersecurity career paths, incentives, continuing education requirements, and retention incentives to build a competent maritime cyber workforce. DHSは、米国沿岸警備隊を通じて、他の該当する省庁と連携して、サイバーセキュリティのキャリアパス、インセンティブ、継続教育の要件、定着のためのインセンティブを開発し、有能な海上サイバー人材を育成する。
Priority Action 2: The United States will collaborate with the private sector to increase maritime cybersecurity expertise. 優先行動 2:米国政府は民間部門と協力して、海上サイバーセキュリティの専門知識を高める。
The Department of Defense and DHS, through the United States Navy and United States Coast Guard will pursue and encourage cybersecurity personnel exchanges with industry and national laboratories, with an approach towards port and vessel cybersecurity research and application. 国防総省と DHS は、米国海軍と米国沿岸警備隊を通じて、港湾・船舶のサイバーセキュリティの研究と応用に向けたアプロー チを中心に、産業界や国立研究所とのサイバーセキュリティ人材の交流を追求し、奨励する。
Priority Action 3: Develop and deploy a capable maritime cybersecurity workforce. 優先行動 3: 有能な海上サイバーセキュリティ要員を開発し、配備する。
The United States Coast Guard will field cyber protection teams to support federal maritime security coordination of MTSA-regulated facilities and aid in marine investigations, as required. 米国沿岸警備隊は、必要に応じて、サイバー保護チームを派遣し、MTSA が規制する施設の 連邦政府の海上保安調整を支援し、必要に応じて海洋調査を支援する。

 


■ 参考

International Maritime Oranization (IMO)

Security - Maritime cyber risk

・2017.07.05 MSC-FAL.1/Circ.3 GUIDELINES ON MARITIME CYBER RISK MANAGEMENT

・2017.06.16  [PDF] ANNEX 10 RESOLUTION MSC.428(98) - MARITIME CYBER RISK MANAGEMENT IN SAFETY MANAGEMENT SYSTEMS

Baltic and International Maritime Council (BIMCO)

・ (Publication) The Guidelines on Cyber Security Onboard Ships(船内のサイバーセキュリティガイドライン)

・[PDF] The Guidelines on Cyber Security onboard Ships - Version 4

 

日本船舶海洋工学会 日本船舶海洋工学会誌 KANRIN(咸臨)

第91号 2020年7月

  海事産業におけるサイバーセキュリティ対策        
1 特集にあたって   編集委員会    
2 海事サイバーセキュリティ検討プロジェクト   稗方 和夫    
3 海事産業におけるサイバーセキュリティ対策 IMO, BIMCO, 船級協会の動向 斎藤 直樹    
4 船舶運航とサイバーセキュリティ対策 SMSにおけるサイバーリスク管理とは 柴田 隼吾 牧山 宅矢 安藤 英幸
5 海事産業におけるサイバーセキュリティ対策 最近の主な脅威と対策を中心に 中尾 康二    
6 制御セキュリティの動向   桑名 利幸 辻 宏郷 木下 仁
7 サイバーセキュリティ教育   宮本 大輔    
8 船上機器システムにおけるサイバーセキュリティ対策の取り組み 船舶OTペネトレーションテストの実施 橋口 展明 松尾 俊彦  

 

株式会社 MTI

・2019.12.04「Monohakobi Techno Forum 2019」開催レポート

・[PDF] 船舶におけるサイバーセキュリティ対応の現状とこれから 船舶IoTチーム チーム長 柴田 隼吾

 

| | Comments (0)

2021.01.07

米国 FBI,、CISA,、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。

こんにちは、丸山満彦です。

米国の連邦捜査局(FBI)、サイバーセキュリティおよびインフラストラクチャセキュリティ局(CISA)、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。


CISA

・2020.01.05 JOINT STATEMENT BY THE FEDERAL BUREAU OF INVESTIGATION (FBI), THE CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY (CISA), THE OFFICE OF THE DIRECTOR OF NATIONAL INTELLIGENCE (ODNI), AND THE NATIONAL SECURITY AGENCY (NSA)

国家安全保障会議のスタッフは、連邦政府のネットワークに関わるこの重大なサイバーインシデントの調査と修復を調整するために、NSAの支援を受けて、FBI、CISA、ODNI で構成されるサイバー統合調整グループ (UCG) と呼ばれるタスクフォースを立ち上げていますね。UCGは、インシデントの範囲を把握するための調査を続けていて、その結果、最近発見された政府・非政府のネットワークへのサイバー侵害が、ロシアを起源とする可能性の高い、APT攻撃者の犯行であることが明らかになったということのようです。。。

この公表文を読んでいるとこの4つの機関の役割分担がわかりますね。。。。

FBI:脅威への対応。具体的には次の4つをしているようですね。

  1. 被害者の特定
  2. 証拠の収集
  3. 証拠の分析による更なる原因究明
  4. 政府および民間部門のパートナーとの結果の共有で、作戦、情報の把握、ネットワーク防御に情報を提供

CISA:資産対応

  1. 政府、民間部門のパートナーと情報を共有し、このキャンペーンの範囲や搾取のレベルを把握する
  2. このインシデントに関連する異常な活動や潜在的に悪意のある活動を検出するための無料ツールを作成した。
  3. CISAは12月14日に発表した緊急指令で、影響を受けたSolarWinds Orion製品を連邦政府のネットワークから速やかに切断または電源を切るよう指示した。
  4. 技術的な詳細と緩和戦略を提供するテクニカルアラートを発行し、ネットワーク防御者が早急に対応できるようにした。
  5. 今後も詳細が判明した場合には、引き続き情報を提供する。

ODNI:情報支援等

  1. 情報コミュニティを調整し、UCG が米国政府の緩和および対応活動を推進するための最新の情報を確実に入手できるようする。
  2. 情報共有の任務の一環として、主要な利害関係者に状況認識を提供し、知識のギャップに対処するための情報収集活動を調整している。

NSA:技術的な緩和策の提供

  • UCG のパートナー、国家安全保障システム、国防総省、防衛産業基地のシステム所有者に、情報、サイバースセキュリティの専門知識、および実行可能なガイダンスを提供することで、UCG を支援。
  • UCG と産業界のパートナーの両方との関わりの中で、インシデントの規模と範囲を評価し、技術的な緩和策を提供する

 

1_20210106205401


■ 参考(報道等)

● CNet

・2021.01.05  Russia blamed for SolarWinds hack in joint FBI, NSA and CISA statement by , 

The US intelligence agencies investigating the widespread compromise say it was "likely" orchestrated from Russia

● Informa

・2021.01.05 FBI, CISA, NSA & ODNI Cite Russia in Joint Statement on 'Serious' SolarWinds Attacks by Kelly Jackson Higgins

The attacks appear to be an "intelligence-gathering" mission, the agencies said. by Kelly Jackson Higgins

● ZDNet

・2021.01.05 US government formally blames Russia for SolarWinds hack bfor Zero Day

Joint statement from the FBI, CISA, ODNI, and NSA says SolarWinds hack was "likely Russian in origin."


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.01 U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用しているとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。




 

| | Comments (0)

2021.01.06

米国 2021年度 National Defense Authorization Act (NDAA) (国防権限法)成立 サイバー関係も・・・

こんにちは、丸山満彦です。

トランプ大統領に一度拒否された2021年度 National Defense Authorization Act (NDAA)(国防権限法)[wikipedia] が2021.01.02に上院の投票により復活し、成立しましたね。。。

この国防権限法には、サイバーセキュリティに関係する項目が77項目あって、 Cyberspace Solarium Commission(サイバースペース・ソラリウム委員会)の推奨事項が25含まれているようですね。。。

サイバースペースソラリウム委員会の共同議長であるAngus King上院議員(メイン州)のブログに記載があります。

● Angus King

・2020.01.02 NDAA Enacts 25 Recommendations from the Bipartisan Cyberspace Solarium Commission

This year’s NDAA provides the most comprehensive and forward-looking piece of national cybersecurity legislation in the nation’s history.

WASHINGTON, D.C. - U.S. Senator Angus King (I-Maine) and Congressman Mike Gallagher (R-Wis.), co-chairs of the Cyberspace Solarium Commission (CSC), today announced that 27 provisions in the National Defense Authorization Act directly draw from 25 CSC recommendations for improving U.S. cybersecurity posture have been codified into law with the Senate’s 81-13 override vote on New Year's Day.

・2020.01.01 King Votes to Override Presidential Veto, Enact Defense Bill Containing Key Provisions to Ensure National Security, Increase Cybersecurity, and Support Maine Jobs

WASHINGTON, D.C. – Today, U.S. Senator Angus King (I-Maine), a member of the Senate Armed Services Committee and Co-Chair of the Cyberspace Solarium Commission (CSC), voted to override President Trump’s veto of the Mac Thornberry National Defense Authorization Act (NDAA) for Fiscal Year 2021, so that it can become law. The legislation includes important provisions to ensure America’s national defense and supports jobs for Maine manufacturers at facilities like Bath Iron Works and Portsmouth Naval Shipyard. In addition, this year’s NDAA reflects the most comprehensive cybersecurity legislation ever passed by Congress, as it includes 27 provisions based on recommendations from the CSC. The Senate voted to override the President’s December 23rd veto by a vote of 81 - 13;  the veto was overridden by the House of Representatives earlier this week by an overwhelming vote of 322 - 87. Following these votes, the veto has been overridden and the legislation is now law.

 

NDAAの条文は

Congress

H.R.6395 - National Defense Authorization Act for Fiscal Year 2021 - text

にあります。。。Cyber Securityに関する条項は主に、

TITLE XVII--CYBERSPACE-RELATED MATTERS

に52項目

TITLE XCIV--SCIENCE, SPACE, AND TECHNOLOGY MATTERS Subtitle A--Cybersecurity Matters

記載されていますね。。。(それ以外にもいくつかの条文に記載があります。。。)

TITLE XVII--CYBERSPACE-RELATED MATTERS タイトル XVII--サイバースペース関連事条
Sec. 1701. Modification of mission of Cyber Command and assignment of cyber operations forces. 第1701条 サイバー司令部の任務の変更およびサイバー作戦部隊の配置。
Sec. 1702. Modification of scope of notification requirements for sensitive military cyber operations. 第1702条 機密性の高い軍事サイバー作戦のための通知要件の範囲の変更。
Sec. 1703. Modification of requirements for quarterly Department of Defense cyber operations briefings for Congress. 第1703条 国防省のサイバー作戦に関する四半期ごとの議会向けブリーフィング要件の変更。
Sec. 1704. Clarification relating to protection from liability of operationally critical contractors. 第1704条 運用上重要な請負業者の責任からの保護に関する明確化。
Sec. 1705. Strengthening Federal networks; CISA cybersecurity support to agencies. 第1705条 連邦ネットワークの強化、機関への CISA サイバーセキュリティ支援。
Sec. 1706. Improvements relating to the quadrennial cyber posture review. 第1706条 4 年ごとのサイバー態勢レビューに関する改善。
Sec. 1707. Modification of authority to use operation and maintenance funds for cyber operations-peculiar capability development projects. 第1707条 サイバー運用-特殊能力開発プロジェクトのための運用維持資金の使用権限の変更。
Sec. 1708. Personnel management authority for Commander of United States Cyber Command and development program for offensive cyber operations. 第1708条 米国サイバー司令部司令官の人事管理権限と、攻撃的サイバー作戦のための開発プログラム。
Sec. 1709. Applicability of reorientation of Big Data Platform program to Department of Navy. 第1709条 ビッグデータ・プラットフォーム・プログラムの海軍省への再配置の適用性。
Sec. 1710. Report on Cyber Institutes program. 第1710条 サイバー研究所プログラムに関する報告書
Sec. 1711. Modification of acquisition authority of Commander of United States Cyber Command. 第1711条 合衆国サイバー司令部司令官の購買権限の変更。
Sec. 1712. Modification of requirements relating to the Strategic Cybersecurity Program and the evaluation of cyber vulnerabilities of major weapon systems of the Department of Defense. 第1712条 戦略的サイバーセキュリティプログラムおよび国防省の主要兵器システムのサイバー脆弱性の評価に関する要件の変更。
Sec. 1713. Modification of position of Principal Cyber Advisor. 第1713条 主任サイバー・アドバイザーの地位の変更。
Sec. 1714. Cyberspace Solarium Commission. 第1714条 サイバースペース・ソラリウム委員会
Sec. 1715. Establishment in Department of Homeland Security of joint cyber planning office. 第1715条 国土安全保障省における共同サイバー計画事務所の設立
Sec. 1716. Subpoena authority. 第1716条 召喚権
Sec. 1717. Cybersecurity State Coordinator. 第1717条 サイバーセキュリティ国家コーディネーター
Sec. 1718. Cybersecurity Advisory Committee. 第1718条 サイバーセキュリティ諮問委員会
Sec. 1719. Cybersecurity education and training assistance program. 第1719条 サイバースセキュリティ教育・訓練支援プログラム。
Sec. 1720. Framework for cyber hunt forward operations. 第1720条 サイバーハント・フォワード活動のためのフレームワーク
Sec. 1721. Rationalization and integration of parallel cybersecurity architectures and operations. 第1721条 並列的なサイバーセキュリティアーキテクチャと運用の合理化と統合。
Sec. 1722. Assessing risk to national security of quantum computing. 第1722条 量子コンピューティングの国家安全保障に対するリスクの評価
Sec. 1723. Tailored cyberspace operations organizations. 第1723条 カスタマイズされたサイバー空間の運用組織。
Sec. 1724. Responsibility for cybersecurity and critical infrastructure protection of the defense industrial base. 第1724条 防衛産業基盤のサイバーセキュリティと重要インフラ保護の責任。
Sec. 1725. Pilot program on remote provision by National Guard to National Guards of other States of cybersecurity technical assistance in training, preparation, and response to cyber incidents. 第1725条 訓練、準備、およびサイバー事件への対応におけるサイバーセキュリティ技術支援に関する国家警備隊による他国の国家警備隊への遠隔提供に関するパイロット・プログラム。
Sec. 1726. Department of Defense cyber workforce efforts. 第1726条 国防省のサイバー人材の取り組み。
Sec. 1727. Reporting requirements for cross domain incidents and exemptions to policies for information technology. 第1727条 クロスドメインのインシデントに対する報告要件および情報技術に関する方針の適用除外。
Sec. 1728. Assessing private-public collaboration in cybersecurity. 第1728条 サイバーセキュリティにおける官民協力の評価。
Sec. 1729. Cyber capabilities and interoperability of the National Guard. 第1729条 州兵のサイバー能力と相互運用性。
Sec. 1730. Evaluation of non-traditional cyber support to the Department of Defense. 第1730条 国防省に対する従来とは異なるサイバー支援の評価。
Sec. 1731. Integrated cybersecurity center plan. 第1731条 統合サイバーセキュリティセンター計画。
Sec. 1732. Assessment of cyber operational planning and deconfliction policies and processes. 第1732条 サイバー運用計画と連携解除の方針とプロセスの評価。
Sec. 1733. Pilot program on cybersecurity capability metrics. 第1733条 サイバーセキュリティ能力指標に関するパイロットプログラム。
Sec. 1734. Assessment of effect of inconsistent timing and use of Network Address Translation in Department of Defense networks. 第1734条 国防省ネットワークにおけるネットワークアドレス変換のタイミングと使用の一貫性のない影響の評価。
Sec. 1735. Integration of Department of Defense user activity monitoring and cybersecurity. 第1735条 国防省のユーザ活動監視とサイバーセキュリティの統合。
Sec. 1736. Defense industrial base cybersecurity sensor architecture plan. 第1736条 国防産業基地のサイバーセキュリティ・センサ・アーキテクチャ計画。
Sec. 1737. Assessment on defense industrial base participation in a threat information sharing program. 第1737条 脅威情報共有プログラムへの防衛産業基地の参加に関する評価。
Sec. 1738. Assistance for small manufacturers in the defense industrial supply chain on matters relating to cybersecurity. 第1738条 サイバーセキュリティに関連する事条について、防衛産業のサプライチェーンにおける小規模製造業者の支援。
Sec. 1739. Assessment on defense industrial base cybersecurity threat hunting program. 第1739条 防衛産業拠点のサイバーセキュリティ脅威ハンティングプログラムに対する評価。
Sec. 1740. Defense Digital Service. 第1740条 防衛デジタルサービス
Sec. 1741. Matters concerning the College of Information and Cyberspace and limitation of funding for National Defense University. 第1741条 情報・サイバースペース大学に関する事項および国防大学への資金提供の制限。
Sec. 1742. Department of Defense cyber hygiene and Cybersecurity Maturity Model Certification framework. 第1742条 国防省のサイバー衛生およびサイバーセキュリティ成熟度モデル認証の枠組み。
Sec. 1743. Extension of sunset for pilot program on regional cybersecurity training center for the Army National Guard. 第1743条 陸軍警備隊のための地域サイバーセキュリティ訓練センターに関するパイロットプログラムの期限延長。
Sec. 1744. National cyber exercises. 第1744条 全国サイバー演習。
Sec. 1745. Cybersecurity and Infrastructure Security Agency review. 第1745条 サイバーセキュリティおよびインフラストラクチャ・セキュリティ機関のレビュー。
Sec. 1746. Report on enabling United States Cyber Command resource allocation. 第1746条 米国サイバー司令部のリソース配分を可能にするための報告。
Sec. 1747. Ensuring cyber resiliency of nuclear command and control system. 第1747条 原子力指揮統制システムのサイバー回復力の確保。
Sec. 1748. Requirements for review of and limitations on the Joint Regional Security Stacks activity. 第1748条 統合地域セキュリティスタックス 活動の見直しの要件と制限。
Sec. 1749. Implementation of information operations matters. 第1749条 情報運用に関する事条の実施。
Sec. 1750. Report on use of encryption by Department of Defense national security systems. 第1750条 国防省の国家安全保障システムによる暗号化の使用に関する報告。
Sec. 1751. Guidance and direction on use of direct hiring processes for artificial intelligence professionals and other data science and software development personnel. 第1751条 人工知能専門家およびその他のデータ科学およびソフトウェア開発要員の直接雇用プロセスの使用に関する指導および指示。
Sec. 1752. National Cyber Director. 第1752条 国家サイバー長官
   
TITLE XCIV--SCIENCE, SPACE, AND TECHNOLOGY MATTERS - Subtitle A--Cybersecurity Matters タイトルXCIV--科学、宇宙、および技術の問題 - 副題A--サイバーセキュリティの問題
Sec. 9401. Improving national initiative for cybersecurity education. 第9401条 サイバーセキュリティ教育のための国家的イニシアチブの改善。
Sec. 9402. Development of standards and guidelines for improving cybersecurity workforce of Federal agencies. 第9402条 連邦政府機関のサイバーセキュリティ人材を向上させるための基準とガイドラインの策定。
Sec. 9403. Modifications to Federal cyber scholarship-for-service program. 第9403条 連邦サイバー奨学金サービスプログラムの変更
Sec. 9404. Additional modifications to Federal cyber scholarship-for-service program. 第9404条 連邦サイバー奨学金プログラムの修正 連邦サイバー奨学金サービスプログラムの追加修正
Sec. 9405. Cybersecurity in programs of the National Science Foundation. 第9405条 国立科学財団のプログラムにおけるサイバーセキュリティ
Sec. 9406. Cybersecurity in STEM programs of the National Aeronautics and Space Administration. 第9406条 米国航空宇宙局(National Aeronautics and Space Administration)の STEM プログラムにおけるサイバーセキュリティ。
Sec. 9407. National cybersecurity challenges. 第9407条 国家のサイバーセキュリティの課題。

 

Us-contress


■ 参考

Cyberspace Solarium CommissioReport

・2020.03.11 [PDF] Official Report

・2020.03.11 [PDF] Exective Summary

・2020.07.20 [PDF] Legislative Proposals

 

GovInfo Security

・2020.01.04 Defense Funding Measure Includes 77 Cybersecurity Provisions

Congressionally Approved Legislation Restores National Cyber Director Position

↓ 情報をまとめています。。。

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.04 サイバースペース・ソラリウム委員会

 

 

| | Comments (0)

2021.01.05

2020年のプライバシー・データセキュリティ法関係のコンパクトなまとめ

こんにちは、丸山満彦です。

2020年のプライバシー・データセキュリティ法関係のコンパクトなまとめがJDSPRAのウェブページに掲載されていて参考になります。。。

記載されているのは、

米国:

・2020.01 カリフォルニア州消費者プライバシー法(CCPA)の施行

・2020.03 ニューヨーク州ストップハック・電子データセキュリティ改善法(SHIELD法9)の一部施行

・2020.11 カリフォルニア州プライバシー権利法(CPRA)の成立

EU:

・2020.07 シュレムスII判決

・2020.11 EUから第三国へのデータ転送に関する追加ガイダンスの公表

その他:

・2020.09 ブラジル 一般データ保護法(LeiGeraldeProteçãodeDadosPessoais)(GDPL)

・2020.10 中国 個人データ保護法(PDPL)案

・2020.11 カナダ 消費者プライバシー保護法(CPPA)

その他、判例等の解説も記載されていて参考になります。。。

 

JDSPRA

・2021.01.04 Privacy and Data Security Worldwide: 2020 and Beyond by Kramer Levin Naftalis & Frankel LLP

 

 

| | Comments (0)

2021.01.04

100冊以上の機械学習に関する無料本リスト!!

こんにちは、丸山満彦です。

機械学習に関する無料本リストが公開されていましたので、共有しますね。。。

insane

・2021.01.02 Free eBooks: 100+ Free Machine Learning Books

目次とかカテゴリー分があれば助かると思いながら、、、

 

| | Comments (0)

«ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22