2022.12.03

第3期戦略的イノベーション創造プログラム(SIP:エスアイピー)についての経団連の意見...

こんにちは、丸山満彦です。

経団連が、第3期戦略的イノベーション創造プログラム (SIP) についての意見を掲載しています。。。SIPは国の将来を見据えた政策的な研究プログラムで、税金を使った(5年間で1500億円程度...)プログラムで、研究成果が社会に活きるようになるためには官民連携が重要となるわけですが、うまくいっているんでしょうか。。。

日本経済団体連合会

・2022.12.01 次期SIPに対する意見


次期SIPについては産業界からの期待も高く、研究開発への参画について関心を持つ企業も多い。ただし、実際にリソースを提供するにあたっては下記のとおりに具体的にクリアすべき課題がある。

また、社会実装を進めるにあたっては、研究開発の進展のみならず、先端技術の利活用の観点から規制緩和等の制度整備が併せて必要となることにも留意すべきである。


次のようなことで書かれています。。。

  1. 課題設定
  2. 社会実装のレベル
  3. アジャイルな運用による予算・人材の手当
  4. 民間からの人的支援
  5. 企業の利益確保
  6. スタートアップ
  7. ルール形成及び国際標準化
  8. 享受者のリテラシー向上
  9. 研究推進法人
  10. 他の政策等(PRISMなど)との整理
  11. 情報共有のあり方

 


11. 情報共有のあり方

SIPの概要と研究過程の各ステップがまとめられて明示されていると企業側の理解が深まると考えられる。具体的には、全体を把握できる概念図およびスケジュール上の各マイルストンで何を行うかが簡潔にまとめられた資料を求める。特に、RFI、PD候補の公募、研究開発責任者・実施者の公募、マッチングファンド(企業に求められる資金や工数)について説明があると、企業としてどのようなアクション・負担が求められるのかが理解しやすい。

現状ではFSの内容については概要のみ公開されている状態であり、企業としては社内で参入について検討していない段階でFSの具体的な検討内容や状況について問い合わせることは敷居が高いため、途中経過の公表を求める。併せて過去のSIPでの成果についても引き続き周知を図ることで、事業化までのイメージを持ちやすくなる。

第1期、第2期の企業出身PDがSIPを通して得た知識やスキル等の共有もお願いしたい。また、参入を前提としない企業との情報交換の場を設けるなど、既存の役割以外の関わり方の検討をお願いしたい。


 

さて、SIPのウェブページ

内閣府

戦略的イノベーション創造プログラム(SIP:エスアイピー)

第3期SIPの候補

  1. 豊かな食が提供される持続可能なフードチェーンの構築
  2. 統合型ヘルスケアシステムの構築
  3. 包摂的コミュニティプラットフォームの構築
  4. ポストコロナ時代の学び方・働き方を実現するプラットフォームの構築
  5. 海洋安全保障プラットフォームの構築
  6. スマートエネルギーマネジメントシステムの構築
  7. サーキュラーエコノミーシステムの構築
  8. スマート防災ネットワークの構築
  9. スマートインフラマネジメントシステムの構築
  10. スマートモビリティプラットフォームの構築
  11. 人協調型ロボティクスの拡大に向けた基盤技術・ルールの整備
  12. バーチャルエコノミー拡大に向けた基盤技術・ルールの整備
  13. 先進的量子技術基盤の社会課題への応用促進
  14. AI・データの安全・安心な利活用のための基盤技術・ルールの整備
  15. マテリアルプロセスイノベーション基盤技術の整備

 

20221203-101732

課題候補 FS実施方針 検討タスクフォース 研究推進法人 コンセプト  PD候補  所属・役職 
1 豊かな食が提供される持続可能なフードチェーンの構築 PDF 豊かな食が提供される持続可能なフードチェーンの構築に係る検討タスクフォース 国立研究開発法人農業・食品産業技術総合研究機構
生物系特定産業技術研究支援センター
食料安全保障やカーボンニュートラル、高齢化社会への対応に向けて、食料の調達、生産、加工・流通、消費の各段階を通じて、豊かさを確保しつつ、生産性向上と環境負荷低減を同時に実現するフードチェーンを構築する。  松本 英三  株式会社 J-オイルミルズ 取締役常務執行役員 
2 統合型ヘルスケアシステムの構築 PDF 統合型ヘルスケアシステムの構築に係る検討タスクフォース 国立研究開発法人 医薬基盤・健康・栄養研究所 患者や消費者のニーズに対し、医療・ヘルスケア等の限られたリソースを、デジタル化や自動化技術で最大限有効かつ迅速にマッチングするシステムを構築する。  永井 良三  自治医科大学 学長 
3 包摂的コミュニティプラットフォームの構築 PDF 包摂的コミュニティプラットフォームの構築に係る検討タスクフォース 国立研究開発法人 医薬基盤・健康・栄養研究所 性別、年齢、障がいなどに関わらず、多様な人々が社会的にも精神的にも豊かで暮らしやすいコミュニティを実現するため、プライバシーを完全に保護しつつ、社会活動への主体的参加を促し、必要なサポートが得られる仕組みを構築する。  久野 譜也  筑波大学大学院人間総合科学学術院 教授 
4 ポストコロナ時代の学び方・働き方を実現するプラットフォームの構築 PDF ポストコロナ時代の学び方・働き方を実現するプラットフォームの構築に係る検討タスクフォース 国立研究開発法人科学技術振興機構 ポストコロナ社会に向けて、オンラインでも対面と変わらない円滑なコミュニケーションができ、地方に住んでいても大都市と変わらない教育や仕事の機会が提供され、さらに、多様な学び方、働き方が可能な社会を実現するためのプラットフォームを構築する。  西村 訓弘  三重大学大学院地域イノベーション学研究科 教授・特命副学長 
5 海洋安全保障プラットフォームの構築 PDF 海洋安全保障プラットフォームの構築に係る検討タスクフォース 国立研究開発法人海洋研究開発機構 世界有数の海洋国家である我が国にとって安全保障上重要な海洋の保全や利活用を進めるため、海洋の各種データを収集し、資源・エネルギーの確保、気候変動への対応などを推進するプラットフォームを構築する。  石井 正一  日本 CCS 調査株式会社 顧問 
6 スマートエネルギーマネジメントシステムの構築


PDF スマートエネルギーマネジメントシステムの構築に係る検討タスクフォース 国立研究開発法人科学技術振興機構 地域におけるエネルギーの生産及び利用に係る技術の更なる高度化に加え、電力利用だけでなく熱利用についても考慮する需給調整に向けたエネルギーマネジメントシステムの構築、エネルギーマネジメントシステムを支える分散型電源関連、エネルギーキャリア関連技術の確立を目指す。  浅野 浩志  東海国立大学機構岐阜大学高等研究院地方創生エネルギーシステム研究センター特任教授
一般財団法人電力中央研究所研究アドバイザー
東京工業大学科学技術創成研究院特任教授
7 サーキュラーエコノミーシステムの構築 PDF サーキュラーエコノミーシステムの構築に係る検討タスクフォース 独立行政法人環境再生保全機構 大量に使用・廃棄されるプラスチック等素材の資源循環を加速するため、原料の調達から、設計・製造段階、販売・消費、分別・回収、リサイクルの段階までのデータを統合し、サプライチェーン全体として産業競争力の向上や環境負荷を最小化するサーキュラーエコノミーシステムの構築を目指し技術開発を行うとともに、消費者の行動変容を促す環境整備も検討する。その際、脱炭素社会の実現や環境配慮が付加価値になる情報開示に関する国際的なルール形成(TCFD、TNFD等)への対応についても併せて検討を行う。  伊藤 耕三  東京大学大学院 新領域創成科学研究科 教授 
8 スマート防災ネットワークの構築 PDF スマート防災ネットワークの構築に係る検討タスクフォース 国立研究開発法人防災科学技術研究所 気候変動等に伴い災害が頻発・激甚化する中で、平時から災害に備える総合的防災対策を強化するとともに、災害時対応として、災害・被災情報をきめ細かく予測・収集・共有し、個人に応じた防災・避難支援、自治体による迅速な救助・物資提供、民間企業と連携した応急対応などを行うネットワークを構築する。  楠 浩一  東北大学大学院 工学研究科教授
9 スマートインフラマネジメントシステムの構築 PDF スマートインフラマネジメントシステムの構築に係る検討タスクフォース 国立研究開発法人土木研究所 インフラ・建築物の老朽化が進む中で、デジタルデータにより設計から施工、点検、補修まで一体的な管理を行い、持続可能で魅力ある国土・都市・地域づくりを推進するシステムを構築する。 久田 真  筑波大学 名誉教授 
10 スマートモビリティプラットフォームの構築 PDF スマートモビリティプラットフォームの構築に係る検討タスクフォース 国立研究開発法人新エネルギー・産業技術総合開発機構 移動する人・モノの視点から、移動手段(小型モビリティ、自動運転、MaaS、ドローン等)、交通環境のハード、ソフトをダイナミックに一体化し、安全で環境に優しくシームレスな移動を実現するプラットフォームを構築する。  石田 東生  筑波大学 システム情報系 教授
筑波大学 サイバニクス研究センター 研究統括
筑波大学 未来社会工学開発研究センター センター長
11 人協調型ロボティクスの拡大に向けた基盤技術・ルールの整備 PDF 人協調型ロボティクスの拡大に向けた基盤技術・ルールの整備に係る検討タスクフォース 国立研究開発法人新エネルギー・産業技術総合開発機構 人の生活空間でのロボティクスの利用拡大が見込まれる中で、ドアを開ける、モノを運ぶ、階段を登るなどのタスクに応じて、マニピュレータなどの必要な機能を提供するためのハード・ソフトのプラットフォームを構築するとともに、人へのリスク評価手法などについて検討を行う。  山海 嘉之  筑波大学 システム情報系 教授
筑波大学 サイバニクス研究センター 研究統括
筑波大学 未来社会工学開発研究センター センター長
CYBERDYNE 株式会社 代表取締役社長/CEO
12 バーチャルエコノミー拡大に向けた基盤技術・ルールの整備 PDF バーチャルエコノミー拡大に向けた基盤技術・ルールの整備に係る検討タスクフォース 国立研究開発法人新エネルギー・産業技術総合開発機構 バーチャルエコノミーが拡大する中で、バーチャル空間での個人認証・プライバシー等のルール、バーチャル空間とつなぐ技術として5感、BMI( Brain Machine Interface)の標準化、バーチャル社会の心身への影響、社会システム設計等が求められている。 GAFAMやITベンチャー等の取組が急速な中、社会制度の設計、技術標準化、セキュリティ等に官民連携で取り組む。  持丸 正明  国立研究開発法人産業技術総合研究所
人間拡張研究センター 研究センター長 
13 先進的量子技術基盤の社会課題への応用促進 - 先進的量子技術基盤の社会課題への応用促進に係る検討タスクフォース 国立研究開発法人量子科学技術研究開発機構 量子コンピュータ、量子センシング、量子セキュリティ・ネットワークと古典コンピュータ等の従来技術システムが連携・一体化したサービス実現は、我が国の産業競争力の強化・社会課題解決等に貢献することが期待されている。また、量子コンピュータの進展による現代暗号技術の危殆化に対応するため、量子暗号技術の社会実装や、量子コンピュータ・センサを接続可能とする量子ネットワークの実現が期待されている。令和4年4月目途に策定される新たな戦略を踏まえ、取り組むべき課題を具体化する。  寒川 哲臣  日本電信電話株式会社先端技術総合研究所 所長 
14 AI・データの安全・安心な利活用のための基盤技術・ルールの整備 PDF AI・データの安全・安心な利活用のための基盤技術・ルールの整備に係る検討タスクフォース 国立研究開発法人新エネルギー・産業技術総合開発機構 AIの利活用の拡大に当たっては、データの品質と計算能力を向上させるとともに、プライバシー、セキュリティ、倫理などが課題として挙げられる。 データの安全・安心な流通を確保しつつ、様々なステークホルダーのニーズに柔軟に対応できるデータ連携基盤を構築することが期待されている。 AI戦略の見直しを踏まえ、取り組むべき課題を具体化する。  宮本 恭幸  東京工業大学工学院電気電子系 教授 
15 マテリアルプロセスイノベーション基盤技術の整備 PDF マテリアルプロセスイノベーション基盤技術の整備に係る検討タスクフォース 国立研究開発法人物質・材料研究機構 マテリアル設計、プロセス設計上のデータ、マテリアルズ・インテグレーション技術やプロセスインフォマティクス技術を適用することで、ニーズに応じた材料を迅速に開発できるイノベーション基盤技術を整備する。  木場 祥介  ユニバーサル マテリアルズ インキュベーター株式会社 代表取締役パートナー 

 

 

 

| | Comments (0)

ENISA サイバーセキュリティ市場分析をするためのディスカッション

こんにちは、丸山満彦です。

規制というのは、(寡占、公害といった外部不経済、情報の偏りなどの理由で)完全競争市場ではない市場において生じている社会全体の利潤の減少を補正し、完全競争市場であれば得られたであろう利潤に持っていくための手段なのだろうと思っています。なので、今ある市場がどのような状態であるのかということを理解することは、どのような補正をすれば、社会的に利潤が最大化するかを理解する上で重要なことだとおもっています。。。

また、企業にとっても市場を正しく理解することは、今後の製品、サービス開発にとっても重要なインプットとなりますね。。。

ということで、ENISAはサイバーセキュリティ市場をどのようにすれば適切に理解できるのかという市場分析の手法について、さまざまな立場の有識者を交えたディスカッションを通じて理解しようとしていますね。。。(今年の4月には暫定版の報告書も公開し、配電網分野のIoTセキュリティ市場での調査結果も公表しています。。。)

日本の政策決定課程との大きな違いかもですね。。。(政策を入れた時の社会への影響分析も欧米ではしますよね。。。日本ではあまり見たことないですが。。。)。日本の場合は、大きな声(利権に関わるので自然と声が大きくなる)の人の意見がより大きく政策に影響され、かえって市場が歪められていたりして。。。で、その結果、国際的な競争力を失っていたりして。。。 知らんけど。。。

さて、ENISAが11月23日ー24日にクラウドサービスを中心に行ったディスカッションのメモ...

結論...

  1. サイバーセキュリティの市場分析には、セクターの特異性を捉えるように設計された方法論を採用すべきである。
  2. サイバーセキュリティ・レジリエンス法は、サイバーセキュリティ市場の透明性を高める画期的な法律案である。同時に、域内市場、サイバーセキュリティ、レジリエンス政策を含む領域をシームレスにカバーするために、他の法律との整合性を確保することが重要である。
  3. EUのサイバーセキュリティ市場を改善し、できればその潜在能力を最大限に発揮させるためには、スキルギャップを解消することが必要である。
  4. 欧州のサイバーセキュリティ市場におけるクラウドセキュリティインフラへの投資レベルは、他の地域(例:米国)の取り組みに比べると遅れている。
  5. 政府は、(国家による攻撃など)必要なときにサイバーセキュリティサービスを利用できるEU市場で活動するサービスプロバイダの目録を保持する必要がある。
  6. サイバーセキュリティの認証制度は、中小企業の投資の可能性に見合ったものである必要がある。

Enisa_20221203060901

 

ENISA

・2022.12.01 Going to the market for Cybersecurity Market Analysis

Going to the market for Cybersecurity Market Analysis サイバーセキュリティ市場分析のために市場へ出向く
The European Union Agency for Cybersecurity (ENISA) organised its first conference on cybersecurity market analysis last week for EU cybersecurity market stakeholders to share experiences and initiate the debate on how to best perform EU cybersecurity market analysis. 欧州連合サイバーセキュリティ機関(ENISA)は先週、EUサイバーセキュリティ市場の関係者を対象に、サイバーセキュリティ市場分析に関する初の会議を開催し、EUサイバーセキュリティ市場分析の最善の実行方法について経験を共有し、議論を開始した。
The objective of the market conference held in Brussels on 23-24 November during the Certification week organised by ENISA, was to promote a policy debate in the area of cybersecurity market analysis. It allowed stakeholders to share their experiences and views on aspects of cybersecurity and what they perceive to be the EU market thereof. ENISAが主催する認証週間中の11月23日から24日にかけてブリュッセルで開催された市場会議の目的は、サイバーセキュリティ市場分析の分野における政策論争を促進することでした。この会議では、関係者がサイバーセキュリティの側面とそのEU市場に関する認識について、それぞれの経験や見解を共有することができた。
Focusing primarily on cloud services, suppliers and users of cybersecurity services, national and European regulators, and research organisations shared the main cybersecurity market trends. They also addressed the questions raised by the evolution of the European cybersecurity regulatory framework and the impact it is likely to have on their affairs and businesses. Such feedback is essential to identify current gaps in the market, seize business opportunities and assess the impact of the cybersecurity requirements. 主にクラウドサービスに焦点を当て、サイバーセキュリティサービスのサプライヤーとユーザー、国内および欧州の規制当局、研究機関が、サイバーセキュリティ市場の主要な動向を共有した。また、欧州のサイバーセキュリティ規制の枠組みの進化によって生じる疑問や、それが自分たちの業務やビジネスに与えるであろう影響についても取り上げた。このようなフィードバックは、市場における現在のギャップを特定し、ビジネスチャンスを掴み、サイバーセキュリティ要件がもたらす影響を評価するために不可欠なものである。
Lorena Boix Alonso is Director for Digital Society, Trust and Cybersecurity inat the European Commission’s Directorate General for Communications Networks Content and Technology (DG CONNECT), stated: "The EU Cybersecurity sector grows fast to match increased digitisation and cyber threats. The European Cyber Competence Center and the EU Agency for Cybersecurity-ENISA are instrumental to increase the EU cyber posture, respectively contributing to strategic investments on cyber capabilities and operational guidance on cyber resilience. We already have a strong research basis on cyber in the EU, but lag behind on turn that research into market impact. We also suffer from a shortage of skilled cyber workers, which is why the Commission will work with others to build a European Cybersecurity Skills Academy." 欧州委員会の通信ネットワーク・コンテンツ・技術総局(DG CONNECT)のデジタル社会・信頼・サイバーセキュリティ担当ディレクターであるロリーナ・ボワ・アロンソは、次のように述べている。「EUのサイバーセキュリティ部門は、デジタル化の進展とサイバー脅威の増大に合わせて急速に成長している。欧州サイバーコンピテンスセンターと欧州サイバーセキュリティ機関(ENISA)は、それぞれサイバー能力に関する戦略的投資とサイバーレジリエンスに関する運用指針に貢献し、EUのサイバー態勢の強化に寄与している。EUには、サイバーに関する強力な研究基盤がすでにあるが、その研究を市場にインパクトのあるものにすることについては遅れをとっている。また、熟練したサイバー従事者の不足にも悩まされている。だからこそ、欧州委員会は他の機関と協力して、欧州サイバーセキュリティ技能アカデミーを設立するのである」。
ENISA Executive Director, Juhan Lepassaar said: "We need to make sure our cybersecurity market is fit for our purpose to make the EU cyber resilient. The market analysis framework developed by ENISA will help identify potential loopholes and map synergies at work. With the right tools and insights from the experience of all our stakeholders across the EU Member States, cybersecurity market analysis will allow us to better understand where to apply our efforts to improve our efficiency." ENISAのJuhan Lepassaar事務局長は、次のように述べた。 「我々は、EUのサイバーレジリエンスを高めるために、サイバーセキュリティ市場が我々の目的に適合していることを確認する必要がある。ENISAが開発した市場分析フレームワークは、潜在的な抜け穴を特定し、作業中の相乗効果をマッピングするのに役立つ。適切なツールとEU加盟国中のすべての関係者の経験からの洞察により、サイバーセキュリティ市場分析では、どこに我々の努力を適用して効率を向上させるべきかをよりよく理解できるようになる。」
Outcomes 成果
During the event, speakers and participants engaged in a lively discussion concerning a host of cybersecurity market aspects. Key conclusions include the following: イベント期間中、講演者と参加者は、サイバーセキュリティ市場の多くの側面について、活発な議論を行った。主な結論は以下の通りである。
・Cybersecurity market analysis should adopt methodologies, that are designed to capture sectoral specificities. ・サイバーセキュリティの市場分析には、セクターの特異性を捉えるように設計された方法論を採用すべきである。
・The Cybersecurity Resilience Act is a ground-breaking piece of draft legislation, which enhances transparency in the cybersecurity market. At the same time, it is important to ensure alignment with other pieces of legislation to seamlessly cover the spectrum that includes, internal market, cybersecurity and resilience policies. ・サイバーセキュリティ・レジリエンス法は、サイバーセキュリティ市場の透明性を高める画期的な法律案である。同時に、域内市場、サイバーセキュリティ、レジリエンス政策を含む領域をシームレスにカバーするために、他の法律との整合性を確保することが重要である。
・It is necessary to close the skills gap in order to improve and hopefully unleash the full potential of the EU cybersecurity market. ・EUのサイバーセキュリティ市場を改善し、できればその潜在能力を最大限に発揮させるためには、スキルギャップを解消することが必要である。
・The level of investment in cloud security infrastructure in the European cybersecurity market lags the efforts across other regions (e.g. US). ・欧州のサイバーセキュリティ市場におけるクラウドセキュリティインフラへの投資レベルは、他の地域(例:米国)の取り組みに比べると遅れている。
・Governments should hold an inventory of the service providers operating in the EU market that make available cybersecurity services when needed (e.g. state-sponsored attacks). ・政府は、(国家による攻撃など)必要なときにサイバーセキュリティサービスを利用できるEU市場で活動するサービスプロバイダの目録を保持する必要がある。
・Cybersecurity certification schemes need to remain proportionate to the investment potential of SMEs. ・サイバーセキュリティの認証制度は、中小企業の投資の可能性に見合ったものである必要がある。
Background 開催背景
The conference that mobilised about 35 speakers, was organised across a range of discussion panels covering the following 6 key topics: 本コンファレンスでは、約35名の講演者が参加し、以下の6つの主要なトピックについて、様々なディスカッションパネルが構成されました。
1. Overview of the EU regulatory approach on cybersecurity; 1. サイバーセキュリティに関するEUの規制アプローチの概要
2. EU digital single market: cybersecurity requirements; 2. EUのデジタル単一市場:サイバーセキュリティの要件
3. Current Practices in Market Analysis and interplay with cybersecurity; 3. 市場分析における現在の実践とサイバーセキュリティとの相互作用。
4. Cybersecurity market: cooperation, innovation and investment strategies; 4. サイバーセキュリティ市場:協力、イノベーション、投資戦略。
5. Strengths, weaknesses, opportunities and threats for the EU cloud cybersecurity market; 5. EUクラウドサイバーセキュリティ市場の強み、弱み、機会、脅威。
6. Cybersecurity certification – driver for the EU cybersecurity market. 6. サイバーセキュリティ認証 - EUのサイバーセキュリティ市場のドライバー。
A sound market analysis can help market players and regulators make informed decisions on cybersecurity devices or services to use, policy initiatives and research and innovation funding. 健全な市場分析は、市場関係者や規制当局が、使用するサイバーセキュリティ機器やサービス、政策的取り組み、研究・イノベーションへの資金提供について、十分な情報に基づいた決定を下すのに役立つ。
For this purpose, ENISA developed a framework to carry out cybersecurity market analysis and it applied it already to the market of the Internet of Things (IoT) distribution grid. The focus shifted to cloud services in 2022. この目的のために、ENISAはサイバーセキュリティ市場分析を行うためのフレームワークを開発し、すでにモノのインターネット(IoT)配電網の市場に適用している。2022年にはクラウドサービスに焦点が移った。
A dedicated Ad Hoc Working Group (AHWG) on the EU Cybersecurity Market has been of assistance to ENISA. EUサイバーセキュリティ市場に関する専門のアドホック・ワーキング・グループ(AHWG)は、ENISAを支援している。
Target audience 対象者
・EU institutions, bodies and Agencies; ・EUの機関、団体、機関
・Member States/public authorities; ・加盟国/公的機関
・ENISA stakeholder groups; ・ENISAのステークホルダー・グループ
・Service providers; ・サービスプロバイダー
・Independent experts; ・独立した専門家
・Industry and industry associations; ・産業界および業界団体
・Research institutions and research related entities; ・研究機関及び研究関連団体
・Consumer organisations/associations. ・消費者組織・団体
Further information その他の情報
Cybersecurity Market Analysis Framework – ENISA report 2022 サイバーセキュリティ市場分析フレームワーク - ENISAレポート2022年版
EU Cybersecurity Market Analysis – IoT in Distribution Grids – ENISA report 2022 EUサイバーセキュリティ市場分析-配電網のIoT-ENISAレポート2022年版

 

サイバーセキュリティ市場分析フレームワークのページ...

● ENISA - Topics - MarketCybersecurity Market Analysis Framework

・Detail

The ENISA Cybersecurity Market Analysis Framework is a “cookbook” on how EU cybersecurity market analyses can be performed. is the cornerstone of ENISA activities in analysing the EU cybersecurity market, as it is used within ENISA to scope, customise and perform market analyses ENISAサイバーセキュリティ市場分析フレームワークは、EUサイバーセキュリティ市場分析をどのように行うことができるかについての「料理本」である。 は、ENISA内で市場分析の範囲、カスタマイズ、実行に使用されており、EUサイバーセキュリティ市場の分析におけるENISA活動の基礎となるものである。
Cybersecurity Market Analysis Framework サイバーセキュリティ市場分析フレームワーク
It is based on existing market analysis good practices and proposes improvements towards covering cybersecurity products, services and processes. In this context, in 2021 ENISA has developed an initial version of a cybersecurity analysis method. This work resulted in the initial version of the ENISA Cybersecurity Market Analysis Framework (ECSMAF)[1]. 既存の市場分析のグッドプラクティスに基づき、サイバーセキュリティ製品、サービス、プロセスをカバーする方向で改善を提案している。この文脈で、2021年、ENISAはサイバーセキュリティ分析手法の初期版を開発した。この作業の結果、初期バージョンのENISAサイバーセキュリティ市場分析フレームワーク(ECSMAF)が誕生した[1]。
Essentially, this framework is aimed at those who need a market analysis for a cybersecurity market product, service and processe. It explains what the market analyst should do to describe the cybersecurity market segment (for example, a specific technology) and have an informed view of the demand and supply sides of the cybersecurity market in that segment. 基本的に、このフレームワークは、サイバーセキュリティ市場の製品、サービス、プロセスについて市場分析を必要とする人を対象としている。サイバーセキュリティ市場のセグメント(例えば、特定の技術)を説明し、そのセグメントにおけるサイバーセキュリティ市場の需要側と供給側の情報に基づいた見解を持つために、市場分析が何をすべきかを説明している。
More specifically, ECSMAF has several aims such as to 具体的には、ECSMAFには以下のような狙いがある。
・help identify gaps and opportunities in the European cybersecurity market; ・欧州のサイバーセキュリティ市場におけるギャップと機会の特定を支援する。
・serve as a template or model or guide for putting together a cybersecurity market analysis that can be used for assessing the prospects for any new cybersecurity product, service or process; ・新しいサイバーセキュリティ製品、サービス、プロセスの見通しを評価するために使用できるサイバーセキュリティ市場分析をまとめるためのテンプレートまたはモデル、ガイドとして機能する。
・support the European cybersecurity market by applying more rigour and a more comprehensive, structured approach to the analysis of the market prospects for new products, services and/or processes; ・新しい製品、サービス、プロセスの市場見込みの分析に、より厳密で、より包括的、構造化されたアプローチを適用することによって、欧州のサイバーセキュリティ市場を支援する。
・complement other related work in ENISA (e.g., in risk assessment, research and innovation, cybersecurity index, policy development, cybersecurity certification) and outside ENISA (e.g., national market observatories and statistics organisations); ・ENISA の他の関連業務(例:リスク評価、研究・イノベーション、サイバーセキュリティ指標、政策立案、サイバーセキュリティ認証)および ENISA の外部(例:各国の市場観測機関、統計機関)を補完する。
・help the cybersecurity market analyst prepare a credible market analysis for new cybersecurity products, services and/or processes; ・サイバーセキュリティ市場分析が、新しいサイバーセキュリティ製品、サービス、および/またはプロセスのための信頼できる市場分析を準備するのを支援する。
・establish comparability and quality compliance among the results achieved within a single organisation (inter-organisation consistency); ・単一の組織内で達成された結果間の比較可能性と品質コンプライアンスを確立する(組織間の整合性)。
・establish comparability and quality compliance among results achieved by various analysts of various organisations (intra-organisation consistency); ・様々な組織の様々な分析が達成した結果間の比較可能性と品質コンプライアンスを確立する(組織内一貫性)。
・increase re-usability of material developed within various analysis surveys. ・様々な分析調査において開発された資料の再利用性を高める。
Currently, ECSMAF is used by ENISA within performed cybersecurity market analyses, while it is subject of continuous improvements to enhance its applicability and usefulness for a variety of stakeholders who might be interested in performing their own cybersecurity market analyses. Examples of these stakeholders are: 現在、ECSMAFは、ENISAが実施したサイバーセキュリティ市場分析で使用されているが、独自のサイバーセキュリティ市場分析を実施することに関心を持つ様々な利害関係者にとって、その適用性と有用性を高めるために、継続的な改善が行われている。これらの利害関係者の例としては
・EU institutions, bodies and agencies (e.g., DG-CNECT, DG-GROW, DG-JRC, DG-RTD, DG-TRADE, European Cybersecurity Competence Centre - ECCC, Eurostat, etc.). EU regulation and impact assessments often take into account market issues. Market analyses are important to help policymakers understand trends as well as related demand and supply issues. Market analyses can also help shape future calls in Horizon Europe and other EU programmes where there are market gaps. ・EUの機関、団体、機関(例:DG-CNECT, DG-GROW, DG-JRC, DG-RTD, DG-TRADE, European Cybersecurity Competence Centre - ECCC, Eurostat, etc.):EUの規制や影響評価は、しばしば市場の問題を考慮に入れている。市場分析は、政策立案者がトレンドや関連する需要や供給の問題を理解するために重要である。また、市場分析は、市場にギャップがある場合、ホライゾンヨーロッパや他のEUプログラムにおける将来の募集を形成するのに役立つことがある。
・Public authorities, especially cybersecurity authorities. Cybersecurity market surveillance is subject to regulation (e.g., CSA). The framework and its application may help in comparative market analyses and identifying shared efforts between the Member States. ・公的機関、特にサイバーセキュリティ当局。サイバーセキュリティの市場サーベイランスは規制の対象である(例:CSA):このフレームワークとその適用は、市場比較分析や加盟国間の共有努力の特定に役立つ可能性がある。
・ENISA stakeholder groups (e.g., European Cybersecurity Certification Group (ECCG) composed of Member States, Stakeholder Cybersecurity Certification Group, ENISA Advisory Group). The framework may support decision-making for prioritising certification efforts and spotting market gaps. ・ENISA の関係者グループ(例:加盟国で構成される欧州サイバーセキュリティ認証グループ(ECCG)、関係者サイバーセキュリティ認証グループ、ENISA アドバイザリーグループ):フレームワークは、認証の取り組みの優先順位付けや市場のギャップを見出すための意思決定を支援することができる。
・Industry associations [e.g., Ecosystem of Certification, EU TIC Council, the European Cyber Security Organisation (ECSO), the Information Security Forum (ISF)]: Industry and professional associations can use the framework to identify market opportunities, trends, challenges and vulnerabilities and the creation of competitive advantages to EU industry players. ・業界団体[例:認証のエコシステム、EU TIC 協議会、欧州サイバーセキュリティ組織(ECSO)、情報セキュリティフォーラム(ISF)]:業界団体や専門家団体は、市場の機会、傾向、課題、脆弱性を特定し、EUの業界関係者に競争上の優位性を創出するために、このフレームワークを利用することができる。
・Consumer organisations/associations. By using the framework, such organisations may assess the needs and requirements of consumers for cybersecurity products and services and their prospects in the European cybersecurity market. ・消費者団体/協会:このような組織は、フレームワークを使用することで、サイバーセキュリティ製品とサービスに対する消費者のニーズと要件、および欧州のサイバーセキュリティ市場における消費者の見通しを評価することができる。
・Research institutions may use the proposed methodology to assess the maturity of existing products and markets and guide the development of new technologies and services. ・研究機関:研究機関は、既存の製品や市場の成熟度を評価し、新しい技術やサービスの開発を指導するために、提案された方法論を使用することができる。
・Companies providing cybersecurity products, services and/or processes (supply side). The European Council has estimated that there are 60,000 such companies in Europe. Some are major companies who already conduct sophisticated market analyses, but by far the majority could benefit from some market analysis advice. For some companies, cybersecurity is their principal business; for others, it is just one line of business among others. ・サイバーセキュリティ製品、サービス、および/またはプロセスを提供する企業(供給側):欧州理事会は、欧州にそのような企業が6万社あると推定している。中には、すでに高度な市場分析を行っている大手企業もあるが、圧倒的に多くの企業が何らかの市場分析アドバイスを受けることができるだろう。サイバーセキュリティが主要な事業である企業もあれば、他の事業の中の1つに過ぎない企業もある。
・Companies who need cybersecurity products, services and/or processes (demand side). Such companies may have information security professionals and/or procurement officials who need to improve their companies’ cybersecurity. Hence, they need to find out what is available in the market to meet their needs and requirements. ・サイバーセキュリティの製品、サービス、および/またはプロセスを必要とする企業(需要側):このような企業には、自社のサイバーセキュリティを改善する必要がある情報セキュリティ専門家や調達担当者がいるかもしれない。したがって、彼らは、自分たちのニーズと要件を満たすために、市場で何が利用可能であるかを見つける必要がある。
In its current version, ECSMAF can be found HERE[2]. ECSMAFの現在のバージョンはこちら[2]。
[1] url [1]
[2] url [2]
LATEST PUBLICATIONS 最新出版物
ENISA Cybersecurity Market Analysis Framework (ECSMAF) ENISAサイバーセキュリティ市場分析フレームワーク(ECSMAF)
This document is the cornerstone of ENISA activities in analysing the EU cybersecurity market: it presents a cybersecurity market analysis framework as a “cookbook” on how EU cybersecurity market analyses can be performed. この文書は、EUサイバーセキュリティ市場の分析におけるENISA活動の基礎となるもので、EUサイバーセキュリティ市場の分析をどのように行うことができるかについての「料理本」としてサイバーセキュリティ市場分析フレームワークを提示している。
[PDF] [PDF]
EU Cybersecurity Market Analysis - IoT in Distribution Grid EUサイバーセキュリティ市場分析-配電網のIoT化
This report analyses demand and supply of IoT cybersecurity in distribution grids. It provides detailed indications on how this market might further develop in the future. The conclusions provided in the report are related to the envisaged scope, being thus non-exhaustive with regard to the entire smart-grid infrastructure. 本報告書では、配電網におけるIoTサイバーセキュリティの需要と供給について分析している。この市場が今後どのように発展していくかについて、詳細な示唆を与えている。本レポートで提供される結論は、想定される範囲に関連しており、したがってスマートグリッドインフラ全体に関して網羅的ではない。
[PDF] [PDF]

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.11 ENISA サイバーセキュリティビジネスの意思決定を支援するサイバーセキュリティ市場分析のフレームワーク

 

 

 

| | Comments (0)

2022.12.02

データ保護のEDPSとサイバーセキュリティのENISAが協力関係強化に関する覚書に署名

こんにちは、丸山満彦です。

データ保護のEDPSとサイバーセキュリティのENISAが協力関係強化に関する覚書に署名しましたね。。。

今まで、協力していなかったわけではないとは思いますが、より協力するということなのでしょうかね。。。

 

Edps-enisa

 

European Data Protection Supervisor: EDPS

・2022.11.30 Pairing up Cybersecurity and Data Protection efforts: EDPS and ENISA sign Memorandum of Understanding

Pairing up Cybersecurity and Data Protection efforts: EDPSand ENISA sign Memorandum of Understanding サイバーセキュリティとデータ保護の取り組みを対にする。EDPSとENISAが覚書に調印
The European Data Protection Supervisor (EDPS) and the European   Union Agency for Cybersecurity (ENISA) sign a Memorandum of Understanding (MoU) which establishes a strategic cooperation framework between them.
欧州データ保護監督機関(EDPS)と欧州連合サイバーセキュリティ機関(ENISA)は、両機関の戦略的協力体制を確立する覚書に調印した。
Both organisations agree to consider designing, developing and delivering capacity building, awareness-raising activities, as well as cooperating on policy related matters on topics of common interest, and contributing to similar activities organised by other EU institutions, bodies, offices and agencies (EUIBAs). 両組織は、能力開発、意識向上活動の設計、開発、実施を検討し、また、共通の関心事に関する政策関連事項で協力し、他のEU機関、団体、事務所、機関(EUIBAs)が組織する同様の活動に貢献することに同意する。
Wojciech Wiewiórowski, EDPS, said: “Today's MoU formalises the EDPS and ENISA's cooperation, which has been ongoing for several years. The document establishes strategic cooperation to address issues of common concern, such as cybersecurity as a way of protecting individuals’ personal data. Cybersecurity and data protection go hand in hand and are two essential allies for the protection of individuals and their rights. Privacy-enhancing technologies are a good example of this.” EDPSのWojciech Wiewiórowski氏は、次のように述べている。 「本日のMoUは、数年来続いているEDPSとENISAの協力関係を正式なものとするものです。 この文書は、個人の個人情報を保護する方法としてのサイバーセキュリティなど、共通の関心事に取り組むための戦略的な協力関係を確立するものです。サイバーセキュリティとデータ保護は手を取り合って、個人とその権利を保護するために不可欠な2つの同盟国です。プライバシーを向上させる技術は、その好例と言えるでしょう。"
Juhan Lepassaar, ENISA Executive Director, said: “The Memorandum of Understanding between EDPS and ENISA will allow us to address cybersecurity and privacy challenges in a holistic manner and assist EUIBAs in improving their preparedness." ENISA事務局長のJuhan Lepassaarは、次のように述べている。 "EDPSとENISAの覚書により、サイバーセキュリティとプライバシーの課題に総合的に取り組み、EUIBAの準備態勢を向上させることができるようになります。"
The MoU includes a strategic plan to promote the awareness of cyber hygiene, privacy and data protection amongst EUIBAs. The plan also aims to promote a joint approach to cybersecurity aspects of data protection, to adopt privacy-enhancing technologies, and to strengthen the capacities and skills of EUIBAs. MoUには、EUIBAsの間でサイバー衛生、プライバシー、データ保護に関する認識を促進するための戦略的計画が含まれている。この計画では、データ保護のサイバーセキュリティの側面に対する共同アプローチを促進し、プライバシーを強化する技術を採用し、EUIBAsの能力とスキルを強化することも目指している。

 

 

ENISA

・2022.11.30 Pairing up Cybersecurity and Data Protection Efforts: EDPS and ENISA sign Memorandum of Understanding

 

・[PDF] Memorandum of Understanding

20221202-24033

 

Memorandum of Understanding on increasing cooperation between  the European Data Protection Supervisor and the European Union Agency for Cybersecurity 欧州データ保護監督機関と欧州連合サイバーセキュリティ機関との間の協力関係強化に関する覚書
I. Preamble I. 前文
1. This document is a Memorandum of Understanding setting out the principles for increased cooperation between:  1. 本書は、両者の協力関係を強化するための原則を定めた覚書である。
• The European Data Protection Supervisor (EDPS), established by Regulation (EU) 2018/1725  of the European Parliament and of the Council , represented for the purposes of signature of this Memorandum of Understanding by the European Data Protection Supervisor, Mr Wojciech Wiewiórowski; and  - 欧州データ保護監督者(EDPS)は、欧州議会と理事会の規則(EU)2018/1725によって設立され、欧州データ保護監督者であるWojciech Wiewiórowski氏がこの覚書の署名のために代表を務めている。
• The European Union Agency for Cybersecurity (ENISA), established by Regulation (EU) 2019/881 , of the European Parliament and of the Council , represented for the purposes of signature of this Memorandum of Understanding by its Executive Director, Mr Juhan Lepassaar;  - 欧州議会及び理事会の規則(EU)2019/881により設立された欧州連合サイバーセキュリティ機関(ENISA)、その事務局長であるJuhan Lepassaar氏が本覚書の署名のために代表を務めている。
2. Under Article 52 of Regulation (EU) 2018/1725, the EDPS is the independent supervisory authority responsible, with respect to the processing of personal data, for ensuring that the fundamental rights and freedoms of natural persons, and in particular their right to data protection are respected by the Union institutions, bodies, offices and agencies.  2. 規則(EU)2018/1725の第52条に基づき、EDPSは、個人データの処理に関して、自然人の基本的権利と自由、特にデータ保護に対する権利が連合の機関、団体、事務所、機関によって尊重されることを保証する責任を負う独立監督機関である。
3. Under Title II of Regulation (EU) 2019/881, ENISA is the Union’s agency dedicated to achieving a high common level of cybersecurity across Europe. The Agency acts as a reference point for advice and expertise on cybersecurity for Union institutions, bodies, offices and agencies as well as for other relevant Union stakeholders. 3. 規則(EU)2019/881のタイトルIIに基づき、ENISAは欧州全体で高い共通レベルのサイバーセキュリティを達成することを目的とするEUの機関です。同機関は、欧州連合の機関、団体、オフィス、機関、およびその他の関連する欧州連合のステークホルダーのためのサイバーセキュリティに関する助言と専門知識の参照先として機能する。
II. Purpose II. 目的
4. This Memorandum of Understanding has been agreed in recognition of the common interest of EDPS and ENISA to cooperate more in areas of mutual interest. Building on earlier exchanges, it aims to establish, define and promote a structured cooperation in accordance with and subject to their respective statutory tasks and powers under Union law.  4. 本覚書は、EDPS と ENISA が、相互の関心領域においてより協力することに共通の関心を持っていることを認識し、合意されたものである。これまでの交流に基づき、本覚書は、EU 法に基づくそれぞれの法定任務及び権限に基づき、体系的な協力を確立し、定義し、促進することを目的とする。
5. This Memorandum of Understanding does not affect in any way the tasks and powers of the EDPS as a supervisor of the processing of personal data by ENISA as an EU Agency, nor does it affect in any way the duties of ENISA as a data controller or data processor under Regulation (EU) 2018/1725 and as an independent Agency under Regulation (EU) No 2019/881. This Memorandum of Understanding does not impact activities and duties that either party carries out under Union law. 5. 本覚書は、EU機関としてのENISAによる個人データの処理に対する監督者としてのEDPSの任務及び権限、規則(EU)2018/1725に基づくデータ管理者又はデータ処理者としてのENISAの任務、規則(EU) No 2019/881に基づく独立機関としての任務に何ら影響を与えない。本覚書は、いずれかの当事者がEU法の下で実施する活動や義務に影響を与えるものではない。
III. Strategic Cooperation III. 戦略的な協力関係
6. EDPS and ENISA agree to establish a strategic cooperation in areas of common interest with a view to addressing issues of common concern such as cybersecurity aspects of personal data protection.  6. EDPSとENISAは、個人データ保護のサイバーセキュリティの側面など、共通の関心事に対処することを目的として、共通の関心分野における戦略的協力を確立することに同意する。
7. EDPS and ENISA agree to put forward a strategic plan on promoting awareness, capacity, cyber-hygiene and privacy and data protection stand of institutions, bodies, offices and agencies of the Union. This strategic plan will aim to promote a joint approach to cybersecurity aspects of data protection as well as to the adoption of privacy enhancing technologies, and strengthen the capacities and skills of the aforementioned institutions, bodies, offices and agencies of the Union. Further element useful to establish the strategic plan are defined in Annex A. 7. EDPS及びENISAは、EUの機関、団体、事務所及び機関の意識、能力、サイバー衛生及びプライバシーとデータ保護の立場の促進に関する戦略的計画を打ち出すことに合意する。この戦略計画は、データ保護のサイバーセキュリティの側面及びプライバシー強化技術の採用に対する共同アプローチを促進し、前述の連合の機関、団体、オフィス及び機関の能力及び技能を強化することを目的とする。戦略的計画の策定に有用な更なる要素は、附属書 A に定義されている。
8. As part of the strategic plan, EDPS and ENISA agree to consider designing, developing and delivering capacity building and awareness raising activities in areas of common interest and contributing jointly to similar activities organised by other bodies. Within the scope of each activity, EDPS and ENISA will address aspects within their area of expertise.  8. 戦略計画の一環として、EDPS及びENISAは、共通の関心分野での能力向上及び意識向上 のための活動を設計、開発、実施し、他の機関が主催する同様の活動に共同で貢献することを 検討することに合意する。各活動の範囲内において、EDPS 及び ENISA は、それぞれの専門分野の側面を取り扱う。
9. EDPS and ENISA aim to meet at least once a year to review matters related to the strategic plan, to identify further areas of cooperation, and in order to exchange views on main current and forthcoming challenges for cybersecurity and privacy and data protection, including security of personal data processing and management of personal data breaches, data protection by design and by default and privacy by design, privacy enhancing technologies and privacy engineering and as well as analyses of emerging technologies, foresight methods and topic-specific assessments on the expected societal, legal, economic and regulatory impact of technological innovations. 9. EDPS及びENISAは、戦略的計画に関連する事項をレビューし、更なる協力分野を特定し、また、個人データ処理のセキュリティ及び個人データ侵害の管理、デザイン及びデフォルトによるデータ保護、デザインによるプライバシー、プライバシー強化技術及びプライバシーエンジニアリング、並びに新技術の分析、予見手法及び技術革新が予想される社会、法律、経済及び規制に与える影響のテーマ別評価等サイバーセキュリティ及びプライバシーとデータ保護に関する現在及び将来の主要課題に関して意見交換するために少なくとも年1回の会合を行うことを目標とする。
10. EDPS and ENISA agree to appoint a single contact point responsible for coordinating their cooperation and for consulting each other on a regular basis, particularly with regard to the terms of this Memorandum of Understanding.  10. EDPS及びENISAは、両者の協力の調整及び特に本覚書の条件に関する定期的な協議を担当する単一のコンタクトポイントを任命することに合意する。
11. EDPS and ENISA agree to exchange the contact details of the contact points and to inform each other without undue delay in writing of any change concerning the contact points. 11. EDPS及びENISAは、コンタクトポイントの連絡先を交換し、コンタクトポイントに関する変更 があった場合には、不当な遅延なく書面により相互に通知することに合意する。
IV. On current specific areas of cooperation IV. 現在の具体的な協力分野について
12. ENISA will in particular continue its involvement in the EDPS activities relating to supporting privacy and data protection engineering and privacy enhancing technologies such as the EDPS IPEN network, supporting the organisation of the IPEN workshops back-to-back to ENISA’s Annual Privacy Form (APF) and providing relevant contributions where appropriate. EDPS will in particular continue to support the ENISA’s APF at an appropriate level of participation and throughout a consolidated partnership for the organisation of the IPEN workshops back-to-back to ENISA’s APF. 12. ENISAは、特にEDPS IPENネットワーク等のプライバシー及びデータ保護工学及びプライバシー強化技術の支援に関連するEDPS活動への関与を継続し、ENISAの年次プライバシーフォーム(APF)に連動したIPENワークショップの開催を支援し、適切な場合には関連貢献を提供する。特にEDPSは、ENISAのAPFに適切なレベルで参加し、ENISAのAPFと連動したIPENワークショップの開催に向けた統合的なパートナーシップを通じて、ENISAのAPFを引き続き支援する。
13. EDPS and ENISA agree to inform and to exchange views with each other while preparing strategic documents such as work programmes and action plans insofar as they are relevant to the areas of cooperation identified in this Memorandum of Understanding.  13. EDPS と ENISA は、本覚書で特定された協力分野に関連する限り、作業計画や行動計画のような戦略的 文書を作成する際に、相互に情報を提供し意見交換を行うことに合意する。
14. EDPS and ENISA agree to exchange information on upcoming activities on emerging technologies of mutual concern and exchange views on forthcoming opinions and guidance of common strategic interest, as deemed relevant by the parties.  14. EDPS 及び ENISA は、両当事者が関連すると考える限り、相互に関心のある新技術に関する今後の活動に関する情報を交換し、共通の戦略的関心を有する今後の意見及び指針について意 見交換を行うことに合意する。
15. EDPS and ENISA agree to invite each other to relevant expert meetings and where appropriate collaborate in research activities.  15. EDPS 及び ENISA は、相互に関連する専門家会合に招待し、また、適切な場合には研究活動において協力することに合意する。
V. Expenses V. 費用負担
16. 16. EDPS and ENISA each bear any of their own expenses that may arise in the course of implementing this Memorandum of Understanding, unless agreed otherwise on a case-by-case basis.  16. EDPS及びENISAは、本基本合意書の実施過程で発生し得るあらゆる経費を、個別に合意された場合を除き、それぞれ負担するものとする。
VI. Confidentiality VI. 秘密保持
17. EDPS and ENISA each undertake to keep any information, document or other material communicated to them as confidential, and not to disclose such confidential material to third parties without the prior written consent of the originating Party. This is without prejudice to the obligations of ENISA and EDPS to comply with Regulation (EC) No 1049/2001 of the European Parliament and of the Council of 30 May 2001 regarding public access to European Parliament, Council and Commission documents.  17. EDPS及びENISAは、それぞれ、伝達された情報、文書その他の資料を機密として保持し、発信者 の書面による事前の同意なくして第三者に当該機密資料を開示しないことを約束する。これは、ENISA及びEDPSが、欧州議会、理事会及び委員会文書の一般公開に関する2001年5月30日の欧州議会及び理事会規則(EC)第1049/2001号を遵守する義務を害するもので はない。
18. EDPS and ENISA agree to respect all security measures related to the protection of EU classified information.  18. EDPS及びENISAは、EUの機密情報の保護に関する全てのセキュリティ対策を尊重することに合意する。
VII. Entry into force, duration and revision VII. 発効、継続及び改訂
19. This Memorandum of Understanding shall enter into force on the day following its signature by EDPS and ENISA.  19. 本覚書は、EDPS及びENISAによる署名の翌日に発効するものとする。
20. This Memorandum of Understanding is signed for an initial period of [five] years and may be renewed by mutual agreement between EDPS and ENISA. 20. 本覚書は、当初[5年間]締結され、EDPSとENISAの相互の合意により更新されることができる。
EDPS and ENISA may by mutual agreement at any time amend or supplement this Memorandum of Understanding. Any such amendments or supplements or terminations will be in writing.  EDPS及びENISAは、相互の合意により、いつでも本基本合意書を修正し、又は補足することができる。そのような修正若しくは補足又は終了は、書面により行われる。
 Done in Brussels on 30 November 2022  2022 年 11 月 30 日にブリュッセルで締結された。
 (signed)  (signed)  (署名) (署名)
 For ENISA   For EDPS   ENISA  EDPS 
 The Executive Director  The European Data Protection Supervisor  事務局長 The European Data Protection Supervisor
ANNEX A – Establishing the strategic plan ANNEX A - 戦略計画の策定
A.1. The strategic plan provided for in Article 7 of this MoU will aim to set and prescribe the objectives to be achieved by joint activities and synergies for the next three years in areas of common interest.  A.1. 本 MoU の第 7 条に規定される戦略的計画は、共通の関心分野における今後 3 年間の共同活動とシナ ジーによって達成されるべき目標を設定し規定することを目的とするものである。
A.2. EDPS and ENISA will meet on an annual basis in order to identify and agree on the specific activities and synergies to be undertaken. Each Party may propose a number of activities and also indicate the scope, objectives, timeframe of implementation as well as the anticipated resources that may be required by each Party for delivery of each activity.  A.2. EDPS 及び ENISA は、実施すべき具体的な活動及びシナジーを特定し合意するために、年 1 回の会合を行う。各当事者は、いくつかの活動を提案することができ、また、範囲、目的、実施時期、及び各活 動の実施のために各当事者が必要とし得る予想される資源を示すことができる。
A.3. The final activities and synergies will be agreed in writing and both Parties will mutually agree on the scope, objectives, timeframe and resources required.  A.3. 最終的な活動及びシナジーは文書で合意され,両当事者はその範囲,目的,時間枠及び必要な資源について相互に合意する。
A.4. During the planning and the execution of each activity, regular meetings may be set up in order to monitor the progress, identify risks and relevant mitigation measures.  A.4. 各活動の計画及び実行の間、進捗状況を監視し、リスク及び関連する緩和策を特定するために、定期的な会議を設定することができる。

 

 

| | Comments (0)

欧州理事会ミシェル議長と習近平国家主席の会談

こんにちは、丸山満彦です。

欧州理事会 (European Council) [wikipedia] のミシェル議長が中国を訪問し、習近平国家主席と会談をしたようですね。。。

ロシアによるウクライナ侵攻についても話をしたようですね。。。

 

Euchina

欧州は、準備をした発言通りの原稿で、中国は準備した原稿ですね。。。

 

European Council

・2022.12.01 Remarks by President Charles Michel following the meeting with Chinese President Xi Jinping

Remarks by President Charles Michel following the meeting with Chinese President Xi Jinping 習近平国家主席との会談を受けたシャルル・ミシェル議長のコメント
Good afternoon, こんにちは。
First of all I would like to thank President Xi for hosting us in China today. And I would like to  present to the people of China my sincere condolences for the death of your former President Jiang Zemin. まず、今日、私たちを中国に迎えてくださった習近平国家主席に感謝いたします。そして、中国国民の皆さまに、江沢民元国家主席の死去に対する心からの哀悼の意を表したい。
The EU promotes its interests and its values in the world. I have come to Beijing to engage in a candid, in-depth, and face-to-face dialogue with China’s leadership. Today’s meeting with President Xi Jinping took some three hours. I also met with Prime minister Li Keqiang and the chairman of the National People’s Congress, Li Zhanshu. It’s our first in-person meeting since I took office, due to COVID. My last visit to China was as Belgian Prime Minister in November 2016. EUは、世界において自国の利益と価値を促進しています。私は、中国の指導者と率直で綿密な、そして直接の対話を行うために北京に来ました。本日の習近平国家主席との会談は、3時間ほどで終了しました。また、李克強首相、李湛書全国人民代表大会主席とも会談した。COVIDの関係で、私が就任してから初めての直接の会談です。私が最後に中国を訪れたのは、2016年11月にベルギー首相としてでした。
A few weeks ago, I put a discussion on the EU-China relationship on the agenda of the European Council. The 27 leaders agreed on the critical importance of the EU-China relationship. We discussed how to best manage it in Europe’s interest but also in the global interest. 数週間前、私は欧州理事会でEUと中国の関係についての議論を議題にしました。27人の首脳は、EUと中国の関係が極めて重要であることに同意しました。我々は、欧州の利益のためだけでなく、世界の利益のために、それをどのようにうまく管理するかについて議論しました。
Today, we know that the world faces multiple crises. The war in Ukraine, the energy and food crises, and the slow-down of the global economy. On top of climate change and global health. These global issues require dialogue and action. We need to discuss where we can work better together, but also to discuss and manage our differences. I believe in the power of dialogue. 今日、我々は、世界が複数の危機に直面していますことを承知しています。ウクライナ戦争、エネルギー危機と食糧危機、世界経済の減速。その上、気候変動やグローバルヘルス。これらのグローバルな問題には、対話と行動が必要です。私たちは、よりよく協力できるところを話し合うだけでなく、お互いの違いを議論し、管理する必要があります。私は、対話の力を信じています。
Both the EU and China have an interest in a rules-based world with the UN Charter at its core. EUも中国も、国連憲章を中核とするルールベースの世界に関心を持っています。
We had the occasion to discuss Russia’s war against Ukraine. China is a global player and a Permanent Member of the UN Security Council. We all share the responsibility to work for peace and for the respect of the fundamental principles of the United Nations Charter. I urged President Xi — as we did at our EU-China Summit in April — to use his influence on Russia to respect the UN charter. 我々は、ロシアのウクライナに対する戦争について議論する機会がありました。中国はグローバルプレイヤーであり、国連安全保障理事会の常任理事国です。私たちは皆、平和のために、そして国連憲章の基本原則の尊重のために努力する責任を共有しています。私は習主席に-4月のEU・中国首脳会議で行ったように-、ロシアに対して国連憲章を尊重するよう影響力を行使するよう促しました。
The Kremlin’s attack on a sovereign nation blatantly violates international law. President Xi and I agreed that nuclear threats are not acceptable and highly dangerous, and endanger the international community. クレムリンによる主権国家への攻撃は、国際法にあからさまに違反しています。習主席と私は、核による威嚇は容認できるものではなく、非常に危険であり、国際社会を危うくするものであるとの認識で一致しました。
I also raised the issue of human rights, fundamental freedoms and the rights of minorities. 私はまた、人権、基本的自由、少数民族の権利の問題を提起しました。
Human rights are universal. I welcome the readiness to resume the EU-China Human Rights Dialogue. We will follow up on this commitment. This format has not convened for more than three years.  So, this is an important signal. The Dialogue will allow us to focus on wider human rights policy issues and on individual cases. The right of peaceful assembly is a fundamental right enshrined both in the Universal Declaration of Human Rights and in national constitutions. 人権は普遍的なものです。私は、EU・中国人権対話を再開する用意があることを歓迎します。我々は、このコミットメントをフォローしていきます。この形式は3年以上開催されていません。  従って、これは重要な信号です。この対話により、我々はより広範な人権政策上の問題や個別の事例に焦点を当てることができるようになります。平和的な集会の権利は、世界人権宣言にも各国の憲法にも明記されている基本的な権利です。
I also raised the situation of minorities. We discussed for instance at length the situation in Xinjiang. This is not about interfering with internal affairs. It’s about upholding the principles agreed by the UN for decades and this also applies to Hong Kong. It’s essential that we continue to talk. 私はまた、少数派の状況についても提起しました。例えば、新疆ウイグル自治区の状況についてじっくりと話し合いました。これは内政干渉の問題ではありません。国連が何十年にもわたって合意してきた原則を守ることであり、これは香港にも適用されます。私たちが話し合いを続けることは不可欠です。
We also discussed issues related to the wider Asian region. The EU will have a summit with the ASEAN countries in two weeks. We are deeply connected with our ASEAN partners. We are committed to a peaceful Indo-Pacific and Southeast China Sea. We recall the importance of de-escalating tensions in the region. We need to maintain freedom of navigation and overflight in the region and beyond. また、より広いアジア地域に関連する問題についても議論しました。EUは2週間後にASEAN諸国との首脳会議を開催する予定です。私たちはASEANのパートナーたちと深く結びついています。我々は、平和的なインド太平洋および東南アジアの中国海に対してコミットしています。我々は、この地域の緊張を緩和することの重要性を想起します。我々は、この地域とそれ以外の地域における航行と上空飛行の自由を維持する必要があります。
We also discussed Taiwan. The EU is committed to and maintains its One China Policy. I repeated the longstanding position of the EU on Taiwan and the Taiwan strait. 我々は、また、台湾について議論しました。EUは、「一つの中国」政策にコミットし、これを維持しています。私は、台湾と台湾海峡に関するEUの長年の立場を繰り返しました。
The EU has a strong interest in peace and stability across the Taiwan Strait: 40% of our trade passes through it. It is important to promote stability and prosperity in East Asia. We also discussed the situation in the DPRK and Myanmar. EUは、台湾海峡の平和と安定に強い関心を持っており、我々の貿易の40%は台湾海峡を通過しています。東アジアの安定と繁栄を促進することは重要です。我々はまた、北朝鮮とミャンマーにおける状況についても議論しました。
We also had the occasion to address both bilateral and global economic issues, a key topic of my visit here today in China. European leaders insisted on this point. また、今日、私がこの中国を訪問した際の重要なテーマである、二国間および世界経済の問題にも言及する機会を得ました。欧州の指導者たちは、この点を強く主張しました。
China is our top trading partner in goods amounting to almost EUR 2 billion every day and China accounts for over 22% of European imports. China’s growth in recent decades has benefited both China and the EU and has contributed substantially to China’s dramatic economic transformation. 中国は、毎日ほぼ20億ユーロにのぼる商品で我々の最大の貿易相手国であり、欧州の輸入の22%以上を中国が占めています。ここ数十年の中国の成長は、中国とEUの双方に恩恵をもたらし、中国の劇的な経済変革に大きく寄与してきました。
But I also set out the difficulties faced by EU companies and investors. On the European side, market access remains very open, while in China several sectors remain much more closed. We need greater reciprocity, we need a more balanced relationship with no overdependencies, a real level-playing field for our companies. We need to strike the right balance. A shift into ‘self-reliance’ carries dangers not only for China and the EU but also for the world. しかし、EUの企業や投資家が直面しています困難も指摘した。欧州側では、市場アクセスは依然として非常に開放的であるが、中国ではいくつかの分野がより閉鎖的です。我々はより大きな互恵関係を必要とし、過度な依存関係のない、よりバランスのとれた関係を必要とし、我々の企業にとって本当に公平な競争の場が必要です。私たちは適切なバランスをとる必要があるのです。自立」への移行は、中国とEUだけでなく、世界にとっても危険です。
We believe in free trade, in cooperation; but we need balance and fairness. So, we need to work more on the issues hampering our broad trade relationship and there are channels for that. We believe that trade and investment must be governed by rules, by a reformed World Trade Organization. 私たちは自由貿易や協力を信じていますが、バランスと公平性が必要です。ですから、我々の広範な貿易関係を妨げている問題にもっと取り組む必要がありますし、そのためのチャンネルもあります。我々は、貿易と投資は、改革された世界貿易機関(WTO)によって、ルールによって管理されなければならないと考えています。
We also discussed global issues — such as climate change, health, and the Sustainable Development Goals. We can only meet the challenges of climate change globally and this cannot be done without China.  我々はまた、気候変動、健康、持続可能な開発目標などのグローバルな問題についても議論しました。私たちは、気候変動という課題にグローバルに対応することができ、これは中国抜きではできません。 
On health, we are cooperating on the initiative for a Pandemic Treaty. This is a concrete example of international cooperation. 健康問題では、私たちはパンデミック条約に向けたイニシアティブで協力しています。これは国際協力の具体例です。
Finally, China has a key role to play in issues of common interest, especially for developing countries. For example, on debt reduction, food, and energy issues. 最後に、中国は、特に途上国にとって共通の利益となる問題において重要な役割を担っています。例えば、債務削減、食糧問題、エネルギー問題などです。
We also exchanged views about the COVID situation. The recovery from the COVID pandemic remains a shared priority. I stressed that, in Europe, vaccines have proved especially effective in reducing the number of severe COVID cases and fatalities. また、COVIDの状況について意見交換を行いました。COVIDのパンデミックからの復興は、依然として共通の優先事項です。私は、欧州において、ワクチンがCOVIDの重症患者数および死亡者数の減少に特に有効であることが証明されたことを強調しました。
Today I conveyed key messages on geopolitical, economic, and global issues. We need to make sure that communication channels remain open and that they are used effectively. 本日、私は地政学的、経済的、そしてグローバルな問題についての重要なメッセージをお伝えしました。私たちは、コミュニケーション・チャンネルを常にオープンにし、それを効果的に活用する必要があります。
With China, engaging openly on all aspects of our relationship is the only way forward. We agreed to continue our exchanges in light of the next EU-China Summit in 2023. Thank you. 中国とは、我々の関係のあらゆる側面についてオープンに関与することが、前進する唯一の道です。我々は、2023年の次回のEU・中国首脳会議に向け、我々の交流を継続することに合意した。ありがとうございました。

 

 

中国政府

・2022.12.01 习近平同欧洲理事会主席米歇尔举行会谈

习近平同欧洲理事会主席米歇尔举行会谈 習近平、ミシェル欧州理事会議長と会談
新华社北京12月1日电 12月1日上午,国家主席习近平在人民大会堂同欧洲理事会主席米歇尔举行会谈。 北京12月1日:習近平国家主席は1日午前、人民大会堂でミシェル欧州理事会議長と会談しました。
习近平指出,米歇尔主席代表欧盟全体成员国在中共二十大结束后不久访华,体现了欧盟发展对华关系的良好意愿。中欧是维护世界和平的两大力量、促进共同发展的两大市场、推动人类进步的两大文明。中欧关系保持向前向上势头,坚持互利共赢,符合中欧和国际社会的共同利益。国际形势越动荡,全球挑战越突出,中欧关系的世界意义就越凸显。 習近平は、ミシェル議長が全EU加盟国を代表して中国共産党第20回全国代表大会直後に中国を訪問したことは、中国との関係発展に対するEUの善意を反映したものであると指摘しました。 中国とヨーロッパは、世界平和を維持するための2大勢力であり、共同発展を促進するための2大市場であり、人類の進歩を促進するための2大文明です。 中欧関係の上昇気流を維持し、互恵とウィンウィンを主張することは、中国、欧州、国際社会の共通の利益です。 国際情勢が激動し、世界的な課題が顕著になればなるほど、中欧関係の世界的な意義が浮き彫りになります。
习近平说,江泽民同志昨天因病抢救无效在上海逝世。江泽民同志担任中国国家领导人期间,高度重视和关心中欧关系发展,曾多次访问欧洲国家,同欧盟和欧洲国家领导人保持密切交往,推动建立了中国-欧盟领导人会晤机制,促进了双方各领域对话合作。我们将继承他的遗志,继续巩固发展好中欧关系。中方将继续从战略高度和长远角度看待和发展中欧关系,愿同欧方加强战略沟通协调,推动中欧全面战略伙伴关系行稳致远。 習近平は、江沢民同志が昨日、病気のため上海で死去したと発表しました。 江沢民同志は、中国の指導者としての在任中、中国-EU関係の発展を非常に重視し、関心を寄せており、何度も欧州諸国を訪問し、EUおよび欧州の指導者と緊密に連絡を取り、中国-EU首脳会議メカニズムの構築を推進し、両者の各分野における対話と協力を育んできました。 私たちは彼の遺志を受け継ぎ、中国とEUの関係を強固なものにし、発展させていきたいと思います。 中国は引き続き、中国・EU関係を戦略的かつ長期的な観点から捉え、発展させていきます。また、中国・欧州間の安定的かつ遠大な包括的戦略パートナーシップを促進するため、欧州側との戦略的コミュニケーションと協調を強化する用意がある、と述べました。
习近平介绍了中共二十大重要成果和中国式现代化的5个特征。习近平强调,当前,世界之变、时代之变、历史之变加速演进,各国都在思考未来之路,中共二十大给出了中国答案,那就是:对内坚持中国特色社会主义道路,坚持以人民为中心的发展思想,坚持深化改革开放;对外坚定奉行独立自主的和平外交政策,坚持维护世界和平、促进共同发展的外交宗旨,致力于推动构建人类命运共同体。中国的发展是世界和平力量的增长,中国永远不称霸、永远不搞扩张。这是中国共产党的庄严政治承诺,反映了14亿多中国人民的意志。我们有信心有能力以自身制度的稳定、治理的稳定、政策的稳定、发展的稳定,不断为国际社会注入宝贵的确定性稳定性。中国式现代化和欧洲一体化是中欧各自着眼未来做出的选择。双方应该相互理解、相互支持。中方期待欧盟成为中国走中国式现代化道路的重要伙伴,共享中国超大市场机遇、制度型开放机遇、深化国际合作机遇。 習近平は、第20回中国共産党全国代表大会の重要な成果と中国式近代化の5つの特色を発表しました。 習近平氏は、現在、世界、時代、歴史の変化が加速し、各国が進むべき道を考えており、第20回中国共産党全国代表大会は、中国の特色ある社会主義の道を堅持し、人民を中心とする発展思想を貫き、改革開放を深化させ、平和の自主外交政策をしっかりと追求し、世界平和を守り共同発展を促す外交政策を堅持し、人類の運命の構築に尽力するという中国の答えを出したと強調しました。 人間の運命共同体の構築を推進することを目的としています。 中国の発展は、世界の平和のための力の増大であり、中国は決して覇権を主張したり、拡張に関与することはありません。 これは中国共産党の厳粛な政治的コミットメントであり、14億人を超える中国国民の意思を反映したものです。 私たちは、自らのシステム、ガバナンス、政策、発展の安定性をもって、国際社会に価値ある確実性と安定性を継続的に注入する自信と能力をもっています。 中国式近代化と欧州統合は、中国と欧州がそれぞれ将来を見据えて選択したものです。 双方がお互いを理解し、サポートすることが大切です。 中国は、EUが中国式の近代化の道を歩む中国の重要なパートナーとなり、中国の巨大市場、制度的開放性、国際協力の深化の機会を共有することを期待しています。
习近平就中欧关系发展提出四点看法: 習近平は、中国-EU関係の発展について、4つのポイントを提示しました。
一是要秉持正确认知。中欧之间没有根本战略分歧和冲突。中方不想称王称霸,从不搞、今后也不会搞制度输出。中方支持欧盟战略自主,支持欧洲团结繁荣。希望欧盟机构和成员国建立客观正确的对华认知,对华政策坚守和平共处,坚持互利共赢,超越冷战思维和意识形态对立,超越制度对抗,反对各种形式的“新冷战”。 まず、正しい認識を持つことです。 中国と欧州の間には、根本的な戦略的相違や対立はありません。 中国は覇権を主張したいわけではなく、これまでにも、そしてこれからも体制輸出を行うことはないでしょう。 中国は、EUの戦略的自立と欧州の統一と繁栄を支持します。 EUの機関および加盟国が、中国に対する客観的で正しい認識を確立し、対中政策において平和共存と互恵を堅持し、冷戦思考やイデオロギー的対立を超え、制度的対立を超え、あらゆる形態の「新冷戦」に反対することを希望します。
二是要妥善管控分歧。中欧历史文化、发展水平、意识形态存在差异,双方在一些问题上看法不同很正常,应该以建设性态度保持沟通协商,关键是尊重彼此重大关切和核心利益,特别是尊重主权、独立、领土完整,不干涉对方内政,共同维护中欧关系的政治基础。中方愿在平等和相互尊重基础上举行中欧人权对话。 第二に、違いを適切に管理することです。 重要なのは、互いの主要な関心事と核心的利益、特に主権、独立、領土保全を尊重し、互いの内政に干渉せず、中国-ヨーロッパ関係の政治的基礎を共同で維持することです。 中国は、平等と相互尊重を基本として、中国-EU人権対話を開催することを望んでいます。
三是要开展更高水平合作。欧洲是中国快速发展的重要伙伴,也是受益者。中国将实行高水平对外开放,加快构建新发展格局,欢迎欧方继续参与、继续共赢。双方要加强宏观经济政策协调,加强市场、资本、技术优势互补,共同打造数字经济、绿色环保、新能源、人工智能等新增长引擎,共同确保产业链供应链安全稳定可靠,共同反对搞“脱钩断链”、保护主义,共同反对把经贸科技交流政治化武器化。中方将向欧洲企业保持开放,希望欧盟排除干扰,为中国企业提供公平、透明的营商环境。 第三に、より高いレベルの協力が必要です。 欧州は中国の急速な発展にとって重要なパートナーであり、受益者でもあります。 中国は高水準の対外開放を実施し、新たな発展パターンの構築を加速させるとともに、欧州側が引き続き参加し、共に勝利を収めることを歓迎します。 双方はマクロ経済政策の協調を強化し、市場・資本・技術の優位性の補完性を高め、デジタル経済・グリーン環境保護・新エネルギー・人工知能などの新成長エンジンを共同で構築し、産業チェーンのサプライチェーンの安全性と安定性を共同で確保し、「デカップリングと連鎖破壊」と保護主義に共同で反対し、経済・貿易・技術交流の政治化には共同で反対する必要があります。中国は欧州企業に対して引き続き開放的であり、EUが干渉を排除し、中国企業に公正で透明なビジネス環境を提供することを希望しています。
四是要加强国际协调合作。中欧都主张维护以联合国为核心的国际体系,可以共同践行真正的多边主义,合力应对挑战,共同维护世界和平与发展。双方要引领全球应对气候变化和生物多样性保护、能源安全和粮食安全、公共卫生等努力,加强各自优质公共产品和合作平台的对接协作。欢迎欧方参与共建“一带一路”、全球发展倡议,同欧盟“全球门户”战略有机对接,通过现有各种机制,推动各领域对话合作取得更多成果。 第四に、国際的な協調・協力を強化することです。 中国と欧州はともに、国連を中核とする国際システムの維持を提唱しており、真の多国間主義を実践し、課題に取り組む努力を共にし、世界の平和と発展を守るために協力し合うことができます。 双方は、気候変動と生物多様性保全、エネルギー安全保障と食糧安全保障、公衆衛生へのグローバルな取り組みを主導し、それぞれの高品質な公共財と協力プラットフォームのドッキングと連携を強化すべきです。 我々は、欧州側が「一帯一路」やグローバルな開発イニシアティブに参加し、EUの「グローバル・ゲートウェイ」戦略と連携することを歓迎し、既存の様々なメカニズムを通じて様々な分野での対話と協力を推進し、より多くの成果を挙げていきます。
米歇尔祝贺习近平再次连任中共中央总书记,代表欧盟对江泽民同志因病逝世表示沉痛哀悼。他表示,当前国际形势和地缘政治正在经历深刻复杂变化,国际社会面临诸多挑战和危机。中国不搞扩张,是维护联合国宪章宗旨和支持多边主义的重要伙伴。欧方珍惜在中共二十大后不久即同中方进行最高层次面对面会晤的机会,愿本着相互尊重和坦诚的精神,同中方就欧中关系各方面重要问题进行深入讨论,增进相互了解,促进对话合作,妥善处理分歧。欧盟坚持战略自主,致力于加强自身能力建设,推进欧洲一体化。欧盟坚持一个中国政策,尊重中国的主权和领土完整,不会干涉中国内政。欧盟愿做中方可靠、可预期的合作伙伴。欧方愿意同中方办好下阶段高层交往,通过加强直接对话合作,减少误解误判,加强沟通协作,更好共同应对能源危机、气候变化、公共卫生等全球性挑战。欧方愿同中方继续推进欧中投资协定的进程,增强供应链稳定互信,深化欧中各领域互利合作。 ミシェル氏は、習近平氏が中国共産党中央委員会総書記に再選されたことに祝意を表し、欧州連合を代表して、同志江沢民が長い闘病生活の末に亡くなったことへの深い悲しみを表明しました。 現在の国際情勢や地政学は深遠かつ複雑な変化を遂げており、国際社会は多くの課題や危機に直面している、と述べました。 中国は膨張に関与せず、国連憲章の目的を守り、多国間主義を支持する重要なパートナーです。 欧州連合は、中国共産党第20回全国代表大会の直後に中国と最高レベルで直接会う機会を大切にし、相互尊重と率直さの精神の下、欧州と中国の関係のあらゆる側面における重要問題について中国と深く話し合い、相互理解を深め、対話と協力を促進し、相違点を適切に管理する用意があります。 EUは戦略的自治を堅持し、自らの能力開発を強化し、欧州統合を推進することを約束します。 EUは一帯一路の方針を堅持し、中国の主権と領土の一体性を尊重し、中国の内政に干渉することはありません。 EUは中国にとって信頼できる予測可能なパートナーになることを望んでいます。 欧州側は、中国とのハイレベル接触の次の段階を組織し、強化された直接対話と協力を通じて誤解や判断を減らし、コミュニケーションと協力を強化し、エネルギー危機、気候変動、公衆衛生などの地球規模の課題に共によりよく取り組むことに意欲を示しています。 欧州側は、EU・中国投資協定のプロセスを促進し、サプライチェーンの安定性において相互信頼を高め、様々な分野で欧州と中国の互恵的な協力を深めるために、引き続き中国と協力していくことを望んでいます。
双方就乌克兰危机交换意见。习近平阐述了中方的原则立场,指出,中国有句古话,“城门失火,殃及池鱼”。通过政治方式解决乌克兰危机,最符合欧洲利益,最符合亚欧大陆各国共同利益。当前形势下,要避免危机升级扩大,坚持劝和促谈,管控危机外溢影响,警惕阵营对抗风险。中方支持欧盟加大斡旋调解,引领构建均衡、有效、可持续的欧洲安全架构。中方始终站在和平一边,将继续以自己的方式发挥建设性作用。 ウクライナ危機について意見交換を行いました。 習近平は、中国の原則的な立場を詳しく説明し、「城門の火は池の魚に影響する」という中国の古いことわざがあることを指摘しました。 ウクライナの危機を政治的手段で解決することは、欧州の最善の利益であり、アジアと欧州のすべての国の共通の利益です。 現在の状況下では、危機のエスカレーションと拡大を避け、説得と和平交渉の推進を主張し、危機の波及効果を管理し、陣営間の対立のリスクに対して警戒する必要があります。 中国は、欧州連合が調停努力を強化し、バランスのとれた、効果的で持続可能な欧州の安全保障アーキテクチャの構築を主導していますことを支持します。 中国は常に平和の側に立っており、今後も独自の方法で建設的な役割を担っていくでしょう。
王毅、何立峰等参加上述活动。 上記の活動には、Wang YiとHe Lifengが参加しました。

 

 

なお、江沢民元国家主席がなくなったということで、中国政府関係のウェブのトップページは白黒になっていますね。。。

20221201-235251

 

| | Comments (0)

2022.12.01

欧州議会 一般製品安全規則 (GPSR) 案が合意に達したようですね。。。

こんにちは、丸山満彦です。

2021.06.30に欧州委員会から公表された一般製品安全規則 (General Product Safety Regulation: GPSR) 案が政治的合意に達したと、欧州議会が発表していますね。。。2023年3月の欧州議会と欧州委員会の決議で決定という感じですかね。。。

現在は2002年に施行された一般製品安全指令 (General Product Safety Directive: GPSD) が適用されていますね。。。GPSDは、製造事業者などに安全な製品のみを市場に供給する義務を課す消費者保護規制ですね。。。別に規制されている食品や医療機器以外のすべての消費者が利用しうる製品が対象となるので、製造事業者にとってその影響は大きいでしょうね。。。

この改正の背景は、COVID-19の影響もおそらくあるのでしょうね。。。サイバーセキュリティーなどのリスクやオンライン販売などにも対応し、統合的な規制となっているようです。。。

 

欧州議会の発表

European Parliament

・2022.11.30 Deal on EU rules to better protect online shoppers and vulnerable consumers

Deal on EU rules to better protect online shoppers and vulnerable consumers オンラインショッピングの利用者と弱い立場の消費者をより良く保護するためのEU規則に関する合意
・More effective procedures for product recalls and removal of dangerous goods online ・製品リコールや危険物品の撤去のための、より効果的なオンライン手続き
・Risks for the most vulnerable consumers, like children, to be taken into account ・子供のような最も弱い立場にある消費者のリスクも考慮される。
・Costs of preventable accidents from unsafe products estimated at 11.5 billion euro per year ・安全でない製品による事故を防ぐためのコストは、年間115億ユーロと推定される。
The agreed rules aim to ensure that all kinds of products in the EU, whether sold online or in traditional shops, comply with the highest safety requirements. 合意された規則は、EU域内のあらゆる種類の製品が、オンライン販売であれ、従来の店舗での販売であれ、最高の安全要件に適合することを目指すものである。
On Monday night, negotiators from Parliament and Council reached a provisional political agreement to update the EU’s rules on product safety of non-food consumer products. The new regulation on General Product Safety (GPSR) aims to address product safety challenges in online shopping (in 2021, 73% consumers bought products online). 月曜日の夜、欧州議会と理事会の交渉担当者は、非食品消費財の製品安全に関するEUの規則を更新するための暫定的な政治合意に達した。一般製品安全(GPSR)に関する新規則は、オンラインショッピングにおける製品安全の課題に対処することを目的としている(2021年、73%の消費者がオンラインで製品を購入した)。
Obligations of economic operators and safety assessment 経済事業者の義務および安全性評価
Under the agreed rules, a product can be sold only if there is an economic operator (such as the manufacturer, importer, distributоr) established in the EU, who is responsible for its safety. When assessing product safety, Parliament included measures to guarantee that risks to the most vulnerable consumers (e.g. children), gender aspects and cybersecurity risks are taken into account. 合意された規則では、EU域内に設立された経済事業者(製造者、輸入者、流通業者など)がその安全性に責任を持つ場合にのみ、製品を販売することができる。製品の安全性を評価する際、議会は、最も脆弱な消費者(子供など)に対するリスク、ジェンダーの側面、サイバーセキュリティーのリスクなどが考慮されることを保証する措置を盛り込んだ
Removal of dangerous goods online オンラインでの危険物品の撤去
The GPSR introduces obligations for online marketplaces, as those under the Digital Services Act, including designating a single point of contact for national surveillance authorities and consumers. National surveillance authorities will be able to order online marketplaces to remove or disable access to offers of dangerous products without undue delay and in any event within two working days. Providers of online marketplaces will have to make reasonable efforts to check randomly for dangerous products. GPSRは、デジタルサービス法に基づく義務と同様に、オンラインマーケットプレイスに対しても、各国の監視当局と消費者のための単一の連絡窓口を指定するなどの義務を導入している。各国の監視当局は、オンラインマーケットプレイスに対し、不当な遅延なく、いかなる場合でも2営業日以内に危険物の提供の削除またはアクセス不能にするよう命令することができるようになる。オンラインマーケットプレイスのプロバイダーは、危険な製品を無作為にチェックするための合理的な努力をしなければならない。
Recall, replacement and refunds リコール、交換、払い戻し
The agreed legislation improves the products recall procedure, as return rates remain low, with an estimated third of EU consumers continuing to use recalled products. EUの消費者の3分の1はリコールされた製品を使い続けていると推定され、返品率が低いことから、合意された法律では製品のリコール手続きが改善される。
In case of a safety recall or warning, economic operators and online marketplaces will now be required to inform all affected consumers they can identify and widely disseminate the information. Recall notices should avoid expressions that can decrease consumers’ perception of risk (e.g. “voluntary”, “precautionary”, “in rare/specific situations”). 安全性に関するリコールや警告があった場合、経済事業者やオンラインマーケットプレイスは、特定できる影響を受けるすべての消費者に通知し、その情報を広く普及させることが義務付けられるようになった。リコール通知は、消費者のリスク認識を低下させるような表現(例:「自主的」、「予防的」、「稀な/特殊な状況において」)を避けるべきである。
Consumers will be clearly informed of their right to repair, a replacement or an adequate refund (at least equal to the initial price). They will also have a right to file complaints or launch collective actions. The rapid alert system for dangerous products (“Safety Gate” portal) will be modernised to allow unsafe products to be detected more effectively and will be more accessible for persons with disabilities. 消費者は、修理、交換、適切な返金(少なくとも初期価格と同額)を受ける権利について明確に知らされる。また、苦情や集団訴訟を提起する権利も与えられる。危険な製品の迅速な警告システム(「セーフティゲート」ポータル)は、安全でない製品をより効果的に検出できるよう近代化され、障害者がより利用しやすくなる。
Quote 引用
The rapporteur Dita Charanzová (Renew, CZ) said: “Today's agreement is a big victory for European consumers - it gives them a reason to feel safe buying any product within the EU. Products will be safer in general, but more importantly dangerous products will be removed more quickly, including from online marketplaces. And you will no longer learn about recalls by chance, but instead you will be informed directly whenever possible and given options to repair, replace, or get your money back. These are practical benefits for our citizens”. 報告者のDita Charanzová (Renew, CZ)は次のように述べた。「本日の合意は、欧州の消費者にとって大きな勝利であり、EU域内のあらゆる製品を安心して購入できる根拠となる。一般的に製品はより安全になるが、より重要なのは、危険な製品がオンライン市場を含め、より迅速に撤去されることである。また、リコールについては偶然知るのではなく、可能な限り直接知らされ、修理、交換、返金などのオプションが与えられるようになる。これらは、国民にとって現実的なメリットである」。
Next steps 次のステップ
Parliament (in March 2023) and Council need to endorse the agreement, before its publication in the EU Official Journal and entry into force. The GPSR would apply 18 months after its entry into force. EU官報に掲載され、発効する前に、議会(2023年3月)および理事会がこの協定を承認する必要がある。GPSRは発効から18ヶ月後に適用される。
Background 背景
In June 2021, the Commission presented its proposal to update the 2001 General Product Safety Directive to address challenges linked to new technologies and online sales. 2021年6月、欧州委員会は、新技術やオンライン販売に関連した課題に対処するため、2001年の一般製品安全指令の更新案を提示した。
The new rules are projected to save EU consumers around 1 billion euro in the first year and approximately 5.5 billion over the next decade. By reducing the number of unsafe products on the market, the new measures should reduce the harm caused to EU consumers due to preventable, product-related accidents (estimated today at 11.5 billion euro per year) and cost of healthcare (estimated at 6.7 billion euro per year). この新しい規則により、EUの消費者は初年度に約10億ユーロ、今後10年間で約55億ユーロを節約できると予測されている。市場に出回る安全でない製品の数を減らすことにより、新しい措置は、予防可能な製品関連事故(現在の推定年間115億ユーロ)および医療費(推定年間67億ユーロ)によるEU消費者の損害を減らすはずである。

 

GDPR案...

European Commission(欧州委員会

・2021.06.30 [PDF] COM(2021) 346 final 2021/0170 (COD) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on general product safety, amending Regulation (EU) No 1025/2012 of the European Parliament and of the Council, and repealing Council Directive 87/357/EEC and Directive 2001/95/EC of the European Parliament and of the Council

20221201-61000

 

HTML、DOCでも見れます...

EUR-LEX

Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on general product safety, amending Regulation (EU) No 1025/2012 of the European Parliament and of the Council, and repealing Council Directive 87/357/EEC and Directive 2001/95/EC of the European Parliament and of the Council

・EN [HTML] [DOC] [PDF]

 

・[DOCX] 一部仮対訳

 

 

改訂の背景等...

European Commission(欧州委員会

The General Product Safety Directive

 

 

| | Comments (0)

2022.11.30

米国 国防総省 ゼロトラスト戦略とロードマップ (2022.11.07)

こんにちは、丸山満彦です。

米国国防総省がゼロトラスト戦略とロードマップを公表していますね。。。

2027年に向けて。。。と言う感じですね。。。

しかし、CIOの図書館の情報はたくさんありますね。。。

 

U.S. Department of Defense - Chief Information Officer Library

・2022.11.17 [PDF] DoD Zero Trust Strategy

20221130-23312

目次...

Executive Summary エグゼクティブサマリー
Introduction 序文
Vision ビジョン
DoD Zero Trust Approach 国防総省のゼロ・トラスト・アプローチ
Strategic Assumptions 戦略的前提
Strategic Goals and Objectives 戦略的な目標と目的
Execution Approach 実行アプローチ
Summary 概要
APPENDIX A: DoD Zero Trust Capabilities (Target & Advanced Levels) 附属書 A:国防総省のゼロ・トラスト能力(目標レベル、上級レベル)
APPENDIX B: DoD Zero Trust Activities (Target & Advanced Levels) 附属書 B:国防総省のゼロ・トラスト活動(目標レベル、上級レベル)
APPENDIX C: DoD Zero Trust Capability Roadmap (by Fiscal Year) 附属書 C:国防総省のゼロ・トラスト・ケイパビリティ・ロードマップ(年度別)
APPENDIX D: DoD Zero Trust Strategic and Execution Milestones (FY2023 – FY2024) 附属書 D.国防総省のゼロ・トラスト戦略及び実行マイルストーン(2023年度~2024年度)
APPENDIX E: References 附属書 E:参考文献
APPENDIX F: Acronyms / Definitions 附属書 F:略語/定義


エグゼクティブサマリー

Executive Summary  エグゼクティブサマリー 
"Incremental improvements will not give us the security we need; instead, the Federal Government needs to make bold changes and significant investments in order to defend the vital institutions that underpin the American way of life."  「漸進的な改善では、私たちが必要とする安全保障を得ることはできない。連邦政府は、米国の生活様式を支える重要な制度を守るために、大胆な変更と大規模な投資を行う必要がある。」
— Executive Order on Improving the Nation’s Cybersecurity 12 May 2021  ・国家のサイバーセキュリティの改善に関する大統領令 2021年5月12日 
Five Years into the Future  5年後の未来へ 
The Department of Defense's (DoD) risk-based Zero Trust Framework employed across the Joint Force and the defense ecosystem protects our information systems[1] from increasingly sophisticated attacks as our adversaries seek to affect our warfighters and DoD mission success. Zero Trust principles are now integrated into each of the five cybersecurity functions that represent key elements of a successful and holistic cybersecurity program – Identify, Protect, Detect, Respond, and Recover.[2] As a result, DoD will successfully mitigate attempts to deny, degrade, disrupt, deceive, or destroy our information systems. Operators at all levels are confident that the data accessed, the assets deployed, the applications used, and the services provided are secured and resilient.  統合軍と防衛エコシステムに採用されている国防総省(DoD)のリスクベースのゼロ・トラスト・フレームワークは、敵が戦闘員と国防総省のミッションの成功に影響を与えようとする中、ますます巧妙になる攻撃から我々の情報システム[1]を保護する。ゼロ・トラストの原則は、現在、成功した全体的なサイバーセキュリティ・プログラムの重要な要素である、識別、保護、検出、対応、回復の5つのサイバーセキュリティ機能のそれぞれに統合されている。 その結果、国防省は、情報システムを拒否、劣化、混乱、欺瞞、破壊しようとする試みをうまく軽減することができるようになった。あらゆるレベルのオペレーターは、アクセスするデータ、配備された資産、使用するアプリケーション、提供するサービスが安全でレジリエンスに優れていると確信している。
Today  今日 
The Department's Information Enterprise is under wide scale and persistent attack from known and unknown malicious actors. The Department’s most consequential strategic competitor and the pacing challenge for the Department, the People’s Republic of China,[3] as well as other state-sponsored adversaries and individual malicious actors often breach the Department’s defensive perimeter and roam freely within our information systems. The Department must act now.  米国防総省の情報エンタープライズは、既知および未知の悪質な行為者から大規模かつ持続的な攻撃を受けている。米国防省にとって最も重要な戦略的競合相手であり、ペースメーカーでもある中華人民共和国[3]をはじめ、国家が支援する敵対勢力や個人の悪質な行為者が国防総省の防衛境界を突破し、情報システムの中を自由に動き回ることがよくある。国防総省は今すぐ行動を起こさなければならない。
Vulnerabilities exposed by data breaches inside and outside the Department of Defense demonstrate the need for a new, more robust cybersecurity framework that facilitates well-informed risk-based decisions.[4] Zero Trust security eliminates the traditional idea of perimeters, trusted networks, devices, personas, or processes and shifts to multi-attribute-based levels of confidence that enable authentication and authorization policies founded on the concept of least privileged access. Implementing the Zero Trust Framework requires designing a more efficient architecture that enhances security, the user experience, and overall mission performance.   国防総省内外のデータ侵害によって露呈した脆弱性は、十分な情報に基づくリスクベースの意思決定を促進する、より堅牢な新しいサイバーセキュリティの枠組みの必要性を示している[4]。ゼロトラストセキュリティは、従来の境界、信頼できるネットワーク、デバイス、人物、プロセスという考え方を排除し、最小特権アクセスの概念に基づいた認証および承認ポリシーを可能にする複数属性ベースの信頼レベルへとシフトする。Zero Trustフレームワークを導入するには、セキュリティ、ユーザーエクスペリエンス、ミッションパフォーマンス全体を向上させる、より効率的なアーキテクチャを設計する必要がある。 
Zero Trust uses continuous multi-factor authentication, micro-segmentation, advanced encryption, endpoint security, analytics, and robust auditing, among other capabilities, to fortify data,  ゼロ・トラストは、継続的な多要素認証、マイクロセグメンテーション、高度な暗号化、エンドポイントセキュリティ、分析、堅牢な監査などの機能を使って、データを強化する。
applications, assets, and services to deliver cyber resiliency. The Department is evolving to become a more agile, more mobile, cloud-supported workforce, collaborating with the entirety of DoD enterprise, including federal and non-federal organizations and mission partners working on a variety of missions. The Zero Trust Framework will reduce the attack surface, reduce risk, offer opportunities to manage the full range of risks (e.g., policy, programming, budgeting, execution, cybersecurity-specific, and others) and enable more effective data-sharing in partnership environments. It will also ensure that any adversary damage is quickly contained and remediated if a device, network, user, or credential is compromised.   データ、アプリケーション、資産、サービスを強化し、サイバーレジリエンスを実現する。国防総省は、より機敏に、よりモバイルに、クラウドをサポートする労働力となるべく進化しており、さまざまなミッションに取り組む連邦政府と非連邦政府組織、ミッションパートナーを含む国防総省エンタープライズ全体と協働している。ゼロ・トラスト・フレームワークは、攻撃対象領域を減らし、リスクを低減し、あらゆるリスク(政策、計画、予算、実行、サイバーセキュリティ特有のもの、その他)を管理する機会を提供し、パートナーシップ環境においてより効果的なデータ共有を可能にするものである。また、デバイス、ネットワーク、ユーザー、クレデンシャルが侵害された場合、敵の被害を迅速に食い止め、修復できるようにする。 
This strategy lays out the Department's vision for Zero Trust and sets a path to achieve it. It includes the strategic assumptions and principles that will inform and guide the adoption of ZT and the strategic goals and objectives. The four strategic goals outlined in this strategy are: 1. Zero Trust Culture Adoption, 2. DoD Information Systems Secured and Defended, 3. Technology Acceleration, and 4. Zero Trust Enablement. The strategy also refers to the seven DoD Zero Trust Pillars, which is the basis for the strategy's Zero Trust Capability Roadmap, a capabilities-based execution plan, and the DoD Zero Trust and Cybersecurity Reference Architectures. Finally, this strategy provides highlevel guidance on resourcing and acquisition, measurement and metrics, and governance. The appendices include strategic and execution milestones, as well as references and definitions.   この戦略では、ゼロ・トラストに対する省庁のビジョンを示し、それを達成するための道筋を定めている。この戦略には、ZT の導入に情報を提供し導く戦略的前提および原則と、戦略的目標および目的が含まれている。この戦略で概説されている4つの戦略目標は以下の通りである。1. ゼロ・トラスト文化の採用、2. DoD情報システムの安全確保と防衛、3. テクノロジーの加速、4. ゼロ・トラストの実現である。Zero Trust Enablement(ゼロ・トラストの実現)である。また、この戦略では、7つのDoD Zero Trust Pillarsに言及しており、これは、この戦略のZero Trust Capability Roadmap、能力ベースの実行計画、DoD Zero Trust and Cybersecurity Reference Architecturesの基礎になっている。最後に、この戦略は、人材調達と買収、測定とメトリック、およびガバナンスに関するハイレベルなガイダンスを提供する。附属書には、戦略および実行のマイルストーン、参考文献、定義が記載されている。 
To accelerate Zero Trust implementation within the DoD Information Enterprise, the Department must continue to examine how to streamline and enforce resource priorities to meet the requirements envisioned by this strategy. In January 2022, the DoD CIO established a Zero Trust Portfolio Management Office (PfMO) to orchestrate DoD-wide Zero Trust execution, simplify and streamline existing policies and coordinate the prioritization of resources to accelerate Zero Trust adoption within the DODIN enterprise.  国防総省の情報エンタープライズにおけるゼロ・トラストの実施を加速するために、同省は、この戦略で想定される要件を満たすために、リソースの優先順位を合理化して実施する方法を引き続き検討する必要がある。2022年1月、国防総省CIOは、国防総省全体のゼロ・トラスト実行を指揮し、既存のポリシーを簡素化して合理化し、リソースの優先順位を調整して、DODINエンタープライズ内のゼロ・トラスト導入を加速するために、ゼロ・トラスト・ポートフォリオ管理オフィス(PfMO)を設立した。
Figure 1 below depicts a concise view of the vision, goals, and objectives the Department will achieve by implementing the strategy.[5]   以下の図1は、戦略を実施することによって国防総省が達成するビジョン、目標、目的を簡潔に表したものである[5]。 
Figure 1. DoD Zero Trust Strategy-at-a-Glance  図1. DoDゼロトラスト戦略-一覧 
20221130-24246
[1] Information system includes “a discrete set of information resources organized for the collection, processing, maintenance, use, sharing, dissemination, or disposition of information”. See DoD Instruction (DoDI) 5000.82, Acquisition of Information Technology (IT), 21 Apr 2020, p. 17.   [1] 情報システムには、「情報の収集、処理、維持、使用、共有、普及、または処分のために組織された情報資源の個別の集合」が含まれる。DoD Instruction (DoDI) 5000.82, Acquisition of Information Technology (IT), 21 Apr 2020, p.17 を参照のこと。 
[2] See US National Institute of Standards and Technology (NIST), Special Publication 1271, Getting Started with the NIST Cybersecurity Framework: A Quick Start Guide, 6 August 2021, for descriptions of cybersecurity core functions and a set of guidelines for mitigating organizational cybersecurity risks.   [2] 米国国立標準技術研究所(NIST)、特別刊行物 1271、Getting Started with the NIST Cybersecurity Framework を参照すること。A Quick Start Guide, 6 August 2021, サイバーセキュリティの中核機能の説明と、組織のサイバーセキュリティリスクを軽減するためのガイドライン一式を参照。 
[3] Fact Sheet: 2022 National Defense Strategy, 28 March 2022.  [3] ファクトシート。2022年国家防衛戦略、2022年3月28日。
[4] Risk” refers to probability of an undesired event or condition and 2) the consequences, impact, or severity of the undesired event, were it to occur. See DoD Risk, Issue, and Opportunity Management Guide for Defense Acquisition Programs, January 2017, p. 3  [4] リスクとは、望ましくない事象や状態の発生確率と、2)望ましくない事象が発生した場合の結果、影響、または重大性のことである。DoD Risk, Issue, and Opportunity Management Guide for Defense Acquisition Programs, January 2017, p.3 を参照。
21-Oct-22 21-Oct-22
[5] See Figure 4 in this document for an outcome description of each goal and objective.  [5] 各目標と目的の成果の説明については、本書の図 4 を参照のこと。
21-Oct-22 10月21日-22日

 

プレス...

・2022.11.22 Department of Defense Releases Zero Trust Strategy and Roadmap

Department of Defense Releases Zero Trust Strategy and Roadmap 国防総省がゼロ・トラスト戦略とロードマップを発表
Today, the Department of Defense released the Department of Defense Zero Trust Strategy and Roadmap. 本日、国防総省は「国防総省のゼロ・トラスト戦略とロードマップ」を発表した。
Current and future cyber threats and attacks drive the need for a Zero Trust approach that goes beyond the traditional perimeter defense approach. The Department intends to implement distinct Zero Trust capabilities and activities as outlined in the strategy and associated Roadmap by FY27. 現在および将来のサイバー脅威と攻撃は、従来の境界防御のアプローチを超えたゼロ・トラスト・アプローチの必要性を促している。国防総省は、この戦略および関連するロードマップで説明されているように、明確なゼロ・トラスト能力と活動を27年度までに実施する意向である。
The strategy envisions a DoD Information Enterprise secured by a fully implemented, Department-wide Zero Trust cybersecurity framework that will reduce the attack surface, enable risk management and effective data-sharing in partnership environments, and quickly contain and remediate adversary activities. この戦略は、完全に実装された省全体のゼロ・トラスト・サイバーセキュリティの枠組みによって保護された国防総省の情報エンタープライズを想定しており、攻撃対象を減らし、パートナーシップ環境におけるリスクマネジメントと効果的なデータ共有を可能にし、敵の活動を迅速に抑制・是正するものである。
The strategy outlines four high-level and integrated strategic goals that define what the Department will do to achieve its vision for ZT: この戦略では、ZT のビジョンを達成するために省が何を行うかを定義する、4 つのハイレベルで統合的な戦略目標が概説されている。
•    Zero Trust Cultural Adoption – All DoD personnel are aware, understand, are trained, and committed to a Zero Trust mindset and culture and support integration of ZT. ・ゼロ・トラスト文化の採用:国防総省の全職員がゼロ・トラストの考え方と文化について認識,理解,訓練され,ZTの統合を支援する。
•    DoD information Systems Secured and Defended – Cybersecurity practices incorporate and operationalize Zero Trust in new and legacy systems.  ・国防総省の情報システムの保護と防御:サイバーセキュリティの実践により、新規およびレガシーシステムにゼロ・トラストが組み込まれ、運用される。 
•    Technology Acceleration – Technologies deploy at a pace equal to or exceeding industry advancements. ・技術の加速:業界の進歩と同等またはそれを上回るペースで技術が展開される。
•    Zero Trust Enablement – Department- and Component-level processes, policies, and funding are synchronized with Zero Trust principles and approaches. ・ゼロ・トラストの実現:省およびコンポーネントレベルのプロセス、ポリシー、および資金がゼロ・トラストの原則とアプローチに同期している。
Implementing Zero Trust will be a continuous process in the face of evolving adversary threats and new technologies. Additional Zero Trust enhancements will be incorporated in subsequent years as technology changes and our Nation's adversaries evolve.   ゼロ・トラストの導入は、進化する敵の脅威や新しい技術に直面する継続的なプロセスである。ゼロ・トラストの追加的な強化は、技術の変化や我が国の敵の進化に合わせて、次年度以降に取り入れられる予定である。 
The Department of Defense Zero Trust Strategy and Roadmap can be found at the DoD CIO library. 国防総省のゼロ・トラスト戦略とロードマップは、国防総省CIOライブラリで見ることができる。

 

・ブログ

・2022.11.28 DOD Releases Path to Cyber Security Through Zero Trust Architecture

DOD Releases Path to Cyber Security Through Zero Trust Architecture DOD、ゼロ・トラスト・アーキテクチャーによるサイバーセキュリティへの道筋を発表
The Defense Department on Tuesday released its Zero Trust Strategy and Roadmap, which spells out how it plans to move beyond traditional network security methods to achieve reduced network attack surfaces, enable risk management and effective data-sharing in partnership environments, and contain and remediate adversary activities over the next five years. 国防総省は火曜日、「ゼロ・トラスト戦略およびロードマップ」を発表した。これは、今後5年間で、従来のネットワークセキュリティ手法を越えて、ネットワーク攻撃面の削減を実現し、パートナーシップ環境におけるリスクマネジメントと効果的なデータ共有を可能にし、敵の活動を封じ込めて修復する計画について明記しているものである。
"Zero trust is a framework for moving beyond relying on perimeter-based cybersecurity defense tools alone and basically assuming that breach has occurred within our boundary and responding accordingly," David McKeown, the department's acting chief information officer, said.  「ゼロトラストは、境界ベースのサイバーセキュリティ防御ツールだけに頼るのではなく、基本的に我々の境界内で侵害が発生したと仮定し、それに応じて対応するための枠組みである」と、同省の最高情報責任者代理であるデデヴィット・マッキューン氏は述べた。
McKeown said the department has spent a year now developing the plans to get the department to a zero trust architecture by fiscal year 2027. Included in that effort was development of a Zero Trust Portfolio Management Office, which stood up earlier this year.  マッキューンは、同省が2027会計年度までにゼロ・トラスト・アーキテクチャーを実現するための計画を策定するのに1年を費やしたことを明らかにした。その努力に含まれるのが、今年初めに立ち上がったゼロトラスト・ポートフォリオ管理オフィスの開発だ。 
"With the publication of this strategy we have articulated the 'how' that can address clear outcomes of how to get to zero trust — and not only accelerated technology adoption, as discussed, but also a culture of zero trust at DOD and an integrated approach at the department and the component levels."  この戦略の発表により、我々はゼロトラストに到達するための明確な成果、つまり議論されているような技術導入の加速だけでなく、DODにおけるゼロトラストの文化や、部門およびコンポーネントレベルでの統合的アプローチに対応できる「方法」を明確にした。" 
Getting the Defense Department to reach the goals laid out in the Zero Trust Strategy and Roadmap will be an "ambitious undertaking," McKeown said.   国防総省がゼロトラスト戦略とロードマップで示された目標に到達することは、「野心的な事業」になるとマッキューン氏は述べている。 
Ensuring that work will largely be the responsibility of Randy Resnick, who serves as the director of the Zero Trust Portfolio Management Office.  その作業を確実にするのは、ゼロトラスト・ポートフォリオ管理室のディレクターを務めるランディー・レスニック氏の責任が大きい。 
"With zero trust, we are assuming that a network is already compromised," Resnick said. "And through recurring user authentication and authorization, we will thwart and frustrate an adversary from moving through a network and also quickly identify them and mitigate damage and the vulnerability they may have exploited." 「ゼロトラストでは、ネットワークがすでに侵害されていることを想定している。「そして、ユーザー認証と認可を繰り返し行うことで、敵対者がネットワークを通過するのを阻止し、挫折させるとともに、敵対者を迅速に特定し、被害や彼らが悪用した可能性のある脆弱性を軽減するのである」。
Spotlight: Engineering in the DOD スポットライト 国防総省におけるエンジニアリング
Resnick explained the difference between a zero trust architecture and security on the network today, which assumes a level of trust for anybody already inside the network.  レスニック氏は、ゼロ・トラスト・アーキテクチャーと、すでにネットワーク内にいる人をある程度信頼することを前提とした現在のネットワーク・セキュリティの違いを説明した。 
"If we compare this to our home security, we could say that we traditionally lock our windows and doors and that only those with the key can gain access," he said. "With zero trust, we have identified the items of value within the house and we place guards and locks within each one of those items inside the house. This is the level of security that we need to counter sophisticated cyber adversaries."  「これを家庭のセキュリティに例えると、従来は窓やドアに鍵をかけて、鍵を持っている人だけがアクセスできるようにしていたと言えるでしょう」と、同氏は述べた。「ゼロトラストでは、家の中にある価値あるものを特定し、その一つひとつにガードやロックを設置する。これが、高度なサイバー敵に対抗するために必要なセキュリティレベルである。」 
The Zero Trust Strategy and Roadmap outlines four high-level and integrated strategic goals that define what the department will do to achieve that level of security. These include:  ゼロトラスト戦略とロードマップは、そのレベルのセキュリティを達成するために同省が何をするかを定義する、4つのハイレベルで統合的な戦略目標の概要を示している。その内容は以下の通りである。 
Zero Trust Cultural Adoption — All DOD personnel understand and are aware, trained, and committed to a zero trust mindset and culture to support integration of zero trust.  ゼロ・トラスト文化の採用:すべてのDOD職員はゼロ・トラストの統合をサポートするために、ゼロ・トラストの考え方と文化を理解し、認識し、訓練され、コミットされる。 
DOD information Systems Secured and Defended — Cybersecurity practices incorporate and operationalize zero trust in new and legacy systems.  DOD情報システムの保護と防衛:サイバーセキュリティの実践は、新規およびレガシーシステムにゼロトラストを組み込み、運用する。 
Technology Acceleration — Technologies deploy at a pace equal to or exceeding industry advancements.  技術の加速:業界の進歩と同等またはそれを上回るペースで技術が展開される。 
Zero Trust Enablement — Department- and component-level processes, policies, and funding are synchronized with zero trust principles and approaches.  ゼロ・トラストの実現:省およびコンポーネントレベルのプロセス、ポリシー、資金が、ゼロ・トラストの原則とアプローチに同期している。 
Resnick said development of the Zero Trust Strategy and Roadmap was done in collaboration with the National Security Agency, the Defense Information Systems Agency, the Defense Manpower Data Center, U.S. Cyber Command and the military services.  レズニック氏によると、ゼロトラスト戦略とロードマップの開発は、国家安全保障局、国防情報システム局、国防人材データセンター、米サイバー司令部、軍サービスとの協力で行われたとのこと。 
The department and its partners worked together to develop a total of 45 capabilities and more than 100 activities derived from those capabilities, many of which the department and components will be expected to be involved in as part of successfully achieving baseline, or "target level" compliance with zero trust architecture within the five-year timeline, Resnick said. レスニック氏によると、同省とそのパートナーは、合計45の能力と、それらの能力から派生する100以上の活動を開発した。これらの多くは、5年間のスケジュール内でゼロトラストアーキテクチャのベースライン、つまり「目標レベル」のコンプライアンスを成功させる一環として、同省とコンポーネントが関与することが期待されるものである。
"Each capability, the 45 capabilities, resides either within what we're calling 'target,' or 'advanced' levels of zero trust," he said. "DOD zero trust target level is deemed to be the required minimum set of zero trust capability outcomes and activities necessary to secure and protect the department's data, applications, assets and services, to manage risks from all cyber threats to the Department of Defense."  各能力(45の能力)は、ゼロ・トラストの「目標」または「高度」レベルと呼ばれる範囲に存在する」と彼は言う。「DODゼロトラスト・ターゲット・レベルは、国防総省に対するあらゆるサイバー脅威のリスクを管理し、同省のデータ、アプリケーション、資産、サービスを安全に保護するために必要なゼロトラスト能力の成果および活動の必要最小限のセットと見なされる。
Across the department, every agency will be expected to comply with the target level implementation outlined in the Zero Trust Strategy and Roadmap. Only a few might be expected to achieve the more advanced level.  国防総省全体では、すべての機関がゼロ・トラスト戦略とロードマップで示された目標レベルの実施に準拠することが期待される。より高度なレベルを達成することが期待されるのは、ほんの一握りかもしれない。 
"If you're a national security system, we may require the advanced level for those systems," McKeown said. "But advanced really isn't necessary for literally every system out there. We have an aggressive goal getting to 'targeted' by 2027. And we want to encourage those who have a greater need to secure their data to adopt this advanced level."  「国家安全保障のシステムであれば、上級レベルを要求することもある」とマッキューン氏は言う。「しかし、アドバンストレベルは、文字通りすべてのシステムに対して必要なものではない。私たちは、2027年までに "Targeted "に到達するという積極的な目標を持っている。そして、データを安全に保護する必要性が高い人たちには、このアドバンスドレベルを採用するよう促したいと考えている」。 
Resnick said achieving the target level of zero trust isn't equivalent to a lower standard for network security.  レズニックは、ゼロトラストの目標レベルを達成することは、ネットワークセキュリティの基準を下げることと等価ではないと述べている。 
"We defined target as that level of ability where we're actually containing, slowing down or stopping the adversary from exploiting our networks," he said. "Compared to today, where an adversary could do an attack and then go laterally through the network, frequently under the noise floor of detection, with zero trust that's not going to be possible."  「私たちは、敵対者が私たちのネットワークを悪用するのを実際に封じ込め、減速させ、阻止する能力のレベルを目標と定義した。「敵対者が攻撃を行い、ネットワーク内を横方向に移動し、頻繁に検出のノイズフロアの下を通過することができる今日と比較すると、信頼ゼロでは、それは不可能になります。 
By 2027, Resnick said, the department will be better poised to prevent adversaries from attacking the DOD network and minimize damage if it does occur.  2027年までには、敵対者がDODネットワークを攻撃するのを防ぎ、万が一攻撃が発生しても被害を最小限に抑える態勢が整うだろうと、レズニックは述べている。 
"The target level of zero trust is going to be that ability to contain the adversary, prevent their freedom of movement, from not only going laterally but being able to even see the network, to enumerate the network, and to even try to exploit the network," he said.  「ゼロ・トラストの目標レベルは、敵対者を封じ込め、敵対者が横方向に移動するだけでなく、ネットワークを見ることも、ネットワークを列挙することも、ネットワークを悪用しようとすることもできないようにすることだ」と彼は言う。 
If later on more is needed, he said, the requirements for meeting the target level of compliance can be adjusted.  もし、後でもっと必要なものが出てくれば、目標レベルのコンプライアンスを満たすための要件を調整することができるという。 
"Target will always remain that level to which we're seeing and stopping the adversary," he said. "And for the majority of the DOD, that's really our goal." 「目標は常に、敵対者を確認し、阻止するレベルであることに変わりはありません。そして、国防総省の大部分にとって、それが我々の本当の目標なのである。」

 


 

・2022.11.15 [PDF] Zero Trust Capability Execution Roadmap

20221130-144954

 

Zero Trust Strategy Placemats

20221130-145326

 

 

・2022.07 [PDF] Department of Defense (DoD) Zero Trust Reference Architecture Version 2.0

20221130-64647

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.28 米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書

・2022.01.24 米国 国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書

・2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

 

 

| | Comments (0)

2022.11.29

尼崎市 個人情報を含むUSBメモリーの紛失事案について

こんにちは、丸山満彦です。

尼崎市が契約している事業者の無断再々委託先従業員が、個人情報が入ったUSBメモリーを一時的に紛失した事案についての、尼崎市 USB メモリー紛失事案調査委員会の報告書が公表されていますね。。。

櫻庭先生が委員会のメンバーですね。。。

 

尼崎市

・2022.11.28 個人情報を含むUSBメモリーの紛失事案について

・[PDF] 尼崎市 USB メモリ―紛失事案に関する調査報告書  [downloaded]

20221129-63824

 

・尼崎市 USB メモリー紛失事案調査委員会

 ・小林 孝史(当委員会委員長) 関西大学総合情報学部准教授
 ・櫻庭 信之(当委員会委員・同委員長職務代理) 弁護士
 ・大高 利夫(当委員会委員) 藤沢市総務部情報システム課

結構、読み応えあります。。。

 

| | Comments (0)

英国 国防省 サイバー入門(第3版) (2022.10.04)

こんにちは、丸山満彦です。

英国国防省とサイバースペースとの関わり方、国防省職員にとってのサイバーセキュリティの重要性について、より包括的に認識することを目的として、主に国防の観点から、また職場や家庭における日常生活の観点から、「サイバー」というテーマを紹介する入門書ということで、階級に関わらず、すべての職員に読んでもらいたいということのようです。。。

U.K. Government - Ministry of Defence

Guidance Cyber Primer

・2022.10.04 [PDF] Cyber Primer (Third Edition)

20221129-12446

 

序文...

Preface 序文
We will adopt a comprehensive cyber strategy to maintain the UK’s competitive edge in this rapidly evolving domain. We will build a resilient and prosperous digital UK, and make much more integrated, creative and routine use of the UK’s full spectrum of levers – including the National Cyber Force’s offensive cyber tools – to detect, disrupt and deter our adversaries. 我々は、この急速に発展する領域において英国の競争力を維持するために、包括的なサイバー戦略を採用する。我々は、レジリエンスと繁栄のデジタル英国を構築し、敵対者を検知し、混乱させ、抑止するために、国家サイバー軍の攻撃的サイバーツールを含む英国のあらゆる手段をより統合的、創造的、かつ日常的に活用することになる。
Global Britain in a competitive age: The Integrated Review of Security, Defence, Development and Foreign Policy, 2021 競争時代におけるグローバルな英国:2021年 安全保障、防衛、開発、外交政策の統合的見直し
Purpose 目的
1. The purpose of the Cyber Primer is to introduce the subject of ‘cyber’, primarily within the Defence context, but also encompassing everyday aspects of life both at work and home. It is the foundation to reading UK Defence’s cyber and electromagnetic concepts and doctrine.   1. サイバー入門の目的は、「サイバー」というテーマを、主に国防の文脈で、しかし職場や家庭での日常生活 の側面も含めて紹介することである。これは、英国国防省のサイバーおよび電磁波の概念とドクトリンを読むための基礎となるものである。 
Context コンテキスト
2. Cyber capability is vital to our national security and prosperity, playing an integral role in protecting the UK and our interests against external and internal threats. Cyber activity cannot be the responsibility of one government department or agency alone, each will have their own experiences and expertise; Defence is just one partner in a whole of society effort.  2. サイバー能力は国家の安全と繁栄にとって不可欠であり、外部と内部の脅威から英国とその利益を守るために不可欠な役割を担っている。サイバー活動は、政府の一部門や機関だけが担当することはできず、それぞれが独自の経験や専門知識を持っている。
3. Cybersecurity and resilience are vital within Defence as our Armed Forces depend on digital technology, platforms, data, information and communication systems, both in the UK and on operations around the world. Our adversaries’ activities present a real and rapidly developing threat to these systems and to our operations.  3. 国防軍は、英国内および世界各地での活動において、デジタル技術、プラットフォーム、データ、情報、通信システムに依存しているため、サイバーセキュリティとレジリエンスは国防において極めて重要である。敵対者の活動は、これらのシステムと我々の活動に対して、現実的かつ急速に発展する脅威となっている。
4. Cyberspace, and the associated technologies, are full of opportunities for improving the way we work and live; they contribute substantially to our economy and prosperity, but they also introduce new hazards of which we need to be aware. The impact of cyber activities, positive and negative, on military activity requires Defence personnel, and those associated with Defence, to understand the depth of our dependence on ‘cyber’. 4. サイバースペースとその関連技術は、私たちの仕事や生活を改善する機会に満ちており、私たちの経済と繁栄に大きく貢献しているが、同時に私たちが注意しなければならない新たな危険性ももたらしている。サイバー活動が軍事活動に与える影響は、肯定的であれ否定的であれ、国防関係者とその関係者が「サイバー」への依存の深さを理解することが必要である。
5. The primer has a deliberate cyber focus. Although mention is made of the wider electromagnetic environment, this is to provide contextual reference as necessary.  5. この入門書は意図的にサイバーに焦点を合わせている。より広い電磁環境についても言及しているが、これは必要に応じて文脈を参照できるようにするためである。
Audience 想定読者
6. The Cyber Primer seeks to inform a wide audience. As an introduction to cyber it will be of use to all Defence personnel. 6. このサイバー入門書は、幅広い読者に情報を提供することを目的としている。サイバー入門書として、すべての国防関係者に役立つであろう。
Structure 構成
7. The publication is divided into four chapters and is supported by a lexicon and resources section. A breakdown of the chapter contents is below.  7. 本書は4つの章に分かれており、辞書と資料のセクションでサポートされている。各章の内容の内訳は以下の通りである。
a. Chapter 1 – Cyber fundamentals. Chapter 1 introduces the essential terminology and covers cyber from a national policy and strategy perspective. The chapter explains the nature and characteristics of cyberspace and the cyber and electromagnetic domain. The chapter also highlights applicable laws and concludes by looking at the importance of international engagement. a. 第1章 - サイバーの基礎:第1章では、必要不可欠な用語を紹介し、国家政策と戦略の観点からサイバーを取り上げている。この章では、サイバースペースの性質と特徴、サイバー領域と電磁波領域について説明する。また、本章では適用される法律を強調し、国際的な関与の重要性を見て結論を出している。
b. Chapter 2 – Cyber threats. Chapter 2 outlines: the threats from cyberspace; the range of threat actors; the characteristics of a cyberattack and the different tools and techniques used; and cyber threat mitigation. The chapter concludes with Annex 2A detailing seven case studies.1 b. 第2章 - サイバー脅威:第2章では、サイバースペースからの脅威、脅威の主体の範囲、サイバー攻撃の特徴、使用される様々なツールやテクニック、そしてサイバー脅威の緩和について概説している。この章は、7つのケーススタディを詳述した附属書2Aで締めくくられている1。
c. Chapter 3 – Cyber functions. Chapter 3 looks at the four military cyber operations roles – influence, defend, enable and inform – which are delivered by cyber capabilities through offensive and defensive cyber operations, cybersecurity and cyber threat intelligence.  It also examines information management and finally looks at the relationship between cyber and other closely linked military functions. c. 第3章 - サイバー機能:第3章では、攻撃的・防御的サイバー作戦、サイバーセキュリティ、サイバー脅威インテリジェンスを通じたサイバー能力によって実現される、軍の4つのサイバー作戦の役割(影響、防御、実現、情報提供)を見ている。 また、情報管理についても検討し、最後にサイバーと他の密接に関連する軍事機能との関係についても見ている。
d. Chapter 4 – Cyber operations. Chapter 4 looks at how cyber capability is currently organised and integrated with military operations and provides some detail concerning cyber command and control.  d. 第4章 - サイバーオペレーション:第4章は、サイバー能力が現在どのように組織化され、軍事作戦と統合されているかを調べ、サイバー指揮統制に関するいくつかの詳細について述べている。
Linkages 関連性
8. The Cyber Primer is underpinned by a number of policy, strategy and doctrinal publications. In addition, there are number of other publications that provide further context and greater detail on aspects introduced. Links to these data sources can be found within the resource section at the end of this publication.  8. サイバー・プライマーは、多くの政策、戦略、教義に関する出版物によって支えられている。さらに、紹介された側面についてのより詳細な文脈を提供する他の出版物も多数ある。これらのデータソースへのリンクは、本書末尾のリソースセクションに記載されている。
   
1 The examples and case studies included in this primer contain reports selected from various external sources by the Strategic Command Cyber Reserve, a cadre of cyber-industry experts who are also Tri-Service Reservists. All of this information is publicly available online and provided for understanding only; sources quoted and opinions expressed do not necessarily reflect those of the Ministry of Defence (MOD). Similarly, where alleged perpetrators are identified they have been done so through public sources and not through any investigations or conclusions conducted by the MOD. The names of the operations associated with the examples have been assigned by the international cyber security community. 1 この入門書に含まれる事例とケーススタディは、三軍の予備役でもあるサイバー業界の専門家集団である戦略司令部サイバーリザーブが外部の様々な情報源から選んだレポートを含んでいる。これらの情報はすべてオンラインで一般に公開されており、理解のためにのみ提供されている。引用された情報源や表明された意見は、必ずしも国防省(MOD)のものを反映したものではありません。同様に、加害者とされる人物が特定された場合、それは公的な情報源を通じて行われたものであり、国防省が行った調査や結論によるものではありません。例題に関連する作戦名は、国際的なサイバーセキュリティ・コミュニティによって命名されたものである。
2 Full details of these roles and the activities that are conducted within them are detailed within Joint Doctrine Publication 0-50, UK Defence Cyber and Electromagnetic Doctrine, 2nd Edition, which is due to publish in 2023. 2 これらの役割とその中で行われる活動の詳細は、2023年に発行予定の統合ドクトリンパブリケーション0-50「英国国防サイバー及び電磁波ドクトリン第2版」に詳述されている。

 

20221129-15952

 

10 top tips for staying secure online オンラインを安全に利用するための10のアドバイス
01 Protect your personal email by using a strong and unique password 01 強力でユニークなパスワードを使用して、個人的な電子メールを保護する
02 Report if things go wrong or do not look right, such as a suspicious email or link 02 不審なメールやリンクなど、おかしいと感じたら報告する
03 Create a long and strong password by combining three random words 03 3つのランダムな単語を組み合わせて、長くて強力なパスワードを作成する
04 Ensure defences such as antivirus software and firewalls are installed 04 アンチウイルスソフトやファイアウォールなどの防御策を確実に導入する
05 Activate two-step verification to protect your online accounts 05 オンラインアカウントを保護するために、2段階認証機能を有効にする
06 Backup your data to safeguard your most important documents 06 データをバックアップし、重要なドキュメントを保護する
07 Use a password manager to help create and recall passwords 07 パスワードを作成し、思い出すのにパスワードマネージャーを使用する
08 Check your internet footprint - searches, online history and social media accounts 08 検索、オンライン履歴、ソーシャルメディアアカウントなど、インターネットの足跡をチェックする
09 Set up automatic security updates to make sure all your devices are patched 09 自動セキュリティ更新を設定し、すべてのデバイスにパッチが適用されていることを確認する
10 Install the latest software and application updates 10 最新のソフトウェアとアプリケーションのアップデートをインストールする

 

・関連

 

 

| | Comments (0)

EU連合理事会 NIS2成立

こんにちは、丸山満彦です。

NIS2がEU連合理事会で可決されたようですね。。。

 

● European Council/Council of the European Union

・2022.11.28 EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation

EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation EU、サイバーセキュリティとレジリエンスをEU全域で強化することを決定。理事会、新たな法案を採択
The Council adopted legislation for a high common level of cybersecurity across the Union, to further improve the resilience and incident response capacities of both the public and private sector and the EU as a whole. 欧州連合(EU)理事会は、官民およびEU全体のレジリエンスとインシデント対応能力をさらに向上させるため、EU全体で高い共通レベルのサイバーセキュリティを実現するための法案を採択した。
The new directive, called ‘NIS2’, will replace the current directive on security of network and information systems (the NIS directive). 「NIS2」と呼ばれるこの新しい指令は、ネットワークと情報システムのセキュリティに関する現行の指令(NIS指令)に取って代わるものである。
There is no doubt that cybersecurity will remain a key challenge for the years to come. The stakes for our economies and our citizens are enormous. Today, we took another step to improve our capacity to counter this threat. サイバーセキュリティが今後数年間、重要な課題であり続けることに疑いの余地はない。私たちの経済と市民にとって、そのリスクは計り知れない。今日、私たちはこの脅威に対抗する能力を向上させるための新たな一歩を踏み出した。
Ivan Bartoš, Czech Deputy Prime Minister for Digitalization and Minister of Regional Development チェコ共和国デジタル化担当副首相兼地域開発大臣 イワン・バルトシュ氏
Stronger risk and incident management and cooperation リスクマネジメント、インシデントマネジメント、協力体制の強化
NIS2 will set the baseline for cybersecurity risk management measures and reporting obligations across all sectors that are covered by the directive, such as energy, transport, health and digital infrastructure. NIS2は、エネルギー、運輸、健康、デジタルインフラなど、指令の対象となるすべてのセクターにおけるサイバーセキュリティのリスクマネジメント対策と報告義務のベースラインを設定することになる。
The revised directive aims to harmonise cybersecurity requirements and implementation of cybersecurity measures in different member states. To achieve this, it sets out minimum rules for a regulatory framework and lays down mechanisms for effective cooperation among relevant authorities in each member state. It updates the list of sectors and activities subject to cybersecurity obligations and provides for remedies and sanctions to ensure enforcement. 改正指令は、異なる加盟国でのサイバーセキュリティ要件とサイバーセキュリティ対策の実施を調和させることを目的としている。これを実現するために、規制の枠組みに関する最低限のルールを定め、各加盟国の関係当局間の効果的な協力のためのメカニズムを定めている。また、サイバーセキュリティの義務の対象となる部門と活動のリストを更新し、強制力を確保するための救済措置と制裁措置を規定している。
The directive will formally establish the European Cyber Crises Liaison Organisation Network, EU-CyCLONe, which will support the coordinated management of large-scale cybersecurity incidents and crises. この指令は、大規模なサイバーセキュリティ事件や危機の協調的管理を支援する欧州サイバー危機連絡組織ネットワーク(EU-CyCLONe)を正式に設立する予定である。
Widening of the scope of the rules 規則の適用範囲の拡大
While under the old NIS directive member states were responsible for determining which entities would meet the criteria to qualify as operators of essential services, the new NIS2 directive introduces a size-cap rule as a general rule for identification of regulated entities. This means that all medium-sized and large entities operating within the sectors or providing services covered by the directive will fall within its scope. 旧NIS指令では、加盟国はどの事業者が必須サービスの事業者として認定される基準を満たすかを決定する責任を負っていたが、新NIS2指令では、規制対象事業者の特定に関する一般規則として、規模制限規則を導入している。これは、この指令の対象となる分野で活動する、あるいはサービスを提供するすべての中堅・大企業がその範囲に含まれることを意味する。
While the revised directive maintains this general rule, its text includes additional provisions to ensure proportionality, a higher level of risk management and clear-cut criticality criteria for allowing national authorities to determine further entities covered. 改正指令はこの一般規則を維持する一方で、その条文には、国家当局がさらに対象企業を決定できるように、比例性、より高いレベルのリスクマネジメント、明確な重要性の基準を確保するための追加条項が含まれている。
The text also clarifies that the directive will not apply to entities carrying out activities in areas such as defence or national security, public security, and law enforcement. Judiciary, parliaments, and central banks are also excluded from the scope. また、防衛や国家安全保障、公安、法執行といった分野での活動には、この指令は適用されないことも明確化されている。司法、議会、中央銀行も対象から外されている。
NIS2 will also apply to public administrations at central and regional level. In addition, member states may decide that it applies to such entities at local level too. NIS2は、中央および地域レベルの行政機関にも適用される。さらに、加盟国は、地方レベルの行政機関にも適用することを決定することができる。
Other changes introduced by the new law 新法が導入するその他の変更点
Moreover, the new directive has been aligned with sector-specific legislation, in particular the regulation on digital operational resilience for the financial sector (DORA) and the directive on the resilience of critical entities (CER), to provide legal clarity and ensure coherence between NIS2 and these acts. さらに、この新しい指令は、特に金融セクターのデジタル運用のレジリエンスに関する規則(DORA)や重要な事業体のレジリエンスに関する指令(CER)といったセクター固有の法律と整合され、法的明確性を提供し、NIS2とこれらの法律間の一貫性を確保するようになっている。
A voluntary peer-learning mechanism will increase mutual trust and learning from good practices and experiences in the Union, thereby contributing to achieving a high common level of cybersecurity. 自主的なピアラーニングの仕組みは、相互信頼を高め、EUにおける優れた実践や経験から学ぶことで、高い共通レベルのサイバーセキュリティの達成に貢献する。
The new legislation also streamlines the reporting obligations in order to avoid causing over-reporting and creating an excessive burden on the entities covered. また、新法は、過剰な報告や対象事業者の過度な負担を避けるために、報告義務を合理化している。
Next steps 次のステップ
The directive will be published in the Official Journal of the European Union in the coming days and will enter into force on the twentieth day following this publication. この指令は、近日中に欧州連合官報に掲載され、掲載後20日目に発効する予定である。
Member states will have 21 months from the entry into force of the directive in which to incorporate the provisions into their national law. 加盟国は、指令の発効から21カ月以内に、この規定を自国の国内法に組み込む必要がある。
Directive on measures for a high common level of cybersecurity across the Union (PE-CONS 32/22) 欧州連合全体におけるサイバーセキュリティの高い共通レベルのための措置に関する指令(PE-CONS 32/22)
20221129-03247
[DOCX]

仮訳

 

Draft directive on measures for a high common level of cybersecurity across the Union – Council general approach EU全域で共通レベルの高いサイバーセキュリティのための措置に関する指令案 - 理事会一般的アプローチ
Cybersecurity: how the EU tackles cyber threats (background information) サイバーセキュリティ:EUはどのようにサイバー脅威に対処しているか(背景情報)
A digital future for Europe (background information) 欧州のデジタルな未来(背景情報)
How the EU responds to crises and builds resilience EUはどのように危機に対処し、レジリエンスを構築しているか?
Visit the meeting page 会議のページ

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.25 ENISA EUにおけるサイバーセキュリティ投資 2022

・2022.11.13 欧州議会 NIS2とデジタル・オペレーショナル・レジリエンス法を可決

・2021.03.15 欧州データ保護監督官 (EDPS) が欧州のサイバーセキュリティ戦略とネットワークおよび情報システムのセキュリティに関する改訂された指令(NIS 2.0)を歓迎すると表明

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16


| | Comments (0)

2022.11.28

防衛省 防衛研究所 中国安全保障レポート2023 ― 認知領域とグレーゾーン事態の掌握を目指す中国 ―

こんにちは、丸山満彦です。

防衛省 防衛研究所が 中国安全保障レポート2023 ― 認知領域とグレーゾーン事態の掌握を目指す中国 ― を公表していますね。。。

日本語版のみならず、英語版、 もあります。。。

 

防衛省 防衛研究所

・2022.11.25 中国安全保障レポート『中国安全保障レポート2023』を掲載しました

・中国安全保障レポート2023 ― 認知領域とグレーゾーン事態の掌握を目指す中国 ―本文要約)·(表紙·奥付

20221128-62030

 

目次... 

中国安全保障レポート2023

目次
要約
略語表

はじめに

第 1 章  中国の軍事組織再編と非軍事的手段の強化
1.
 改革前の軍事組織の問題点
1)改革前の党軍関係の基本構造
2)問題点

2. 習近平の軍事改革における党軍関係の強化
1)中央軍事委員会主席責任制の再確立
2)強調される党委員会の指導
3)軍内監察部門の独立
4)巡視制度の導入
5)政治工作部の役割の縮小

3. 戦略支援部隊の設置

4. 人民武装警察部隊と海警の改編がもたらすもの
1)中央軍事委員会の一元指導を受ける武警
2)警種部隊、公安系統部隊を切り捨ててスリム化した武警
3 14個機動師団の解体と機動総隊の新設
4)人民解放軍に倣った武警総部の再編
5)武警隷下に入った海警
6)共産党統治のための武警

第 2 章  活発化する中国の影響力工作
1.
 中国の影響力工作

2. 中国共産党の心理・認知領域をめぐる闘争
1)宣伝工作
2)統一戦線工作
3)ソーシャルメディアにおける活動
4)秘密裏の活動
5)組織

3. 人民解放軍の心理・認知領域における闘争
1)人民解放軍の情報化戦争における心理・認知領域
2)三戦(輿論戦、心理戦、法律戦)
3)認知領域作戦

4. 事例研究 : 台湾における中国の影響力工作の展開
1)サイバー攻撃の事例
2)メディアの報道を利用した圧力
3)台湾人を利用した影響力工作の展開
4)多国籍企業や軍関係者への工作

第 3 章  海上で展開される中国のグレーゾーン事態
1.
 中国が展開するグレーゾーン事態

2. 進展する海上民兵の組織化
1)海上民兵の組織、指揮命令系統、党との関係
2)海上民兵の役割

3. 海警と海上民兵の活動の積極化
1)海警の装備強化と活動拡大
2)海上民兵に対する支援・組織化
3)海洋アクターの協調

4. 東シナ海と南シナ海におけるグレーゾーン作戦の相違点

おわりに


要約 第 1 章  中国の軍事組織再編と非軍事的手段の強化

習近平の軍事改革によって中国の軍事組織の再編が進み、その中で党の指導が強化されてきた。中国共産党 による直接的コントロールがより強調され、特に中央軍委主席責任制の徹底と軍内党委員会が重視されており、 また軍内における法やルールによる統治も強調されている。党の指導は人民解放軍だけでなく、その他の軍事組 織においても強化されており、軍とそのほかの政府アクターの協調メカニズムが発展しつつある。これは非軍事 的手段を積極的に活用するという現代的な紛争形態への対応でもある。

影響力工作については、戦略支援部隊が設置された。戦略支援部隊はサイバー、電磁スペクトラム、宇宙に関 わる機能を統合するだけでなく、心理・認知領域の戦いにも深く関与しているとみられる。

グレーゾーン作戦については、武警と海警の再編が行われた。武警が中央軍事委員会の単独指導下に置かれるとともに、海警が武警隷下となることで、海警も軍の指導下に置かれた。武警再編によって武警の機能を平時 における治安維持に特化すると同時に、有事における人民解放軍の統合作戦に寄与しやすい組織へと改編した。

20221128-94925

 


要約 第2章 活発化する中国の影響力工作

中国は、心理・認知領域における闘争として党全体の影響力工作と関連する軍の活動を活発化させている。中国にとって、情報と影響力をめぐる争いは、米欧とのイデオロギー上の安全と優位性をめぐるものである。中国に とって、欧米の「誤った見方」を正すだけでなく、中国の観点、中国側のナラティブを内外に積極的に広めること が重要となっている。中国のナラティブが国内外の議論を支配することで、米欧のイデオロギー浸透の試みに対 抗できる。こうして中国は、国内と国外の両方に向けて影響力工作を強化している。そのために、宣伝工作や統 一戦線工作、さらにソーシャルメディアにおける活動が活発化している。

党の影響力工作が主に戦略レベルの活動であるのに対して、軍の活動は戦略レベルにも作戦レベルにもまたが るものである。人民解放軍は、心理戦を重視する伝統を持っており、さらに近年では輿論(よろん)戦、心理戦、法律戦の「三 戦」を重視している。現在、三戦は、さまざまなレベルのさまざまな軍関連組織において実施されると考えられる。 三戦専門の基地もあれば、各部隊において実施されるものもある。近年では党の活動と軍の活動は、重複する 部分が増えている。近年では、人工知能など新興技術の発展に伴い、これを駆使した知能化戦争への移行が模 索される中で、心理戦の延長として認知領域における作戦という概念が登場している。

こうした心理・認知領域における闘争が最も顕著に表れているのが、台湾に対する影響力工作である。サイバー 空間や人脈を通じたフェイクニュース拡散、軍関係者を含む台湾人への働きかけなど、党・人民解放軍による影 響力工作が幅広く行われており、台湾にとって大きな脅威となっている。

 

20221128-95618


 

 

年度 副題 テーマ
2023


認知領域とグレーゾーン事態の掌握を目指す中国


1 中国の軍事組織再編と非軍事的手段の強化
2 活発化する中国の影響力工作
3 海上で展開される中国のグレーゾーン事態
2022


統合作戦能力の深化を目指す中国人民解放軍
1 中国人民解放軍の統合作戦構想の変遷
2 改編された中国人民解放軍の統合作戦体制
3 軍改革における統合作戦訓練・人材育成体制の発展と党軍関係強化の模索
2021 新時代における中国の軍事戦略 1 情報化戦争の準備を進める中国
2 中国のサイバー戦略
3 中国における宇宙の軍事利用
4 中国の軍民融合発展戦略
2020 ユーラシアに向かう中国 1 中国のユーラシア外交
2 中央アジア・ロシアから見た中国の影響力拡大
3 ユーラシアにおけるエネルギー・アーキテクチャ
2019 アジアの秩序をめぐる戦略とその波紋 1 既存秩序と摩擦を起こす中国の対外戦略
2 中国による地域秩序形成とASEANの対応 ――「台頭」から「中心」へ
3 「一帯一路」と南アジア――不透明さを増す中印関係
4 太平洋島嶼国 ――「一帯一路」の南端
2018 岐路に立つ米中関係 1 中国の対米政策
2 米国の対中政策
3 地域における米中関係の争点
2017 変容を続ける中台関係 1 中国の台湾政策の変遷
2 台湾から見た中台関係
3 米国にとっての台湾問題
4 中台関係の変容と「現状維持」
2016 拡大する人民解放軍の活動範囲とその戦略 1 遠海での作戦能力強化を図る中国海軍
2 空軍の戦略的概念の転換と能力の増大
3 ミサイル戦力の拡充
4 統合的な作戦能力の強化
2014 多様化する人民解放軍・人民武装警察部隊の役割 1 中央国家安全委員会創設とその背景
2 人民武装警察部隊の歴史と将来像
3 人民解放軍による災害救援活動
4 軍事外交としての国連平和維持活動
5 ソマリア沖・アデン湾における海賊対処活動
2013   1 中国の対外危機管理体制
2 中国の危機管理概念
3 危機の中の対外対応
2012   1 「党軍」としての性格を堅持する人民解放軍
2 深化する軍と政府の政策調整
3 軍と政府が連携を深める安全保証政策
4 政策調整の制度化を求める人民解放軍
2011   1 海洋に向かう中国
2 南シナ海で摩擦を起こす中国
3 外洋に進出する中国海軍
4 対外園で発言力を増す人民解放軍
創刊号   1 中国の対外姿勢
2 拡大する活動範囲
3 役割を増す軍事外交
4 進む装備の近代化

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.28 防衛省 防衛研究所 中国安全保障レポート2022 ― 統合作戦能力の深化を目指す中国人民解放軍 ―

・2020.11.14 防衛省 防衛研究所 「中国安全保障レポート2021 ― 新時代における中国の軍事戦略 ―」は中国のサイバー戦略についての章がありますね

 

| | Comments (0)

NIST サイバーセキュリティ50周年 - NISTサイバーセキュリティプログラムの歴史と年表

こんにちは、丸山満彦です。

NIST(1988年までは旧NBS)は1972年から50年にわたり、サイバーセキュリティの研究を行い、産官学のためのサイバーセキュリティ・ガイダンスを開発してきていますが、主要な研究プロジェクト、プログラム、そして最終的にはNISTのサイバーセキュリティの歴史をざっと見るための年表を公表していますね。。。

興味深いです。。。

 

NIST - NIST Cybersecurity Program History and Timeline

米国標準局 (NBS) のコンピュータ科学技術研究所が、コンピュータ セキュリティ プログラムを確立したところから始まります...

1973年11月に発行された、

・[PDF] NBS Technical Note 809 Government Looks at Privacy and Security in Computer Systems

20221127-45130

 

・[PDF] NBS Special Publication 404 Approaches to Privacy and Security in Computer Systems

20221127-45947

 

1974年には、Privacy Act of 1974

そして、1976年は、

・1976.02.15 [PDF] FIPIS PUB 39 Glossary for Computer Sysytems Security

20221127-50714

用語ですが、あまり大きな違いはないのかもしれません。。。

 

・・・と続いていきます。。。

 


古い話であれば、私のブログにも。。。最近、サイバーセキュリティ業界に入ってきたかたは過去の歴史を知ることが意外と重要かもしれないので、、、

まるちゃんの情報セキュリティ気まぐれ日記

・2016.08.11 コンピュータ・セキュリティ -犯罪対策と災害対策-

・2006.04.25 米国 30年前のIT適用業務処理統制の項目

・2006.04.24 米国 30年前のIT全般統制の項目

 

| | Comments (0)

2022.11.27

個人情報保護委員会 第44回世界プライバシー会議(GPA)結果報告について「顔認識技術における個人情報の適切な利用に関する原則及び期待」

こんにちは、丸山満彦です。

第224回 個人情報保護委員会で、第44回世界プライバシー会議(GPA)結果報告が行われていて、「顔認識技術における個人情報の適切な利用に関する原則及び期待」に係る決議とその委員会による仮訳が公表されていますね。。。

個人情報保護委員会

・2022.11.16 第224回

(1) 第44回世界プライバシー会議(GPA)結果報告について

・[PDF] 資料1―1 第44回世界プライバシー会議(GPA)結果報告

・[PDF] 資料1-2 第44回世界プライバシー会議(GPA)における決議案一覧

・[PDF] 資料1-3 「顔認識技術における個人情報の適切な利用に関する原則及び期待」に係る決議(英語)

20221127-41354

・[PDF] 資料1-4 「顔認識技術における個人情報の適切な利用に関する原則及び期待」に係る決議(当委員会仮訳)

20221127-41546

 

the principles and expectations for the appropriate use of personal information in facial recognition technology
顔認識技術における個人情報の適切な利用に関する原則及び期待
1. LAWFUL BASIS 1.法的根拠
Organizations using facial recognition should have a clear lawful basis for the collection and use of biometrics.  顔認識を利用する組織は、バイオメトリクスの収集及び利用のための明確な法的根拠を持つべきである。 
2. REASONABLENESS, NECESSITY AND PROPORTIONALITY 2.合理性、必要性及び比例性
Organizations should establish, and be able to demonstrate, the reasonableness, necessity, and proportionality of their use of facial recognition technology.  組織は、顔認識技術の利用に関する合理性、必要性及び比例性を確立し、証明できるようにするべきである。
3. PROTECTION OF HUMAN RIGHTS 3.人権の保護
Organizations should in particular assess and protect against unlawful or arbitrary interference with privacy and other human rights.  組織は、特に、プライバシー及びその他の人権に対する不法な又は恣意的な干渉を評価し、保護するべきである。 
4. TRANSPARENCY 4.透明性
The use of facial recognition should be transparent to affected individuals and groups.  顔認識の利用は、影響を受ける個人及びグループに対して透明性のあるものにするべきである。 
5. ACCOUNTABILITY 5.責任
The use of facial recognition should include clear and effective accountability mechanisms.  顔認識の利用には、明確で効果的な責任メカニズムを含めるべきである。 
6. DATA PROTECTION PRINCIPLES 6.データ保護原則
The use of facial recognition should respect all data protection principles, including those referenced a 顔認識の利用は、上記で言及した原則を含む、すべてのデータ保護原則を尊重するべきである。 

 

2つ目の議題は、、、

(2) 電気通信事業法に基づく協議について

・[PDF] 資料2―1 電気通信事業法に基づく協議について

・[PDF] 資料2-2 電気通信事業法に基づく協議に対する回答(案) 

・[PDF] 参考 電気通信事業法に基づく協議に対する回答(令和4年11月16日付け個情第1972号)

・[PDF] 資料2-3 電気通信事業法施行規則改正案 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.01 第44回 世界プライバシー会議 顔認識に関する決議

 

 

顔認識についての記事...

・2022.11.04 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議 顔認証のユースケースを責任を持って制限するためのポリシーフレームワーク:法執行機関の捜査(2022年改訂版)

・2022.11.01 第44回 世界プライバシー会議 顔認識に関する決議

・2022.10.07 米国 科学技術政策局 AI権利章典の青写真

・2022.10.03 米国 2022年顔認識法案

・2022.07.12 米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07)

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.05.15 カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

2022.11.26

中国 パブコメ 重要情報インフラ サイバーセキュリティ対応システムフレームワーク (2022.11.17)

こんにちは、丸山満彦です。

中国の全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)、いわゆるTC260が重要情報インフラ事業者のサイバーセキュリティ対応システムフレームワークについての標準案を公表し、意見募集をしていますね。。。

データセンタ事業者や通信事業者に適用されるものだろうと思うのですが、日本の事業者にとっても参考になる部分はあるのだろうと思います。もちろん、伝統的な対策がほとんどなので、対策済みの項目がほとんどだろうとは思いますが...

 

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

・2022.11.17 关于国家标准《信息安全技术 关键信息基础设施网络安全应急体系框架》征求意见稿征求意见的通知

 

・[DOC] 信息安全技术 关键信息基础设施网络安全应急体系框架-标准文本.doc

・[PDF]

20221126-62418

 

信息安全技术 关键信息基础设施网络安全应急体系框架 情報セキュリティ技術 重要情報インフラ サイバーセキュリティ対応システムフレームワーク
1 范围 1 適用範囲
本文件给出了关键信息基础设施网络安全应急体系框架,包括机构设立、分析识别、应急预案、监测预警、应急处置、事后恢复与总结、事件报告与信息共享、应急保障、演练与培训。 本書は、重要情報インフラに対するサイバーセキュリティ緊急対応体制について、組織の設立、分析・識別、緊急対応計画、監視・早期警戒、緊急対応、事後復旧・総括、事故報告・情報共有、緊急防護、演習・訓練などの枠組みを示したものである。
本文件适用于关键信息基础设施运营者建立健全网络安全应急体系、开展网络安全应急活动,也可供关键信息基础设施安全保护的其他相关方参考。 本書は、重要情報インフラの運用者が、健全なサイバーセキュリティ緊急対応体制を構築し、サイバーセキュリティ緊急対応活動を行う際に適用できるとともに、重要情報インフラのセキュリティ保護に関わるその他の関係者にとっても参考となるものである。
2 规范性引用文件 2 規範となる引用文献
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 以下の文書の内容は、本文中の規範的な参照を通じて、この文書の本質的な規定を構成している。 このうち、日付のある文献については、その日付に対応するバージョンのみが本書に適用され、日付のない文献については、最新バージョン(すべての改訂シートを含む)が本書に適用される。
GB/Z 20986 信息安全技术 信息安全事件分类分级指南 GB/Z 20986 情報セキュリティ技術 情報セキュリティインシデントの分類および等級付けガイド
GB/T 25069—2022 信息安全技术 术语 GB/T 25069-2022 情報セキュリティ技術用語集
GB/T 39204—2022  信息安全技术  关键信息基础设施安全保护要求 GB/T 39204-2022 情報セキュリティ技術 重要情報インフラのセキュリティ保護に関する要求事項
GB/T AAAAA—XXXX 信息安全技术 网络安全信息共享指南 GB/T AAAAA-XXXX 情報セキュリティ技術 サイバーセキュリティに関する情報共有のためのガイドライン

 

 

目次的なもの。。。

 

信息安全技术 关键信息基础设施网络安全应急体系框架 情報セキュリティ技術 重要情報インフラ サイバーセキュリティ対応システムフレームワーク
1 范围 1 適用範囲
2 规范性引用文件 2 規範となる引用文献
3 术语和定义 3 用語の説明と定義
3.1 关键信息基础设施  critical information infrastructure 3.1 重要情報インフラ
3.2 网络安全事件  cybersecurity incident 3.2 サイバーセキュリティインシデント
3.3 应急响应  emergency response 3.3 緊急対応
3.4 应急预案  emergency plan 3.4 緊急対応計画 
3.5 网络安全应急相关方  cybersecurity emergency relevant party 3.5 サイバーセキュリティ緊急事態関連当事者
3.6 供应链  supply chain 3.6 サプライチェーン
3.7 关键业务链  critical business chain 3.7 主要事業チェーン
4 缩略语 4 略語
5 总体架构 5 一般的なアーキテクチャ
6 机构设立 6 機関の設立
7 分析识别 7 分析・識別
8 应急预案 8 緊急対応計画
9 监测预警 9 監視と早期警告
9.1 风险发现 9.1 リスクの検出
9.2 风险分析 9.2 リスク分析
9.3 风险预警 9.3 リスク早期警告
10 应急处置 10 緊急対応
10.1 概述 10.1 概要
10.2 应急处置机制 10.2 緊急対応メカニズム
10.3 业务应急处置 10.3 業務上の緊急対応
10.4 数据应急处置 10.4 データ緊急対応
10.5 供应链应急处置 10.5 サプライチェーンでの緊急対応
11 事后恢复与总结 11 事故後の復旧と棚卸し
12 事件报告与信息共享 12 インシデント報告および情報共有
12.1 事件报告 12.1 インシデント報告
12.2 信息共享 12.2 情報共有
12.2.1 信息共享机制 12.2.1 情報共有の仕組み
12.2.2 信息共享内容 12.2.2 情報共有の内容
13 应急保障 13 緊急時のセキュリティ
13.1 基础保障 13.1 基本的なセキュリティ
13.2 协同保障 13.2 協働セキュリティ
13.3 业务保障 13.3 オペレーショナルセキュリティ
13.4 数据保障 13.4 データセキュリティ
13.5 供应链保障 13.5 サプライチェーンセキュリティ
14 演练与培训 14 演習と訓練
14.1 演练 14.1 演習
14.2 培训 14.2 訓練

 

1_20221126064301

 

図1:CIIのサイバーセキュリティ緊急対応システムフレームワークの全体アーキテクチャ

・[DOCX] 仮対訳

 


 

意見募集の一覧

全国信息安全标准化技术委员会

标准征求意见(100件単位)

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2022.05.31 中国 意見募集 国家標準案 情報セキュリティ技術- インターネットプラットフォーム及び製品サービスにおけるプライバシーポリシー要求事項

・2021.01.27 中国 TC260 パブコメ ブロックチェーン情報サービスのセキュリティ仕様他

 

 

| | Comments (0)

2022.11.25

ENISA EUにおけるサイバーセキュリティ投資 2022

こんにちは、丸山満彦です。

ENISAがセキュリティ投資に関する報告書2022年版を公表していますね。。。

なかなか興味深いです。。。

健康セクター、エネルギーセクターについては詳細な分析をしていますね。。。そして、大企業と中小企業の比較とかも。。。

昨年に比べて、セキュリティに対する投資が減少しているようです。。。

 

ENISA

・2022.11.23 Cybersecurity Investments in the EU: Is the Money Enough to Meet the New Cybersecurity Standards?

 

Cybersecurity Investments in the EU: Is the Money Enough to Meet the New Cybersecurity Standards? EUにおけるサイバーセキュリティへの投資。新しいサイバーセキュリティ基準を満たすための資金は十分か?
The European Union Agency for Cybersecurity publishes the latest report on Network and Information Security Investments in the EU providing an insight on how the NIS Directive has impacted the cybersecurity budget of operators over the past year with deep-dives into the Energy and Health sectors. 欧州連合サイバーセキュリティ機関は、EUにおけるネットワークと情報セキュリティへの投資に関する最新報告書を発表し、NIS指令が過去1年間に事業者のサイバーセキュリティ予算に与えた影響について、エネルギーと健康分野を深く掘り下げて考察している。
The report analyses data collected from Operators of Essential Services (OES) and from Digital Service Providers (DSP) identified in the European Union's Directive on Network and Information Security Systems (NIS Directive). The analysis seeks to understand whether those operators have invested their budgets differently over the past year in order to meet the new requirements set by the legislative text. この報告書では、EUの「ネットワークおよび情報セキュリティシステムに関する指令(NIS指令)」で特定された「必須サービス事業者(OES)」と「デジタルサービス事業者(DSP)」から収集したデータを分析している。この分析では、これらの事業者が、法文で定められた新たな要件を満たすために、過去1年間に異なる形で予算を投じたかどうかを理解することを目的としている。
EU Agency for Cybersecurity, Executive Director, Juhan Lepassaar, declared: “The resilience of our EU critical infrastructures and technologies will highly depend on our ability to make strategic investments. I am confident that we have the competence and skills driving us to achieve our goal, which is to ensure we will have the adequate resources at hand to further develop our cybersecurity capacities across all economic sectors of the EU." EUサイバーセキュリティ機関、エグゼクティブディレクターのJuhan Lepassaarは、次のように宣言している。「EUの重要なインフラと技術のレジリエンスは、戦略的な投資を行う能力に大きく依存する。私は、EUのすべての経済部門にわたってサイバーセキュリティ能力をさらに発展させるための適切なリソースを手元に確保するという目標を達成するための能力とスキルを、私たちが持っていると確信している。」
Contextual parameters framing the analysis 分析を構成する文脈的パラメータ
The report includes an analysis reaching more than 1000 operators across the 27 EU Member States. Related results show that the proportion of Information Technology (IT) budget dedicated to Information Security (IS) appears to be lower, compared to last year's findings, dropping from 7.7% to 6.7%. 本報告書には、27のEU加盟国にわたる1000以上の事業者を対象とした分析が含まれている。その結果、情報技術(IT)予算のうち情報セキュリティ(IS)に充てられる割合は、昨年の調査結果と比較して低くなっており、7.7%から6.7%に減少していることが判明した。
These numbers should be conceived as a general overview of information security spending across a varied typology of strategic sectors. Accordingly, specific macroeconomic contingencies such as COVID19 may have influenced the average results.   これらの数値は、戦略部門の様々な類型における情報セキュリティ支出の一般的な概観として理解されるべきである。したがって、COVID19のような特定のマクロ経済的偶発事象が平均結果に影響を及ぼしている可能性がある。 
What are the key findings? 重要な発見
The NIS Directive, other regulatory obligations and the threat landscape are the main factors impacting information security budgets; NIS指令、その他の規制義務、脅威の状況が、情報セキュリティ予算に影響を与える主な要因である。
Large operators invest EUR 120 000 on Cyber Threat Intelligence (CTI) compared to EUR 5 500 for SMEs, while operators with fully internal or insourced SOCs spend around EUR 350 000 on CTI, which is 72% more than the spending of operators with a hybrid SOC; 大規模事業者はサイバー脅威インテリジェンス(CTI)に12万ユーロを投資しているのに対し、中小企業は5500ユーロ、完全内部またはインソースSOCを持つ事業者はCTIに約35万ユーロを費やしており、ハイブリッドSOCを持つ事業者の支出より72%多い。
The health and banking sectors bear the heaviest cost among the critical sectors in case of major cybersecurity incidents with the median direct cost of an incident in these sectors amounting to EUR 300 000; 大規模なサイバーセキュリティインシデントが発生した場合、重要なセクターの中で最も重いコストを負担するのは医療と銀行セクターであり、これらのセクターにおけるインシデントの直接コストの中央値は30万ユーロにのぼる。
37% of Operators of Essential Services and Digital Service Providers do not operate a SOC;  重要サービス事業者とデジタルサービス事業者の37%は、SOCを運用していない。 
For 69% the majority of their information security incidents are caused by vulnerabilities in software or hardware products with the health sector declaring the higher number of such incidents; 69%の事業者が、情報セキュリティ事故の大半をソフトウェアまたはハードウェア製品の脆弱性に起因させるとしており、その件数は医療セクターが突出して多いとしている。
Cyber insurance has dropped to 13% in 2021 reaching a low 30% compared to 2020; サイバー保険は、2021年には13%に低下し、2020年と比較して30%という低い水準に達している。
Only 5% of SMEs subscribe to cyber insurance; 中小企業でサイバー保険に加入しているのはわずか5%。
86% have implemented third-party risks management policies. 86%が第三者リスクマネジメントを導入している。
Key findings of Health and Energy sectors 健康分野とエネルギー分野の主な調査結果
・Health ・健康分野
From a global perspective, investments in ICT for the health sector seem to be greatly impacted by COVID-19 with many hospitals looking for technologies to expand healthcare services to be delivered beyond the geographical boundaries of hospitals. Still, cybersecurity controls remain a top priority for spending with 55% of health operators seeking increased funding for cybersecurity tools. グローバルな視点から見ると、健康分野へのICT投資はCOVID-19の影響を大きく受けているようで、多くの病院が病院の地理的な境界を越えて提供される医療サービスを拡大するための技術を求めているようである。それでも、サイバーセキュリティ対策は依然として支出の最優先事項であり、医療事業者の55%がサイバーセキュリティ・ツールのための資金増額を求めている。
64% of health operators already resort to connected medical devices and 62% already deployed a security solution specifically for medical devices. Only 27% of surveyed OES in the sector have a dedicated ransomware defence programme and 40% of them have no security awareness programme for non-IT staff. 医療事業者の64%は、すでに接続された医療機器に頼り、62%は医療機器専用のセキュリティソリューションをすでに導入している。 この分野の調査対象OESのうち、ランサムウェア専用の防御プログラムを実施しているのは27%のみで、40%は非ITスタッフ向けのセキュリティ啓発プログラムを持っていない。
・Energy ・エネルギー
Oil and gas operators seem to prioritise cybersecurity with investments increasing at a rate of 74%.  Energy sector shows a trend in investments shifting from legacy infrastructure and data centres to cloud services. 石油・ガス事業者は、サイバーセキュリティを優先しているようで、投資額は74%の割合で増加している。 エネルギー分野では、レガシーインフラやデータセンターからクラウドサービスへと投資がシフトしている傾向が見られる。
However, 32% of operators in this sector do not have a single critical Operation Technology (OT) process monitored by a SOC. OT and IT are covered by a single SOC for 52% of OES in the energy sector. しかし、この分野の事業者の32%は、SOCによって監視されている重要なオペレーションテクノロジー(OT)プロセスを1つも持っていない。 エネルギー分野のOESの52%では、OTとITが1つのSOCでカバーされている。
Background 背景
The objective of the Directive on Security of Network and Information Systems (NIS Directive) is to achieve a high common level of cybersecurity across all Member States. ネットワークと情報システムのセキュリティに関する指令(NIS指令)の目的は、全加盟国に共通する高いレベルのサイバーセキュリティを実現することである。
One of the three pillars of the NIS Directive is the implementation of risk management and reporting obligations for OES and DSP. NIS指令の3つの柱の1つは、OESとDSPに対するリスクマネジメントと報告義務の実施である。
OES provide essential services in strategic sectors of energy (electricity, oil and gas), transport (air, rail, water and road), banking, financial market infrastructures, health, drinking water supply and distribution, and digital infrastructure (Internet exchange points, domain name system service providers, top-level domain name registries). OESは、エネルギー(電力、石油、ガス)、輸送(航空、鉄道、水、道路)、銀行、金融市場インフラ、健康、飲料水の供給と配給、デジタルインフラ(インターネット交換ポイント、ドメインネームシステムサービスプロバイダ、トップレベルドメイン名レジストリ)の戦略的分野で必須サービスを提供している。
DSP operate in an online environment, namely online marketplaces, online search engines and cloud computing services. DSPはオンライン環境、すなわちオンラインマーケットプレイス、オンライン検索エンジン、クラウドコンピューティングサービスにおいて事業を展開している。
The report investigates how operators invest in cybersecurity and comply with the objectives of the NIS Directive. It also gives an overview of the situation in relation to such aspects as IT security staffing, cyber insurance and organisation of information security in OES and DSP. この報告書では、事業者がどのようにサイバーセキュリティに投資し、NIS指令の目的を遵守しているかを調査している。また、OESとDSPにおけるITセキュリティの人材配置、サイバー保険、情報セキュリティの組織といった側面に関する状況についても概要を示している。
Further information 詳細はこちら
NIS Investments – ENISA report 2022 NIS投資 - ENISA報告書2022
NIS Investments – ENISA Report 2021 NIS投資 - ENISA報告書2021
NIS Investments – ENISA Report 2020 NIS投資 - ENISA報告書2020
ENISA Topic - NIS Directive ENISA トピック - NIS 指令

 

・2022.11.23 NIS Investments 2022

NIS Investments 2022 NIS投資 2022年
This report marks the third iteration of ENISA's NIS Investments report, which collects data on how Operators of Essential Services (OES) and Digital Service Providers (DSP) identified in the European Union’s directive on security of network and information systems (NIS Directive) invest their cybersecurity budgets and how this investment has been influenced by the NIS Directive. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics. This year's report presents data collected from 1080 OES/DSPs from all 27 EU Member States and can now provide a historical dataset that allows for year-on-year comparison and identification of trends. Moreover, sectorial deep dives were conducted for the Energy and Health sectors. Overall, a number of absolute values, such as IT and Information Security (IS) budgets or % of IT budgets spent on IS seem to be significantly lower compared to last year. This can be attributed to the composition of the survey sample and to the higher representation of OES from the Energy and Health sectors due to the sectorial deep dives, but also to the macroeconomic environment, such as the COVID-19 impact on the respective budgets. 本報告書は、ENISAのNIS Investments報告書の第3版であり、欧州連合のネットワークと情報システムのセキュリティに関する指令(NIS指令)で特定されたOperators of Essential Services(OES)とDigital Service Providers(DSP)が、サイバーセキュリティ予算をどのように投資し、この投資がNIS指令にどのように影響されてきたかというデータを収集したものである。さらに、グローバルなサイバーセキュリティ市場の動向を、ガートナーのセキュリティデータと世界およびEUで観測された知見を通じて紹介し、関連するダイナミクスをより深く理解できるようにしている。今年の報告書では、EU加盟全27カ国の1080のOES/DSPから収集したデータを紹介しており、前年比やトレンドの特定を可能にする履歴データセットを提供できるようになった。さらに、エネルギーと健康の分野では、分野別の深堀りが行われた。全体として、ITおよび情報セキュリティ(IS)予算や、IT予算のうちISに費やされた割合など、多くの絶対値が昨年に比べて大幅に減少しているようである。これは、調査サンプルの構成や、エネルギー・健康分野の深堀りによりOESの比率が高くなったことに加え、COVID-19が各予算に与える影響など、マクロ経済環境にも起因していると思われる。

 

・[PDF] NIS Investments 2022

20221125-35334

・[DOCX] 仮訳

 

 

エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
This report marks the third iteration of ENISA's NIS Investments report, which collects data on how Operators of Essential Services (OES) and Digital Service Providers (DSP) identified in the European Union’s directive on security of network and information systems (NIS Directive)[1] invest their cybersecurity budgets and how this investment has been influenced by the NIS Directive. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics.  本報告書は、ENISAのNIS投資報告書の第3弾となる。本報告書では、ネットワークと情報システムのセキュリティに関する欧州連合の指令(NIS指令)[1] で特定された事業者(OES)とデジタルサービスプロバイダー(DSP)が、サイバーセキュリティ予算をどう投資し、この投資がNIS指令にどう影響されてきたかというデータを集めている。さらに、グローバルなサイバーセキュリティ市場の動向を、ガートナーのセキュリティデータとグローバルおよびEUで観測されたインサイトを通じて提示し、関連する力学の理解を深めている。 
This year's report presents data collected from 1080 OES/DSPs from all 27 EU Member States and can now provide a historical dataset that allows for year-on-year comparison and identification of trends. Moreover, sectorial deep dives were conducted for the Energy and Health sectors.  今年の報告書は、EU全27加盟国の1080のOES/DSPから収集したデータを掲載しており、前年比や傾向の特定が可能な履歴データセットを提供できるようになった。さらに、エネルギーと健康の分野では、セクター別のディープダイブを実施した。 
Overall, a number of absolute values, such as IT and Information Security (IS) budgets or % of IT budgets spent on IS seem to be significantly lower compared to last year. This can be attributed to the composition of the survey sample and to the higher representation of OES from the Energy and Health sectors due to the sectorial deep dives, but also to the macroeconomic environment, such as the COVID-19 impact on the respective budgets.  全体として、ITや情報セキュリティ(IS)予算、IT予算のうちISに費やされた割合など、多くの絶対値が昨年と比べて著しく低くなっているようである。これは、調査サンプルの構成や、セクター別の深堀りによりエネルギー部門と健康部門のOESの割合が高くなったことに加え、COVID-19が各予算に与える影響などマクロ経済環境にも起因していると思われる。 
Other key findings of the report include:  その他の主な調査結果は以下のとおりである。 
•        The median percentage of IT budgets spent on IS is 6.7 %, 1 percentage point lower compared to last year's findings.  •       IT予算のうちISに費やす割合の中央値は6.7%で、昨年の調査結果と比べて1ポイント低くなっている。 
•        The NIS Directive and other regulatory obligations, as well as the threat landscape are the main factors influencing IS budgets.  •       NIS指令やその他の規制義務、そして脅威の状況は、IS予算に影響を与える主な要因となっている。 
•        Large operators invest significantly more on CTI compared to smaller ones with the median spend on CTI across OES/DSPs being EUR 50 000. Internal SOC capabilities seem to be very closely correlated with CTI spending, even though CTI is useful outside the context of SOC operations likely indicating the need to facilitate access to CTI for smaller operators.  •       大規模な事業者は、小規模な事業者に比べて CTI への投資が著しく多く、OES/DSP 全体の CTI への支出の中央値は 50,000 ユーロであった。内部 SOC 能力は、CTI が SOC 操作のコンテキスト以外でも有用であるにもかかわらず、CTI 支出と非常に密接な相関関係があるようで、小規模事業者が CTI にアクセスしやすくする必要があることを示しているようである。 
•        The estimated direct cost of a major security incident is EUR 200 000 on median, twice as large as last year, indicating an increase in the cost of incidents. Health and Banking remain the top two sectors in terms of incident cost.  •       大規模なセキュリティインシデントの推定直接コストは中央値で20万ユーロと、昨年の2倍となっており、インシデントのコストが増加していることがわかる。インシデントコストの上位2部門は、引き続き「医療」と「銀行」である。 
•        37% of the OESs and DSPs in the EU do not operate a dedicated SOC.  •       EUのOESとDSPの37%は、専用のSOCを運用していない。 
•        30% of OES/DSPs possessed cyber insurance in 2021, a decrease of 13% compared to 2020, with only 5% of SMEs subscribing to cyber insurance.  •       2021年にサイバー保険を保有するOES/DSPは30%で、2020年と比較して13%減少し、中小企業のサイバー保険への加入は5%にとどまった。 
•        86% of OES/DSPs have implemented third-party risks management though only 47% have a dedicated TRM budget and only 24% have a dedicated TRM role.  •       OES/DSPの86%がサードパーティリスクマネジメントを導入しているが、TRM専用の予算があるのは47%、TRM専門の役割があるのは24%に過ぎない。 
•        32% of the OESs within the Energy sector indicate that none of their critical OT processes are monitored by a SOC.  •       エネルギーセクターのOESの32%は、重要なOTプロセスのどれもがSOCによって監視されていないと回答している。 
•        Only 27% of surveyed OES in the Health sector have a dedicated ransomware defence programme and 40% of surveyed OES have no security awareness programme for non-IT staff.   •       保健医療分野の調査対象企業のうち、ランサムウェア専用の防御プログラムを実施しているのはわずか27%で、調査対象企業の40%は、IT部門以外のスタッフに対するセキュリティ啓発プログラムを実施していない。  

 

 

目次...

1. INTRODUCTION 1.はじめに
2. INFORMATION SECURITY DYNAMICS AND OUTLOOK 2.情報セキュリティーの動態と展望
2.1 TRENDS IN INFORMATION SECURITY AND SPENDING ON THREAT INTELLIGENCE 2.1 情報セキュリティの動向と脅威インテリジェンスへの支出
2.1.1 Forecast spending on Information security 2.1.1 情報セキュリティへの支出予測
2.1.2 Spending forecast on cyber threat intelligence 2.1.2 サイバー脅威インテリジェンスへの支出予測
2.2 SECTOR SPECIFIC TRENDS IN SPENDING ON TECHNOLOGY 2.2 技術への支出におけるセクター別の傾向
2.2.1 Technology investments in the Health sector 2.2.1 健康分野への技術投資
2.2.2 Technology investments in the Energy sector 2.2.2 エネルギー分野への技術投資
2.3 TOP STRATEGIC TRENDS IN CYBERSECURITY 2.3 サイバーセキュリティのトップ戦略トレンド
2.3.1 Reframing the security practice 2.3.1 セキュリティの実践をリフレーミングする
2.3.2 Rethinking technology 2.3.2 技術を再考する
2.4 THE CHANGING CYBER THREAT LANDSCAPE 2.4 変化するサイバー脅威の状況
2.4.1 Attack surface expansion 2.4.1 攻撃面の拡大
2.4.2 Identity threat detection and response (ITDR) 2.4.2 アイデンティティ脅威の検知と対応
2.4.3 Digital supply chain risks 2.4.3 デジタルサプライチェーンリスク
2.5 THE ONGOING CYBERSECURITY TALENT CRUNCH 2.5 サイバーセキュリティの人材不足が進行中
2.5.1 Leverage non-traditional labour pools and profiles 2.5.1 非伝統的な労働力とプロファイルを活用する
2.5.2 Prioritise and implement relevant technology 2.5.2 関連技術の優先順位付けと導入
2.5.3 Strengthen employee value propositions 2.5.3 従業員への価値提案の強化
2.5.4 Redesign work 2.5.4 リデザイン作業
2.6 ENISA FORESIGHT 2.6 ENISA FORESIGHT
3. INFORMATION SECURITY INVESTMENTS FOR OESs AND DSPs 3.OESおよびDSPの情報セキュリティ投資について
3.1 METHODOLOGY 3.1 方法論
3.2 SPENDING ON INFORMATION SECURITY 3.2 情報セキュリティーのための支出
3.2.1 IT spending 3.2.1 IT投資
3.2.2 IS spending 3.2.2 IS支出
3.2.3 IS spending as a share of IT spending 3.2.3 IT支出に占めるIS支出の割合
3.2.4 Cyber threat intelligence (CTI) spending 3.2.4 サイバー脅威情報(CTI)支出
3.2.5 External factors impacting cybersecurity investment strategies 3.2.5 サイバーセキュリティの投資戦略に影響を与える外部要因
3.3 INFORMATION SECURITY AND NIS STAFFING 3.3 情報セキュリティとNISの人員配置
3.3.1 IT FTEs 3.3.1 IT FTEs
3.3.2 IS FTEs 3.3.2 IS FTEs
3.3.3 IS FTE as a share of IT FTEs 3.3.3 IS FTE が IT FTE に占める割合
4. SECURITY INCIDENTS AND CYBERSECURITY CAPABILITIES 4.セキュリティインシデントとサイバーセキュリティ能力
4.1 CYBERSECURITY INCIDENTS 4.1 サイバーセキュリティのインシデント
4.2 NATURE AND COSTS OF MAJOR SECURITY INCIDENTS 4.2 重大なセキュリティインシデントの性質とコスト
4.3 SECURITY OPERATIONS CENTRES (SOC) 4.3 セキュリティオペレーションセンター(Soc)
4.4 PATCHING 4.4 パッチング
4.5 CYBER INSURANCE 4.5 サイバー保険
4.6 VULNERABILITY MANAGEMENT 4.6 脆弱性の管理
4.7 CYBERSECURITY SKILLS 4.7 サイバーセキュリティのスキル
5. SUPPLY-CHAIN SECURITY 5.サプライチェーンセキュリティ
5.1 THIRD-PARTY RISK MANAGEMENT (TRM) POLICIES 5.1 第三者リスク管理(TRM)方針
5.2 TRM BUDGET 5.2 TRM 予算
5.3 TRM ROLES AND RESPONSIBILITIES 5.3 TRM の役割と責任
5.4 RISK MITIGATING TECHNIQUES 5.4 リスク軽減のための技術
5.5 EUROPEAN CYBERSECURITY REQUIREMENTS 5.5 欧州のサイバーセキュリティ要件
6. SECTORAL ANALYSIS: ENERGY 6.セクター別分析:エネルギー
6.1 DEMOGRAPHICS OF A SECTORIAL DEEP DIVE 6.1 セクター別ディープダイブのデモグラフィック
6.2 INVESTMENT AND STAFFING INFORMATION 6.2 投資と人材に関する情報
6.3 CERTIFICATION SCHEMES 6.3 認証スキーム
6.4 OPERATIONAL TECHNOLOGY (OT) SECURITY 6.4 オペレーショナルテクノロジー(OT)セキュリティ
6.5 CYBERSECURITY CERTIFICATION 6.5 サイバーセキュリティ認証
7. SECTORAL ANALYSIS: HEALTH 7.セクター別分析:健康
7.1 DEMOGRAPHICS OF A SECTORIAL DEEP DIVE 7.1 セクター別ディープダイブのデモグラフィック
7.2 INVESTMENT AND STAFFING INFORMATION 7.2 投資と人材に関する情報
7.3 CONNECTED MEDICAL DEVICES AND CLOUD PLATFORMS IN HEALTH 7.3 健康におけるコネクテッド・メディカル・デバイスとクラウド・プラットフォーム
7.4 MEDICAL DEVICES SECURITY 7.4 医療機器のセキュリティ
7.5 RANSOMWARE DEFENCE AND AWARENESS TRAINING 7.5 ランサムウェアの防御と意識向上トレーニング
7.6 CYBERSECURITY CERTIFICATION 7.6 サイバーセキュリティ認証
8. SME VS LARGE ENTERPRISES 8.SMEと大企業の比較
8.1 SME AND LE DISTRIBUTION BY MEMBER STATE AND SECTOR 8.1 加盟国・セクター別のSMEとLEの分布
8.2 IS SPEND AS A SHARE OF IT SPEND FOR SMEs AND LEs 8.2 中小企業および大企業の IT 投資に占める IS 支出の割合
8.3 CTI SPENDING FOR SMEs AND LEs 8.3 中小企業および大企業に対する CTI 支出
8.4 IS FTEs AS A SHARE OF IT FTEs FOR SMEs AND LEs 8.4 中小企業および大企業のITスタッフに占めるIS FTEsの割合
8.5 SOC CAPABILITIES FOR SMEs AND LEs 8.5 中小企業および LE の社会的能力
8.6 SHARE OF ASSETS VISIBILITY FOR PATCHING FOR SMEs AND LEs 8.6 中小企業および大企業のパッチ適用における資産可視化の割合
8.7 AVERAGE TIME TO PATCH CRITICAL VULNERABILITIES IN IT ASSETS FOR SMEs AND LEs 8.7 中小企業および大企業の IT 資産における重大な脆弱性の修正に要する平均時間
8.8 CYBER INSURANCE FOR SMEs AND LEs 8.8 中小企業および LE のためのサイバー保険
8.9 VULNERABILITY MANAGEMENT FOR SMEs AND LEs 8.9 中小企業および大企業の脆弱性管理
8.10 THIRD PARTY RISK MANAGEMENT (TRM) POLICIES FOR SMEs AND LEs 8.10 中小企業及び大企業の第三者リスク管理(TRM)方針
8.11 CYBERSECURITY SKILLS FOR SMEs AND LEs 8.11 中小企業および LE のためのサイバーセキュリティ・スキル
8.12 EUROPEAN CYBERSECURITY REQUIREMENTS FOR SMEs AND LEs 8.12 中小企業及び大企業に対する欧州のサイバーセキュリティ要求事項
9. CONCLUSIONS 9.結論
A ANNEX: NIS DIRECTIVE SURVEY DEMOGRAPHICS A 附属書:NIS ディレクティブ調査人口統計データ
B ANNEX: DEFINITIONS B 附属書:定義
B.1 MEDIAN AND AVERAGE DEFINITIONS B.1 中央値および平均値の定義
B.2 CAGR DEFINITION B.2 CAGRの定義
B.3 SME DEFINITION B.3 SME の定義
C ANNEX: ACRONYMS C 附属書:頭字語

 

参考...

 

OESとDSP

Operators of Essential Services (OES)  基幹サービス事業者 (OES)
•        Energy (electricity, oil and gas)  ・エネルギー(電気,石油,ガス)
•        Transport (air, rail, water and road)  ・輸送(航空, 鉄道, 海上, 道路)
•        Banking  ・銀行
•        Financial market infrastructures  ・金融市場インフラストラクチャー
•        Health  ・医療機関
•        Drinking water supply and distribution  ・飲料水の供給と配給
•        Digital infrastructure  ・デジタルインフラ
Digital Service Providers (DSP) デジタルサービスプロバイダ (DSP)
•        Online marketplace  ・オンライン・マーケットプレイス
•        Online search engine  ・オンライン検索エンジン
•        Cloud computing service  ・クラウドコンピューティングサービス

 

 

 


昨年の...

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.26 ENISA NIS投資動向報告書2021 at 2021.11.17

 

 

 

| | Comments (0)

欧州データ保護委員会 パブコメ コントローラ用 拘束的企業準則 (BCR-C) (2022.11.15)

こんにちは、丸山満彦です。

欧州データ保護委員会がコントローラ用拘束的企業準則 (BCR-C) を公開し、意見募集をしていますね。。。既存のガイダンスをCJEUのSchrems II判決の要件に一致させるための改訂という感じですね。。。

日本では、IIJがBCRを活用していますね。。。

 

European Data Protection Board: EDPB

・2022.11.15 EDPB adopts Recommendations on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules

EDPB adopts Recommendations on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules EDPB、承認申請とコントローラ用 拘束的企業準則の要素および原則に関する勧告を採択
During its November plenary, the EDPB adopted Recommendations on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules (BCR-C). These recommendations form an update of the existing BCR-C referential, which contain criteria for BCR-C approval, and merge it with the standard application form for BCR-C. The new recommendations build upon the agreements reached by data protection authorities in the course of approval procedures on concrete BCR applications since the entering into application of the GDPR. The recommendations provide additional guidance and aim to ensure a level playing field for all BCR applicants. The recommendations also bring the existing guidance in line with the requirements in the CJEU’s Schrems II ruling. EDPBは、11月の総会において、コントローラ用 拘束的企業準則 (BCR-C)の承認申請および要素・原則に関する勧告を採択した。この勧告は、BCR-C承認のための基準を含む既存のBCR-Cリファレンスを更新し、BCR-Cの標準申請書と統合するものである。この新しい勧告は、GDPRの適用開始以来、具体的なBCR申請に関する承認手続きの過程でデータ保護当局が達成した合意に基づいている。この勧告は、追加のガイダンスを提供し、すべてのBCR申請者に公平な競争の場を保証することを目的としている。また、この勧告は、既存のガイダンスをCJEUのSchrems II判決の要件に一致させるものである。
BCR-Cs are a transfer tool that can be used by a group of undertakings or enterprises, engaged in a joint economic activity, to transfer personal data outside the European Economic Area to controllers or processors within the same group. BCRs create enforceable rights and set out commitments to establish a level of data protection essentially equivalent to the one provided by the GDPR. BCR-Cは、共同経済活動を行う企業グループが、欧州経済領域外の個人データを同じグループ内の管理者または処理者に移転するために使用できる移転手段である。BCRは、強制力のある権利を創出し、GDPRが提供するものと本質的に同等のデータ保護レベルを確立するためのコミットメントを定めている。
The aim of these recommendations is to: 本勧告の目的は、以下のとおりである。
・provide an updated standard application form for the approval of BCR-Cs; ・BCR-Cの承認のための標準的な申請書の更新を提供する。
・clarify the necessary content of BCR-Cs and provide further explanation; ・BCR-Cの必要な内容を明確にし、さらなる説明を提供する。
・make a distinction between what must be included in a BCR-C and what must be presented to the BCR lead data protection authority in the BCR application; ・BCR-Cに含まれなければならないものと、BCR申請においてBCRリードデータ保護当局に提示しなければならないものを区別する。
A second set of recommendations for BCR-processors is currently being developed. プロセッサー用BCRに対する第2の勧告は、現在策定中である。
The recommendations will be subject to public consultation until 10 January 2023 勧告は、2023年1月10日まで公開協議の対象となる予定である。

 

・2022.11.17 Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR)

Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR) 承認申請に関する勧告1/2022、及びコントローラー用拘束的企業準則(GDPR第47条)に見出されるべき要素及び原則に関する勧告
The European Data Protection Board welcomes comments on the Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR). 欧州データ保護委員会は、承認申請に関する勧告1/2022およびコントローラー拘束力のある企業規則(GDPR第47条)に見出される要素および原則に関するコメントを歓迎する。
Such comments should be sent 10th January 2023 at the latest using the provided form. このようなコメントは、遅くとも2023年1月10日までに、所定のフォームを使用して送信すること。
Please note that, by submitting your comments, you acknowledge that your comments might be published on the EDPB website. なお、コメントを送信することにより、あなたのコメントがEDPBのウェブサイトに掲載される可能性があることを了承したものとみなされる。
The EDPB Secretariat staff screens all replies provided before publication (only for the purpose of blocking unauthorised submissions, such as spam), after which the replies are made available to the public directly on the EDPB public consultations’ page. Unauthorised submissions are immediately deleted. The attached files are not altered in any way by the EDPB. EDPB事務局では公開前に全ての返信を審査し(スパムなど不正な投稿をブロックする目的のみ)、その後EDPB公開協議のページで直接公開される。無許可の投稿は直ちに削除されます。添付されたファイルは、EDPBによって一切変更されない。
Please, note that regardless the option chosen, your contribution may be subject to a request for access to documents under Regulation 1049/2001 on public access to European Parliament, Council and Commission documents. In this case the request will be assessed against the conditions set out in the Regulation and in accordance with applicable data protection rules. なお、どのオプションを選択したかにかかわらず、あなたの投稿は、欧州議会、理事会、欧州委員会の文書への一般アクセスに関する規則1049/2001に基づく文書アクセス要求の対象となる可能性があることを了承すること。この場合、要求は同規則に規定された条件と、適用されるデータ保護規則に従って評価される。
All legal details can be found in our Specific Privacy Statement (SPS). すべての法的な詳細は、当社の特定個人情報保護方針(SPS)に記載されている。

 

・2022.11.17 [PDF] Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR)

20221125-10958

・[DOCX] 仮訳

 

 

| | Comments (0)

2022.11.24

ノルウェイ フランス ドイツ オランダ等 ワールドカップが開催されているカタールのアプリについての警告 (2022.11.14-)

こんにちは、丸山満彦です。

FIFA World Cup 2022では、日本がドイツに2-1で勝ち、わいているところですが、、、

Fifa

ノルウェイ フランス ドイツ オランダ等の個人データ保護委員会がワールドカップが開催されているカタールのアプリ (ワールド カップの公式アプリである「Hayya」、感染追跡アプリ「Ehteraz」) について、電話通話履歴を取得している等、広範囲な個人データを取得している可能性があるので、使い捨て携帯にアプリをダウンロードして利用をすることを推奨するなど、警告を出していますね。。。

ノルウェイ

Datatilsynet

Datatilsynet

・2022.11.14 Apper under Qatar-VM

Apper under Qatar-VM カタール ワールド カップ期間中のアプリ
Alle som reiser til Qatar for å følge fotball-VM, kan bli bedt om å laste ned to qatarske apper. Appene kan potensielt brukes til å overvåke de tilreisende. Vi har laget noen råd om hva du kan gjøre i denne situasjonen. FIFA ワールド カップを観戦するためにカタールに旅行する人は誰でも、2 つのカタール アプリをダウンロードするよう求められる。アプリは、訪問者を監視するために使用できる可能性がある。このような状況であなたができることについて、いくつかのアドバイスを用意した。
Tilreisende til Qatar-VM blir bedt om å laste ned appen Hayya, den offisielle VM-appen. Denne har fått kritikk blant annet for å overvåke brukernes lokasjon. カタール ワールド カップの来場者は、ワールド カップの公式アプリである Hayya アプリをダウンロードするよう求められる。これは、とりわけ、ユーザーの位置を監視するため、批判を受けている。
Dersom du trenger å oppsøke helsehjelpfasiliteter i Qatar, vil du også bli bedt om å laste ned appen Ehteraz, en smittesporingsapp. Ehteraz har mottatt sterk kritikk fordi appen kan brukes til å hente ut personopplysninger fra brukernes mobiltelefoner (nrk.no). Den norske ambassaden i Abu Dhabi (De forente arabiske emirater), som er sideakkridert til Qatar, har gjort oss oppmerksom på at obligatorisk forhåndsregistrering i denne appen ble opphevet i starten av november 2022. カタールの医療施設を訪問する必要がある場合は、感染追跡アプリである Ehteraz アプリのダウンロードも求められる。 Ehteraz は、このアプリを使用してユーザーの携帯電話から個人データを抽出できるため、強い批判を受けている (nrk.no)。カタールに認可されているアブダビ (アラブ首長国連邦) のノルウェー大使館は、このアプリでの必須の事前登録が 2022 年 11 月の初めに解除されたことを通知した。
Vide tilganger 広いアクセス
Datatilsynet vet ikke hva disse appene faktisk gjør eller hva brukernes personopplysninger eventuelt vil bli brukt til. ノルウェーのデータ保護機関は、これらのアプリが実際に何をするのか、ユーザーの個人データが何に使用される可能性があるのか​​を知らない。
- Vi er foruroliget over de vide tilgangene appene krever. Det er en reell mulighet for at tilreisende til Qatar, og særlig utsatte grupper, blir overvåket av qatarske myndigheter. Datatilsynet har ikke mulighet til å gripe inn mot dette, sier seksjonsjef for internasjonal seksjon i Datatilsynet, Tobias Judin. ・私たちは、アプリが必要とする広範なアクセスに警戒している。カタールへの訪問者、特に脆弱なグループがカタール当局によって監視される可能性が現実にある。ノルウェイのデータ保護機関の国際セクションの責任者であるトビアス・ジュディンは次のように述べている。「ノルウェイのデータ保護機関には、これに対して介入する機会がない。」
Det finnes imidlertid forhåndsregler du kan ta som reisende. ただし、旅行者としてできる注意事項がある。
Råd for privatpersoner som er bekymret 気になるという個人へのアドバイス
Når du reiser med private enheter uten tilgang til jobbsystemer, er det opp til deg hvilken risiko du er komfortabel med, hvorvidt du ønsker å iverksette tiltak og hvilke tiltak du eventuelt iverksetter. 仕事用のシステムにアクセスしない私用デバイスを持って旅行する場合、どのようなリスクを許容できるか、行動を起こすかどうか、そしてもしあればどのような行動を取るかは、あなた次第である。
Et lavterskeltiltak er å ikke gi appen Hayya tilgang til lokasjonen din. Sjekk innstillingene i appen og på telefonen dersom du er i tvil om appen har slik tilgang. Appens personvernerklæring (qatar2022.qa) gir inntrykk av at appen fremdeles fungerer selv om du nekter tilgang til lokasjon. 敷居の低い対策は、Hayya アプリに位置情報へのアクセスを許可しないことである。アプリにそのようなアクセス権があるかどうか疑問がある場合は、アプリと電話の設定を確認すること。アプリのプライバシー ポリシー (qatar2022.qa) を見ると、位置情報へのアクセスを拒否してもアプリは機能するようである。
Før avreise er det vanskelig å vite om du havner i en situasjon der du blir bedt om å laste ned Ehteraz. Dersom du skal reise til Qatar og er bekymret for personvernet, kan du for eksempel vurdere å ha med to mobiltelefoner: en tom lånetelefon som Ehteraz (og Hayyat) eventuelt installeres på, og din vanlige mobiltelefon ved siden av. Det er lurt å passe ekstra godt på din vanlige mobiltelefon, og i den forbindelse kan du for eksempel vurdere følgende tiltak: 出発前に、Ehteraz のダウンロードを求められる状況に陥るかどうかを知ることは困難である。カタールに行く予定があり、プライバシーが心配な場合は、たとえば、2 台の携帯電話を持ち込むことを検討すると良い。Ehteraz (および Hayyat) をインストールする可能性のある空の代替電話と、通常の携帯電話である。通常の携帯電話を特別に管理することを推奨する。これに関して、たとえば、次の対策を検討できる。
・Før avreise, ta sikkerhetskopi av telefonen din i fall det senere blir nødvendig å gjenopprette den. ・後で復元する必要が生じた場合に備えて、出発する前に電話をバックアップする。
・Unngå å koble til åpne eller usikre WiFi-nettverk. ・公開またはセキュリティで保護されていない WiFi ネットワークへの接続は避ける。
・Ha mobiltelefonen på deg til enhver tid, og unngå å legge den igjen i hotellsafer og liknende. ・携帯電話は常に携帯し、ホテルの金庫などに置きっぱなしにしない。
・Unngå å bruke USB-ladeporter på hotellrom, kollektivtransport, flyplass og liknende. Bruk medbrakt lader med veggstøpsel. ・ホテルの部屋、公共交通機関、空港などでは USB 充電ポートを使用しない。付属の充電器と壁のプラグを使用する。
・Unngå å installere noe under reisen. Automatiske app- og programvareoppdateringer kan skrus av, og det samme gjelder automatisk sikkerhetskopiering. ・移動中は何も設置しない。自動バックアップと同様に、アプリとソフトウェアの自動更新をオフにすることができる。
Hvis ønsker å iverksette tiltak, men ikke har adgang til en tom lånetelefon eller ønsker en enda sikrere løsning, kan du for eksempel tømme mobiltelefonen din før og etter reisen: 行動を起こしたいが空の貸し出し電話にアクセスできない場合、またはさらに安全なソリューションが必要な場合は、たとえば、旅行の前後に携帯電話を空にすることができる。
1. Før avreise, ta sikkerhetskopi av telefonen din. 1. 出発する前に、電話をバックアップする。
2. Slett og nullstill telefonen slik at den er helt tom. 2. 電話を消去してリセットし、完全に空白にする。
3. Installer de qatarske appene. 3. Qatari アプリをインストールする。
4. Husk at alt du bruker telefonen til mens appene er installert, potensielt kan overvåkes. 4. アプリのインストール中に電話を使用することはすべて監視される可能性があることに注意する。
5. Så snart du forlater Qatar, ta eventuelt vare på bilder, og slett og nullstill deretter telefonen på nytt. 5. カタールを出たらすぐに写真を保存し、携帯電話を消去してリセットする。
6. Gjenopprett telefonen fra sikkerhetskopien du tok før avreise. 6. 出発前に取ったバックアップから電話を復元する。
Strenge regler for jobbrelatert utstyr 作業関連設備の厳格なルール
Når arbeidstakere reiser med jobbutstyr eller utstyr som har tilgang til jobbsystemer, har virksomheten ansvar etter personvernforordningen for å sikre at virksomhetens personopplysninger beskyttes under reisen. Hvis ikke tilstrekkelige informasjonssikkerhetstiltak iverksettes, kan det føre til at personopplysninger som virksomheten behandler kommer på avveier, misbrukes, manipuleres eller blir utilgjengeliggjort. 従業員が業務用機器または業務用システムにアクセスできる機器を持って移動する場合、企業はデータ保護規則に基づき、移動中に企業の個人データが保護されるようにする責任がある。適切な情報セキュリティ対策が実施されていない場合、会社が処理する個人データが紛失、誤用、操作、または利用できなくなる可能性がある。
Derfor er det viktig at virksomhetene har oversikt dersom arbeidstakere skal reise til Qatar-VM med jobbutstyr eller utstyr med tilgang til virksomhetens systemer. I slike tilfeller må virksomheten gjennomføre gode risikovurderinger for reisen og iverksette sikkerhetstiltak som står i forhold til den identifiserte risikoen. したがって、従業員が作業用機器または企業のシステムにアクセスできる機器を持ってカタールに移動する場合、企業は概要を把握しておくことが重要である。このような場合、企業は出張の適切なリスク評価を実施し、特定されたリスクに見合ったセキュリティ対策を実施する必要がある。

 

フランス

CNIL

Cnil

・2022.11.14 Voyager en dehors de l’UE : la checklist de la CNIL pour protéger votre téléphone, ordinateur ou tablette

Voyager en dehors de l’UE : la checklist de la CNIL pour protéger votre téléphone, ordinateur ou tablette EU圏外への渡航:携帯電話、コンピュータ、タブレットを保護するためのCNILのチェックリスト
Pour voyager en dehors de l’Union européenne en toute sérénité, n’oubliez pas de protéger vos données ! La CNIL propose une checklist pour sécuriser votre téléphone, votre ordinateur ou votre tablette. EU圏外へ安心して旅行するために、データの保護もお忘れなく! CNILは、あなたの携帯電話、パソコン、タブレットを保護するためのチェックリストを提供している。
Pourquoi protéger ses appareils avant de partir en voyage ? なぜ旅行前にデバイスを保護するのか?
Avant de voyager dans un autre pays, il est essentiel de sécuriser vos téléphones, ordinateurs portables et tablettes. 海外に渡航する前に、携帯電話、ノートパソコン、タブレット端末のセキュリティ確保は必須である。
En France et dans l’Union européenne, vos données sont protégées par le règlement général sur la protection des données (RPGD), mais celui-ci ne vous protègera pas nécessairement si vous visitez un autre pays. フランスおよび欧州連合では、個人のデータは一般データ保護規則(GDPR)により保護されているが、個人が他の国を訪問された場合、必ずしも保護されるとは限らない。
La checklist de la CNIL CNILチェックリスト
・Avant le départ, informez-vous sur les règles applicables aux données personnelles et à la vie privée dans le pays dans lequel vous vous rendez, notamment sur le site du ministère de l'Europe et des Affaires étrangères. ・下記のチェックリストに加えて、欧州外務省のホームページに記載されている渡航先の領事館の番号を常に携帯することを忘れないようにする。

・ Ne dévoilez pas vos absences ou le lieu de votre destination et verrouillez vos comptes sociaux. ・不在や行き先を明かさず、ソーシャルアカウントをロックする。
・ Si le pays en question vous impose de télécharger une application spécifique, quelle qu’en soit la raison : ・当該国が、何らかの理由で特定のアプリケーションのダウンロードを要求している場合、
・・ Installez l’application au dernier moment avant le départ ou sur place. ・・出発前の最後の瞬間、または現場でアプリケーションをインストールする。
・・ Limitez les autorisations systèmes à celles strictement nécessaires. ・・システムの権限を厳密に必要なものに限定する。
・・ Supprimez l’application dès le retour en France. ・・フランスに帰国後、すぐにアプリケーションを削除する。
・ Si possible, voyagez avec un téléphone vierge ・可能であれば、空の携帯電話を持って旅行する。
・・ Faites une sauvegarde de vos messages et photos puis remettez à zéro votre téléphone (restauration d’usine). ・・メッセージや写真のバックアップをとってから、携帯電話をリセット(工場出荷状態に戻す)する。
・・ Restaurez la sauvegarde au retour. ・・帰国後、バックアップを復元する。
・・ ou mieux, utilisez un ancien téléphone remis à zéro si vous en avez un. ・・あるいは、古いリセットされた携帯電話があれば、それを使うのもよい。
・ Gardez votre téléphone avec vous en permanence et ne laissez personne l’utiliser. ・携帯電話は常に持ち歩き、誰にも使わせないようにする。
・ Limitez au strict nécessaire la connexion en ligne à des services nécessitant une authentification, même s’ils semblent officiels. ・認証が必要なオンラインサービスでは、たとえそれが正式なものであっても、ログインは必要な範囲にとどめる。
・ Protégez l’accès à votre smartphone par un mot de passe fort. ・スマートフォンへのアクセスは、強力なパスワードで保護する。
・ Sur place, attention aux photographies que vous prenez. Il peut être interdit de prendre une personne en photo sans son consentement ou des bâtiments publics. ・現地で撮影する写真には注意が必要である。人物を無断で撮影したり、公共の建物を撮影することは違法となる場合がある。
・En ligne ou hors ligne, ne dévoilez jamais d’informations sur vous qui pourraient vous mettre en difficulté selon votre pays de destination, notamment des données sensibles comme vos opinions politiques ou religieuses, ou encore votre orientation sexuelle. ・ オンライン、オフラインを問わず、政治的、宗教的見解、性的指向などの機密情報を含め、渡航先によってはトラブルに巻き込まれる可能性のある情報は絶対に明かさないようにする。
Que se passe-t-il si vous rencontrez des difficultés sur place ? 目的地で困ったことが起こったら?
En dehors de la checklist ci-dessus, pensez à toujours conserver sur vous le numéro de la permanence consulaire du pays de destination, comme indiqué sur le site du ministère de l'Europe et des Affaires étrangères. 上記のチェックリストとは別に、欧州外務省のホームページに記載されている渡航先の領事館の電話番号を常に携帯しておくことを忘れないようにする。
Ce contact vous sera utile, par exemple en cas de vol, perte ou altération de votre téléphone, tablette ou ordinateur. この連絡先は、たとえば、携帯電話、タブレット、パソコンが盗難、紛失、破損した場合などに役立つ。

 

ドイツ

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)

Bfdi_20221124014901

・2022.11.15 Hinweise zum Umgang mit den Apps Ehteraz und Hayya

Hinweise zum Umgang mit den Apps Ehteraz und Hayya アプリ「Ehteraz」「Hayya」の使用方法について
Der BfDI wurde durch Anfragen darauf aufmerksam gemacht, dass für die Einreise zur Fußball-Weltmeisterschaft 2022 in Katar die Installation der Apps "Ehteraz" und "Hayya" verpflichtend ist. Mit den ihm zur Verfügung stehenden Ressourcen hat der BfDI eine erste Analyse beider Apps vorgenommen. BfDIは、2022年サッカーワールドカップ・カタール大会の入場には、アプリ「Ehteraz」「Hayya」のインストールが必須であることを問い合わせにより知った。BfDIは、そのリソースを活用して、両アプリの初期分析を実施した。
Die Apps "Ehteraz" und "Hayya" sind in den gängigen App-Stores in Europa verfügbar und können damit auch außerhalb von Katar heruntergeladen und "genutzt" werden. Von Seiten des BfDI konnte festgestellt werden, dass die Datenverarbeitungen beider Apps wahrscheinlich deutlich weiter gehen, als es die Beschreibungen der Datenschutzhinweise und Verarbeitungszwecke in den App-Stores angeben. アプリ「Ehteraz」と「Hayya」は、ヨーロッパの通常のアプリストアで入手できるため、カタール国外でもダウンロードして「使用」することが可能である。BfDIは、両アプリのデータ処理が、アプリストアのデータ保護通知や処理目的の記述から推測されるよりもはるかに進んでいることを立証することができた。
So wird bei einer der Apps unter anderem erhoben, ob und mit welcher Nummer ein Telefonat geführt wird. Hierbei handelt es sich um mitunter sensible Telekommunikationsverbindungsdaten, die in Deutschland unter das Fernmeldegeheimnis fallen. Die andere App verhindert unter anderem aktiv, dass das Gerät, auf dem sie installiert wird, in den Schlafmodus wechselt. Es ist zudem naheliegend, dass die von den Apps verwendeten Daten nicht nur lokal auf dem Gerät verbleiben, sondern an einen zentralen Server übermittelt werden. 例えば、あるアプリでは、どの番号に電話をかけたか、というデータを収集している。これは、ドイツでは通信の秘密に該当する、機密性の高い通信接続データである。中でも、もう一つのアプリは、インストールされた端末がスリープモードに切り替わるのを積極的に阻止する。また、アプリが使用するデータは、端末のローカルに残るだけではなく、中央のサーバーに送信されることも明らかとなった。
Der BfDI rät daher dazu, die beiden Apps nur dann zu installieren, wenn es absolut unumgänglich ist. Zudem sollte erwogen werden, für die Installation ein eigenes Telefon zu verwenden, das ausschließlich für die Apps genutzt wird. Insbesondere sollten auf diesem Gerät keine weiteren personenbezogenen Daten, wie etwa Telefonnummern, Bild- oder Tondateien gespeichert sein. Im Nachgang der Nutzung der Apps sollten auf dem verwendeten Telefon, das Betriebssystem und sämtliche Inhalte vollständig gelöscht werden. そのため、BfDIでは、やむを得ない場合にのみ、この2つのアプリをインストールすることを勧めている。また、インストールする携帯電話は、アプリ専用に別のものを使用するなどの配慮が必要である。特に、電話番号、画像や音声ファイルなど、その他の個人情報をこのデバイスに保存してはいけません。アプリを使用した後は、使用した携帯電話のオペレーティングシステムとすべてのコンテンツを完全に削除する必要がある。
Hinsichtlich der mit der Nutzung der Apps verbundenen datenschutzrechtlichen Problematik hat der BfDI auch das Bundesamt für Sicherheit in der Informationstechnik und das Auswärtige Amt kontaktiert. BfDIは、アプリの使用に関連するデータ保護の問題について、連邦情報セキュリティ局および連邦外務省にも問い合わせをした。

 

オランダ

Autoriteit Persoonsgegevens

Ap_20221124015201

・2022.11.17  AP waarschuwt WK-gangers voor Qatarese apps

AP waarschuwt WK-gangers voor Qatarese apps AP、W杯観戦者にカタール製アプリを警告
De Autoriteit Persoonsgegevens (AP) raadt bezoekers van het WK voetbal in Qatar aan om goed op hun digitale veiligheid te letten. Wie het WK bezoekt, is verplicht een aantal apps op de mobiele telefoon te installeren. De AP raadt Qatar-bezoekers aan daarvoor een telefoon te gebruiken die zij voor niets anders gebruiken. 個人情報保護局(AP)は、カタール・ワールドカップの来場者に対し、デジタル・セキュリティに細心の注意を払うよう勧告している。ワールドカップに参加される方は、携帯電話にいくつものアプリをインストールする必要がある。APは、カタールの訪問者に、他のことに使わない携帯電話をこの目的のために使うようアドバイスしている。
Eerder waarschuwden de Duitse, Franse, Noorse en Deense privacytoezichthouders al voor deze apps. Met name de Duitse toezichthouder heeft een analyse van de apps uitgevoerd. De AP sluit zich aan bij de waarschuwing van de Europese collega-toezichthouders. 先に、ドイツ、フランス、ノルウェー、デンマークの個人情報保護規制当局が、これらのアプリに対して警告を発している。特に、ドイツの規制当局がアプリの分析を実施した。APは、同じ欧州の規制当局からの警告に加わる。
De betreffende apps heten Ehteraz – een coronatracker – en Hayya, een speciale WK-app. Privacytoezichthouders uit verschillende Europese landen wijzen erop dat de apps waarschijnlijk informatie over gebruikers verzamelen zonder dat gebruikers hiervan op de hoogte zijn.  問題のアプリは、コロナトラッカー「Ehteraz」とワールドカップ専用アプリ「Hayya」と呼ばれるものである。欧州数カ国の個人情報保護規制当局は、アプリがユーザーの知らないところでユーザーの情報を収集している可能性が高いと指摘している。 
Bijvoorbeeld met wie een gebruiker gebeld heeft en welke apps er allemaal op de telefoon staan. Dus ook of het bijvoorbeeld gaat om een dating-app waaruit iemands seksuele voorkeur blijkt. Ook is het vermoedelijk mogelijk dat de apps toegang hebben tot de foto’s van de gebruiker. 例えば、ユーザーが誰と通話したのか、どのアプリがすべて電話に入っているのか、などである。また、例えば出会い系アプリで誰かの性的指向を明らかにするものなのかどうかもそうである。また、アプリがユーザーの写真にアクセスする可能性も考えられる。

 


ちなみに、FIFA Qatarのプライバシーポリシー

FIFA World Cup Qatar 2022

Fifa

 

 

 

 

 

 

 

Privacy Policy

Hayya に関係しそうなところ...

Annex C 附属書C
App アプリ
Additional information that we collect about you 我々があなたについて収集する追加情報
When you register for an account to use the App, we may collect: あなたが本アプリを使用するためにアカウントを登録する際、我々は以下の情報を収集することがある。
Basic information about yourself, such as your name, date of birth, address, email address, telephone or mobile number; 氏名、生年月日、住所、電子メールアドレス、電話番号または携帯電話番号などのあなたに関する基本情報。
Information about your Tournament itinerary, such as the matches which you have ticket(s) to attend; あなたが入場券をお持ちの試合など、大会の日程に関する情報。
Information about your preferences, such as tourist attractions you might like to visit whilst you are in Qatar; カタール滞在中に訪れたいと思う観光地など、あなたの好みに関する情報
Location data, if you have enabled location tracking within the App; and あなたが本アプリ内で位置情報の追跡を有効にしている場合、位置情報
Sensitive personal data, for example, information relating to your needs at the stadium (e.g. requests for disabled access), should you choose to provide us with that information. 機密性の高い個人情報、例えば、スタジアムでのあなたのニーズに関する情報(例:身体障害者用のアクセスのリクエスト)(あなたがその情報を我々に提供することを選択した場合)。
​​​​​​​We may collect this information both by way of you providing it to us (for example, through forms and questionnaires on the App), or through your browsing history on the App. 我々は、あなたが我々に情報を提供する方法(例えば、本アプリ上のフォームやアンケートなど)、またはあなたの本アプリの閲覧履歴を通じて、この情報を収集することがある。
Additional purposes of use その他の利用目的
​​​​​​​To provide you with updates and recommendations ► To provide you with information about recommended travel routes (e.g. based on traffic and crowding), changes to match schedules, and other information relevant to your stay in Qatar and attendance at the Tournament(s). Separately, we may provide you with marketing materials where you have chosen to receive these (see the section titled “What we do with your information?” in the main Privacy Policy). 最新情報やおすすめ情報を提供するため ► おすすめの移動経路(例:交通渋滞や混雑状況に基づく)、試合日程の変更、その他カタールでの滞在や大会への参加に関連する情報を提供するため。これとは別に、我々は、あなたがマーケティング資料を受け取ることを選択された場合、あなたにマーケティング資料を提供することがある(プライバシーポリシーの「あなたの情報をどう扱うか」の項を参照すること)。
Lawful bases: consent, legitimate interests (to keep you updated with news in relation to your stay in Qatar and attendance at the Tournament(s)) 合法的根拠:同意、正当な利益(カタールでの滞在および大会への参加に関連した最新情報を提供するため)。
​​​​​​​For crowd control and tournament management purposes ► If you have enabled location tracking, we may combine this data with that of other Fans to identify areas which are at risk of overcrowding, and release announcements recommending that Fans avoid those areas or use alternative routes. 混雑管理および大会運営のため ►あなたが位置情報の追跡を有効にした場合、我々は、このデータを他のファンのデータと組み合わせて、混雑のおそれのあるエリアを特定し、そのエリアを避けるか、別のルートを使用するよう勧めるアナウンスを流すことがある。
Lawful bases: consent, legitimate interests (to ensure the safety and security of attendees at the Tournaments) 合法的根拠:同意、正当な利益(トーナメント参加者の安全と安心を確保するため)。
   
​​​​​​​Annex D 附属書D
Hayya Card Hayya カード
Additional information that we collect about you 我々があなたについて収集する追加情報
When you use or carry your Hayya Card, we may collect: あなたがハイヤカードを使用又は携帯する場合、我々は以下の情報を収集することがある。
Details of your check-ins, for example, the location (e.g. the gantry number) and time at which you check into one of our stadiums for a Tournament, using your Hayya Card; and チェックインに関する詳細(例:大会のために我々のスタジアムにチェックインした場所(例:ガントリー番号)及び時間);及び
Details of your travel journeys made using your Hayya Card (e.g. mode of transport and time of journey). あなたのHayyaカードによる移動の詳細(例:移動手段、移動時間)。
Additional purposes of use その他の利用目的
​​​​​​​To verify your identity and access rights ► When you scan or present your Hayya Card, for example, at a gantry, we will use that data to confirm that you have a valid ticket to the match in question, or to access public transport during the Tournament(s). 本人確認とアクセス権の確認 ► 例えば、ガントリーでHayyaカードをスキャンまたは提示した場合、我々はそのデータを使用して、当該試合の有効なチケットを持っていることを確認したり、トーナメント開催中に公共交通機関にアクセスするために利用します。
Lawful bases: contract performance, legitimate interests (to enable us to perform our obligations and provide our services to you) 合法的根拠:契約の履行、正当な利益(我々が義務を履行し、あなたにサービスを提供できるようにするため)。
​​​​​​​For crowd control and tournament management purposes ► We may combine location data from your Hayya Card data with that of other Fans to identify areas which are at risk of overcrowding, and release announcements recommending that Fans avoid those areas or use alternative routes. 混雑管理および大会運営のため►我々は、あなたのHayyaカードの位置情報と他のファンの位置情報を組み合わせて、混雑のおそれがあるエリアを特定し、そのエリアを回避したり、別のルートを使用するよう推奨するアナウンスを流すことがある。
Lawful bases: legitimate interests (to ensure the safety and security of attendees at the Tournaments) 合法的根拠:正当な利益(大会参加者の安全と安心を確保するため)
   
Annex E 附属書E
Hayya Portal Hayya ポータル
Additional information that we collect about you 我々があなたについて収集する追加情報
When you use the Hayya Portal to apply for a Hayya Card, we may ask you to provide: あなたがHayyaポータルを利用してHayyaカードを申請する際、我々はあなたに以下の提供をお願いすることがある。
Basic information about yourself, such as your name, date of birth, address, email address, telephone or mobile number; 氏名、生年月日、住所、電子メールアドレス、電話番号または携帯電話番号などの基本情報。
Details about your nationality and passport (e.g., passport number, expiry date); 国籍、パスポートの詳細(パスポート番号、有効期限など)。
Details of any ticket(s) you may have to the Tournaments; あなたが持っているトーナメントチケットの詳細。
Sensitive personal data, for example, information about whether you have any symptoms of an infectious disease, particularly where there is an ongoing epidemic or pandemic. We may also collect biometric information in your passport as needed to apply for an entry visa on your behalf. If you provide us with information relating to your needs at the Tournaments (e.g., requests for disabled access), we will also keep a record of that information. 機密性の高い個人情報、例えば、感染症の症状を持っているかどうかに関する情報(特に、現在進行中の流行病またはパンデミックが存在する場合)。また、我々は、あなたに代わって入国ビザを申請するために、必要に応じて、あなたのパスポートの生体情報を収集することがある。あなたがトーナメントでのあなたのニーズに関する情報(例:身体障害者用のアクセスの要求)を我々に提供した場合、我々はその情報の記録も保管します。
We may also receive information about you from the following third parties: また、我々は、以下の第三者からあなたに関する情報を受け取ることがある。
Immigration information ► The Qatar Ministry of Interior (http://www.moi.gov.qa) may send us information that may inform our decision on whether to accept or reject your application for a Hayya Card; an 出入国情報 ► カタール内務省(http://www.moi.gov.qa)は、あなたのHayyaカードの申請を受理するか否かの判断に役立つ情報を我々に送付することがある。
Ticket information ► FIFA (https://www.fifa.com/) may share with us information about the ticket(s) which you have purchased to the Tournaments, including ticket number and information about you as the purchaser of the ticket. チケット情報 ► FIFA (https://www.fifa.com/) は、チケット番号及びチケット購入者としてのあなたに関する情報を含む、あなたが購入した大会のチケットに関する情報を我々と共有することがある。
Single Sign-On (SSO) ► SSO is in place across FIFA’s ticketing portal (www.fifa.com) and SC’s Hayya Portal and Accommodation Portal. This means that if you sign into FIFA’s portal using your username and password, you will automatically be able to access the Hayya Portal and Accommodation Portal without having to re-enter your sign-in details. However, aside from the login username and password, and the ticket information described above, no other personal information is shared between the FIFA and SC portals using the SSO mechanism. シングルサインオン(SSO) ► FIFAのチケットポータル(www.fifa.com)およびSCのHAYYAポータルおよび宿泊ポータルにおいて、SSOが導入されています。これは、ユーザー名とパスワードを使用してFIFAのポータルにサインインすると、サインイン情報を再入力することなく、自動的にHayyaポータルおよび宿泊ポータルにアクセスできるようになることを意味しています。ただし、ログインユーザー名とパスワード、および上述のチケット情報以外には、SSOの仕組みを利用してFIFAとSCのポータル間で個人情報が共有されることはない。
Additional purposes of use その他の利用目的
​​​​​​​To consider your application for a Hayya Card ► To carry out all necessary checks regarding your application; to liaise with relevant government agencies to obtain approval for your visit to Qatar; to issue and deliver your Hayya Card. Hayyaカードの申請を検討するため ► 申請に関して必要なすべてのチェックを行うため、カタール訪問の承認を得るために関連政府機関と連絡を取るため、Hayyaカードを発行し交付するため。
Lawful bases: contract performance, legitimate interests (to enable us to consider your application and provide our services to you) 合法的根拠:契約の履行、正当な利益(我々があなたの申請を検討し、あなたに我々のサービスを提供することを可能にするため)。

 

 


 

報道...

POLITICO

・2022.11.15 Don’t download Qatar World Cup apps, EU data authorities warn

 

Info Security

・2022.11.16 Euro Authorities Warn World Cup Fans Over Qatari Apps

 

Gigazine

・2022.11.17 カタールW杯の参加者にインストールが求められるアプリ「Hayya」「Ehteraz」についてデータ保護当局が警告、使い捨てスマホの使用を推奨

| | Comments (0)

2022.11.23

中国 個人情報保護認証制度が始まりますね...中国版Pマーク?

こんにちは、丸山満彦です。

中華人民共和国で、個人情報保護認証制度が始まりますね。。。中国版Pマークのようなものでしょうかね。。。個人情報の越境移転の有無でマークが変わりますね。。。認証のクライテリアは、

  1. GB/T 35273「情報セキュリティ技術個人情報セキュリティ仕様」
  2. TC260-PG-20222A「個人情報の越境処理活動に関する安全認証仕様」

ということのようです。。。

越境移転がない場合は、1. だけ、越境移転がある場合は、1.と2. に準拠する必要がありますね。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2022.11.18 关于实施个人信息保护认证的公告

关于实施个人信息保护认证的公告 個人情報保護認証の実施に関する通知
为贯彻落实《中华人民共和国个人信息保护法》有关规定,规范个人信息处理活动,促进个人信息合理利用,根据《中华人民共和国认证认可条例》,国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力。从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动,并按照《个人信息保护认证实施规则》(见附件)实施认证。 中華人民共和国個人情報保護法の関連規定を実施し、個人情報処理活動を規制し、個人情報の合理的な使用を促進するため、「中華人民共和国認証認可条例」に基づき、国家市場監督管理総局と国家サイバースペース管理局は、個人情報保護認証を実施し、個人情報処理者が認証を通じて個人情報保護能力を高めることを奨励することにした。 個人情報保護の認証に携わる認証機関は、「個人情報保護認証実施規則」(別紙参照)に基づき、当該認証活動を行うことを承認され、認証を実施するものとする。
特此公告。 発表
附件:个人信息保护认证实施规则 別紙:個人情報保護認証の実施規定
国家市场监督管理总局 国家互联网信息办公室 国家市場監督管理局 国家サイバースペース管理局

 

・2022.11.18 个人信息保护认证实施规则

​个人信息保护认证实施规则 個人情報保護認証実施規則
1 适用范围 1 適用範囲
本规则依据《中华人民共和国认证认可条例》制定,规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。 この規則は、「中華人民共和国認証認定条例」に基づいて制定され、個人情報の収集、保存、使用、処理、伝送、提供、開示、削除及び越境処理などの処理活動を行う個人情報処理業者の認証に関する基本原則と要件を定めている。
2 认证依据 2 認証根拠
个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求。 個人情報取扱事業者は、GB/T 35273「情報セキュリティ技術個人情報セキュリティ仕様」の要求事項を遵守しなければならない。
对于开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。 また、越境処理活動を行う個人情報取扱事業者は、TC260-PG-20222A「個人情報の越境処理活動に関する安全認証仕様」の要求事項に適合しなければならない。
上述标准、规范原则上应当执行最新版本。 上記の規格・仕様は、原則として最新版で実施するものとする。
3 认证模式 3 認証モデル
个人信息保护认证的认证模式为: 個人情報保護認証の認証モデルは、以下の通りである。
技术验证 + 现场审核 + 获证后监督 技術検証+現地査定+認証取得後の監督
4 认证实施程序 4 認証実施手順
4.1 认证委托 4.1 認証委員会
认证机构应当明确认证委托资料要求,包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。 認証機関は、認証委託者の基本資料、認証委託書、関連する補足資料等を含むが、これらに限定されない認証委託情報の要件を規定する。
认证委托人应当按认证机构要求提交认证委托资料,认证机构在对认证委托资料审查后及时反馈是否受理。 認証委託者は、認証機関の要求に応じて認証委託情報を提出し、認証機関は審査後、認証委託情報の受理についてフィードバックする。
认证机构应当根据认证委托资料确定认证方案,包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等,并通知认证委托人。 認証機関は、個人情報の種類と量、関与する個人情報処理活動の範囲、技術検証機関情報などの認証委託情報に基づいて認証方式を決定し、認証本部に通知する。
4.2 技术验证 4.2 技術検証
技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告。 技術認証機関は、認証スキームに従って技術認証を実施し、認証機関及び認証主体に技術検証報告書を発行する。
4.3 现场审核 4.3 現地査定
认证机构实施现场审核,并向认证委托人出具现场审核报告。 認証機関は、現地査定を実施し、認証主体に現地査定報告書を発行する
4.4 认证结果评价和批准 4.4 認証結果の評価と承認
认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的,以书面形式通知认证委托人终止认证。 認証機関は、認証委員会の情報、技術検証報告書、現地査定報告書と包括的な評価のための他の関連情報に応じて、認証の決定を行う。認定要件が満たされている場合、認定証明書が発行される。当分の間、認定要件を満たしていない場合、認証委員会は、期限の是正を求めることができる。修正後も満たしていない場合、認証の解除を認証委託者に通知するための書面を発行する。
如发现认证委托人、个人信息处理者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时,认证不予通过。 認証委託者または個人情報処理者が、偽り、情報の隠蔽、故意の認証要件違反、その他認証の実施に重大な影響を与える行為を行ったことが判明した場合は、認証を付与することはできない。
4.5 获证后监督 4.5 認証取得後の監督
4.5.1 监督的频次 4.5.1 監督の頻度
认证机构应当在认证有效期内,对获得认证的个人信息处理者进行持续监督,并合理确定监督频次。 認証機関は、認証の有効期間中、認証された個人情報取扱事業者に対する継続的な監督を行い、その頻度を合理的に決定するものとする。
4.5.2 监督的内容 4.5.2 監督の内容
认证机构应当采取适当的方式实施获证后监督,确保获得认证的个人信息处理者持续符合认证要求。 認証機関は、認証された個人情報処理機関が認証要件を継続して満たしていることを確認するために、認証後の監督を実施する適切な手段を採用するものとする。
4.5.3 获证后监督结果的评价 4.5.3 認証取得後の監督結果の評価
认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。 包括的な評価のための認証取得後の監督の所見とその他の関連情報に基づき評価が渡され、認証証明書を維持し続けることができる。認証機関は、処理の証明書を一時停止または取り消すために、対応する状況に応じて、対応しなければならない。
4.6 认证时限 4.6 認証取得時期
认证机构应当对认证各环节的时限作出明确规定,并确保相关工作按时限要求完成。认证委托人应当对认证活动予以积极配合。 認証機関は、明確な規定を設けるために、時間的要件に従って作業が完了するよう、あらゆる側面から認証を受けるべきである。 認証委託者は、認証活動に積極的に協力することが望ましい。
5 认证证书和认证标志 5 認証証明書と認証マーク
5.1 认证证书 5.1 認証証明書
5.1.1 认证证书的保持 5.1.1 認証証明書の維持管理
认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。 認証証明書の有効期限は3年間である。 有効期間中、認証機関の認証後の監督を通じて、認証の有効性を維持する。
证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。 認証が失効し、更新が必要な場合、認証委託者は、失効日の6ヶ月前以内に認証委託書を提出する。 認証機関は、認証後の監督を利用して、委員会の認証要件を満たし、新たな認証書を発行するものとする。
5.1.2 认证证书的变更 5.1.2 認証証明書の変更
认证证书有效期内,若获得认证的个人信息处理者名称、注册地址,或认证要求、认证范围等发生变化时,认证委托人应当向认证机构提出变更委托。认证机构根据变更的内容,对变更委托资料进行评价,确定是否可以批准变更。如需进行技术验证和/或现场审核,还应当在批准变更前进行技术验证和/或现场审核。 認証証明書は有効であり、認証された個人情報取扱事業者の名称、登録住所、または認証要件、認証範囲などが変更された場合、認証委託者は認証機関に委託内容の変更を提案する必要がある。 認証機関は、変更内容に応じて変更委託情報を評価し、変更承認の可否を判断する。 技術検証および/または現地査定の場合、また、技術検証および/または現地査定の変更前に承認される必要があります。
5.1.3 认证证书的注销、暂停和撤销 5.1.3 認証の取消し、一時停止及び取消し
当获得认证的个人信息处理者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。 認証された個人情報処理事業者が認証要件を満たさなくなった場合、認証機関は、認証が取り消されるまで、速やかに認証の停止を行うものとする。 認証主体は、認証書の有効期間内に認証書の停止および抹消を申請することができる。
5.1.4 认证证书的公布 5.1.4 認証証明書の発行
认证机构应当采用适当方式对外公布认证证书颁发、变更、暂停、注销和撤销等相关信息。 認証機関は、適切な手段を用いて、発行した認証書、変更、停止、取消しおよび関連情報の撤回を公表するものとする。
5.2 认证标志 5.2 認証マーク
不含跨境处理活动的个人信息保护认证标志如下: 越境処理活動を伴わない個人情報保護に関する認証マークは以下の通りである。
16703999366581291670399936859756
包含跨境处理活动的个人信息保护认证标志如下: 越境処理活動を含む個人情報保護に関する認証マークは、以下の通りである。
16703999366581291670399936872313
“ABCD”代表认证机构识别信息。 ABCD は認証機関の識別情報を表す。
5.3 认证证书和认证标志的使用 5.3 認証書および認証マークの使用について
在认证证书有效期内,获得认证的个人信息处理者应当按照有关规定在广告等宣传中正确使用认证证书和认证标志,不得对公众产生误导。 認定個人情報処理事業者は、認定証の有効期間中、関連規定に従って、認定証及び認定マークを広告その他の宣伝に正しく使用し、誤解を与えないようにしなければならない。
6 认证实施细则 6 認証実施規則
认证机构应当依据本规则有关要求,细化认证实施程序,制定科学、合理、可操作的认证实施细则,并对外公布实施。 認証機関は、これらの規則の関連要件に基づいて、認証の実装手順、科学的、合理的かつ運用認証と実装のルールの開発、および実装の公表を洗練するものとする。
7 认证责任 7 認証責任
认证机构应当对现场审核结论、认证结论负责。 認証機関は、現地審査の結論と認証の結論に責任を持つ。
技术验证机构应当对技术验证结论负责。 技術的検証機関は、技術的検証の結論に責任を持つ。
认证委托人应当对认证委托资料的真实性、合法性负责。 認証委託者は、認証委託情報の真正性、適法性について責任を負う。

 

 


 

越境移転の場合に追加されるクライテリアについてはこちら(仮対訳あり)...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.27 中国 TC260 個人情報の国際的な処理活動に関するセキュリティ認証仕様

 

 

| | Comments (0)

NIST SP 800-215 安全なエンタープライズ・ネットワーク環境のためのガイド

こんにちは、丸山満彦です。

NISTが、SP 800-215 安全なエンタープライズ・ネットワーク環境のためのガイドを公表していますね。。。

・マルチクラウド環境

・地理期的に広がった事業所

・疎結合のマイクロサービスへの移行

などをふまえて・・・ということですかね。。。

 

今後のネットワーク・アーキテクチャを考える上で参考になりそうですね。。。

 

● NIST - ITL

・2022.11.17 SP 800-215 Guide to a Secure Enterprise Network Landscape

 

SP 800-215 Guide to a Secure Enterprise Network Landscape SP 800-215 安全なエンタープライズ・ネットワーク環境のためのガイ
Abstract 概要
Access to multiple cloud services, the geographic spread of enterprise Information Technology (IT) resources (including multiple data centers), and the emergence of microservices-based applications (as opposed to monolithic ones) have significantly altered the enterprise network landscape. This document is meant to provide guidance to this new enterprise network landscape from a secure operations perspective. Hence, it starts by examining the security limitations of current network access solutions to the enterprise network. It then considers security feature enhancements to traditional network appliances in the form of point security solutions, network configurations for various security functions (e.g., application/services security, cloud services access security, device or endpoint security), security frameworks that integrate these individual network configurations (e.g., zero trust network access [ZTNA]), and the evolving wide area network (WAN) infrastructure to provide a comprehensive set of security services for the modern enterprise network landscape (e.g., secure access service edge [SASE]). 複数のクラウドサービスへのアクセス、エンタープライズの情報技術(IT)リソースの地理的な広がり(複数のデータセンターを含む)、マイクロサービスベースのアプリケーションの出現(モノリシックなものとは対照的)により、エンタープライズ・ネットワークの状況は大きく変化している。本書は、この新しいエンタープライズ・ネットワークの状況に対して、安全な運用の観点からガイダンスを提供することを目的としている。そのため、まず、現在のエンタープライズ・ネットワークへのネットワークアクセスソリューションのセキュリティ上の制限を検証する。次に、ポイントセキュリティソリューションという形で従来のネットワーク機器に追加されたセキュリティ機能、さまざまなセキュリティ機能(アプリケーション/サービスセキュリティ、クラウドサービスアクセスセキュリティ、デバイスまたはエンドポイントセキュリティなど)のためのネットワーク構成、これらの個々のネットワーク構成を統合するセキュリティフレームワーク(ZTNAなど)、現代のエンタープライズ・ネットワークの状況に対応したセキュリティサービスの総合セット(SASEなど)を提供する進化型WAN(ワイドエリアネットワーク)インフラについて考察している。

 

・[PDF] SP 800-215

20221123-20305

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. はじめに
1.1. Structural Implications of Drivers on the Enterprise Network Landscape 1.1. ドライバがエンタープライズ・ネットワークに与える構造的影響
1.2. Security Implications of Drivers on the Enterprise Network Landscape 1.2. エンタープライズ・ネットワークにおけるドライバのセキュリティへの影響
1.3. The Need for a Security Guide 1.3. セキュリティガイドの必要性
1.4. Scope 1.4. 適用範囲
1.5. Target Audience 1.5. 対象読者
1.6. Organization of This Document 1.6. 本書の構成
2. Traditional Enterprise Network Access Approaches and Their Limitations 2. 従来のエンタープライズ・ネットワークアクセスのアプローチとその限界
2.1. Limitations of Network Perimeter-based Protections 2.1. ネットワーク境界ベース防御の限界
2.2. Limitations of VPN-based Access 2.2. VPN ベースアクセスの限界
2.3. Limitation of MPLS Technology as Enterprise WANs 2.3. エンタープライズWANとしてのMPLS技術の限界
2.4. Limitation of Authentication Infrastructure 2.4. 認証基盤の限界
3. Network Security Appliances in the Enterprise Network Landscape 3. エンタープライズ・ネットワークにおけるネットワークセキュリティ・アプライアンス
3.1. Cloud Access Security Broker (CASB) 3.1. クラウド・アクセス・セキュリティ・ブローカー(CASB)
3.2. Enhanced Firewall Capabilities 3.2. 強化されたファイアウォール機能
3.3. Appliance-set with Integrated Functions 3.3. 機能統合型アプライアンスセット
3.4. Network Security Automation Tools 3.4. ネットワークセキュリティ自動化ツール
3.4.1. Network Monitoring and Observability Tools 3.4.1. ネットワーク監視・観測可能ツール
3.4.2. Automated Network Provisioning Tools 3.4.2. ネットワーク自動化プロビジョニングツール
3.5. Networking Appliances as Services 3.5. サービスとしてのネットワーク・アプライアンス
4. Network Configurations for Basic Security Functions 4. 基本的なセキュリティ機能のためのネットワーク構成
4.1. Conceptual Underpinning – Contextual Information 4.1. 概念的基盤 ・コンテキスト情報
4.2. Network Configuration for Device Management 4.2. 機器管理のためのネットワーク構成
4.3. Network Configuration for User Authentication 4.3. ユーザー認証のためのネットワーク構成
4.4. Network Configuration for Device Authentication and Health Monitoring 4.4. 機器認証とヘルスモニタリングのためのネットワーク構成
4.5. Network Configuration for Authorizing Application/Service Access 4.5. アプリケーション/サービスへのアクセスを許可するためのネットワーク構成
4.6. Network Configurations for Preventing Attack Escalation 4.6. 攻撃のエスカレーションを防止するためのネットワーク構成
5. Enterprise-Wide Network Security Framework – Zero Trust Network Access (ZTNA) 5. エンタープライズ全体のネットワークセキュリティ・フレームワーク – ゼロトラスト・ネットワーク・アクセス (ZTNA)
5.1. Microsegmentation 5.1. マイクロセグメンテーション
5.1.1. Prerequisites for Implementing Microsegmentation 5.1.1. マイクロセグメンテーションを実装するための前提条件
5.1.2. Microsegmentation – Implementation Approaches 5.1.2. マイクロセグメンテーション ・実装のアプローチ
5.2. Software-defined Perimeter (SDP) 5.2. ソフトウェア定義境界(SDP)
6. Secure Wide Area Network Infrastructure for an Enterprise Network 6. エンタープライズ・ネットワークにおけるセキュアな広域ネットワーク基盤
6.1. Common Requirements for a Secure SD-WAN 6.1. セキュアなSD-WANの共通要件
6.2. Specific Requirements for SD-WANs for Cloud Access 6.2. クラウドアクセスのためのSD-WANの具体的な要件
6.3. Requirements for an Integrated Security Services Architecture for SD-WAN 6.3. SD-WANのための統合セキュリティサービスアーキテクチャの要件
7. Summary and Conclusions 7. まとめと結論
References 参考文献

 

エグゼクティブ・サマリー...

Executive Summary  エグゼクティブサマリー 
The enterprise network landscape has undergone tremendous changes in the last decade due to the following three drivers:  エンタープライズ・ネットワークの状況は、以下の3つの推進要因によって、この10年で大きく変化している。
・Enterprise access to multiple cloud services,   ・エンタープライズが複数のクラウドサービスにアクセスできるようになったこと。
・The geographical spread of enterprise-based (on-premises) IT resources (e.g., multiple data centers, headquarters, and branch offices), and   ・エンタープライズベースのITリソース(オンプレミス)の地理的な広がり(複数のデータセンター、本社、支店など)。 
・Changes to application architecture from being monolithic to a set of loosely coupled microservices.  ・アプリケーションのアーキテクチャが、モノリシックから疎結合のマイクロサービスへと変化すること。
The impacts of these drivers on the security of the enterprise network landscape include:  これらの推進要因が、エンタープライズのネットワーク環境のセキュリティに与える影響には、次のようなものがある。
・Disappearance of the concept of a network perimeter that can be protected and the necessity to protect each endpoint (device or service) that treats it as a perimeter  ・ネットワークの境界を保護するという概念の消滅と、境界として扱う各エンドポイント(デバイスやサービス)を保護する必要性 
・Increase in attack surface due to sheer multiplicity of IT resources (computing, networking, storage) and components  ・ITリソース(コンピューティング、ネットワーク、ストレージ)およびコンポーネントの多重化による攻撃対象の増加 
・Escalation of attacks across several network boundaries leveraging the connectivity features  ・接続機能を利用した複数のネットワーク境界をまたぐ攻撃のエスカレーション
This document is meant to provide guidance to this new enterprise network landscape from a secure operations perspective. The adopted methodology first considers the security challenges that the new network landscape poses and examines the limitations of current network access technologies. It then shows how solutions for meeting the challenges have evolved from being security function-specific to a security framework to a comprehensive security infrastructure that provides a holistic set of security services. Specific areas addressed include:  本書は、このような新しいエンタープライズ・ネットワークの状況に対して、安全な運用の観点からガイダンスを提供することを意図している。採用した手法は、まず、新しいネットワーク環境がもたらすセキュリティ上の課題を検討し、現在のネットワークアクセス技術の限界を調べる。そして、この課題に対応するためのソリューションが、セキュリティ機能に特化したものから、セキュリティフレームワーク、包括的なセキュリティサービスのセットを提供する包括的なセキュリティインフラへと進化していることを示す。具体的な内容は以下の通りである。
・Feature enhancements to traditional network security appliances  ・従来のネットワークセキュリティ・アプライアンスの機能強化
・Secure enterprise networking configurations for specific security functions  ・特定のセキュリティ機能に特化したセキュアなエンタープライズ・ネットワーク構成
・Security frameworks that integrate individual network configurations  ・個々のネットワーク構成を統合するセキュリティフレームワーク
・Evolving wide area network (WAN) infrastructure that provides a comprehensive set of security services  ・包括的なセキュリティサービスを提供する進化したWAN(Wide Area Network)インフラストラクチャ 
Based on the drivers outlined above, an enterprise network in the context of this document encompasses the following:  本書でいうエンタープライズ・ネットワークとは、上記の推進要因に基づき、次のようなものを指する。
・The private virtual networks that the enterprise (cloud services subscriber) configures in the cloud service provider’s native network within which its compute resources will be provisioned (e.g., virtual network [VNet], virtual private cloud [VPC])  ・エンタープライズ(クラウドサービス利用者)がクラウドサービスプロバイダーのネイティブネットワークに設定するプライベート仮想ネットワークで、その中で計算リソースがプロビジョニングされる(例:仮想ネットワーク(VNet)、仮想プライベートクラウド(VPC))。
・Various local networks on enterprise premises (e.g., enterprise data centers, headquarters, and branch offices)   ・エンタープライズ敷地内の各種ローカルネットワーク(エンタープライズのデータセンター、本社、支社など)
・The portion of a wide area network that is used by the enterprise to connect its various geographically dispersed locations and cloud service access points  ・エンタープライズが地理的に分散した様々な拠点とクラウドサービスのアクセスポイントを接続するために使用する広域ネットワークの部分

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.06 NIST SP 800-215 (ドラフト) 安全なエンタープライズ・ネットワーク環境のためのガイド

 

| | Comments (0)

2022.11.22

JPCERT/CC PSIRT Services Framework Ver 1.1 と PSIRT Maturity Document の日本語版 (2022.11.17)

こんにちは、丸山満彦です。

JPCERT/CCが、PSIRT Services Framework Ver 1.1 と PSIRT Maturity Document の日本語版を公表していました。。。

● JPCERT/CC - PSIRT Services Framework と PSIRT Maturity Document

・2022.11.17 [PDF] PSIRT Services Framework Version 1.1 日本語版 

20221122-181340

 

 

・2022.11.17 [PDF] PSIRT Maturity Document 日本語版

20221122-181542

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.28 日本シーサート協議会 PSIRT Maturity Document 日本語版 (2022.07.13)

 

| | Comments (0)

内閣官房 「国力としての防衛力を総合的に考える有識者会議」報告書

こんにちは、丸山満彦です。

内閣官房に9月末に設置された「国力としての防衛力を総合的に考える有識者会議」が4回の議論を重ねて、報告書を公表しましたね。。。


(有識者会議設置の趣旨)

○ 我が国を取り巻く厳しい安全保障環境を乗り切るためには、我が国が持てる力、すなわち経済力を含めた国力を総合し、あらゆる政策手段を組み合わせて対応していくことが重要である。こうした観点から、自衛隊の装備及び活動を中心とする防衛力の抜本的強化はもとより、自衛隊と民間との共同事業、研究開発、国際的な活動等、実質的に我が国の防衛力に資する政府の取組を整理し、これらも含めた総合的な防衛体制の強化をどのように行っていくべきかについて議論する。

○ また、こうした取組を技術力や産業基盤の強化につなげるとともに、有事であっても我が国の信用や国民生活が損なわれないよう、経済的ファンダメンタルズを 涵養していくことが不可欠である。こうした観点から、総合的な防衛体制の強化と経済財政の在り方について、どのように考えるべきかについて議論する。


 

内閣官房 - 国力としての防衛力を総合的に考える有識者会議

・2022.11.22 [PDF]  「国力としての防衛力を総合的に考える有識者会議」報告書

20221122-161340

目次...

はじめに

1.防衛力の抜本的強化について
(1) 目的・理念、国民の理解
(2) 防衛力の抜本的強化の必要性

2.縦割りを打破した総合的な防衛体制の強化について
(1) 総論
(2) 研究開発
(3) 公共インフラ
(4) サイバー安全保障、国際的協力
(5) 具体的な仕組み

3.経済財政の在り方について
(1) 防衛力強化と経済財政
(2) 財源の確保

(参考1)国力としての防衛力を総合的に考える有識者会議 議論の経緯
(参考2)国力としての防衛力を総合的に考える有識者会議 構成員




回数 日付 会議資料 議事要旨 議事録
第1回 2022.09.30 議事次第・資料 議事要旨 議事録
資料1 国力としての防衛力を総合的に考える有識者会議の開催について
資料2 国力としての防衛力を総合的に考える有識者会議運営要領
資料3 安全保障環境の変化と防衛力強化の必要性(内閣官房国家安全保障局提出資料)
資料4 参考資料(事務局提出資料)
第2回 2022.10.20 議事次第・資料 議事要旨 議事録
資料1 防衛力の抜本的強化(防衛省提出資料)
資料2 総合的な防衛力強化に向けた論点(財務省提出資料)
資料3 空港・港湾における自衛隊の利用状況及び安全保障における海上保安庁の役割(国土交通省提出資料)
資料4 総合的な防衛体制の強化に資する科学技術分野の研究開発に向けて(橋本委員・上山委員提出資料)
参考 防衛力を支える産業・技術基盤の強化に向けて(経済産業大臣発言補足資料)
第3回 2022.11.09 議事次第・資料 議事要旨 議事録
資料1 議論の整理(佐々江座長提出資料)
資料2 総合的な防衛体制の強化に向けた取組(内閣官房長官提出資料)
資料3 総合的な防衛体制の強化に必要な財源確保の考え方(財務省提出資料)
資料4 折木元統合幕僚長提出資料
資料5 佐藤元海上保安庁長官提出資料
第4回 2022.11.21 議事次第・資料 議事要旨 議事録

 

 

| | Comments (0)

経団連 web3推進戦略 (2022.11.15)

こんにちは、丸山満彦です。

経団連が、「web3推進戦略」を公表していますね。。。賛否両論色々あるのだろうと思いますが、、、まずは、落ち着いて読んでみましょうね。。。

とは、いえ。。。。

ーーーーー

Ⅲ.直ちに取り組むべきこと

  1. トークンの保有を促進
  2. トークンへの投資を促進
  3. トークンの流通を促進

ーーーーー

というのは、ゾワゾワしますね。。。

 

日本経済団体連合会

・2022.11.15 web3推進戦略- Society 5.0 for SDGs実現に向けて -

20221122-154703

 

 

目次...

Ⅰ.はじめに- Society 5.0 for SDGs実現に向けたweb3活用の可能性 -

  1. わが国の現状
  2. Society 5.0 for SDGs実現に向けたweb3活用の可能性

Ⅱ.web3先進国への変貌に向けたステップ

  1. 目指すべきweb3先進国の姿
  2. 具体的なステップ

Ⅲ.直ちに取り組むべきこと

  1. トークンの保有を促進
  2. トークンへの投資を促進
  3. トークンの流通を促進

Ⅳ.今後求められる関連分野の施策

  1. NFT
  2. DAO
  3. メタバース

Ⅴ.おわりに

【関連用語集】

 


 

Ⅲ.直ちに取り組むべきこと

「web3鎖国」脱却に向け直ちに取り組むべきこと

 

| | Comments (0)

NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネス影響分析の使用

こんにちは、丸山満彦です。

サイバーセキュリティとERMとの連携である、NISTIR 8286シリーズですが、8286Dも確定し、全て確定しましたね。。。

 

・2022.11.17 NISTIR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response 

NISTIR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response  NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネスインパクト分析の使用
Abstract 概要
While business impact analysis (BIA) has historically been used to determine availability requirements for business continuity, the process can be extended to provide a broad understanding of the potential impacts of any type of loss on the enterprise mission. The management of enterprise risk requires a comprehensive understanding of mission-essential functions (i.e., what must go right) and the potential risk scenarios that jeopardize those functions (i.e., what might go wrong). The process described in this publication helps leaders determine which assets enable the achievement of mission objectives and evaluate the factors that render assets as critical and sensitive. Based on those factors, enterprise leaders provide risk directives (i.e., risk appetite and tolerance) as input to the BIA. System owners then apply the BIA to developing asset categorization, impact values, and requirements for the protection of critical or sensitive assets. The output of the BIA is the foundation for the Enterprise Risk Management (ERM)/Cybersecurity Risk Management (CSRM) integration process, as described in the NIST Interagency Report (IR) 8286 series, and enables consistent prioritization, response, and communication regarding information security risk. ビジネス影響分析(BIA)は、これまで事業継続のための可用性要件を決定するために使用されてきたが、このプロセスを拡張することで、あらゆる種類の損失がエンタープライズのミッションに与える潜在的な影響を幅広く理解することができる。エンタープライズリスクの管理には、ミッションに不可欠な機能(すなわち、正しく機能しなければならないこと)と、それらの機能を危険にさらす潜在的なリスクシナリオ(すなわち、うまくいかないかもしれないこと)を包括的に理解することが必要である。本書で説明するプロセスは、リーダーがミッション目標の達成を可能にするのはどの資産かを判断し、資産を重要かつ機密であると判断する要素を評価するのに役立つ。これらの要因に基づき、エンタープライズのリーダーはリスク指令(すなわち、リスク選好度と許容度)をBIAへの入力として提供する。次にシステム所有者は、BIAを適用して、資産の分類、影響度、および重要資産や機密資産の保護要件を作成する。BIAのアウトプットは、NIST Interagency Report(IR)8286シリーズに記載されているように、エンタープライズリスクマネジメント(ERM)/サイバーセキュリティリスクマネジメント(CSRM)統合プロセスの基盤となり、情報セキュリティリスクに関する一貫した優先順位付け、対応、コミュニケーションを可能にする。

 

・[PDF] NISTIR 8286D

20221122-24038

 

目次...

Table of Contents 目次
Executive Summary エグゼクティブサマリー
1.  Introduction 1.  はじめに
1.1.  Benefits of Extending the BIA for Risk Types 1.1.  BIAをリスクタイプに拡張するメリット
1.2.  Foundational Practices for Business Impact Analysis 1.2.  ビジネス影響分析の基礎的な実践
1.3.  Document Structure 1.3.  文書構造
2.  Cataloging and Categorizing Assets Based on Enterprise Value 2.  エンタープライズの価値に基づく資産のカタログ化および分類
2.1.  Identification of Enterprise Business Asset Types 2.1.  エンタープライズ・ビジネス資産の種類の特定
2.2.  The Business Impact Analysis Process 2.2.  ビジネス影響分析プロセス
2.3.  Determining Asset Value to Support CSRM Activities 2.3.  CSRM活動を支援するための資産価値の決定
2.4.  Determining Loss Scenarios and Their Consequences 2.4.  損失シナリオとその結果の決定
2.5.  Business Impact Analysis in Terms of Criticality and Sensitivity 2.5.  重要度・感度の観点からのビジネス影響分析
2.6.  Using a BIA to Record Interdependencies 2.6.  相互依存関係を記録するためのBIAの使用
2.7.  Consistent Business Impact Analysis Through an Enterprise Approach 2.7.  エンタープライズ・アプローチによる一貫したビジネス影響分析
2.8.  Using a BIA to Support an Enterprise Registry of System Assets 2.8.  システム資産のエンタープライズ登録を支援するためのBIAの使用
3.  Conclusion 3.  結論
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書A.記号・略語・頭字語の一覧表

 

エグゼクティブ・サマリー

Executive Summary  エグゼクティブサマリー 
Risk is measured in terms of impact on enterprise mission, so it is vital to understand the various information and technology (IT) assets whose functions enable that mission. Each asset has a value to the enterprise. For government enterprises, many of those IT assets are key components for supporting critical services provided to citizens. For corporations, IT assets directly influence enterprise capital and valuation, and IT risks can have a direct impact on the balance sheet or budget. For each type of enterprise, it is both vital and challenging to determine the conditions that will truly impact a mission. Government agencies must provide critical services while adhering to priority directives from senior leaders. In the commercial world, mission priority is often driven by long-term goals and factors that might impact the next quarter’s earnings call. Therefore, it is highly important to continually analyze and understand the enterprise resources that enable enterprise objectives and that can be jeopardized by cybersecurity risks.  リスクは、エンタープライズのミッションへの影響という観点から評価されるため、そのミッションを実現する様々な情報・技術(IT)資産を理解することが重要である。各資産はエンタープライズにとって価値がある。政府系エンタープライズの場合、これらのIT資産の多くは、市民に提供される重要なサービスを支える重要な構成要素である。エンタープライズの場合、IT資産はエンタープライズの資本や評価に直接影響し、ITリスクは貸借対照表や予算に直接的な影響を与える可能性がある。それぞれのエンタープライズにとって、ミッションに真に影響を与える状況を判断することは、極めて重要であると同時に困難でもある。政府機関では、上級指導者からの優先的な指示を守りながら、重要なサービスを提供しなければならない。一方、民間のエンタープライズでは、ミッションの優先順位は、長期的な目標や次の四半期の決算に影響を与えるような要因によって左右されることがよくある。したがって、エンタープライズの目標を実現し、サイバーセキュリティのリスクによって危険にさらされる可能性のあるエンタープライズリソースを継続的に分析し、理解することが非常に重要である。
The NIST Interagency Report (IR) 8286 series has coalesced around the risk register as a construct for storing and a process for communicating risk data [NISTIR8286]. Another critical artifact of risk management that serves as both a construct and a means of communication with the risk register is the Business Impact Analysis (BIA) Register. The BIA examines the potential impacts associated with the loss or degradation of an enterprise’s technology-related assets based on a qualitative or quantitative assessment of the criticality and sensitivity of those assets and stores the results in the BIA Register. An asset criticality or resource dependency assessment identifies and prioritizes the information assets that support the enterprise’s critical missions. Similarly, assessments of asset sensitivity identify and prioritize information assets that store, process, or transmit information that must not be modified or disclosed to unauthorized parties. In the cybersecurity realm, the use of the BIA has historically been limited to calculations of quality-based and time-based objectives for incident handling (including continuity of operations and disaster recovery).   NIST Interagency Report (IR) 8286 シリーズは、リスクデータを保存し、伝達するためのプロセスとして、リスク登録の中心にまとまった[NISTIR8286]。リスク登録の構成と伝達手段の両方として機能するリスク管理のもう一つの重要な成果物は、ビジネス影響度分析(BIA)登録である。BIAは、エンタープライズの技術関連資産の損失または劣化に関連する潜在的な影響を、それらの資産の重要性と感度の定性的または定量的評価に基づいて調査し、その結果をBIA登録簿に保存する。資産の重要性またはリソース依存の評価では、エンタープライズの重要なミッションを支える情報資産を特定し、優先順位をつける。同様に、資産の機密性の評価では、不正な者に変更または開示されてはならない情報を保存、処理、または伝送する情報資産を特定し、優先順位を付けます。サイバーセキュリティの分野では、BIAの使用は歴史的に、インシデント処理(業務継続や災害復旧を含む)のための品質ベースおよび時間ベースの目標の計算に限られている。 
Because the BIA serves as a nexus for understanding risk (which is the measurement of uncertainty on the mission), it provides a basis for risk appetite and tolerance values as part of the enterprise risk strategy.[1] That guidance supports performance and risk metrics based on the relative value of enterprise assets to communicate and monitor Cybersecurity Risk Management[2] (CSRM) activities, including measures determined to be key performance indicators (KPIs) and key risk indicators (KRIs). The BIA supports asset classification that drives requirements, risk communications, and monitoring.  BIAは、リスク(ミッションに関する不確実性の測定)を理解するための結節点として機能するため、エンタープライズリスク戦略の一部としてリスク選好度と許容値の根拠を提供する。 そのガイダンスは、主要業績評価指標(KPI)および主要リスク指標(KRI)であると決定した指標を含むサイバーセキュリティリスク管理(CSRM)活動を伝達および監視するためのエンタープライズ資産の相対価値に基づく業績およびリスク指標を支援している[2]。BIAは、要件、リスクコミュニケーション、およびモニタリングを推進するための資産分類を支援する。
Expanding use of the BIA to include confidentiality and integrity considerations supports comprehensive risk analysis. The basis of asset valuation on enterprise impact helps to better align risk decisions to enterprise risk strategy. CSRM/ERM integration helps to complete the risk cycle by informing future iterations of impact analysis based on previous information gained through cybersecurity risk register (CSRR) aggregation, as detailed in NIST IR 8286C. As organizational and enterprise leaders gain an understanding of aggregate risk exposure and composite impact, that information helps adjust risk expectations (including business impact guidance to ensure an ongoing balance among asset value, resource optimization, and risk considerations).  BIAの利用を拡大し、機密性と完全性への配慮を含めることで、包括的なリスク分析が可能になる。エンタープライズへの影響に基づく資産評価により、リスクに関する意思決定とエンタープライズのリスク戦略との整合性を高めることができる。CSRM/ERMの統合は、NIST IR 8286Cに詳述されているように、サイバーセキュリティリスク登録(CSRR)集計を通じて得られた過去の情報に基づいて、影響分析の将来の反復に情報を提供することによって、リスクサイクルを完成させるのに役立つ。組織とエンタープライズのリーダーは、集約されたリスクエクスポージャーと複合的な影響について理解することで、その情報はリスク予想(資産価値、リソース最適化、リスク考慮の間の継続的バランスを確保するためのビジネス影響ガイダンスを含む)を調整するのに役立つ。
The BIA process enables system owners to record the benefits provided by an asset by considering the contribution to the enterprise, particularly in terms of mission, finance, and reputational aspects. Once informed about how each asset supports enterprise value, system owners can then work with risk managers to determine the implications of uncertainty on those assets.  BIAプロセスにより、システム所有者は、特にミッション、財務、評判といった側面からエンタープライズへの貢献を考慮し、資産によってもたらされる利益を記録することができる。各資産がどのようにエンタープライズ価値を支えているかを知ることができれば、システムオーナーはリスクマネージャーと協力して、その資産に不確実性が及ぼす影響を判断することができる。
It is more critical than ever to have centralized and reliable asset information recorded in the BIA Register since enterprises rely on various types of information and communications technology (ICT) resources, which are increasingly targeted by adversaries. The BIA process provides information that can be consistently recorded in a centralized registry of important asset management information, such as system ownership, contact information for key stakeholders, and characteristics of the physical devices (or services). Since asset management is an important element of cybersecurity risk management, this information is quite valuable for protecting the asset, detecting cyber events, responding quickly to potential issues, and recovering services when necessary.  エンタープライズはさまざまな種類の情報通信技術(ICT)資源に依存しており、これらの資源は敵対勢力にますます狙われているため、BIA登録簿に記録される一元化された信頼性の高い資産情報がこれまで以上に重要となっている。BIAプロセスは、システムの所有権、主要な関係者の連絡先、物理的な装置(またはサービス)の特性など、重要な資産管理情報を一元的に登録することで、一貫して記録できる情報を提供するものである。資産管理はサイバーセキュリティのリスク管理の重要な要素であるため、この情報は資産の保護、サイバーイベントの検出、潜在的な問題への迅速な対応、必要時のサービスの回復にとって非常に貴重なものである。
Public- and private-sector enterprises must maintain a continual understanding of potential business impacts, the risk conditions that might lead to those impacts, and the steps being taken to address those impacts (as recorded in various risk registers and, ultimately, in the Enterprise Risk Profile). In many cases, when a company or agency is asked about risks, they are actually being asked to describe potential impacts. Companies must describe the risk factors that could have a material adverse effect on the enterprise’s financial position, its ability to operate, or its corporate cash flow. Agencies must report to legislative and regulatory stakeholders about adverse impacts that could impair agency missions and funding. Use of the BIA methodology to categorize the criticality and sensitivity of enterprise assets enables effective risk management and the subsequent integration of reporting and monitoring at the enterprise level to ensure that risk and resource utilization are optimized in light of the value of those assets.  公共部門および民間部門のエンタープライズは、潜在的なビジネスへの影響、それらの影響をもたらす可能性のあるリスク状況、およびそれらの影響に対処するための措置(各種リスク登録簿、最終的にはエンタープライズリスクプロファイルに記録される)に対する継続的な理解を維持しなければならない。多くの場合、エンタープライズや機関がリスクについて尋ねられるとき、実際には潜在的な影響について説明するよう求められている。エンタープライズは、エンタープライズの財政状態、経営能力、またはエンタープライズのキャッシュフローに重大な悪影響を及ぼす可能性のあるリスク要因を記述しなければならない。省庁は、省庁の使命や資金調達を損なう可能性のある悪影響について、立法・規制上の利害関係者に報告しなければならない。BIAの手法を使用してエンタープライズ資産の重要度と機密性を分類することで、効果的なリスク管理が可能になり、その後のエンタープライズレベルでの報告と監視の統合により、リスクとリソースの利用がこれらの資産の価値に照らして最適化されることが保証される。
[1] Office of Management and Budget (OMB) Circular A-123 defines risk appetite as “the broad-based amount of risk an organization is willing to accept in pursuit of its mission/vision. It is established by the organization’s most senior level leadership and serves as the guidepost to set strategy and select objectives.” The same document defines risk tolerance as “the acceptable level of variance in performance relative to the achievement of objectives.”  [1] 米行政管理予算局(OMB)Circular A-123では、リスク選好度を「組織がその使命/ビジョンを追求するために受け入れようとする広範なリスク量」と定義している。これは、「組織の最上位レベルのリーダーシップによって確立され、戦略を設定し、目標を選択するための道標として機能する 」と定義している。同文書では、リスク許容度を 「目標達成に対するパフォーマンスのばらつきの許容レベル 」と定義している。
[2] Cybersecurity Risk Management, or CSRM, is the process of managing uncertainty on or within information and technology.  [2] サイバーセキュリティリスク管理、または CSRM は、情報および技術上の、または技術内の不確実性を管理するプロセスである。

 

図1:BIAプロセスとサイバーセキュリティリスクマネジメントの統合

1_20221122025601

Step A – Based on the enterprise mission, executives identify the products and business processes that are essential to the successful operation of the enterprise. Based on that list, the executives and senior leaders identify the enterprise-level assets[6] that enable those functions. The identification of enterprise-level assets should consider the interdependencies of systems and assets. Those assets inherit the criticality/priority of the functions they support. ステップ A - エンタープライズのミッションに基づき、経営幹部は、エンタープライズの成功に不可欠な製品とビジネスプロセスを特定する。そのリストに基づいて、エグゼクティブとシニアリーダーは、それらの機能を実現する企業レベルの資産[6]を特定する。企業レベルの資産の特定は、システムと資産の相互依存関係を考慮する必要がある。これらの資産は、それらがサポートする機能の重要度/優先度を引き継ぎます。

Step B – Leaders establish and communicate the risk appetite associated with those enterprise assets, and organizational managers determine the resulting risk tolerance.  ステップ B - リーダーは、それらの企業資産に関連するリスク許容度を設定し、伝達し、組織管理者は、その結果としてのリスク許容度を決定する。
Step C – As part of the CSRM process, the system owner will determine the extent to which every system or activity enables a mission/business-critical function (as illustrated in Figure 2). The criticality/priority direction from leaders, expressed through risk appetite/risk tolerance statements (Step B), is used to help determine what the impact of losses would be on confidentiality, integrity, or availability. That impact understanding and the basis for those determinations are recorded in the system BIA Register. [7]
ステップ C - CSRMプロセスの一環として、システム所有者は、すべてのシステムまたはアクティビティが、ミッション/ビジネスクリティカルな機能(図2に図示)をどの程度可能にするかを決定する。リスク選好度/リスク許容度ステートメント(ステップB)を通じて表現されたリーダーからの重要度/優先度の指示は、損失が機密性、完全性、または可用性に及ぼす影響を判断するために使用される。その影響の把握とその判断の根拠は、システムのBIA登録に記録される。[7]
Fig2_20220614030001
  • 機密性による損失の影響の文書化
  • 完全性による損失の影響の文書化
  • 可用性による損失の影響の文書化
  • 資産の重要度・機微性の分類
  • BIA登録への追加・更新
Figure 2: Level 3 BIA Activities
図2:レベル3のBIA活動
Step D – The analysis and results provide the input into the CSRM process illustrated in the diagram and described in NISTIRs 8286A, 8286B, and 8286C.   ステップ D - 分析と結果は、図に示され、NISTIRs 8286A、8286B、8286Cで説明されているCSRMプロセスへのインプットを提供する。 
Step E – Residual risks, particularly those that impact critical and sensitive resources, are highlighted in the Level 2 risk registers as those CSRRs are normalized and aggregated.  Of important note is that cybersecurity is one component of technology risk that feeds operational risks (OpRisk).  ステップ E - 残留リスク、特に重要で機密性の高いリソースに影響を与えるリスクは、CSRR が正規化され、集約されることで、レベル 2 リスク登録でハイライトされる。 重要なことは、サイバーセキュリティは、オペレーショナルリスク(OpRisk)を養うテクノロジーリスクの1つの要素であるということである。
Step F – Enterprise leaders consider the results of ongoing risk activities reported through Level 2 CSRRs as integrated into an Enterprise Cybersecurity Risk Register (E-CSRR) and assess the aggregate impact of the Level 3 and Level 2 risks. This understanding of the composite impact on mission/business-critical functions (including OpRisk) is used to prioritize risk response based on enterprise finance, mission, and reputation consequences.[8] Composite understanding also helps to confirm that risks are within the stated risk appetite or to identify necessary adjustments (e.g., implementing controls, risk mitigation). If adjustments are necessary, an action plan is created that will result in the appropriate increase or decrease of risk appetite to achieve the appropriate impact levels. ステップ F - エンタープライズのリーダーは、レベル 2 CSRR を通じて報告された継続的なリスク活動の結果を、エンタープライズ・サイバーセキュリティ・リスク登録(E-CSRR)に統合して検討し、レベル 3 とレベル 2のリスクの複合的な影響を評価する。ミッション/ビジネスクリティカルな機能(OpRisk を含む)に対する複合的な影響のこの理解は、企業財務、ミッション、レピュテーションへの影響に基づいてリスク対応の優先順位付けに用いられる[8]。 複合的な理解はまた、リスクが規定リスク許容度の範囲内にあることを確認し、必要な調整(例えば、統制の実施、リスク軽減)を特定するのに役立つ。調整が必要な場合は、適切な影響レベルを達成するために、リスクアペタイトを適切に増減させるアクションプランが作成される。
[6] The term ‘asset’ or ‘assets’ is used in multiple frameworks and documents. For the purposes of this publication, ‘assets’ are defined as technologies that may comprise an information system.  Examples include laptop computers, desktop computers, servers, sensors, data, mobile phones, tablets, routers, and switches.  In instances where the authors mean ‘assets’ as they appear on a balance sheet, the word ‘asset’ will be proceeded by words such as ‘high-level’ or ‘balance sheet’ or ‘Level 1’ to differentiate context.  [6] 「資産」または「資産」という用語は、複数のフレームワークや文書で使用されています。本書では、「資産」を情報システムを構成する可能性のある技術として定義しています。 例えば、ノートパソコン、デスクトップパソコン、サーバー、センサー、データ、携帯電話、タブレット端末、ルーター、スイッチなどである。 著者が貸借対照表上の「資産」を意味する場合、文脈を区別するために、「資産」という語の後に「ハイレベル」、「貸借対照表」、「レベル1」などの語を付すことにしている。
[7] A BIA register records business impact information about relevant assets; the register is related to but separate from a risk register, which is a repository of risk information including the data understood about risks over time.
[7]BIA登録簿は、関連する資産に関するビジネスインパクト情報を記録する。登録簿は、リスク登録簿と関連しているが、リスク登録簿とは別物であり、リスクについて時系列で理解されるデータを含むリスク情報のリポジトリである。
[8] Operational risk is discussed more fully in NISTIR 8286C Section 3.1.  [8] オペレーショナルリスクについては、NISTIR8286Cの3.1節でより詳細に議論されている。

 

NISTIR 8286 関連

Date St. Web PDF  
2020.10.13  Final NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)  サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合
2021.11.12  Final NISTIR 8286A Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
2022.02.10  Final NISTIR 8286B Prioritizing Cybersecurity Risk for Enterprise Risk Management  エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
2022.09.14  Final NISTIR 8286C Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
2022.11.17 Final NISTIR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response リスクの優先順位付けと対応を行うためのビジネス影響分析の使用

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.22 NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネス影響分析の使用

・2022.09.16 NISTIR 8286C エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

・2022.06.14 NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネスインパクト分析を使用する方法 (2022.06.09)

・2022.02.13 NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2022.01.28 NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定

・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)

・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)

・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)

・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)

 

関連する情報

・2021.08.19 NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ

・2021.08.10 NIST SP 1271 NISTサイバーセキュリティフレームワーク入門:クイックスタートガイド

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

 

COSO 関連

・2022.01.18 ENISA 相互運用可能なEUのリスク管理フレームワーク

・2020.06.23 GAO GreenbookとOMB Circular No. A-123

少し(^^)遡ります。。。

・2011.12.22 COSO Exposure Draft: International Control Integrated Framework

・2009.01.27 COSO Guidance on Monitoring Internal Control Systems

・2008.06.12 COSO ED Guidance on Monitoring Internal Control Systems

・2007.09.15 COSO Guidance on Monitoring Internal Control Systems

・2007.06.26 英国規格 パブコメ リスクマネジメントのための実践規範 (BS 31100, Code of practice for risk management)

次の3つは歴史を知る上でも重要↓

・2006.08.28 SAS No.55の内部統制の要素

・2006.07.31 内部統制の構成要素比較 日本語

・2006.07.30 内部統制の構成要素比較

・2006.07.08 Internal Control over Financial Reporting — Guidance for Small Public Companies

この4つは歴史的にも重要かもですね。。。↓

・2006.05.10 CoCoにおける取締役会の統制上の責任

・2006.04.26 カナダCoCo内部統制ガイダンスにあって米国COSO内部統制報告書に明確にはないもの 「相互の信頼」

・2006.04.24 米国 30年前のIT全般統制の項目

・2006.04.03 米国では、全般統制と業務処理統制は30年以上前から言われている

・2005.10.28 COSO Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting exposure draft

・2005.01.30 NHK COSOを導入

| | Comments (0)

2022.11.21

経済産業省 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」

こんにちは、丸山満彦です。

経済産業省が、「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」を策定していますね。。。

「産業サイバーセキュリティ研究会ワーキンググループ1(制度・技術・標準化)工場SWG」 の成果物ですね。。。

 

経済産業省

・2022.11.16 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」を策定しました

20221121-60507

 

 


2.ガイドラインの概要

本ガイドラインは、セキュリティ対策を行うに当たり参照すべき考え方やステップを示しているため、業界団体や個社が自らの工場を取り巻く環境を整理し必要な工場のセキュリティ対策を企画・実行していく際に役に立つガイドラインとなっています。

 


目次...

1 はじめに
1.1
工場セキュリティガイドラインの目的
【参考】 工場システムにおいてセキュリティ脅威により生じる影響の例
1.2
ガイドラインの適用範囲
1.3 5

2 本ガイドラインの想定工場
2.1
想定企業
2.2
想定組織構成
2.3
想定生産ライン
2.4
想定業務
2.5
想定データ
2.6
想定ゾーン

3 セキュリティ対策企画・導入の進め方
3.1
ステップ1  内外要件(経営層の取組や法令等)や業務、保護対象等の整理
3.1.1
ステップ 1-1  セキュリティ対策検討・企画に必要な要件の整理 
3.1.2 ステップ 1-2  業務の整理
3.1.3 ステップ 1-3  業務の重要度の設定
【参考】 業務の重要度(想定工場における例)
3.1.4 ステップ 1-4  保護対象の整理
3.1.5 ステップ 1-5  保護対象の重要度の設定
3.1.6 ステップ 1-6  ゾーンの整理と、ゾーンと業務、保護対象の結びつけ
3.1.7 ステップ 1-7  ゾーンと、セキュリティ脅威による影響の整理
【参考】 攻撃者の動機
【参考】 経営層による取組の宣言

3.2
ステップセキュリティ対策の立案
3.2.1
ステップ 2-1  セキュリティ対策方針の策定
【参考】 セキュリティ要求レベルの考え方の例
【参考】 対策の程度
3.2.2 ステップ 2-2  想定脅威に対するセキュリティ対策の対応づけ
(1) システム構成面での対策
(2) 物理面での対策 
【参考】 入退管理の考え方
【参考】 物理セキュリティ運用・管理の担当部署
 
3.3
ステップ 3 セキュリティ対策の実行、及び計画・対策・運用体制の不断の見直し(PDCA サイクルの実施)
(1)ライフサイクルでの対策
【参考】 運用管理体制(例) 
(2)サプライチェーン対策
【参考】 制御システムや IoT に関するセキュリティ認証制度 
【参考】 下請振興基準 .
【参考】 稼働中の工場と新設の工場における対策の考慮 
【参考】 戦略の実行管理

付録 A 用語/略語

付録 B 工場システムを取り巻く社会的セキュリティ要件 
B-1
法規制、標準規格、ガイドライン準拠に関わる要件 
B-1.1 法規制によるセキュリティ対策の要求
【参考】 業界ごとのセキュリティに関わる法規制 
B-1.2 セキュリティに関わる標準規格・ガイドライン準拠の要求 
【参考】 セキュリティインシデント対応に関する主なガイドライン
B-2 国・自治体からの要求 
B-3 産業界からの要求
【参考】 業界ごとの要求
B-4 市場・顧客からの要求 
B-5 B-5 取引先からの要求
B-6 出資者からの要求

付録 C 関係文書におけるセキュリティ対策レベルの考え方 
C-1
代表的なセキュリティ対策評価基準
C-2 セキュリティ対策を行う度合いの定義例

付録 D 関連/参考資料 

付録 E チェックリスト

付録 F 調達仕様書テンプレート(記載例)

コラム 1 : 工場セキュリティを巡る動向 
コラム 2 : 工場システムの目的や製造業/工場の価値から観た セキュリティ 
コラム 3 : スマート工場への流れ 
コラム 4 : 工場におけるクラウド利用 

本ガイドラインの検討体制

謝辞 

委員...
市岡 裕嗣 三菱電機株式会社 名古屋製作所ソフトウエアシステム部 部長 ※2022 年度~
西雪 弘 三菱電機株式会社 FA ソリューションシステム部 部長 (※~2021 年度)
岩﨑 章彦 一般社団法人電子情報技術産業協会 セキュリティ専任部長
江崎 浩 東京大学大学院 情報理工学系研究科教授
榎本 健男 一般社団法人日本工作機械工業会 技術委員会 標準化部会 電気・安全規格専門委員会委員 (三菱電機株式会社 名古屋製作所ドライブシステム部 専任)
桑田 雅彦 日本電気株式会社 デジタルネットワーク事業部門 兼 テクノロジーサービス部門 サイバーセキュリティ事業統括部  シニアプロフェッショナル(サイバーセキュリティ)(Edgecross・GUTP 合同 工場セキュリティ WG リーダー)
斉田 浩一 ファナック株式会社 IT 本部情報システム部五課 課長
佐々木 弘志 フォーティネットジャパン合同会社 OT ビジネス開発部 部長 (IPA ICSCoE 専門委員)
斯波 万恵 株式会社東芝 サイバーセキュリティ技術センター 参事 (ロボット革命イニシアティブ(RRI)産業セキュリティ AG)
高橋 弘宰 トレンドマイクロ株式会社 OT セキュリティ事業部 OT プロダクトマネジメントグループ シニアマネージャー
中野 利彦 株式会社日立製作所 制御プラットフォーム統括本部 大みか事業所 セキュリティエバンジェリスト
藤原 剛 ビー・ユー・ジーDMG 森精機株式会社 制御開発本部コネクティビティー部 副部長
松原 豊 名古屋大学大学院 情報学研究科准教授
村瀬 一郎 技術研究組合制御システムセキュリティセンター 事務局長
渡辺 研司 名古屋工業大学大学院 社会工学専攻教授 

| | Comments (0)

経済産業省 日本発の自動運転システムの「シナリオに基づく安全性評価フレームワーク」に関する国際標準 (ISO34502) が発行されたことを公表

こんにちは、丸山満彦です。

経済産業省が、ISO 34502:2022 Road vehicles — Test scenarios for automated driving systems — Scenario based safety evaluation frameworkが発行されたことをニュースリリースで公表していますね。。。


自動運転システムの安全性を評価するための手順やシナリオに関する、日本発の国際標準が発行されました。これにより、自動運転システムの安全性と開発効率の向上が期待されます。


とのことです。。。

誤用、人と機械間のインターフェース、サイバーセキュリティに関わる安全関連については、対象外です。。。

 

経済産業省

・2022.11.16 日本発の自動運転システムの「シナリオに基づく安全性評価フレームワーク」に関する国際標準が発行されました ~安全で自由に移動できる社会の実現を目指して(ISO 34502)~

 

2. 標準の概要...


本標準は、自動運転システムの安全性を評価する手順や、クリティカルシナリオ(自車にとって危険と認知した場合に即座に安全行動を行う必要がある事象)の導出手法等から構成されております。(図1)

① 安全目標の設定(例えば有能なドライバーより優秀である)
② シナリオ検証範囲の設定(例えば交通参加者の速度範囲等)
③ 危険な事象に至る要因(例えば自車と他車との相対速度や車間距離)及び②シナリオ検証範囲からクリティカルシナリオの特定
④ 安全性試験・評価を実施
⑤ ①で設定した安全目標を達成しているか判断
⑥ ⑤で未達成の場合、自動運転システムの再検討を要求し、①に戻る(反復ループ)

 

 

図1:ISO 34502で規定された安全性評価の全体的な流れ

日本提案の特徴は、クリティカルシナリオの導出手法について、より実現可能な「シナリオベースアプローチ」を提案した点にあります。これは、自動運転システムの各要素を「認知」、「判断」、「操作」の3要素に分解し、それぞれの危険に繋がる事象を体系的に整理する事で、シナリオを漏れなく導出する手法です。(図2)
シナリオの種類が無限に近くなった場合、最適な検証作業に支障をきたしますが、このアプローチによって、安全性保証にとって必要十分なシナリオを、過不足なく検討することが容易になります。

 

図2:シナリオの体系化

なお、ISO/TC22/SC33(ビークルダイナミクス、シャーシコンポーネント、運転自動化システムのテスト)/WG9(自動運転システムのテストシナリオ)においては、安全性を評価するための5つのプロジェクトが、2018年9月からスタートしています。この中でも標準化の主軸は、シナリオに基づく安全性評価フレームワークを構築するプロジェクトでした。このプロジェクトについて、自動運転システムの安全性評価基盤構築に向けて経済産業省が実施しているSAKURAプロジェクト*2の活動成果を活用する事で、日本主導において検討されてISO 34502の発行につながったものです。

 

ISO

ISO 34502:2022 Road vehicles — Test scenarios for automated driving systems — Scenario based safety evaluation framework

ISO 34502:2022 Road vehicles — Test scenarios for automated driving systems — Scenario based safety evaluation framework ISO 34502:2022 道路運送車両-自動運転システムの試験シナリオ-シナリオに基づく安全性評価フレームワーク
This document provides guidance for a scenario-based safety evaluation framework for automated driving systems (ADSs). The framework elaborates a scenario-based safety evaluation process that is applied during product development. The guidance for the framework is intended to be applied to ADS defined in ISO/SAE PAS 22736 and to vehicle categories 1 and 2 according to Reference [10]. This scenario-based safety evaluation framework for ADS is applicable for limited access highways. この文書は、自動運転システム(ADS)のためのシナリオベースの安全性評価フレームワークのためのガイダンスを提供する。このフレームワークは、製品開発時に適用されるシナリオに基づく安全性評価プロセスを精緻化したものである。このフレームワークのガイダンスは、ISO/SAE PAS 22736 で定義された ADS と、文献 [10] による車両カテゴリ 1 と 2 に適用されることを意図している。このシナリオに基づく ADS の安全性評価フレームワークは、アクセス制限のある高速道路に適用されるものである。
This document does not address safety-related issues involving misuse, human machine interface and cybersecurity. 本書は、誤用、ヒューマンマシンインタフェース、サイバーセキュリティに関わる安全関連の問題には言及しない。
This document does not address non-safety related issues involving comfort, energy efficiency or traffic flow efficiency. また、快適性、エネルギー効率、交通流効率など、安全以外の問題についても触れていない。

 

目次概要...

Foreword 序文
Introduction はじめに
1 ​Scope 1 適用範囲
2 ​Normative references 2 引用規格
3 ​Terms and definitions 3 用語と定義
4 ​Test scenario-based safety evaluation process 4 テストシナリオベースの安全性評価プロセス
4.1 ​Integration into the overall development process 4.1 開発プロセス全体への統合
4.2 ​Safety test objectives 4.2 安全性試験の目的
4.3 ​Specification of the relevant scenario space 4.3 関連するシナリオ空間の仕様
4.4 ​Derivation of critical scenarios based on risk factors 4.4 リスク要因に基づく重要シナリオの導出
4.5 ​Derivation of test scenarios based on covering the relevant scenario space 4.5 関連するシナリオ空間をカバーすることに基づくテストシナリオの導出
4.6 ​Derivation of concrete test scenarios and test scenario allocation 4.6 具体的な試験シナリオの導出及び試験シナリオの割当て
4.7 ​Test execution 4.7 試験の実施
4.8 ​Safety evaluation 4.8 安全性評価
Annex 附属書
Annex A Physics principles scenario-based approach 附属書 A 物理原則 シナリオに基づくアプローチ
Annex B Traffic-related critical scenarios 附属書 B 交通関連の重要シナリオ
Annex C Perception-related critical scenarios 附属書 C 知覚に関連するクリティカルシナリオ
Annex E Derivation and structuring of scenarios using criticality analysis 附属書 E 臨界分析を用いたシナリオの導出と構造化
Annex F Qualification of virtual test platforms 附属書 F 仮想テストプラットフォームの適格性評価
Annex G Scenario database and parameter variation methods 附属書 G シナリオデータベースとパラメータ変動法
Annex H Segmentation of test space 附属書 H 試験空間の区分け
Annex I Evaluation of test scenarios based on behavioural safety assessment 附属書 I 行動安全アセスメントに基づくテストシナリオの評価
Annex J Risk evaluation based on positive risk balance 附属書 J ポジティブリスクバランスに基づくリスク評価
Annex K Constrained random testing to identify unknown critical scenarios 附属書 K 未知の重要シナリオを特定するための制約付きランダム試験
Annex L Sufficiency of traffic data to develop parameter ranges 附属書 L パラメータ範囲を開発するためのトラフィックデータの十分性
Bibliography 参考文献

 

» Continue reading

| | Comments (0)

2022.11.20

NIST SP 800-160 Vol.1 Rev.1 信頼性の高い安全なシステムのエンジニアリング (2022.11.16)

こんにちは、丸山満彦です。

NISTが意見募集をしていた、SP 800-160 Vol.1 Rev.1 信頼性の高い安全なシステムのエンジニアリングの最終版を公表していますね。。。

 

● NIST - ITL 

・2022.11.16 SP 800-160 Vol. 1 Rev. 1 Engineering Trustworthy Secure Systems

SP 800-160 Vol. 1 Rev. 1 Engineering Trustworthy Secure Systems SP 800-160 Vol.1 Rev.1 信頼性の高い安全なシステムのエンジニアリング
Abstract 概要
This publication describes a basis for establishing principles, concepts, activities, and tasks for engineering trustworthy secure systems. Such principles, concepts, activities, and tasks can be effectively applied within systems engineering efforts to foster a common mindset to deliver security for any system, regardless of the system’s purpose, type, scope, size, complexity, or the stage of its system life cycle. The intent of this publication is to advance systems engineering in developing trustworthy systems for contested operational environments (generally referred to as systems security engineering) and to serve as a basis for developing educational and training programs, professional certifications, and other assessment criteria. 本書は、信頼性の高いセキュアなシステムを設計するための原則、概念、活動、およびタスクを確立するための基礎を説明するものである。このような原則、概念、活動、およびタスクは、システムの目的、種類、範囲、規模、複雑さ、またはシステムライフサイクルの段階に関係なく、あらゆるシステムのセキュリティを実現するための共通の考え方を醸成するために、システムエンジニアの取り組みに効果的に適用することができる。本書の目的は、厳しい運用環境において信頼性の高いシステムを開発するシステム工学(一般にシステムセキュリティ工学と呼ばれる)を発展させ、教育・訓練プログラム、専門家認定、その他の評価基準を開発するための基礎とすることである。

 

・[PDF] SP 800-160 Vol. 1 Rev. 1

20221120-54329

 

目次...

1.  Introduction 1.  はじめに
1.1.  Purpose and Applicability 1.1.  目的及び適用性
1.2.  Target Audience 1.2.  対象読者
1.3.  How to Use this Publication 1.3.  この出版物の使用方法
1.4.  Organization of this Publication 1.4.  本書の構成
2.  Systems Engineering Overview 2.  システムエンジニアリングの概要
2.1.  System Concepts 2.1.  システム概念
2.1.1. Systems and System Structure 2.1.1. システムとシステム構造
2.1.2. Interfacing, Enabling, and Interoperating Systems 2.1.2. システムのインターフェイス、イネーブル、および相互運用
2.2.  Systems Engineering Foundations 2.2.  システムエンジニアリングの基礎
2.3.  Trust and Trustworthiness 2.3.  信頼と信用性
3.  System Security Concepts 3.  システムセキュリティの概念
3.1.  The Concept of Security 3.1.  セキュリティの概念
3.2.  The Concept of an Adequately Secure System 3.2.  十分な安全性を持つシステムの概念
3.3.  Characteristics of Systems 3.3.  システムの特徴
3.4.  The Concept of Assets 3.4.  資産の概念
3.5.  The Concepts of Loss and Loss Control 3.5.  損失と損失管理の概念
3.6.  Reasoning about Asset Loss 3.6.  資産の損失に関する推論
3.7.  Determining Protection Needs 3.7.  保護の必要性の判断
3.8.  System Security Viewpoints 3.8.  システムセキュリティの視点
3.9.  Demonstrating System Security 3.9.  システムセキュリティの実証
3.10.  Systems Security Engineering 3.10.  システムセキュリティエンジニアリング
4.  Systems Security Engineering Framework 4.  システムセキュリティ工学の枠組み
4.1.  The Problem Context 4.1.  問題の背景
4.2.  The Solution Context 4.2.  ソリューションコンテキスト
4.3.  The Trustworthiness Context 4.3.  信頼性のコンテキスト
References  参考文献 
Appendix A. Acronyms 附属書A. 頭字語
Appendix B. Glossary 附属書B. 用語集
Appendix C. Security Policy and Requirements 附属書C. セキュリティポリシーと要求事項
C.1. Security Policy C.1. セキュリティポリシー
C.2. Security Requirements C.2. セキュリティに関する要求事項
C.3. Distinguishing Requirements, Policy, and Mechanisms C.3. 要求事項、ポリシー、メカニズムの区別
Appendix D. Trustworthy Secure Design 附属書D. 信頼性の高いセキュアな設計
D.1. Design Approach for Trustworthy Systems D.1. 信頼性の高いシステムのための設計アプローチ
D.2.Design Considering Emergence D.2. 創発性を考慮した設計
D.3. Security Design Order of Precedence D.3. セキュリティ設計の優先順位
D.4. Functional Design Considerations D.4. 機能的設計の考慮点
Appendix E. Principles for Trustworthy Secure Design 附属書E. 信頼性の高いセキュアな設計のための原則
E.1. Anomaly Detection E.1. 異常の検出
E.2. Clear Abstractions E.2. 明確な抽象化
E.3. Commensurate Protection E.3. 適切な保護
E.4. Commensurate Response E.4. 正確な応答
E.5. Commensurate Rigor E.5. 適正な厳しさ
E.6. Commensurate Trustworthiness E.6. 正確な信頼性
E.7. Compositional Trustworthiness E.7. 構成的信頼性
E.8. Continuous Protection E.8. 継続的な保護
E.9. Defense In Depth E.9. 多重防御
E.10. Distributed Privilege E.10. 特権の分散
E.11. Diversity (Dynamicity) E.11. 多様性(動的)
E.12. Domain Separation E.12. ドメイン分離
E.13. Hierarchical Protection E.13. 階層的な保護
E.14. Least Functionality E.14. 最小限の機能
E.15. Least Persistence E.15. 最小限の持続性
E.16. Least Privilege E.16. 最小の特権
E.17. Least Sharing E.17. 最小限の共有
E.18. Loss Margins E.18. 損失マージン
E.19. Mediated Access E.19. 媒介アクセス
E.20. Minimal Trusted Elements E.20. 最小限の信頼される要素
E.21. Minimize Detectability E.21. 検出可能性の最小化
E.22. Protective Defaults E.22. 保護デフォルト
E.23. Protective Failure E.23. プロテクトの失敗
E.24. Protective Recovery E.24. 保護リカバリ
E.25. Reduced Complexity E.25. 複雑さの軽減
E.26. Redundancy E.26. 冗長性
E.27. Self-Reliant Trustworthiness E.27. 自立した信頼性
E.28. Structured Decomposition and Composition E.28. 構造化分解と構造化合成
E.29. Substantiated Trustworthiness E.29. 裏付けされた信頼性の高さ
E.30. Trustworthy System Control E.30. 信頼性の高いシステム制御
Appendix F. Trustworthiness and Assurance 附属書F.信頼性及び保証
F.1. Trust and Trustworthiness F.1. 信頼と信用
F.2.Assurance F.2.保証
Appendix G. System Life Cycle Processes Overview 附属書G. システムライフサイクルプロセスの概要
G.1. Process Overview G.1. プロセスの概要
G.2. Process Relationships G.2. プロセスの関係
Appendix H. Technical Processes 附属書H. 技術プロセス
H.1. Business or Mission Analysis H.1. ビジネスまたはミッションの分析
H.2. Stakeholder Needs and Requirements Definition H.2. ステークホルダーのニーズと要件の定義
H.3. System Requirements Definition H.3. システム要件定義
H.4. System Architecture Definition H.4. システムアーキテクチャの定義
H.5. Design Definition H.5. デザイン定義
H.6. System Analysis H.6. システム分析
H.7. Implementation H.7. 実装
H.8. Integration H.8. 統合
H.9. Verification H.9. 検証
H.10. Transition H.10. 移行
H.11. Validation H.11. 妥当性確認
H.12. Operation H.12. 操作
H.13. Maintenance H.13. 保守者ンス
H.14. Disposal H.14. 廃棄について
Appendix I. Technical Management Processes 附属書 I. 技術管理プロセス
I.1. Project Planning I.1. プロジェクト計画
I.2. Project Assessment and Control I.2. プロジェクトの評価と管理
I.3. Decision Management I.3. 意思決定管理
I.4. Risk Management I.4. リスク管理
I.5. Configuration Management I.5. コンフィギュレーション・マネジメント
I.6. Information Management I.6. 情報管理
I.7. Measurement I.7. 測定
I.8. Quality Assurance I.8. 品質保証
Appendix J. Organizational Project-Enabling Processes 附属書J. プロジェクトを実現するための組織的プロセス
J.1. Life Cycle Model Management J.1. ライフサイクルモデルの管理
J.2. Infrastructure Management J.2. インフラストラクチャー管理
J.3. Portfolio Management J.3. ポートフォリオ管理
J.4. Human Resource Management J.4. ヒューマンリソースマネジメント
J.5. Quality Management J.5. 品質管理
J.6. Knowledge Management J.6. ナレッジマネジメント
Appendix K. Agreement Processes 附属書K. 契約プロセス
K.1.Acquisition K.1.取得
K.2. Supply K.2. 供給
Appendix L. Change Log 附属書 L. 変更履歴

 

 

1.  Introduction   1.  はじめに  
Today’s systems[1] are inherently complex. The growth in the size, number, and types of components and technologies[2] that compose those systems as well as the system dependencies result in a range of consequences from inconvenience to catastrophic loss due to adversity[3] within the operating environment. Managing the complexity of trustworthy secure systems requires achieving the appropriate level of confidence in the feasibility, correctness-in-concept, philosophy, and design of a system to produce only the intended behaviors and outcomes. This provides the foundation to address stakeholder protection needs and security concerns with sufficient confidence that the system functions only as intended while subjected to different types of adversity and to realistically bound those expectations with respect to constraints and uncertainty. The failure to address complexity and security will leave the Nation susceptible to potentially serious, severe, or catastrophic consequences.  今日のシステム[1]は本質的に複雑である。システムを構成する部品や技術[2] の規模、数、種類の増加や、システムの依存関係により、運用環境における不都合から逆境による壊滅的な損失[3]まで、様々な結果が生じている。信頼性の高い安全なシステムの複雑性を管理するには、意図された動作と結果のみをもたらすシステムの実現可能性、概念の正しさ、哲学、および設計について、適切なレベルの信頼性を達成することが必要である。これは、さまざまな種類の逆境にさらされてもシステムが意図したとおりにしか機能しないという十分な確信をもって、利害関係者の保護ニーズとセキュリティの懸念に対処し、制約と不確実性に関してそれらの期待を現実的に拘束するための基盤を提供するものである。複雑性と安全性に対処できなければ、国家は深刻な、深刻な、または破滅的な結果に陥る可能性がある。
The term security is used in this publication to mean freedom from the conditions that can cause a loss of assets with unacceptable consequences.[4] Stakeholders must define the scope of security in terms of the assets to which security applies and the consequences against which security is assessed.[5] Systems engineering provides a foundation for a disciplined and structured approach to building assured, trustworthy secure systems. As a systems engineering subdiscipline, systems security engineering addresses security-relevant considerations intended to produce secure outcomes. The engineering efforts are conducted at the appropriate level of fidelity and rigor needed to achieve trustworthiness and assurance objectives.  本書では、セキュリティという用語は、許容できない結果を伴う資産の損失を引き起こす可能性のある条件からの自由を意味するものとして使用される[4] 。利害関係者は、セキュリティが適用される資産と、セキュリティを評価する結果という観点からセキュリティの範囲を定義しなければならない[5] 。システムズエンジニアリングの下位分野として、システムセキュリティ工学は、安全な結果をもたらすことを意図したセキュリティ関連の考慮事項に取り組む。工学的な取り組みは、信頼性と保証の目標を達成するために必要な、適切なレベルの忠実度と厳密さで実施される。
Peter Neumann described the concept of trustworthiness in [2] as follows:  ピーター・ノイマンは[2]で信頼性の概念を次のように説明している。
“By trustworthiness, we mean simply worthy of being trusted to fulfill whatever critical requirements may be needed for a particular component, subsystem, system, network, application, mission, enterprise, or other entity. Trustworthiness requirements might typically involve (for example) attributes of security, reliability, performance, and survivability under a wide range of potential adversities. Measures of trustworthiness are meaningful only to the extent that (a) the requirements are sufficiently complete and well defined, and (b) can be accurately evaluated.”  「信頼性とは、特定のコンポーネント、サブシステム、システム、ネットワーク、アプリケーション、ミッション、エンタープライズ、または他のエンティティに必要とされるあらゆる重要な要件を満たすために信頼されるに値することを意味する。信頼性の要件には、例えば、セキュリティ、信頼性、性能、および広範な潜在的敵対行為下での生存性などの属性が含まれることが一般的である。信頼性の測定は、(a)要件が十分に完全で、よく定義され、(b)正確に評価できる範囲でのみ意味がある。
Systems security engineering provides complementary engineering capabilities that extend the concept of trustworthiness to deliver trustworthy secure systems. Trustworthiness is not only about demonstrably meeting a set of requirements. The requirements must also be complete, consistent, and correct. From a security perspective, a trustworthy system meets a set of welldefined requirements, including security requirements. Through evidence and expert judgment, trustworthy secure systems can limit and prevent the effects of modern adversities. Such adversities come in malicious and non-malicious forms and can emanate from a variety of sources, including physical and electronic. Adversities can include attacks from determined and capable adversaries, human errors of omission and commission, accidents and incidents, component faults and failures, abuses and misuses, and natural and human-made disasters.  システムセキュリティ工学は、信頼性の概念を拡張し、信頼性の高い安全なシステムを提供するための補完的な工学能力を提供する。信頼性とは、一連の要件を実証的に満たすことだけではない。要件は完全で、一貫性があり、正しくなければならない。セキュリティの観点からは、信頼性の高いシステムは、セキュリティ要件を含む、明確に定義された一連の要件を満たしている。証拠と専門家の判断により、信頼性の高い安全なシステムは、現代の敵の影響を制限し、防止することができる。このような敵は、悪意のあるものとないものがあり、物理的、電子的なものを含む様々なソースから発生する可能性がある。逆境には、決意のある有能な敵からの攻撃、人間の不注意や過失、事故や事件、部品の欠陥や故障、悪用や誤用、自然災害や人為的災害などがある。
“Security is embedded in systems. Rather than two engineering groups designing two systems, one intended to protect the other, systems engineering specifies and designs a single system with security embedded in the system and its components.”  「セキュリティはシステムに組み込まれる。2つのエンジニアリンググループが2つのシステムを設計し、一方が他方を保護することを意図するのではなく、システムエンジニアリングは、システムとそのコンポーネントにセキュリティを組み込んだ単一のシステムを指定・設計するのである。
-- An Objective of Security in the Future of Systems Engineering [7]  -・システムズエンジニアリングの将来におけるセキュリティの目的[7]。
1.1.  Purpose and Applicability  1.1.  目的及び適用範囲 
This publication is intended to:  本書は、次のことを目的としている。
・Provide a basis for establishing a discipline for systems security engineering as part of systems engineering in terms of its principles, concepts, activities, and tasks  ・システムズセキュリティ工学を、その原則、概念、活動、及び作業の観点から、システムズ工学の一部として確立するための基礎を提供すること
・Foster a common mindset to deliver security for any system, regardless of its purpose, type, scope, size, complexity, or stage of the system life cycle  ・目的、種類、範囲、規模、複雑さ、システムライフサイクルの段階に関係なく、あらゆるシステムのセキュリティを実現するための共通の考え方を醸成すること
・Demonstrate how selected systems security engineering principles, concepts, activities, and tasks can be effectively applied to systems engineering activities  ・選択したシステムセキュリティ工学の原則,概念,活動,タスクを,どのようにシステムエンジニアリング活動に効果的に適用できるかを示すこと
・Advance the field of systems security engineering as a discipline that can be applied and studied  ・システムセキュリティ工学を応用・研究可能な学問分野として発展させること
・Serve as a basis for the development of educational and training programs, including individual certifications and other professional assessment criteria  ・個人認定資格やその他の専門的な評価基準を含む、教育・訓練プログラムの開発の基礎となるようにすること

The considerations set forth in this publication are applicable to all federal systems other than those systems designated as national security systems as defined in 44 U.S.C., Section 3542.[6] These considerations have been broadly developed from a technical and technical management perspective to complement similar considerations for national security systems and may be used for such systems with the approval of federal officials who exercise policy authority over such systems. State, local, and tribal governments, as well as private sector entities, are encouraged to consider using the material in this publication, as appropriate.  本書に記載されている考慮事項は、44 U.S.C. 第 3542 条に定義されている国家安全保障システムとして指定されているシステム以外のすべての連邦システムに適用される[6]。これらの考慮事項は、国家安全保障システムに対する同様の考慮事項を補完するために技術及び技術管理の観点から幅広く策定されており、当該システムに対する政策権限を有する連邦当局者の承認を得て当該システムに使用できるようになっている。州、地方、および部族政府は、民間部門と同様に、本書の資料の適切な利用を検討することが推奨される。
The applicability statement is not meant to limit the technical and management application of these considerations. That is, the security design principles, concepts, and techniques described in this publication are part of a trustworthy secure design approach as described in Appendix D and can be applied in any of the following cases:  適用性の記述は、これらの考慮事項の技術的および管理的な適用を制限することを意図していない。すなわち、本書に記載されているセキュリティ設計の原則、概念、および技術は、附属書Dに記載されている信頼性の高い安全な設計手法の一部であり、以下のいずれの場合にも適用することが可能である。
・Development of a new capability or system  ・新しい能力またはシステムの開発
The engineering effort includes such activities as concept exploration, preliminary or applied research to refine the concepts and/or feasibility of technologies employed in a new system, and an assessment of alternative solutions. This effort is initiated during the concept and development stages of the system life cycle.  エンジニアリングの取り組みには、コンセプトの探求、新システムに採用される技術のコンセプト及び/又は実現可能性を洗練させるための予備又は応用研究、及び代替ソリューションの評価などの活動が含まれる。この作業は、システムライフサイクルのコンセプトと開発段階において開始される。
・Modification of an existing capability or system  ・既存の能力またはシステムの修正
-       Reactive modifications to fielded systems: The engineering effort occurs in response to adversity that diminishes or prevents the system from achieving the design intent. This effort can occur during the production, utilization, or support stages of the system life cycle and may be performed concurrently with or independent of day-to-day system operations.  ・実戦配備されたシステムに対する反応的な修正。このエンジニアリング作業は、システムが設計意図を達成するのを減少させるか妨げるような逆境に対応して行われる。この作業は、システムライフサイクルの生産、利用、またはサポート段階において発生し、日常的なシステム運用と同時に行われることもあれば、独立に行われることもある。
-       Planned upgrades to fielded systems while continuing to sustain day-to-day operations: Planned system upgrades may enhance an existing system capability, provide a new capability, or constitute a technology refresh of an existing capability. This effort occurs during the production, utilization, or support stages of the system life cycle.  ・日々の運用を維持しつつ、実戦配備されたシステムの計画的なアップグレード。計画されたシステムアップグレードは、既存のシステム能力を強化し、新しい能力を提供し、または既存の能力の技術更新を構成することができる。この作業は、システムライフサイクルの生産、利用、またはサポート段階において行われる。
-       Planned upgrades to fielded systems that result in new systems: The engineering effort is conducted as if developing a new system with a system life cycle that is distinct from the life cycle of a fielded system. The upgrades are performed in a development environment that is independent of the fielded system.  ・新システムにつながる、実戦配備されたシステムの計画されたアップグレード。このエンジニアリング作業は、実戦配備されたシステムのライフサイクルとは異なるシステムライフサイクルを持つ新システムを開発するように実施される。アップグレードは、実戦配備されたシステムから独立した開発環境において実施される。
・Evolution of an existing capability or system  ・既存の能力またはシステムの進化
The engineering effort involves migrating or adapting a system or system implementation from one operational environment or set of operating conditions to another operational environment or set of operating conditions.[7]  システムまたはシステム実装を、ある運用環境または一連の運用条件から別の運用環境または一連の運用条件へ移行または適応させるエンジニアリングの作業である[7]。
・Retirement of an existing capability or system  ・既存の能力又はシステムの退役
The engineering effort removes system functions, services, elements, or the entire system from operation and may include the transition of system functions and services to another system. The effort occurs during the retirement stage of the system life cycle and may be conducted while sustaining day-to-day operations.  システム機能、サービス、要素、またはシステム全体を運用から外し、システム機能及びサービスを別のシステムへ移行することを含む場合がある。この作業は、システムライフサイクルの引退段階で行われ、日常的な運用を維持しながら実施されることもある。
・Development of a dedicated, domain-specific, or special-purpose capability or system  ・専用、ドメイン固有、または特殊な目的の能力またはシステムの開発
- Security-dedicated or security-purposed system: The engineering effort delivers a system that satisfies a security-dedicated need or provides a security-oriented purpose and does so as a stand-alone system that may monitor or interact with other systems. Such systems can include surveillance systems, physical protection systems, monitoring systems, and security service provisioning systems.  ・セキュリティ専用またはセキュリティ目的のシステム。セキュリティ専用のニーズを満たすか、またはセキュリティ指向の目的を提供するシステムであり、他のシステムを監視したり、他のシステムと相互作用することができる独立したシステムとして行うエンジニアリング作業。このようなシステムには、監視システム、物理的保護システム、監視システム、及びセキュリティサービス提供システムが含まれることがある。
-       High-confidence, dedicated-purpose system: The engineering effort delivers a system that satisfies the need for real-time vehicular control, industrial or utility processes, weapons, nuclear power plants, and other special-purpose needs. Such systems may include multiple operational states or modes with varying forms of manual, semi-manual, automated, or autonomous modes. These systems have highly deterministic properties, strict timing constraints, functional interlocks, and severe or catastrophic consequences of failure.  ・信頼性の高い、専用目的のシステム。リアルタイム車両制御、産業用または公益事業用プロセス、兵器、原子力発電所、およびその他の特別な目的のニーズを満たすシステムを提供するエンジニアリング作業である。このようなシステムには、手動、半手動、自動、または自律モードなど、さまざまな形態の複数の動作状態またはモードが含まれる場合がある。これらのシステムは、高度に決定論的な特性、厳格なタイミング制約、機能的インターロック、および故障の深刻なまたは壊滅的な結果を有する。
・Development of a system of systems  ・システム・オブ・システムの開発
The engineering effort occurs across a set of constituent systems, each with its own stakeholders, primary purpose, and planned evolution. The composition of the constituent systems into a system of systems as noted in [9] produces a capability that would otherwise be difficult or impractical to achieve. This effort can occur across a variety of system of systems from a relatively informal, unplanned system of systems concept and evolution that emerges over time via voluntary participation to a more formal execution with the most formal being a system of systems concept that is directed, structured, planned, and achieved via a centrally managed engineering effort. Any resulting emergent behavior often introduces opportunities and additional challenges for systems security engineering.  エンジニアリング作業は、それぞれが利害関係者、主要目的、および計画された進化を持つ一連の構成システムにわたって行われる。[9]で述べたように、構成システムをシステムオブシステムとして構成することで、他の方法では実現が困難または非現実的な能力が生み出される。この努力は、自発的な参加によって時間をかけて出現する比較的非公式で無計画なシステムコンセプトと進化から、最も正式なシステムコンセプトは、中央管理のエンジニアリング努力によって指示、構造化、計画、達成されるシステムオブシステムであり、より正式な実行まで、様々なシステムオブシステムで起こりうるものである。その結果生じるいかなる創発的行動も、しばしばシステムセキュリティ工学に機会と新たな課題をもたらす。
1.2.  Target Audience  1.2.  対象読者 
This publication is intended for systems engineers, security engineers, and other engineering professionals. The term systems security engineer is used to include systems engineers and security professionals who apply the concepts and principles and perform the activities and tasks described in this publication.[8] This publication can also be used by professionals who perform other system life cycle activities or tasks, including:  本書は、システムエンジニア、セキュリティエンジニア、およびその他のエンジニアリング専門家を対象としている。システムセキュリティエンジニアという用語は、本書に記載された概念と原則を適用し、活動とタスクを実行するシステムエンジニアとセキュリティ専門家を含む意味で使用される[8]。 本書は、以下のような他のシステムライフサイクル活動またはタスクを実行する専門家も使用することができる。
・Individuals with security governance, risk management, and oversight responsibilities  ・セキュリティガバナンス、リスク管理、および監視の責任を有する者
・Individuals with security verification, validation, testing, evaluation, auditing, assessment, inspection, and monitoring responsibilities  ・セキュリティの検証、妥当性確認、テスト、評価、監査、評価、検査、及び、監視を担当する個人
・Individuals with acquisition, budgeting, and project management responsibilities  ・取得、予算、及びプロジェクト管理の責任を有する個人
・Individuals with operations, maintenance, sustainment, logistics, and support responsibilities  ・運用、保守、維持、ロジスティクス、サポートに責任を持つ個人
・Providers of technology-related products, systems, or services  ・技術関連製品、システム、またはサービスのプロバイダー
・Educators in academic institutions that offer systems engineering, computer engineering, computer science, software engineering, and computer security programs  ・システムエンジニアリング、コンピュータエンジニアリング、コンピュータサイエンス、ソフトウェアエンジニアリング、コンピュータセキュリティプログラムを提供する学術機関の教育者
1.3.  How to Use this Publication  1.3.  本書の使用方法 
This publication is intended to serve as a reference and educational resource for systems engineers, engineering specialties, architects, designers, and any individuals involved in the development of trustworthy secure systems and system components. It is meant to be flexible in its application to meet the diverse needs of organizations. There is no expectation that all of the technical content in this publication will be used as part of a systems engineering effort. Rather, the concepts and principles for trustworthy secure design in Appendices D through F as well as the systems life cycle processes and security-relevant activities and tasks in Appendices G through K can be selectively employed by organizations – relying on the experience and expertise of the engineering teams to determine what is correct for their purposes. Applying the content of this publication enables the achievement of security outcomes that are consistent with the systems engineering perspective on system life cycle processes.  本書は、システムエンジニア、専門技術者、建築家、設計者、および信頼性の高いセキュアシステムとシステムコンポーネントの開発に携わるすべての人のための参考および教育リソースとして機能することを意図している。本書は、組織の多様なニーズに対応するために柔軟に適用されることを意図している。本書の技術的内容のすべてが、システムエンジニアリングの一環として使用されることを期待するものではない。むしろ、附属書D〜Fの信頼性の高い安全設計のための概念と原則、および附属書G〜Kのシステムライフサイクルプロセスとセキュリティ関連の活動やタスクは、組織が選択的に採用できるものである。本書の内容を適用することで、システムライフサイクルプロセスに関するシステム工学の視点と一致するセキュリ ティ成果を達成することができる。
The system life cycle processes described in this publication can take advantage of any system or software development methodology. The processes are equally applicable to waterfall, spiral, DevOps, agile, and other approaches. The processes can be applied recursively, iteratively, concurrently, sequentially, or in parallel and to any system regardless of its size, complexity, purpose, scope, operational environment, or special nature. The full extent of the application of the content in this publication is guided by stakeholder capability needs, protection needs, and concerns with particular attention paid to considerations of cost, schedule, and performance.  本書で説明するシステムライフサイクルプロセスは、あらゆるシステムまたはソフトウェア開発手法を活用することができる。このプロセスは、ウォーターフォール、スパイラル、DevOps、アジャイル、その他のアプローチにも同様に適用可能である。プロセスは、再帰的、反復的、同時進行、順次、または並行して、その規模、複雑さ、目的、範囲、運用環境、または特殊性にかかわらず、あらゆるシステムに適用することができる。本書の内容をどの程度適用するかは、利害関係者の能力ニーズ、保護ニーズ、およびコスト、スケジュール、性能の考慮事項に特に注意を払いながら決定される。
1.4.  Organization of this Publication  1.4.  本書の構成 
The remainder of this publication is organized as follows:  本書の構成は以下の通りである。
・Chapter 2 presents an overview of systems engineering and the fundamental concepts associated with engineering trustworthy secure systems. This includes basic concepts that address the structure and types of systems, systems engineering foundations, and the concepts of trust and trustworthiness of systems and system components.  ・第2章では、システムズエンジニアリングの概要と、信頼性の高い安全なシステムのエンジニアリングに関連する基本的な概念 を示す。これには、システムの構造と種類、システム工学の基礎、システム及びシステム構成要素の信頼と信頼性の概念に対応する基本的な概念が含まれる。
・Chapter 3 describes foundational system security concepts and an engineering perspective to building trustworthy secure systems. This includes the concepts of security and system security, the nature and character of systems, the concepts of assets and asset loss, reasoning about asset loss, defining protection needs, system security viewpoints, demonstrating system security, and an introduction to systems security engineering.  ・第3章では、システムセキュリティの基礎的な概念と、信頼性の高い安全なシステムを構築するための工学的な視点について説明する。これには、セキュリティとシステムセキュリティの概念、システムの性質と特徴、資産と資産損失の概念、資産損失の推論、保護ニーズの定義、システムセキュリティの視点、システムセキュリティの実証、システムセキュリティ工学の紹介が含まれる。
・Chapter 4 provides a systems security engineering framework that includes a problem context, solution context, and trustworthiness context.  ・第4章では、問題の背景、解決策の背景、信頼性の背景を含む、システムセキュリティ工学の枠組みを提供している。
The following sections provide additional information to support the engineering of trustworthy secure systems:  以下の章では、信頼性の高い安全なシステムの設計を支援するための追加情報を提供する。
・References  ・参考文献
・Appendix A: Glossary  ・附属書A: 用語集
・Appendix B: Acronyms  ・附属書B: 頭字語
・Appendix C: Security Policy and Requirements  ・附属書C: セキュリティポリシーと要求事項
・Appendix D: Trustworthy Secure Design  ・附属書D: 信頼性の高いセキュアな設計
・Appendix E: Principles for Trustworthy Secure Design     ・附属書E: 信頼性の高いセキュアな設計のための原則
・Appendix F: Trustworthiness and Assurance  ・附属書F: 信頼性と保証
・Appendix G: System Life Cycle Processes Overview  ・附属書G: システムライフサイクルプロセスの概要
・Appendix H: Technical Processes  ・附属書H: 技術プロセス
・Appendix I: Technical Management Processes  ・附属書I: 技術管理プロセス
・Appendix J: Organizational Project-Enabling Processes  ・附属書J: プロジェクトを実現するための組織的プロセス
・Appendix K: Agreement Processes  ・附属書K: 契約プロセス
・Appendix L: Change Log  ・附属書L: 変更履歴
ENGINEERING-DRIVEN SOLUTIONS  エンジニアリング主導のソリューション 
The effectiveness of any engineering discipline first requires a thorough understanding of the problem and consideration of all feasible solutions before acting to solve the identified problem. To maximize the effectiveness of systems security engineering, the security requirements for the protection against asset loss must be driven by business, mission, and all other stakeholder asset loss concerns. The security requirements are defined and managed as a well-defined set of engineering requirements and cannot be addressed independently or after the fact.  どのようなエンジニアリング分野でも、その有効性を高めるには、まず問題を徹底的に理解し、特定された問題を解決するために行動する前に、実現可能なすべての解決策を検討することが必要である。システムセキュリティエンジニアリングの効果を最大にするためには、資産損失から保護するためのセキュリティ要件が、ビジネス、ミッション、その他すべての利害関係者の資産損失に関する懸念によって推進される必要がある。セキュリティ要件は、明確に定義されたエンジニアリング要件のセットとして管理され、独立して、あるいは事後的に対処することはできない。
In the context of systems security engineering, the term protection has a broad scope and is primarily focused on the concept of assets and asset loss resulting in unacceptable consequences. The protection capability provided by a system goes beyond prevention and aims to control the events, conditions, and consequences that constitute asset loss. It is achieved in the form of the specific capability and constraints on system architecture, design, function, implementation, construction, selection of technology, methods, and tools and must be “engineered in” as part of the system life cycle process.  システムセキュリティ工学の文脈では、保護という用語は広い範囲を持ち、主に資産と許容できない結果をもたらす資産損失の概念に焦点が当てられている。システムが提供する保護機能は、予防を超え、資産損失を構成する事象、条件、結果を制御することを目的としている。それは、システムのアーキテクチャ、設計、機能、実装、構築、技術の選択、方法、ツールに関する特定の能力及び制約という形で達成され、システムのライフサイクルプロセスの一部として「組み込まれる」必要がある。
Understanding stakeholder asset protection needs (including assets that they own and assets that they do not own but must protect) and expressing those needs through a set of well-defined security requirements is an investment in the organization’s mission and business success in the modern age of global commerce, powerful computing systems, and network connectivity.  利害関係者の資産保護ニーズ(所有する資産と所有しないが保護すべき資産を含む)を理解し、明確に定義された一連のセキュリティ要件を通じてそのニーズを表現することは、グローバルな商取引、強力なコンピュータシステム、ネットワーク接続の現代において、組織のミッションとビジネスの成功への投資である。
[1] A system is an arrangement of parts or elements that exhibit a behavior or meaning that the individual constituents do not [3]. The elements that compose a system include hardware, software, data, humans, processes, procedures, facilities, materials, and naturally occurring entities [4]. [1] システムとは、個々の構成要素にはない動作や意味を示す部品や要素の配置のことである [3]。システムを構成する要素には、ハードウェア、ソフトウェア、データ、人間、プロセス、手順、施設、材料、自然発生的なエンティティが含まれる[4]。
[2] The term technology is used in the broadest context in this publication to include computing, communications, and information technologies, as well as any mechanical, hydraulic, pneumatic, or structural components in systems that contain or are enabled by such technologies. This view of technology provides an increased recognition of the digital, computational, and electronic machine-based foundation of modern complex systems and the growing importance of an assured trustworthiness of that foundation in providing the system’s functional capability and interaction with its physical machine and human system elements. [2] 本書では、コンピュータ、通信、情報技術に加え、機械、油圧、空圧、構造物など、これらの技術を含む、またはこれらの技術によって実現されるシステムを含む広い意味で技術という用語を使用する。このような技術の見方は、現代の複雑なシステムのデジタル、計算及び電子機械ベースの基盤、並びにシステムの機能的能力及び物理的機械及び人間のシステム要素との相互作用を提供する上で、その基盤の確実な信頼性の重要性が増していることを認識させるものである。
[3] The term adversity refers to those conditions that can cause asset loss (e.g., threats, attacks, vulnerabilities, hazards, disruptions, and exposures). [3] adversityという用語は、資産の損失を引き起こす可能性のある条件(例えば、脅威、攻撃、脆弱性、ハザード、混乱、露出など)を指す。
[4] The phrasing used in this definition of security is intentional. Ross Anderson noted in [5] that “now that everything’s acquiring connectivity, you can’t have safety without security, and these ecosystems are emerging.” Reflecting on this observation, the security definition was chosen to achieve alignment with a prevailing safety definition. [4] このセキュリティの定義で使われている言い回しは意図的なものである。ロス・アンダーソンは[5]で、"あらゆるものが接続性を獲得している今、セキュリティなしに安全を得ることはできず、これらの生態系が出現している "と指摘している。この観察を反映し、セキュリティの定義は、一般的な安全の定義との整合性を達成するために選択された。
[5] Adapted from [6]. [5] [6]より引用。
[6] Increasing the trustworthiness of systems is a significant undertaking that requires a substantial investment in the requirements, architecture, design, and development of systems, system components, applications, and networks. The policy in [8] requires federal agencies to implement the systems security engineering principles, concepts, techniques, and system life cycle processes in this publication for all high-value assets. [6] システムの信頼性を高めることは、システム、システムコンポーネント、アプリケーション、及びネットワークの要件、アーキテクチャ、設計、及び開発に多大な投資を必要とする重要な事業である。[8]の方針は、連邦政府機関に対し、すべての高価値資産に対し、本書のシステムセキュリティ工学の原則、概念、技術、およびシステムライフサイクルプロセスを実施することを求めている。
[7] There is a growing need to reuse or leverage system implementation successes within operational environments that are different from how they were originally designed and developed. This type of reuse or reimplementation of systems within other operational environments is more efficient and represents potential advantages in maximizing interoperability between various system implementations. It should be noted that reuse may violate the assumptions used to determine that a system or system component was trustworthy.  [7] 当初の設計・開発方法とは異なる運用環境において、システム実装の成功事例を再利用または活用する必要性が高まっている。このような再利用や他の運用環境でのシステムの再実装は、より効率的であり、様々なシステム実装間の相互運用性を最大化する上で潜在的な利点を示すものである。再利用は、システムまたはシステムコンポーネントが信頼性の高いと判断するために使用された仮定に違反する可能性があることに留意すべきである。
[8] Systems security engineering activities and tasks can be applied to a mechanism, component, system element, system, system of systems, processes, or organizations. Regardless of the size or complexity of the entity, a transdisciplinary systems engineering team is needed to deliver systems that are trustworthy and that satisfy the protection needs and concerns of stakeholders. The processes are intended to be tailored to facilitate effectiveness.  [8] システムセキュリティ工学の活動及び作業は、メカニズム、コンポーネント、システム要素、システム、システムシステム、プロセス、または組織に適用することができる。事業体の規模や複雑さに関係なく、信頼性が高く、利害関係者の保護ニーズと懸念を満たすシステムを提供するためには、学際的なシステムエンジニアリングチームが必要である。このプロセスは、有効性を促進するために調整されることを意図している。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.21 NIST SP 800-160 Vol.1 Rev.1 (ドラフト) 信頼性の高いセキュアなシステムの構築 at 2022.01.11

・2021.08.07 SP 800-160 Vol. 2 Rev. 1 (Draft) サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ

 

| | Comments (0)

«NIST SP 800-188(ドラフト)政府データセットの非識別化(ドラフト第3版)(2022.11.15)