2023.09.25

日本公認会計士協会 IAASB公開草案 国際サステナビリティ保証基準(ISSA)5000「「サステナビリティ保証業務の一般的要求事項」

こんにちは、丸山満彦です。

日本公認会計士協会が、

  • IAASB公開草案 国際サステナビリティ保証基準(ISSA)5000「「サステナビリティ保証業務の一般的要求事項」の翻訳
  • IAASB公開草案 国際サステナビリティ保証基準(ISSA)5000「「サステナビリティ保証業務の一般的要求事項」について解説記事

を公表していますね。。。 解説記事は、CPA対象の記事になっていますね。。。

 

日本会計士協会

翻訳

・2023.09.21 国際サステナビリティ保証基準(ISSA)5000 「サステナビリティ保証業務の一般的要求事項」(公開草案)の翻訳の公表について

20230925-113911

 

 

20230925-113919

 

 

 

20230925-113924

 

解説記事

・2023.09.22 【解説記事】IAASB公開草案「国際サステナビリティ保証基準(ISSA)5000「「サステナビリティ保証業務の一般的要求事項」」の公表

・[PDF]

20230925-112715

 

原文は...

● IAASB

・2023.08.02 IAASB LAUNCHES PUBLIC CONSULTATION ON LANDMARK PROPOSED GLOBAL SUSTAINABILITY ASSURANCE STANDARD

UNDERSTANDING INTERNATIONAL STANDARD ON SUSTAINABILITY ASSURANCE 5000

・2023.08.02 PROPOSED INTERNATIONAL STANDARD ON SUSTAINABILITY ASSURANCE 5000, GENERAL REQUIREMENTS FOR SUSTAINABILITY ASSURANCE ENGAGEMENTS

・・[PDF] Proposed International Standard on Sustainability Assurance 5000 General Requirements for Sustainability Assurance Engagements and Proposed Conforming and Consequential Amendments to Other IAASB Standards

20230925-125623

 

・・[PDF] Explanatory Memorandum for Proposed International Standard on Sustainability AssuranceTM (ISSA) 5000 General Requirements for Sustainability Assurance Engagements

 

| | Comments (0)

ロシア 科学技術センター デジタル外交2023:課題と発展動向

こんにちは、丸山満彦です。

ロシアの科学技術センター(Научно-технический центр)のブログで、「デジタル外交の課題と発展動向」という文書が公表されていますね。。。

Научно-технический центрについては、こちら。。。

安全保障という観点からは、従来の概念に加えてデジタル面あるいはサイバー面についての深い検討が重要となってくるでしょうね。。。それは、デジタル安全保障とかサイバー安全保障とかいうのかもしれませんが。。。外交、軍事力、インテリジェンス、経済の4つの分野でのデジタル、サイバーの影響の分析が重要かもですね。。。

 

Научно-технический центр

・2023.09.22 Цифровая дипломатия 2023: вызовы и тенденции развития

Цифровая дипломатия 2023: вызовы и тенденции развития デジタル外交2023:課題と発展動向
Концептуальная основа цифровой дипломатии сформировалась в 2009 и 2010 гг. в рамках работ Дж. Макхейл о стратегии новой публичной дипломатии США «Публичная дипломатия: укрепление взаимодействия Соединённых Штатов с миром» и «Публичная дипломатия: национальный стратегический императив». デジタル外交の概念的枠組みは、2009年と2010年にJ.マクヘイルによる米国の新しいパブリック外交戦略に関する著作「パブリック外交:米国の世界との関わりを強化する」と「パブリック外交:国家戦略上の緊急課題」の枠組みの中で形成された。
Так, США обозначили проблемы и вызовы, с которыми будет иметь дело публичная дипломатия Web 2.0., которая включает эффективную идеологическую пропаганду; информационную деятельность Китая в сети Интернет; медиа-присутствие России на пространстве бывшего Советского Союза и внешнюю культурную политику Ирана в соцсетях. Публичная дипломатия, согласно, этим документам включат понятие дипломатии вовлечения, которое подразумевает создание условий для изменения политической культуры или смены недемократического режима в других странах посредством поддержки или создания оппозиции. Это является способом решения указанных проблем в цифровом пространстве. В США активно разрабатываются превентивные информационные стратегии, включая быструю реакцию правительства на информацию в блогах и соцсетях, диалог между членами правительства США и отдельными блогерами, создание комплекса неправительственных организаций посредством социальных сетей. Целевую аудиторию для осуществления указанных принципов составляет молодежь и группы оппозиционеров и/или, которые объединяют пользователей вокруг информационной инфраструктуры США и оказывают давление на другие государственные режимы. そこで米国は、Web2.0.パブリック外交が対処すべき問題や課題について概説した。その中には、効果的なイデオロギー・プロパガンダ、中国のインターネット上での情報活動、旧ソ連におけるロシアのメディア・プレゼンス、ソーシャル・ネットワークにおけるイランの対外文化政策などが含まれる。これらの文書によれば、パブリック外交にはエンゲージメント外交という考え方が含まれており、これは他国の政治文化の変革や非民主的な体制変革のための条件を、反対勢力を支援したり作り出したりすることで作り出すというものである。これは、デジタル空間でこれらの問題に対処する方法である。米国では、ブログやソーシャル・ネットワーク上の情報に対する政府の迅速な対応、米国政府のメンバーと個人ブロガーとの対話、ソーシャル・ネットワークを通じた一連の非政府組織の創設など、予防的な情報戦略が積極的に展開されている。これらの原則を実行する対象は、若者や野党グループ、あるいは米国の情報インフラにユーザーを結集させ、他の政府体制に圧力をかけるグループである。
Для осуществления намеченной стратегии в области нового вектора развития дипломатии в США создается ряд специальных служб. В частности, «Управление цифровой дипломатии» в начале 2000-х годов. В рамках Управления созданы несколько направлений работы с социальными сетями, сообществами и т.д. В частности, оценка социальных сетей и организация конференций и семинаров в Литве по обеспечению безопасности групп в социальных сетях, которые организуют протесты против правительств, а также семинары по восприятию американской культуры в Китае, и по обучению молодежи гражданской активности в Тимор-Лесте. Кроме этого, в рамках проекта цифровой дипломатии ведутся разработки стратегий, приложений и инструментов для публичной дипломатии. Параллельно, вопросами внешней политик и информационного влияния на внешнюю аудиторию занимается Управление цифрового взаимодействия (Office of Digital Engagement, ODE) ‑ структурное подразделение Бюро по глобальным связям с общественностью. В его задачи входит поддержка официального присутствия внешнеполитического ведомства США на медиа-платформах Twitter, YouTube, Flickr, Tumblr, Google+, Facebook и Instagram (Facebook и Instagram принадлежат компании Meta, признанной экстремистской организацией и запрещенной в РФ). Кроме этого, подразделение управляет сайтами на иностранных языках, которые поддерживают имидж США за рубежом, анализируют текущую внешнеполитическую ситуацию, осуществляют проверку электронных адресов и каналов.
外交展開の新しいベクトルとして概説された戦略を実施するために、米国では多くの特別なサービスが創設されつつある。特に、2000年代初頭には「デジタル外交室」が設置された。オフィス内には、ソーシャルネットワークやコミュニティなどを扱ういくつかの分野が設けられている。特に、政府に対する抗議行動を組織するソーシャルメディア・グループを確保するために、リトアニアでソーシャルメディアを評価し、会議やワークショップを開催したり、中国でアメリカ文化の認識に関するワークショップを開催したり、東ティモールで若者の市民参加を教えるワークショップを開催したりしている。さらに、デジタル外交プロジェクトは、パブリック外交のための戦略、アプリ、ツールを開発している。これと並行して、グローバル・パブリック・アフェアーズ・オフィスの一部門であるデジタル・エンゲージメント・オフィス(ODE)は、外交政策と対外的なアウトリーチを担当している。その任務には、ツイッター、ユーチューブ、フリッカー、タンブラー、グーグル+、フェイスブック、インスタグラム(フェイスブックとインスタグラムは、過激派組織と認定されロシアで禁止されているメタ社に属している)というメディア・プラットフォームにおける米国の外交政策機関の公式プレゼンスのサポートが含まれる。さらに、海外におけるアメリカのイメージをサポートする外国語のウェブサイトを管理し、現在の外交情勢を分析し、メールアドレスやチャンネルを検証している。
Сегодня основу глобальной политики составляют цифровая геополитика и цифровая дипломатия. В частности, «Стратегия кибербезопасности США» (National Cybersecurity Strategy 2023) утвержденная в марте 2023 года, ориентирована на обеспечение безопасности американских информационных систем, на «расширение американского влияния в мире», «приверженность продвижению интересов США в киберпространстве» и «постоянную борьбу со стратегическими противниками», в числе которых Россия, Китай, Иран и Северная Корея. 今日、デジタル地政学とデジタル外交は世界政治の基盤を形成している。特に、2023年3月に承認された米国の国家サイバーセキュリティ戦略2023は、米国の情報システムの安全性の確保、「世界における米国の影響力の拡大」、「サイバー空間における米国の利益の推進へのコミットメント」、ロシア、中国、イラン、北朝鮮を含む「戦略的敵対国との絶え間ない闘い」に焦点を当てている。
В рамках европейской стратегии цифровой дипломатии обозначены ключевые направления развития в отношении усиления внешней политики для противодействия информационным, цифровым, гибридным угрозам и манипуляцией информацией, укрепления цифрового суверенитета, обеспечения информационной и коммуникационной безопасности, усиления вовлеченности в киберсферу и использования всех инструментов цифровой дипломатии. Параллельно, цифровая геополитика включает области искусственного интеллекта, больших данных, спутниковой системы и оптоволоконных кабелей. В частности, в Давосе одной из основных тенденций 2023 года была названа геополитическая реорганизация глобальных цепочек поставок. Это подтверждается трендами, которые выделили в Diplo: развитие цифровой геополитики в сфере ИИ, данных, чипов, оптоволоконных кабелей и спутников. Таким образом, роль технологий значительно возрастет в геополитической сфере, где цифровая дипломатия становится частью международных отношений и имеет положительное влияние на определенные аспекты дипломатической деятельности и связанные с нововведениями риски. Положительное влияние цифровой дипломатии характеризуется демократизацией дипломатических институтов за счет новых возможностей негосударственных акторов и появления различных видов взаимодействия. Среди рисков можно выделить использование информационных технологий для подрыва доверия к этим институтам и появление новых форм поведения и мобилизации пользователей, которые требуют инструментов прогнозирования.  欧州デジタル外交戦略は、情報、デジタル、ハイブリッドの脅威、情報操作に対抗するための外交政策の強化、デジタル主権の強化、情報通信の安全保障の確保、サイバー・エンゲージメントの強化、あらゆるデジタル外交ツールの活用に関して、主要な発展分野を概説している。並行して、デジタル地政学には、人工知能、ビッグデータ、衛星、光ファイバーケーブルの分野も含まれる。特にダボス会議では、グローバル・サプライ・チェーンの地政学的再編成が2023年の主要トレンドのひとつに挙げられている。これは、ディプロが強調したトレンド、すなわちAI、データ、チップ、光ファイバーケーブル、衛星におけるデジタル地政学の発展によって裏付けられている。デジタル外交が国際関係の一部となりつつあり、外交のある側面やイノベーションに伴うリスクにプラスの影響を与える。デジタル外交のポジティブな影響は、非国家主体にとっての新たな機会や様々なタイプの相互作用の出現を通じた外交機関の民主化によって特徴づけられる。一方、リスクとしては、こうした制度に対する信頼を損なう情報技術の利用や、予測ツールを必要とする新しい形の利用者行動や動員の出現が挙げられる。
Таким образом, анализ формирования новых факторов в сфере цифровой дипломатии и своевременная оценка новых методов обеспечит лидерство на новом дипломатическом направлении. したがって、デジタル外交の領域における新たな要因の形成を分析し、新たな手法をタイムリーに評価することが、新たな外交の方向性におけるリーダーシップを確保することになる。

 

20230819-70206

 


このブログ記事からのリンク先...

USC Center on Public Diplomacy

・[PDF] Public Diplomacy: Strengthening U.S. Engagement with the World - A strategic approach for the 21st century

● U.S. Department of State

・2009.06.11 Public Diplomacy: A National Security Imperative

・2017.09.28 From Behind the Screen to Behind the Scenes: Working on Digital Engagement at State

 

米国のサイバーセキュリティ戦略2023

U.S. White House

・2023. 03.04 [PDF] NATIONAL CYBERSECURITY STRATEGY

欧州連合理事会

European Council / Council of the European Union

・2023.06.26 Digital diplomacy: Council sets out priority actions for stronger EU action in global digital affairs

 

Forbs

・2023.02.24 Looking Into 2023: Key Takeaways From Davos

 

これが意外と興味深い!! ぜひ...

DiPLO

Tracking the pulse of digital governance and diplomacy in 2023: A quarterly progress report

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2023.06.28 EU理事会 デジタル外交 世界のデジタル問題におけるEUの行動強化に向けた優先行動を決定

 

 

| | Comments (0)

2023.09.24

OECD 生成的人工知能のための初期政策検討

こんにちは、丸山満彦です。

OECDが、生成的人工知能のための政策検討についての報告書を公表していますね。。。

AIを擬人的にあつかうのであれば、法人のように管理者を決めて最終的に人に責任が及ぶようにすれば、管理は簡単になるようになるかもですね。。。

個人的に気になるのは、生成的AIによる偽情報による社会混乱でしょうね。。。偽情報による社会混乱は、「情報の生成」+「情報の拡散」、ということだろうと思いますが、「情報の拡散」はSNSで容易に可能となっているので、「情報の生成」が問題が、生成的AIで容易にできるようになると、社会問題となる可能性はありますね。

AIで生成したものにマークをつけるという方法もありますが、悪意のある人に対しの効果は低いかもですね。。。

 

OECD

・2023.09.18 Initial policy considerations for generative artificial Intelligence

・[PDF]

20230924-104747

 

Initial policy considerations for generative artificial Intelligence 生成的人工知能のための初期政策検討
Generative artificial intelligence (AI) creates new content in response to prompts, offering transformative potential across multiple sectors such as education, entertainment, healthcare and scientific research. However, these technologies also pose critical societal and policy challenges that policy makers must confront: potential shifts in labour markets, copyright uncertainties, and risk associated with the perpetuation of societal biases and the potential for misuse in the creation of disinformation and manipulated content. Consequences could extend to the spreading of mis- and disinformation, perpetuation of discrimination, distortion of public discourse and markets, and the incitement of violence. Governments recognise the transformative impact of generative AI and are actively working to address these challenges. This paper aims to inform these policy considerations and support decision makers in addressing them.  生成的人工知能(AI)は、プロンプトに応答して新しいコンテンツを作成し、教育、エンターテインメント、ヘルスケア、科学研究など、さまざまな分野に変革の可能性を提供する。労働市場における潜在的なシフト、著作権の不確実性、社会的偏見の永続化に伴うリスク、偽情報や操作されたコンテンツの作成における悪用の可能性などである。その結果、誤った情報や偽情報の流布、差別の永続化、言論や市場の歪曲、暴力の扇動にまで及ぶ可能性がある。各国政府は、生成的AIの変革的影響を認識し、これらの課題に積極的に取り組んでいる。本稿は、このような政策的考察に情報を提供し、意思決定者がこれらの課題に取り組むことを支援することを目的としている。 

 

目次...

Foreword 序文
Executive summary 要旨
1 Introduction to generative AI 1 生成的AI入門
Generative AI is centre stage in public, academic and political discourse 生成的AIが公的、学術的、政治的言説の中心に
2 Select policy issues raised by generative AI 2 生成的AIが提起する政策課題を選ぶ
Generative AI is being adopted rapidly in key industry sectors 主要産業分野で急速に導入が進む生成的AI
Generative AI considerably amplifies mis- and disinformation’s scale and scope 生成的AIが誤情報・偽情報の規模と範囲を大幅に増幅させる
Bias and discrimination 偏見と差別
Intellectual Property Rights (IPR) issues, including copyright 著作権を含む知的財産権(IPR)問題
Generative AI could impact labour markets on a different scale and scope 生成的AIは労働市場に異なる規模と範囲で影響を与える可能性がある
3 Potential futures for generative AI 3 生成的AIの未来の可能性
Development trajectories of large-language and image-generating models 大規模言語モデルと画像生成モデルの発展軌跡
Generative AI markets are projected to continue growing rapidly in key areas 生成的AI市場は主要分野で急成長を続けると予測される
Potential future concerns and risks 将来起こりうる懸念とリスク
Risk mitigation measures リスク軽減策
4 Conclusion 4 まとめ
References 参考文献
Notes 備考

 

エグゼクティブサマリー...

Executive summary  要旨 
Generative AI systems create novel content and can bring value as autonomous agents  生成的AIシステムは斬新なコンテンツを創造し、自律的なエージェントとして価値をもたらすことができる。 
Generative artificial intelligence (AI) systems create new content—including text, image, audio, and video—based on their training data and in response to prompts. The recent growth and media coverage of generative AI systems, notably in the areas of text and image generation, has spotlighted AI’s capabilities, leading to significant public, academic, and political discussion.  生成的人工知能(AI)システムは、学習データに基づいて、またプロンプトに応答して、テキスト、画像、音声、動画を含む新しいコンテンツを作成する。最近、特にテキストや画像の生成の分野で、生成的AIシステムが成長し、メディアで取り上げられるようになったことで、AIの能力が注目され、社会、学術、政治的に重要な議論につながっている。 
In addition to generating synthetic content, generative AI systems are increasingly used as autonomous agents with new functionality enabling them to operate on real-time information and assist users in new ways, such as by making bookings autonomously. Investment banks, consulting firms, and researchers project that generative AI will create significant economic value, with some estimating as much as USD 4.4 trillion per year.  合成コンテンツの生成に加え、生成的AIシステムは、リアルタイムの情報に基づいて動作し、自律的に予約を行うなど、新たな方法でユーザーを支援することを可能にする新機能を備えた自律エージェントとして、ますます利用されるようになっている。投資銀行、コンサルティング会社、研究者は、生成的AIが大きな経済価値を生み出すと予測しており、年間4兆4,000億米ドルに達するとの試算もある。 
Generative AI could revolutionise industries and society but carries major risks   生成的AIは産業と社会に革命をもたらす可能性があるが、大きなリスクを伴う  
Generative AI is already used to create individualised content at scale, automate tasks, and improve productivity. Generative AI is yielding benefits in key sectors such as software development, creative industries and arts (e.g., artistic expression through music or image generation), education (e.g., personalised exam preparation), healthcare (e.g., information on tailored preventative care), and internet search.    生成的AIはすでに、個別にカスタマイズされたコンテンツを大規模に作成し、タスクを自動化し、生産性を向上させるために利用されている。生成的AIは、ソフトウェア開発、クリエイティブ産業や芸術(例:音楽や画像生成による芸術表現)、教育(例:パーソナライズされた試験対策)、ヘルスケア(例:オーダーメイドの予防医療に関する情報)、インターネット検索などの主要分野で利益をもたらしている。   
However, alongside the benefits, there are significant policy implications and risks to consider, including in the areas of mis- and disinformation, bias, intellectual property rights, and labour markets.   しかし、誤情報や偽情報、偏見、知的財産権、労働市場などの分野では、メリットとともに、考慮すべき重大な政策的意味合いとリスクがある。  
Major mis- and disinformation risks from synthetic content call for novel policy solutions   合成コンテンツによる重大な誤情報・偽情報リスクは、斬新な政策的解決策を求める  
Humans are less and less capable of differentiating AI from human-generated content, amplifying risks of mis- and disinformation. This can cause material harm at individual and societal levels, particularly on science-related issues, such as vaccine effectiveness and climate change, and in polarised political contexts. Mitigation measures include increasing model size, developing models that provide evidence and reference source material, watermarking, “red-teaming,” whereby teams adopt an attacker mindset to probe the model for flaws and vulnerabilities, and developing AI systems that help detect synthetic content. However, these measures have limitations and are widely expected to be insufficient, calling for innovative approaches that can address the scale of the issue.  人間は、AIと人間が生成したコンテンツを区別する能力がますます低下しており、誤情報や偽情報のリスクを増幅させている。これは、特にワクチンの有効性や気候変動といった科学に関連する問題や、極論化した政治的文脈において、個人や社会レベルで重大な損害を引き起こす可能性がある。緩和策としては、モデルのサイズを大きくすること、証拠や参照元となる資料を提供するモデルを開発すること、電子透かしを入れること、チームが攻撃者の考え方を採用してモデルに欠陥や脆弱性がないか探る「レッド・チーミング」、合成コンテンツの検出を支援するAIシステムを開発することなどが挙げられる。しかし、これらの対策には限界があり、不十分であることが広く予想されるため、問題の規模に対応できる革新的なアプローチが求められている。 
Generative AI, like other types of AI, can echo and perpetuate biases contained in training data   生成的AIは、他のタイプのAIと同様に、学習データに含まれるバイアスを反響させ、永続させる可能性がある。  
Generative AI can echo, automate, and perpetuate social prejudices, stereotypes and discrimination by replicating biases contained in training data. This can exacerbate the marginalisation or exclusion of specific groups. Mitigation approaches include enhanced inclusivity in and curation of training data, explainability research, auditing, model fine-tuning through human feedback, and “red teaming”.  生成的AIは、学習データに含まれる偏見を複製することで、社会的偏見、ステレオタイプ、差別を反響させ、自動化し、永続させる可能性がある。これは、特定のグループの疎外や排除を悪化させる可能性がある。緩和策としては、学習データの包括性の強化やキュレーション、説明可能性調査、監査、人間からのフィードバックによるモデルの微調整、「レッド・チーミング」などがある。 
Legal systems are grappling with generative AI’s implications for intellectual property rights  法制度は生成的AIが知的財産権に与える影響に取り組んでいる 
In particular, generative AI models are trained on massive amounts of data that includes copyrighted data, mostly without the authorisation of rights-owners. Another ongoing debate is whether artificially generated outputs can themselves be copyrighted or patented and if so, to whom.   特に、AI生成モデルは、著作権で保護されたデータを含む膨大な量のデータで学習されるが、そのほとんどは権利所有者の許可を得ていない。また、人工的に生成された出力自体が著作権や特許を取得できるかどうか、できるとすれば誰に対してか、といった議論も続いている。  
Progress in generative AI may increase job task exposure in high-skilled occupations   生成的AIの進歩により、高技能職種の職務への曝露が増加する可能性  
Generative AI’s availability to the public has heightened focus on its potential impact on labour markets. Measures of language model performance on standardised tests, such as the bar exam for qualifying attorneys in the United States, surprised many with its strong results relative to human test-takers, suggesting possible increased job task exposure in high-skilled occupations, though lower-skilled occupations have for now been the most exposed to automation. The OECD Employment Outlook notes that AI can benefit jobs by creating demand for new tasks and complementary skills, resulting in new jobs for which human labour has a comparative advantage. Recent research shows that generative AI can improve the performance of less skilled workers.  生成的AIが一般に利用可能になったことで、労働市場への潜在的な影響に注目が集まっている。米国の弁護士資格のための司法試験のような標準化されたテストにおける言語モデルのパフォーマンスの測定は、人間の受験者に比べて強い結果で多くの人を驚かせ、高技能職業における仕事タスクの露出が増加する可能性を示唆している。OECDの雇用見通しでは、AIは新たなタスクと補完的スキルに対する需要を創出することで雇用に利益をもたらし、その結果、人間の労働力が比較優位を持つ新たな仕事を生み出すことができると指摘している。最近の研究によれば、生成的AIは熟練度の低い労働者のパフォーマンスを向上させることができる。 
Security, surveillance, over-reliance, academic dishonesty and concentration are also risks  セキュリティー、監視、過度の信頼、不正行為、集中力もリスクとなる 
In addition to present-day considerations of generative AI, a longer-term view helps envision the technology’s future trajectories. Generative AI and the synthetic content it produces with varying quality and accuracy can exacerbate challenges. This content proliferates in digital spaces where it is used to train generative AI models, resulting in and a vicious negative cycle in the quality of online information. It also raises concerns about automated and personalised cyber-attacks, surveillance and censorship, overreliance on generative systems despite their flaws, academic dishonesty, and concentrations of power and resources.   生成的AIの現在の考察に加え、より長期的な視点は、この技術の将来の軌跡を描くのに役立つ。生成的AIと、それが生成するさまざまな品質と精度の合成コンテンツは、課題を悪化させる可能性がある。このようなコンテンツは、生成的AIモデルの学習に使用されるデジタル空間で拡散し、結果としてオンライン情報の質に悪循環をもたらす。また、自動化されパーソナライズされたサイバー攻撃、監視と検閲、欠陥があるにもかかわらず生成システムに過度に依存すること、学術的不正、権力と資源の集中といった懸念も生じている。  
Agency, power-seeking, non-aligned sub-goals and other potential emergent behaviours require attention  主体性、権力追求、非同一的なサブゴール、その他の潜在的な出現行動には注意が必要である。 
Over the longer term, emergent behaviours, of which the existence is debated in the AI community, suggest additional risks. These behaviours include increased agency, power-seeking, and developing unknown sub-goals determined by machines to achieve core objectives programmed by a human but that might not be aligned with human values and intent. Some deem that if these risks are not addressed, they could lead to systemic harms and the collective disempowerment of humans.   長期的に見れば、AIコミュニティでその存在が議論されている創発的行動は、さらなるリスクを示唆している。これらの行動には、主体性の増大、権力追求、人間の価値観や意図とは一致しないかもしれないが、人間によってプログラムされた中核的な目標を達成するために機械が決定する未知の副目標の開発などが含まれる。これらのリスクに対処しなければ、体系的な損害や人間の集団的な権限剥奪につながりかねないという意見もある。  
The growing impact and capability of generative AI systems has led to reflection and debates among researchers and members of the OECD.AI Expert Group on AI Futures about whether these types of models could eventually lead to artificial general intelligence (AGI), the stage at which autonomous machines could have human-level capabilities in a wide variety of use cases. Due to its potential broad societal impacts, AGI’s potential benefits and risks deserve attention, as do the potentially imminent impacts of narrow generative AI systems that may be just as significant as AGI.   生成的AIシステムの影響力と能力の高まりは、研究者やOECDのAI専門家グループのメンバーの間で、この種のモデルが最終的に人工的な一般知能(AGI)につながるかどうか、つまり自律的な機械が様々なユースケースにおいて人間レベルの能力を持つ段階に至るかどうかについての考察や議論を引き起こしている。AGIは幅広い社会的影響をもたらす可能性があるため、AGIの潜在的な利益とリスクは注目に値する。また、AGIと同様に重要な意味を持つ可能性のある、狭い範囲の生成的AIシステムの差し迫った影響も注目に値する。  
The longer-term benefits and risks of generative AI could demand solutions on a larger, more systemic scale than the risk mitigation approaches already underway. These measures and others are the topic of ongoing OECD work, including work of the OECD.AI Expert Group on AI Futures.  生成的AIの長期的なメリットとリスクは、すでに進行中のリスク軽減アプローチよりも大規模で体系的な規模の解決策を要求する可能性がある。これらの対策やその他の対策は、AI未来に関するOECD.AI専門家グループの作業を含む、現在進行中のOECD作業のテーマである。 

 

 

| | Comments (0)

米国 ピュー研究所 政府に対する国民の信頼1958-2023

こんにちは、丸山満彦です。

米国のシンクタンクであるピュー研究所 (Pew Reserch Center) [wikipedia] が米国民の政府に対する国民の信頼について1958年から調査をしているようですが、その報告が興味深いですね。。。

米国連邦政府って、日本政府よりも国民に信頼されているとおもっていたら、どっこいどっこい、むしろ日本の政府のほうが国民に信頼されている?

信頼するか?支持するか?という言葉の違いとかもあるかもですが、に、しても、低い感じを受けました。。。

 

Pew Reserch Center

Public Trust in Government: 1958-2023

20230924-62714

興味深い...

 

| | Comments (0)

米国 AICPA SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと

こんにちは、丸山満彦です。

サイバーセキュリティに関するSECの開示ルールが2023年12月15日以降に終了する事業年度の年次報告書から義務付けられ、2023年12月18日(小規模報告企業は2024年6月15日)以降、企業はサイバーセキュリティに関する重要なインシデントが発生したと判断した場合、4営業日以内に開示することが求められるわけですが、、、

AICPA & CIMAからSECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきことという文書が公表されていますね。。。

AICPA & CIMA

・2023.09.18 What Management Needs to Know About the New SEC Cybersecurity Disclosure Rules

 

・[PDF]

20230924-55300

 

What Management Needs to Know About the New SEC Cybersecurity Disclosure Rules SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと
Contents 目次
What management needs to know about the new SEC cybersecurity disclosure rules SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと
Certifications regarding disclosure controls and procedures 開示の統制と手続に関する証明
Disclosing material cybersecurity incidents 重要なサイバーセキュリティインシデントの開示
Disclosing cybersecurity risk management and strategy サイバーセキュリティのリスクマネジメントと戦略の開示
Cybersecurity governance and board oversight サイバーセキュリティガバナンスと取締役会の監督
Additional resources その他のリソース
Endnotes 巻末資料
What management needs to know about the new SEC cybersecurity disclosure rules SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと
In July of 2023, the SEC adopted rules requiring registrants that are subject to the reporting requirements of the Securities Exchange Act of 1934 to make timely disclosure of material cybersecurity incidents as well as annual disclosure of information regarding their cybersecurity risk management, strategy, and governance. The new annual disclosures will be required starting with annual reports for fiscal years ending on or after December 15, 2023, and will be subject to CEO and CFO Section 302(a) certifications, meaning the assessment of the design and effectiveness of disclosure controls and procedures will need to incorporate the new cybersecurity disclosures. These disclosures cover topics in which the CEO and CFO may not have a high level of expertise. Those responsible for managing cybersecurity (e.g., chief information officer [CIO] or chief information security officer [CISO]) will be providing information for disclosure in SEC filings, requiring a new level of responsibility and accountability. Boards and their relevant committees should also be aware that these new rules require disclosures regarding oversight of cybersecurity risks and consider whether they need to enhance their oversight of the entity’s cybersecurity program in light of the new disclosure requirements. 2023年7月、SECは、1934年証券取引法の報告義務の対象となる登録企業に対し、サイバーセキュリティに関する重要なインシデントの適時開示に加え、サイバーセキュリティのリスクマネジメント、戦略、ガバナンスに関する情報の年次開示を義務付ける規則を採択した。この新しい年次開示は、2023年12月15日以降に終了する事業年度の年次報告書から義務付けられ、最高経営責任者(CEO)および最高財務責任者(CFO)の第302条(a)証明書の対象となる。これらの開示は、最高経営責任者(CEO)や最高財務責任者(CFO)が高度な専門知識を有していない可能性のあるトピックをカバーしている。サイバーセキュリティの管理責任者(最高情報責任者(CIO)や最高情報セキュリティ責任者(CISO)など)は、SEC提出書類で開示する情報を提供することになり、新たなレベルの責任と説明責任が求められる。また、取締役会とその関連委員会は、これらの新規則がサイバーセキュリティリスクの監督に関する開示を要求していることを認識し、新たな開示要件に照らして事業体のサイバーセキュリティプログラムの監督を強化する必要があるかどうかを検討する必要がある。
Cybersecurity information disclosed in SEC filings, including information about material cybersecurity incidents and the company’s risk management, strategy, and governance, is likely to invite scrutiny by the SEC, investors and others. Inconsistencies between the required cybersecurity disclosures and communications on company websites or other public forums could lead to unwanted negative attention or action by regulators and others. 重要なサイバーセキュリティインシデントや企業のリスクマネジメント戦略、ガバナンスに関する情報など、SEC提出書類で開示されるサイバーセキュリティ情報は、SECや投資家などによる精査を招く可能性が高い。必要とされるサイバーセキュリティの開示と、企業のウェブサイトやその他の公的な場でのコミュニケーションとの間に矛盾があれば、規制当局などによる不本意な否定的注目や行動につながる可能性がある。
THE IMPORTANCE OF ACCURATE COMMUNICATIONS 正確なコミュニケーションの重要性
Companies have been subject to SEC enforcement actions regarding cybersecurity disclosures that were inconsistent with facts revealed as a result of cybersecurity events. For example, in 2001 Pearson plc agreed to pay $1 million to settle charges that it misled investors about a 2018 cyber intrusion and had inadequate disclosure controls and procedures when they referred to a data privacy incident as a hypothetical risk, when, in fact, the 2018 cyber intrusion had already occurred.1 サイバーセキュリティの開示が、サイバーセキュリティの事象の結果として明らかになった事実と矛盾していたとして、企業がSECの強制措置の対象となったことがある。例えば、2001年にピアソン・ピーエルシーは、2018年のサイバー侵入について投資家に誤解を与え、実際には2018年のサイバー侵入がすでに発生していたにもかかわらず、データ・プライバシー・インシデントを仮定のリスクとして言及し、開示統制と手続が不十分であったとして、100万ドルの支払いに合意した1。
Certifications regarding disclosure controls and procedures 開示の統制と手続に関する証明
Section 302(a) of the Sarbanes-Oxley Act of 2002 requires the CEO and CFO (or their equivalent) to certify the financial and other information contained in the registrant’s forms 10-K. Among other things, these executives certify that they have designed disclosure controls and procedures (DC&P) to ensure that they are made aware of material information.2 The controls and processes the entity has in place to manage its cybersecurity disclosures are part of DC&P and should be considered when making certifications.  2002年サーベンス・オクスリー法第302条(a)は、最高経営責任者(CEO)および最高財務責任者(CFO)(またはそれに相当する者)に対し、登録者のフォーム10-Kに含まれる財務情報およびその他の情報を証明するよう求めている。とりわけ、これらの経営幹部は、重要な情報を確実に把握するための開示の統制と手続(DC&P) を設計していることを証明する2 。事業体がサイバーセキュリティの開示を管理するために導入している統制とプロセ スは、DC&P の一部であり、証明書を作成する際に考慮すべきである。
Although there are no certification requirements for the 8-K, SEC rules require that DC&P be designed, maintained and evaluated to ensure full and timely disclosure in current reports.3 In other words, even though the CEO and CFO do not have to certify DC&P on form 8-K, they are still responsible for establishing controls and procedures to ensure proper disclosure of material cybersecurity incidents and should be comfortable that they are getting complete and accurate information on a timely basis in order to appropriately disclose material cybersecurity incidents. 8-K には証明要件はないが、SEC 規則は、最新の報告書において完全かつタイムリーな開示を確実にするために、 DC&P を設計し、維持し、評価することを求めている3。言い換えれば、CEO と CFO は、フォーム 8-K 上で DC&P を証明する必要はないとしても、重要なサイバーセキュリティインシデントを適切に開示の統制と手続を確立する責任があり、重要なサイバーセキュリティインシデントを適切に開示するために、完全かつ正確な情報を適時に入手していることに安心すべきなのである。
The information necessary for cyber-related disclosures generally originates with those responsible for managing cybersecurity risks. CEOs and CFOs will need to work with that individual or group of individuals to determine whether current disclosure procedures adequately address information that is required to be disclosed for material cyber incidents as well as cybersecurity risk management strategies and oversight. Some companies may simply need to incorporate existing informal or ad hoc controls and procedures for communicating cyber-related information into the system of disclosure controls and procedures. Other companies may need to build out their existing system of disclosure controls and procedures to include required cybersecurity information. サイバー関連の開示に必要な情報は、一般的にサイバーセキュリティ・リスクのマネジメント責任者から発信される。最高経営責任者(CEO)や最高財務責任者(CFO)は、重要なサイバーインシデントやサイバーセキュリティ・リスクマネジメント戦略・監督について、現在の開示手続が開示すべき情報に適切に対応しているかどうかを判断するために、その個人やグループと協力する必要がある。企業によっては、サイバー関連情報を伝達するための既存の非公式または場当たり的な統制及び手続を開示統制及び手続の体系に組み込むだけでよい場合もある。また、必要なサイバーセキュリティ情報を含めるために、既存の開示統制・手続システムを構築する必要がある企業もあるだろう。
The information necessary for cyber-related disclosures generally originates with those responsible for managing cybersecurity risks. サイバー関連の開示に必要な情報は、一般的にサイバーセキュリティリスクマネジメントの責任者から発信される。
Disclosing material cybersecurity incidents 重要なサイバーセキュリティインシデントの開示
Starting December 18, 2023 (June 15, 2024 for smaller reporting companies) companies will be required to disclose material cybersecurity incidents within four business days of determining that they are material. Although those responsible for managing cybersecurity risks should have already been communicating information about cybersecurity incidents internally or externally due to laws or regulations (including existing SEC requirements), the specificity associated with the new requirements may result in additional scrutiny and responsibility. If information about material incidents is not disclosed, or these disclosures are insufficient, inaccurate, or not timely, the company and individuals within the company may be subject to SEC inquiries or enforcement actions. 2023年12月18日(小規模報告企業は2024年6月15日)以降、企業はサイバーセキュリティに関する重要なインシデントが発生したと判断した場合、4営業日以内に開示することが求められる。サイバーセキュリティ・リスクをマネジメントする責任者は、法律や規制(既存のSECの要件を含む)により、サイバーセキュリティ・インシデントに関する情報をすでに社内外に伝達しているはずであるが、新たな要件に関連する具体性により、さらなる精査と責任が生じる可能性がある。重要なインシデントに関する情報が開示されなかったり、開示が不十分であったり、不正確であったり、タイムリーでなかったりした場合、会社や会社内の個人はSECの照会や強制措置の対象となる可能性がある。
As noted above, processes should be in place to ensure those in charge of cybersecurity risk management communicate events to those in charge of SEC disclosures in a timely manner so that the need for disclosure can be evaluated and, if needed, disclosures made. Guidance may be needed to help those who manage cybersecurity risk understand the type of information that needs to be provided to those preparing the disclosures so that those incidents determined to be material for reporting can be appropriately reported.  上述のように、サイバーセキュリティリスクマネジメントの担当者が、開示の必要性を評価し、必要であれば開示を行うことができるように、SECの開示担当者にタイムリーに事象を伝達するプロセスを確保すべきである。報告にとって重要であると判断されたインシデントが適切に報告されるように、サイバーセキュリティ・リスクを管理する担当者が、開示を準備する担当者に提供する必要がある情報の種類を理解できるようにするためのガイダンスが必要かもしれない。
Determining materiality is key to knowing which cybersecurity incidents need to be disclosed. Both executive management and those responsible for managing cybersecurity risks should be informed and involved in evaluations regarding materiality and whether an incident needs to be disclosed. Various parties (e.g., CISO, CIO, CEO, CFO, legal, board) may have different frames of reference that are relevant for determining whether an incident should be communicated. For example, the SEC’s materiality threshold5 may be different than other thresholds currently used to communicate incidents to other regulatory agencies and affected parties as required by law.6 It is also important to note that the SEC definition of a cybersecurity incident includes a series of related unauthorized occurrences. This means that disclosure requirements apply if related occurrences are material as a whole, even if each individual occurrence is immaterial.  重要性の判断は、どのサイバーセキュリティインシデントを開示する必要があるかを知るための鍵である。経営幹部とサイバーセキュリティリスクを管理する責任者の両方が、重要性とインシデントが開示される必要があるかどうかに関する評価に情報を提供し、関与する必要がある。様々な関係者(例えば、CISO、CIO、CEO、CFO、法務部、取締役会)が、インシデントを伝達すべきかどうかを判断するために関連する異なる参照枠を持っている可能性がある。例えば、SEC の重要性の閾値5 は、法律で義務付けられているように、インシデントを他の規制 機関や影響を受ける関係者に伝達するために現在使用されている他の閾値とは異なる可能性がある6。これは、関連する発生が全体として重要であれば、個々の発生が重要でなくても、開示要件が適用されることを意味する。
Companies must make their materiality determinations “without unreasonable delay.” For example, the SEC has noted that if the materiality determination is to be made by a board committee, intentionally deferring the committee meeting past the normal time it would take to convene members may constitute an unreasonable delay.7 Management may want to document who is ultimately responsible for making the materiality determination and criteria for determining what would constitute an unreasonable delay before they identify an incident that could be material.  企業は、重要性の決定を「不合理な遅延なく」行わなければならない。例えば、SECは、重要性の判断が取締役会の委員会により行われる場合、委員を招集するために通常要する時間を超えて委員会の開催を意図的に延期することは、不合理な遅延に該当する可能性があると指摘している7。経営者は、重要性の可能性があるインシデントを特定する前に、誰が重要性の判断の最終責任者であるか、また何が不合理な遅延に該当するかを判断する基準を文書化しておくとよいであろう。
CYBERSECURITY INCIDENT DISCLOSURES (8-K)4 サイバーセキュリティインシデントの開示(8-K)4
+ Disclose any cybersecurity  incident the registrant experiences that is determined to be material, describing: ・重要であると判断されたサイバーセキュリティインシデントを開示する:
 ·  The material aspects of the nature, scope, and timing of the incident; and  - インシデントの性質、範囲、および時期に関する重要な側面。
 ·  The material impact or reasonably likely material impact of the incident on the registrant, including its financial condition and results of operations.  - インシデントの性質、範囲、タイミングの重要な側面、および財務状況や経営成績など、インシデントが登録者に及ぼす重大な影響または合理的に起こりうる重大な影響。
+ Form 8-K must be filed  within four business days of determining that an incident is material. ・フォーム8-Kは,インシデントが重要であると判断してから4営業日以内に提出しなければならない。
+ A filing may be delayed if  the U.S. Attorney General determines immediate disclosure would pose a substantial risk to national security or public safety. ・米国司法長官が,即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断した場合は,提出を延期することができる。
+ Information is material  if there is a substantial likelihood that a reasonable shareholder would consider it important in making an investment decision, or if it would have significantly altered the total mix of information made available. ・合理的な株主が投資判断をする際にその情報を重要視する可能性が高い場合,またはその情報が入手可能な情報の組み合わせを大きく変える可能性がある場合,その情報は重要である。
Comparable disclosures are required by foreign private issuers on Form 6-K. 外国の非公開発行体には、Form 6-Kで同等の開示が求められている。
Disclosing cybersecurity risk management and strategy サイバーセキュリティのリスクマネジメントと戦略の開示
In addition to disclosing material cybersecurity incidents, the rules require companies to disclose information about their cybersecurity risk management processes and strategy, beginning with the annual report for any period ending on or after December 15, 2023. Management and the SEC disclosure team should work with those responsible for managing cybersecurity risks to ensure they have an adequate understanding of the company’s process for identifying, managing, and overseeing cybersecurity risks so that proper disclosure can be made in the 10-K.  重要なサイバーセキュリティインシデントの開示に加え、2023年12月15日以降に終了する期間の年次報告書から、企業はサイバーセキュリティリスクマネジメントのプロセスと戦略に関する情報を開示することが規則で義務付けられている。経営陣とSECのディスクロージャー・チームは、サイバーセキュリティ・リスクの管理責任者と協力して、サイバーセキュリティ・リスクを特定、管理、監督するための会社のプロセスを十分に理解し、10-Kで適切な開示ができるようにすべきである。
While the new rules provide some specific information that should be disclosed when describing the company’s processes for assessing, identifying, and managing material risks from cybersecurity threats, it also notes that the specific information is not all-inclusive and that registrants should also disclose whatever information is necessary, based on their facts and circumstances, for a reasonable investor to understand their cybersecurity processes. The AICPA’s Description Criteria for Management’s Description of the Entity’s Cybersecurity Risk Management Program presents multiple criteria that management may consider when determining what information a reasonable investor may find useful in understanding the company’s cybersecurity processes. This framework may also be useful in determining what to communicate with the board or other stakeholders. 新規則は、サイバーセキュリティの脅威による重大なリスクをアセスメントし、特定し、マネジメントするための会社のプロセスを説明する際に開示すべきいくつかの具体的な情報を提供しているが、具体的な情報はすべてを網羅するものではなく、登録者は、合理的な投資家が自社のサイバーセキュリティ・プロセスを理解するために、自社の事実と状況に基づいて必要なあらゆる情報も開示すべきであると指摘している。AICPAの「事業体のサイバーセキュリティ・リスクマネジメント・プログラムに関するマネジメントの説明のための記述基準(Description Criteria for Management's Description of the Entity's Cybersecurity Risk Management Program)」は、合理的な投資家が会社のサイバーセキュリティ・プロセスを理解する上で有用と思われる情報を決定する際に、マネジメントが考慮しうる複数の基準を提示している。このフレームワークは、取締役会やその他の利害関係者と何をコミュニケーションすべきかを決定する際にも有用であろう。
RISK MANAGEMENT AND STRATEGY DISCLOSURES (10-K)8 リスクマネジメントと戦略の開示(10-K)8
+ The registrant’s processes, if any, for  assessing, identifying, and managing material risks from cybersecurity threats in sufficient detail for a reasonable investor to understand those process. 
・サイバーセキュリティの脅威による重大なリスクをアセスメントし、識別し、マネジメントするための登録者のプロセスがある場合は、合理的な投資家がそれらのプロセスを理解できるよう十分に詳細に記載する。
Including whether: 以下を含む:
 ·  The described cybersecurity processes have been integrated into the registrant’s overall risk management system or process, and if so, how;   - 説明されているサイバーセキュリティプロセスが、登録者の全体的なリスクマネジメントシステムまたはプロセスに統合されているかどうか、統合されている場合はその方法; 
 ·  The registrant engages assessors, consultants, auditors, or other third parties in connection with any such processes; and  - 登録者は、そのようなプロセスに関連して、評価者、コンサルタント、監査人、またはその他のサードパーティを雇用しているか。
 ·  The registrant has processes to oversee and identify material risks from cybersecurity threats associated with its use of any third- party service provider   - 登録者は、サードパーティ・サービス・プロバイダの使用に関連するサイバーセキュリティの脅威による重大なリスクを監督し、識別するプロセスを有している。
The above list is not all-inclusive. Registrants should additionally disclose whatever information is necessary, based on their facts and circumstances, for a reasonable investor to understand their cybersecurity processes. 上記のリストはすべてを網羅するものではない。登録者は、合理的な投資家が自社のサイバーセキュリティプロセスを理解するために、自社の事実と状況に基づき必要な情報を追加的に開示すべきである。
+ Whether any risks from cybersecurity  threats, including as a result of any previous cybersecurity incidents, have materially affected or are reasonably likely to materially affect the registrant, including its business strategy, results of operations, or financial conditions and if so, how. ・サイバーセキュリティの脅威によるリスク(過去のサイバーセキュリティインシデントの結果を含む)が、事業戦略、経営成績、財務状況など、登録者に重大な影響を与えたか、または与える可能性があるかどうか、また与える可能性がある場合はどのように与えるか。
Comparable disclosures are required by foreign private issuers on Form 20-F. 外国の非公開発行体には、Form 20-Fで同等の開示が義務付けられている。
Managing Risk from Service Providers  サービスプロバイダーからのリスクマネジメント 
The SEC has noted an increasing number of cybersecurity incidents pertain to service providers.9 Because of the associated risk, the rules require disclosure of whether the company has processes to oversee and identify the cybersecurity risks associated with its use of any third-party service providers. A System and Organization Controls (SOC) 2® report from a service provider can be an important component of an effective strategy for managing the cybersecurity risks of service providers. While similar in structure and content to the SOC 1® reports used in evaluating internal control over financial reporting, SOC 2 reports provide information for evaluating the internal control of service providers on other matters. The culmination of an examination performed by an independent CPA, a SOC 2 report can address controls relevant to the security, availability and processing integrity of the systems used to provide services to its users and the confidentiality and privacy of the information these systems process. Management can use a SOC 2 report in its evaluation of certain risks associated with doing business with the service provider.  SECは、サービス・プロバイダに関するサイバーセキュリティ・インシデントが増加していることを指摘している9 。このようなインシデントにはリスクが伴うため、SECは、サードパーティ・サービス・プロバイダの利用に関連するサイバーセキュリティ・リスクを監督・特定するプロセスを会社が有しているかどうかの開示を義務付けている。サービス・プロバイダからのSOC(System and Organization Controls)2®報告書は、サービス・プロバイダのサイバーセキュリティ・リスクをマネージするための効果的な戦略の重要な構成要素となり得る。SOC 2報告書は、財務報告に係る内部統制の評価に使用されるSOC 1®報告書と同様の構成および内容であるが、その他の事項に関するサービス・プロバイダの内部統制を評価するための情報を提供するものである。独立した公認会計士による検査の集大成であるSOC 2報告書は、ユーザーへのサービス提供に使用されるシステムのセキュリティ、可用性、処理の完全性、およびこれらのシステムが処理する情報の機密性とプライバシーに関連する統制を取り上げることができる。マネジメントは、サービス・プロバイダとの取引に関連する特定のリスクの評価にSOC 2報告書を利用することができる。
Cybersecurity governance and board oversight サイバーセキュリティガバナンスと取締役会の監督
The new SEC requirements include disclosure about both management and the board’s oversight of cybersecurity risk. As part of their oversight, the board may evaluate whether the company’s cybersecurity risk management program is sufficiently robust, or if there are gaps that should be filled. Management related disclosures include a discussion of the relevant expertise of those members of management responsible for measuring and managing cybersecurity risk. SEC の新しい要件には、サイバーセキュリティリスクに関するマネジメントと取締役会の監督に関する開示が含まれている。取締役会は、その監督の一環として、会社のサイバーセキュリティ・リスクマネジメント・プログラムが十分に強固であるかどうか、あるいは埋めるべきギャップがあるかどうかを評価することができる。マネジメントに関連する開示には、サイバーセキュリティリスクの測定と管理を担当するマネジメントメンバーの関連する専門知識についての議論が含まれる。
Management should be prepared to provide support as board members exercise their oversight responsibilities. An open and frequently utilized line of communication between the board and those responsible for managing cybersecuirty risk will make it easier to address cybersecurity concerns real-time and before an incident occurs. 経営陣は、取締役会のメンバーが監督責任を行使する際にサポートを提供できるように準備しておく必要がある。取締役会とサイバーセキュリティリスクマネジメントの責任者との間にオープンで頻繁に利用されるコミュニケーションラインがあれば、サイバーセキュリティに関する懸念にリアルタイムで、インシデントが発生する前に対処することが容易になる。
Management may expect questions from the board, such as the following,11 as the board obtains an understanding of the company’s cybersecurity risk management process: 取締役会が会社のサイバーセキュリティ・リスク管理プロセスを理解するために、マネジメントは取締役会から以下のような質問11 を受けることがある:
What framework, if any, does management use in designing their cybersecurity risk management program (e.g., NIST CSF, ISO/IEC 27001/27002, SEC cybersecurity guidelines, AICPA Trust Services Criteria)? 経営陣は、サイバーセキュリティリスクマネジメントプログラムの設計にどのようなフレームワーク(NIST CSF、ISO/IEC 27001/27002、SEC サイバーセキュリティガイドライン、AICPA トラストサービス基準など)を使用しているか。
+  What framework, if any, does management use in communicating pertinent information about its cybersecurity management program? ・経営陣は、サイバーセキュリティ管理プログラムに関する適切な情報をコミュニケーショ ンする際に、どのようなフレームワークを使用しているか(もしあれば)。
+  What processes and programs are in place to periodically evaluate the cybersecurity risk management program and related controls? ・サイバーセキュリティリスクマネジメントプログラムと関連する統制を定期的に評価するために,どのようなプロセスとプログラムがあるか。
+  What cybersecurity policies, processes, and controls are in place to detect, respond to, mitigate, and recover from – on a timely basis – cybersecurity events that are not prevented? ・防止できなかったサイバーセキュリティ事象をタイムリーに検知,対応,軽減,回復するために,どのようなサイバーセキュリティポリシー,プロセス,統制が整備されているか。
+  In the event of a cybersecurity breach, what controls are in place to help ensure that the IT department and appropriate senior management (including board members charged with governance) are informed and engaged on a timely basis—and that other appropriate responses and communications take place?  ・サイバーセキュリティ侵害が発生した場合、IT 部門および適切な上級管理職(ガバナンスを担 当する取締役会メンバーを含む)にタイムリーに情報を提供し、関与させ、その他の適切な対応とコ ミュニケーションを実施するために、どのような統制が整備されているか。
+  What policies, processes and controls are in place to address the impact to the company of a cybersecurity breach at significant/relevant vendors and business partners with whom the company shares sensitive information? Do those policies include risk identification and mitigation procedures?  ・重要/関連性の高いベンダーや,機密情報を共有するビジネス・パートナーにおけるサイバーセキュリティ侵害が会社に与える影響に対処するために,どのような方針,プロセス,統制が整備されているか。それらのポリシーには,リスクの特定と低減の手順が含まれているか。
+  Has the company conducted a cyber event simulation as part of its approach to enterprise risk management? ・エンタープライズリスクマネジメントの一環として,サイバーイベントのシミュレーショ ンを実施したか。
 +  Has the company considered cost mitigation/risk transfer options in the form of cyber insurance coverage in the event of a cybersecurity breach?   ・サイバーセキュリティ侵害が発生した場合に、サイバー保険の適用という形でコスト低減/リスク移転の選択肢を検討したか。
+  Does the company have adequate staff with appropriate skills to design and operate an effective cybersecurity risk management program? ・会社は,効果的なサイバーセキュリティリスクマネジメントプログラムを設計し,運用するための適切なスキルを持つ適切なスタッフを有しているか。
Given the emphasis on materiality, the board may also ask questions such as the following to understand how materiality of a cybersecurity incident is being evaluated: 重要性が重視されていることから、取締役会は、サイバーセキュリティインシデントの重要性がどのように評 価されているかを理解するために、次のような質問をすることもある:
+  How do we validate that the process for determining materiality is sound and thoroughly documented? ・重要性を決定するプロセスが健全であり,十分に文書化されていることをどのように検証するか。
+  Has the company created a method to track related occurrences to see if they qualify as being material? ・会社は,関連する発生を追跡して,それらが重要であると認定されるかどうかを確認する方法を作成したか?
INLINE EXTENSIBLE BUSINESS REPORTING LANGUAGE (XBRL)10 インライン拡張ビジネス報告言語(XBRL)10
All registrants must tag disclosures required under the final rules in Inline XBRL beginning one year after initial compliance with the related disclosure requirement. すべての登録会社は、関連する開示要件の初回遵守から1年後に、最終規則に基づき要求される開示をインラインXBRLでタグ付けしなければならない。
DISCLOSING CYBERSECURITY RISK GOVERNANCE (10-K)12 サイバーセキュリティリスクガバナンスの開示(10-K)12
+ Description of the board’s  oversight of risks from cybersecurity threats and: ・サイバーセキュリティの脅威とリスクに対する取締役会の監督についての説明:
 ·  Identification of any board committee or subcommittee responsible for such oversight (if applicable); and  - サイバーセキュリティの脅威によるリスクに対する取締役会の監視の説明と、そのような監視を担当する取締役会の委員会または分科委員会の特定(該当する場合)。
 ·  Description of the process by which the board (or committee) is informed about such risks.  - 取締役会(または委員会)がそのようなリスクについて報告を受けるプロセスの説明。
+ Management’s role in  assessing and managing material risks from cybersecurity threats.   ・サイバーセキュリティの脅威による重大リスクのアセスメントと管理におけるマネジメントの役割。
Including: 以下を含む:
 ·  Whether and which management positions or committees are responsible for assessing and managing such risks, and the relevant expertise of such persons or members in such detail as necessary to fully describe the nature of the expertise;  - そのようなリスクのアセスメントと管理に責任を負うマネジメントの役職または委員会の有無と、そのような役職または委員会のメンバーの関連する専門知識を、その専門知識の性質を十分に説明するために必要な限り詳細に記載する;
 ·  The processes by which such persons or committees are informed about and monitor the prevention, mitigation, detection, and remediation of cybersecurity incidents; and
 - そのような担当者または委員会が、サイバーセキュリティインシデントの予防、低減、検知、および是正について通知を受け、監視するプロセス。
 ·  Whether such persons or committees report information about such risks to the board of directors or a committee or subcommittee of the board of directors  - そのような担当者または委員会が、そのようなリスクに関する情報を取締役会または取締役会の委員会もしくは小委員会に報告するかどうか。
The above list is not all-inclusive. Registrants should additionally disclose whatever information is necessary, based on their facts and circumstances, for a reasonable investor to understand their cybersecurity processes. 上記のリストはすべてを網羅するものではない。登録者は、合理的な投資家が自社のサイバーセキュリティプロセスを理解するために、自社の事実と状況に基づいて必要な情報を追加的に開示すべきである。
Comparable disclosures are required by foreign private issuers on Form 20-F. 同様の開示は、外国の非公開発行体がフォーム20-Fで要求している。
CPAs CAN HELP! 公認会計士も協力できる!
Start a conversation with your CPA. In addition to being well versed in SEC disclosure, CPAs understand business and financial risk. Cybersecurity is another type of risk that a business must manage, and CPAs are able to put cybersecurity risks in perspective against other business risks that their clients may be facing. CPAs understand the environment in which businesses operate, and can use their knowledge of the client’s industry and local market influences to help offer perspective about how cybersecurity considerations fit with other business risks. In addition to providing insights regarding cybersecurity disclosures, CPAs can assess and report on cybersecurity processes and disclosures. Obtaining any level of assurance by a CPA involves obtaining an understanding of the processes, systems, and data, as appropriate, and then assessing the findings in order to support an opinion or conclusion. Further, CPAs: 公認会計士と話を始めよう。公認会計士はSECの情報開示に精通しているだけでなく、ビジネスリスクや財務リスクを理解している。サイバーセキュリティは、ビジネスがマネジメントしなければならないもう一つのタイプのリスクであり、CPAは、クライアントが直面しているかもしれない他のビジネスリスクと照らし合わせてサイバーセキュリティのリスクを考えることができる。公認会計士はビジネス環境を理解しており、クライアントの業界や地域市場の影響に関する知識を活用して、サイバーセキュリティへの配慮が他のビジネスリスクとどのように適合するかという視点を提供することができる。サイバーセキュリティの開示に関する見識を提供するだけでなく、公認会計士はサイバーセキュリティのプロセスと開示に関する評価と報告も行うことができる。公認会計士がどのようなレベルの保証を取得する場合でも、プロセス、システム、データについて適宜理解を深め、意見または結論を裏付けるために所見を評価することが含まれる。さらに、公認会計士は次のような能力を有している:
+  Have a long history of and are highly experienced at independently gathering evidence to assess internal controls and the reliability and accuracy of data and information that is used to make decisions and is reported externally. ・内部統制や、意思決定に使用され外部に報告されるデータおよび情報の信頼性と正確性を評価するための証拠を独自に収集することに長い歴史があり、その経験も豊富である。

+  Are required by professional standards to plan and perform assurance engagements with professional skepticism. ・専門家として懐疑的に保証業務を計画し,実施することが標準によって要求されている。
+  Are experienced in reporting on compliance with various established standards and frameworks. ・様々な標準やフレームワークへの準拠を報告する経験を有する。
+  Are required to maintain a system of quality control that is designed to provide the CPA firm with confidence that its engagement partners and staff complied with applicable standards and the reports issued by the CPA firm are appropriate. ・公認会計士事務所には、その業務執行社員及びスタッフが適用される基準を遵守し、公認会計士事務所が発行する報告書が適切であるとの確信を提供するように設計された品質管理システムを維持することを求められている。
+  Are required to adhere to continuing professional education, independence, ethics and experience requirements, including specialized training. ・継続的な専門教育、独立性、倫理及び経験(専門教育を含む)の遵守が求められる。
Additional resources その他のリソース
+  Helping Companies Meet the Challenges of Managing Cybersecurity Risk ・サイバーセキュリティリスクマネジメントの課題への企業の対応を支援する。
+ Cybersecurity Risk Management Oversight: A Tool for Board Members ・サイバーセキュリティ・リスクマネジメントの監督: 取締役会メンバーのためのツール
+ SOC for Cybersecurity: Information for organizations ・サイバーセキュリティのためのSOC: 組織のための情報
+ CGMA Cybersecurity Tool ・CGMAのサイバーセキュリティツール
+ AICPA’s Description Criteria for Management’s Description of the Entity’s Cybersecurity Risk Management Program ・事業体のサイバーセキュリティ・リスク管理プログラムに関するマネジメントの説明のための AICPA の説明基準
+ AICPA’s Trust Services Criteria ・AICPA のトラストサービス基準

 

Endnotes
1   Source: https://www.sec.gov/news/press-release/2021-154
2   Source: https://www.sec.gov/rules/final/33-8124.htm Exchange Act Rules 13a-14 and 15d-14 
3   Source: https://www.sec.gov/rules/final/33-8124.htm
4   Source: https://www.sec.gov/rules/final/2023/33-11216.pdf
5   According to the SEC’s discussion of the final amendments , “information is material if ‘there is a substantial likelihood that a reasonable shareholder would  consider it important in making an investment decision, or if it would have ‘significantly altered the ‘total mix’ of information made available.’” Source: SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Final Rule (pg 80)
SECの最終改正に関する議論によると、「合理的な株主が投資判断を行う際に重要視する可能性が相当程度ある場合、または入手可能な情報の "総合的な組み合わせ "を大幅に変更する可能性がある場合、その情報は重要である」とされている。
https://www.sec.gov/rules/final/2023/33-11216.pdf
6   The proposed rule discussion materials noted several cybersecurity incident disclosure requirements adopted by various industry regulators and contractual counterparties and stated that “All of the aforementioned data breach disclosure requirements may cover some of the material incidents that companies would need to report under the proposed amendments, but not all incidents.” Source: SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Proposed Rule (pg 58)
規則案の討議資料では、様々な業界規制当局や契約相手先が採用しているサイバーセキュリティインシデント開示要件がいくつかあることに言及し、"前述のデータ漏洩開示要件はすべて、改正案に基づき企業が報告する必要がある重要なインシデントの一部をカバーする可能性はあるが、すべてのインシデントをカバーするわけではない "と述べている。
https://www.sec.gov/files/rules/proposed/2022/33-11038.pdf
7   Source: SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Final Rule (pg 37) 
SECサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示 提案規則 SECサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示 最終規則
https://www.sec.gov/rules/final/2023/33-11216.pdf
8   Source: https://www.sec.gov/rules/final/2023/33-11216.pdf
9   Source: SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Proposed Rule (pg 8) 
SECサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示規則案
https://www.sec.gov/files/rules/ proposed/2022/33-11038.pdf
10 Source: https://www.sec.gov/rules/final/2023/33-11216.pdf 
11 Cybersecurity Risk Management Oversight: A Tool for Board Members
サイバーセキュリティ・リスクマネジメントの監督: 取締役会メンバーのためのツール
https://thecaqprod.wpengine.com/wp-content/uploads/2019/03/caq_cybersecurity_ risk_management_oversight_tool_2018-04.pdf
Source: https://www.sec.gov/rules/final/2023/33-11216.pdf

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

採択後...

・2023.09.16 米国 カジノホテルグループのシーザーズがサイバー攻撃を受けて8-Kを公表していますね。。。

 

これが採択された段階...

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択



案をだしている段階...

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案

その他...

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.07.11 US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

 

| | Comments (0)

2023.09.23

個人情報保護委員会 デジタル庁の公金受取口座誤登録事案、富士通 Japanが開発したシステムが複数自治体で申請者以外の証明書を交付した事案について行政上の対応を公表 (2023.09.20)

こんにちは、丸山満彦です。

個人情報保護委員会が、第254回個人情報保護委員会を開催し、デジタル庁の公金受取口座誤登録事案、富士通 Japanが開発したシステムが複数自治体で申請者以外の証明書を交付した事案について行政上の対応を公表していますね。。。

ニュースでは、個人情報保護委員会が、デジタル庁と国税庁に行政指導をしたことが話題になっていたりしますね。。。個人情報保護員会は、行政委員会で、)内閣府設置法49条・64条に基づき設置される内閣府の外局で、国家公務員法3条に基づき内閣に設置されるいわゆる第三条委員会に準じた独立性をもっている組織ですね。。。個人情報保護委員長は、衆参両議院の同意を得て内閣総理大臣が任命することになっています。。。これは個人情報保護委員会の前身の特定個人情報保護委員会の設置を検討するときに、政府機関も含めて監督できるようにしないと国民の信頼も得にくいし、EUを意識しても当然そうすべきだよ、、、という話をしていました。。。

 

1_20230923062201

 

まずは、公金受取口座誤登録事案...

 

個人情報保護委員会

・2023.09.20 公金受取口座誤登録事案に対する特定の個人を識別するための番号の利用等に関する法律及び個人情報の保護に関する法律に基づく行政上の対応について

・[PDF] 公金受取口座誤登録事案に対する特定の個人を識別するための番号の利用等に関する法律及び個人情報の保護に関する法律に基づく行政上の対応について 

20230923-60715

・[PDF] デジタル庁に対する特定の個人を識別するための番号の利用等に関する法律及び個人情報の保護に関する法律に基づく行政上の対応について 

20230923-62407

・[PDF] 国税庁に対する特定の個人を識別するための番号の利用等に関する法律に基づく行政上の対応について 

20230923-62418

 

デジタル庁側の発表...

セキュアバイデザインをちゃんとしますと言っております。。。

 

デジタル庁

・2023.09.20 個人情報保護の更なる強化について

・[PDF] 個人情報保護の更なる強化について

20230923-62610

国税庁は特段発表していませんね。。。

 


 

つぎは、富士通Japanの案件...

・2023.09.20 コンビニ交付サービスにおける住民票等誤交付事案に対する個人情報の保護に関する法律に基づく行政上の対応について

・[PDF] コンビニ交付サービスにおける住民票等誤交付事案に対する個人情報の保護に関する法律に基づく行政上の対応について


20230923-62455

参考

piyolog

富士通JapanのMICJETで相次ぎ発生した証明書誤交付についてまとめてみた

| | Comments (0)

サイバー領域への軍事的適応の課題:オランダの事例研究 (2023.07.13)

こんにちは、丸山満彦です。

Taylor & Francis [wikipedia]という英国の学術書の出版社が扱っている雑誌のいくつかはオンラインで無料で読めるようになっています。。。


そんな中に、「Small Wars & Insurgencies小規模戦争と反乱)」という雑誌があり、「The challenges of military adaptation to the cyber domain: a case study of the Netherlands サイバー領域への軍事的適応の課題:オランダの事例研究)」という論文があったので紹介です。。。

この論文によると、

平時の偵察行為は、情報部門が担い、攻撃(サイバーも含めて)については軍隊が行うことになるが、軍隊に平時における偵察行為が認められていないため、戦時の計画立案のための十分な情報がないのでないか?

ということを課題として認識しているようです。

日本でも新しい安全保障戦略の中で、アクティブサイバーディフェンス(相手のサーバ等を無害化すること)の議論がありますが、その際にも参考になるように思いました。。。

ちなみに、オランダは、

・サイバー司令部の設置は2015年6月。

・国防費を下げ続け(2016年以降上昇しているが、それは定義を変更し、国際協力等も含めたため)、現在はGDPの1%強。

ということのようです。。。

 

Taylor & Francis - Small Wars & Insurgencies

1_20230923052601

・2023.07.13 The challenges of military adaptation to the cyber domain: a case study of the Netherlands

 

 

| | Comments (0)

2023.09.22

カーネギーメロン大学 ソフトウェア工学研究所 ソフトウェアコストの見積もりが時間とともに変化する理由と、DevSecOpsデータがコストリスクの低減に役立つ方法

こんにちは、丸山満彦です。

システム開発に不確実性はつきもので、それをうまくコントロールすることで、システム開発プログラムは成功したり、失敗したりするわけですが、、、

まずは、不確実性が伴うものですよ。。。というのは、すべての利害関係者が理解しておくべきことで、それがどの程度あるのか、というのをタイムリーに共有しておくことがいろいろなトラブルを防ぐ上でも重要なのでしょうね。。。

とはいえ、いろいろと背景を背負っているので、頭の中ではわかっていても、言葉や文字に落とせないこともあり、そういうことがトラブルの原因となっているのでしょうね。。。しらんけど。。。

カーネギーメロン大学のソフトウェア工学研究所に次の文書は興味深いですね。。。

 

Carnegie Mellon UniversitySoftware Engineering Institute

・ 2023.09.21 Why Your Software Cost Estimates Change Over Time and How DevSecOps Data Can Help Reduce Cost Risk

 

・[PDF]

20230922-105812

 

Introduction  序文 
Program managers (PMs) must realize that early estimates are likely to be off by over 40 percent and that programs need to continually update estimates as additional information becomes available. It is important to understand how program risks can impact cost estimates. Tracking items—such as the decisions that have not yet been made, stability of the top capabilities needed, and measurements derived from the DevSecOps pipeline—can all help program management offices (PMOs) better understand program uncertainties that can impact estimates and help increase confidence in estimates over time.  プログラムマネージャ(PM)は、初期の見積もりは40%以上外れる可能性があり、追加情報が入手可能になるにつれて、プログラムは継続的に見積もりを更新する必要があることを認識しなければならない。プログラムのリスクがコスト見積もりにどのような影響を与えるかを理解することが重要である。まだ決定されていない事項、必要とされる上位の能力の安定性、DevSecOpsパイプラインから得られる測定値などの追跡項目はすべて、プログラム管理オフィス(PMO)が見積もりに影響を与える可能性のあるプログラムの不確実性をよりよく理解し、時間の経過とともに見積もりの信頼性を高めるのに役立つ。
DoD Program Estimation Background  国防総省のプログラム見積もりの背景 
Department of Defense (DoD) programs are required to perform cost analyses at various stages of the program lifecycle. For Acquisition Category I (ACAT I) programs, an independent cost estimate is required for each milestone review. These estimates must be approved by the director, Cost Assessment and Program Evaluation (DCAPE), and their fidelity should increase at each successive review as program uncertainties resolve over time. New uncertainties may unfold as the program progresses, but in general, overall uncertainty should progressively be reduced.   国防総省(DoD)のプログラムでは、プログラムライフサイクルの様々な段階でコスト分析を行うことが求められている。取得カテゴリーI(ACAT I)プログラムでは、各マイルストーンのレビューにおいて、独立したコスト見積りが要求される。これらの見積もりは、DCAPE(Cost Assessment and Program Evaluation:コスト評価・プログラム評価)ディレクターの承認を得なければならない。プログラムの進行に伴い、新たな不確実性が発生する可能性はあるが、 一般的には、全体的な不確実性は徐々に低減していくはずである。 
When discussing software cost estimates, it is important to remember this quote by Steve McConnell: “The primary purpose of software estimation is not to predict a project’s outcome; it is to determine whether a project’s targets are realistic enough to allow the project to be controlled to meet them.” A project should not be a “random walk;” instead, it should be a walk with a sequence of course corrections. A sound estimate assures that the outcome is achievable with the available time and resources.   ソフトウエアのコスト見積もりについて議論するとき、スティーブ・マッコー ネル(Steve McConnell)の次の言葉を思い出すことが重要である。"ソフトウ ェア見積もりの主な目的は、プロジェクトの結果を予測することではない。プロジェクトは "ランダムウォーク "であってはならない。健全な見積もりは、結果が利用可能な時間と資源で達成可能であることを保証する。 
The cost estimation process typically starts during an analysis of alternatives (AoA), which is performed during the Materiel Solution Analysis phase leading up to Milestone A. An AoA includes a lifecycle cost baseline for each alternative, the lifecycle cost per unit system, and the lifecycle cost per specified quantity of systems. The AoA is typically performed under contract. The program office typically has a cost section staffed by a combination of military, civilian, and contactors. The program office is ultimately responsible for the program office estimate (POE).  AoAには、各代替案のライフサイクルコスト・ベースライン、単位システム当たりのライフサイクルコスト、特定数量のシステム当たりのライフサイクルコストが含まれる。AoA は通常、契約に基づいて実施される。プログラムオフィスには、通常、軍、民間、コンタクターが組み合わされたコストセクションがある。プログラム事務局は、プログラム事務局見積もり(POE)の最終責任を負う。
Design: REV-03.18.2016.0 | Template: 01.26.2023 設計を行う: REV-03.18.2016.0 | テンプレート 01.26.2023
Typically, multiple contractors submit proposals for the Technology Maturation and Risk Reduction phase. Estimates derived from these proposals are often used to further refine the POE.  通常、複数の契約者が技術熟成とリスク低減フェーズに提案書を提出する。これらの提案から得られた見積もりは、POEをさらに精緻化するために使用されることが多い。
All the POEs should follow the guidance from the DoD Cost Estimation Guide  [DoD 2020]. This guide calls for the estimation to account for risk:  すべての POE は、国防総省コスト見積もりガイド[DoD 2020]のガイダンスに従うべきである。このガイドでは、リスクを考慮した見積りを行うよう求めている: 
A risk is a potential future event or condition that may have a negative effect on cost, schedule, and/or performance. An opportunity is a potential future event or condition that may have a positive effect on cost, schedule, and/or performance. Risk/opportunities have three characteristics: a triggering event or condition, the probability that event or condition will occur, and the consequence of the event or condition should it occur. Analysts often use the terms risk and uncertainty interchangeably. In fact, they are distinct from one another. Uncertainty is the indefiniteness of the outcome of a situation. Uncertainty captures the entire range of possible positive and negative outcomes associated with a given value or calculated result. In a cost estimating model, an analyst generally addresses uncertainty first. The analyst then addresses risks/opportunities if and only if the uncertainty assessment has not already captured them.  リスクとは、コスト、スケジュール、および/またはパフォーマンスに悪影響を及ぼす可能性のある、将来の潜在的な事象または状態のことである。リスクとは、コスト、スケジュール及び/又はパフォーマンスにマイナスの影響を及ぼす可能性のある潜在的な将来の事象又は状態である。リスク/機会には3つの特徴がある:引き金となる事象や条件、その事象や条件が発生する確率、万が一発生した場合の結果である。アナリストは、リスクと不確実性という用語をしばしば同じ意味で使用する。実際には、両者は別物である。不確実性とは、ある状況の結果が確定できないことである。不確実性は、所与の値や計算結果に関連する正負の結果の可能性の全範囲を捉える。コスト見積もりモデルでは、分析者は一般的にまず不確実性に対処する。次に、不確実性アセスメントがまだリスク/機会を捕捉していない場合にのみ、リスク/機会に対処する。
Another way to look at risk in cost estimates and the changes in estimates as a program progresses is using a framework called the Cone of Uncertainty. The first use of the actual term Cone of  コスト見積りにおけるリスクと、プログラムの進行に 伴う見積りの変化を見るもう一つの方法は、不確実性コーン と呼ばれるフレームワークを使用することである。コーン・オブ・アン ケラティという実際の用語が初めて使用されたのは、ソフ トウェアの開発者であった。
Uncertainty for software was by Steve McConnell is his book, Software Project Survival Guide [McConnell 1997]. Chris Adams provides a good summary of this concept on the web [Adams 2023]; we discuss this concept in the next section.  Uncertainty (不確実性コーン)という実際の用語をソフトウェアに初めて使用したのは、スティーブ・マコーネル(Steve McConnell)の著書「ソフトウェア・プロジェクト・サバイバル・ガイド」[McConnell 1997]である。クリス・アダムスは、ウェブ上でこの概念の良い要約を提供している[Adams 2023]。
The Cone of Uncertainty Background  不確実性コーンの背景 
The Cone of Uncertainty is a term often used in project management that describes the phenomenon by which project unknowns decrease over time. The Cone of Uncertainty framework is used in software estimation to determine the most likely outcome; Chris Adams describes it as follows [Adams 2023]:  不確実性コーンとは、プロジェクトマネジメントでよく使われる用語で、プロジェクトの未知数が時間とともに減少する現象を表す。不確実性コーンのフレームワークは、最も可能性の高い結果を決定するためにソフトウェアの見積もりで使用される。Chris Adamsはそれを次のように説明している[Adams 2023]: 
As the project proceeds and more research and development is completed the amount of uncertainty decreases, eventually approaching zero. Project unknowns, or uncertainty, largely correlate to variances in project estimates.  Plotting these variances over time creates a cone or funnel shape (variance percentages shown are only examples, values may vary).  プロジェクトが進行し、より多くの研究開発が完了するにつれて、不確実性の量は減少し、最終的にはゼロに近づく。プロジェクトの未知数、つまり不確実性は、プロジェクトの見積もりにおける差異と大きく相関している。 これらのばらつきを経時的にプロットすると、円錐形または漏斗形になる(示されているばらつきのパーセンテージはあくまで例であり、値は異なる場合がある)。
1_20230922110201
Figure: Cone of Uncertainty (This file is made available under the Creative Commons CC0 1.0 Universal Public Domain Dedication File:Cone of Uncertainty.jpg - Wikimedia Commons)  図: 不確実性コーン形(このファイルは、クリエイティブ・コモンズ CC0 1.0 Universal Public Domain Dedication File:Cone of Uncertainty.jpg - Wikimedia Commonsの下で利用可能である。) 
The Cone of Uncertainty and Iterative Development  不確実性コーンと反復開発 
Applying the Cone of Uncertainty to iterative projects is somewhat more involved than applying it to sequential projects.  不確実性コーン」を反復プロジェクトに適用するのは、逐次プロジェクトに適用するよりもやや複雑である。
If you are working on a project that completes a full development cycle in each iteration (i.e., requirements definition through release), then you will go through a miniature cone during each iteration. Before you do the requirements work for the iteration, you will be at the Approved Product Definition part of the cone, which is subject to 4x the variability from high to low estimates.   各反復(すなわち、要件定義からリリースまで)で完全な開発サイクルを完了するプロジェクトに取り組んでいる場合、各反復の間にミニチュアコーンを通過することになる。イテレーションの要件作業を行う前に、あなたは円錐の承認済み製品定義の部分にいることになり、この部分は、高い見積もりから低い見積もりまで、4倍の変動の影響を受ける。 
In short iterations (less than a month), you can move from Approved Product Definition to Requirements Complete and User Interface Design Complete in a few days, which reduces your variability from 4x to 1.6x. If your schedule is fixed, the 1.6x variability applies to the specific features you can deliver in the time available rather than to the effort or schedule.  短いイテレーション(1ヶ月未満)では、数日で承認済み製品定義から要件完了とユーザーインターフェイス設計完了に移行できるため、変動は4倍から1.6倍に減少する。スケジュールが固定されている場合、1.6倍の変動は、労力やスケジュールではなく、利用可能な時間で提供できる特定の機能に適用される。
Although there are many uncertainties that affect predictability, requirements flow down to design and implementation decisions. Approaches that delay a full requirements specification until the beginning of each iteration also delay narrowing the cone of uncertainty—with respect to cost, schedule, and feature delivery—several iterations down the road. It is difficult, after all, to know when your project will be done if you do not at least specify what done looks like. Your program might highly prioritize flexibility, or it might prefer projects with more predictability.  予測可能性に影響する不確定要素はたくさんあるが、要件は設計と実装の決定に流れ込む。各反復の開始まで完全な要求仕様を遅らせるアプローチは、コスト、スケジュール、および機能の提供に関して、不確実性コーンを数回先の反復まで狭めることも遅らせる。結局のところ、少なくとも完了がどのようなものかを特定しなければ、プロジェクトがいつ完了するかを知ることは難しい。あなたのプログラムは、柔軟性を非常に優先するかもしれないし、より予測可能なプロジェクトを好むかもしれない。
Many development teams settle on a middle ground between flexibility and predictability in which a majority of requirements are defined at the front end of the project, but design, construction, test, and release are performed in short iterations. In other words, the project moves sequentially through the User Interface Design Complete milestone about 30% of the calendar time into the project, and then shifts to a more iterative approach from that point forward. This approach drives down the variability from the cone to about ±25 percent, which allows for project control that is good enough to hit targets while still tapping into the major benefits of iterative development.   多くの開発チームは、柔軟性と予測可能性の中間点に落ち着き、プロジェクトのフロントエンドで要件の大部分を定義するが、設計、構築、テスト、リリースは短いイテレーションで実行する。言い換えれば、プロジェクトは、ユーザーインターフェイス設計完了のマイルストーンを、プロジェクト開始の約30%のカレンダータイムで順次通過し、その時点から、より反復的なアプローチに移行する。このアプローチでは、コーンからの変動幅を±25%程度に抑えることができ、反復型開発の主なメリットを活用しながらも、目標を達成するのに十分なプロジェクトコントロールが可能になる。 
Project teams can leave some amount of planned time for as-yet-to-be-determined requirements at the end of the project. Doing that introduces some minor variability related to the feature set, which, in this case, is positive variability because you will exercise it only if you identify new desirable features to implement. This middle ground supports long-range predictability of cost and schedule as well as a moderate amount of requirements flexibility [Construx 2023]. Even when using this method, unless there is a large user-driven change in the capability needed for the project, the requirements volatility should decrease over time.   プロジェクトチームは、プロジェクトの最後に、まだ決定していない要件のために、ある程度の計画時間を残すことができる。そうすることで、機能セットに関する若干の変動性が生じるが、この場合は、実装すべき新しい望ましい機能を特定した場合にのみ行使することになるので、プラスの変動性である。この中間領域は、コストとスケジュールの長期的な予測可能性と、要件の適度な柔軟性をサポートする[Construx 2023]。この方法を使用する場合でも、プロジェクトに必要な能力にユーザー主導の大きな変更がない限り、要件の変動性は時間の経過とともに減少するはずである。 
Risk and Uncertainty  リスクと不確実性 
Glen Alleman stated the following about uncertainty [Alleman 2018]:   グレン・アレマンは不確実性について次のように述べている[Alleman 2018]:  
Uncertainty comes from the lack information to describe a current state or to predict future states, preferred outcomes, or the actions needed to achieve them. This uncertainty can originate from random naturally occurring processes of the program (Aleatory Uncertainty). Or it can originate from the lack of knowledge about the range of future outcomes from the work on the program (Epistemic Uncertainty).  不確実性は、現在の状態を説明したり、将来の状態、望ましい結果、またはそれらを達成するために必要な行動を予測したりするための情報が不足していることから生じる。この不確実性は、プログラムで自然に発生するランダムなプロセス(Aleatory Uncertainty)に由来することがある。あるいは、プログラムの作業から得られる将来の結果の範囲に関する知識の欠如に起因することもある(認識論的不確実性)。
Aleatory uncertainty can be thought of as common cause variation that is natural to the system. Epistemic uncertainty results from an incomplete understanding or characterization (e.g., a lack of understanding the range of natural variation or incomplete requirements). Finally, ontological uncertainty can be thought of as unknown-unknowns. Whereas epistemic uncertainty represents an incomplete understanding of something we know of, an ontological uncertainty appears as a complete surprise. Ontological uncertainty is often a form of special cause variation that was not anticipated or precedented.   Aleatory Unertaintyは、システムにとって自然な共通の原因による変動と考えることができる。認識論的不確実性は、不完全な理解や特徴付け(例えば、自然変動の範囲や不完全な要件の理解不足)から生じる。最後に、存在論的不確実性は、未知の未知と考えることができる。認識論的不確実性が、我々が知っている何かについての不完全な理解を代表するのに対して、存在論的不確実性は、完全な驚きとして現れる。存在論的不確実性は、多くの場合、予期されていなかったり先行していなかったりする特別な原因による変動である。 
Common cause variation cannot be specifically reduced through management action; instead, it requires technical change. However, in Agile development, several approaches are commonly used to reduce epistemic uncertainty (incomplete knowledge). Frequent increments and product demonstrations allow feedback from both the users and the development process. Feedback with an incomplete product allows unforeseen uses, requirements, or component interactions to be discovered. Development spikes are designed to uncover information (e.g., about performance).   一般的な原因によるばらつきは、マネジメントの行動によって特に減らすことはできない。しかし、アジャイル開発では、認識論的不確実性(不完全な知識)を低減するために、いくつかのアプローチが一般的に使用される。頻繁なインクリメントと製品のデモンストレーションは、ユーザーと開発プロセスの両方からのフィードバックを可能にする。不完全な製品でのフィードバックにより、予期しない用途、要件、またはコンポーネントの相互作用が発見される。開発スパイクは、情報(性能など)を発見するために設計される。 
Sequencing work such that important but uncertain features and capabilities start earlier, not only enables using what was learned in refining and developing those capabilities to “buy down” overall uncertainty, but it also reduces the remaining uncertainty later in the program when there is less opportunity to recover. Taking any or all of these actions early in a program can help improve the accuracy of the overall cost estimate and reduce risk exposure.  重要だが不確実な機能や能力をより早い段階から開始するような作業の順序を決めることで、それらの能力を洗練し開発する際に学んだことを使用して、全体的な不確実性を「買い取る」ことができるだけでなく、回復する機会が少ないプログラムの後半に残る不確実性を低減することもできる。プログラムの初期段階で、これらの措置のいずれか、またはす べてを講じることは、全体的なコスト見積もりの精度を改善し、リ スクエクスポージャーを低減するのに役立つ。
The level of risk and cost estimation uncertainty can also be viewed from the perspective of the lifecycle phases of a system’s development. Even in agile development, it is important to understand the top-level capabilities needed at the start of the program. In the Software Acquisition Pathway, these are described in a capability needs statement [DAU 2023]. These capabilities may change based on operational needs, but requirements changes may increase risk and can lead to increased cost if other capabilities are not swapped out.   リスクとコスト見積もりの不確実性のレベルは、システム開 発のライフサイクルフェーズの観点から見ることもできる。アジャイル開発においても、プログラム開始時に必要とされるトップレベルの能力を理解することが重要である。ソフトウェア取得経路では、これらは能力ニーズ記述書[DAU 2023]に記述される。これらの能力は運用上のニーズに基づいて変更される可能性があるが、要件の変更はリスクを増大させる可能性があり、他の能力を入れ替えなければコスト増につながる可能性がある。 
Another important aspect to consider for reducing risk is to focus on the architecture early in the program. Ensuring the architecture is suitable for both the functional and non-functional requirements can help ensure that large-scale architecture changes will not be required later in the program. A facet of DevSecOps that can reduce risk is early integration and automated testing. The earlier you start integrating and testing code, the sooner any issues or defects can be found. This approach can also reduce overall risks and increase the confidence in cost estimates.  リスクを低減するために考慮すべきもう一つの重要な点は、プログラムの早い段階でアーキテクチャーに焦点を当てることである。アーキテクチャーが機能要件と非機能要件の両方に適していることを確認することで、プログラムの後半で大規模なアーキテクチャー変更が必要にならないようにすることができる。リスクを低減できるDevSecOpsの一面は、早期の統合と自動テストである。コードの統合とテストの開始が早ければ早いほど、問題や不具合を早期に発見することができる。このアプローチは、全体的なリスクを低減し、コスト見積もりの信頼性を高めることもできる。
Some areas to consider when determining your estimation uncertainty include  見積もりの不確実性を判断する際に考慮すべき領域には、次のようなものがある。
1. the decisions that have been made (e.g., reuse, computer languages, architecture)  1. 決定したこと(再利用、コンピュータ言語、アーキテクチャなど)。
2. what has been discovered (i.e., known unknowns and unknown unknowns)  2. 発見されたこと(すなわち、既知の未知と未知の未知)。
3. the overall scope and amount of requirements growth  3. 要件の全体的な範囲と増加量 
4. what can be measured to help understand how much uncertainty remains  4. 不確実性がどの程度残っているかを理解するために測定できるもの 
How Metrics from DevSecOps Pipeline Data Can Help Reduce Estimation Risk  DevSecOpsのパイプラインデータから得られるメトリクスは、見積もりリスクの低減にどのように役立つか 
Metrics can help the program management team better understand and estimate program status and risks. Although measurement does not by itself reduce risk, measurement informs decisions that can reduce risk. Some metrics can originate from contract data requirements list (CDRL) deliveries, such as an earned value management (EVM) report or a metrics report. CDRLs typically provide data from the last one or two months. In modern software development, data obtained from the DevSecOps environment can provide real-time, helpful information.   メトリクスは、プログラムマネジメントチームがプログラムのステータスとリスクをよりよく理解し、見積もるのに役立つ。測定自体がリスクを低減するわけではないが、測定はリスクを低減する意思決定に役立つ。メトリクスの中には、アーンド・バリュー・マネジメント(EVM)レポートやメトリックス・レポートなど、契約データ要件リスト(CDRL)から得られるものもある。CDRLは通常、直近1~2ヶ月のデータを提供する。最新のソフトウェア開発では、DevSecOps環境から得られるデータは、リアルタイムの有益な情報を提供することができる。 
A few metrics you can obtain through the pipeline to better understand and reduce estimation uncertainty include the following:  見積もりの不確実性をよりよく理解し、低減するために、パイプラインを通じて取得できるメトリクスには、次のようなものがある: 
1. Completion Rate Volatility: An example of measuring completion rate volatility is measuring changes in sprint velocity to detect uncertainty. If teams properly estimate their sprint velocity and consistently work at the estimated rate, then overall uncertainty can be reduced because you have more confidence that the epistemic uncertainty has been quantified as a common cause variation and special cause (ontological uncertainty) variations can be identified and addressed. Likewise, teams that start with “low hanging fruit” may gain a false sense of confidence unless they recognize that completion rates closely match the actual progress for easier tasks.    1. 完了率のボラティリティ: 完了率のボラティリティを測定する例として、スプリント・ベロシティの変化を測定して不確実性を検知する方法がある。チームがスプリントベロシティを適切に見積もり、一貫して見積もりレートで作業していれば、認識的不確実性が共通原因の変動として定量化され、特別な原因(識別的不確実性)の変動を特定して対処できるという確信が持てるため、全体的な不確実性を低減できる。同様に、「低くぶら下がった果実」から始めるチームは、完了率がより簡単なタスクの実際の進捗と密接に一致していることを認識しない限り、誤った自信感を得る可能性がある。  
2. Capability Development Progress: Your pipeline can provide data on how many capabilities are fully developed, how many are in progress, and how many remain in the backlog. When working in program increments, it is possible for capabilities to remain incomplete and for predecessors to create dependencies in other areas. Understanding how capability development compares to the plan can help reprioritize work so that key capabilities reach completion. This approach can also help you better understand what uncertainty may remain in your estimates.  2. 能力開発の進捗: パイプラインは、いくつの能力が完全に開発され、いくつの能力が進行中で、いくつの能力がバックログに残っているかについてのデータを提供することができる。プログラムインクリメントで作業する場合、ケイパビリティが未完成のままであったり、前任者が他の領域で依存関係を作成したりする可能性がある。ケイパビリティの開発が計画と比較してどうなっているかを理解することは、重要なケイパビリティが完成に達するように作業の優先順位をつけ直すのに役立つ。また、このアプローチは、見積もりにどのような不確実性が残っているかをよりよく理解するのにも役立つ。
3. Software Quality: Your DevSecOps pipeline should include static and dynamic code scanning tools. These tools, along with counts of defects discovered during testing, allow the PMO to better understand aspects of quality that can cause (1) delays in testing, (2) rework, or (3) operational failures. Good quality software not only requires less time to correct errors rather than produce a new product, but it also increases confidence in the estimates’ accuracy and precision.  3. ソフトウェアの品質: DevSecOpsパイプラインには、静的および動的コードスキャンツールを含めるべきである。これらのツールは、テスト中に発見された不具合の数とともに、PMOが(1)テストの遅延、(2)手戻り、(3)運用上の不具合の原因となる品質の側面をよりよく理解することを可能にする。良質なソフトウエアは、新しい製品を生産するよりも、エラーを修正する時間の方が短いだけでなく、見積もりの正確さと精度の信頼性を高める。
4. User Acceptance: One of the main tenets of agile development is user involvement. If users are regularly involved in end-of-sprint and/or end-of-increment demonstrations, then the PMO can gain an early understanding of how users are reacting to the capabilities being developed. If the user reaction is positive and the number of changes requested is in line with the estimated work, then this can also increase confidence in the initial estimate. On the other hand, unplanned rework can result in additional costs and delays, unless other work is removed to allow the new work requested by the user to take priority within the schedule and budget.   4. ユーザー受容: アジャイル開発の主な考え方の1つは、ユーザーの参加である。ユーザが定期的にスプリント終了時やインプリメント終了時のデモに参加すれば、PMOは開発中の機能に対するユーザの反応を早期に理解することができる。ユーザーの反応が肯定的で、要求された変更の数が見積もり作業と一致している場合、これは初期見積もりの信頼性を高めることにもなる。一方、ユーザーから要求された新しい作業がスケジュールと予算内で優先されるように、他の作業が削除されない限り、計画外の手戻りは追加コストと遅延をもたらす可能性がある。 
5. Organization and Staffing: Using data from tools such as Confluence and Jira, a PMO should be able to see the development organizational structure and the number of people on each team to help understand if the project is fully staffed. Changes can also be tracked to understand staffing volatility. Staffing volatility, in turn, leads to a need to recalibrate team velocity estimates, thus increasing uncertainty until new baseline data is available. If the project is fully staffed with an organizational structure that supports it, then this can reduce estimation risks. If the project is slow to staff up or never reaches the full staffing profile, the estimate must be adjusted to reflect this.  5. 組織と人員配置: ConfluenceやJiraのようなツールのデータを使って、PMOは開発組織構造と各チームの人数を見ることができ、プロジェクトに十分な人員が配置されているかどうかを理解することができる。また、変更を追跡することで、人員配置の変動を把握することもできる。人員配置の変動は、チームベロシティの見積もりを再調整する必要性につながり、新しいベースラインデータが利用可能になるまで、不確実性を増大させる。もし、プロジェクトに十分な人員が配置され、それをサポートする組織体制が整っていれば、見積もりリスクを低減することができる。もし、プロジェクトの人員配置が遅かったり、完全な人員配置に達しなかったりする場合は、それを反映するように見積もりを調整しなければならない。
More information about using data from the DevSecOps pipeline is available in the white paper Program Managers—The DevSecOps Pipeline Can Provide Actionable Data [Cohen 2023].  DevSecOpsパイプラインからのデータの使用に関する詳細は、ホワイトペーパー「Program Managers-The DevSecOps Pipeline Can Provide Actionable Data」[Cohen 2023]に掲載されている。
The Bottom Line  結論 
The primary takeaway from this paper is that early estimates are likely to be off by over 40 percent, and programs need to continually update estimates as additional information is available. Tracking items, such as what decisions have not yet been made, the stability of the top capabilities needed, and measurements derived from the DevSecOps pipeline, can all help the PMO better understand program uncertainties that impact estimates and help increase the confidence in estimates over time.  この論文から得られる主な教訓は、初期の見積もりは40%以上外れる可能性が高く、プログラムは追加情報が入手可能になるにつれて継続的に見積もりを更新する必要があるということである。どのような決定がまだなされていないか、必要とされる上位の能力の安定性、DevSecOpsパイプラインから得られる測定値などの項目を追跡することは、PMOが見積もりに影響を与えるプログラムの不確実性をよりよく理解し、時間の経過とともに見積もりの信頼性を高めるのに役立つ。

 

 

 

 

| | Comments (0)

中国 第1回|中国サイバーセキュリティ産業分析レポート(2023年)

こんにちは、丸山満彦です。

中国のサイバーセキュリティ産業アライアンスが、サイバーセキュリティ産業についての分析レポート第一回を公表していますね。。。

サイバーセキュリティ市場規模は約633億元(1.28兆円)。前年比増3.1%。成長は落ち着いてきているけど、今後は10%の成長が予想され、2025年には800億元(1.6兆円)の想定とのこと。。。(1元=約20円)

ちなみに、総務省が引用しているCanalys社の推計(総務省の情報通信白書令和5年版1. 世界のサイバーセキュリティ市場規模(売上高)の推移 | 白書掲載番号(4-10-1-1))では、2022年の

世界のサイバーセキュリティ市場の規模は、711億ドル(約105兆円)。

同じ調査会社が調べているわけではないので、推計の根拠が違うので比較しにくいですね。。。

 

中国网络安全产业联盟

・2023.09.18 首发 | 《中国网络安全产业分析报告(2023年)》(附完整版PPT)

 

首发 | 《中国网络安全产业分析报告(2023年)》(附完整版PPT) 第1回|中国サイバーセキュリティ産業分析レポート(2023年)(フルPPT付)
2023年9月16日,2023年国家网络安全宣传周“网络安全服务产业发展分论坛”在福州召开。论坛上,中国电子技术标准化研究院副院长刘贤刚介绍《中国网络安全产业分析报告(2023年)》。 2023年9月16日、2023年全国サイバーセキュリティ啓発週間「サイバーセキュリティサービス産業発展小フォーラム」が福州で開催された。 フォーラムでは、中国電子技術標準化研究院(CETSI)の劉祥剛副院長が「中国サイバーセキュリティ産業分析報告(2023年)」を紹介した。
中国网络安全产业联盟(CCIA)依托行业力量,连续六年联合国内知名网络安全研究机构数说安全,调研国内近300家网络安全企业,追踪产业热点,刻画产业图景、研判发展趋势,完成《中国网络安全产业分析报告(2023年)》(以下简称“《报告》”)。《报告》坚持发展思维,尊重产业发展客观规律,以科学、严谨、中立的视角,深入剖析我国网络安全产业面临的国内外形势,以数据为基础,以企业为核心,从政策、技术、服务、资本、市场等多个方面,对网络安全法律法规、政策标准、产业现状、竞争格局、资本市场和发展热点等进行了全面详实的分析。在此基础上,对我国网络安全产业未来数年的发展进行了展望,希望能够为网络安全政策制定部门、监管机构、从业人员、行业组织、研究机构等提供参考。 中国サイバーセキュリティ産業連盟(CCIA)は、6年連続で中国の有名なネットワークセキュリティ研究機関と協力し、国内のネットワークセキュリティ企業300社近くを調査し、産業のホットスポットを追跡し、産業景観を描き、開発動向を研究し、「中国サイバーセキュリティ産業分析報告書(2023年)」(以下、「報告書」という。) "). 本報告書は、開発思考を堅持し、産業発展の客観的法則を尊重し、科学的、厳密かつ中立的な視点から、中国のサイバーセキュリティ産業が直面する国内外の状況を分析し、データに基づき、企業を核心として、政策、技術、サービス、資本、市場など様々な観点から、サイバーセキュリティに関する法規制、政策、標準、産業の現状、競争環境、資本市場、発展のホットスポットについて、包括的かつ詳細に分析している。 包括的かつ詳細な分析を行っている。 その上で、今後数年間の中国のサイバーセキュリティ産業の発展を展望し、サイバーセキュリティ政策立案部門、規制当局、実務者、業界団体、研究機関などに参考となることを期待している。
核心发现 核心的所見
2022年,我国网络安全市场规模约为633亿元,同比增长3.1%,增长态势延续,增长率稳中趋缓。随着疫情平稳转段、网络安全相关政策法规和标准规范相继落地、网络安全治理日臻完善、网络安全技术加快迭代升级等正向激励效能显现,网络安全企业数量有所增长,网络安全市场需求持续扩大。预计未来三年产业增速将保持在10%以上,到2025年市场规模预计将超过800亿元。 2022年、中国のサイバーセキュリティ市場規模は約633億元、前年比3.1%増、成長トレンドの継続、成長率は安定し、減速している。 流行のスムーズな移行に伴い、ネットワークセキュリティ関連の政策、規制、標準や規範が次々と上陸し、ネットワークセキュリティガバナンスが改善され、ネットワークセキュリティ技術の反復的なアップグレードをスピードアップし、効果への他の肯定的なインセンティブは、ネットワークセキュリティ企業の数が増加しており、ネットワークセキュリティ市場の需要は拡大を続けている。 今後3年間の業界の成長率は10%以上を維持し、市場規模は2025年までに800億元を超えると予想される。
当前,全球经济进入下行通道,政府财力和企业利润空间进一步压缩,导致其对网络安全投入减少,网络安全市场需求萎靡,这削弱了网络安全企业盈利能力。国内主要网络安全企业迎难而上,以积极心态迎接市场挑战,不断加大研发和销售投入,新技术、新应用、新业务不断涌现。同时,数字经济发展进入快车道,开辟了更多网络安全产业“新赛道”,应用场景安全需求、新基建安全需求、新技术安全需求释放,为网络安全产业加速发展注入了新动力。 現在、世界経済は下降チャンネルに入り、政府の財政力と企業の利潤率がさらに圧縮され、ネットワークセキュリティへの投資が減少し、ネットワークセキュリティ市場の需要が衰え、ネットワークセキュリティ企業の収益性が弱まっている。 国内の主要なサイバーセキュリティ企業はこの難局に立ち向かい、前向きな姿勢で市場の課題に対応し、研究開発と販売への投資を継続的に増加させ、新技術、新アプリケーション、新ビジネスが続々と登場している。 同時に、デジタル経済の発展が高速車線に入り、ネットワーク・セキュリティ産業の「新路線」がさらに開拓され、アプリケーション・シナリオ・セキュリティ需要、新しいインフラ・セキュリティ需要、新技術セキュリティ需要が解放され、ネットワーク・セキュリティ産業の加速的発展の新たな原動力となっている。
国内对网络安全的重视程度、项目投入和客户分布呈现出一致性,经济发展状况与网络安全市场分布具有高度相关性。华北、华东和华南仍是网络安全投入高、客户分布相对集中的区域。2022年,网络安全企业在以上三个区域的合计收入占比达到71%。同时,网络安全企业积极响应共建“一带一路”倡议,加快探索海外市场。领军企业海外业务发展良好,创新型企业积极尝试突破,并取得一定成绩,海外市场占比小幅提升,预计未来海外市场将成为我国网络安全企业新的业务增长点。 国内のネットワークセキュリティ重視、プロジェクト投資、顧客分布は一貫しており、経済発展状況はネットワークセキュリティ市場の分布と高い相関関係がある。 華北、華東、華南は依然としてサイバーセキュリティへの投資が多く、顧客分布が比較的集中している地域である。2022年には、上記3地域のサイバーセキュリティ企業の売上高シェアを合計すると71%に達する。 同時に、ネットワークセキュリティ企業は「一帯一路」イニシアティブの建設に積極的に対応し、海外市場の開拓を加速している。 大手企業の海外事業展開が順調で、革新的な企業が積極的に突破を図り、一定の成果を収め、海外市場の割合がやや増加し、今後、海外市場が中国のサイバーセキュリティ企業の新たな事業成長ポイントになると予想される。
2022年以来,三未信安、亚信安全、浩瀚深度、永信至诚、盛邦安全相继登录科创板。2022年,网络安全行业投融并事件共有124起,融资额为67.8亿元,同比有所回落。投资机构对于成长期和中后期网络安全项目的投资更趋谨慎,早期项目获投数量增长较快。随着注册制改革加速及北交所开市,网络安全投资退出通道进一步丰富,将对网络安全投资产生正向激励。 2022年以降、三維新安、亜新安全、広大深度、永信之正、盛邦安全が相次いでKTBに登載された。2022年、サイバーセキュリティ業界の投融資イベントは124件、融資額は67.8億元で、前年比減少した。 投資機関は成長段階や中・後期段階のサイバーセキュリティ・プロジェクトへの投資に慎重になっており、投資される初期段階のプロジェクト数はより早く増加している。 登録制度改革の加速と北証券取引所の開放により、サイバーセキュリティ投資の出口チャネルはさらに充実し、サイバーセキュリティ投資にプラスのインセンティブが生まれる。
2023年,网络安全产业涌现10个发展热点,分别是生成式人工智能、人工智能对抗攻防技术、量子安全技术、云原生安全、网络安全保险服务、安全审计和合规性服务、网络安全防护有效性验证服务、云密码服务、数据安全治理,以及软件供应链安全治理。 2023年、サイバーセキュリティ産業では、生成的人工知能、人工知能による攻撃・防御技術、量子セキュリティ技術、クラウドネイティブセキュリティ、サイバーセキュリティ保険サービス、セキュリティ監査・コンプライアンスサービス、サイバーセキュリティ保護効果検証サービス、クラウド暗号サービス、データセキュリティガバナンス、ソフトウェアサプライチェーンセキュリティガバナンスという10の発展ホットスポットが出現した。
网络安全产业服务化发展趋势更加凸显。2023年上半年,服务型企业数量同比增长32.5%,成为网络安全市场扩容的主要力量。行业领军企业正在向“产品 服务”综合解决方案提供商转变,用户企业愈发看重网络安全服务的有效性、持续性和体系化,网络安全运营、安全审计和合规性服务、云密码服务等网络安全服务的重要性更加凸显。 2023年上半期には、サービス型企業の数が前年同期比で32.5%増加し、サイバーセキュリティ市場の拡大に大きな力となった。 業界大手は「製品とサービス」の総合ソリューションプロバイダーへと変貌を遂げ、ユーザー企業はネットワークセキュリティサービスの有効性、継続性、体系性をますます重視するようになり、ネットワークセキュリティ運用、セキュリティ監査・コンプライアンスサービス、クラウド暗号サービスなどのネットワークセキュリティサービスの重要性がより顕著になっている。

 

ファイルのダウンロードの仕方がわかりません。。。

20230922-101702

 

| | Comments (0)

ロシア 中国 モンゴル による安全保障協議 at モスクワ

こんにちは、丸山満彦です。

ニューヨークでは第78回国連総会国際連合広報センター:第78回総会のページ)が行われ、19日から一般討論が行われていますが、、、

モスクワでは、ロシア、中国、モンゴルの3カ国がモスクワで安全保障協議をしたようですね。。。

ロシアは、ニコライ・パトルシェフ・ロシアさん(安全保障会議書記)

中国は、王毅さん。(共産党中央委員会政治局委員、外交委員会弁公室主任、中華人民共和国外交部長)

モンゴルは、チャダムビン・エンクバヤルさん(国家安全保障会議書記)

が出席したようですね。。。

  • 地域の安全保障問題について詳細な意見交換
  • 広範な共同関心事項に関する三国間協力の展望についての議論
  • 国際舞台や多国間形式におけるロシア、モンゴル、中国の協力に関する検討

が行われたようです。。。

 

ロシア...

Совет Безопасности Российской Федерации

・2023.09.19 В Москве состоялись трёхсторонние консультации по безопасности в формате: Россия, Китай, Монголия

 

中国...

● 外交部

・2023.09.20 中俄蒙举行安全事务高级代表会晤

・2023.09.19 中俄举行第十八轮战略安全磋商

モンゴルと...

・2023.09.20 王毅会见蒙古国家安全委员会秘书长恩赫巴亚尔

ロシアと...

・2023.09.19 王毅会见俄罗斯外长拉夫罗夫

 

 

1_20230922070001

 

| | Comments (0)

NIST SP 800-188 政府データセットの非識別化 (2023.09.14)

こんにちは、丸山満彦です。

NISTが、SP 800-188(政府データセットの非識別化を公表していますね。ドラフト第2版から、6年の時を経て、昨年の11月に第三ドラフトが公開され、今回確定しましたね。。。

差分プライバシーは今後ということで、非識別の話が中心です。。。

 

NIST - ITL

・2023.09.14 De-Identifying Government Datasets: Techniques and Governance | NIST Publishes SP 800-188

De-Identifying Government Datasets: Techniques and Governance | NIST Publishes SP 800-188 政府データセットの非識別化: 技術とガバナンス|NIST、SP 800-188を発表
NIST has published Special Publication (SP) 800-188, De-Identifying Government Datasets: Techniques and Governance. NISTは特別刊行物(SP)800-188「政府データセットの非識別化: 技術とガバナンス」を発行した。
De-identification removes identifying information from a data set so that the remaining data cannot be linked to specific individuals. Government agencies can use de-identification to reduce the privacy risks associated with collecting, processing, archiving, distributing, or publishing government data. Previously, NIST published NIST Internal Report (IR) 8053, De-Identification of Personal Information, which provided a survey of de-identification and re-identification techniques. SP 800-188 provides specific guidance to government agencies that wish to use de-identification. 非識別化は、データセットから識別情報を削除し、残りのデータが特定の個人にリンクできないようにするものである。政府機関は、政府データの収集、処理、保管、配布、公表に関連するプライバシ ー・リスクを軽減するために、非識別化を使用することができる。以前、NIST は NIST 内部報告書(IR)8053「個人情報の非識別化(De-Identification of Personal Information)」を発行し、非識別化および再識別化技術のサーベイを提供した。SP 800-188は、非識別化の利用を希望する政府機関に具体的なガイダンスを提供する。
This final document was authored by experts at NIST and the U.S. Census Bureau and references up-to-date research and practices for both traditional de-identification approaches as well as the use of formal privacy methods, such as differential privacy to create de-identified datasets. This document also addresses other approaches for making datasets that contain sensitive information available to researchers and for public transparency. Where appropriate, this document cautions users about the inherent limitations of traditional de-identification approaches when compared to formal privacy methods, such as differential privacy. この最終文書は、NISTと米国国勢調査局の専門家によって作成され、従来の非識別化アプローチと、非識別化データセットを作成するための差分プライバシーなどの正式なプライバシー手法の両方について、最新の研究と実践を参照している。この文書では、機密情報を含むデータセットを研究者に提供し、一般に公開するための他のアプローチも取り上げている。適切な場合、本文書は、差分プライバシーなどの正式なプライバシ ー手法と比較した場合の、従来の非識別化アプローチ固有の限界について利用者に注意を促す。

 

 

・2023.09.14 NIST SP 800-188 De-Identifying Government Datasets: Techniques and Governance

NIST SP 800-188 De-Identifying Government Datasets: Techniques and Governance NIST SP 800-188 De-Identifying Government Datasets: 技術とガバナンス
Abstract 概要
De-identification is a general term for any process of removing the association between a set of identifying data and the data subject. This document describes the use of deidentification with the goal of preventing or limiting disclosure risks to individuals and establishments while still allowing for the production of meaningful statistical analysis. Government agencies can use de-identification to reduce the privacy risk associated with collecting, processing, archiving, distributing, or publishing government data. Previously, NIST IR 8053, "De-Identification of Personal Information," provided a detailed survey of deidentification and re-identification techniques. This document provides specific guidance to government agencies that wish to use de-identification. Before using de-identification, agencies should evaluate their goals for using de-identification and the potential risks that releasing de-identified data might create. Agencies should decide upon a data-sharing model, such as publishing de-identified data, publishing synthetic data based on identified data, providing a query interface that incorporates de-identification, or sharing data in non-public protected enclaves. Agencies can create a Disclosure Review Board to oversee the process of de-identification. They can also adopt a de-identification standard with measurable performance levels and perform re-identification studies to gauge the risk associated with de-identification. Several specific techniques for de-identification are available, including de-identification by removing identifiers, transforming quasi-identifiers, and generating synthetic data using models. People who perform de-identification generally use special-purpose software tools to perform the data manipulation and calculate the likely risk of re-identification. However, not all tools that merely mask personal information provide sufficient functionality for performing de-identification. This document also includes an extensive list of references, a glossary, and a list of specific de-identification tools, which is only included to convey the range of tools currently available and is not intended to imply a recommendation or endorsement by NIST. 非識別化(De-identification)とは、一連の識別データとデータ主体との関連性を除去するあらゆる プロセスの総称である。本文書は、個人および事業所に対する開示リスクを防止または制限する一方で、意味のある統計 分析を可能にすることを目的とした非識別化の使用について説明する。ガバナンスは、政府データの収集、処理、保管、配布、または公表に関連するプライバシー・リスクを低減するために非識別化を使用することができる。以前、NIST IR 8053「個人情報の非識別化(De-Identification of Personal Information)」は、非識別化および再識別化技術の詳細なサーベイを提供した。本文書は、非識別化の使用を希望する政府機関に具体的なガイダンスを提供する。非識別化を使用する前に、政府機関は非識別化を使用する目的と、非識別化されたデータを公開することで生じる可能性のあるリスクを評価する必要がある。機関は、非識別化データの公開、識別されたデータに基づく合成データの公開、非識別化を組み込んだクエリ・インターフェースの提供、非公開の保護されたエンクレーブでのデータ共有など、データ共有モデルを決定する必要がある。各機関は、非識別化のプロセスを監督するために、情報開示審査委員会(Disclosure Review Board)を設置することができる。また、測定可能なパフォーマンス・レベルを持つ非識別化標準を採用し、非識別化に関連するリスクを測定するために再識別化調査を実施することもできる。識別子の除去による非識別化、準識別子の変換、モデルを使用した合成データの生成など、非識別化のためのいくつかの具体的な技術が利用可能である。非識別化を実行する人々は、一般に、データ操作を実行し、再識別化の可能性の高いリスクを計算するために、特別な目的のソフトウェア・ツールを使用する。しかし、個人情報をマスキングするだけのツールのすべてが、非識別化の実行に十分な機能を提供するわけではない。本文書には、広範な参考文献のリスト、用語集、および特定の非識別化ツールのリストも含まれているが、これは現在利用可能なツールの範囲を伝えるために含まれているに過ぎず、NISTによる推奨または推奨を意味するものではない。

 

・[PDF] NIST.SP.800-188

20230922-60430

 

エグゼクティブサマリー...

Executive Summary  要旨 
Every federal agency creates and maintains internal datasets that are vital for fulflling its mission. The Foundation for Evidence-based Policymaking Act of 2018 [2] and its Phase 1 implementation memorandum M-19-23 [168] mandate that agencies also collect and publish their government data in open, machine-readable formats when it is appropriate to do so. Agencies can use de-identifcation to make government datasets available while protecting the privacy of the individuals whose data are contained within those datasets.  すべての連邦政府機関は、その使命を果たすために不可欠な内部データセットを作成し、維持している。2018年のFoundation for Evidence-based Policymaking Act [2]とそのフェーズ1実施覚書M-19-23 [168]は、政府データも収集し、そうすることが適切な場合には、オープンで機械可読なフォーマットで公開することを義務付けている。政府は、データセットに含まれる個人のプライバシーを保護しつつ、政府データセットを利用可能にするために、個人識別の解除を利用することができる。
The U.S. Government defnes personally identifable information (PII) as “information that can be used to distinguish or trace an individual’s identity, either alone or when combined with other information that is linked or linkable to a specifc individual.”[4]  米国政府は、個人を特定できる情報(PII)を「単独で、または特定の個人に結びついたり結びつけたりできる他の情報と組み合わされた場合に、個人の身元を識別したり追跡したりするために使用できる情報」と定義している[4]。
For decades, de-identifcation based on simply removing identifying information was thought to be suffcient to prevent the re-identifcation of individuals in large datasets. Since the mid 1990s, a growing body of research has demonstrated the reverse, resulting in new pri- vacy attacks that are capable of re-identifying individuals in “de-identifed” data releases. For several years, the goals of such attacks appeared to be embarrassing the publishing agency and achieving academic distinction for the privacy researcher [65]. More recently, as high-resolution de-identifed geolocation data have become commercially available, re- identifcation techniques have been used by journalists, activists, and malicious actors [130, 170, 90] to learn information about individuals that was intended to be kept confdential. These attacks highlight the defciencies in traditional approaches to de-identifcation.  何十年もの間、単に識別情報を除去することに基づく非識別化は、大規模なデータセッ トにおける個人の再識別化を防止するのに十分であると考えられていた。1990年代半ば以降、その逆を実証する研究が増え、その結果、「非識別化」されたデータ公開の個人を再識別することができる新たなプライバシ攻撃が生まれた。数年間、このような攻撃の目的は、出版機関を困惑させ、プライバシー研究者の学術的な名誉を獲得することであったようだ[65]。より最近では、高解像度の非識別化されたジオロケーションデータが商業的に利用できるようになったため、再識別化技術がジャーナリスト、活動家、悪意のある行為者[130, 170, 90]によって利用され、秘密にしておくつもりだった個人に関する情報を知るようになっている。このような攻撃は、従来の非識別化アプローチの欠陥を浮き彫りにしている。
Formal models of privacy, like k-anonymity [151] and differential privacy [52], use mathe- matically rigorous approaches that are designed to allow for the controlled use of confden- tial data while minimizing the privacy loss suffered by the data subjects.1 Because there is an inherent trade-off between the accuracy of published data and the amount of privacy protection afforded to data subjects, most formal methods have some kind of parameter that can be adjusted to control the “privacy cost” of a particular data release. Informally, a data release with a low privacy cost causes little additional privacy risk to the participants, while a higher privacy cost results in more privacy risk. When they are available and have suffcient functionality for the task at hand, formal privacy methods should be preferred over informal ad hoc methods.  k-匿名性[151]や差分プライバシー[52]のようなプライバシーの形式的モデルは、データ主体が被るプライバシー損失を最小限に抑えながら、秘匿データの制御された使用を可能にするように設計された、数学的に厳密なアプローチを使用している。非公式には、プライバシーコストが低いデータ公開は参加者にプライバシーリスクをほとんど与えないが、プライバシーコストが高い場合はプライバシーリスクが高くなる。それらが利用可能で、手元のタスクに十分な機能を持つ場合、正式なプライバシー手法は、非公式なアドホック手法よりも優先されるべきである。
Decisions and practices regarding the de-identifcation and release of government data can be integral to the mission and proper functioning of a government agency. As such, an agency’s leadership should manage these activities in a way that ensures performance and  政府データの非識別化と公開に関する決定と機能は、政府機関の使命と適切な機能にとって 不可欠な場合がある。そのため、政府機関の指導者は、政府機関のパフォーマンスと結果を保証する方法で、これらの活動を管理する必要がある。
results in a manner that is consistent with the agency’s mission and legal authority. One way that agencies can manage this risk is by creating a formal Disclosure Review Board (DRB) that consists of legal and technical privacy experts, stakeholders within the organization, and representatives of the organization’s leadership. The DRB evaluates applications for data release that describe the confdential data, the techniques that will be used to minimize the risk of disclosure, the resulting protected data, and how the effectiveness of those tech- niques will be evaluated. The DRB’s work complements other parts of the organization, such as the Chief Information Security Offcer (CISO), who is responsible for technical controls, as well as the parts of the organization responsible for adopting administrative or organizational controls and written data-sharing agreements.  このようなリスクを管理するための一つの方法として、政府機関はこのようなリスク を管理することができる。政府機関がこのリスクをマネジメントする一つの方法は、法的および技術的なプライバシーの専門家、組織内の利害関係者、および組織のリーダーシップの代表者で構成される正式な情報開示審査委員会(Disclosure Review Board:DRB)を設置することである。DRBは、機密データ、開示リスクを最小化するために使用される技術、結果として得られる保護データ、およびそれらの技術の有効性がどのように評価されるかを記述したデータ公開申請書を評価する。DRBの活動は、技術的管理を担当する最高情報セキュリティ責任者(CISO)や、管理的または組織的管理や書面によるデータ共有契約の採用を担当する組織の他の部分を補完するものである。
Establishing a DRB may seem like an expensive and complicated administrative under- taking for some agencies. However, a properly constituted DRB and the development of consistent procedures regarding data release should enable agencies to lower the risks as- sociated with each data release, which is likely to save agency resources in the long term. Agencies can create or adopt standards to guide those performing de-identifcation and re- garding the accuracy of de-identifed data. If accuracy goals exist, then techniques such as differential privacy can be used to make the data suffciently accurate for the intended purpose but not unnecessarily more accurate, which can limit the amount of privacy loss. However, agencies must carefully choose and implement accuracy requirements. If data accuracy and privacy goals cannot be well-maintained, then releases of data that are not suffciently accurate can result in incorrect scientifc conclusions and policy decisions.  DRBを設立するのは、高価で複雑な管理作業に思える機関もあるかもしれない。しかし、適切に構成されたDRBとデータ公開に関する一貫した手順の開発により、各機関は各データ公開に伴うリスクを下げることができ、長期的には機関のリソースを節約できる可能性が高い。各機関は、非識別化の実施者および非識別化されたデータの正確性を再保持するための指針 となる標準を作成または採用することができる。精度の目標が存在する場合、差分プライバシーのような技法を使用することで、意図した目的には十分な精度を持つが、不必要に精度を上げないデータにすることができ、プライバシーの損失量を抑えることができる。しかし、機関は精度の要件を慎重に選択し、実施しなければならない。データの正確性とプライバシーの目標が十分に維持できない場合、十分に正確でないデータを公表することで、誤った科学的結論や政策決定がなされる可能性がある。
Agencies should consider performing de-identifcation with trained individuals using soft- ware specifcally designed for that purpose. While it is possible to perform de-identifcation with off-the-shelf software like a commercial spreadsheet or fnancial planning program, such programs typically lack the key functions required for sophisticated de-identifcation. As a result, they may encourage the use of simplistic de-identifcation methods, such as deleting columns that contain sensitive data categories and manually searching and removing individual data cells that appear sensitive.2 This may result in a dataset that appears de-identifed but still contains signifcant disclosure risks.  機関は、その目的のために特別に設計されたソフトウエアを使用し、訓練を受けた個人によって個人識別の解除を行うことを検討すべきである。市販の表計算ソフトや財務計画プログラムのような既製のソフトウェアで個人識別の 解除を実行することは可能であるが、そのようなプログラムには通常、高度な個人識別の 解除に必要な主要機能が欠けている。その結果、機密性の高いデータ・カテゴリーを含む列を削除したり、機密性が高いと思われる個々のデータ・セルを手作業で検索して削除したりするような、単純化された非識別化手法の使用が助長される可能性がある2 。
Finally, different countries have different standards and policies regarding the defnition and use of de-identifed data. Information that is regarded as de-identifed in one jurisdiction may be regarded as being identifable in another. This may be especially relevant in the case of international scientifc collaborations and illustrates the need for agencies that perform de-identifcation to create mechanisms for data scientists, attorneys, and policymakers to coordinate on these topics.  最後に、国によって非識別化データの定義と使用に関する標準や方針が異なる。ある法域では非識別化とみなされる情報が、別の法域では識別可能とみなされる場合がある。このことは、国際的な科学共同研究の場合に特に関連する可能性があり、データ科学者、弁護士、政策立案者がこのようなトピックについて協調するための仕組みを、非識別化を実施する機関が構築する必要性を示している。
1. While k-anonymity and differential privacy are both mathematically rigorous formal models, k-anonymity is a privacy framework based on the content of the published data, while differential privacy places bounds on the amount of information that can be learned about the confdential data from the published data.  1. k-匿名性と差分プライバシーはどちらも数学的に厳密な形式モデルであるが、k-匿名性は公開データの内容に基づくプライバシーの枠組みであり、差分プライバシーは公開データから機密データについて知ることができる情報量に境界を設けるものである。
2. For information on characterizing the sensitivity of information, see NIST SP 800-60 Volume I, Revision 1 [147].  2. 情報の機密性の特徴については、NIST SP 800-60 Volume I, Revision 1 [147]を参照のこと。

 

[2] 115th Congress (2017–2018). Public Law 115-435: The Foundations for Evidence- Based Policymaking Act of 2018. 2018. URL: https://www.congress.gov/bill/115th- congress/house-bill/4174. 第115議会(2017-2018年)。公法115-435: The Foundations for Evidence- Based Policymaking Act of 2018. 2018. URL: https://www.congress.gov/bill/115th- congress/house-bill/4174.
[4] 81 FR 49689: Revision of OMB Circular No. A-130, “Managing Information as a Strategic Resource. July 28, 2016. URL: https://www.cio.gov/policies-and- priorities/circular-a-130/. 81 FR 49689: OMB Circular No.A-130「戦略的資源としての情報の管理」の改訂。2016年7月28日。URL: https://www.cio.gov/policies-and- priorities/circular-a-130/.
[52] Cynthia Dwork et al. “Calibrating Noise to Sensitivity in Private Data Analysis”. In: Theory of Cryptography. Ed. by Shai Halevi and Tal Rabin. Berlin, Heidelberg: Springer Berlin Heidelberg, 2006, pp. 265–284. ISBN: 978-3-540-32732-5.  Cynthia Dwork et al. "Calibrating Noise to Sensitivity in Private Data Analysis". In: Theory of Cryptography. Shai Halevi and Tal Rabin. ベルリン、ハイデルベルク: Springer Berlin Heidelberg, 2006, pp.265-284. ISBN: 978-3-540-32732-5. 
[65] Simson Garfnkel. De-Identifcation of Personally Identifable Information. Tech. rep. NIST IR 8053. National Institute of Science and Technology, Nov. 2015. URL: http://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf. Simson Garfnkel. 個人を特定できる情報の非識別化。技術報告書。NIST IR 8053. 国立科学技術研究所、2015年11月。URL: http://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf.
[90] Leah Krehling. De-Identifcation Guideline. Tech. rep. WL-2020-01. Department of Electrical and Computer Engineering, Western University, 2020, p. 45. Leah Krehling. 非識別化ガイドライン。Tech. rep. WL-2020-01. Western University, Electrical and Computer Engineering, 2020, p. 45.
[130] “Pillar Investigates: USCCB gen sec Burrill resigns after sexual misconduct alle- gations”. In: The Pillar (July 2021). URL: https://www.pillarcatholic.com/p/pillar- investigates-usccb-gen-sec. 「Pillar Investigates: "Pillar Investigates: USCCB gen sec Burrill resigns after sexual misconduct alle- gates". In: The Pillar (July 2021). URL: https://www.pillarcatholic.com/p/pillar- investigates-usccb-gen-sec.
[147] Kevin Stine et al. Volume I: guide for mapping types of information and infor- mation systems to security categories. Gaithersburg, MD, 2008. DOI: 10.6028/ NIST.SP.800-60v1r1. URL: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/ nistspecialpublication800-60v1r1.pdf. Kevin Stine et al. Volume I: Guide for mapping types of information and infor- mation systems to security categories. Gaithersburg, MD, 2008. DOI: 10.6028/ NIST.SP.800-60v1r1. URL: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/ nistspecialpublication800-60v1r1.pdf.
[151] Latanya Sweeney. “k-anonymity: a model for protecting privacy”. In: International Journal on Uncertainty, Fuzziness and Knowledge-based Systems 10 (5 2002), pp. 557–570. Latanya Sweeney. 「k-anonymity: a model for protecting privacy". In: International Journal on Uncertainty, Fuzziness and Knowledge-based Systems 10 (5 2002), pp.
[168] Russell T. Vought. Phase 1 Implementation of the Foundations for Evidence-Based Policymaking Act of 2018: Learning Agendas, Personnel, and Planning Guidance. URL: https://www.whitehouse.gov/wp-content/uploads/2019/07/M-19-23.pdf. ラッセル・T・ヴォート Evidence-Based Policymaking Act of 2018の第1段階実施: Learning Agendas, Personnel, and Planning Guidance. URL: https://www.whitehouse.gov/wp-content/uploads/2019/07/M-19-23.pdf.
[170] Charlie Warzel and Stuart A. Thompson. “How Your Phone Betrays Democracy”. In: The New York Times (Dec. 2019). URL: https://www.nytimes.com/interactive/ 2019/12/21/opinion/location-data-democracy-protests.html. Charlie Warzel and Stuart A. Thompson. 「How Your Phone Betrays Democracy". In: The New York Times (Dec. 2019). URL: https://www.nytimes.com/interactive/ 2019/12/21/opinion/location-data-democracy-protests.html.

 

目次...

ExecutiveSummary 要旨
1. Introduction 1. 序文
1.1. DocumentPurposeandScope 1.1. 文書の目的と範囲
1.2. IntendedAudience 1.2. 想定読者
1.3. Organization 1.3. 組織
2. Introducing De-Identifcation 2. 非識別化について
2.1. Historical Context 2.1. 歴史的背景
2.2. Terminology 2.2. 用語
3. Governance and Management of Data De-Identifcation 3. データ非識別についてのガバナンスと管理
3.1. Identifying the Goals and Intended Uses of De-Identifcation 3.1. 非識別化の目的と用途を特定する。
3.2. Evaluating the Risks and Benefts That Arise from De-Identifed Data Releases 3.2. 非識別化データの公開から生じるリスクと便益の評価
3.2.1. ProbabilityofRe-Identifcation 3.2.1. 再識別の確率
3.2.2. Adverse Impacts of Re-Identifcation 3.2.2. 再識別による悪影響
3.2.3. Impacts Other Than Re-Identifcation 3.2.3. 再識別以外の影響
3.2.4. Remediation 3.2.4. 修復
3.3. Data LifeCycle. 3.3. データライフサイクル
3.4. Data-Sharing Models 3.4. データ共有モデル
3.5. The Five Safes 3.5. 5つの安全
3.6. Disclosure Review Boards 3.6. 情報開示審査委員会
3.7. De-Identifcation and Standards 3.7. 非識別化と標準
3.7.1. Benefts of Standards 3.7.1. 標準の恩恵
3.7.2. Prescriptive De-Identifcation Standards 3.7.2. 規定的な非識別化標準
3.7.3. Risk-Based De-Identifcation Standards 3.7.3. リスクベースの非識別化標準
3.8. Education, Training, and Research 3.8. 教育、訓練、研究
3.9. Alternative Approaches for Computing Statistics on Confdential Information 3.9. 機密情報の統計計算の代替アプローチ
3.9.1. Encryption and Access Control 3.9.1. 暗号化とアクセス制御
3.9.2. Secure Computation 3.9.2. 安全な計算
3.9.3. Trusted Execution Environments 3.9.3. 信頼された実行環境
3.9.4. Physical Enclaves 3.9.4. 物理的飛び地
4. Technical Steps for Data De-Identifcation 4. データ識別の技術的ステップ
4.1. Determine the Privacy, Data Usability, and Access Objectives 4.1. プライバシー、データの有用性、およびアクセスの目的を決定する。
4.2. Conducting a Data Survey 4.2. データ調査の実施
4.3. De-Identifcation by Removing Identifers and Transforming Quasi-Identifers 4.3. 識別子の削除と準識別子の変換による非識別化
4.3.1. Removing or Transforming of Direct Identifers 4.3.1. 直接識別子の除去または変換
4.3.2. Special Security Note Regarding the Encryption or Hashing of Direct Identifers 4.3.2. 直接識別子の暗号化またはハッシュ化に関する特別なセキュリティ上の注意事項
4.3.3. De-Identifying Numeric Quasi-Identifers 4.3.3. 数値的な準識別子の非識別化
4.3.4. De-Identifying Dates 4.3.4. 日付の非識別化
4.3.5. De-Identifying Geographical Locations and Geolocation Data 4.3.5. 地理的位置と地理的位置データの非識別化
4.3.6. De-Identifying Genomic Information 4.3.6. ゲノム情報の非識別化
4.3.7. De-Identifying Text Narratives and Qualitative Information 4.3.7. テキストナレーションと質的情報の非識別化
4.3.8. Challenges Posed by Aggregation Techniques. 4.3.8. 集約技術がもたらす課題。
4.3.8.1. Example 4.3.8.1. 例
4.3.9. Challenges Posed by High-Dimensiona lData 4.3.9. 高次元データによる課題
4.3.10.Challenges Posed by LinkedData 4.3.10.リンクデータによる課題
4.3.11.Challenges Posed by Composition 4.3.11.合成による課題
4.3.12.Potential Failures of De-Identifcation 4.3.12.識別の失敗の可能性
4.3.13.Post-Release Monitoring 4.3.13.公開後のモニタリング
4.4. Synthetic Data 4.4. 合成データ
4.4.1. Partially Synthetic Data 4.4.1. 部分合成データ
4.4.2. Test Data 4.4.2. テストデータ
4.4.3. Realistic Test Data 4.4.3. 現実的なテストデータ
4.4.4. Fully Synthetic Data 4.4.4. 完全合成データ
4.4.5. Synthetic Data with Validation 4.4.5. 検証付き合成データ
4.4.6. Synthetic Data and Open Data Policy 4.4.6. 合成データとオープンデータポリシー
4.4.7. Creating a Synthetic Dataset with Diferential Privacy 4.4.7. 差分プライバシーを持つ合成データセットの作成
4.5. De-Identifying with an Interactive Query Interface 4.5. 対話型クエリー・インターフェースによる非識別化
4.6. Validatinga De-Identifed Dataset 4.6. 非識別化データセットの検証
4.6.1. Validating Data Usefulness 4.6.1. データの有用性を検証する
4.6.2. Validating Privacy Protection 4.6.2. プライバシー保護の検証
4.6.3. Re-Identifcation Studies 4.6.3. 再識別の調査
5.  Software Requirements, Evaluation, and Validation 5. ソフトウェア要件、評価、検証
5.1. EvaluatethePrivacy-PreservingTechniques 5.1. プライバシー保護技術の評価
5.2. De-IdentifcationTools 5.2. 非識別化ツール
5.2.1. De-IdentifcationToolFeatures. 5.2.1. 非識別化ツールの特徴。
5.2.2. Data Provenance and File Formats 5.2.2. データ証明とファイルフォーマット。
5.2.3. Data Masking Tools 5.2.3. データ・マスキング・ツール
5.3. Evaluating De-Identifcation Software 5.3. 非識別化ソフトウェアの評価
5.4. Evaluating Data Accuracy 5.4. データ精度の評価
6. Conclusion 6.結論
References 参考文献
A.Standards A.標準
A.1.NIST Publications A.1.NISTP出版物
A.2.Other U.S. Government Publications A.2.その他の米国政府刊行物
Selected Publications by Other Governments その他の政府刊行物。
Reports and Books 報告書および書籍
How-To Articles ハウツー記事
B. List of Symbols, Abbreviations, and Acronyms B.記号、略語、頭字語のリスト
C. Glossary C.用語集

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.20 NIST SP 800-188(ドラフト)政府データセットの非識別化(ドラフト第3版)(2022.11.15)

| | Comments (0)

2023.09.21

中国 ネット侵害情報通報の更なる強化に関する指導意見 (2023.09.15)

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局がネット侵害情報通報の更なる強化に関する指導意見というのを公表していますね。。。8月31日に決定したもののようです。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2023.09.15 关于进一步加强网络侵权信息举报工作的指导意见

关于进一步加强网络侵权信息举报工作的指导意见 ネット侵害情報通報の更なる強化に関する指導意見
各省、自治区、直辖市党委网信办,新疆生产建设兵团党委网信办: 各省、自治区、直轄市のネットワーク・セキュリティ管理局、新疆生産建設兵団党ネットワーク・セキュリティ管理局:
网络侵权信息举报工作是网信部门践行网上群众路线的重要举措,是保护网民网络合法权益的重要手段,对促进形成积极健康、向上向善的网络文化具有重要意义。为加强网络侵权信息举报工作,推动建立良好网络生态,切实维护好广大网民网络合法权益,现提出如下意见。 ネットワーク侵害情報報告作業は、インターネット部門の重要な措置は、オンライン大衆の行を実践することであり、ネット利用者ネットワークの正当な権利と利益を保護することである肯定的かつ健全な、上向きに移動するネットワーク文化の形成を促進する重要な手段である重要な意義がある。 ネットワーク侵害情報報告業務を強化し、良好なネットワーク生態系の確立を促進し、効果的に大多数のネットユーザーのネットワークの合法的な権利と利益を保護するために、現在、以下の見解を発表した。
一、总体要求 I. 全体的な要求
(一)指导思想 (1)指導思想
以习近平新时代中国特色社会主义思想为指导,深入贯彻落实党的二十大和二十届一中、二中全会精神,坚持以人民为中心的发展思想,坚持围绕中心、服务大局,以提升广大网民在网络空间的获得感、幸福感、安全感为目标,以维护好广大网民网络合法权益为出发点和落脚点,以压紧压实网站平台主体责任为着力点,夯实工作基础、创新完善举措、健全制度规范、完善体制机制,突出做好涉公民个人、企业法人网络侵权信息举报工作,持续营造清朗网络空间,助力经济社会健康有序发展。 新時代の中国の特色ある社会主義という習近平の思想に導かれ、第20回中国共産党全国代表大会と第20期中国共産党中央委員会第1、2回全体会議の精神を深く実行し、人民を中心とする発展理念を堅持し、中心を重視し、全体情勢に奉仕することを堅持し、一般ネット民のサイバースペースへのアクセス感、幸福感、安心感を高めることを目的とし、インターネット上の大多数のネット民の合法的な権益を守ることを原点とし、コンパサイトの主な責任を引き締めることを目的とする。 焦点のプラットフォームの主な責任は、仕事の基礎を踏み固め、技術革新とイニシアチブを改善し、制度や規範を改善し、制度的メカニズムを改善し、個人、企業ネットワークの侵害情報報告に関与する市民を強調し、経済社会の健全かつ秩序ある発展を支援するために、明確なサイバースペースを作成し続ける。
(二)主要原则 (2)主要原則
坚持系统观念。加强整体设计、注重统筹协调,推动线上线下受理处置全覆盖,主体责任和监督责任同步落实,横向协同和纵向联动一体构建,全方位、全链条推进工作。 システム視点の堅持。 全体的な設計を強化し、協調を重視し、オンラインとオフラインの受け入れと廃棄を完全にカバーすることを促進し、主な責任と監督責任の実施を同期させ、水平的な相乗効果と垂直的な連携を構築し、全方向と全チェーンに沿った作業を促進する。
坚持问题导向。针对网民网络维权难点堵点问题,立足职能、靶向施策、精准发力,创新工作思路、改进方法手段,着力提升网民举报投诉的有效性和处置率。 問題指向アプローチの堅持。 ネット利用者ネットワークの権利問題については、機能、ターゲット、精度、革新的なアイデアに基づいて、方法と手段を改善し、ネット利用者が苦情を報告する有効性と処理率を高めるために努力する。
坚持依法依规。科学设置受理处置标准,严格受理处置流程,加强内部管理,注重风险防范,确保举报受理处置法律适用准确、程序完备合规,不断提高工作制度化、规范化水平。 法律遵守。 科学的な受理と廃棄の標準を設定し、厳格な受理と廃棄のプロセス、内部管理を強化し、リスク予防に焦点を当て、報告書の受理と廃棄の正確な適用を確保するために、手順は完全かつコンプライアンスであり、常に制度化、標準化レベルの作業を改善する。
坚持注重实效。增强针对性、突出实效性,聚焦重点领域、紧盯关键环节,综合施策、标本兼治,做深做细各项工作,确保各项重点任务落地落实。 結果の重視。 関連性を強化し、有効性を強調し、重要な分野に焦点を当て、重要なリンク、包括的なアプローチ、根本的な原因と症状に焦点を当て、重要なタスクが実装されていることを確認するために深く、詳細な作業を行う。
二、夯实工作基础 II. 業務基盤の強化
(三)优化举报服务。建立多元化举报平台,实现线上线下全覆盖,满足广大网民多层次多样化举报需求。强化举报平台服务功能,提供集“举报投诉”“举报指南”“典型案例”“法律法规”等多功能于一体的举报服务产品。加强举报渠道建设,依法依规制定举报指引,明确举报要件,方便网民有效准确举报。建立投诉维权矩阵,为网民引入法律咨询、司法救济、公益诉讼、网络调解等渠道,拓展社会力量积极参与网民权益维护保障工作。 (3)報告サービスの最適化。 多様な通報プラットフォームを構築し、オンラインとオフラインをカバーすることで、ネット利用者の多段階多様な通報ニーズを満たす。 報告プラットフォームのサービス機能を強化し、「苦情報告」、「報告ガイドライン」、「典型的な事例」、「法規」などの報告サービスを一つの製品で提供する。 「などの多機能通報サービスを一つの製品にする。 ネット利用者の効果的かつ正確な通報を促進するため、法令に基づき、通報ガイドライン、明確な通報要件を策定し、通報ルートの構築を強化する。 ネット利用者のための苦情・権利保護マトリックスを構築し、法律相談、司法救済、公益訴訟、ネットワーク調停などのチャンネルを導入し、ネット利用者の権益を保護する社会勢力の積極的な参加を拡大する。
(四)健全处置机制。建立全链条闭环举报处置机制,积极受理处理本部门职责范围内的举报,视情会商研判、移送转交职责范围外的举报;加强跟踪督办,确保“事事有着落、件件有回音”。丰富举报处置手段,建立分级分类处置措施。加大惩戒力度,严惩恶意侵权、重复侵权、群体侵权。强化震慑遏制效果,严厉处置并及时公布群众反映强烈、社会舆论关注度高的典型案件。 (4)処理メカニズムの改善。 クローズド・ループの通報処理メカニズムを構築し、積極的に部門の責任範囲内の通報を受理・処理し、協議・判断の状況に応じて、責任範囲外の通報を移送・転送する。追跡・監督を強化し、「全てに目が通され、全ての意見に返答がある」ことを確保する。 報告書の処理手段を充実させ、段階的な処理手段を確立する。 罰則を強化し、悪質な違反、度重なる違反、集団的な違反に対して厳罰を科す。 抑止効果を強化し、厳正な処分と適時の公表で国民の強い反発を招き、世論は典型的なケースに関心を寄せる。
(五)完善制度规范。健全受理处置规范,明确受理对象、受理范围、受理方式、处置举措。完善流程规范,细化集体研议、层级把关、审处分离等工作程序。建立举报人信息保护制度,严禁泄露、篡改、毁损、出售或者非法向他人提供举报人个人信息及举报材料。完善信息登记、工作台账、档案管理等制度,改进工作作风,提升服务质量。 (5)規範制度の改善。 規範の受理と廃棄を改善し、受理の対象、受理の範囲、受理、廃棄の取り組みを明確にする。 プロセスの仕様を改善し、集団審議、階層的なチェック、分離の試行と処分などの作業手順を洗練させる。 内部通報者情報保護制度を確立し、内部通報者の個人情報及び通報資料を漏洩、改ざん、破壊、販売、不法に他人に提供することを厳禁する。 情報登録、業務アカウント、ファイル管理システムを改善し、業務スタイルを改善し、サービス品質を向上させる。
(六)统一研判标准。充分发挥标准化建设在网络侵权信息举报工作中的基础性和引领性作用,研究制定依法有据、科学适用的网络侵权信息举报受理审核、研判处置标准。鼓励行业组织、网站平台积极参与标准制定。推动标准化实施应用,突出网站平台主体应用地位,努力实现从“有好标准”到“用好标准”的实践转化,逐步实现同一举报事项、同一受理条件、同一举证要求、同一办理结果。 (6)調査・判断標準の統一。 基本的かつ主導的な役割、研究開発、法律に基づいて、科学的に適用されるネットワーク情報報告侵害の監査、研究および処分基準の受け入れのネットワーク情報報告侵害の仕事の標準化を最大限に発揮する。 積極的に標準の開発に参加する業界団体、ウェブサイトのプラットフォームを奨励する。 標準化とアプリケーションの実装を促進し、ウェブサイトのプラットフォームの主なアプリケーションのステータスを強調し、変換の実践の "良い標準 "から "良い標準を使用する "を達成するために努力し、徐々に同じ報告事項、受け入れの同じ条件、証明のための同じ要件、同じ結果を達成する。
(七)强化技术支撑。加强技术系统建设,提升举报受理处置便捷化、智能化水平;拓展动态监测、统计分析、趋势研判、效果评估等功能,充分发挥数据基础资源作用,提高预测预防预警能力。加快推进网信部门网络举报技术管理系统有效衔接、互联互通,统筹推进技术融合、数据融合、业务融合,提升跨层级、跨地区网络侵权信息举报协同处置能力,为建立“一体受理、一体处置”的全国“一盘棋”工作格局提供支撑。 (7)技術サポートの強化。 技技術システムの構築を強化し、報告の受理と廃棄を便利でインテリジェントなレベルに高める。ダイナミックモニタリング、統計分析、トレンド分析、効果アセスメントなどの機能を拡大し、基礎データ資源の役割を十分に発揮させ、予測、予防、早期警報の能力を向上させる。 ネットワーク情報部門のネットワーク報告技術管理システムの効果的な接続、相互接続の促進を加速し、技術の統合、データの統合、ビジネスの統合を促進し、クロスレベル、クロスリージョナルネットワーク侵害情報の報告および処理能力を強化し、国家の「1つのディスクチェス」の「1つの受け入れ、1つの処分」の確立のために。 政府はまた、「一受一処」の全国的な「一将棋盤」作業パターンの確立を支援している。
三、切实保护公民个人网络合法权益 III. ネットにおける個人の正当な権利と利益の効果的な保護
(八)明确涉个人举报处置重点。重点受理处置未取得个人同意或违反国家有关规定,泄露公民家庭住址、身份证件、联系方式、医疗健康、行踪轨迹、金融账户等个人信息的举报线索。重点处置窃取、兜售个人信息的违法网站、账号。重点处置利用他人姓名、肖像、职务等显著标识特征,假冒仿冒他人发布信息、表达立场观点以及开展其他网络活动的违法账号。重点处置丑化污损他人肖像、错误关联或不当使用他人肖像,侮辱谩骂、诋毁诽谤、造谣抹黑侵犯他人名誉的违法和不良信息及相关账号。 (8)個人に関する報告書の処理の優先順位の明確化。 個人の同意や関連する国家規制の違反、市民の自宅住所、身分証明書、連絡先情報、医療・健康、居場所、金融口座、その他の個人情報の漏えい、手がかりとなる通報の受理と処分に重点を置く。 個人情報を盗んだり、売りつけたりする違法なウェブサイトやアカウントに注目する。 他人の名前、肖像、地位などの特色を利用し、偽の他人の真似をして情報を公開し、自分の立場や意見を表明し、また違法なアカウントの他のオンライン活動を行うことに重点を置く。 他人の肖像を誹謗中傷し、他人の肖像を不当に関連付け、または不当に利用し、侮辱し、罵倒し、中傷し、噂を作り、他人の評判を誹謗中傷する違法で望ましくない情報や関連するアカウントの処分に重点を置く。
(九)建立网络暴力信息举报快速处置通道。建立线上网络暴力信息举报专区,为网民提供便捷化举报渠道,快速受理处置针对个人集中发布的不友善、不文明言论,特别是“人肉搜索”、恶意攻击、造谣诽谤等网络暴力信息。从严处置首发、首转、多发、煽动传播网络暴力信息的账号。坚持线上处置和线下查处相结合,强化与执法司法部门的协同治理,提升网络暴力信息溯源能力,依法追究网络暴力实施者法律责任,提高网络暴力违法成本,从源头上遏制网络暴力乱象。 (9)オンライン暴力に関する通報を迅速に処理するルートを確立する。 ネット上の暴力情報を通報する特区を設け、ネット民に便利な通報ルートを提供し、個人が集中的に投稿した非友好的・非文明的発言、特に「人肉捜索」、悪意ある攻撃、風説の流布、名誉毀損などのネット上の暴力情報を迅速に受け入れ、処理する。 最初に投稿したアカウント、最初に転送したアカウント、最初に投稿したアカウント、最初にネット暴力情報の流布を扇動したアカウントには厳しく対処する。 また、オンラインとオフラインの捜査の結合を主張し、法執行機関や司法部門との協力ガバナンスを強化し、サイバー暴力に関する情報の追跡可能性を高め、サイバー暴力の加害者に法律に従って法的責任を負わせ、サイバー暴力犯罪のコストを引き上げ、サイバー暴力という現象を根源から抑制するようにした。
(十)加强特殊群体网络合法权益保护。优先保护未成年人网络合法权益,及时处置以文字、图片、音视频等形式,侮辱、诽谤、威胁未成年人或者恶意损害未成年人形象的违法和不良信息。及时处置泄露未成年人姓名、住所、照片以及其他可能识别出未成年人真实身份的违法和不良信息。依法严厉打击涉未成年人网络欺凌行为。依法保护妇女、残疾人、老年人等其他特殊群体网络合法权益,坚决处置性别歧视、年龄歧视、地域歧视等制造社会矛盾、煽动群体对立的违法和不良信息。 (10)インターネット上の特定の人々の正当な権利と利益の保護の強化。インターネット上の未成年者の正当な権利・利益の保護を優先し、未成年者を侮辱・誹謗中傷・脅迫したり、悪意をもって未成年者のイメージを損なうような文章・画像・音声・映像などの違法・好ましくない情報を適時に処分する。 未成年者の氏名、住居、顔写真等が判明する違法・好ましくない情報、その他未成年者の身元が特定されるおそれのある違法・好ましくない情報を適時に廃棄すること。 未成年者のネットいじめを法律に基づいて取り締まる。 インターネット上の女性、障害者、高齢者、その他特殊な集団の正当な権利と利益を法律に基づいて保護し、男女差別、年齢差別、地域差別など、社会的矛盾を生じさせ、集団の反感を煽る違法で望ましくない情報を断固として処分する。
(十一)把握举报受理处置重点领域。重点处置“自媒体”制作、复制、发布的虚假不实信息,建立网络账号(账号主体)黑名单机制,从严处理举报集中的违法违规账号及其主体。重点处置网络信息搜索服务提供者以链接、摘要、快照、联想词、相关搜索等形式推荐的侵权信息。重点处置网络话题、信息评论、网络直播、短视频、网络群组等栏目环节出现的互撕谩骂、拉踩引战等侵权信息。 (11)報告受理と処分の重要分野の把握。 「自己メディア」の作成、コピー、虚偽・不正確な情報の公開の処理に重点を置き、ネットワークアカウント(アカウント主体)のブラックリストメカニズムを確立し、違法アカウントとその主体の通報を厳格に処理する。 リンク、要約、スナップショット、連想語、関連検索などの形式で、ネットワーク情報検索サービス提供者が推薦する侵害情報の処理に力を入れる。 ネットトピック、情報コメント、ウェブ放送、ショートビデオ、ネットグループなどの欄に現れる、相互罵倒、引っ張り、踏みつけ、戦争に導くなどの侵害情報の処理に力を入れる。
四、切实维护企业网络合法权益 IV. ネットにおける企業の正当な権利と利益の効果的な保持
(十二)把握涉企举报处置重点。重点处置以吸睛引流、增粉养号、恶性竞争、不当盈利为目的,通过捏造事实、主观臆断、歪曲解读、恶意关联、蓄意炒作、翻炒旧闻等方式,侵害企业及企业家名誉、降低公众对企业产品或者服务社会评价,影响企业正常生产经营活动、干扰市场经济秩序的虚假不实信息。依法处置集纳企业负面信息进行敲诈勒索、假冒仿冒企业名称或显著标识开展网络活动的违法网站和账号。严厉打击操控舆论、恶意造谣诽谤企业名誉的网络水军。 (12)企業関連報告の処分の焦点の把握。 人目を引くトラフィック、いいねの数を増やし、悪質な競争を促し、事実の捏造、不適切な利益の獲得を目的とするもの、事実の捏造、主観的な思い込み、歪曲された解釈、悪意のある関連付け、意図的な憶測、古いニュースの蒸し返しなどを通じて、企業や企業家の評判を侵害し、企業の製品やサービスに対する国民の評価を低下させ、市場の経済秩序を妨害するようなものの処分に焦点をあてる。 法律に基づいて、恐喝や脅迫のために企業のネガティブな情報を収集し、企業の名称や特徴的なロゴを偽造・模倣してオンライン活動を行う違法なウェブサイトやアカウントを処分する。 世論を操作し、悪意を持って噂を作り、企業の評判を貶めるサイバー傭兵を取り締まる。
(十三)明确重点保障企业类型。依法保护企业及企业家网络合法权益,优化企业网上营商环境,支持各类所有制企业优化改革、发展壮大。重点保护“拟上市”企业网络合法权益,为企业顺利上市融资保驾护航;重点保护上市企业网络合法权益,稳定企业市值,提振投资者信心;重点保护高新技术企业、“专精特新”企业网络合法权益,助力企业创新发展、做大做优做强。 (13)保護すべき企業の種類の明確化。 法律に基づき、ネットワーク内の企業と企業家の合法的権益を保護し、企業のオンラインビジネス環境を最適化し、あらゆる所有形態の企業の改革と発展の最適化をサポートする。 「上場予定」企業の合法的権益の保護に重点を置き、企業の円滑な上場と融資を実現する。上場企業の合法的権益の保護に重点を置き、企業の市場価値を安定させ、投資家の信頼を高める。ハイテク企業の合法的権益の保護に重点を置き、「特化・特新」企業のネットワークに重点を置き、企業の革新と発展を助け、大企業、優良企業、新企業の発展を促進する。 また、ハイテク企業、「特化・特新」企業の合法的権益を保護し、企業の革新と発展を助け、より大きく、より良く、より強く成長させることに重点を置いている。
(十四)开设线上涉企举报专区。建立“两微两端”线上涉企举报专区,明确受理范围、举报要件、举证要求,积极受理属地企业网络侵权信息举报。针对属地网络侵权信息,按照“专人负责、优先办理、全程跟踪、限时办结”的工作原则,简化工作流程、依法快速处置。针对非属地网络侵权信息,按照相关规定和相关程序及时报送中央网信办。 (14)オープンオンライン企業関連報告領域の設立。2つのマイクロウェブ(WeChat, Weibo)の両方にオンライン企業関連通報エリアを設立し、受理範囲、通報要件、証明要件を明確にし、積極的に地域企業のネットワーク侵害情報通報を受理する。 地域ネットワーク侵害情報については、「担当者、優先処理、完全追跡、期限厳守」の作業原則に基づき、ワークフローを簡素化し、法に基づき迅速に処理する。 非領域のネットワーク侵害情報については、関連法規と関連手続きに基づき、中央インターネット情報局に提出する。
(十五)健全举报查证机制。拓宽工作思路,创新举证方法,丰富举证形式,降低企业举报难度,提升企业举报可行性。梳理总结侮辱谩骂污染网络生态、断章取义误导舆论、无备案仿冒假冒违法网站等显性网络侵权类别,明确无需司法、行政等国家机构举证的具体情形。探索第三方专业机构、行业标准、法律意见书、审计报告、公共服务平台查询结果、源发媒体信息等在网络侵权举证中的效用。建立与涉企职能管理部门的联动协同机制,对重要问题、重大线索进行分析研判、统筹调度,形成工作合力,为快速查证、及时处置创造有利条件。 (15)健全な報告・検証メカニズム。 思考の仕事を広げ、証明の革新的な方法、証明の豊富な形式、報告企業の難易度を下げ、企業報告の実現可能性を高める。 ネットワークエコロジーの侮辱と乱用の汚染、文脈から世論を誤解させる、模倣違法サイトや他の明白なネットワーク侵害のカテゴリの記録がない、司法、行政などの国家機関が特定の状況を証明することなくクリアを整理し、要約する。 第三者の専門組織、業界標準、法律意見、監査報告、公共サービスプラットフォームの問合せ結果、ソースメディア情報など、ネット侵害の証明における有用性を探る。 企業関連機能の管理との連携メカニズムを確立し、重要事項の分析と判断、主要な手がかり、調整とスケジューリング、迅速な調査と証拠、タイムリーな処理のための相乗効果を形成し、有利な条件を作り出す。
(十六)强化举报政策指导。主动靠前服务,积极为企业想办法、解难题。加强调查研究,摸排属地企业遭遇网络侵权情况,做到情况明、底数清。宣讲举报政策,加强培训指导,做好“送政策到企业”工作。建立与属地重点企业的沟通对接渠道,定期了解企业维权诉求,对维权诉求合理的,进行“一对一”定向辅导,解析举报方法,搭建举报渠道,强化服务保障;对维权诉求不合理的,积极做好解释说明工作。 (16)報告政策指導の強化。 積極的に前方サービスを提供し、積極的に企業が問題を解決する方法を考える。 調査研究を強化し、企業のネットワーク侵害のマッピングに遭遇し、状況が明確になるように、一番下の行が明確である。 内部告発の方針を説き、訓練と指導を強化し、「企業に方針を送る」仕事をしっかり行う。 地域の重点企業との連絡ルートを確立し、定期的に企業の権利、合理的なクレームの権利を理解し、「一対一」の指示カウンセリング、報告方法の分析、報告ルートを構築し、サービス保証を強化し、不合理なクレーム、積極的に仕事を説明するために良い仕事を行う。
(十七)严格规范企业举报行为。切实提升审核研判能力,准确把握舆论监督内涵和网络侵权标准,正确看待网上舆论监督对提升企业治理能力、完善企业生产运营机制的重要作用。按照“依法依规、有效引导、规范渠道”的原则,依法妥善处理涉劳资、合同、股权、产权、债务、消费等权益纠纷举报。合理设置举报条件,规范企业举报行为,防范举报权利滥用、扰乱举报工作秩序。 (17)企業の内部報告に対する厳格な規制。 審査・判断能力を効果的に高め、世論監視の意味合いとネット侵害の標準を正確に把握し、ネット世論監視がコーポレートガバナンス能力を高め、企業の生産・運営メカニズムを改善する上で重要な役割を果たすことを正しく捉える。 法律に従い、効果的に指導し、チャンネルを規制する」という原則に従い、法律に従い、労働、契約、持分、財産権、債務、消費者などの権益に関する紛争を適切に処理し、報告する。 合理的に報告条件を設定し、企業の報告行動を規制し、報告権の濫用を防止し、報告秩序を適切にする。
五、压紧压实网站平台主体责任 V. ウェブサイト・プラットフォームの主な責任を
(十八)严格督导检查。坚持全面检查和重点检查相结合,全面检查属地网站平台网络侵权信息举报工作情况,重点检查网站平台未按照有关法律法规及时处理反馈的显性网络侵权信息举报。建立问题台账,狠抓整改落实,对落实主体责任不力、网络侵权问题多发频发的网站平台,加强惩戒处罚。 (18)厳格な監督と検査。 包括的な検査と重要な検査の組み合わせを堅持し、地域のウェブサイトプラットフォーム上のネットワーク侵害情報の報告を包括的に検査し、ウェブサイトプラットフォームが関連法に従ってタイムリーに処理できない明示的なオンライン侵害情報の報告を検査することに重点を置く。問題のアカウントを確立し、是正の実施に細心の注意を払い、主要な責任を履行せず、オンライン侵害問題が頻繁に発生するウェブサイトプラットフォームに対する処罰と処罰を強化する。
(十九)设立投诉窗口。探索建立线上网民投诉受理窗口,及时办理网民关于属地网站平台处置网络侵权信息举报不及时、维护网民合法权益工作不到位的投诉。规范投诉处理程序,完善投诉处理措施,公布投诉处理办法。建立投诉办理情况查询系统,提高投诉处理质量和效率。健全网站平台网络侵权信息举报工作评价体系,引入群众评价参数指标,开展群众满意度测评。 (19)苦情の窓口の設置。 地域のウェブサイトやプラットフォームによるオンライン侵害情報の報告に対するネット利用者からの処理、およびネット利用者の合法的な権利と利益を保護する努力の欠如に関する苦情を迅速に処理するため、オンラインによるネット利用者の苦情受付窓口の設置を検討する。 苦情処理手順を標準化し、苦情処理措置を改善し、苦情処理方法を公表する。 苦情処理問合せシステムを確立し、苦情処理の質と効率を向上させる。 ウェブサイトやプラットフォームにおけるネット侵害情報通報の評価システムを改善し、大衆評価パラメーター指標を導入し、大衆満足度評価を実施する。
(二十)推动信息公开。指导属地重点网站平台建立常态化网络侵权信息举报受理处置情况通报机制。运用全媒体方式,显著位置发布,深度解析受理流程、研判标准、办理时限等社区规则,引导网民精准有效举报。公布网络侵权信息举报处置数量、处置措施、典型案例,接受公众监督。公开热点侵权事件举报处置情况,回应网民关切。 (20)情報公開を促進する。 地域の重要なウェブサイトプラットフォームを指導し、定期的なネットワーク侵害情報通報の受理と処理メカニズムを確立する。 全メディアのアプローチ、リリースの目立つ位置、受理プロセスの綿密な分析、研究と判断の標準、処理時間制限と他のコミュニティのルールを使用して、ネット利用者が正確かつ効果的に報告するように導く。 報告されたネットワーク侵害情報の処理件数、処理措置、典型的な事例を公表し、公衆の監督を受け入れる。 ホットな侵害事件の処理状況を公表し、ネットユーザーの懸念に応える。
(二十一)提升处置效果。指导网站平台完善分级分类网络侵权信息举报处置举措。建立快速通道机制,第一时间受理、第一时间处置显性网络侵权以及事实清楚、举证充分的举报。建立“限时加私”机制,对时效性强、举证时间久,可能给举报人造成较大负面影响的侵权信息,先行采取“加私”措施,及时阻断相关信息分享传播,为举报人完成举证提供时间窗口。建立“争议标签”机制,对涉及事项尚未得到充分证实的侵权信息,采取设置“内容存疑标签”或“链接当事人回应声明”等措施,引导网民客观评判,防止侵权信息误导舆论。 (21)処分の効果を高める。 ネットワーク侵害情報の報告や処分の取り組みの分類を改善するよう、ウェブサイトやプラットフォームを指導する。 「早期適用メカニズム」を確立し、初めて受理し、初めて明らかなネットワーク侵害を処分し、事実が明確で、文書化された報告書を提出する。 「限定的なプライバシーメカニズム」を確立し、時間が経過し証拠提出に時間がかかり、報告者に大きな負担をかける可能性のある侵害情報に対して、まず「プライバシーを強化」する措置を取り、関連情報の共有と拡散を迅速に阻止し、報告者が証拠を提出するための時間枠を提供する。さらに、「議論のタグ」メカニズムも設立されます。これは、侵害情報がまだ十分に確認されていない場合に、「内容疑問タグ」を設定したり、「関連者の応答声明」へのリンクを設けたりする措置を取る。これにより、ネットユーザーが客観的な判断を下すことができ、侵害情報が誤った情報を広めることを防ぐことができる。
六、组织实施 VI. 組織実施
(二十二)加强组织领导。提高政治站位,充分认识做好网络侵权信息举报工作的重要意义,将网络侵权信息举报工作作为管网治网重点任务,紧抓不放、常抓不懈。要精心谋划部署,制定工作方案,明确目标任务,细化工作举措。要认真组织实施,压紧压实各方责任,扎实有序推进,确保取得实效。 (22) 組織の指導力を強化する。 政治的スタンスを高め、ネット上の情報侵害をきちんと通報することの重要性を十分に理解し、ネット上の情報侵害を通報することをネットワーク管理の重要な任務として、緊密かつ執拗に行う。 注意深く配置を計画し、作業プログラムを作成し、明確な目標と任務を定め、作業イニシアティブを練り上げる。 真剣に実装を整理し、すべての当事者の責任に圧力を強化し、堅実かつ整然とした進展、効果を確保する。
(二十三)注重示范引领。坚持全面部署和试点带动相结合,围绕重点任务、关键举措开展试点示范工作,鼓励思路创新、举措创新、机制创新,及时总结推广优秀做法、典型经验,积极培育形成一批符合时代特征、贴近群众需求的网络侵权信息举报工作品牌。 (23)全面的な展開とパイロットプロジェクトの推進を組み合わせて堅持し、重点的なタスクやキーとなる措置に焦点を当てたパイロットデモンストレーションの業務、を展開する。思考の革新、措置の革新、メカニズムの革新を奨励し、優れた方法や典型的な経験を適時にまとめて広め、時代の特徴に合った、大衆のニーズに近いネットワーク侵害情報の報告作業ブランドを積極的に育成する。
(二十四)强化队伍建设。配齐配强工作力量,加强思想淬炼,增强宗旨意识,涵养为民服务精神。加强实践锻炼和业务培训,提高法律素养和媒介素养,提升为民服务本领和能力,着力打造一支业务精、能力强、守纪律、明底线的高素质专业化工作队伍。 (24)チームビルディングを強化する。全面的な展開とパイロットプロジェクトの推進を組み合わせて堅持し、重点的なタスクやキーとなる措置に焦点を当てたパイロットデモンストレーションの業務を展開する。思考の革新、措置の革新、メカニズムの革新を奨励し、優れた方法や典型的な経験を適時にまとめて広め、時代の特徴に合った、大衆のニーズに近いネットワーク侵害情報の報告作業ブランドを積極的に育成する。
(二十五)加强宣传推广。加强线上宣传,持续开展主题宣传、成效宣传、典型宣传,通过音画图文等多种手段,立体呈现网络侵权信息举报工作。加强线下推广,组织网络侵权信息举报工作宣传进基层、进社区、进学校、进企业,不断扩大网络侵权信息举报工作的公众知晓度、社会参与度。 (24)広報・宣伝を強化する。 オンライン宣伝を強化し、引き続きテーマ別の宣伝、宣伝の効果、典型的な宣伝を行い、音声や映像などの手段を通じて、ネットワーク侵害情報の報告作業を立体的に表現する。 オフラインでの宣伝活動を強化し、草の根、コミュニティ、学校、企業へのネットワーク侵害情報通報宣伝を組織し、国民の認識、社会参加のネットワーク侵害情報通報業務を絶えず拡大する。
中央网络安全和信息化委员会办公室 ネットワーク・セキュリティ情報化中央委員会弁公室

 

 

1_20210612030101

 

| | Comments (0)

JIS Q 15001:2023 個人情報保護マネジメントシステム―要求事項

こんにちは、丸山満彦です。

JIS Q 15001:2023 個人情報保護マネジメントシステム―要求事項が公開されましたね。。。

こちらは、一般社団法人情報セキュリティマネジメント認定センター (ISMS-AC) から発表はされていませんね。。。

(ISMS、BCMC、ITSMS等は、認定機関に対する要求事項であるJIS Q 17011: 2018(ISO/IEC 17011:2017)及び関連する国際基準に従って認定業務を遂行しているISMS-ACという認定機関が認証機関を認定し、その認証機関が認証をするというISOのマネジメントシステムの標準的な仕組みを採用しているのに対して、JISQ15001はそのようになっていないからですね。。。)

初版は1999.03.20 に制定され、2006.05.20、2017.12.20 に改正され、今回三度目の改正ということですね。。。

規格は日本規格協会 (JSA) で購入できます。。。

JSA

・2023.09.20 JIS Q 15001:2023 個人情報保護マネジメントシステム―要求事項 Personal information protection management systems -- Requirements

 

プレビュー...

・[PDF

20230921-55403

 

認証取得については、こちらも参考に...

● JIPDEC

・2023.09.20 JIS Q 15001改正に伴う構築・運用指針の対応について

 

 


古い話も...

 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.21 JIS Q 27001:2023 情報セキュリティ,サイバーセキュリティ及びプライバシー保護—情報セキュリティマネジメントシステム—要求事項

・2006.05.22 JISの制定及び改定 Q13335-1, Q27001, Q27002, Q15001

・2006.04.11 JISQ15001とJISQ27001&27002の説明会

・2006.03.20 JIPDEC JIS Q 15001:2006への移行計画

・2005.12.15 経済産業省 パブコメ JISQ15001

・2005.02.19 個人情報は「取得」か「収集」か


 

 

| | Comments (0)

JIS Q 27001:2023 情報セキュリティ,サイバーセキュリティ及びプライバシー保護—情報セキュリティマネジメントシステム—要求事項

こんにちは、丸山満彦です。

JIS Q 27001:2023 情報セキュリティ,サイバーセキュリティ及びプライバシー保護—情報セキュリティマネジメントシステム—要求事項が公開されましたね。。。

一般社団法人情報セキュリティマネジメント認定センター (ISMS-AC) から発表がされていますね。。。

初版は2006.05.20 に制定され、2014.03.20 に改正され、今回二度目の改正ということですね。。。

 

ISMS-AC

・2023.09.20 ISMSの要求事項 JIS Q 27001:2023発行のお知らせ

認証取得については、こちらの注意も。。。

・2023.02.23 ISMS適合性評価制度 ISO/IEC 27001:2022 への対応について(更新版)

 

規格は日本規格協会 (JSA) で購入できます。。。

JSA

・2023.09.20 JIS Q 27001:2023 情報セキュリティ,サイバーセキュリティ及びプライバシー保護―情報セキュリティマネジメントシステム―要求事項 Information security, cybersecurity and privacy protection -- Information security management systems -- Requirements

プレビュー...

・[PDF

20230921-52404

 

ちなみにその前は、JIS X 5080でしたね。。。

● JIPDEC(電子商取引推進協議会 セキュリティWG)

・2002.03 [PDF] 情報セキュリティ対策マネジメント標準 (JIS X 5080:IEC/IEC 17799) の解説


20230921-54050



 


古い話も...

 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.21 JIS Q 15001:2023 個人情報保護マネジメントシステム―要求事項

 

・2006.05.22 JISの制定及び改定 Q13335-1, Q27001, Q27002, Q15001

・2006.04.11 JISQ15001とJISQ27001&27002の説明会



 

| | Comments (0)

2023.09.20

米国 GAO 人工知能の活用と急成長がその可能性と危険性を浮き彫りにする

こんにちは、丸山満彦です。

米国GAOが「人工知能の活用と急成長はその可能性と危険性を浮き彫りにする」という、ブログの記事を上げていましたね。。。

 

U.S. GAOWatchBlog 

・2023.09.06 Artificial Intelligence’s Use and Rapid Growth Highlight Its Possibilities and Perils

 

Artificial Intelligence’s Use and Rapid Growth Highlight Its Possibilities and Perils 人工知能の活用と急成長がその可能性と危険性を浮き彫りにする
The rise of artificial intelligence has created growing excitement and much debate about its potential to revolutionize entire industries. At its best, AI could improve medical diagnosis, identify potential national security threats more quickly, and solve crimes. But there are also significant concerns—in areas including education, intellectual property, and privacy. 人工知能の台頭は、産業全体に革命をもたらす可能性について、大きな興奮と多くの議論を巻き起こしている。AIは最高の状態で、医療診断を改善し、潜在的な国家安全保障上の脅威をより迅速に特定し、犯罪を解決する可能性がある。しかし、教育、知的財産、プライバシーなどの分野では大きな懸念もある。
Today’s WatchBlog post looks at our recent work on how Generative AI systems (for example, ChatGPT and Bard) and other forms of AI have the potential to provide new capabilities, but require responsible oversight. 本日のWatchBlogでは、生成的AIシステム(例えば、ChatGPTやBard)や他の形態のAIが、どのように新しい能力を提供する可能性があるかについての我々の最近の研究を紹介する。
1_20230920131901
The promise and perils of current AI use 現在のAI利用がもたらす期待と危険
Our recent work has looked at three major areas of AI advancement. 我々の最近の研究では、AIの進歩の3つの主要分野を見てきた。
Generative AI systems can create text (apps like ChatGPT and Bard, for example), images, audio, video, and other content when prompted by a user. These growing capabilities could be used in a variety of fields such as education, government, law, and entertainment. As of early 2023, some emerging generative AI systems had reached more than 100 million users. Advanced chatbots, virtual assistants, and language translation tools are examples of generative AI systems in widespread use. As news headlines indicate, this technology continues to gain global attention for its benefits. But there are concerns too, such as how it could be used to replicate work from authors and artists, generate code for more effective cyberattacks, and even help produce new chemical warfare compounds, among other things. Our recent Spotlight on Generative AI takes a deeper look at how this technology works. 生成的AIシステムは、テキスト(例えばChatGPTやBardのようなアプリ)、画像、音声、動画、その他のコンテンツを、ユーザーに促されるままに作成することができる。こうした能力の向上は、教育、政府、法律、エンターテインメントなど、さまざまな分野で活用される可能性がある。2023年初頭の時点で、いくつかの新興の生成的AIシステムの利用者は1億人を超えている。高度なチャットボット、バーチャルアシスタント、言語翻訳ツールは、広く使われている生成的AIシステムの一例である。ニュースの見出しが示すように、この技術はその利点から世界的に注目を集め続けている。しかし、作家やアーティストの作品を複製したり、より効果的なサイバー攻撃のコードを生成したり、新たな化学兵器化合物の生産に役立てたりするために使用される可能性があるなど、懸念もある。我々の最近のスポットライト「生成的AI」では、この技術がどのように機能するかについて詳しく見ている。
Machine learning is a second application of AI growing in use. This technology is being used in fields that require advanced imagery analysis, from medical diagnostics to military intelligence. In a report last year, we looked at how machine learning was used to assist the medical diagnostic process. It can be used to identify hidden or complex patterns in data, detect diseases earlier and improve treatments. We found that benefits include more consistent analysis of medical data, and increased access to care, particularly for underserved populations.  However, our work looked at limitations and bias in data used to develop AI tools that can reduce their safety and effectiveness and contribute to inequalities for certain patient populations. 機械学習はAIの第二の応用として利用が拡大している。この技術は、医療診断から軍事情報まで、高度な画像分析を必要とする分野で利用されている。昨年のレポートでは、医療診断プロセスを支援するために機械学習がどのように使用されているかを調べた。機械学習は、データの隠れたパターンや複雑なパターンを特定し、病気の早期発見や治療法の改善に利用できる。我々は、医療データの分析がより一貫性を持ち、特に十分なサービスを受けていない人々のケアへのアクセスが増加するなどの利点があることを発見した。 しかし、我々の研究は、AIツールの安全性と有効性を低下させ、特定の患者集団の不平等を助長する可能性のある、AIツールの開発に使用されるデータの限界とバイアスについて調べた。
Facial recognition is another type of AI technology that has shown both promises and perils in its use. Law enforcement—federal, as well as state and local—have used facial recognition technology to support criminal investigations and video surveillance. It is also used at ports of entry to match travelers to their passports. While this technology can be used to identify potential criminals more quickly, or those who may not have been identified without it, our work has also found some concerns with its use. Despite improvements, inaccuracies and bias in some facial recognition systems could result in more frequent misidentification for certain demographics. There are also concerns about whether the technology violates individuals’ personal privacy. 顔認識もまた、AI技術の一種であり、その利用には期待と危険の両面がある。連邦、州、地方の法執行機関は、犯罪捜査やビデオ監視を支援するために顔認識技術を使用してきた。また、入国港で旅行者とパスポートを照合するためにも使われている。この技術は、潜在的な犯罪者や、この技術がなければ識別できなかったかもしれない人物を、より迅速に識別するために使用されることがあるが、我々の調査では、この技術の使用にはいくつかの懸念もあることがわかった。改善されたとはいえ、一部の顔認識システムには不正確さやバイアスがあり、その結果、特定の層で誤認が頻発する可能性がある。また、この技術が個人のプライバシーを侵害するのではないかという懸念もある。
1_20230920152001
Ensuring accountability and mitigating the risks of AI use 説明責任の確保とAI利用のリスク低減
As AI use continues its rapid expansion, how can we mitigate the risks and ensure these systems are working appropriately for all? AIの利用が急速に拡大する中、どのようにリスクを軽減し、これらのシステムがすべての人に適切に機能するようにすればよいのだろうか。
Appropriate oversight will be critical to ensuring AI technologies remain effective, and keep our data safeguarded. We developed an AI Accountability Framework to help Congress address the complexities, risks, and societal consequences of emerging AI technologies. Our framework lays out key practices to help ensure accountability and responsible AI use by federal agencies and other entities involved in the design, development, deployment, and continuous monitoring of AI systems. It is built around four principles—governance, data, performance, and monitoring—which provide structures and processes to manage, operate, and oversee the implementation of AI systems. AI技術が効果的であり続け、我々のデータが保護され続けるためには、適切な監視が不可欠である。我々は、議会が新たなAI技術の複雑性、リスク、社会的影響に対処するのを支援するため、AI説明責任フレームワークを開発した。我々のフレームワークは、AIシステムの設計、開発、配備、継続的モニタリングに関わる連邦政府機関やその他の事業体による説明責任と責任あるAI利用を確保するための主要な実践方法を示している。ガバナンス、データ、パフォーマンス、モニタリングという4つの原則を中心に構築されており、AIシステムの導入を管理、運用、監督するための仕組みとプロセスを提供する。
AI technologies have enormous potential for good, but much of their power comes from their ability to outperform human abilities and comprehension. From commercial products to strategic competition among world powers, AI is poised to have a dramatic influence on both daily life and global events. This makes accountability critical to its application, and the framework can be employed to ensure that humans run the system—not the other way around. AIテクノロジーは善のために莫大な可能性を秘めているが、そのパワーの多くは、人間の能力や理解力を凌駕する能力に由来する。商業製品から世界大国間の戦略的競争まで、AIは日常生活と世界的出来事の両方に劇的な影響を及ぼす態勢を整えている。そのため、AIの応用にはアカウンタビリティが不可欠であり、このフレームワークは、人間がシステムを動かすのではなく、その逆を確実にするために採用することができる。

 

 

 


 

 

 まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.15 米国 GAO 科学技術スポットライト:生成的AI

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.07.10 米国 GAO 顔認識技術:連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

・2020.12.02 U.S. GAO 医療における人工知能:患者ケアを強化する技術の利点と課題

 

 

| | Comments (0)

OECD 通信インフラのセキュリティの強化 (2023.09.13)

こんにちは、丸山満彦です。

OECDが通信インフラのセキュリティの強化についての報告書を公表していますね。。。

 

OECD

・2023.09.13 Enhancing the security of communication infrastructure

Enhancing the security of communication infrastructure 通信インフラのセキュリティを強化する
The digital security of communication networks is crucial to the functioning of our societies. Four trends are shaping networks, raising digital security implications: i) the increasing criticality of communication networks, ii) increased virtualisation of networks and use of cloud services, iii) a shift towards more openness in networks and iv) the role of artificial intelligence in networks. These trends bring benefits and challenges to digital security. While digital security ultimately depends on the decisions made by private actors (e.g. network operators and their suppliers), the report underlines the role governments can play to enhance the digital security of communication networks. It outlines key policy objectives and actions governments can take to incentivise the adoption of best practices and support stakeholders to reach an optimal level of digital security, ranging from light-touch to more interventionist approaches. 通信ネットワークのデジタル・セキュリティは、社会の機能にとって極めて重要である。i) 通信ネットワークの重要性の増大、ii) ネットワークの仮想化とクラウドサービスの利用拡大、iii) ネットワークのオープン化へのシフト、iv) ネットワークにおける人工知能の役割。これらのトレンドは、デジタル・セキュリティに利益と課題をもたらす。デジタル・セキュリティは、最終的には民間事業者(ネットワーク事業者やそのサプライヤーなど)の意思決定に依存するが、本報告書では、通信ネットワークのデジタル・セキュリティを強化するために政府が果たせる役割を強調している。本報告書では、ベストプラクティスの導入にインセンティブを与え、関係者が最適なデジタル・セキュリティ・レベルに到達できるよう支援するために政府が取り得る主な政策目標と行動を、ライトタッチからより介入的なアプローチまで幅広く概説している。

 

・[PDF]

20230920-100509

・[DOCX] 仮訳

 

目次...

Foreword 序文
Executive summary 要旨
Enhancing the security of communication infrastructure 通信インフラのセキュリティ強化
Introduction はじめに
Scope スコープ
Digital security of communication networks 通信ネットワークのデジタル・セキュリティ
A brief description of communication networks 通信ネットワークの簡単な説明
Trends in communication networks impacting digital security risk デジタル・セキュリティ・リスクに影響を与える通信ネットワークの動向
Increasing criticality of communication networks 高まる通信ネットワークの重要性
Virtualisation of networks and the integration of cloud services ネットワークの仮想化とクラウドサービスの統合
Towards more openness in networks ネットワークのオープン化に向けて
Artificial Intelligence (AI) in communication networks 通信ネットワークにおける人工知能(AI)
Cross-cutting overview of security implications 安全保障への影響を横断的に概観する
Main security benefits: a potential for increased transparency, automation and supply chain diversification 主な安全保障上のメリット:透明性の向上、自動化、サプライチェーンの多様化の可能性
High-level challenges: a shift in scale, scope and speed 高レベルの課題:規模、範囲、スピードの変化
Policy discussion 政策討議
Policy objectives 政策目標
Policy actions and country initiatives around the OECD OECD周辺の政策措置と各国の取り組み
Concluding remarks 結びの言葉
Annex 1. Open Source Software in communication networks 附属書 1.通信ネットワークにおけるオープンソースソフトウェア
Annex 2. Open RAN initiatives in OECD countries 附属書 2.OECD諸国におけるオープンRANの取り組み
Annex 3. Selection of legal requirements for the digital security of communication networks 附属書 3.通信ネットワークのデジタル・セキュリティに関する法的要件の選択
References 参考文献

 

エグゼクティブサマリー...

Executive summary  要旨 
Communication networks are the foundation of the digital transformation. Given their crucial role, digital security and resilience have become a priority for policy makers across the OECD to ensure the functioning of our digitally dependent economies and societies and strengthen trust in the ongoing digital transformation. However, cyberattacks on these networks are on the rise and increasingly sophisticated. At the same time, communication networks are undergoing significant changes and are being upgraded to new technological standards (e.g. 5G and 6G), which, in turn, impact their security.   通信ネットワークはデジタルトランスフォーメーションの基盤である。その重要な役割を踏まえ、デジタルに依存する経済社会の機能を確保し、進行中のデジタル変革に対する信頼を強化するため、デジタル・セキュリティとレジリエンスはOECD全体の政策決定者にとって優先事項となっている。しかし、こうしたネットワークに対するサイバー攻撃は増加傾向にあるます巧妙になっている。同時に、通信ネットワークは大きな変化を遂げ、新たな技術標準(5Gや6Gなど)に更新されつつあり、その結果、セキュリティにも影響を及ぼしている。  
This report considers four trends that are shaping and changing communication networks and the digital security implications these raise:  本報告書では、通信ネットワークを形成・変化させつつある4つのトレンドと、それらがデジタル・セキュリティに与える影響について考察する: 
•       The increasing criticality of and reliance on communication networks by the economy and society, which is changing the context of digital security of communication networks.   •       経済社会における通信ネットワークの重要性と依存度の高まりは、通信ネットワークのデジタル・セキュリティの文脈を変えつつある。  
•       An increased virtualisation of networks and a more important use of cloud services.   •       ネットワークの仮想化が進み、クラウドサービスの利用がより重要になる。  
•       A shift towards more openness in networks, including open radio access network (RAN).   •       オープンな無線アクセス・ネットワーク(RAN)を含む、ネットワークのオープン化へのシフト。  
•       The role of artificial intelligence in communication networks.   •       通信ネットワークにおける人工知能の役割。  
Each of these trends is shaping communication networks and, therefore, prompts questions on their implications on digital security.  これらのトレンドはそれぞれ通信ネットワークを形成しているため、デジタル・セキュリティーにどのような影響を与えるのか疑問が残る。 
On the one hand, these trends benefit digital security risk management of communication infrastructure. They can help improve network visibility and management, enable network segmentation and isolation, allocate security resources more effectively, and automate the early detection of malware and malicious activity. Increased transparency and reduced dependencies on certain suppliers are additional possible benefits to digital security, driven by the shift towards more openness.   一方では、これらのトレンドは通信インフラのデジタル・セキュリティ・リスク管理に有益である。ネットワークの可視性と管理の向上、ネットワークのセグメンテーションと分離の実現、セキュリティ・リソースの効果的な割り当て、マルウェアや悪意のある活動の早期検出の自動化などに役立つ。透明性の向上や特定のサプライヤーへの依存度の低減も、オープン化へのシフトによってデジタル・セキュリティにもたらされる可能性のあるメリットである。  
However, these trends also challenge digital security risk management in communication infrastructure. Overall, they result in:  しかし、こうした傾向は、通信インフラにおけるデジタル・セキュリティ・リスク管理の課題にもなっている。全体として、以下のような結果となっている: 
•       An expanding attack surface (i.e. the set of points of an information system that are potentially vulnerable to an attack). Since the architecture of communication networks is increasingly complex, and because networks are increasingly software-defined, cloud-based and virtualised, they contain more software vulnerabilities that can be exploited.  •       拡大する攻撃対象領域(情報システムにおいて潜在的に攻撃を受けやすいポイントの集合)。通信ネットワークのアーキテクチャはますます複雑化し、ネットワークはますますソフトウェアで定義され、クラウドベースになり、仮想化されているため、悪用される可能性のあるソフトウェアの脆弱性がより多く含まれている。 
•       A broader and more complex supply chain. Some of the technological advancements outlined in the trends tend to increase the dependency of network operators on some of their suppliers and to redistribute control and responsibility for the management of digital security risk along the entire value chain. These suppliers include providers of telecommunication equipment, as well as providers of cloud, components, servers and managed services, which are likely to play an increasingly important role in the digital security of communication networks. The communication infrastructure supply chain is often complex, which makes the allocation of responsibility in case of a digital security incident even more difficult.  •       より広範で複雑なサプライチェーン。トレンドで説明した技術的進歩の中には、ネットワーク事業者の一部のサプライヤーへの依存度を高め、バリューチェーン全体にわたってデジタル・セキュリティ・リスクの管理に対する統制と責任を再分配する傾向があるものもある。こうしたサプライヤーには、通信機器のプロバイダーだけでなく、クラウド、コンポーネント、サーバー、マネージド・サービスのプロバイダーも含まれ、通信ネットワークのデジタル・セキュリティにおいてますます重要な役割を果たすようになると考えられる。通信インフラのサプライチェーンは複雑であることが多いため、デジタル・セキュリティ・インシデントが発生した場合の責任分担はさらに難しくなる。 
•       An aggravating threat landscape, driven in part by the commoditisation of attacks (e.g., “ransomware-as-a-service”) and the increasing sophistication of State-sponsored and other threat actors. Against this backdrop, malicious actors’ motivation to breach communication networks’ availability, integrity or confidentiality is significantly increasing as communication networks become increasingly critical.   •       攻撃のコモディティ化(例:「ランサムウェア・アズ・ア・サービス」)や、国家やその他の脅威行為者の巧妙化などにより、脅威の状況は悪化の一途をたどっている。このような背景から、通信ネットワークの可用性、完全性、機密性を侵害しようとする悪意のある行為者の動機は、通信ネットワークの重要性が増すにつれて著しく高まっている。  
The paradox facing governments is that while communication networks are increasingly considered critical infrastructure, their digital security ultimately depends upon decisions made by third parties, namely network operators and their suppliers. Nevertheless, governments do have a clear role to play to incentivise the adoption of digital security best practices and to support an enabling environment that empowers stakeholders to reach an optimal level of digital security. This can be fostered through the following policy objectives:  政府が直面しているパラドックスは、通信ネットワークがますます重要なインフラと見なされるようになっている一方で、そのデジタル・セキュリティは最終的に第三者、すなわちネットワーク事業者とその供給業者の意思決定に依存しているということである。とはいえ、政府には、デジタル・セキュリティのベスト・プラクティスを導入するインセンティブを与え、利害関係者がデジタル・セキュリティの最適なレベルに到達できるような環境を支援するという明確な役割がある。これは、以下の政策目標を通じて促進することができる: 
•       First, adopting a holistic and strategic approach towards enhancing the digital security of communication infrastructure, which i) considers the entire lifecycle of products and services on which operators rely, ii) gathers all relevant stakeholders and iii) is co-ordinated across the whole government and at the international level. Importantly, co-ordination across governmental agencies and a clear definition of responsibility and/or mandates between them are essential.   •       第一に、通信インフラのデジタル・セキュリティ強化に向けた全体的かつ戦略的なアプローチを採用することである。このアプローチは、i) 事業者が依存する製品やサービスのライフサイクル全体を考慮し、ii) 関連するすべての利害関係者を集め、iii) 政府全体および国際レベルで調整される。重要なことは、政府機関間の調整と、政府機関間の責任や権限の明確な定義が不可欠であるということである。  
•       Second, incentivising network operators to enhance digital security and adopt comprehensive risk management frameworks (i.e., risk assessment and risk treatment) and encouraging them to explore more advanced security approaches, such as the “zero trust” model.   •       第二に、ネットワーク事業者がデジタル・セキュリティを強化し、包括的なリスク管理の枠組み(すなわち、リスク評価とリスク処理)を採用するインセンティブを与え、「ゼロトラスト」モデルなど、より高度なセキュリティ・アプローチを模索するよう促すことである。  
•       Third, addressing supply chain digital security risk by incentivising suppliers to improve supply chain transparency (e.g. through enhanced traceability of components and digital security certification) and supporting diversification within information and communication technology and services supply chains.   •       第三に、サプライチェーンの透明性向上(部品のトレーサビリティ強化やデジタルセキュリティ認証の取得など)や、情報通信技術・サービスのサプライチェーンにおける多様化を支援することにより、サプライチェーンのデジ タルセキュリティ・リスクに対処する。  
These three objectives can help structure public policy interventions to improve the digital security of communication infrastructure. Governments can apply several policy actions to address the cross-cutting challenges and uphold policy objectives, ranging from light-touch to more interventionist approaches: voluntary frameworks and guidance, multistakeholder initiatives and funding research, third-party evaluation and certification, public procurement, and legal requirements. These actions can be shaped as needed to carefully address the cross-cutting challenges in terms of scope, scale and speed of cyberattacks. OECD countries have introduced policy initiatives spanning these policy actions, from voluntary frameworks to legal requirements on digital security. However, digital security is an ever-moving target that requires constant re-evaluation, both regarding the best practices available for private stakeholders to implement as well as the structure and objective of public policies to create the enabling environment to incentivise the adoption of best practices by private stakeholders.  これら3つの目的は、通信インフラのデジタル・セキュリティを向上させるための公共政策の介入を構成するのに役立つ。政府は、横断的な課題に対処し、政策目標を堅持するために、自主的な枠組みやガイダンス、マルチステークホルダー・イニシアティブ、研究への資金提供、第三者による評価と認証、公共調達、法的要件など、軽いタッチからより介入的なアプローチまで、いくつかの政策行動を適用することができる。これらの措置は、サイバー攻撃の範囲、規模、スピードといった横断的な課題に注意深く対処するために、必要に応じて形成することができる。OECD加盟国は、自主的な枠組みからデジタルセキュリティに関する法的要件まで、これらの政策行動にまたがる政策イニシアチブを導入している。しかし、デジタル・セキュリティは常に動き続ける目標であり、民間の利害関係者が実施可能なベスト・プラクティスだけでなく、民間の利害関係者によるベスト・プラクティスの採用にインセンティブを与える環境を整備するための公共政策の構造や目的についても、常に再評価が必要である。 

 

 

| | Comments (0)

ENISA 2030の脅威の展望 (2023.09.13)

こんにちは、丸山満彦です。

ENISAが、2030のサイバー脅威を展望する報告書の要約書を公表していますね。。。2023.03.29に公表された報告書の要約ですね。。。

 

⚫︎ ENISA

・2023.09.13 Foresight 2030 Threats

・[PDF]

20230920-41501

 

EXECUTIVE DIRECTOR FOREWORD エグゼクティブ・ディレクター まえがき
The cybersecurity threat landscape is a complex ecosystem of threats, threats actors and attack techniques that are also subject to the influence of world events such as pandemics and geopolitics. The best knowledge, and tools we have at hand today to reduce the impact of cyber threats might not fit tomorrow’s threat landscape. サイバーセキュリティの脅威の状況は、脅威、脅威行為者、攻撃手法の複雑なエコシステムであり、パンデミックや地政学などの世界的な出来事の影響も受ける。サイバー脅威の影響を軽減するために今日我々が手にしている最善の知識やツールは、明日の脅威の状況に適合しないかもしれない。
Can we foresee the full extent of the potential use or abuse of our current technological developments? 私たちは、現在の技術開発の潜在的な利用や悪用の全容を予見することができるのだろうか?
Even if we still cannot predict the future, we have the duty to anticipate emerging trends and patterns.  たとえ未来を予測できないとしても、私たちには新たなトレンドやパターンを予測する義務がある。
In 2021, ENISA developed a cybersecurity foresight methodological framework grounded in foresight research and future studies.  The framework was first used in 2022 to devise future scenarios and identify threats and challenges likely to emerge by 2030. This methodology was produced in cooperation with the wider cybersecurity community. 2021年、ENISAは先見研究と未来研究に基づくサイバーセキュリティの先見性の方法論的枠組みを開発した。 このフレームワークは2022年に初めて使用され、将来のシナリオを考案し、2030年までに出現しそうな脅威と課題を特定した。この方法論は、より広範なサイバーセキュリティ・コミュニティと協力して作成された。
This booklet summarises upcoming challenges and provides for an assessment of the risks. We are now ready to design the cyber secure future ahead of us.  この小冊子は、今後の課題を要約し、リスクのアセスメントを提供するものである。我々は今、サイバーセキュアな未来を設計する準備が整った。
Juhan Lepassaar Executive Director ユーハン・レパサール エグゼクティブ・ディレクター
Reference to the report page:   報告書のページを参照する:  
[web] [web]
1. SUPPLY CHAIN COMPROMISE OF SOFTWARE DEPENDENCIES 1. ソフトウェア依存のサプライチェーン侵害
WHAT IF… もしも...
State-sponsored actors insert a backdoor in a well-known and popular open-source library on online code repository. They use this to infiltrate information from most major European corporations and use the information to blackmail leaders, espionage, or otherwise initiate disruptions across the EU. 国家に支援されたアクターが、オンラインコードリポジトリ上の有名で人気のあるオープンソースライブラリにバックドアを挿入する。彼らはこれを利用して、欧州のほとんどの大企業の情報に侵入し、その情報を使ってリーダーを脅迫したり、スパイ活動を行ったり、あるいはEU全域に混乱を引き起こす。
More integrated components and services from third party suppliers and partners could lead to novel and unforeseen vulnerabilities with compromises on the supplier and customer side. サードパーティーのサプライヤーやパートナーから提供されるコンポーネントやサービスがさらに統合されれば、サプライヤー側と顧客側で危殆化し、斬新で予期せぬ脆弱性につながる可能性がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored groups, criminal organisations 国家支援グループ、犯罪組織
POTENTIAL METHODS  潜在的手法 
Sabotage, theft, network reconnaissance, malicious code, abuse of information leakage 妨害工作、窃盗、ネットワーク偵察、悪質コード、情報漏洩の悪用
POTENTIAL IMPACTS  潜在的影響 
Disruption, malfunction, data loss, data leakage 混乱、故障、データ損失、データ漏洩
2. ADVANCED DISINFORMATION CAMPAIGNS  2. 高度な偽情報キャンペーン 
WHAT IF… もし...
A state-sponsored actor may impersonate a political rival by using deepfakes and spoofing the candidate’s digital identity, significantly impacting election results. 国家に支援されたアクターが、ディープフェイクを使用し、候補者のデジタル・アイデンティティを詐称することで、政敵になりすまし、選挙結果に大きな影響を与える可能性がある。
Deepfake attacks can manipulate communities for (geo) political reasons and for monetary gain. ディープフェイク攻撃は、(地理的)政治的理由や金銭的利益のためにコミュニティを操作することができる。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored groups, criminal organisations, hackitvists 国家支援グループ、犯罪組織、ハクティビスト
POTENTIAL METHODS  潜在的手法 
Fraud, unauthorised access, session hijacking, identity theft, abuse of personal data 詐欺、不正アクセス、セッションハイジャック、なりすまし、個人データの悪用
POTENTIAL IMPACTS  潜在的影響 
Distrust, disinformation, financial damage, foreign information manipulation and interference (FIMI) 不信、偽情報、金銭的被害、外国による情報操作・妨害(FIMI)
3. RISE OF DIGITAL SURVEILLANCE AUTHORITARIANISM / LOSS OF PRIVACY 3. デジタル監視の権威主義の台頭/プライバシーの喪失
WHAT IF… もし...
An authoritarian regime uses their power to retrieve databases of information about individuals who have visited their country, participated in anti-government protests, put them on a watch list, from both public and private entities. They track all those who and subsequently are able to manipulate those individuals’ access to national services like voting, visits to their healthcare providers, or access to other online services.  権威主義政権が権力を行使して、自国を訪問した個人、反政府デモに参加した個人、監視リストに登録された個人に関する情報を、公的・私的事業体の両方からデータベース化する。そして、投票、医療プロバイダへの訪問、その他のオンラインサービスへのアクセスといった国家サービスへのアクセスを操作することができる。
Facial recognition, digital surveillance on internet platforms or digital identities data stores may become a target for criminal groups. 顔認識、インターネット・プラットフォーム上のデジタル監視、デジタル・アイデンティティ・データ・ストアは、犯罪集団の標的になる可能性がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored groups, criminal organisations 国家支援グループ、犯罪組織
POTENTIAL METHODS  潜在的手法 
Man in the middle, malicious software, use of rogue certificates, abuse of personal data 中間者、悪意のあるソフトウェア、不正な証明書の使用、個人データの悪用
POTENTIAL IMPACTS  潜在的影響 
Privacy breaches, human rights abuses プライバシー侵害、人権侵害
4. HUMAN ERROR AND EXPLOITED LEGACY SYSTEMS WITHIN CYBER PHYSICAL ECOSYSTEMS  4. サイバーフィジカル・エコシステム内のヒューマンエラーと悪用されたレガシーシステム 
WHAT IF… もしも...
Manuals for all legacy OT equipment are available online and studied primarily by state-sponsored groups. Once a vulnerability is found, they target user devices or other IoT products used at the plant. Cyber criminals begin a new form of ransomware in which they bring down important infrastructure and demand payment, given that the operator likely lacks the resources to solve the issue themselves. すべてのレガシーOT機器のマニュアルがオンラインで入手可能で、主に国家支援グループによって研究されている。脆弱性が発見されると、工場で使用されているユーザー機器や他のIoT製品を標的にする。サイバー犯罪者は、重要なインフラをダウンさせ、オペレータが自分で問題を解決するリソースがない可能性が高いことを理由に、支払いを要求する新しい形のランサムウェアを始める。
The fast adoption of IoT, the need to retrofit legacy systems and the ongoing skill shortage could lead to a lack of knowledge, training and understanding of the cyberphysical ecosystem, which can lead to security issues. IoTの急速な普及、レガシーシステムの改修の必要性、継続的なスキル不足は、サイバーフィジカルエコシステムに関する知識、トレーニング、理解の不足につながり、セキュリティ問題に発展する可能性がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored groups, cyber criminals, hacktivists 国家支援グループ、サイバー犯罪者、ハクティビスト
POTENTIAL METHODS  潜在的手法 
Tampering, failure of communication links, denial of service, malicious activity, manipulation of information, targeted attacks, brute force, unauthorised physical access 改ざん、通信回線の障害、サービス拒否、悪意ある活動、情報操作、標的型攻撃、総当たり攻撃、無許可の物理的アクセス
POTENTIAL IMPACTS  潜在的影響 
Malfunction, failures and outages, physical damage 誤動作、故障、停止、物理的損害
5. TARGETED ATTACKS (E.G. RANSOMWARE) ENHANCED BY SMART DEVICE DATA 5. スマートデバイスのデータによって強化される標的型攻撃(ランサムウェアなど)
WHAT IF… もしも...
Cybercriminals may use the increased amount of available data from smart devices and analyse it with AI to create behavioral models of their victims for spear phishing campaigns or stalking. サイバー犯罪者は、スマートデバイスから得られる利用可能なデータ量の増加を利用し、それをAIで分析して被害者の行動モデルを作成し、スピアフィッシングキャンペーンやストーキングを行う可能性がある。
Through data obtained from internet-connected smart devices, attackers can access information for tailored and more sophisticated attacks. インターネットに接続されたスマートデバイスから得られるデータを通じて、攻撃者は、カスタマイズされたより高度な攻撃のための情報にアクセスすることができる。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
Cybercrime actors, hackers-for-hire サイバー犯罪関係者、雇われハッカー
POTENTIAL METHODS  潜在的手法 
Denial of service, interception of information, social engineering, unauthorised activities, data breach サービス拒否、情報傍受、ソーシャル・エンジニアリング、不正行為、データ侵害
POTENTIAL IMPACTS  潜在的影響 
Financial damage, privacy breaches 金銭的被害、プライバシー侵害
6. LACK OF ANALYSIS AND CONTROL OF SPACEBASED INFRASTRUCTURE AND OBJECTS 6. 宇宙を拠点とするインフラや物体の分析と制御の欠如
WHAT IF… もし...
State-sponsored attackers access space infrastructure, build up presence to execute attacks. Their aim may be to create infrastructure their capabilities and knowledge of the technology, and secure their malfunctions as a statecraft tool to sabotage other governments or commercial space operations and systems during geopolitical conflicts. 国家に支援された攻撃者が宇宙インフラにアクセスし、攻撃を実行するためのプレゼンスを構築する。彼らの狙いは、地政学的な対立の中で、他国政府や民間企業の宇宙事業やシステムを妨害するための国家工作ツールとして、その能力や技術に関する知識をインフラに蓄積し、その機能不全を確保することかもしれない。
Due to the intersections between private and public infrastructure in space, the security of these new infrastructures and technologies need to be investigated as a lack of understanding, analysis and control of space-based infrastructure can make it vulnerable to attacks and outages. 宇宙における私的インフラと公的インフラが交錯しているため、宇宙ベースのインフラに対する理解、分析、管理の欠如が攻撃や機能停止に対する脆弱性を生む可能性があるため、これらの新しいインフラや技術の安全性を調査する必要がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored actors, cybercrime actors, hackers-for-hire 国家に支援されたアクター、サイバー犯罪アクター、雇われハッカー
POTENTIAL METHODS  潜在的手法 
Unauthorised use of IPR protected resources, targeted attacks, fraud, sabotage, information leakage, session hijacking, malicious software 知的財産権で保護されたリソースの不正使用、標的型攻撃、詐欺、妨害行為、情報漏洩、セッションハイジャック、悪意のあるソフトウェア
POTENTIAL IMPACTS  潜在的影響 
Damage, outages, malfunctions 損害、停止、不具合
7. RISE OF ADVANCED HYBRID THREATS 7. 高度なハイブリッド型脅威の台頭
WHAT IF… もし...
Hackers are hired by a corporation to investigate the new technology being developed by a competitor. In their quest, they are able to retrieve metadata, view code, and set up a machine learning algorithm that continuously collects changes to the code and then continuously accesses user account to prevent monitoring systems from recognising that the attacker is in the network. In parallel they obfuscate the activity by spreading fake news about insider trading and industrial espionage from a third competitor by dropping fake evidence of physical intrusion. ハッカーが企業に雇われ、競合他社が開発中の新技術を調査する。その調査において、彼らはメタデータを取得し、コードを閲覧し、コードへの変更を継続的に収集する機械学習アルゴリズムをセットアップすることができ、監視システムが攻撃者がネットワーク内にいることを認識できないように、ユーザーアカウントに継続的にアクセスする。並行して、物理的な侵入の偽の証拠を投下することで、インサイダー取引や第三の競争相手からの産業スパイに関する偽ニュースを拡散し、活動を難読化する。
Physical or offline attacks are evolving and becoming often combined with cyberattacks due to the increase of smart devices, cloud usage, online identities and social platforms. 物理的またはオフラインの攻撃は進化しており、スマートデバイス、クラウド利用、オンラインID、ソーシャルプラットフォームの増加により、サイバー攻撃と組み合わされることが多くなっている。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored actors, hackers-for-hire, cyber criminals 国家に支援された行為者、雇われハッカー、サイバー犯罪者
POTENTIAL METHODS  潜在的手法 
Unauthorised access, social engineering, abuse of personal data, remote command execution, malicious activity 不正アクセス、ソーシャルエンジニアリング、個人データの悪用、リモートコマンド実行、悪意のある活動
POTENTIAL IMPACTS  潜在的影響 
Privacy breaches, outages, failures/malfunctions プライバシー侵害、機能停止、故障/誤動作
8. SKILL SHORTAGES 8. スキル不足
WHAT IF… もし...
The skill shortage leads to an increase of online job advertisements that tell attackers the technologies that each organisation is using and the approximate number of empty positions. A state-sponsored actor may use this to their advantage as a part of a larger campaign to tamper with critical infrastructure in another country. スキル不足により、攻撃者に各組織が使用している技術や、おおよその空席数を伝えるオンライン求人広告が増加する。国家の支援を受けた攻撃者が、他国の重要インフラを改ざんする大規模なキャンペーンの一環として、これを利用する可能性がある。
Lack of capacities and competencies could see cybercriminal groups target organisations with the largest skills gap and the least maturity. 能力やコンピテンシーが不足しているため、サイバー犯罪グループは、スキルのギャップが最も大きく、成熟度が最も低い組織を標的にする可能性がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
Cybercrime actors, hackers-for-hire, state-sponsored actors サイバー犯罪行為者、雇われハッカー、国家に支援された行為者
POTENTIAL METHODS  潜在的手法 
Spear phishing attacks, social engineering スピアフィッシング攻撃、ソーシャルエンジニアリング
POTENTIAL IMPACTS  潜在的影響 
Financial damage, outages 金銭的被害、障害
9. CROSS-BORDER ICT SERVICE PROVIDERS AS A SINGLE POINT OF FAILURE  9. 単一障害点としての国境を越えたICTサービスプロバイダ 
WHAT IF… もし...
A state-sponsored actor aims to temporarily cripple a region during an active conflict by installing malware that disrupts all critical functions of the ICT provider. Without operational cities, roadways, and communication channels, the region is essentially crippled without the ability for civilians to go about their daily lives and the responsible parties limited in their ability to maintain defense monitoring systems and to collaborate to develop response options and methods for bringing the necessary systems back online.   国家に支援された行為者が、ICTプロバイダのすべての重要な機能を停止させるマルウェアをインストールすることで、活発な紛争中に一時的に地域を機能不全に陥れることを狙う。運用可能な都市、道路、コミュニケーション・チャネルがなければ、その地域は実質的に機能不全に陥り、市民は日常生活を送ることができなくなる。また、責任者は防衛監視システムを維持し、必要なシステムをオンラインに戻すための対応オプションや方法を共同で開発する能力が制限される。 
ICT sector connecting critical services such as transport, electric grids and industry that provide services across borders are likely be to targeted by techniques such as backdoors, physical manipulation, and denials of service and weaponised during a future potential conflict. 輸送、電力網、国境を越えてサービスを提供する産業など、重要なサービスをつなぐICTセクターは、バックドア、物理的操作、サービス拒否などの技術によって標的にされ、将来の潜在的紛争時に武器化される可能性が高い。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored actors, hackers-for-hire 国家に支援されたアクター、雇われハッカー
POTENTIAL METHODS  潜在的手法 
Fraud, theft, corruption, terrorist attack, network traffic manipulation, manipulation of hardware or software, abuse of authorisations 詐欺、窃盗、汚職、テロ攻撃、ネットワークトラフィックの操作、ハードウェアやソフトウェアの操作、権限の乱用
POTENTIAL IMPACTS  潜在的影響 
Outages, damage/loss, unavailable critical infrastructure 障害、損害/損失、重要インフラの利用不能
10. ARTIFICIAL INTELLIGENCE ABUSE 10. AIの悪用
WHAT IF… もし...
A state-sponsored actor wants to sow discord in a population before an election and manipulates the learning data of a law enforcement algorithm to target specific populations, causing widespread protests political opponents themselves by using an AI analysis of the individuals’ and violence. They are also able to deduct information about the whereabouts, health history, and voting history – the correlation of such personal data will likely only be feasible with the use of AI tools. 国家に支援された行為者が、選挙前に住民に不和の種をまきたいと考え、法執行アルゴリズムの学習データを操作して特定の集団を標的にし、個人のAI分析を利用して政治的反対者自身に広範な抗議を引き起こし、暴力を振るう。彼らはまた、居場所、健康履歴、投票履歴に関する情報を差し引くことができる。このような個人データの相関関係は、おそらくAIツールの使用でしか実現できないだろう。
Manipulation of AI algorithms and training data can be used to enhance nefarious activities such as the creation of disinformation and fake content, bias exploitation, collecting biometrics and other sensitive data, military robots and data poisoning. AIアルゴリズムや訓練データの操作は、偽情報や偽コンテンツの作成、バイアスの搾取、生体データやその他の機密データの収集、軍事ロボットやデータポイズニングといった悪質な活動を強化するために利用できる。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored actors, cyber criminals, hackers-for-hire 国家に支援された行為者、サイバー犯罪者、雇われハッカー
POTENTIAL METHODS  潜在的手法 
Spoofing, denial of service, malicious code, unauthorised access, targeted attacks, misuse of information, man in the middle attack なりすまし、サービス妨害、悪質コード、不正アクセス、標的型攻撃、情報の悪用、中間者攻撃
POTENTIAL IMPACTS  潜在的影響 
Biased decision-making, privacy violations, foreign information manipulation and interference (FIMI) 偏った意思決定、プライバシー侵害、外国人による情報操作と干渉(FIMI)
2030 TOP THREATS CONTINUED 2030年トップレベルの脅威 続き
11. INCREASED DIGITAL CURRENCY-ENABLED CYBERCRIME 11. デジタル通貨を利用したサイバー犯罪の増加
By 2030, digital currency-enabled cybercrime will increase rapidly. Cryptocurrencies, and the broad market adoption of them, already have enabled organised crime to expand their reach. Because digital currencies will be very commonly used as an investment asset and means of payment in European markets, organised crime may be able to expand their targets. This means that cybercrime groups offering professional services (cyber-attacks) will be better funded because of an increase in the efficiency and effectiveness of their efforts.   2030年までに、デジタル通貨を利用したサイバー犯罪が急増する。暗号通貨とその広範な市場導入は、すでに組織犯罪の勢力拡大を可能にしている。デジタル通貨は欧州市場で投資資産や決済手段としてごく一般的に使用されるようになるため、組織犯罪はターゲットを拡大できる可能性がある。つまり、専門的なサービス(サイバー攻撃)を提供するサイバー犯罪グループは、その努力の効率と効果が高まるため、より良い資金を得ることができるようになる。 
12. EXPLOITATION OF E-HEALTH (AND GENETIC) DATA 12. eヘルス(および遺伝子)データの悪用
The amount of genetic and health data increases tremendously by 2030 and is in the hands of many stakeholders in the public and private sectors. Vulnerabilities in e-health devices and databases containing very sensitive and/or genetic information may be exploited or used by criminals to target individuals or by governments to control populations, e.g., using diseases and genetic diversity as a reason for discriminating against individuals. Genetic data may further be abused to aid law enforcement activities like predictive policing or to support a more regimented social credit system.   遺伝子データや健康データは2030年までに途方もなく増加し、官民の多くの利害関係者の手に渡る。非常にセンシティブかつ/または遺伝的な情報を含むe-ヘルス機器やデータベースの脆弱性が悪用されたり、犯罪者が個人を標的にしたり、政府が個人を差別する理由として病気や遺伝的多様性を利用するなど、集団をコントロールするために利用されたりする可能性がある。遺伝子データはさらに、予測的取り締まりのような法執行活動を支援するためや、より統制された社会的信用システムを支援するために悪用されるかもしれない。 
13. TAMPERING WITH DEEPFAKE VERIFICATION SOFTWARE SUPPLY CHAIN 13. ディープフェイク検証ソフトウェアのサプライチェーンの改ざん
By 2030, deepfake technology will be widely used. It may be used as a form of harassment, evidence tampering, and provoking social unrest. Although there will likely be a rapid influx of verification software that analyses videos and voice to verify the identity of individuals , the urgent market demand leads to programmers cutting corners. This software will be highly targeted by anyone wishing to use deepfakes for illegal or unethical purposes. 2030年までに、ディープフェイク技術は広く使われるようになるだろう。嫌がらせ、証拠改ざん、社会不安の誘発といった形で利用されるかもしれない。動画や音声を分析し、個人の身元を確認する検証ソフトウェアが急速に普及するだろうが、市場の需要が急増しているため、プログラマーは手抜きをするようになる。このソフトウェアは、違法または非倫理的な目的のためにディープフェイクを利用しようとする人々から強く狙われることになるだろう。
14. ATTACKS USING QUANTUM COMPUTING 14. 量子コンピューティングを利用した攻撃
In 2030 quantum computing resources will be made more widely available, allowing threat actors to use quantum computing to attack existing deployments of public key cryptography. Likewise, there is a risk that threat actors collect sensitive encrypted data now, aiming to decrypt it once quantum computing is accessible. This is especially relevant for current digital IDs that use asymmetric cryptography to authenticate. 2030年には量子コンピューティング資源がより広く利用できるようになり、脅威行為者が量子コンピューティングを利用して既存の公開鍵暗号を攻撃できるようになる。同様に、脅威行為者が暗号化された機密データを収集し、量子コンピューティングが利用可能になった時点で復号化を狙うリスクもある。これは特に、本人認証に非対称暗号を使用している現在のデジタルIDに関連している。
15. EXPLOITATION OF UNPATCHED AND OUT-OFDATE SYSTEMS WITHIN THE OVERWHELMED CROSSSECTOR TECH ECOSYSTEM  15. 圧倒的なクロスセクター技術エコシステムの中での、パッチ未適用や最新でないシステムの悪用
Everything-as-a-service leads to a multitude of tools and services that require frequent updates and maintenance by both consumers and providers. This combined with the skill shortage presents a difficult to manage surface of vulnerabilities that can be exploited by threat actors. Furthermore, the complexity of the supply chain fosters confusion on where responsibilities for security lie. For governments, this creates more backdoors for espionage while cyber-criminals can exploit the unpatched and outdated services for financial gains. This is especially true when critical infrastructure is in the hands of the private sector or when national security data is reliant on singular private entities.  あらゆるものがサービス化されることで、消費者とプロバイダの両方が頻繁な更新と保守を必要とするツールやサービスが多数存在することになる。これがスキル不足と組み合わさることで、脅威行為者に悪用される可能性のある脆弱性の管理は難しくなる。さらに、サプライチェーンの複雑さは、セキュリティ責任の所在に関する混乱を助長する。ガバナンスの政府にとっては、スパイ活動のためのバックドアが増える一方で、サイバー犯罪者はパッチの適用されていない旧式のサービスを悪用して金銭的利益を得ることができる。これは、重要インフラが民間の手にある場合や、国家セキュリティデータが特異な民間事業体に依存している場合に特に当てはまる。
16. AI DISRUPTING / ENHANCING CYBER ATTACKS 16. AIによるサイバー攻撃の撹乱・強化 
Escalation as a result of AI-based tools. Attackers will use AI-based technologies to launch attacks. In order to defend against those attacks and even to launch counter measures, there must also be defensive AI-based weapons. Behaviour of the AI in these cases is difficult to test, measure and control – if speed of response is valued.  AIベースのツールによるエスカレーション。攻撃者はAIベースのテクノロジーを使って攻撃を仕掛けるだろう。それらの攻撃を防御し、さらには対抗策を打ち出すためには、AIベースの防御兵器も存在しなければならない。このような場合のAIの挙動は、テスト、測定、制御が困難である。
17. MALWARE INSERTION TO DISRUPT FOOD PRODUCTION SUPPLY CHAINE 17. 食品製造のサプライチェーンを混乱させるマルウェアの挿入 
Due to increased automatisation and digitalization of food production, food supply chains  can be disrupted by a range of threat actors with medium-high resources. Denial of service attacks on packaging plants, for example, can prevent continued food operations; processed food manufacturing tools may be manipulated to change the compounds in the food itself. Attacks like these can lead to a food shortage, economic disruptions, and in the worst case, poisoning. 食品生産の自動化とデジタル化の進展により、食品サプライ・チェーンは、中程度の高いリソースを有するさまざまな脅威行為者によっ て混乱させられる可能性がある。例えば包装工場に対するサービス拒否攻撃は、食品の操業の継続を妨げる可能性がある。加工食品製造ツールは、食品自体の化合物を変更するために操作される可能性がある。このような攻撃は、食糧不足、経済的混乱、最悪の場合は中毒につながる可能性がある。
18. TECHNOLOGICAL INCOMPATIBILITY OF BLOCKCHAIN TECHNOLOGIES 18. ブロックチェーン技術の技術的非互換性
Until 2030, several regionally based blockchain technologies are created by different groups of governments to create an international "gold standard". This is driven by a societal lack of trust in blockchain that has accumulated over the last years.  Each technology group aims to gain a competitive advantage. This gives rise to a period of technological incompatibility of blockchain technology which leads to failures, malfunctions, data loss and the exploitation of vulnerabilities at the interfaces of the different blockchains. This creates challenges for ecosystem management and data protection, furthers distrust, and negatively affects trade and GDP growth. 2030年まで、国際的な "ゴールドスタンダード "を作るために、いくつかの地域ベースのブロックチェーン技術が異なる政府グループによって作られる。この背景には、ここ数年で蓄積されたブロックチェーンに対する社会的信頼の欠如がある。 各技術グループは競争上の優位性を獲得することを目指している。このため、ブロックチェーン技術の技術的な互換性がない時期が生じ、故障や誤動作、データ損失、異なるブロックチェーンのインターフェースにおける脆弱性の悪用につながる。これはエコシステム管理とデータ保護に課題をもたらし、不信感を助長し、貿易とGDP成長に悪影響を及ぼす。
19. DISRUPTIONS IN PUBLIC BLOCKCHAINS 19. パブリック・ブロックチェーンにおける混乱
Blockchain has been implemented in nearly all aspects of society in 2030. Unfortunately, security expertise in the area of blockchain did not advance significantly, creating a slew of vulnerabilities that may be exploited in the future. Locally unavailable blockchain technology will, for example, prevent access to voting, legal transactions, and even security systems. Another possible attack vector is exploited by partitioning the bitcoin network by hijacking IP address prefixes. This can cause, for example, duplicated spending and thus economic damage. ブロックチェーンは2030年、社会のほぼすべての側面に導入されている。残念なことに、ブロックチェーンの分野におけるセキュリティの専門知識は大きく進歩しておらず、将来悪用される可能性のある脆弱性が山ほど生まれている。ローカルで利用不可能なブロックチェーン技術は、例えば、投票、法的取引、さらにはセキュリティシステムへのアクセスを妨げるだろう。また、IPアドレスのプレフィックスをハイジャックしてビットコインネットワークを分割することで、攻撃ベクトルが悪用される可能性もある。これは、例えば重複支出を引き起こし、結果として経済的損害をもたらす可能性がある。
20. PHYSICAL IMPACT OF NATURAL / ENVIRONMENTAL DISRUPTIONS ON CRITICAL DIGITAL INFRASTRUCTURE 20. 自然/環境破壊が重要なデジタルインフラに与える物理的影響
The increased severity and frequency of environmental disasters causes several regional outages. Redundant back-up sites that maintain the availability of critical infrastructure will also be affected. 環境災害の深刻さと頻度が増すと、いくつかの地域で停電が発生する。重要インフラの可用性を維持する冗長バックアップサイトも影響を受ける。
21. MANIPULATION OF SYSTEMS NECESSARY FOR EMERGENCY RESPONSE 21. 緊急対応に必要なシステムの操作
Manipulation of sensors with connections to emergency services may overload services like ambulances, police, firefighters, etc. For example, call centres may be overloaded with inauthentic calls or fire alarms may be manipulated to injure specific individuals or to obscure emergency response teams' ability to locate the issue. Similarly, mass panics that overload emergency systems may also be provoked through the use of social media.  緊急サービスにつながるセンサーの操作は、救急車、警察、消防士などのサービスに過負荷をかける可能性がある。例えば、コールセンターが不正なコールで過負荷になったり、火災報知器が特定の個人を傷つけたり、緊急対応チームが問題の場所を特定できないように操作されたりする可能性がある。同様に、緊急システムに過負荷をかけるような大パニックも、ソーシャルメディアの利用によって引き起こされる可能性がある。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.04 ENISA 先見の明 2030年に向けたサイバーセキュリティの脅威 (2023.03.29)

 

| | Comments (0)

英国 ICO 子供を守るための情報共有のための10ステップガイド (2023.09.14)

こんにちは、丸山満彦です。

英国の情報コミッショナーオフィス (ICO) が子供を守るために情報共有が重要ということで「子供を守るための情報共有のための10ステップガイド」を公表していますね。。。

米国もK-12のセキュリティというかネットの安全性というか、問題になっていますね。中国も未成年を五段階にわけでルール作りをしようとしていますね。。。

そういえば、こういうのって日本ではどうなっているんですかね。。。

 

Information Commissioner's Office: ICO

・2023.09.14 Share information to protect children and young people at risk, urges UK Information Commissioner

Share information to protect children and young people at risk, urges UK Information Commissioner リスクにさらされている子供や若者を守るために情報を共有せよ、と英国情報コミッショナーは強く求めている。
Organisations will not get in trouble if they share information to protect children and young people at risk of serious harm, the UK Information Commissioner’s Office (ICO) has promised. 深刻な危害を受けるリスクのある子どもや若者を保護するために情報を共有しても、組織がトラブルに巻き込まれることはない、と英国情報コミッショナー事務局(ICO)は約束した。
This message comes as the ICO publishes new guidance to address concerns from organisations and frontline workers that may be scared to share information for fear of falling foul of data protection law. このメッセージは、ICOが、データ保護法に抵触することを恐れて情報を共有することを躊躇している組織や現場の労働者からの懸念に対処するための新しいガイダンスを発表したことによる。
The need to improve data sharing practices has been highlighted in recent serious case reviews in the UK where children have died or been seriously harmed through abuse or neglect. Poor information-sharing among organisations and agencies was identified as one of the factors contributing to failures to protect the children. 英国では、虐待やネグレクトによって子どもが死亡したり、深刻な被害を受けたりした最近の深刻なケースを検証する中で、データ共有の実践を改善する必要性が浮き彫りになっている。組織や機関同士の情報共有が不十分であったことが、子どもたちを保護できなかった要因のひとつであると指摘されている。
“My message to people supporting and working with children and young people is clear: if you think a child is at risk of harm, you can share information to protect them. You will not get in trouble with the ICO for trying to prevent or lessen a serious risk or threat to a child’s mental and physical wellbeing. 「子どもや若者を支援し、共に働く人々への私のメッセージは明確である: 子どもが危害のリスクにさらされていると思えば、子どもを守るために情報を共有することができる。子どもの心身の健康に対する深刻なリスクや脅威を防いだり、軽減しようとしたからといって、ICOの問題に巻き込まれることはない。」
“Data protection law helps organisations share data when required. Our guide will support senior leaders to put strong policies, systems and training in place, so their staff are encouraged and empowered to share data in an appropriate, safe and lawful way.” 「データ保護法は、組織が必要に応じてデータを共有することを支援する。我々のガイドは、シニアリーダーが強力なポリシー、システム、トレーニングを導入し、スタッフが適切で安全かつ合法的な方法でデータを共有するよう奨励され、権限を与えられるよう支援するものである。」
- John Edwards, UK Information Commissioner ・英国情報コミッショナー,ジョン・エドワーズ
Free marketing materials and a video have also been produced to support organisations to raise awareness of the benefits of sharing information to protect children and young people from harm. また、子どもや若者を危害から守るために情報を共有することの利点についての認識を高めるために、組織を支援するための無料のマーケティング資料やビデオも作成された。
The ICO will also develop a suite of guidance on sharing information to safeguard children aimed at specific sectors across the UK, recognising the different legislative and policy landscapes. ICOはまた、英国内の特定のセクターを対象とした、子どもを保護するための情報共有に関する一連のガイダンスを作成する予定である。
For more information visit ico.org.uk/datasharing. 詳細はico.org.uk/datasharingを参照のこと。
1. The Information Commissioner’s Office (ICO) is the UK’s independent regulator for data protection and information rights law, upholding information rights in the public interest, promoting openness by public bodies and data privacy for individuals. 1. 情報コミッショナー事務局(ICO)は、データ保護と情報権利法に関する英国の独立規制機関であり、公共の利益のために情報権利を支持し、公共団体による公開と個人のデータプライバシーを促進する。
2. The ICO has specific responsibilities set out in the Data Protection Act 2018 (DPA2018), the United Kingdom General Data Protection Regulation (UK GDPR), the Freedom of Information Act 2000 (FOIA), Environmental Information Regulations 2004 (EIR), Privacy and Electronic Communications Regulations 2003 (PECR) and a further five acts and regulations. 2. ICOは、データ保護法2018(DPA2018)、英国一般データ保護規則(英国GDPR)、情報公開法2000(FOIA)、環境情報規則2004(EIR)、プライバシーおよび電子コミュニケーション規則2003(PECR)、およびさらに5つの法律と規則に定められた特定の責任を負う。
3. The ICO can take action to address and change the behaviour of organisations and individuals that collect, use, and keep personal information. This includes criminal prosecution, non-criminal enforcement and audit. 3. ICOは、個人情報を収集、使用、保管する組織や個人の行動に対処し、改めるために行動を起こすことができる。これには、刑事訴追、非刑事執行、監査が含まれる。
4. To report a concern to the ICO telephone call our helpline on 0303 123 1113, or go to ico.org.uk/concerns 4. ICOのヘルプライン(0303-123-1113)に通報するか、ico.org.uk/concernsにアクセスする。

 

ガイダンスはこちら...

・2023.09.14 A 10 step guide to sharing information to safeguard children

A 10 step guide to sharing information to safeguard children 子どもを守るための情報共有のための10ステップガイド
Step 1: Be clear about how data protection can help you share information to safeguard a child. ステップ1:児童を保護するためにデータ保護がどのように情報共有に役立つかを明確にする。
Step 2: Identify your objective for sharing information, and share the information you need to, in order to safeguard a child. ステップ2:情報共有の目的を明確にし、子どもを保護するために必要な情報を共有する。
Step 3: Develop clear and secure policies and systems for sharing information. ステップ3:情報を共有するための明確で安全な方針とシステムを策定する。
Step 4: Be clear about transparency and individual rights. ステップ4:透明性と個人の権利を明確にする。
Step 5: Assess the risks and share as needed. ステップ5:リスクをアセスメントし、必要に応じて共有する。
Step 6: Enter into a data sharing agreement. ステップ6:データ共有契約を結ぶ。
Step 7: Follow the data protection principles. ステップ7:データ保護の原則に従う。
Step 8: Share information using the right lawful basis. ステップ8:正しい合法的根拠に基づいて情報を共有する。
Step 9: Share information in an emergency. ステップ9:緊急時に情報を共有する。
Step 10: Read our data sharing code of practice. ステップ10 データ共有の実践規範を読む。

 

情報共有ツール。。。

Sharing information to safeguard children: Marketing materials

・・[PDF] チラシ

20230919-181008

 

・・[PDF] ポスター

20230919-181217

・・ビデオ

 

それから

ロンドン大学の一部となった元研究大学である、ロンドン・スクール・オブ・エコノミクス・アンド・ポリティカル・サイエンス (London School of Economics and Political Science; LSE [wikipedia])からも次のような報告書がでていますね。。。

London School of Economics and Political Science; LSE

・[PDF] Children’s data and privacy online Growing up in a digital age

20230920-21808

 


 

米国のK-12セキュリティ。。。

CISA

Cybersecurity for K-12 Education

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

 

米国

・2023.09.08 米国 CISA 幼稚園から高校まで (K-12) への教育ソフト開発会社とセキュア・バイ・デザインの誓約をかわす (2023.09.05)

・2023.08.14 米国 K-12(幼稚園から高校まで)の学校のサイバーセキュリティを強化する新たな取り組みを開始 (2023.08.07)

・2023.08.02 米国 国家サイバー人材・教育戦略

2. Transform Cyber Education – address the immediate demand for a skilled cyber  workforce while also preparing learners to meet the future needs of a dynamic  technological environment:  2. サイバー教育の変革 - 熟練したサイバー労働力に対する当面の需要に対応すると同時に、ダイナミックな技術環境の将来のニーズに対応できるように学習者を準備する: 
o Build and leverage ecosystems to improve cyber education, from K-12 education,  to higher education, community colleges, and technical schools;  o K-12教育から高等教育、コミュニティカレッジ、専門学校に至るまで、サイバー教育を改善するためのエコシステムを構築し、活用する; 
o Expand competency-based cyber education;   o コンピテンシーベースのサイバー教育の拡大
o Invest in educators and improving cyber education systems; and,  o 教育者への投資とサイバー教育システムの改善 
o Make cyber education and training more affordable and accessible.  o サイバー教育とトレーニングをより手頃な価格で利用しやすくする。 

 

・2022.12.03 米国 GAO K-12(幼稚園から高校まで)の学校へのサイバー攻撃が増加している...その対応は?

・2022.10.22 米国 GAO 重要インフラの防御:K-12サイバーセキュリティを強化するためには、連邦政府のさらなる調整が必要である。

・2021.10.12 米国 K-12サイバーセキュリティ法2021

 

英国

・2023.02.19 英国 情報コミッショナー事務局 (ICO) がゲーム開発者向けに、子どもの保護に関する業界向けのガイダンスを発行

 

中国

・2023.08.17 中国 「未成年者向けモバイルインターネットモデル構築ガイドライン(意見募集案)」 (2023.08.02)

年齢 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
区分 1 2 3 4 5
利用時間 40分以内 1時間 2時間
連続利用 未成年者が30分以上連続して携帯情報端末を使用する場合、携帯情報端末は休息通知を発すること
時間帯 22:00から翌日6:00までの間、携帯情報端末は未成年者に対してサービスを提供することができない
推奨コンテンツ 童謡、啓蒙教育などの親子連れの番組を推奨コンテンツとし、音声を重視することを推奨する 啓蒙教育、興味と識字、一般教育などの番組を推奨する 一般教育、科学の知識と普及、ライフスキル、積極的な指導を伴う娯楽コンテンツ、この年齢層の認知能力に適したニュースや情報など 一般教育、教科教育、科学の知識と普及、ライフスキル、積極的な指導による娯楽コンテンツ、この年齢層の認知能力に適したニュースや情報 この年齢層の認知能力に適した、健康で上向きの情報コンテンツを推奨する
アプリダウンロード 未成年者向けゾーンでアプリケーションをダウンロードおよびインストールするには保護者の同意が必要であり、保護者は未成年者が未成年者向けゾーン外でアプリケーションをダウンロードすることを許可する一定の免除権限を有する 未成年者向けゾーンでアプリケーションをダウンロードおよびインストールするには保護者の同意が必要であり、保護者は未成年者が未成年者向けゾーン外でアプリケーションをダウンロードすることを許可する一定の免除権限を有する

これ以外には、未成年モードではゲーム、ソーシャルネットワーク、コンテンツ、広告等についての規制がある。。。

 

インド

個人情報保護法では、児童について規定があります。。。

・2023.08.23 インド デジタル個人データ保護法成立(2023年)(2023.08.11)

(Processing of personal data of children.)  (児童の個人データの処理) 
9. (1) The Data Fiduciary shall, before processing any personal data of a child or a person with disability who has a lawful guardian obtain verifiable consent of the parent of such child or the lawful guardian, as the case may be, in such manner as may be prescribed. Explanation.—For the purpose of this sub-section, the expression “consent of the parent” includes the consent of lawful guardian, wherever applicable. 9. (1) データ受託者は、児童または正当な保護者を持つ障害者の個人データを処理する前に、当該児童の親または正当な保護者の検証可能な同意を、場合により、所定の方法で取得しなければならない。解説:本款の目的上、「親の同意」という表現には、適用法であれば、正当な保護者の同意が含まれる。
(2) A Data Fiduciary shall not undertake such processing of personal data that islikely to cause any detrimental effect on the well-being of a child. (2) データ受託者は、児童の幸福に有害な影響を及ぼす可能性のある個人データの処理 を行ってはならない。
(3) A Data Fiduciary shall not undertake tracking or behavioural monitoring of childrenor targeted advertising directed at children. (3) データ受託者は、児童の追跡または行動監視、または児童を対象とした広告を行わないものとする。
(4) The provisions of sub-sections (1) and (3) shall not be applicable to processing of personal data of a child by such classes of Data Fiduciaries or for such purposes, and subject to such conditions, as may be prescribed. (4) 第(1)項および第(3)項の規定は、データ受託者の種類によって、またはそのような目的のために、およびそのような条件に従って、児童の個人データを処理する場合には適用されないものとする。
(5) The Central Government may, if satisfied that a Data Fiduciary has ensured that itsprocessing of personal data of children is done in a manner that is verifiably safe, notify for such processing by such Data Fiduciary the age above which that Data Fiduciary shall be exempt from the applicability of all or any of the obligations under sub-sections (1) and (3) in respect of processing by that Data Fiduciary as the notification may specify. (5) 中央政府は、データ受託者が児童の個人データの処理を検証可能な安全な方法で行っていることを確認した場合、当該データ受託者による処理について、当該データ受託者による処理に関する第(1)号および第(3)号に基づく義務の全部または一部の適用が免除される年齢を、通知で指定することができる。

 

日本...

・2022.03.05 文部科学省 教育情報セキュリティポリシーに関するガイドライン

 

 

 

AIですが。。。

国連

・2023.07.21 国連 地域間犯罪司法研究所 子供のためにより安全に;捜査機関向けのAI研修が開始された

 

米国

・2023.03.14 米国商工会議所 人工知能報告書

 

日本

・2023.07.06 文部科学省 生成AIの利用について 「初等中等教育段階における生成AIの利用に関する暫定的なガイドライン」

 

| | Comments (0)

2023.09.19

米国 国防総省サイバー戦略 2023(要約)(2023.09.12)

こんにちは、丸山満彦です。

国防総省がサイバー戦略2023の要約を公表していますね。。。フルバージョンは、非公開のようです。これは、2018年の国防総省サイバー戦略に続くもので、2021年に公表された国家安全保障戦略、国家防衛戦略、国家サイバーセキュリティ戦略を国防総省に落としたものという感じですね。。。記載されている対象はあくまでもサイバー領域に限定されています。(つまり、全体の作戦の中でのサイバー領域の話だけ切り出してまとめているという感じのようです。)

防衛のサプラチェーンではないですが、米国も各国と連携して動いていることから、他の国の軍隊、防衛産業企業等がサイバー攻撃で侵入されると米国軍にも影響があるということから、パートナーのサイバー防衛能力の強化に力を入れるということのようです。

また、国家防衛戦略の優先順位が、中国、そしてロシアという順番なので、サイバー戦略でも優先順位は同じなのでしょうね。。。中国は当初はロシアにいろいろと学んでいたようですが、すでに独自にさまざまなサイバー能力を獲得、開発していることから、米国にとっては大きな脅威になってきているという認識だと思います。。。

ハント・フォワード作戦についても触れられていて、攻撃者の戦術・技術・運用 (TTP) を公表し、同盟国とともにレジリエンスを高めるということのようですね。。。

 

U.S. Department of Defence

プレスリリース

・2023.09.12 DOD Releases 2023 Cyber Strategy Summary

DOD Releases 2023 Cyber Strategy Summary 国防総省、2023年サイバー戦略の概要を発表
Today, the Department of Defense (DOD) released an unclassified summary of its classified 2023 Cyber Strategy. 本日、国防総省(DOD)は、機密扱いの2023年サイバー戦略の非機密扱いの要約を発表した。
The 2023 DOD Cyber Strategy, which DOD transmitted to Congress in May, is the baseline document for how the Department is operationalizing the priorities of the 2022 National Security Strategy, 2022 National Defense Strategy, and the 2023 National Cybersecurity Strategy. It builds upon the 2018 DOD Cyber Strategy and will set a new strategic direction for the Department. 国防総省が5月に議会に提出した2023年DODサイバー戦略は、2022年国家安全保障戦略、2022年国家防衛戦略、2023年国家サイバーセキュリティ戦略の優先事項をどのように運用するかの基本文書である。この戦略は、2018年のDODサイバー戦略に基づいており、国防総省の新たな戦略的方向性を示すものである。
"This strategy draws on lessons learned from years of conducting cyber operations and our close observation of how cyber has been used in the Russia-Ukraine war," Assistant Secretary of Defense for Space Policy John Plumb said. "It has driven home the need to work closely with our allies, partners, and industry to make sure we have the right cyber capabilities, cyber security, and cyber resilience to help deter conflict, and to fight and win if deterrence fails." 「ジョン・プラム国防次官補(宇宙政策担当)は、「この戦略は、長年にわたるサイバー作戦の実施から得られた教訓と、ロシア・ウクライナ戦争でサイバーがどのように利用されたかをつぶさに観察した結果に基づいている。「同盟国、パートナー、産業界と緊密に協力し、紛争を抑止し、抑止が失敗した場合に戦い、勝利するために、適切なサイバー能力、サイバーセキュリティ、サイバーレジリエンスを確保する必要性を痛感した。
The United States faces diverse, growing threats in cyberspace and the strategy outlines how DOD is maximizing its cyber capabilities in support of integrated deterrence and employing cyberspace operations in concert with other instruments of national power. 米国はサイバー空間における多様で増大する脅威に直面しており、この戦略では国防総省が統合抑止を支援するためにサイバー能力を最大化し、国力の他の手段と協調してサイバー空間作戦を採用する方法を概説している。
The strategy highlights DOD’s actions to invest in and ensure the defense, availability, reliability, and resilience of its cyber networks and infrastructure to support non-DOD agencies in their related roles and to protect the defense industrial base. この戦略では、国防総省のサイバーネットワークとインフラの防御、可用性、信頼性、レジリエンスを確保し、国防総省以外の機関の関連する役割を支援し、防衛産業基盤を保護するための国防総省の行動を強調している。
"Distinct from previous iterations, the strategy commits to increasing our collective cyber resilience by building the cyber capability of allies and partners." Deputy Assistant Secretary for Cyber Policy Mieke Eoyang said. "It also reflects the department’s approach to defending the homeland through the cyber domain as well as prioritizing the integration of cyber capabilities into our traditional warfighting capabilities." 「この戦略では、同盟国やパートナーのサイバー能力を強化することで、われわれの集団的なサイバー・レジリエンスを高めることにコミットしている。ミーケ・エオヤン副次官補(サイバー政策担当)は言う。「この戦略はまた、サイバー領域を通じて国土を防衛し、サイバー能力を伝統的な戦闘能力に統合することを優先するという、防衛省のアプローチを反映している
The strategy is the fourth iteration for the Department, and the first to be informed by years of significant cyberspace operations. You can read the full summary on Defense.gov. この戦略は、国防総省にとって4回目の改訂であり、長年にわたる重要なサイバー空間での作戦に基づく初めてのものである。サマリーの全文はDefense.govで読むことができる。

 

・2023.09.12 DOD's Cyber Strategy Emphasizes Building Partner Capacity

DOD's Cyber Strategy Emphasizes Building Partner Capacity 国防総省のサイバー戦略はパートナーの能力構築を重視する
In May, the Defense Department released to Congress the classified version of the 2023 Cyber Strategy. Today, the department made public an unclassified summary of that strategy which reveals a new emphasis on helping U.S. partners and allies build their own cyber capacity. 国防総省は5月、2023年サイバー戦略の機密版を議会に公表した。今日、国防総省はこの戦略の非機密版要約を公開し、米国のパートナーや同盟国が独自のサイバー能力を構築するのを支援することに新たに重点を置いていることを明らかにした。
"Distinct from previous iterations of the DOD cyber strategy, this strategy commits to building the cyber capability of global allies and partners and to increase our collective resilience against cyber attack," said Mieke Eoyang, the deputy assistant secretary of defense for cyber policy, during a briefing today at the Pentagon. "Allies and partners are a strategic advantage that no competitor can match."  国防総省のサイバー戦略担当副次官補であるミーケ・エオヤン氏は、本日国防総省で行われたブリーフィングの中で、次のように述べた。「この戦略は、これまでの国防総省のサイバー戦略とは異なり、世界の同盟国やパートナーのサイバー能力を構築し、サイバー攻撃に対する集団的レジリエンスを高めることにコミットしている。同盟国やパートナーは、いかなる競争相手も太刀打ちできない戦略的優位性である。」
According to the now publicly available summary of the 2023 Cyber Strategy, the department plans to prioritize efforts to increase the effectiveness of allies and partners in cyberspace.  現在公開されている2023年サイバー戦略の概要によると、同省はサイバー空間における同盟国やパートナーの有効性を高める努力を優先する計画だ。
Spotlight: Engineering in the DOD スポットライト:DODにおけるエンジニアリング
"In some cases, the department will work toward this goal by augmenting partner capacity, expanding partners' access to cybersecurity infrastructure and maturing their cyber workforce though combined training events and exercises," the summary reads.  「場合によっては、パートナーの能力を増強し、パートナーのサイバーセキュリティ・インフラへのアクセスを拡大し、訓練イベントや演習を組み合わせることでサイバー労働力を成熟させることで、この目標に取り組むだろう。
The summary further states the department has also committed, in some cases, to directly helping develop partner capability by enabling functions a partner needs but does not yet have.  同要約はさらに、場合によっては、パートナーが必要としているがまだ持っていない機能を可能にすることで、パートナーの能力開発を直接支援することも約束したと述べている。
"The department will enhance our relationship with our most cyber-capable allies and partners at the strategic, operational and tactical levels," the policy reads. "We will expand the total number of partners with whom we engage and integrate these efforts with the wider security cooperation enterprise."  「同省は、戦略、作戦、戦術の各レベルにおいて、最もサイバー能力の高い同盟国やパートナーとの関係を強化する。我々は、関与するパートナーの総数を拡大し、これらの取り組みをより広範な安全保障協力エンタープライズと統合する。」
More broadly, the summary reveals that the 2023 Cyber Strategy asks the department to address current and future cyber threats by pursuing four complementary lines of effort. These lines of effort include defending the nation, preparing to fight and win the nation's wars, protecting the cyber domain with allies and partners, and building enduring advantages in cyberspace.  より広義には、2023年サイバー戦略では、4つの補完的な取り組みを進めることで、現在および将来のサイバー脅威に対処することを求めている。これらの取り組みには、国家の防衛、国家の戦争に勝利するための準備、同盟国やパートナーとのサイバー領域の保護、サイバー空間における永続的な優位性の構築が含まれる。
"[This] strategy builds upon the direction set by the 2018 DOD Cyber Strategy and is informed by years of real-world experience of significant DOD cyberspace operations," Eoyang said. "It's the department's fourth cyber strategy and represents the secretary's vision for operationalizing the 2022 National Defense Strategy in cyberspace."  「この戦略は、2018年国防総省サイバー戦略によって設定された方向性の上に構築され、国防総省のサイバー空間における重要な活動に関する長年の実体験に基づくものである。これは国防総省にとって4番目のサイバー戦略であり、2022年国防戦略をサイバー空間で運用するための長官のビジョンを表している。」
Spotlight: National Defense Strategy スポットライト:国家防衛戦略
Like the National Defense Strategy, DOD's cyber strategy identifies China as a pacing threat and Russia as an acute threat, Eoyang said.  国防戦略と同様、国防総省のサイバー戦略は、中国をペースの脅威として、ロシアを急性の脅威として識別している。
She also said that the strategy has been informed by recent activities in Ukraine, following the illegal Russian invasion there.  また、この戦略は、ウクライナにおけるロシアの不法侵攻後の最近の活動からも情報を得ているという。
"I think prior to this conflict, there was a sense that cyber would have a much more decisive impact in warfare than what we experienced," she said. "What this conflict has shown us is the importance of integrated cyber capabilities in and alongside other warfighting capabilities. And that is consistent with the approach in the NDS on integrated deterrence and is an important lesson for us to think about -- that cyber is a capability that is best used in concert with those others and may be of limited utility when used all by itself."  彼女はまた、次のように述べた。「この紛争の前には、サイバー戦は我々が経験したものよりもはるかに決定的な影響を与えるという感覚があったと思う。この紛争が私たちに示したのは、他の戦闘能力とともに、サイバー能力を統合することの重要性である。そしてそれは、統合抑止に関するNDSのアプローチと一致するものであり、私たちが考えるべき重要な教訓である。"サイバー能力は、他の能力と協調して使用するのが最善であり、単独で使用した場合の有用性は限定的かもしれない。」
According to the strategy, cyber capabilities are most effective when used in concert with other instruments of national power.  同戦略によれば、サイバー能力は、他の国力の手段と協調して使用されるときに最も効果的である。
Spotlight: Science & Tech スポットライト:科学技術
"In this way, cyberspace operations represent an indispensable element of U.S. and allied military strength and form a core component of integrated deterrence," the strategy reads. 「このように、サイバー空間での作戦は、米国と同盟国の軍事力にとって不可欠な要素であり、統合抑止の中核をなすものである。」

 

 

・[PDF]

20230918-145737

 

目次的...

INTRODUCTION  序文 
NATIONAL DEFENSE STRATEGY PRIORITIES  国家防衛戦略の優先事項 
A CONTESTED CYBERSPACE  争いの絶えないサイバー空間 
People's Republic of China  中華人民共和国 
Russia  ロシア 
North Korea, Iran, and Violent Extremist Organizations  北朝鮮、イラン、暴力的過激派組織 
Transnational Criminal Organizations  国際犯罪組織 
DEFEND THE NATION  国家を守る 
Generate Insights about Cyber Threats  サイバー脅威に関する洞察の創出 
Disrupt and Degrade Malicious Cyber Actors  悪意のあるサイバー行為者を混乱させ、劣化させる。
Enable Defense of US. Critical Infrastructure  米国の重要インフラの防衛を可能にする。
DOD AUTHORITIES AND HOMELAND DEFENSE  国防総省の権限と国土防衛 
Protect the Defense Industrial Base  防衛産業基盤の防御 
DIB CYBERSECURITY  DIBサイバーセキュリティ 
PREPARE TO FIGHT AND WIN THE NATION'S WARS  国家の戦争を戦い勝利する準備をする 
Advance Joint Force Objectives  統合軍の目標を推進する 
Defend the DODIN  DODINを守る 
DEFINING THE DODIN  DODINの定義 
Build Cyber Resilience in the Joint Force  統合軍におけるサイバー・レジリエンスの構築 
Support Joint Force Plans and Operations  統合軍の計画と作戦を支援する 
PROTECT THE CYBER DOMAIN WITH ALLIES AND PARTNERS  同盟国やパートナーとともにサイバー領域を守る。
Build Cyber Capacity and Develop Capability in Allies and Partners  同盟国およびパートナーにおけるサイバー能力の構築と能力開発 
Expand Avenues of Cyber Cooperation  サイバー協力の手段を拡大する。
Continue Hunt Forward Operations and Bilateral Technical Collaboration  ハント・フォワード・オペレーションと二国間技術協力の継続 
Reinforce Norms of Responsible Behavior in Cyberspace  サイバー空間における責任ある行動の規範を強化する。
BUILD ENDURING ADVANTAGES IN CYBERSPACE  サイバー空間における永続的な優位性を構築する 
Invest in the Cyber Workforce  サイバー人材への投資 
Prioritize Intelligence Support for Cyber Operations  サイバー作戦のための情報支援を優先する。
Develop and Implement New Cyber Capabilities  新たなサイバー能力の開発と導入 
Foster Cyber Awareness  サイバー意識の醸成 
CONCLUSION  結論 

 

仮対訳は関連リンク下につけています。。。

 

 


関連リンク

● まるちゃんの情報セキュリティ気まぐれ日記

国家安全保障戦略

・2022.10.14 米国 国家安全保障戦略

ちなみにロシア...

・2021.07.04 ロシア連邦大統領令第400号「ロシア連邦の国家安全保障戦略」を公表

 

国防総省 国家防衛戦略他

・2022.10.29 米国 国家防衛戦略

その下の計画

・2023.08.09 米国 国防総省 サイバー従事能力戦略実施計画

 

国家情報(インテリジェンス)戦略

・2023.08.11 米国 国家情報戦略 2023

 

国家サイバーセキュリティ戦略

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

人材に関して。。。

・2023.08.02 米国 国家サイバー人材・教育戦略

予算優先事項、実行計画。。。

・2023.07.09 米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

 

CISAのサイバーセキュリティ戦略

・2023.08.06 米国 CISA サイバーセキュリティ戦略 FY2024-2026

 


 

仮対訳

↓↓↓↓↓





» Continue reading

| | Comments (0)

2023.09.18

米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ

こんにちは、丸山満彦です。

CISAがオープンソース・ソフトウェア・セキュリティ・ロードマップを公開していますね。。。

優先事項は、、、

(1) オープンソースソフトウェアのセキュリティ支援におけるCISAの役割の確立

(2) オープンソースソフトウェアの使用状況とリスクの可視化の推進

(3) 連邦政府に対するリスクの低減

(4) オープンソースエコシステムの強化

 

CISA

・2023.09.12 CISA Open Source Software Security Roadmap

 

CISA Open Source Software Security Roadmap CISAオープンソース・ソフトウェア・セキュリティ・ロードマップ
CISA’s Open Source Software Security Roadmap lays out CISA’s path forward to help ensure a secure open source software ecosystem.  CISAのオープンソース・ソフトウェア・セキュリティ・ロードマップは、安全なオープンソース・ソフトウェアのエコシステムを確保するためのCISAの進むべき道を示している。
Open source software is software that anyone can access, modify, and distribute, which can lead to greater collaboration and higher-quality code. At the same time, vulnerabilities like Log4shell have illustrated the downstream impact for flaws in widely used open source code.  オープンソースソフトウェアは、誰もがアクセスし、変更し、配布できるソフトウェアであり、より大きなコラボレーションとより高い品質のコードをもたらすことができる。同時に、Log4shellのような脆弱性は、広く使われているオープンソース・コードの欠陥が下流に与える影響を示している。
The roadmap lays out four key priorities to help secure the open source software ecosystem: (1) establishing CISA’s role in supporting the security of open source software, (2) driving visibility into open source software usage and risks, (3) reducing risks to the federal government, and (4) hardening the open source ecosystem.  ロードマップは、オープンソースソフトウェアのエコシステムの安全確保を支援するための4つの重要な優先事項を示している。(1) オープンソースソフトウェアのセキュリティ支援におけるCISAの役割の確立、(2) オープンソースソフトウェアの使用状況とリスクの可視化の推進、(3) 連邦政府に対するリスクの低減、(4) オープンソースエコシステムの強化である。

 

・[PDF

20230918-53634

 

 

Overview  概要 
The federal government, critical infrastructure, and state, local, tribal, and territorial (SLTT) governments greatly depend upon open source software (OSS). OSS is software for which the humanreadable source code[1] is made available to the public for use, study, re-use, modification, enhancement, and re-distribution. OSS is part of the foundation of software used across critical infrastructure, supporting every single critical infrastructure sector and every National Critical Function: one study[2] found that 96% of studied codebases across various sectors contain open source code, and 76% of code in studied codebases was open source. Therefore, to fulfill CISA’s mission of understanding, managing, and reducing risks to the federal government and critical infrastructure, we must understand and protect the open source software that we rely upon. 連邦政府、重要インフラ、州・地方・部族・準州(SLTT)政府は、オープンソースソフトウェア(OSS)に大きく依存している。OSSとは、人間が読み取り可能なソースコード[1]が、利用、研究、再利用、修正、拡張、再配布のために一般に公開されているソフトウェアのことである。ある調査[2]によると、さまざまな部門で調査されたコードベースの96%がオープンソースコードを含み、調査されたコードベースのコードの76%がオープンソースであった。したがって、連邦政府と重要インフラに対するリスクを理解し、管理し、削減するというCISAの使命を果たすためには、われわれが依存しているオープンソース・ソフトウェアを理解し、保護しなければならない。
As a public good, open-source software is supported by diverse and wide-ranging communities—which are composed of individual maintainers, non-profit software foundations, and corporate stewards. CISA must integrate into and support these communities, with a particular focus on the critical OSS components that the federal government and critical infrastructure systems rely upon.  公共財であるオープンソースソフトウェアは、個人のメンテナ、非営利ソフトウェア財団、企業のスチュワードで構成される多様で広範なコミュニティによって支えられている。CISAは、連邦政府と重要インフラ・システムが依存する重要なOSSコンポーネントに特に重点を置いて、これらのコミュニティに統合し、支援しなければならない。
CISA recognizes the immense benefits of open source software, which enables software developers to work at an accelerated pace and fosters significant innovation and collaboration. With these benefits in mind, this roadmap lays out how CISA will help enable the secure usage and development of OSS, both within and outside the federal government. As detailed below, the roadmap centers on four key goals: 1) establishing CISA’s role in supporting the security of OSS, 2) understanding the prevalence of key open source dependencies, 3) reducing risks to the federal government, and 4) hardening the broader OSS ecosystem.  CISAは、オープンソースソフトウェアがソフトウェア開発者に加速度的なペースでの作業を可能にし、多大なイノベーションとコラボレーションを促進するという、計り知れないメリットを認識している。こうした利点を念頭に、このロードマップは、連邦政府内外でOSSの安全な利用と開発を可能にするためにCISAがどのような支援を行うかを示している。以下に詳述するように、ロードマップは4つの重要な目標を中心に据えている: 1)OSSのセキュリティ支援におけるCISAの役割の確立、2)主要なオープンソース依存関係の普及状況の把握、3)連邦政府に対するリスクの低減、4)広範なOSSエコシステムの強化である。
Vision  ビジョン 
Aligning with the National Cybersecurity Strategy’s goal of a “more resilient, equitable, and defensible cyberspace,” CISA envisions a prosperous future where secure, resilient technology is the backbone of our world. Open source software, fostering significant growth as part of the foundation on which technology is built, is key to this future. We envision a world in which every critical OSS project is not only secure but sustainable and resilient, supported by a healthy, diverse, and vibrant community. In this world, OSS developers are empowered to make their software as secure as possible. Further, the incredible growth fostered by OSS is coupled with action from those who capitalize on OSS to be good stewards of the projects they depend on. In this world, OSS consumers responsibly use it, contributing back to the extent they can to the community and code they depend on. Similarly, consumers and integrators of these OSS projects are given the tools to ensure the packages they use are secure and well curated. 国家サイバーセキュリティ戦略の目標である「よりレジリエンスに優れ、公平で、防衛可能なサイバー空間」に沿って、CISAは、安全でレジリエンスに優れた技術が私たちの世界を支える豊かな未来を構想している。オープンソースソフトウェアは、技術が構築される基盤の一部として大きな成長を促進し、この未来への鍵となる。私たちは、すべての重要なOSSプロジェクトが安全であるだけでなく、持続可能でレジリエンスに富み、健全で多様性に富み、活気に満ちたコミュニティに支えられている世界を思い描いている。この世界では、OSS開発者は自分たちのソフトウェアを可能な限り安全にする力を与えられる。さらに、OSSによって育まれた驚異的な成長は、OSSを活用する人々が、彼らが依存するプロジェクトの良きスチュワードであるための行動と結びついている。この世界では、OSSの消費者は責任を持ってOSSを利用し、彼らが依存するコミュニティやコードにできる範囲で貢献する。同様に、OSSプロジェクトの消費者とインテグレーターは、自分たちが使うパッケージが安全で、よく管理されていることを保証するためのツールを与えられる。
To achieve such a future, the federal government must take strong action towards maintaining and securing OSS infrastructure as reflected in the National Cybersecurity Strategy. CISA, given its responsibilities to defend and secure federal government information systems and coordinate a national effort to secure and protect against critical infrastructure risks, has a key role to play in OSS security, grounded in partnership with federal agencies, OSS consumers, and the OSS community.  そのような未来を実現するために、連邦政府は国家サイバーセキュリティ戦略に反映されているように、OSSインフラの維持と安全確保に向けて強力な行動を取らなければならない。CISAは、連邦政府の情報システムを防御・安全化し、重要インフラのリスクから安全かつ保護するための国家的取り組みを調整するガバナンスを持つことから、連邦国家安全保障局、OSS消費者、OSSコミュニティとのパートナーシップに基づき、OSSセキュリティで果たすべき重要な役割を担っている。
Threat Model  脅威モデル 
In order to secure OSS, we must understand the relevant attacks and vulnerabilities. CISA is broadly concerned about two distinct classes of OSS vulnerabilities and attacks:  OSSのセキュリティを確保するためには、関連する攻撃と脆弱性を理解しなければならない。CISAは、OSSの脆弱性と攻撃について、大きく2つに分類して懸念している: 
1.     The cascading effects of vulnerabilities in widely used OSS.  1.     広く使われているOSSの脆弱性の連鎖的影響。
As evidenced by the Log4Shell vulnerability, the ubiquity of OSS can cause vulnerabilities to have particularly widespread consequences. Given the prevalence of OSS across the federal government and critical infrastructure, any widespread vulnerability represents risk that CISA should seek to reduce. Similar to the potentially large impact of vulnerabilities in widely used closed-source software, the widespread and distributed nature of OSS can magnify the impact of OSS vulnerabilities. Hence, CISA should contribute to reducing the prevalence of exploitable vulnerabilities and aiding in response when vulnerabilities occur.  Log4Shellの脆弱性で証明されているように、OSSのユビキタス性は脆弱性が特に広範囲に影響を及ぼす原因となる。連邦政府と重要インフラにOSSが普及していることを考えると、脆弱性が広範囲に及ぶことは、CISAが削減を目指すべきリスクに相当する。広く使用されているクローズド・ソース・ソフトウェアの脆弱性が潜在的に大きな影響を及ぼすのと同様に、OSSの広範で分散した性質は、OSSの脆弱性の影響を拡大する可能性がある。したがって、CISAは、悪用可能な脆弱性の蔓延を減らし、脆弱性が発生した場合の対応を支援することに貢献すべきである。
2.     Supply-chain attacks on open source repositories leading to compromise of downstream software.  2.     オープンソース・リポジトリに対するサプライチェーン攻撃は、ダウンストリームソフトウェアの侵害につながる。
The second category of risks is the malicious compromise of OSS components, leading to downstream compromises. Examples include an attacker compromising a developer’s account and committing malicious code, or a developer intentionally inserting a backdoor into their package. Real-world examples include embedding cryptominers[3] in open source packages, modifying source code with protestware[4] that deletes a user’s files, and employing typosquatting[5] attacks that take advantage of developer errors.[6]   リスクの第二のカテゴリーは、OSS コンポーネントの悪意ある侵害であり、下流の侵害につながる。例としては、攻撃者が開発者のアカウントを侵害し、悪意のあるコードを実行することや、開発者が意図的にパッケージにバックドアを挿入することなどがある。実際の例としては、オープンソースパッケージにクリプトマイナー[3]を埋め込む、ユーザのファイルを削除するプロテストウェア[4]でソースコードを変更する、開発者のミスにつけ込むタイポスクワッティング[5]攻撃を採用する、などがある[6]。 
Strategic Alignment  戦略的整合性 
This OSS roadmap aligns to the National Cybersecurity Strategy, including Strategic Objective 4.1, which states that the federal government will “develop and drive adoption of solutions that will improve the security of the Internet ecosystem,” and Strategic Objective 3.3, which states that the federal government will collaborate with the private sector and OSS community to “invest in the development of secure software, including memory-safe languages.” CISA’s work in this roadmap is in fulfillment of Initiative 4.1.2 of the National Cybersecurity Strategy Implementation Plan, to “Promote open-source software security and the adoption of memory safe programming languages” via the Open Source Software Security Initiative (OS3I). このOSSロードマップは、連邦政府が「インターネットのエコシステムのセキュリティを向上させるソリューションを開発し、採用を推進する」とする戦略目標4.1や、連邦政府が民間セクターやOSSコミュニティと協力して「メモリセーフ言語を含む安全なソフトウェアの開発に投資する」とする戦略目標3.3を含む国家サイバーセキュリティ戦略と整合している。このロードマップにおけるCISAの活動は、国家サイバーセキュリティ戦略実施計画のイニシアティブ4.1.2を実現するものであり、オープンソースソフトウェアセキュリティイニシアティブ(OS3I)を通じて「オープンソースソフトウェアセキュリティとメモリ安全プログラミング言語の採用を促進する」ものである。
This roadmap also advances Objective 1.4 of the CISA Strategic Plan for 2023-2025, which aims to achieve a cyberspace ecosystem that is secure-by-design and secure-by-default, and helps achieve  priority areas addressed through the OS3I interagency working group convened by the Office of the National Cyber Director, which include memory safety, Common Vulnerabilities and Exposures (CVE) reform, and education.
 
また、このロードマップは、2023-2025年のCISA戦略計画の目標1.4を推進するものであり、セキュア・バイ・デザインおよびセキュア・バイ・デフォルトのサイバースペース・エコシステムを実現することを目指すものであり、国家サイバー長官室が招集したOS3I省庁間作業部会で取り上げられた優先分野(メモリ安全性、共通脆弱性・エクスポージャー(CVE)改革、教育など)の達成を支援するものである。 
Lastly, this roadmap aims to align, where possible, to existing OSS community efforts. Objective 1.1 below specifically speaks to integrating into community initiatives to further align CISA and OSS community work.  最後に、このロードマップは、可能な限り、既存のOSSコミュニティの取り組みと整合させることを目指している。以下の目標 1.1 では、CISA と OSS コミュニティの活動をさらに連携させるため、コミュニティ・イニシアティ ブへの統合について特に言及している。
FY24-26 Open Source Goals & Objectives  FY24-26 オープンソースの目標と目標 
Goal 1: Establish CISA’s Role in Supporting the Security of OSS  目標1: OSSのセキュリティ支援におけるCISAの役割を確立する。
It is crucial that CISA matures its working relationship with the OSS community to build a secure and resilient open source ecosystem. In line with CISA’s mission, this means identifying and reducing risks to the federal government and critical infrastructure and contributing back to help improve the security of the broader OSS ecosystem.  CISAがOSSコミュニティとの協力関係を成熟させ、安全でレジリエンスに優れたオープンソースのエコシステムを構築することは極めて重要である。CISAの使命に沿えば、これは連邦政府と重要インフラに対するリスクを特定して削減し、より広範なOSSエコシステムのセキュリティ改善を支援するために貢献することを意味する。
To achieve this, CISA must have the capabilities to understand the OSS ecosystem and collaborate with the OSS community. CISA recognizes that the open source community is not starting from scratch and already has many initiatives underway focused on security. CISA strives to align with and amplify these initiatives with the goal of channeling the federal government’s authorities and capabilities to foster greater OSS security.  これを達成するために、CISAはOSSエコシステムを理解し、OSSコミュニティと協力する能力を持たなければならない。CISAは、オープンソースコミュニティがゼロから出発しているわけではなく、すでにセキュリティに焦点を当てた多くの取り組みが進行中であることを認識している。CISAは、連邦政府の権限と能力を活用し、OSSセキュリティの向上を促進することを目標に、こうした取り組みと連携し、これを増幅するよう努める。
Objective 1.1. Partner With OSS Communities  目標 1.1. OSSコミュニティと提携する 
CISA will show up as an OSS community member, working hand-in-hand with OSS communities. Similar to how CISA has formed partnership groups with companies across various sectors, CISA will establish partnerships with OSS communities. CISA will establish a real-time collaboration channel with OSS community members (including OSS foundations and community organizations, code hosting services, and package managers). This channel will allow the OSS community members to provide individual input on actions CISA is taking, individually participate in roadmap planning sessions, and allow CISA to identify additional ways to support OSS community efforts. CISA will also contribute to broader community efforts that work to strengthen the security and resiliency of the OSS ecosystem by participating in relevant community working groups on OSS security.  CISAはOSSコミュニティの一員として、OSSコミュニティと手を携えて活動する。CISAが様々な分野の企業とパートナーシップ・グループを形成してきたのと同様に、CISAはOSSコミュニティとのパートナーシップを確立する。CISAは、OSSコミュニティ・メンバー(OSS財団やコミュニティ組織、コード・ホスティング・サービス、パッケージ・マネージャーを含む)とのリアルタイム・コラボレーション・チャネルを確立する。このチャネルにより、OSSコミュニティ・メンバーはCISAが取っている行動について個別に意見を提供し、ロードマップ計画セッションに個別に参加し、CISAがOSSコミュニティの取り組みを支援する追加的な方法を特定できるようになる。CISAはまた、OSSセキュリティに関する関連コミュニティのワーキンググループに参加することで、OSSエコシステムのセキュリティとレジリエンスの強化に取り組む、より広範なコミュニティの取り組みに貢献する。
In addition, CISA will continue its ongoing collaborative planning effort with industry, OSS communities, and interagency partners to better understand the role OSS components currently play in industrial control system (ICS) products and develop a plan to improve those components’ maintenance and security.  さらに、CISAは、産業制御システム(ICS)製品においてOSSコンポーネントが現在果たしている役割をよりよく理解し、これらのコンポーネントの保守とセキュリティを改善する計画を策定するために、産業界、OSSコミュニティ、省庁間パートナーとの現在進行中の共同計画策定作業を継続する。
Objective 1.2. Encourage Collective Action From Centralized OSS Entities  目標1.2. 集中型OSS事業体の集団行動を奨励する。
Recognizing that centralized OSS entities such as package managers and code hosting services can help drive systemic security improvements, CISA will encourage collective action from and greater accountability by these entities. CISA will participate in relevant working groups on securing these centralized entities, with the goal of working collaboratively to develop security principles for package managers and other centralized platforms in the OSS ecosystem.  パッケージマネージャやコードホスティングサービスなどの中央集権的な OSS 事業体が、体系的なセキュリ ティ改善の推進に役立つことを認識し、CISA は、これらの事業体による集団的行動と説明責任 の強化を奨励する。CISA は、パッケージマネージャや OSS エコシステム内の他の集中型プラットフォー ムのセキュリティ原則を共同で策定することを目標に、これらの集中型事業体のセキュリ ティ確保に関する関連作業部会に参加する。
Objective 1.3. Expand Engagement and Collaboration With International Partners   目標 1.3. 国際的パートナーとの関与と協力の拡大  
OSS is a public good, providing benefits for governments and private sector organizations around the world. This makes it crucial for the federal government to engage with its international partners and allies to bolster OSS security and resilience. In coordination with interagency partners, CISA will conduct engagements with international partners and allies and identify opportunities to collaborate on areas of shared interest, including the adoption of practices laid out in this roadmap.  OSSは公共財であり、世界中の政府や民間組織に利益をプロバイダとして提供している。このため連邦政府は、OSS のセキュリティとレジリエンスを強化するために、国際的なパートナーや同盟国と連携することが極めて重要である。省庁間のパートナーと連携して、CISA は国際的なパートナーや同盟国との連携を実施し、このロードマップに記載されたプラクティスの採用を含め、共通の関心分野で協力する機会を特定する。
Objective 1.4. Establish and Organize CISA’s OSS Work  目標1.4. CISAのOSS業務の確立と組織化 
CISA must be organizationally structured to execute on the open source efforts described in this roadmap. To that end, CISA will increase our breadth and depth of OSS security expertise and will establish an internal CISA Open Source Software Security Working Group to coordinate CISA’s work on OSS security.  CISAは、このロードマップに記載されているオープンソースへの取り組みを実行するために、組織的に構造化されなければならない。そのため、CISA は、OSS セキュリティの専門知識の幅と深さを拡大し、CISA 内部にオープンソースソフトウェア・セキュリティ作業部会を設置して、OSS セキュリティに関する CISA の作業を調整する。
Goal 2: Drive Visibility into OSS Usage and Risks  目標2:OSSの利用状況とリスクの可視化を推進する。
To understand where CISA can best support the security of the OSS ecosystem, we must understand where the greatest dependencies lie for the federal government and critical infrastructure. To that end, CISA will identify the OSS libraries that are most used to support critical functions across the federal government and critical infrastructure. CISA will utilize this information to understand where the greatest risks lie and prioritize activities to mitigate and reduce these risks.  CISAがOSSエコシステムのセキュリティを最も支援できる分野を理解するためには、連邦政府と重要インフラにとって最も依存度の高い分野を理解する必要がある。そのため、CISAは連邦政府と重要インフラ全体の重要機能をサポートするために最も使用されているOSSライブラリを識別する。CISAはこの情報を活用して、最大のリスクがどこにあるかを理解し、これらのリスクを低減・軽減するための活動に優先順位を付ける。
Objective 2.1. Understand OSS Software Prevalence  目的2.1. OSSソフトウェアの普及状況を把握する。
CISA will develop a capability for assessing OSS software prevalence in the federal government and will engage federal and critical infrastructure partners to improve CISA’s awareness of OSS software prevalence in critical infrastructure. For the federal government, this will involve aggregating readily available data on software prevalence from existing data sources, such as CISA’s Continuous Diagnostics and Mitigation (CDM) program. For areas where data is not as readily available, such as operational technology (OT) and ICS, CISA will work to advance our capability for assessing software prevalence and underlying OSS components. The goal is to understand all software prevalence including prevalence of software that is end-of-life, end-of-support, various versions, OSS, as well as unique software that may require additional resources to secure and maintain. For critical infrastructure, CISA will work with Sector Risk Management Agencies and critical infrastructure owners and operators to identify opportunities for voluntary sharing of data.
CISAは、連邦政府におけるOSSソフトウェアの普及状況を評価する能力を開発し、連邦政府および重要インフラのパートナーを関与させて、重要インフラにおけるOSSソフトウェアの普及状況に関するCISAの認識を向上させる。連邦政府については、CISAの継続的診断・低減(CDM)プログラムなどの既存のデータソースから、ソフトウェアの普及状況に関する入手しやすいデータを集約する。運用技術(OT)や ICS など、データが入手しにくい分野については、CISA は、ソフトウェアの普及状況や OSS コンポーネントの基礎を評価する能力の向上に取り組む。その目標は、使用期限切れ、サポート終了、各種バージョン、OSSのほか、安全確保と保守に追加リソースを必要とする可能性のある固有のソフトウェアの普及を含む、すべてのソフトウェアの普及状況を把握することである。重要インフラについては、CISAは、セクター・リスクマネジメント機関および重要インフラ所有者・運営者と協力して、自主的なデータ共有の機会を特定する。
Objective 2.2. Develop a Framework for OSS Risk Prioritization  目標2.2. OSSリスク優先順位付けの枠組みを開発する。
CISA will develop a framework to conduct a risk prioritization of OSS components discovered in Objective 2.1. The framework will recommend importance criteria and prioritization factors, such as an OSS component’s level of usage, level of maintenance, build process security, and code security properties—like memory safety and. The framework will leverage existing work where possible and will be released to the public.  CISAは、目的2.1で発見されたOSS構成要素のリスク優先順位付けを実施するための枠組みを開発する。このフレームワークでは、OSSコンポーネントの使用レベル、保守レベル、ビルドプロセスのセキュリティ、コードセキュリティ特性(メモリ安全性など)などの重要度基準や優先順位付け要因を推奨する。フレームワークは、可能な限り既存の作業を活用し、一般に公開する。
The framework will identify various categorizations of OSS components, such as components that:  このフレームワークは、OSSコンポーネントの様々な分類を識別する: 
•       Due to their level of usage and existing support, the federal government should directly support.   ・その利用レベルと既存のサポートにより,連邦政府は直接サポートすべきである。
•       Are malicious, which the federal government should stop using; or   ・悪質であり,連邦政府は使用を中止すべきである。
•       Are well supported and the government may continue using.   ・十分にサポートされており,政府が使用を継続してもよい。
Objective 2.3. Conduct Risk-Informed Prioritization of OSS Projects in Federal Government and Critical Infrastructure  目的2.3. 連邦政府および重要インフラにおけるOSSプロジェクトのリスク情報に基づく優先順位付けを実施する。
CISA will apply the framework described above to the repositories identified in 2.1, generating a riskinformed prioritization of OSS dependencies in the federal government and, to the degree possible, critical infrastructure. This prioritization may group OSS dependencies into various categories, as described in Objective 2.2. CISA will use this list to ensure that the federal government’s OSS efforts focus on the most critical and relevant OSS dependencies. Additionally, CISA will leverage this prevalence list to further understand vulnerabilities present in OSS used by the federal government and critical infrastructure.  CISAは、上記のフレームワークを2.1で特定したリポジトリに適用し、連邦政府および可能な限り重要インフラにおけるOSS依存関係のリスク情報に基づく優先順位付けを行う。この優先順位付けは、目的2.2で説明するように、OSS依存性を様々なカテゴリーに分類することができる。CISAはこのリストを使用して、連邦政府のOSSへの取り組みが最も重要で関連性の高いOSS依存関係に集中するようにする。さらに、CISAはこの普及リストを活用して、連邦政府と重要インフラが使用するOSSに存在する脆弱性をさらに理解する。
Objective 2.4. Understand Threats to Critical OSS Dependencies  目標2.4. 重要なOSS依存性に対する脅威を理解する。
CISA will develop a process to continuously assess threats to critical OSS dependencies, including, when available, the prioritized list of OSS dependencies generated in 2.3. When relevant, CISA will publish alerts about targeting of key OSS dependencies.  CISAは、重要なOSS依存性に対する脅威を継続的に評価するプロセスを開発し、利用可能な場合は、2.3で作成したOSS依存性の優先順位付けリストを含む。関連する場合、CISAは、重要なOSS依存関係を標的とした警告を公表する。
Goal 3: Reduce Risks to the Federal Government  目標3:連邦政府に対するリスクの削減 
This goal focuses specifically on securing the federal government’s usage of OSS. Similar to companies that responsibly engage with OSS, the federal government must establish processes to manage our usage of OSS and means of contributing back to the OSS we depend upon.  この目標は、特に連邦政府のOSS利用の安全確保に焦点を当てる。責任を持ってOSSに関与する企業と同様に、連邦政府もOSSの利用を管理するプロセスと、依存するOSSに貢献する手段を確立しなければならない。
Objective 3.1. Evaluate Solutions to Aid in Secure Usage of OSS  目標3.1. OSSの安全な利用を支援するソリューションを評価する。
CISA will evaluate the feasibility and efficacy of offering future capabilities or services to aid federal agencies in addressing gaps around managing their OSS. Such services may include tools that integrate into the continuous integration and continuous delivery (CI/CD) process to assess OSS risks (e.g., flagging vulnerable/outdated dependencies) and tools that facilitate support back to open source dependencies.  CISAは、連邦機関がOSSを管理する際のギャップに対処するのを支援する機能またはサービスを将来的に提供することの実現可能性と有効性を評価する。そのようなサービスには、継続的インテグレーションおよび継続的デリバリー(CI/CD)プロセスに統合してOSSのリスクを評価するツール(脆弱性/期限切れの依存関係にフラグを立てるなど)や、オープンソースの依存関係に戻ってサポートを促進するツールが含まれる可能性がある。
Objective 3.2. Develop Open Source Program Office Guidance For Federal Agencies.  目標 3.2. 連邦政府機関向けオープンソース・プログラム・オフィス・ガイダンスを策定する。
Open source program offices (OSPOs)[7] have emerged in industry, civil society, and academia as a way to manage an organization’s OSS operations, including supporting the responsible usage of OSS and facilitating contributions back to OSS. CISA will develop open source program office (OSPO) best practice guidance for federal agencies and other entities who wish to implement OSPOs. CISA will support federal agencies who are interested in piloting OSPOs. オープンソース・プログラム・オフィス(OSPO)[7]は、OSS の責任ある利用を支援し、OSS への貢献を促進することを含め、組織の OSS 運用を管理する方法として、産業界、市民社会、および学界で出現している。CISAは、OSPOの導入を希望する連邦政府機関やその他の事業体のために、オープンソースプログラムオフィス(OSPO)のベストプラクティス・ガイダンスを策定する。CISAは、OSPOの試験的導入に関心を持つ連邦政府機関を支援する。
Objective 3.3. Drive Prioritization of Federal Actions in OSS Security  目標3.3. OSSセキュリティにおける連邦政府の行動の優先順位付けを推進する。
The Office of the National Cyber Director (ONCD) established the OS3I with the goal of advancing government policy and resources to foster greater OSS security. Working with ONCD and government partners, CISA will continue to contribute to OS3I to identify policies and resources that can be utilized to bolster OSS security and resilience.  国家サイバー長官室(ONCD)は、OSSセキュリティの向上を促進するために政府の政策とリソースを推進する目的でOS3Iを設立した。CISAは、ONCDおよび政府パートナーと協力して、OSSのセキュリティとレジリエンスを強化するために利用できる政策とリソースを特定するためにOS3Iに貢献し続ける。
CISA, through OS3I, will drive prioritization of federal actions that promote security and resilience within the OSS ecosystem. CISA, ONCD, the National Science Foundation (NSF), the Defense Advanced Research Projects Agency (DARPA), and the Office of Management and Budget (OMB) initiated this effort by publishing a Request for Information (RFI) on open-source software security and memory safe programming languages. Following the RFI, the authoring agencies will work to publish a report summarizing responses and identifying key areas for government action.  CISAは、OS3Iを通じて、OSSエコシステム内のセキュリティとレジリエンスを促進する連邦政府の行動の優先順位付けを推進する。CISA、ONCD、国家安全保障局(NSF)、国防高等研究計画局(DARPA)、および行政管理予算局(OMB)は、オープンソースソフトウェアのセキュリティとメモリ安全プログラミング言語に関する情報提供要請(RFI)を公表することにより、この取り組みを開始した。RFIの後、作成機関は、回答をまとめた報告書を発行し、政府が取り組むべき主要分野を特定する。
Goal 4: Harden the OSS Ecosystem  目標4:OSSエコシステムの強化 
Recognizing the public-good nature of OSS and that any efforts to secure the broader OSS ecosystem will increase the security and resilience of the federal government and critical infrastructure, CISA will advance efforts to harden the broader OSS ecosystem. This effort will focus on OSS components identified in Goal 2 as being particularly critical for the federal government and critical infrastructure.  CISAは、OSSの公益的な性質と、より広範なOSSエコシステムを保護するための取り組みが連邦政府と重要インフラのセキュリティとレジリエンスを向上させることをガバナンスして、より広範なOSSエコシステムを強化する取り組みを進める。この取り組みは、ガバナンス2で連邦政府と重要インフラにとって特に重要であると識別されたOSSコンポーネントに焦点を当てる。
Objective 4.1. Continue to Advance SBOM Within OSS Supply Chains  目標4.1. OSSサプライチェーン内でSBOMを推進し続ける 
Although the value of software bill of materials (SBOM) is broader than OSS, there are unique challenges to achieving comprehensive SBOM generation throughout open source supply chains. In addition to continuing its work to drive SBOM standardization, CISA will also focus on the requirements, challenges, and opportunities of automatically generating dependency data within the open source ecosystem. The broader SBOM work will continue to engage with the OSS community and CISA will propose collaborations as appropriate with stakeholders identified in the initiatives above.   ソフトウェア部品表(SBOM)の価値は OSS よりも広範であるが、オープンソース・サプライチェーン全体で包括的な SBOM 生成を達成するには、独自の課題がある。CISAは、SBOM標準化を推進する作業の継続に加えて、オープンソースのエコシステム内で依存関係データを自動的に生成するための要件、課題、機会にも焦点を当てる。より広範なSBOM作業はOSSコミュニティとの関わりを継続し、CISAは、上記の取り組みで識別された利害関係者との適切な連携を提案する。 
Objective 4.2. Foster Security Education for Open Source Developers  目標 4.2. オープンソース開発者に対するセキュリティ教育を促進する。
In coordination with relevant federal agencies, including the NSF, CISA will support security education for current and future open source developers. As part of this effort, CISA, consulting with the open source community, will publish open source security toolkits that collect best practices and resources for open source security. This will include a toolkit for OSS maintainers with resources on secure software development and vulnerability disclosure,   CISA は、NSF を含む関連連邦機関と連携して、現在及び将来のオープンソース開発者向けのセ キュリティ教育を支援する。この取り組みの一環として、CISA はオープンソースコミュニティと協議しながら、オープンソースセキュリティのベストプラクティスとリソースを集めたオープンソースセキュリティツールキットを発行する。これには、安全なソフトウエア開発と脆弱性開示に関するリソースを含む、OSS メンテナ向けのツールキットが含まれる、  
Objective 4.3. Publish Guidance on OSS Security Usage Best Practices  目標 4.3. OSS セキュリティ利用のベストプラクティスに関するガイダンスを公表する。
CISA will publish best practices on securely incorporating OSS for entities including federal agencies, critical infrastructure organizations, and SLTT. This will include guidance for open source consumers on how to responsibly use OSS, as well as resources to understand OSS basics, a description of how OSS contributes to critical infrastructure, and OSS security basics.  CISAは、連邦機関、重要インフラ組織、SLTTを含む事業体向けに、OSSを安全に組み込むためのベスト・プラクティスを公表する。これには、責任を持ってOSSを利用する方法に関するオープンソース利用者向けのガイダンスのほか、OSSの基本、OSSが重要インフラにどのように貢献するかの説明、OSSセキュリティの基本を理解するためのリソースを含める。
Objective 4.4. Foster OSS Vulnerability Disclosure and Response  目標 4.4. OSS 脆弱性の開示と対応の促進 
CISA will continue to coordinate vulnerability disclosure and response for OSS vulnerabilities by leveraging relationships with the OSS community. This coordination may include establishing processes to specifically look for upstream issues in open source packages that critical infrastructure organizations depend on and quickly notify affected users of the identified vulnerabilities.  CISAは、OSSコミュニティとの関係を活用することにより、OSSの脆弱性の開示と対応を引き続き調整する。この調整には、重要インフラ組織が依存するオープン・ソース・パッケージの上流の問題を特に調査し、識別された脆弱性について影響を受けるユーザーに迅速に通知するプロセスを確立することも含まれる。

 

[1] Source code is the human-readable formal language that software developers use to specify the actions a computer will take.  [1] ソースコードとは、ソフトウェア開発者がコンピュータが実行する動作を指定するために使用する、人間が読める形式言語である。
[2] Synopsys. “2023 Open Source Security and Risk Analysis Report.” Last modified April 2023. https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-riskanalysis.html   [2] シノプシス。"2023 Open Source Security and Risk Analysis Report". 最終更新2023年4月。https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-riskanalysis.html  
[3] Gershon, Aviad and Folkman, Tal. “‘CuteBoi’ Detected Preparing a Large-Scale Crypto Mining Campaign on NPM Users.” Checkmarx Blog. July 6, 2022. https://checkmarx.com/blog/cuteboi-detected-preparing-a-largescale-crypto-mining-campaign-on-npm-users/.  [3] Gershon, Aviad and Folkman, Tal. "「CuteBoi」がNPMユーザーに対して大規模な暗号マイニングキャンペーンを準備していることを検知". Checkmarx Blog. https://checkmarx.com/blog/cuteboi-detected-preparing-a-largescale-crypto-mining-campaign-on-npm-users/。
[4] Trend Micro Research. “How Shady Code Commits Compromise the Security of the Open-Source Ecosystem.” Trend Micro Blog. July 11, 2022. https://www.trendmicro.com/en_us/research/22/g/how-shady-codecommits-compromise-the-security-of-the-open-sourc.html.  [4] Trend Micro Research. "How Shady Code Commits Compromise the Security of the Open-Source Ecosystem". トレンドマイクロブログ. https://www.trendmicro.com/en_us/research/22/g/how-shady-codecommits-compromise-the-security-of-the-open-sourc.html. 
[5] Tal, Liran. “What is typosquatting and how typosquatting attacks are responsible for malicious modules in npm.” Snyk Blog. January 12, 2021. https://snyk.io/blog/typosquatting-attacks/.   [5] Tal, Liran. "typosquattingとは何か、そしてtyposquatting攻撃がどのようにnpmの悪意のあるモジュールの原因となっているか". Snyk Blog. https://snyk.io/blog/typosquatting-attacks/。 
[6] These types of OSS supply chain attacks are described in more detail in Ladisa et al. See Ladisa, P., Plate, H., Martinez, M., and O. Barais. 2023. SoK: Taxonomy of Attacks on Open Source Software Supply Chains. Proceedings of the 2023 IEEE Symposium on Security and Privacy (SP), San Francisco, CA, USA, pp. 167-184. doi: 10.1109/SP46215.2023.00010.  [6] これらのタイプのOSSサプライチェーン攻撃については、Ladisa et al. 2023. SoK: Taxonomy of Attacks on Open Source Software Supply Chains. Proceedings of the 2023 IEEE Symposium on Security and Privacy (SP), San Francisco, CA, USA, pp.167-184. 
[7] TODO (OSPO) Group. “Open Source Program Office (OSPO) Definition and Guide.” May 31, 2023. https://github.com/todogroup/ospodefinition.org.  [7] TODO (OSPO) Group. "オープンソースプログラムオフィス(OSPO)の定義とガイド". https://github.com/todogroup/ospodefinition.org. 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.14 米国 CISA他 情報提供依頼: オープンソースソフトウェア・セキュリティ: 長期的な重点分野と優先順位付け

 

| | Comments (0)

ISO マネジメントシステム認証の取得数、取得サイト数 2022.12.31現在 日本企業はマネジメント認証が好きか?

こんにちは、丸山満彦です。

ISOがマネジメントシステム認証の取得数、取得サイト数(2022.12.31現在)の調査結果を公表していますね。。。

日本企業はISO認証が大好きという話がありましたが、意外とそうでもないかもです。。。どうなんでしょうかね。。。

ISMSの認証も20年ほど前は日本の認証数が全世界の半数以上だったのですが、今は10%弱となっていますね。。。

 

ISO

・2023.09.12 The ISO Survey

Full Survey Data (過去のデータもあります。。。)

Title Down Loaded
0.Explanatory note and overview on ISO Survey 2022 results XLSX
1.ISO Survey 2022 results - Number of certificates and sites per country and the number of sector overall XELS
2. ISO Survey 2022 results - Number of sectors by country for each standard XLSX
3.ISO Survey 2022 - comparison with 2021 - using data from providers taking part both years XLSX
Past Surveys  

 

日本での認証数

      日本 全世界
ISO 9001: 2015 Quality management systems -- Requirements 品質マネジメントシステム--要求事項 38,916 1,265,216 3.1%
ISO 14001: 2015 Environmental management systems -- Requirements with guidance for use 環境マネジメントシステム -- 要求事項(使用ガイダンス付き 20,892 529,853 3.9%
ISO/IEC 27001: 2013 Information technology -- Security techniques -- Information security management systems -- Requirements 情報技術 -- セキュリティ技術 -- 情報セキュリティマネジメントシステム -- 要求事項 6,987 71,549 9.8%
ISO 22000: 2018 Food safety management systems -- Requirements for any organization in the food chain 食品安全マネジメントシステム -- フードチェーンにおけるあらゆる組織に対する要求事項 1,833 45,459 4.0%
ISO 45001: 2018 Occupational health and safety management systems -- Requirements with guidance for use 労働安全衛生マネジメントシステム--使用ガイダンス付き要求事項 1,948 397,339 0.5%
ISO 13485: 2016 Medical devices -- Quality management systems -- Requirements for regulatory purposes 医療機器--品質マネジメントシステム--規制目的のための要求事項 2 29,741 0.0%
ISO 50001: 2018 Energy management systems -- Requirements with guidance for use エネルギーマネジメントシステム -- 使用ガイダンス付き要求事項 10 28,164 0.0%
ISO 22301: 2012&2019 Societal security -- Business continuity management systems -- Requirements 社会セキュリティ -- 事業継続マネジメントシステム -- 要求事項 64 3,200 2.0%
ISO/IEC 20000-1: 2018 Information technology -- Service management -- Part 1: Service management system requirements 情報技術--サービスマネジメント--第1部:サービスマネジメントシステム要求事項 112 27,009 0.4%
ISO 28000: 2007 Specification for security management systems for the supply chain サプライチェーンのセキュリティマネジメントシステムに関する仕様書 0 521 0.0%
ISO 37001: 2016 Anti-bribery management systems -- Requirements with guidance for use 贈収賄防止マネジメントシステム -- 要求事項と使用ガイダンス 0 5,969 0.0%
ISO 39001: 2012 Road traffic safety management systems -- Requirements with guidance for use 道路交通安全マネジメントシステム--使用ガイダンス付き要求事項 29 1,550 1.9%
ISO 20121: 2012 Event sustainability management systems — Requirements with guidance for use イベント持続可能性マネジメントシステム-使用ガイダンス付き要求事項 3 247 1.2%
ISO 29001: 2020 Petroleum, petrochemical and natural gas industries — Sector-specific quality management systems — Requirements for product and service supply organizations 石油、石油化学及び天然ガス産業-セクター別品質マネジメントシステム-製品及びサービス供給組織に対する要求事項 0 177 0.0%
ISO 44001: 2017 Collaborative business relationship management systems — Requirements and framework 共同事業関係管理システム-要求事項及び枠組み 1 118 0.8%
ISO 55001: 2014 Asset Management - management systems — requirements 資産管理-マネジメントシステム-要求事項 74 997 7.4%
合計     70,871 2,407,109 2.9%

 

認証数の多い、

ISO 9001、ISO 14001、ISO 45001、ISO/IEC 27001、のトップ10の国とその割合...

中国がどの認証でも圧倒的なトップ。意外と多いのがイタリア。これからインドもそれなりにあるので、経済発展とともに増えそうですね。。。

 

9001 Country  certificates  
1 China 551,855 43.6%
2 Italy 94,216 7.4%
3 India 61,653 4.9%
4 Germany 47,576 3.8%
5 United Kingdom of Great Britain and Northern Ireland 43,765 3.5%
6 Japan 38,916 3.1%
7 Spain 32,059 2.5%
8 United States of America 29,579 2.3%
9 Korea (Republic of) 27,155 2.1%
10 France 21,880 1.7%
合計   1,265,216 100.0%

 

14001 Country  certificates  
1 China 295,501 55.8%
2 Japan 20,892 3.9%
3 Italy 20,294 3.8%
4 United Kingdom of Great Britain and Northern Ireland 18,717 3.5%
5 Spain 14,778 2.8%
6 Korea (Republic of) 13,439 2.5%
7 Germany 13,383 2.5%
8 India 12,562 2.4%
9 France 6,454 1.2%
10 Australia 6,170 1.2%
合計   529,853  100.0%

 

45001 Country certificates  
1 China 266,898 67.2%
2 Italy 15,255 3.8%
3 United Kingdom of Great Britain and Northern Ireland 11,397 2.9%
4 India 10,326 2.6%
5 Australia 6,679 1.7%
6 Spain 5,603 1.4%
7 Korea (Republic of) 5,038 1.3%
8 Colombia 3,733 0.9%
9 Romania 3,288 0.8%
10 Germany 3,092 0.8%
合計   397,339 100.0%

 

27001 Country certificates  
1 China 26,301 36.8%
2 Japan 6,987 9.8%
3 United Kingdom of Great Britain and Northern Ireland 6,084 8.5%
4 India 2,969 4.1%
5 Italy 2,424 3.4%
6 United States of America 1,980 2.8%
7 Netherlands 1,741 2.4%
8 Germany 1,582 2.2%
9 Spain 1,561 2.2%
10 Israel 1,467 2.1%
合計   71,549 100.0%

 

Iso_20230201164101

 

 

参考....

認定機関の国際団体...国際認定フォーラム [wikipedia]

International Accreditation Forum, Inc

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2007.01.05 ISMSの認証取得は世界で3233サイト、Pマークは6360社

この時は、世界の約60%の認証が日本でした。

・2006.02.24 ISO/IEC 27001 特需?

・2005.10.29 ISO/IEC27001売ってます

・2005.08.27 JIPDEC ISMS認証取得事業者 1000件を超える

・2005.07.11 海外からは不思議に見られている?ISMS認定取得

・2005.03.31 埼玉県 住民基本台帳ネット ISMS認証取得

・2005.02.10 ISMS Pマークと個人情報の委託先の選定

・2005.01.31 金持ち企業は簡単にISMSが取得できる?

・2005.01.25 ISMSの形骸化

・2005.01.05 BS7799-2の認証は1000件を超えている

 

| | Comments (0)

2023.09.17

米国 NSA FBI CISA 組織に対するディープフェイクの脅威の文脈化

こんにちは、丸山満彦です。

NSA、 FBI、CISAが共同で、ディープフェイクの脅威についての報告書を公表していますね。。。

フェイク対策についてまとまっていて、参考になるところも多いし、これから日本でも取り組んでいくべきこともあるようにも思えます。

 

CISA

・2023.09.12 NSA, FBI, and CISA Release Cybersecurity Information Sheet on Deepfake Threats

NSA, FBI, and CISA Release Cybersecurity Information Sheet on Deepfake Threats< NSA、FBI、CISA、ディープフェイクの脅威に関するサイバーセキュリティ情報シートを発表
Today, the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), and the Cybersecurity and Infrastructure Security Agency (CISA) released a Cybersecurity Information Sheet (CSI), Contextualizing Deepfake Threats to Organizations, which provides an overview of synthetic media threats, techniques, and trends. Threats from synthetic media, such as deepfakes, have exponentially increased—presenting a growing challenge for users of modern technology and communications, including the National Security Systems (NSS), the Department of Defense (DoD), the Defense Industrial Base (DIB), and national critical infrastructure owners and operators. Between 2021 and 2022, U.S. Government agencies collaborated to establish a set of employable best practices to take in preparation and response to the growing threat. Public concern around synthetic media includes disinformation operations, designed to influence the public and spread false information about political, social, military, or economic issues to cause confusion, unrest, and uncertainty. 本日、国家安全保障局(NSA)、連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)は、合成メディアの脅威、技術、傾向の概要を示すサイバーセキュリティ情報シート(CSI)「組織に対するディープフェイクの脅威の文脈化」を発表した。ディープフェイクのような合成メディアからの脅威は指数関数的に増加しており、国家安全保障システム(NSS)、国防省(DoD)、防衛産業基盤(DIB)、国家の重要インフラの所有者や運営者など、現代のテクノロジーやコミュニケーションの利用者にとって、ますます大きな課題となっている。2021年から2022年にかけて、米国ガバナンス政府は、増大する脅威への準備と対応において取るべき一連の採用可能なベストプラクティスを確立するために協力した。合成メディアをめぐる社会的関心には偽情報作戦も含まれ、政治、社会、軍事、経済問題に関して、混乱、不安、不確実性を引き起こすために、大衆に影響を与え、偽情報を広めることを目的としている。
The authoring agencies urge organizations review the CSI for recommended steps and best practices to prepare, identify, defend against, and respond to deepfake threats. 作成機関は、組織がディープフェイクの脅威に備え、識別し、防御し、対応するための推奨される手順とベストプラクティスについて、CSIを検討するよう促している。
To report suspicious activity or possible incidents involving deepfakes, contact one of the following agencies: 疑わしい活動やディープフェイクに関わるインシデントの可能性を報告するには、以下のいずれかの機関に連絡すること:

 

 

・[PDF]

20230917-45123

 

・[DOCX] 仮訳

 

エグゼクティブサマリー...

Executive summary 要旨
Threats from synthetic media, such as deepfakes, present a growing challenge for all users of modern technology and communications, including National Security Systems (NSS), the Department of Defense (DoD), the Defense Industrial Base (DIB), and national critical infrastructure owners and operators. ディープフェイクのような合成メディアからの脅威は、国家安全保障システム(NSS)、国防総省(DoD)、防衛産業基盤(DIB)、国家重要インフラの所有者や運用者を含む、現代のテクノロジーとコミュニケーションのすべてのユーザーにとって、増大する課題を提示している。
As with many technologies, synthetic media techniques can be used for both positive and malicious purposes. While there are limited indications of significant use of synthetic media techniques by malicious state-sponsored actors, the increasing availability and efficiency of synthetic media techniques available to less capable malicious cyber actors indicate these types of techniques will likely increase in frequency and sophistication. 多くの技術と同様に、合成メディアの技術は、肯定的な目的にも悪意ある目的にも使用される可能性がある。悪意のある国家に支援された行為者による合成メディア技術の重要な使用の兆候は限られているが、能力の低い悪意のあるサイバー行為者が利用可能な合成メディア技術の可用性と効率性が高まっていることから、この種の技術の頻度と洗練度は増加する可能性が高い。
Synthetic media threats broadly exist across technologies associated with the use of text, video, audio, and images which are used for a variety of purposes online and in conjunction with communications of all types. Deepfakes are a particularly concerning type of synthetic media that utilizes artificial intelligence/machine learning (AI/ML) to create believable and highly realistic media. [1] The most substantial threats from the abuse of synthetic media include techniques that threaten an organization’s brand, impersonate leaders and financial officers, and use fraudulent communications to enable access to an organization’s networks, communications, and sensitive information. 合成メディアの脅威は、テキスト、ビデオ、音声、画像の使用に関連する技術に広く存在し、これらはオンライン上で、またあらゆる種類のコミュニケーションに関連して、さまざまな目的で使用されている。ディープフェイクは、人工知能/機械学習(AI/ML)を利用して、信憑性が高く、非常にリアルなメディアを作成する、特に懸念されるタイプの合成メディアである。[1] 合成メディアの悪用による最も重大な脅威には、組織のブランドを脅かしたり、リーダーや財務責任者になりすましたり、不正なコミュニケーションを利用して組織のネットワーク、コミュニケーション、機密情報へのアクセスを可能にしたりする手法が含まれる。
Organizations can take a variety of steps to identify, defend against, and respond to deepfake threats. They should consider implementing a number of technologies to detect deepfakes and determine media provenance, including real-time verification capabilities, passive detection techniques, and protection of high priority officers and their communications. [2] [3] Organizations can also take steps to minimize the impact of malicious deepfake techniques, including information sharing, planning for and rehearsing responses to exploitation attempts, and personnel training. 組織は、ディープフェイクの脅威を識別し、防御し、対応するために、様々な手段を講じることができる。リアルタイム検証機能、パッシブ検知技術、優先度の高い役員とその通信の保護など、ディープフェイクを検知し、メディアの出所を特定するための多くの技術の導入を検討すべきである。[2] [3] 組織はまた、悪意のあるディープフェイク手法の影響を最小化するために、情報共有、悪用の試みに対する対応計画とリハーサル、要員の訓練などの措置を講じることができる。
In particular, phishing using deepfakes will be an even harder challenge than it is today, and organizations should proactively prepare to identify and counter it. Several public and private consortiums also offer opportunities for organizations to get involved in building resilience to deepfake threats, including the Coalition for Content Provenance and Authenticity and Project Origin. [4] [5] 特に、ディープフェイクを使用したフィッシングは、現在よりもさらに困難な課題となるため、組織は積極的にその識別と対策に備えるべきである。また、「Coalition for Content Provenance and Authenticity」や「Project Origin」など、いくつかの官民のコンソーシアムも、ディープフェイクの脅威に対するレジリエンス構築に関与する機会を組織に提供している。[4] [5]
This cybersecurity information sheet, authored by the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), and the Cybersecurity and Infrastructure Security Agency (CISA), provides an overview of synthetic media threats, techniques, and trends. It also offers recommendations for security professionals focused on protecting organizations from these evolving threats through advice on defensive and mitigation strategies. このサイバーセキュリティ情報シートは、国家安全保障局(NSA)、連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)が作成したもので、合成メディアの脅威、テクニック、トレンドの概要を提供している。また、防御および低減戦略に関するアドバイスを通じて、これらの進化する脅威から組織を保護することに重点を置くセキュリティ専門家への提言も行っている。

 

 

検知と認証についての官民共同のイニシアチブ

· The DARPA Semantic Forensics program is currently developing advanced semantic capabilities for media forensics and authentication. Program participants include NVIDIA, PAR Government Systems, SRI International, and several research institutions. [30]  · DARPAセマンティック・フォレンジック・プログラムは現在、メディア・フォレンジックと認証のための高度なセマンティック機能を開発している。プログラム参加者には、NVIDIA、PAR Government Systems、SRI International、および複数の研究機関が含まれる。[30] 
· The Air Force Research Lab (AFRL) recently awarded a contract to the small business, DeepMedia, for the development of deepfake detection capabilities. [31]  · 空軍研究所(AFRL)は最近、ディープフェイク検出機能の開発契約を中小企業のDeepMediaに発注した。[31] 
· Deepfake detection tools have been fielded by several companies, including Microsoft, Intel, and Google.   · ディープフェイク検出ツールは、マイクロソフト、インテル、グーグルなど複数の企業によって提供されている。  
o   Prior to the 2020 elections, Microsoft introduced the Microsoft Video Authenticator and in 2023 they rolled out more context for the authenticity of images they may receive. [32]  o   2020年の選挙に先立ち、マイクロソフトはマイクロソフト・ビデオ・オーセンティケータを導入し、2023年には、受信する可能性のある画像の信憑性について、より多くのコンテクストを展開した。[32] 
o   Intel introduced a real-time deepfake detector in late 2022 labeled FakeCatcher which detects fake videos. [33]  o   インテルは2022年後半に、偽の動画を検出するFakeCatcherと名付けられたリアルタイムのディープフェイク検出器を発表した[33]。
o   Google, in collaboration with academic researchers in Europe, contributed a large dataset of visual deepfakes to the FaceForensics Benchmark in 2019. [34] [35]  o   グーグルはヨーロッパの学術研究者と共同で、2019年にFaceForensics Benchmarkに視覚的なディープフェイクの大規模なデータセットを提供した。[34] [35] 
· Adobe launched the Content Authenticity Initiative (CAI) in 2019 to push for provenance of digital content. CAI has several hundred members seeking to develop open content attribution standards. [36] CAI developed the Coalition for Content Providence and Authenticity ( C2PA ) . “C2PA unifi Adobe-led Content Authenticity Initiative (CAI) which focuses on systems to provide context and history for digital media, and Project Origin, a Microsoft- and BBC-led initiative that tackles disinformation in the digital news ecosystem.” [4]  ·        アドビは2019年にContent Authenticity Initiative(CAI)を立ち上げ、デジタルコンテンツの証明性を推進している。CAIには、オープンなコンテンツ帰属基準を開発しようとする数百人のメンバーがいる。[36] CAI は、Coalition for Content Providence and Authenticity (C2PA) を開発した。「C2PAは、アドビが主導するContent Authenticity Initiative (CAI)と、マイクロソフトとBBCが主導するProject Originを統合したもので、デジタル・ニュースのエコシステムにおける偽情報に取り組んでいる。[4] 

 

[4] The Coalition for Content Provenance and Authenticity (C2PA), https://c2pa.org/

[30] Defense Advanced Research Projects Agency, Semantic Forensics (SemaFor), https://www.darpa.mil/program/semantic-forensics

[31] DeepMedia, DeepMedia to Help AFRL Spot Deep Fakes, https://www.deepmedia.ai/press/deepmedia-to-help-afrl-spot-deep-fakes

[32] Google, Get helpful context with About this image, https://blog.google/products/search/about-thisimage-google-search/

[33] Intel, Intel Introduces Real-Time Deepfake Detector, https://www.intel.com/content/www/us/en/newsroom/news/intel-introduces-real-time-deepfakedetector.html#gs.zllvh5

[34] Technical University of Munich, FaceForensics++: Learning to Detect Manipulated Facial Images, https://github.com/ondyari/FaceForensics/

[35] Google Research, Contributing Data to Deepfake Detection Research, https://blog.research.google/2019/09/contributing-data-to-deepfake-detection.htm

[36] Content Authenticity Initiative, https://contentauthenticity.org/

 

 

推奨対策...

1. Select and implement technologies to detect deepfakes and demonstrate media provenance:  1. ディープフェイクを検出し、メディアの証明性を実証する技術を選択し、実装する: 
·        Real-time verification capabilities and procedures: Organizations should implement identity verification capable of operating during real-time communications. Identity verification for real-time communications will now require testing for liveness given the rapid improvements in generative-AI and real-time rendering. Mandatory multi-factor authentication (MFA), using a unique or one-time generated password or PIN, known personal details, or biometrics, can ensure those entering sensitive communication channels or activities are able to prove their identity. These verification steps are especially important when considering procedures for the execution of financial transactions.  ·        リアルタイムの検証機能および手順:組織は、リアルタイム通信中に動作可能な ID 検証機能を実装する必要がある。リアルタイム通信の ID 検証は、ジェネレーティブ AI とリアルタイム・レンダリングの急速な改善を考慮すると、現在では有効性のテストが必要になる。一意または一度だけ生成されるパスワードやPIN、既知の個人情報、またはバイオメトリクスを使用する多要素認証(MFA)を義務化することで、機密性の高い通信チャネルやアクティビティに入る人が身元を証明できるようにすることができる。金融取引の実行手順を考慮する場合、これらの検証手順は特に重要である。 
o   Companies that offer liveness tests powered by virtual injection techniques include ID R&D [44], Facetec [45], IProov [46], and many more.   o   仮想インジェクション技術による活性テストを提供している企業には、ID R&D [44]、Facetec [45]、IProov [46]などがある。  
o   The Center for Identification, Technology Research (CITeR) is a research initiative, funded in part by the National Science Foundation and other partners from the academic, commercial, and government sectors, that conducts research on techniques to achieve these goals. [47]   o   識別技術研究センター(CITeR)は、全米科学財団(National Science Foundation)および学術、商業、政府部門の他のパートナーから一部資金提供を受けている研究イニシアチブであり、これらの目標を達成するための技術に関する研究を行っている。[47]  
o   Passive detection of deepfakes: Passive detection techniques should be used when trying to determine the authenticity of previously created media. In these cases, recommendations for forensic analysis are as follows:  o   ディープフェイクの受動的検知:以前に作成されたメディアの真正性を判断しようとする場合、受動的検知技術を使用すべきである。このような場合、フォレンジック分析の推奨事項は以下の通りである: 
Basic recommendations:  基本的な推奨事項 
o   Make a copy of the media prior to any analysis. o Hash both the original and the copy to verify an exact copy.   o   正確なコピーを確認するために、オリジナルとコピーの両方をハッシュする。 
o   Check the source (i.e., is the organization or person reputable) of the media before drawing conclusions.   o   結論を出す前に、メディアの出典(すなわち、その組織や人物が信頼できるものかどうか)を確認する。  
o   Reverse image searches, like TinEye, [48] Google Image Search, [49] and Bing Visual Search, [50] can be extremely useful if the media is a composition of images.   o   TinEye、[48]Google Image Search、[49]Bing Visual Search、[50]のような逆画像検索は、メディアが画像で構成されている場合、非常に有用である。  
o   Visual/audio examination – look and listen to the media first as there may be obvious signs of manipulation  o   視覚/聴覚検査-明らかな操作の兆候があるかもしれないので、まずメディアをよく見、よく聞く。 
n  Look for physical properties that would not be possible, such as feet not touching the ground.  n  足が地面につかないなど、あり得ないような物理的特性を探す。 
n  Look for presence of audio filters, such as noise added for obfuscation.  n  難読化のために加えられたノイズなど、音声フィルタの存在を探す。 
n  Look for inconsistencies.  n  矛盾点を探す。 
o    Metadata examination tools can sometimes provide additional insights depending on the situation.  o    メタデータ検査ツールは、状況に応じて、さらなる洞察を与えてくれることもある。 
n   All metadata intact is an indication of authenticity.  n   すべてのメタデータが無傷であることは、真正性を示すものである。 
n   Some metadata stripped indicates the media was potentially manipulated, but further investigation is required.  n   剥がされたメタデータの中には、メディアが操作された可能性を示すものもあるが、さらなる調査が必要である。 
n   All metadata stripped may indicate the media was obtained through a social media platform or other process that automatically strips the information.  n   剥奪されたすべてのメタデータは、メディアがソーシャルメディア・プラットフォームまたは自動的に情報を剥奪する他のプロセスを通じて入手されたことを示す場合がある。 
Advanced recommendations:  上級者への勧め 
o   Physics based examinations – complete checks to verify vanishing points, reflections, shadows, and more using ideas from Hany Farid [see Chapter 1 of Fake Photos for more information] [51] and other methods that use Fluid Dynamics. [52]  o   物理学に基づいた試験 - Hany Farid [詳しくはFake Photosの第1章を参照] [51] のアイデアや流体力学を使用した他の方法を使用して、消失点、反射、影などを確認するための完全なチェック。[52] 
o   Compression based examination – Use tools designed to look for compression artifacts, knowing that lossy compression in media will inherently destroy lots of forensic artifacts.  o   圧縮に基づく検査 - メディアの非可逆圧縮は、本質的に多くのフォレンジック・アーティファクトを破壊することを承知の上で、圧縮アーチファクトを探すように設計されたツールを使用する。 
o   Content based examinations (when appropriate) – Use tools designed to look for specific manipulations when suspected. For example:  o   内容に基づく検査(適切な場合) - 疑わしい場合は、特定の操作を探すように設計されたツールを使用する。例えば 
n  Use tools like those available on GitHub [53] if a GAN was suspected for deepfake production.   n  ディープフェイク制作にGANが疑われる場合は、GitHub [53]にあるようなツールを使用する。  
n  Consider plug-ins to detect suspected fake profile pictures. [54]  n  偽のプロフィール写真の疑いを検出するプラグインを検討してください。[54] 
n  Explore the Antispoofing Wiki with various deepfake detection tools and software. [55]  n  様々なディープフェイク検出ツールやソフトウェアが掲載されているAntispoofing Wikiをご覧ください。[55] 
n  Use open source algorithms and papers for various manipulation tasks, such as grip-unina [56] and the deepfake detection challenge. [57]  n  grip-unina [56]やdeepfake detection challenge [57]のような、様々な操作タスクのためのオープンソースのアルゴリズムや論文を利用する。[57] 
n  In addition to the techniques and categories mentioned above, other techniques can be deployed to detect deepfakes of high priority individuals. Such techniques are based off the unique characteristics of the individual and are sometimes referred to as Person of Interest (POI) models. Training these models for a particular person can be time consuming and, in some cases, requires hours of data. However, if the concern is to protect a particular individual, these methods are designed just for that. Some examples include:  n  優先順位の高い個人のディープフェイクを検出するために、上記の技術とカテゴリに加えて、他の技術を導入することができる。このような技術は、個人のユニークな特徴に基づいており、Person of Interest (POI)モデルと呼ばれることもある。特定の人物についてこれらのモデルをトレーニングするには時間がかかり、場合によっては何時間もデータを必要とする。しかし、特定の個人を保護することが目的であれば、これらの方法はまさにそのために設計されている。いくつかの例を挙げる: 
•         ID-Reveal [58] and Audio-Visual Person-of-Interest DeepFake detection; [59]  •         ID-Reveal[58]とAudio-Visual Person-of-Interest DeepFake検出; [59]。 
•         Protecting World Leaders Against Deepfakes [60] and Protecting President Zelenskky; [61] and   •         ディープフェイクから世界の指導者を守る[60]」、「ゼレンスキー大統領を守る[61]」、そして  
•         Person Specific Audio Deepfake Detection. [62]  •         人物固有の音声・ディープフェイク検出。[62] 
•         Note on POI models: if organizations wish to protect their executives with POI models, they should consider actively collecting and curating legitimate video and audio recordings of these individuals. Such collections of data will be necessary to develop detection models.  •         POIモデルに関する注意:もし組織がPOIモデルを使って役員を保護したいのであれば、これらの個人の合法的なビデオや音声の記録を積極的に収集し、管理することを検討すべきである。このようなデータの収集は、検知モデルを開発するために必要である。 
2. Protect public data of high-priority individuals.  2. 優先順位の高い個人の公開データを保護する。 
To protect media that contains the individual from being used or repurposed for disinformation, one should consider beginning to use active authentication techniques such as watermarks and/or CAI standards. This is a good preventative measure to protect media and make it more difficult for an adversary to claim that a fake media asset portraying the individual in these controlled situations is real. Prepare for and take advantage of opportunities to minimize the impact of deepfakes.  個人を含むメディアが偽情報に利用されたり、再利用されたりしないように保護するために、透かしやCAI標準などの能動的認証技術の使用を開始することを検討すべきである。これは、メディアを保護し、敵対者がこのような管理された状況にある個人を描いた偽のメディア資産が本物であると主張することをより困難にするための良い予防策である。ディープフェイクの影響を最小化する機会を準備し、活用する。 
·         Plan and rehearse: Ensure plans are in place among organizational security teams to respond to a variety of deepfake techniques. These should be prioritized by the likelihood and unique vulnerabilities of each organization and their industry. Some organizations will be more susceptible to executive impersonation or misinformation which may impact brand status or public stock shares. Other organizations relying on high volumes of virtual financial transactions may be more vulnerable to financial fraud.  ·         計画を立て、リハーサルを行う:組織のセキュリティチーム間で、様々なディープフェイク手法に対応するための計画が策定されていることを確認する。これらは、各組織とその業界の可能性と固有の脆弱性によって優先順位をつけるべきである。組織によっては、ブランドの地位や株式公開に影響を及ぼす可能性のある経営陣のなりすましや誤情報の影響を受けやすい。また、大量の仮想金融取引に依存している組織では、金融詐欺に対してより脆弱かもしれない。 
·         Once a plan is established, do several tabletop exercises to practice and analyze the execution of the plan. These should involve the most likely targets of deepfakes and include executives who may be prime targets. [63]  計画が確立したら、計画の実行を練習し、分析するために、何度か卓上演習を行う。これらの演習には、ディープフェイクのターゲットとなる可能性が最も高い者を参加させ、主要なターゲットとなり得る経営幹部も参加させるべきである。[63] 
·         Reporting and sharing experiences: Report the details of malicious deepfakes with appropriate U.S. Government partners, including the NSA Cybersecurity Collaboration Center for Department of Defense and Defense Industrial Base Organizations and the FBI (including local offices or CyWatch@fbi.gov), to spread awareness of trending malicious techniques and campaigns.  ·         経験の報告と共有:悪意のあるディープフェイクの詳細を、国防総省および国防産業基盤組織のためのNSAサイバーセキュリティ・コラボレーション・センターやFBI(地方事務所またはCyWatch@fbi.gov)を含む適切な米国政府のパートナーに報告し、トレンドとなっている悪意のある手法やキャンペーンについての認識を広める。 
·         Training personnel: Every organization should incorporate an overview of deepfake techniques into their training program. This should include an overview of potential uses of deepfakes designed to cause reputational damage, executive targeting and BEC attempts for financial gain, and manipulated media used to undermine hiring or operational meetings for malicious purposes. Employees should be familiar with standard procedures for responding to suspected manipulated media and understand the mechanisms for reporting this activity within their organization.  ·         トレーニング担当者:各組織は、ディープフェイク技術の概要を研修プログラムに組み込むべきである。これには、風評被害を引き起こすために設計されたディープフェイクの潜在的な使用法、金銭的利益を目的とした経営幹部ターゲティングやBECの試み、悪意ある目的のために採用や運営会議を弱体化させるために使用される操作メディアの概要が含まれるべきである。従業員は、操作された疑いのあるメディアに対応するための標準的な手順に精通し、組織内でこの活動を報告するための仕組みを理解する必要がある。 
Training resources specific to deepfakes are already available from the following sources:  ディープフェイクに特化したトレーニング・リソースは、すでに以下の情報源から入手可能である: 
n   SANS Institute – “Learna New Survival Skill: Spotting Deepfakes;” [64]  n   SANS Institute - 「新しいサバイバルスキルを身につけよう:ディープフェイクを見破る" [64] 
n   MIT Media Lab – “ Detect Deep Fakes: How to counteract information created by AI” [65] and MIT Media Literacy; [66] and   n   MITメディアラボ - 「ディープフェイクを検知せよ:AIが作り出した情報に対抗する方法」[65]とMITメディアリテラシー、[66]と  
n   Microsoft – “Spot the Deep fake.” [67]  n   マイクロソフト - "ディープフェイクを見破れ"[67] 
·        Leveraging cross-industry partnerships: C2PA is a significant effort launched in 2021 to address the prevalence of misleading information online through the development of technical standards for certifying the provenance of media content. Specifications and principles for ensuring media provenance can be found on the C2PA website. [4] Additional information on issues relating to misinformation and content provenance is available from C2PA associated efforts at CAI [36] and Project Origin. [5]  ·        業界を超えたパートナーシップの活用:C2PAは、メディア・コンテンツの出所を証明するための技術基準の策定を通じて、ネット上に蔓延する誤解を招く情報に対処するために2021年に開始された重要な取り組みである。メディアの出所を保証するための仕様と原則は、C2PAのウェブサイトに掲載されている。[4] 誤情報とコンテンツの出所に関する追加情報は、C2PAに関連するCAI [36]とProject Originの取り組みから入手できる。[5] 
As of 2023, CAI encompassed more than 1,000 private companies across tech, media, news publishers, researchers, and NGOs. CAI offers several free open source tools to implement media provenance, a regular newsletter, and a community channel on Discord.  2023年現在、CAIはハイテク、メディア、ニュース出版社、研究者、NGOなど1,000社以上の民間企業を包含している。CAIは、メディア実証を実施するためのいくつかの無料オープンソースツール、定期的なニュースレター、Discord上のコミュニティチャンネルを提供している。 
Project Origin, a cross industry effort involving Microsoft and several major media producers, aims to similarly establish a chain of content provenance through secure signatures and web browser extensions. Technical background can be found on their website at originproject.info.   プロジェクトOriginは、マイクロソフトといくつかの大手メディア制作会社が参加する業界横断的な取り組みであり、同様に、安全な署名とウェブブラウザの拡張機能を通じて、コンテンツの証明の連鎖を確立することを目指している。技術的な背景は、originproject.infoのウェブサイトに掲載されている。  
·        Understand what private companies are doing to preserve the provenance of online content: Organizations should actively pursue partnerships with media, social media, career networking, and similar companies in order to learn more about how these companies are preserving the provenance of online content. This is especially important considering how they may be working to identify and mitigate the harms of synthetic content, which may be used as a means to exploit organizations and their employees.   ·        オンラインコンテンツの出所を保護するために、民間企業がどのような取り組みを行っているかを理解する:組織は、メディア、ソーシャル・メディア、キャリア・ネットワーキング、および類似の企業との提携を積極的に追求し、これらの企業がオンライン・コンテンツの出所をどのように保全しているかについて詳しく知るべきである。特に、組織とその従業員を搾取する手段として使用される可能性のある合成コンテンツの害を特定し、軽減するために、これらの企業がどのように取り組んでいるかを考慮することは重要である。  

 

| | Comments (0)

NIST SP 800-207A マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル

こんにちは、丸山満彦です。

マルチクラウドあるいはハイブリッド環境の ゼロトラスト・アーキテクチャのランタイム要件を満たしながら、きめ細かいアプリケーションレベルのポリシーを適用できるアーキテクチャを実現するためのガイダンス。。。

 

NIST - ITL

・2023.09.13 NIST SP 800-207A A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Cloud Environments

 NIST SP 800-207A A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Cloud Environments マルチクラウド環境におけるクラウドネイティブアプリケーションのアクセス制御のためのゼロトラストアーキテクチャモデル
Abstract 概要
One of the basic tenets of zero trust is to remove the implicit trust in users, services, and devices based only on their network location, affiliation, and ownership. NIST Special Publication 800-207 has laid out a comprehensive set of zero trust principles and referenced zero trust architectures (ZTA) for turning those concepts into reality. A key paradigm shift in ZTAs is the change in focus from security controls based on segmentation and isolation using network parameters (e.g., Internet Protocol (IP) addresses, subnets, perimeter) to identities. From an application security point of view, this requires authentication and authorization policies based on application and service identities in addition to the underlying network parameters and user identities. This in turn requires a platform that consists of Application Programming Interface (API) gateways, sidecar proxies, and application identity infrastructures (e.g., Secure Production Identity Framework for Everyone [SPIFFE]) that can enforce those policies irrespective of the location of the services or applications, whether on-premises or on multiple clouds. The objective of this publication is to provide guidance for realizing an architecture that can enforce granular application-level policies while meeting the runtime requirements of ZTA for multi-cloud and hybrid environments. ゼロトラストの基本的な考え方の1つは、ネットワークの場所、所属、所有権のみに基づくユーザー、トラストサービス、デバイスに対する暗黙の信頼を取り除くことである。NIST特別刊行物800-207は、ゼロトラストの包括的な原則を示し、これらの概念を現実にするためのゼロトラストアーキテクチャ(ZTA)を参照している。ZTAにおける重要なパラダイム・シフトは、ネットワーク・パラメータ(例えば、インターネット・プロトコル(IP)アドレス、サブネット、境界)を使用したセグメンテーションと分離に基づくセキュリティ管理から、アイデンティティへの焦点の変更である。アプリケーション・セキュリティの観点からは、基礎となるネットワーク・パラメータとユーザ・アイデンティティに加えて、アプリケーションとサービスのアイデンティティに基づく認証と承認のポリシーが必要となる。そのためには、アプリケーション・プログラミング・インタフェース(API)ゲートウェイ、サイドカー・プロキシ、およびアプリケーションIDインフラストラクチャ(Secure Production Identity Framework for Everyone [SPIFFE]など)で構成され、オンプレミスまたは複数のクラウド上など、サービスやアプリケーションの場所に関係なくポリシーを適用できるプラットフォームが必要である。本書の目的は、マルチクラウドおよびハイブリッド環境の ZTA のランタイム要件を満たしながら、きめ細かいアプリケーショ ンレベルのポリシーを適用できるアーキテクチャを実現するためのガイダンスを提供することである。

 

・[PDF] NIST.SP.800-207A

20230916-55615

・[DOCX] 仮訳

 

 

目次...

Executive Summary エグゼクティブ・サマリー
1. Introduction 1. はじめに
1.1. Background — Zero Trust Principles and Zero Trust Architecture 1.1. 背景 - ゼロトラスト原則とゼロトラスト・アーキテクチャ
1.2. Relationship to Other NIST Guidance Documents 1.2. 他のNISTガイダンス文書との関係
1.3. Scope 1.3. 適用範囲
1.4. Target Audience 1.4. 想定読者
1.5. Organization of This Document 1.5. 本文書の構成
2. The Enterprise Cloud-Native Platform and its Components 2. エンタープライズ・クラウドネイティブ・プラットフォームとそのコンポーネント
2.1. Enterprise Infrastructure Layer 2.1. 企業インフラ層
3. Designing a Policy Framework for ZTA for Cloud-Native Application Environments 3. クラウドネイティブアプリケーション環境におけるZTAのポリシーフレームワークの設計
3.1. Requirements for Identity-Based Segmentation Policies for ZTA 3.1. ZTAのアイデンティティ・ベースのセグメンテーションポリシーの要件
3.2. Limitations of Identity-Based Segmentation Policies for Enterprise ZTA 3.2. エンタープライズZTAにおけるアイデンティティ・ベースのセグメンテーションポリシーの限界
3.3. Multi-Tier Policies for Enterprise ZTA 3.3. エンタープライズZTAの多層ポリシー
4. Implementing Multi-Tier Policies for ZTA for Cloud-Native Application Environments 4. クラウド・ネイティブ・アプリケーション環境におけるZTAの多層ポリシーの実装
4.1. Reference Application Infrastructure Scenario 4.1. 参考アプリケーション・インフラ・シナリオ
4.2. Role of the Service Mesh in Policy Deployment, Enforcement, and Updates 4.2. ポリシーの展開、実施、更新におけるサービスメッシュの役割
4.3. Policy Deployment for Reference Application Infrastructure 4.3. リファレンス・アプリケーション・インフラストラクチャーのポリシー展開
4.4. Another Application Infrastructure Scenario 4.4. もうひとつのアプリケーション・インフラ・シナリオ
4.5. Functional Roles of Application Infrastructure Elements in Enforcing Policies 4.5. ポリシーの実施におけるアプリケーション基盤要素の機能的役割
4.6. Comparison of Identity-Tier and Network-Tier Policies 4.6. アイデンティ層とネットワーク層のポリシーの比較
4.6.1. Approaches for Deployment and the Limitations of Network-Tier Policies 4.6.1. 展開のアプローチとネットワーク階層ポリシーの限界
4.6.2. Prerequisites for the Deployment of Identity-Tier Policies 4.6.2. アイデンティティ層ポリシーの展開の前提条件
4.6.3. Advantages of Identity-Tier Policies 4.6.3. アイデンティティ層ポリシーの利点
5. Support for Multi-tier Policies Through a Monitoring Framework 5. モニタリングフレームワークによる多層ポリシーのサポート
6. Summary and Conclusions 6. まとめと結論
References 参考文献

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブ・サマリー 
The principles of zero trust, as described in NIST Special Publication (SP) 800-207, have become the guiding markers for developing secure zero trust architecture. A well-established class of applications is the cloud-native application class. The generally accepted characterization of a cloud-native application includes the following:  NIST 特別刊行物(SP)800-207に記載されているゼロトラストの原則は、安全なゼロトラスト・アーキテクチャを開発するための指針となっている。確立されたアプリケーションのクラスに、クラウドネイティブアプリケーションクラスがある。一般に受け入れられているクラウドネイティブアプリケーションの特徴には、次のようなものがある: 
•       The application is made up of a set of loosely coupled components called microservices. Each of the microservices can be hosted on different physical or virtual machines (VMs) and even be geographically distributed (e.g., within several facilities that belong to the enterprise, such as the headquarters, branch offices, and in various cloud service provider environments).  •       アプリケーションは、マイクロサービスと呼ばれる疎結合コンポーネントの集合で構成される。各マイクロサービスは、異なる物理マシンまたは仮想マシン(VM)上でホストすることができ、さらに地理的に分散させることもできる(例えば、本社、支社、様々なクラウドサービスプロバイダー環境など、企業に属する複数の施設内)。 
•       Any transaction involving the application may also involve one or more inter-service (microservice) calls across the network.  •       アプリケーションが関与するトランザクションには、ネットワークを介した1つ以上のサービス間(マイクロサービス)呼び出しも含まれる可能性がある。 
•       A widespread feature (though not necessarily a requirement for cloud-native applications) is the presence of a software platform called the service mesh that provides an integrated set of all application services (e.g., services discovery, networking connections, communication resilience, and security services like authentication and authorization).  •       クラウド・ネイティブ・アプリケーションの要件とは限らないが)広く普及している特徴は、すべてのアプリケーション・サービス(サービス・ディスカバリー、ネットワーク接続、通信回復力、認証や認可などのセキュリティ・サービスなど)の統合セットを提供するサービス・メッシュと呼ばれるソフトウェア・プラットフォームの存在だ。 
The realization of a zero trust architecture for the above class of cloud-native applications requires a robust policy framework. In order to follow zero trust principles, the constituent polices in the framework should consider the following scenario:  上記のようなクラウドネイティブアプリケーションのためのゼロトラストアーキテクチャを実現するには、強固なポリシーフレームワークが必要である。ゼロトラストの原則に従うために、フレームワークの構成ポリシーは以下のシナリオを考慮する必要がある: 
•       There should not be implicit trust in users, services, or devices based exclusively on their network location, affiliation, or ownership. Hence, policy definitions and associated security controls based on the segmentation or isolation of networks using network parameters (e.g., IP addresses, subnets, perimeter) are insufficient. These policies fall under the classification of network-tier policies.  •       ネットワークの場所、所属、所有権のみに基づくユーザー、サービス、デバイスに対する暗黙の信頼があってはならない。したがって、ネットワーク・パラメータ(例えば、IP アドレス、サブネット、境界)を使用したネットワークのセグメンテーションや分離に基づくポリシー定義や関連するセキュリティ制御は不十分である。これらのポリシーは、ネットワーク階層ポリシーの分類に入る。 
•       To ensure the presence of zero trust principles throughout the entire application, networktier policies must be augmented with policies that establish trust in the identity of the various participating entities (e.g., users and services) irrespective of the location of the services or applications, whether on-premises or on multiple clouds.  •       アプリケーション全体を通してゼロトラスト原則の存在を保証するために、ネットワーク層のポリシーは、オンプレミスであろうと複数のクラウド上であろうと、サービスやアプリケーションの場所に関係なく、様々な参加エンティティ(ユーザーやサービスなど)のアイデンティティに対する信頼を確立するポリシーで補強されなければならない。 
This document provides guidance for realizing a zero trust architecture that can enforce granular application-level policies for cloud-native applications. The guidance is anchored in the following:  本文書は、クラウドネイティブなアプリケーションに対してきめ細かいアプリケーションレベルのポリシーを適用できるゼロトラスト・アーキテクチャを実現するためのガイダンスを提供する。このガイダンスは、以下の点に重点を置いている: 
•       A combination of network-tier and identity-tier policies  •       ネットワーク層とアイデンティ層のポリシーの組み合わせ 
•       The components of cloud-native applications that enable the definition and deployment of those policies, such as edge, ingress, sidecar, and egress gateways; the creation, issuance, and maintenance of service identities; and the issuance of authentication and authorization tokens that carry user identities in the enterprise application infrastructure that encompasses multi-cloud and hybrid environments  •       エッジ、侵入、サイドカー、エグレスゲートウェイなどのポリシーの定義と展開を可能にするクラウドネイティブアプリケーションのコンポーネント、サービスIDの作成、発行、維持、マルチクラウドやハイブリッド環境を包含するエンタープライズアプリケーションインフラストラクチャのユーザーIDを伝送する認証および承認トークンの発行。 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

 

800-207他

・2023.04.23 NIST SP 800-207A(ドラフト)マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

 

1800-35...

・2023.09.16 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.E リスクとコンプライアンスマネジメント

・2023.08.24 NIST SP 1800-35(第3次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.D 機能デモ

・2023.07.23 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 (Vol. B, C)

・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. C, D)

・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. B)

・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. A)

 

その他...

・2022.12.12 カナダ サイバーセキュリティセンター 「ゼロトラスト・セキュリティモデル - ITSAP.10.008」

・2022.05.08 NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド

・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

・2021.06.30 金融庁 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

 

| | Comments (0)

2023.09.16

NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.E リスクとコンプライアンスマネジメント

こんにちは、丸山満彦です。

ゼロトラスト・アーキテクチャ実装ガイドライン全5巻(Vol.A 〜 Vol.E)のうちVol.E リスクとコンプライアンスマネジメントのドラフト第2版となりますね。。。

コメントは、2023.10.31まで...

 

SP 1800-35A Executive Summary  エグゼクティブサマリー 2nd Preliminary Draft
SP 1800-35B Approach, Architecture, and Security Characteristics  アプローチ、アーキテクチャ、セキュリティ特性 3rd Preliminary Draft
SP 1800-35C How-To Guides ハウツーガイド 3rd Preliminary Draft
SP 1800-35D Functional Demonstrations 機能デモ 3rd Preliminary Draft
SP 1800-35E Risk and Compliance Management リスクとコンプライアンスマネジメント 2nd Preliminary Draft

 

サイバーセキュリティフレームワーク、SP800-53、大統領令14028とのマッピング。。。です。。。

 

● NIST - ITL

・2023.09.12 NIST SP 1800-35 (2nd Preliminary Draft) Implementing a Zero Trust Architecture (Volume E, Risk and Compliance Management)

 

NIST SP 1800-35 (2nd Preliminary Draft) Implementing a Zero Trust Architecture (Volume E, Risk and Compliance Management) NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装(E編 リスク・コンプライアンスマネジメント)
Announcement 発表
The Zero Trust Architecture (ZTA) team at NIST's National Cybersecurity Center of Excellence (NCCoE) has released the second version of volume E of a preliminary draft practice guide titled Implementing a Zero Trust Architecture and is seeking the public's comments on the contents.  NISTの国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)のZero Trust Architecture(ZTA)チームは、「ゼロトラストアーキテクチャの実装」と題する初期ドラフト実践ガイドのE巻の第2版を公開し、その内容に関する一般からのコメントを求めている。
This guide summarizes how the NCCoE and its collaborators are using commercially available technology to build interoperable, open standards-based ZTA example implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture.  このガイドは、NCCoEとその協力者が、NIST特別刊行物(SP)800-207「Zero Trust Architecture」の概念と原則に沿った、相互運用可能なオープン標準ベースのZTA実装例を構築するために、市販の技術をどのように利用しているかをまとめたものである。
Volume E provides a risk analysis and mapping of ZTA reference design security characteristics to cybersecurity standards and recommended practices. The updated version also includes mappings from the vendor products that have been implemented so far to applicable cybersecurity standards and recommended practices. E編では、リスク分析とZTA参照設計のセキュリティ特性とサイバーセキュリティ標準および推奨実施事項とのマッピングを提供している。更新版には、これまでに実装されたベンダー製品から、適用可能なサイバーセキュリティ標準や推奨事例へのマッピングも含まれている。
The public comment period for Volume E is open through October 31st, 2023.  Please note that Vol. A, B, and C are the previous versions and do not require reviews; also, Volume D is open for public comment until October 9th, 2023. E編のパブリックコメント募集期間は2023年10月31日までである。 なお、A巻、B巻、C巻は旧版であり、レビューの必要はない。また、D巻は2023年10月9日までパブリックコメントを受け付けている。
Abstract 概要
A zero trust architecture (ZTA) focuses on protecting data and resources. It enables secure authorized 56 access to enterprise resources that are distributed across on-premises and multiple cloud environments, 57 while enabling a hybrid workforce and partners to access resources from anywhere, at any time, from 58 any device in support of the organization’s mission. Each access request is evaluated by verifying the 59 context available at access time, including criteria such as the requester’s identity and role, the 60 requesting device’s health and credentials, the sensitivity of the resource, user location, and user 61 behavior consistency. If the enterprise’s defined access policy is met, a secure session is created to 62 protect all information transferred to and from the resource. A real-time and continuous policy-driven, risk-based assessment is performed to establish and maintain the access. In this project, the NCCoE and 64 its collaborators use commercially available technology to build interoperable, open, standards-based 65 ZTA implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, 66 Zero Trust Architecture. This NIST Cybersecurity Practice Guide explains how commercially available 67 technology can be integrated and used to build various ZTAs. This volume of the NIST Cybersecurity 68 Practice Guide discusses risks addressed by the ZTA reference architecture. It also maps ZTA security 69 characteristics to Cybersecurity Framework Subcategories, NIST SP 800-53r5 (Security and Privacy 70 Controls for Information Systems and Organizations) security controls, and Executive Order (EO) 14028 71 security measures. ゼロトラストアーキテクチャ(ZTA)は、データとリソースの保護に重点を置く。ZTA は、オンプレミスと複数のクラウド環境に分散しているエンタープライズリソースへの安全な認証アクセ スを可能にし、同時に、ハイブリッドワーカーとパートナーが、組織のミッションを支援するために、いつでも、 どこからでも、どのデバイスからでもリソースにアクセスできるようにする。各アクセス要求は、アクセス時に利用可能なコンテキストを検証することで評価される。これには、アクセ ス要求者のアイデンティティや役割、要求元デバイスの健康状態や認証情報、リソースの機密性、 ユーザーの場所、ユーザー行動の一貫性などの基準が含まれる。エンタープライズで定義されたアクセス・ポリシーが満たされると、リソースとの間で送受信される すべての情報を保護するために、セキュアなセッションが作成される。リアルタイムかつ継続的なポリシー駆動型のリスクベースのアセスメントが実行され、アクセ スが確立され、維持される。このプロジェクトでは、NCCoEとその協力者は、NIST特別刊行物(SP)800-207「Zero Trust Architecture」の概念と原則に沿った、相互運用可能でオープ ンな標準ベースのZTA実装を構築するために、市販の技術を使用する。この NIST サイバーセキュリティ実践ガイドでは、様々な ZTA を構築するために、市販の技術をどのように統合し、使用できるかを説明する。NIST サイバーセキュリティ実践ガイドの本編では、ZTA 参照アーキテクチャが対処するリスクについて論じる。また、ZTA のセキュリティ特性を、サイバーセキュリティフレームワークのサブカテゴリー、 NIST SP 800-53r5(情報システムおよび組織のセキュリティおよびプライバシー管理)のセキュリテ ィ管理、および大統領令(EO)14028 のセキュリティ対策にマッピングしている。

 

・[PDF

20230916-54104

 

1 Introduction 1 序文
1.1 How to Use this Guide 1.1 このガイドの使い方
2 Risks Addressed by the ZTA Reference Architecture 2 ZTAリファレンス・アーキテクチャが対処するリスク
3 ZTA Reference Architecture Security Mappings 3 ZTAリファレンス・アーキテクチャのセキュリティ・マッピング
3.1 Use Cases 3.1 ユースケース
3.2 Mapping Producers 3.2 マッピング・プロデューサー
3.3 Mapping Approach 3.3 マッピングの考え方
3.3.1 Mapping Terminology 3.3.1 マッピング用語
3.3.2 Mapping Process 3.3.2 マッピング・プロセス
4 Mappings 4 マッピング
4.1 NIST CSF Subcategory Mappings 4.1 NIST CSFサブカテゴリーのマッピング
4.1.1 Mapping Between ZTA Reference Design Functions and NIST CSF Subcategories 4.1.1 ZTA 基準設計機能と NIST CSF サブカテゴリー間のマッピング
4.1.2 Mapping Between Collaborator Technologies in the ZTA Builds and NIST CSFSubcategories 4.1.2 ZTA 構築におけるコラボレーション技術 と NIST CSFS サブカテゴリ間のマッピング
4.2 NIST SP 800-53 Control Mappings 4.2 NIST SP 800-53 コントロールマッピング
4.2.1 Mapping Between ZTA Reference Design Functions and NIST SP 800-53 Controls 4.2.1 ZTA リファレンスデザイン機能と NIST SP 800-53 コントロールのマッピング
4.2.2 Mapping Between Collaborator Technologies in the ZTA Builds and NIST SP 800-53 Controls 4.2.2 ZTA 構築におけるコラボレーション技術と NIST SP 800-53 コントロールとの間のマッピング
4.3 EO 14028 Security Measure Mappings 4.3 EO 14028 セキュリティ対策のマッピング
4.3.1 Mapping Between ZTA Reference Design Functions and EO 14028 Security Measures 4.3.1 ZTA 参照設計機能と EO 14028 セキュリティ対策との間のマッピング
4.3.2 Mapping Between Collaborator Technologies in the ZTA Builds and EO 14028 Security Measures 4.3.2 ZTA 構築物に含まれる協力者技術と EO 14028 セキュリティ対策との間のマッピング
Appendix A References 附属書 A 参照

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

1800-35...

・2023.08.24 NIST SP 1800-35(第3次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.D 機能デモ

・2023.07.23 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 (Vol. B, C)

・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. C, D)

・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. B)

・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. A)

 

800-207他

・2023.04.23 NIST SP 800-207A(ドラフト)マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル

・2022.12.12 カナダ サイバーセキュリティセンター 「ゼロトラスト・セキュリティモデル - ITSAP.10.008」

・2022.05.08 NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド

・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

・2021.06.30 金融庁 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

| | Comments (0)

米国 カジノホテルグループのシーザーズがサイバー攻撃を受けて8-Kを公表していますね。。。

こんにちは、丸山満彦です。

米国のナスダック登録企業である、カジノホテルグループのシーザーズ (Caesars Entertainment, Inc.)  [wikipedia]がサイバー攻撃を受けて8-Kを公表していますね。。。

SECURITIES AND EXCHANGE COMMISSION

・2023.09.07 FORM 8-K Caesars Entertainment, Inc.

20230916-50912

 

Item 8.01 Other Events. 項目8.01 その他の事象
Caesars Entertainment, Inc. (the “Company,” “we,” or “our”) recently identified suspicious activity in its information technology network resulting from a social engineering attack on an outsourced IT support vendor used by the Company. Our customer-facing operations, including our physical properties and our online and mobile gaming applications, have not been impacted by this incident and continue without disruption. Caesars Entertainment, Inc. (「当社」、「当社」、または「当社」)は最近、当社が使用している外部委託ITサポート・ベンダーに対するソーシャル・エンジニアリング攻撃の結果、当社の情報技術ネットワークにおける不審な活動を確認した。当社の実店舗、オンラインおよびモバイルのゲーム・アプリケーションを含む、当社の顧客向け業務は、このインシデントによる影響は受けておらず、支障なく継続している。
After detecting the suspicious activity, we quickly activated our incident response protocols and implemented a series of containment and remediation measures to reinforce the security of our information technology network. We also launched an investigation, engaged leading cybersecurity firms to assist, and notified law enforcement and state gaming regulators. As a result of our investigation, on September 7, 2023, we determined that the unauthorized actor acquired a copy of, among other data, our loyalty program database, which includes driver’s license numbers and/or social security numbers for a significant number of members in the database. We are still investigating the extent of any additional personal or otherwise sensitive information contained in the files acquired by the unauthorized actor. We have no evidence to date that any member passwords/PINs, bank account information, or payment card information (PCI) were acquired by the unauthorized actor. 不審な活動を検知した後、当社は迅速にインシデント対応プロトコルを起動し、当社の情報技術ネットワークのセキュリティを強化するため、一連の封じ込めと修復策を実施した。また、調査を開始し、大手サイバーセキュリティ企業に支援を依頼し、法執行機関と州のゲーミング規制当局に通知した。調査の結果、2023年9月7日、不正行為者が当社のロイヤルティ・プログラム・データベースのコピーを取得したことが判明した。このデータベースには、相当数の会員の運転免許証番号および/または社会保障番号が含まれている。不正行為者によって取得されたファイルに含まれる追加の個人情報またはその他の機密情報の範囲については、現在も調査中である。現在までのところ、会員のパスワード/暗証番号、銀行口座情報、ペイメントカード情報(PCI)が不正行為者によって取得されたという証拠はない。
We have taken steps to ensure that the stolen data is deleted by the unauthorized actor, although we cannot guarantee this result. We are monitoring the web and have not seen any evidence that the data has been further shared, published, or otherwise misused. Nonetheless, out of an abundance of caution, we are offering credit monitoring and identity theft protection services to all members of our loyalty program. To sign up for these services, members may call (888) 652-1580 from 9:00 a.m. to 9:00 p.m. Eastern Time, Monday through Friday other than holidays. 我々は、盗まれたデータが不正行為者によって確実に削除されるよう対策を講じているが、この結果を保証することはできない。我々はウェブを監視しているが、データがさらに共有されたり、公開されたり、あるいはその他の方法で悪用された形跡はない。それにもかかわらず、慎重を期して、私たちはロイヤルティプログラムの全会員にクレジット・モニタリングと個人情報盗難防止サービスを提供している。これらのサービスに申し込むには、米国東部時間、祝日を除く月曜日から金曜日の午前9時から午後9時まで、(888) 652-1580に電話することができる。
Additionally, we will be notifying individuals affected by this incident consistent with our legal obligations. These notifications will be made on a rolling basis in the coming weeks. In the meantime, individuals with questions may contact the dedicated incident response line we have established to address questions about this incident, which can be reached at (888) 652-1580 from 9:00 a.m. to 9:00 p.m. Eastern Time, Monday through Friday other than holidays. さらに、このインシデントにより影響を受けた個人に対し、法的義務に基づき通知を行う予定である。これらの通知は今後数週間のうちに順次行われる予定である。それまでの間、質問のある方は、このインシデントに関する質問に対応するために設けたインシデント対応専用ダイヤル(東部標準時、祝日を除く月曜日から金曜日の午前9時から午後9時まで、(888) 652-1580)に連絡することができる。
While no company can ever eliminate the risk of a cyberattack, we believe we have taken appropriate steps, working with industry-leading third-party IT advisors, to harden our systems to protect against future incidents. These efforts are ongoing. We have also taken steps to ensure that the specific outsourced IT support vendor involved in this matter has implemented corrective measures to protect against future attacks that could pose a threat to our systems. いかなる企業もサイバー攻撃のリスクを排除することはできないが、当社は業界をリードするサードパーティーのITアドバイザーと協力し、将来のインシデントから保護するためにシステムを強化する適切な措置を講じたと確信している。これらの取り組みは現在も継続中である。また、本件に関与した特定の外部委託ITサポート・ベンダーが、当社のシステムに脅威を与える可能性のある将来の攻撃から保護するための是正措置を実施したことを確認するための措置も講じている。
We have incurred, and may continue to incur, certain expenses related to this attack, including expenses to respond to, remediate and investigate this matter. The full scope of the costs and related impacts of this incident, including the extent to which these costs will be offset by our cybersecurity insurance or potential indemnification claims against third parties, has not been determined. Although we are unable to predict the full impact of this incident on guest behavior in the future, including whether a change in our guests’ behavior could negatively impact our financial condition and results of operations on an ongoing basis, we currently do not expect that it will have a material effect on the Company’s financial condition and results of operations. 当社は、この件への対応、修復、調査のための費用を含め、この攻撃に関連する一定の費用を負担しており、今後も負担する可能性がある。これらの費用が当社のサイバーセキュリティ保険またはサードパーティに対する潜在的な補償請求によってどの程度相殺されるかを含め、このインシデントによる費用および関連する影響の全容は確定していない。ゲストの行動の変化が当社の財政状態および経営成績に継続的に悪影響を及ぼしうるかどうかを含め、このインシデントがゲストの行動に将来及ぼす影響を完全に予測することはできないが、現在のところ、当社の財政状態および経営成績に重大な影響を及ぼすとは予想していない。
The trust of our valued guests and members is deeply important to us, and we regret any concern or inconvenience this may cause. 大切なゲストと会員の皆様の信頼は当社にとって深く重要であり、このような事態によりご心配やご迷惑をおかけすることをお詫び申し上げます」と述べた。
For additional information, please visit [web] . Information set forth on that website is not incorporated herein by reference. 追加情報については、[web] まで。同ウェブサイトに記載された情報は、参照することにより本明細書に組み込まれるものではない。

 

ニュース


・2023.09.14 シーザーズ、システムに侵入したハッカーに数千万ドル支払い-関係者

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

 

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案

その他...

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.07.11 US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

» Continue reading

| | Comments (0)

«経団連 警察庁サイバー警察局長との懇談会 -デジタル社会におけるサイバー空間の脅威への対応について意見交換