2024.10.04

米国 下院国土安全保障委員会 超党派でサイバーセキュリティに関する7つの法案を提出 (2024.10.02)

こんにちは、丸山満彦です。

米国の下院国土安全保障委員会が、重要なインフラの保護、サイバー人材パイプラインを強化するため、 超党派でサイバーセキュリティに関する7つの法案を提出したようです...

 

U.S. House of Representatives  - Homeland Security

1_20240930002701

 

・2024.10.02 What They Are Saying: Cybersecurity “Takes Center Stage” in Committee on Homeland Security Legislation

What They Are Saying: Cybersecurity “Takes Center Stage” in Committee on Homeland Security Legislation 彼らの発言:国土安全保障法案委員会で「サイバーセキュリティが主役」に
Cybersecurity Awareness Month begins on a high note for congressional action サイバーセキュリティ啓発月間、議会での行動に向けて好調なスタート
WASHINGTON, D.C. –– Last week, the House Committee on Homeland Security, led by Chairman Mark E. Green, MD (R-TN), advanced seven pieces of cybersecurity legislation, on a bipartisan basis, to defend America’s critical infrastructure and bolster our nation’s cyber talent pipeline. This legislative effort came just days before the start of Cybersecurity Awareness Month, an important opportunity to highlight the need to take proactive measures to combat cyber threats to our networks and critical infrastructure. In addition, the Committee held a hearing last week to examine the defective software update pushed out by CrowdStrike that caused a major information technology (IT) outage on July 19, 2024. While not a cyberattack, America’s cyber adversaries could view the cross-sector impact as inspiration for future attacks.  ワシントンDC発 – 先週、マーク・E・グリーン下院議員(共和党、テネシー州選出)が率いる下院国土安全保障委員会は、超党派で7つのサイバーセキュリティ法案を推進し、アメリカの重要インフラを保護し、サイバー人材の供給を強化する法案を提出した。この法案提出の動きは、サイバーセキュリティ啓発月間の開始を数日後に控えた時期に行われた。この啓発月間は、ネットワークや重要インフラに対するサイバー脅威に対抗するための積極的な対策の必要性を強調する重要な機会である。さらに、同委員会は先週、2024年7月19日に大規模なIT(情報技術)障害を引き起こしたCrowdStrikeによる欠陥のあるソフトウェアアップデートについて調査するための公聴会を開催した。これはサイバー攻撃ではないが、アメリカのサイバー敵対者は、この分野横断的な影響を今後の攻撃のインスピレーションとして捉える可能性がある。

 

提出された法案は、

H.R. 9770 the “Cyber PIVOTT Act,”  サイバーPIVOTT法 introduced by Chairman Green To amend the Homeland Security Act of 2002 to provide for education and training programs and resources of the Cybersecurity and Infrastructure Security Agency (CISA) of the Department of Homeland Security. 2002年の国土安全保障法を改正し、国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)の教育・訓練プログラムおよびリソースを規定する。
H.R. 9769 the “Strengthening Cyber Resilience Against State-Sponsored Threats Act,”  国家支援の脅威に対するサイバーレジリエンス強化法 introduced by Rep. Laurel Lee (R-FL) To ensure the security and integrity of United States critical infrastructure by establishing an interagency task force and requiring a comprehensive report on the targeting of United States critical infrastructure by People’s Republic of China state-sponsored cyber actors. 省庁間タスクフォースを設立し、中華人民共和国の国家支援を受けたサイバー犯罪者による米国の重要インフラへの標的行為に関する包括的な報告を義務付けることにより、米国の重要インフラのセキュリティと完全性を確保する。
H.R. 3169 the “Identifying Adversarial Threats at our Ports Act,”  港湾における敵対的脅威の識別法 offered by Subcommittee on Transportation and Maritime Security Chairman Carlos Gimenez (R-FL) To require the inspection of certain foreign cranes before use at a United States port. 米国の港で使用する前に、特定の外国製クレーンの検査を義務付ける。
H.R. 9469 the “Pipeline Security Act,”  パイプラインセキュリティ法 introduced by Rep. Robert Garcia (D-CA) To amend the Homeland Security Act of 2002 to codify the Transportation Security Administration’s responsibility relating to securing pipeline transportation and pipeline facilities against cybersecurity threats, acts of terrorism, and other nefarious acts that jeopardize the physical security or cybersecurity of pipelines. 2002年国土安全保障法を改正し、サイバーセキュリティ上の脅威、テロ行為、およびパイプラインの物理的セキュリティやサイバーセキュリティを脅かすその他の悪質な行為からパイプライン輸送およびパイプライン施設を保護することに関する運輸保安局の責任を明文化する。
H.R. 9689 the “DHS Cybersecurity Internship Program Act,”  DHSサイバーセキュリティインターンシッププログラム法 introduced by Rep. Yvette Clarke (D-NY) To amend the Homeland Security Act of 2002 to establish a DHS Cybersecurity Internship Program. 2002年国土安全保障法を改正し、国土安全保障省のサイバーセキュリティ・インターンシップ・プログラムを創設する。
H.R. 9768 the “Joint Cyber Defense Collaborative Act,”  共同サイバー防衛協力法 introduced by Rep. Eric Swalwell (D-CA) To amend the Homeland Security Act of 2002 to establish within CISA a Joint Cyber Defense Collaborative. 2002年国土安全保障法を改正し、CISA内に共同サイバー防衛協働体を創設する。
H.R. 9762 the “DHS International Cyber Partner Act of 2024,”  2024年DHS国際サイバーパートナー法 introduced by Rep. Robert Menendez (D-NJ)    

 

報道

Fox Business We cannot stop China’s cyber-attacks, only deter them: Rep. Carlos Gimenez  我々は中国のサイバー攻撃を止めることはできないが、抑止することはできる:カルロス・ジメネス下院議員 “We need to deter [China] as much as possible and detect [cyberattacks] as much as possible. And we also have to have some offensive capabilities so that when they do attack us, we have a way to get back at them. We passed legislation that [will create] an interagency taskforce of U.S. agencies headed by CISA, in order to combat and develop strategies to make us more resilient and resistant to these types of cyberattacks.” 「中国をできる限り抑止し、サイバー攻撃をできる限り検知する必要がある。また、攻撃を受けた際に反撃できる手段を確保するため、ある程度の攻撃能力も備えておく必要がある。我々は、CISAが主導する米政府機関の合同タスクフォースを創設する法案を可決した。この種のサイバー攻撃に対抗し、レジリエンスを高め、耐性を強化するための戦略を策定することが目的だ。」
CyberScoop Exclusive: House Homeland Security chair releases, pushes forth cyber workforce bill  独占:国土安全保障委員会委員長、サイバー人材法案を提出、推進 “House Homeland Security Chairman Mark Green, R-Tenn., is introducing and seeking to advance a bill this week to address his top legislative priority: strengthening the cybersecurity workforce. The bill — full details of which CyberScoop is first reporting — would create an Reserve Officer Training Corps (ROTC)-like program housed within the Cybersecurity and Infrastructure Security Agency, where students at community colleges and technical schools would get scholarships in exchange for two years of service in federal, state, local, tribal or territorial government cyber gigs, according to a committee aide. It would seek to get 250 students involved in its first year but eventually expand up to 10,000. It’s aimed at students who, for whatever reason, don’t fit well into four-year college programs or people who are looking to change careers. It looks to address one of the most persistent problems in the cyber world: the stubborn gap between available openings in the United States and the number of people willing to fill them, a gap that currently sits at an estimated nearly 500,000 jobs. 「テネシー州選出の共和党議員であるマーク・グリーン下院国土安全保障委員長は、今週、自身の最優先立法事項であるサイバーセキュリティ人材の強化に関する法案を提出し、可決を目指している。法案の詳細はCyberScoopが最初に報道しているが、同法案は、コミュニティカレッジや専門学校の学生が、連邦政府、州政府、地方政府、部族政府、または地域政府のサイバー関連業務に2年間従事することを条件に奨学金を受け取ることができる、予備役将校訓練課程(ROTC)のようなプログラムを、サイバーセキュリティ・インフラセキュリティ庁内に設置するものである。委員会の補佐官によると、 初年度は250人の学生の参加を目指すものの、最終的には1万人まで拡大する予定である。このプログラムは、何らかの理由で4年制大学のプログラムにうまく適応できない学生や、キャリアチェンジを希望する人々を対象としている。これは、サイバー空間における最も根強い問題のひとつである、米国における求人数とそれを埋めることのできる人材の数の間の埋めがたいギャップ、現在およそ50万の雇用に相当するギャップに対処することを目的としている。
Federal News Network House cyber workforce bill pushes two-year degrees for gov service 下院サイバー人材法案、政府サービスに2年間の学位を要求 “The program is modeled after Reserve Officer Training Corps (ROTC) programs for the military. Green had been teasing the bill as one of his top priorities this year. ‘ROTC programs offer a valuable pathway for students who don’t have the opportunity to attend a military academy to begin a lifetime of dedicated military service,’ Green said in a statement. ‘Likewise, the ‘Cyber PIVOTT Act’ opens doors for professionals seeking to ‘pivot’ to the specialty of cybersecurity without a traditional four-year degree — rewarding and supporting those who use their valuable skills to protect government networks and ensuring they’re ready to work on day one.’ The bill is intended to help bridge the national cyber workforce gap. CyberSeek estimates there are nearly 470,000 cyber job openings nationwide. Green’s legislation would require CISA to enroll at least 250 students within the program’s first year. The legislation would also require a plan from CISA to scale the program to 10,000 students within a decade. […] The homeland security committee today also approved the ‘DHS Cybersecurity Internship Program Act,’  introduced by Rep. Yvette Clarke (D-N.Y.). The bill would codify DHS’s summer-long, paid cybersecurity internship program 「このプログラムは、軍の予備役将校訓練課程(ROTC)プログラムをモデルとしている。グリーン上院議員は、この法案を今年度の最優先事項のひとつとしていた。「ROTCプログラムは、士官学校への進学機会を持たない学生が生涯にわたって軍務に専念するための貴重な道筋を提供します」とグリーン氏は声明で述べた。「同様に、『サイバーPIVOTT法』は、従来の4年制大学を卒業していないにもかかわらず、サイバーセキュリティの専門分野に転向しようとする専門家の道を開きます。政府ネットワークの防御に貴重なスキルを活用する人材を評価し、支援し、初日から即戦力となることを保証します。この法案は、国家的なサイバー人材の不足を埋めることを目的としている。CyberSeekの推定では、全米で約470,000件のサイバー関連の求人が発生している。グリーンの法案では、CISAはプログラムの初年度に少なくとも250人の学生を登録することが義務付けられる。また、この法案では、CISAは10年以内にプログラムを10,000人の学生規模に拡大する計画を立てることも義務付けられる。国土安全保障委員会は本日、イヴェット・クラーク下院議員(民主党・ニューヨーク州選出)が提出した「DHS サイバーセキュリティ・インターンシップ・プログラム法」も承認した。この法案は、DHS の夏期にわたる有給のサイバーセキュリティ・インターンシップ・プログラムを法制化するものである。
NextGov House bill pitches interagency task force to counter Chinese hacking threats 下院法案、中国によるハッキングの脅威に対抗する省庁間タスクフォースを提案 “Legislation being introduced Tuesday would create an interagency task force focused on countering Chinese cyber threats, according to bill text first shared with Nextgov/FCW. The Strengthening Cyber Resilience Against State-Sponsored Threats Act led by Rep. Laurel Lee, R-Fl. orders the creation of a joint-agency task force between the FBI and the Cybersecurity and Infrastructure Security Agency within 120 days of becoming law. The task force would coordinate efforts among federal agencies responsible for critical infrastructure protection to address cybersecurity threats from Beijing-backed hacking collectives like Volt Typhoon, a mainstay cyber threat that officials assess is burrowing into U.S. infrastructure in preparation to shutter or sabotage the systems if tensions rise over a possible Chinese invasion of Taiwan. The CISA director would chair the task force while the FBI director would serve as its deputy. The body would be required to submit an initial report on its findings and recommendations within 540 days of establishment and provide annual follow-up reports for the next five years. […] ‘It is critical that the federal government implements a focused, coordinated, and whole-of-government response to all of Beijing’s cyber threats, so no other actors succeed,’ Lee said in a statement.” 「火曜日に提出された法案は、中国によるサイバー脅威への対策に焦点を当てた省庁間タスクフォースを創設するものである。フロリダ州選出のローレル・リー下院議員が主導する『国家支援による脅威に対するサイバーレジリエンス強化法』は、同法案が可決されてから120日以内に、FBIとサイバーセキュリティ・インフラセキュリティ庁による合同タスクフォースの創設を命じている。このタスクフォースは、米国の重要インフラ防御を担当する連邦機関間の取り組みを調整し、Volt Typhoonのような中国政府支援のハッカー集団によるサイバーセキュリティ脅威に対処する。Volt Typhoonは、台湾への中国侵攻の可能性をめぐる緊張が高まった場合に、米国のインフラをシャットダウンまたは妨害する準備として、サイバー脅威の主要な存在として当局がアセスメントしている。CISAの局長がタスクフォースの議長を務め、FBI長官が副議長を務めることになる。この団体は、設立から540日以内に調査結果と提言に関する初期報告書を提出し、その後5年間は毎年フォローアップ報告書を提出することが義務付けられる。
Politico Pro Cyber bills swim through Homeland Security サイバー法案、国土安全保障委員会を通過 “In a marathon markup session Wednesday, the House Homeland Security Committee advanced a slate of bipartisan bills aimed at armoring the nation’s cyber workforce and strengthening critical infrastructure defenses. Here are a few that stick out to us. Workforce takes center stage: Chair Mark Green (R-Tenn.) got unanimous support for his ‘PIVOTT Act,’ establishing a new ROTC-like scholarship program for two-year cyber degrees. If passed, the program looks to be run by CISA and targets under-represented students and emphasizes skills-based training. The legislation aims to address the staggering cyber workforce shortage of over 500,000 professionals, a gap Green warns is ‘getting bigger every day.’ ‘We want to reduce the gap between education and real-world experience so that students have the skills needed to get to work on day one,’ Green said. […]  Cranes in the crosshair: The committee also advanced Rep. Carlos Giménez’s (R-Fla.) bill targeting Chinese-made cranes at U.S. ports — which also happen to make up the lionshare of cranes globally. Gimenez’s bill follows a year-long investigation into potential security vulnerabilities, and requires the inspection of certain foreign-made cranes. 「水曜日に開催された長時間にわたる修正協議において、下院国土安全保障委員会は、米国のサイバー人材の強化と重要インフラ防衛の強化を目的とした超党派による法案を多数可決した。 その中から、特に注目すべきものをいくつか紹介しよう。 サイバー人材が主役となる:マーク・グリーン委員長(共和党、テネシー州選出)の「PIVOTT法」は、2年間のサイバー学位取得のための新たなROTC(予備役将校訓練課程)のような奨学金プログラムを創設するもので、満場一致で可決された。この法案が可決されれば、CISAがこのプログラムを運営し、これまであまり注目されてこなかった学生を対象に、スキルベースのトレーニングに重点を置くことになる。この法案は、50万人を超える専門家の驚異的なサイバー人材不足に対処することを目的としている。グリーン氏は、このギャップは「日々拡大している」と警告している。「私たちは、教育と実社会での経験のギャップを縮小し、学生が初日から仕事に就くために必要なスキルを習得できるようにしたいのです」とグリーン氏は述べた。[...] 狙い撃ちされたクレーン:委員会は、米国の港湾で使用されている中国製クレーンを対象としたカルロス・ヒメネス下院議員(共和党、フロリダ州選出)の法案も推進した。このクレーンは、世界で最も多く使用されている。 ヒメネス議員の法案は、潜在的なセキュリティ脆弱性に関する1年間にわたる調査を踏まえたもので、特定の外国製クレーンの検査を義務付けている。
Cyber Wire PIVOTT Act drafts the next wave of digital defenders. PIVOTT法、デジタル防衛の次の波を起草 “The program will offer scholarships to students at community colleges and technical schools in exchange for two years of public service in federal, state, or local government cyber roles. The bill targets individuals who may not fit traditional four-year college paths or those seeking career changes, aiming to involve 250 students in its first year and eventually expanding to 10,000. Participants would engage in skills-based tasks like hackathons and benefit from early initiation of the security clearance process. This initiative seeks to close the cybersecurity job gap, currently estimated at nearly 500,000 unfilled positions. Green stresses the need for fresh approaches to attract and train talent, particularly amid rising cyber threats from countries like China, Iran, and Russia. The bill is seen as complementary to existing programs like Cyber Corps and other legislative efforts aimed at bolstering the federal cybersecurity workforce. If passed, it will leverage CISA’s industry partnerships to expand cybersecurity training outside of traditional degree programs. While there’s no funding attached yet, Green’s team emphasizes the importance of investing in cybersecurity talent as a critical line of defense. Co-sponsors of the bill include Reps. Carlos Gimenez and Mike Ezell, with a committee markup scheduled for Wednesday.” 「このプログラムでは、連邦政府、州政府、または地方自治体のサイバー関連の職務に2年間従事することを条件に、コミュニティカレッジや専門学校の学生に奨学金を提供する。この法案は、従来の4年制大学への進学に適さない学生やキャリアチェンジを希望する学生を対象としており、初年度は250人の学生の参加を目指し、最終的には1万人に拡大する予定である。参加者はハッカソンなどのスキルを要する作業に従事し、早期にセキュリティクリアランス(機密情報取扱許可)プロセスを開始できるという利点がある。このイニシアティブは、現在約50万もの未充足職があると推定されるサイバーセキュリティの職務ギャップを埋めることを目的としている。グリーン氏は、特に中国、イラン、ロシアなどの国々からのサイバー脅威が高まっている中、人材を惹きつけ、育成するための新たなアプローチが必要であると強調している。この法案は、連邦政府のサイバーセキュリティ要員を強化することを目的としたサイバー部隊(Cyber Corps)などの既存のプログラムやその他の立法努力を補完するものとして捉えられている。可決されれば、CISAの業界パートナーシップを活用し、従来の学位プログラム以外のサイバーセキュリティトレーニングを拡大することが可能になる。現時点では資金は付いていないが、グリーン氏のチームは、サイバーセキュリティ人材への投資が重要な防御策であることを強調している。この法案の共同提案者には、カルロス・ジメネス氏とマイク・エゼル氏が含まれており、水曜日に委員会による審議が予定されている。
Industrial Cyber: Homeland Security committee introduces Cyber PIVOTT Act to address cyber workforce shortage 国土安全保障委員会、サイバー人材不足に対処するサイバーPIVOTT法案を提出 “Mark E. Green, House Committee on Homeland Security Chairman and a Tennessee Republican said that he is proud to introduce legislation to ensure all levels of government have the best and brightest cyber professionals on the frontlines of America’s cyber border. ‘As threats to our critical infrastructure and civilian networks from Beijing, Tehran, and Moscow grow and AI lowers the barrier to entry for attacks, our worsening cyber workforce gap has created a dangerous homeland security threat.’ ‘ROTC programs offer a valuable pathway for students who don’t have the opportunity to attend a military academy to begin a lifetime of dedicated military service,” Green said in a media statement. […] The U.S. has seen a 17 percent increase in its cyber workforce gap but only an 11 percent increase in its cyber workforce. Among workers surveyed, 57 percent say staffing shortages caused by this discrepancy puts them at a ‘moderate or extreme risk of cybersecurity attacks’ which ‘decrease their ability to perform critical, careful risk assessment and remain agile amid a challenging threat landscape.’ In a national survey, 75 percent of cyber workers said the ‘current threat landscape is the most challenging it has been in the past five years.’ 「テネシー州選出の共和党員で、下院国土安全保障委員会のマーク・E・グリーン委員長は、あらゆるレベルの政府が、アメリカのサイバー国境の最前線に優秀なサイバー専門家を配置することを保証する法案を提出することを誇りに思うと述べた。『北京、テヘラン、モスクワからのわが国の重要なインフラや民間ネットワークへの脅威が拡大し、AIが攻撃の参入障壁を引き下げている中、悪化するサイバー人材の不足は、国土安全保障にとって危険な脅威を生み出している。「ROTCプログラムは、士官学校への進学機会を持たない学生にとって、生涯にわたる献身的な軍務に就くための貴重な道筋を提供している」とグリーン氏はメディア向けの声明で述べた。米国では、サイバー人材の不足率が17%増加しているが、サイバー人材の数は11%しか増加していない。調査対象となった労働者の57%が、このギャップによる人材不足により、「サイバーセキュリティ攻撃のリスクが中程度または極めて高い」状態に置かれており、その結果、「重要なリスクアセスメントを慎重に行う能力が低下し、困難な脅威の状況下で機敏な対応ができなくなる」と回答している。全国調査では、サイバーセキュリティの労働者の75%が、「現在の脅威の状況は過去5年間で最も困難である」と回答している。
Industrial Cyber Republican Homeland Security Committee bill set to combat CCP cyber threats, boost cyber resilience 共和党国土安全保障委員会の法案、中国共産党のサイバー脅威に対抗し、サイバーレジリエンスを強化 “The ‘Strengthening Cyber Resilience Against State-Sponsored Threats Act,’ bill requires that the task force provide a classified report and briefing to Congress annually for five years on their findings, conclusions, and recommendations relating to malicious CCP cyber activity. The bill has been introduced by House Representative Laurel Lee, a Florida Republican, and cosponsored by Mark E. Green, a Republican from Tennessee and chairman of the House Committee on Homeland Security, and John Moolenaar, a Republican from Michigan and Select Committee on the Chinese Communist Party chairman. It calls upon the director of CISA (or the director of CISA’s designee) to serve as the chairperson of the task force, while the director of the FBI (or such director’s designee) shall serve as the vice chairperson of the task force. […] The legislation detailed that to materially assist in the activities of the task force, representatives should be subject matter experts who have familiarity and technical expertise regarding cybersecurity, digital forensics, or threat intelligence analysis, or in-depth knowledge of the tactics, techniques, and procedures (TTPs) commonly used by state-sponsored cyber actors, including Volt Typhoon, of the People’s Republic of China.”   「『国家支援による脅威に対するサイバーレジリエンス強化法』という法案では、タスクフォースが5年間にわたり、悪意のある中国共産党のサイバー活動に関する調査結果、結論、および提言について、毎年機密扱いの報告書と議会への説明を行うことを義務付けている。この法案はフロリダ州選出の共和党下院議員ローレル・リー氏によって提出され、テネシー州選出の共和党下院議員で下院国土安全保障委員会委員長のマーク・E・グリーン氏と、ミシガン州選出の共和党下院議員で中国共産党に関する特別委員会委員長のジョン・ムーレナ氏との共同提案となっている。CISA(またはCISAの指名する者)の局長がタスクフォースの議長を務めること、また、FBI(またはFBIの指名する者)の局長がタスクフォースの副議長を務めることを求めている。この法案では、タスクフォースの活動を実質的に支援するために、代表者はサイバーセキュリティ、デジタルフォレンジック、または脅威情報分析に精通し、技術的専門知識を有する、または、中華人民共和国の「Volt Typhoon」を含む国家支援を受けたサイバー行為者によって一般的に使用される戦術、技術、手順(TTP)に関する深い知識を有する、主題の専門家でなければならないと詳細に規定されている。 
InfoSecurity US House Bill Addresses Growing Threat of Chinese Cyber Actors 米国下院法案、中国サイバー行為者の脅威の増大に対処 “Under the bill, the task force will be required to submit a classified report and briefing to Congress annually over the next five years. The report will include findings, conclusions and recommendations concerning CCP-affiliated cyber threats. Representative Lee emphasized the importance of a unified response: ‘A siloed approach to cybersecurity will only give our adversaries the upper hand.’ She also highlighted the dangers posed by Volt Typhoon, a group that has reportedly infiltrated key sectors such as energy, water and transportation. Committee Chairman Mark E. Green (R-TN) and Select Committee on the CCP Chairman John Moolenaar (R-MI) cosponsored the bill, underscoring the urgency of addressing Chinese cyber intrusions. Green noted that groups like Volt Typhoon had gone undetected within US networks for too long, posing both espionage risks and the potential for disruptive attacks.” 「この法案では、タスクフォースは今後5年間、毎年機密扱いの報告書と議会への説明を提出することが義務付けられる。報告書には、中国共産党(CCP)関連のサイバー脅威に関する調査結果、結論、および提言が含まれる。リー代表者は、統一された対応の重要性を強調し、「サイバーセキュリティに対する縦割り的なアプローチは、敵対者に優位性をもたらすだけだ」と述べた。また、エネルギー、水、交通などの主要部門に侵入したとされるグループ「ボルテュラ・タイフーン」がもたらす危険性についても強調した。マーク・E・グリーン下院議員(共和党、テネシー州選出)と中国共産党に関する下院特別委員会のジョン・ムーレナール委員長(共和党、ミシガン州選出)は、この法案の共同提案者であり、中国のサイバー侵入への対応の緊急性を強調した。グリーン氏は、「ボルト・タイフーンのようなグループは、米国のネットワーク内で長期間にわたって発見されず、スパイ活動のリスクと破壊的な攻撃の可能性の両方をはらんでいた」と指摘した。
Homeland Preparedness News Legislation would combat Chinese cyber threats  法案は中国のサイバー脅威に対抗する “Legislation recently introduced in the U.S. House of Representatives would combat growing cyber threats from the Chinese Communist Party (CCP) against critical infrastructure. The Strengthening Cyber Resilience Against State-Sponsored Threats Act would create an interagency task force tasked with addressing the cybersecurity threats posed by People’s Republic of China-sponsored cyber actors including Volt Typhoon. The Cybersecurity and Infrastructure Security Agency and the Federal Bureau of Investigation would lead the task force. ‘The CCP, acting through Volt Typhoon and other threat actors, has made a concerted effort to pre-position itself within our networks in order to target and compromise the critical infrastructure Americans rely on every day––from the transportation and water sectors to the energy sector,’ U.S. Rep. Laurel Lee (R-FL), who introduced the bill, said. “While individual agencies have worked to examine and address the threats posed by malign cyber actors like Volt Typhoon, a siloed approach to cybersecurity will only give our adversaries the upper hand.’” 「最近米国下院に提出された法案は、中国共産党(CCP)による重要インフラに対するサイバー脅威の増大に対抗するものである。サイバーレジリエンス強化法(Strengthening Cyber Resilience Against State-Sponsored Threats Act)は、ボルト・タイフーンを含む中華人民共和国が支援するサイバー行為者によるサイバーセキュリティ脅威に対処する任務を課した省庁間タスクフォースを創設する。サイバーセキュリティ・インフラセキュリティ庁と連邦捜査局がタスクフォースを主導する。「中国共産党は、ボルト・タイフーンやその他の脅威行為者を介して、米国人が日々頼っている重要なインフラストラクチャー(交通や水道からエネルギー分野まで)を標的にし、侵害するために、米国のネットワーク内に事前配置するよう、一丸となって努力している」と、この法案を提出したローレル・リー(フロリダ州選出、共和党)下院議員は述べた。「個々の機関が、Volt Typhoonのような悪意あるサイバー行為者による脅威を調査し、対処する努力を行っている一方で、サイバーセキュリティに対する縦割り的なアプローチは、敵対者に優位性をもたらすだけである。」

 

| | Comments (0)

2024.10.03

総務省 経済産業省 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版(案)」に対する意見の募集 (2024.10.01)

こんにちは、丸山満彦です。

総務省と経済産業省が、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版(案)」に対する意見の募集を始めていますね...

現行の1.1版との比較のために見え消し版も公表しているので変更点がわかりやすいですね...

 

総務省

・2024.10.01 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版(案)」に対する意見の募集

・・別紙1:医療情報を取り扱う情報システム・サービスの提供事業者における有識者委員会構成員

・・別紙2:「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版(案)」

20241003-143441

 

目次

1. 本ガイドラインの基本方針
1.1.
本ガイドライン策定の経緯
 1.1.1.
医療情報に関する法整
 1.1.2.医療情報安全管理ガイドライン
 1.1.3.総務省・経済産業省ガイドライン
 1.1.4.事業者向けのガイドラインの統合の必要性
 1.1.5.状況の変化に対する改定の必要性

1.2.
本ガイドラインの策定方針
1.3.
本ガイドラインの構成

2.本ガイドラインの対象
2.1.
本ガイドラインが対象とする医療情報と事業者
2.2.
医療情報システム等の代表的な提供形態
 2.2.1.1社で提供するケース
 2.2.2.複数の事業者が提供するケース
 2.2.3.医療機関等が複数事業者と契約するケース

3.医療情報の安全管理に関する義務・責任
3.1.
法律関係
 3.1.1.
安全管理義務
 3.1.2. 対象事業者の説明義務…
 3.1.3.情報セキュリティ事故等発生時における義務と責任

3.2.
医療情報システム等のライフサイクルにおける義務と責任
 3.2.1.
契約前の合意形成及び契約中の合意の維持
 3.2.2. 通常時の義務…
 3.2.3.危機管理対応時の義務及び責任

4.対象事業者と医療機関等の合意形成
4.1.
医療機関等へ情報提供すべき項目
4.2.
医療機関等との役割分担の明確化
4.3.
医療情報システム等の安全管理に係る評価
4.4.
対象事業者の適格性を評価する第三者認証等の取得に係る要件

5.安全管理のためのリスクマネジメントプロセス
5.1.
リスクマネジメントの実践
 5.1.1.
リスク特定
 5.1.2. リスク分析
 5.1.3.リスク評価
 5.1.4.リスク対応の選択肢の選定
 5.1.5.リスク対応策の設計・評価
 5.1.6.リスクコミュニケーション
 5.1.7.継続的なリスクマネジメントの実践

5.2.
リスクアセスメント及びリスク対応の実施例
 5.2.1.
リスクアセスメント
 5.2.2.リスク対応

6.制度上の要求事項
6.1.
医療分野の制度が求める安全管理の要求事項
6.2.
電子保存の要求事項
6.3.
法令で定められた記名・押印を電子署名に代える場合の要求事項
6.4.
取扱いに注意を要する文書等の要求事項
6.5.
外部保存の要求事項

用語集

参考文献


・・別添2-1:「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインFAQ(案)」

・・別添2-2:ガイドラインに基づくサービス仕様適合開示書及びサービス・レベル合意書(SLA)参考例

・・別紙3:意見公募要領

・・参考1:「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版(案)」(見え消し版)

・・参考2:「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインFAQ(案)」(見え消し版)

・・参考3:ガイドラインに基づくサービス仕様適合開示書及びサービス・レベル合意書(SLA)参考例(見え消し版)

 


 

経済産業省のウェブページ

は、いろいろと情報がまとまっていて参考になります...

経済産業省 - 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

2023.03.24 厚生労働省 医療情報システムの安全管理に関するガイドライン 第6.0版(案) の審議(第16回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ資料)

・2023.02.23 厚生労働省 意見募集 医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案) (2023.02.16)

・2022.04.04 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)

・2021.10.08 厚生労働省 意見募集 医療機器のサイバーセキュリティ導入に関する手引書

・2021.02.02 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)

・2020.10.05 厚生労働省 医療情報システムの安全管理に関するガイドライン第5.1版(案)に関する御意見の募集について

・2020.08.23 総務省 経済産業省 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見募集の結果及び当該ガイドラインの公表

・2020.03.27 厚労省 医療情報システムの安全管理に関するガイドライン 改定素案(第 5.1 版)

・2020.03.10 厚労省の「医療情報システムの安全管理に関するガイドライン」の改訂作業が始まりましたね。。。

・2020.03.06 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見の募集

・2009.12.26 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン 第4.1版(案)」

・2009.11.22 パブコメ 厚生労働省 「診療録等の保存を行う場所について」の一部改正

・2009.07.17 総務省 確定 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」

・2009.05.23 総務省 パブコメ 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(案)」

・2009.04.09 厚生労働省 確定 医療情報システムの安全管理に関するガイドライン 第4版

・2008.03.08 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン第3版(案)」 & 経済産業省 パブコメ 「医療情報を受託管理する情報処理事業者向けガイドライン案」

・2007.04.14 厚生労働省 確定 「医療情報システムの安全管理に関するガイドライン 第2版」

・2005.04.09 医療情報システムの安全管理に関するガイドライン

・2005.03.05 医療情報システム パブコメ

 

| | Comments (0)

オーストラリア 米国 日本他が重要インフラ組織のためのOTサイバーセキュリティの原則に関するガイダンスを発表

こんにちは、丸山満彦です。

オーストラリア通信総局のオーストラリア・サイバーセキュリティセンター(ASD's ACSC)が、米国(CISA、FBI、NSA)、英国、カナダ、ニュージーラインド、ドイツ、オランダ、日本、韓国の国際的なパートナーとの協力のもと、「運用技術(OT)サイバーセキュリティの原則」(Principles of Operational Technology Cybersecurity)に関するガイダンスを発表していますね...

日本は、NISCと警察庁ですね...Five Eyes各国は、情報コミュニティがメンバーですから、日本もそういう感じになったんですかね...

 

さて、このガイダンスでは次の6つの原則が示されていますね...(訳は内閣官房とは違ってます...後日時間があるときにあわせますね...)

1. Safety is paramount 1. 安全が最優先
2. Knowledge of the business is crucial 2. 業務に関する知識が重要である
3. OT data is extremely valuable and needs to be protected 3. OTデータは極めて貴重であり、保護する必要がある
4. Segment and segregate OT from all other networks 4. OTを他のすべてのネットワークから防御・分離する
5. The supply chain must be secure 5. サプライチェーンは安全でなければならない
6. People are essential for OT cyber security 6. OT サイバーセキュリティには人材が不可欠である

 

Australia Cyber Security Centre; ACSC

・2024.10.02 Cyber Security for Operational Technology

Cyber Security for Operational Technology 運用技術のサイバーセキュリティ
The Australian Signals Directorate’s Australian Cyber Security Centre (ASD's ACSC) has released new guidance to help critical infrastructure protect their systems and online supply chains. オーストラリア通信総局のオーストラリア・サイバー・セキュリティ・センター (ASD's ACSC)は、重要インフラのシステムとオンライン・サプライチェーンの保護を支援するための新しいガイダンスを発表した。
Designing robust cyber security measures for operational technology (OT) environments is vital to protect the safety, availability, integrity and confidentiality of essential services. It is important that decision makers are able to make informed and comprehensive decisions when designing, implementing, and managing IT environments. 重要なサービスの安全性、可用性、完全性、機密性を保護するためには、運用技術(OT)環境に対する強固なサイバーセキュリティ対策を設計することが不可欠である。IT環境を設計、実装、管理する際、意思決定者が十分な情報を得た上で包括的な決定を下せることが重要である。
ASD has consulted with industry to develop Principles of operational technology cyber security, which have been co-sealed by our international intelligence partners. The principles are designed to help leaders, developers, and other stakeholders consider key cyber security risks in OT environments and actions they can take to secure their OT.
.
ASDは産業界と協議し、国際的な情報機関のパートナーによって共同承認された運用技術サイバーセキュリティの原則を開発した。この原則は、リーダー、開発者、その他の利害関係者が、OT環境における主要なサイバーセキュリティリスクと、OTの安全性を確保するために取るべき行動を検討するのに役立つように設計されている。
You can use the principles for OT to identify and mitigate the cyber security risks within your operational technology and specific requirements. OTのための原則を利用して、自社の運用技術や特定の要件におけるサイバーセキュリティ・リスクを特定し、軽減することができる。

 

・[PDF] Principles of operational technology cyber security

20241003-11331

 

Principles of operational technology cyber security 運用技術サイバーセキュリティの原則
Introduction 序文
Critical infrastructure organisations provide vital services, including supplying clean water, energy, and transportation, to the public. These organisations rely on operational technology (OT) to control and manage the physical equipment and processes that provide these critical services. As such, the continuity of vital services relies on critical infrastructure organisations ensuring the cyber security and safety of their OT. 重要インフラ組織は、清潔な水、エネルギー、輸送などの重要なサービスを一般市民に提供している。これらの組織は、これらの重要なサービスを提供する物理的な機器やプロセスを制御・管理するために、運用技術(OT)に依存している。そのため、重要なサービスの継続は、重要インフラ組織がOTのサイバーセキュリティと安全性を確保することに依存している。
Due to the extensive integration of OT in the technical environments of critical infrastructure organisations, and the complex structure of these environments, it can be difficult to identify how business decisions may affect the cyber security of OT, including the specific risks attributed to a decision. Decisions may include introducing new systems, processes, or services to the environment; choosing vendors or products to support the technical environment; and developing business continuity and security-related plans and playbooks. This document is designed to assist organisations make decisions for designing, implementing, and managing OT environments to ensure they are both safe and secure, as well as enable business continuity for critical services. 重要インフラ組織の技術環境におけるOTの広範な統合と、これらの環境の複雑な構造により、ビジネス上の意思決定がOTのサイバーセキュリティにどのような影響を与えるかを、意思決定に起因する特定のリスクを含めて特定することが困難な場合がある。意思決定には、ビジネス環境に新しいシステム、プロセス、サービスを導入すること、技術環境をサポートするベンダーや製品を選択すること、事業継続やセキュリティ関連の計画やプレイブックを策定することなどが含まれる。この文書は、組織がOT環境を設計、実装、管理するための意思決定を支援し、安全性とセキュリティを確保するとともに、重要なサービスの事業継続を可能にすることを目的としている。
Principles of OT Cyber Security, authored by the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), and co-sealed by the U.S. Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), Multi-State Information Sharing and Analysis Center (MSISAC), United Kingdom’s National Cyber Security Centre (NCSC-UK), Canadian Centre for Cyber Security (Cyber Centre), New Zealand’s National Cyber Security Centre (NCSC-NZ), Germany’s Federal Office for Information Security (BSI Germany), the Netherlands’ National Cyber Security Centre (NCSC-NL), Japan’s National Center of Incident Readiness and Strategy for Cybersecurity (NISC) and National Police Agency (NPA), the Republic of Korea’s National Intelligence Service (NIS) and NIS’ National Cyber Security Center (NCSC) describes six principles that guide the creation and maintenance of a safe, secure critical infrastructure OT environment:  サイバーセキュリティ・インフラ・セキュリティ局(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、複数国家情報共有分析センター(MSISAC)、英国国家サイバーセキュリティセンター(NCSC-UK)、カナダ・サイバーセキュリティセンター(Cyber Centre)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)、ドイツ連邦情報セキュリティ局(BSI Germany)、 オランダの国家サイバーセキュリティセンター(NCSC-NL)、日本のサイバーセキュリティ・インシデント対応・戦略センター(NISC)と警察庁(NPA)、韓国の国家情報院(NIS)とNISの国家サイバーセキュリティセンター(NCSC)は、安全でセキュアな重要インフラOT環境の構築と保守の指針となる6つの原則を説明している:
1. Safety is paramount 1. 安全が最優先
2. Knowledge of the business is crucial 2. 業務に関する知識が重要である
3. OT data is extremely valuable and needs to be protected 3. OTデータは極めて貴重であり、保護する必要がある
4. Segment and segregate OT from all other networks 4. OTを他のすべてのネットワークから防御・分離する
5. The supply chain must be secure 5. サプライチェーンは安全でなければならない
6. People are essential for OT cyber security 6. OT サイバーセキュリティには人材が不可欠である
The principles have been co-designed with Australian critical infrastructure operators. We thank all who have contributed for their time and expertise in supporting the development of this document. 本原則はオーストラリアの重要インフラ事業者と共同で策定した。この文書の作成を支援するために時間と専門知識を提供してくれたすべての人に感謝する。
How to use this document この文書の使用方法
The authoring agencies recommend an OT decision maker apply the six principles presented in this document to help determine if the decision being made is likely to adversely impact the cyber security of the OT environment. If a decision impacts or breaks one or more of the principles of OT cyber security outlined in this document, then it will likely introduce a vulnerability to the OT environment. Such a decision therefore needs to be examined more closely to make sure the right cyber security controls are put in place and that the residual risk after the controls are put in place is acceptable, or, alternatively, the proposal is reconsidered. Quickly filtering decisions to identify those that impact the security of OT will enhance the making of robust, informed, and comprehensive decisions that promote safety, security and business continuity when designing, implementing, and managing OT environments.  OT の意思決定者は、なされようとしている意思決定が OT 環境のサイバーセキュリティに悪影響を与えそうであるかどうかを判断するために、この文書に示された 6 つの原則を適用することを認可機関は推奨する。もしある決定が、本文書で概説されている OT サイバーセキュリティの原則の 1 つ以上に影響を与えたり、破ったりするのであれば、それは OT 環境に脆弱性をもたらす可能性が高い。したがって、そのような意思決定は、適切なサイバーセキュリティ対策が実施され、対策実施後の残存リスクが許容可能であることを確認するために、より綿密に検討する必要がある。OT のセキュリティに影響する意思決定を迅速にフィルタリングして特定することは、OT 環境を設計、実装、管理する際に、安全、セキュリ ティ、ビジネス継続性を促進する強固で、情報に基づいた、包括的な意思決定を強化することになる。
The authoring agencies recommend OT decision makers read and understand each principle. This document is intended to be useful for all personnel who need to filter decisions affecting OT, from the leadership of an organisation (including the executives and board members making strategic decisions) down to the technical personnel making tactical and operational decisions. 認可機関は、OT の意思決定者が各原則を読み、理解することを推奨する。この文書は、組織の指導者(戦略的決定を行う幹部や役員を含む)から戦術的・運用的決定を行う技術担当者に至るまで、OTに影響する決定をフィルタリングする必要があるすべての要員にとって有用であることを意図している。
Principles of operational technology cyber security 運用技術のサイバーセキュリティの原則
Principle 1: Safety is paramount 原則1:安全が最優先
Safety is critical in physical environments. In contrast to corporate IT systems, where leaders prioritise innovation and rapid development without concern of threat to life, operational cyber-physical systems’ leaders must account for threat to life in daily decision making. Firstorder hazards from critical infrastructure include high voltages, pressure releases or flammable explosions, kinetic impacts (e.g, speeding trains), and chemical or biological hazards such as in water treatment. Further, there are implications for citizens’ way of life if essential services such as energy and drinkable water supply are degraded or disrupted. The interconnected nature of critical infrastructure means that failures, whether by human error or malicious disruption through cyber means, may have wide ranging and unforeseen implications for the day-to-day function of society.  安全は物理的環境において極めて重要である。企業のITシステムでは、リーダーが生命への脅威を気にすることなく、イノベーションと迅速な開発を優先するのとは対照的に、運用サイバー物理システムのリーダーは、日々の意思決定において生命への脅威を考慮しなければならない。重要なインフラから生じる一次災害には、高電圧、圧力の放出や可燃性爆発、運動衝撃(例:スピード違反の列車)、水処理などの化学的・生物学的災害が含まれる。さらに、エネルギーや飲料水の供給など、必要不可欠なサービスが低下したり中断したりすれば、市民の生活にも影響が及ぶ。重要インフラは相互につながっているという性質があるため、人為的なミスであれ、サイバー手段による悪意ある破壊であれ、障害が発生すれば、社会の日常機能に広範かつ予期せぬ影響を及ぼす可能性がある。
Examples and implications 例と影響
When discussing safety, it may be useful to consider safety of human life; safety of plant, equipment and the environment; and the reliability and uptime of the critical infrastructure’s services. Depending on the environment and the system being considered, this may imply a requirement that any cyber security systems, processes and services introduced into the environment are deterministic and predictable, including that engineers have a deep understanding of the weaknesses of the system and ensuring that failures occur in an expected and manageable way. Similarly, safety needs to be informed by cyber security and an understanding of the threat environment. Depending on the criticality of the service, there may be a need to ensure that any cyber security systems, processes or services introduced into the environment are black-start compliant, meaning they will not hinder a restart after a complete loss of electricity, and are able to operate and recover with minimal dependence on other systems. 安全性を議論する際には、人命の安全性、プラント、機器、環境の安全性、重要インフラのサービスの信頼性と稼働時間を考慮することが有用であろう。環境と考慮されるシステムによっては、これは、環境に導入されるサイバーセキュリティシステム、プロセス、サービスが決定論的で予測可能であるという要件を意味し、エンジニアがシステムの弱点を深く理解し、故障が予期され管理可能な方法で発生することを保証することも含まれる。同様に、安全性はサイバーセキュリティと脅威環境の理解によってもたらされる必要がある。サービスの重要性によっては、環境に導入されるサイバーセキュリティ・システム、プロセス、サービスがブラックスタートに適合していること、つまり、電気が完全に失われた後の再起動を妨げないこと、他のシステムへの依存を最小限に抑えて動作・回復できることを保証する必要があるかもしれない。
The principle of “safety is paramount” implies the following incident response questions are significant: 安全が最優先」という原則は、次のようなインシデント対応の疑問が重要であることを意味している:
• If there is a cyber incident in an area that requires software running correctly for the work environment to be considered safe (safety and protection systems), is an organisation prepared to send staff to that site knowing that a bad actor has been, or is currently, on the network? [1] - 作業環境が安全とみなされるためにソフトウェアが正しく動作する必要がある領域(安全および保護システム)でサイバーインシデントが発生した場合、組織は、悪質な行為者がネットワークに侵入している、または現在侵入していることを知りながら、その現場にスタッフを派遣する用意があるか?[1]
• If there is a cyber incident in an area that requires software running correctly for the work environment to be considered safe (safety and protection systems), in many instances this means that paying a ransom cannot be an option, as there is no timely large-scale method to verify that the system has been returned to a safe state.  Can an organisation be confident that the encryption process was the only modification to the files, given that a malicious actor is known to have been on the OT network?1 - 作業環境が安全とみなされるためにソフトウェアが正しく動作する必要がある領域(安全および保護システム)でサイバーインシデントが発生した場合、多くの場合、システムが安全な状態に戻ったことを確認するためのタイムリーで大規模な方法がないため、身代金を支払うという選択肢はありえないことを意味する。悪意のある行為者が OT ネットワークにいたことが知られている場合、組織は暗号化処理だけがファイルへの変更であったと確信できるだろうか?1
• Is restoring from backup an acceptable approach to mitigate cyber incidents? That is, if a malicious actor has been on the network for a period of time, can the backups be trusted? Is there a way to validate that the critical OT system is safe, after recovery? - バックアップからの復元は、サイバーインシデントを軽減するために受け入れられるアプローチだろうか?つまり、悪意のある行為者が一定期間ネットワーク上にいた場合、バックアップは信頼できるのか?復旧後、重要なOTシステムが安全であることを検証する方法はあるか?
Safety of human life, safety of the plant equipment, safety of the environment, and the need to maintain reliability and uptime, are necessary systemic ways of thinking that need to permeate all tasks, even essential and common cyber hygiene tasks potentially considered unrelated, such as: 人命の安全、プラント機器の安全、環境の安全、そして信頼性と稼働時間を維持する必要性は、すべてのタスクに浸透させる必要のあるシステム的な思考方法である:
• How to take a backup? Are there risks to executing backups over the same (potentially close-to-saturated) network as time-critical safety control messages? - バックアップの取り方は?バックアップをどのように取るか?バックアップを、タイムクリティカルな安全制御メッセージと同じ(飽和状態に近い可能性のある)ネットワーク上で実行するリスクはあるか?
• How to do asset discovery? Are active processes acceptable, or is passive the only way? - アセットディスカバリーの方法は?能動的なプロセスは受け入れられるのか、それとも受動的な方法しかないのか?
• How to patch, and how to do change management in general? What are the system requirements for frequency, testing rigour, scope, roll-out strategies and roll-back strategies. - パッチの当て方、一般的な変更管理の方法は?頻度、テストの厳密さ、範囲、ロールアウト戦略、ロールバック戦略に関するシステム要件は何か。
Principle 2: Knowledge of the business is crucial 原則2:ビジネスに関する知識が重要である
The more knowledge a business has about itself, the better that business can protect against, prepare for and respond to a cyber incident. The higher in the organisation there is understanding, visibility and reporting of cyber risks, especially to OT systems, the better the outcome. ビジネスに関する知識が豊富であればあるほど、そのビジネスはサイバーインシデントから保護し、準備し、対応することができる。特にOTシステムに対するサイバーリスクの理解、可視化、報告が組織の上層部にあればあるほど、より良い結果が得られる。
All critical infrastructure organisations should ensure they meet the following baselines: すべての重要インフラ組織は、以下のベースラインを満たしていることを確認する必要がある:
• Identify the vital systems the organisation needs to continue to provide their crucial services - 組織が重要なサービスを提供し続けるために必要な重要システムを特定する
• Understand the OT system’s process, and the significance of each part of the process - OT システムのプロセス、およびプロセスの各部分の重要性を理解する
• Create an architecture that allows those vital systems and processes to be defended from other internal and external networks - それらの重要なシステムおよびプロセスを他の内部および外部ネットワークから防御できるアーキテクチャを作成する
• Ensure that personnel responsible for designing, operating and maintaining OT systems understand the business context that the OT system operates within, including the physical plant and process connected to the OT system and how it delivers services to stakeholders. - OT システムの設計、運用、および保守に責任を負う要員が、OT システムに接続された物理プラントおよびプロセス、および利害関係者にサービスを提供する方法など、OT システムがその中で動作するビジネスコンテキストを理解していることを確認する。
• Understand the dependencies vital systems have to be able to operate and where they connect to systems external to the OT system. - システムが動作するために不可欠な依存関係を理解し、OT システムの外部のシステムと接続する場所を理解する。
Examples and implications 例と影響
A commonly agreed upon imperative of cyber security is to know what needs to be protected. The first part of this is to understand which elements of the business are essential for the organisation to be able to provide its critical services. The second part is to understand the systems and processes being protected. This may include (but is not limited to): systems engineering drawings, asset lists, network diagrams, knowing who can connect to what and from where, recovery procedures, software vendors, services and equipment, and, to the extent possible, software bills of material and the desired configuration state. サイバーセキュリティの必須事項として一般的に合意されているのは、保護すべきものを知ることである。その第一は、組織が重要なサービスを提供するために不可欠なビジネスの要素を理解することである。第二の部分は、保護対象のシステムとプロセスを理解することである。これには、システムエンジニアリングの図面、資産リスト、ネットワーク図、誰がどこから何に接続できるかを知ること、復旧手順、ソフトウェアベンダー、サービス、機器、可能な限りソフトウェアの部品表と望ましい構成状態などが含まれる(ただし、これらに限定されない)。
Knowing what parts of the business are essential to be able to provide a critical service requires both top-down and bottom-up thinking. Top-down thinking has historically led many organisations to seek to separate OT from IT. Bottom-up thinking provides an opportunity for an organisation to go further and discover the minimal set of OT equipment required for a critical function. For example, to be able to generate electricity, depending on the generator, it may be that the minimum requirement is the generator, a controller in a control panel, and a suitable fuel supply. For critical infrastructure entities, understanding what is needed to protect the absolute core functions – keeping the water flowing and the lights on – should then guide the effective layering of cyber security controls. This has implications for architecture, protection, detection, and backup of devices and files. クリティカルなサービスを提供するために、ビジネスのどの部分が不可欠かを知るには、トップダウン思考とボトムアップ思考の両方が必要である。トップダウン思考は、歴史的に多くの組織がOTをITから切り離そうとしてきた。ボトムアップの思考は、組織がさらに進んで、重要な機能に必要な最小限のOT機器のセットを発見する機会を提供する。例えば、発電ができるようにするためには、生成的な発電機によっては、発電機、制御盤のコントローラ、適切な燃料供給が最低限必要な場合がある。重要インフラ事業体にとっては、水を流し、明かりを点け続けるという絶対的な中核機能を守るために何が必要かを理解することが、サイバーセキュリティ対策を効果的に階層化するための指針となる。これは、アーキテクチャ、防御、検知、デバイスやファイルのバックアップに影響を与える。
It is essential that OT-specific incident response plans and playbooks are integrated into the organisation’s other emergency and crisis management plans, business continuity plans, playbooks and mandatory cyber incident reporting requirements. The involvement of a process engineer is important, both when creating plans and playbooks and during any investigation, containment or recovery processes. There is also a need to provide an information pack to third parties before or when they are engaged, to quickly bring them up to speed. This third-party pack should include the likes of points of contact, naming conventions for servers, data sources, deployed tools, and what tools are acceptable to be deployed. All plans, playbooks, and thirdparty packs must be regularly exercised, updated by all relevant parties including legal, and protected due to their value to the adversaries. OT特有のインシデント対応計画とプレイブックを、組織のその他の緊急・危機管理計画、事業継続計画、プレイブック、サイバーインシデント報告義務要件に統合することが不可欠である。プランとプレイブックを作成する際にも、調査、封じ込め、復旧プロセスにおいても、プロセスエンジニアの関与が重要である。また、サードパーティと契約する前、あるいは契約する際に、サードパーティが迅速にスピードアップできるような情報パックをプロバイダに提供する必要もある。このサードパーティ・パックには、連絡先、サーバーの命名規則、データソース、配備されたツール、配備が許容されるツールなどを含めるべきである。すべての計画、プレイブック、サードパーティパックは、定期的に実行され、法務を含むすべての関係者によって更新され、敵対者にとって価値があるため保護されなければならない。
Physical aspects that aid staff to have knowledge of the OT system should also be considered. This may include colour coding cables, putting coloured banding on existing cables, or marking devices allowed in the OT environment in a highly visible way. Only authorised devices should be connected to the OT environment, to help ensure that only authorised code can be introduced to OT environments. Overt visual cues allow an organisation to better protect their environment by identifying unauthorised devices, and allow an organisation to quickly make correct decisions in response to cyber or intelligence-based events. Such markings would need to be periodically assessed and verified to ensure accuracy and currency. スタッフがOTシステムの知識を持つのを助ける物理的な側面も考慮されなければならない。これには、ケーブルを色分けしたり、既存のケーブルにカラーバンドを付けたり、OT 環境で許可されたデバイスを非常に見やすい方法でマーキングしたりすることが含まれる。許可されたコードのみが OT 環境に導入されることを確実にするために、許可された機器のみが OT 環境に接続されるべきである。あからさまな視覚的手がかりは、未認可のデバイスを識別することで組織の環境をよりよく保護し、サイバーまたは識別に基づく事象に対応して組織が迅速に正しい判断を下すことを可能にする。このようなマーキングは、正確性と最新性を確保するために定期的にアセスメントされ、検証される必要がある。
Understanding the business context of the OT system is essential for assessing the impact and criticality of OT outages and cyber security compromises. It is also vital to determining recovery priorities during a critical incident. For organisations reliant on OT to be able to provide a critical service, an integrated OT cyber security function is a necessary part of the business. OT cyber security personnel are not expected to have the deep understanding of a physical system that an electrical, chemical, or process engineer may have, but they should have a working knowledge of plant operation and most importantly, maintain working relationships with those in the organisation responsible for the physical plant. Such relationships are critical both to the success of any cyber enhancement project as well as when there is a need to respond to a cyber event. OTシステムのビジネスコンテキストを理解することは、OT停止やサイバーセキュリティ侵害の影響と重要性を評価するために不可欠である。また、クリティカル・インシデント発生時の復旧の優先順位を決定するためにも不可欠である。重要なサービスを提供できるように OT に依存している組織にとって、統合された OT サイバーセキュリティ機能はビジネスの必要な部分である。OT サイバーセキュリティの職員は、電気、化学、またはプロセスのエンジニアが持つような物理システムに対する深い理解は期待されていないが、プラントの運用に関する実務的な知識を持っている必要があり、最も重要なことは、物理プラントの輸入事業者と協力関係を維持することである。このような関係は、サイバーエンハンスメントプロジェクトを成功させるためにも、サイバーイベントに対応する必要がある場合にも重要である。
Principle 3: OT data is extremely valuable and needs to be protected 原則 3: OT データは非常に貴重であり、保護される必要がある
From an adversary’s point of view, knowing how a system is configured, including devices and protocols used, is valuable since an OT environment rarely changes. This level of information allows a bad actor to create and test targeted malware, facilitating a greater range of possible malicious outcomes. OT 環境はめったに変化しないため、敵の視点から見れば、使用されるデバイスやプロトコルを含め、シス テムがどのように構成されているかを知ることは貴重である。このレベルの情報により、悪意ある行為者は標的型マルウェアを作成しテストすることができ、悪意のある結果をより広範囲に広げることができる。
Of particular importance is engineering configuration data, such as network diagrams, any documentation on the sequence of operations, logic diagrams and schematics (e.g., the knowledge that address 1250 is a circuit breaker, or understanding the organisation’s DNP3 address convention for devices of a specific type). This information is unlikely to change in five years, and may last for 20 or more years. As such, engineering configuration data has enduring value and is highly valuable to an adversary. An adversary gaining in-depth knowledge of how an OT system works may be likened to the concept of prepositioning in a corporate IT environment, particularly in the sense of significance and the need to respond. 特に重要なのは、ネットワーク図、動作シーケンスに関するあらゆる文書、ロジック図、回路図などのエンジニアリング・コンフィギュレーション・データである(例えば、アドレス1250がサーキット・ブレーカーであるという知識や、特定のタイプのデバイスに対する組織のDNP3アドレス規約を理解すること)。このような情報は、5年で変わる可能性は低く、20年以上続くかもしれない。このように、エンジニアリング・コンフィギュレーション・データには永続的な価値があり、敵対者にとって非常に貴重である。敵対者が OT システムの仕組みについて深い知識を得ることは、特に重要性と対応の必要性という意味で、企業の IT 環境における事前配置の概念に例えられるかもしれない。
Also important is more ephemeral OT data, such as voltage or pressure levels, as it can provide insight into what the organisation or its customers are doing or how the control system works. Securing OT data is also important for the protection of intellectual property (IP) and personally identifiable information (PII), such as for metering in electricity, gas or water, or for patient records in health. These other types of OT data, such as ephemeral OT values, IP and PII, also need to be protected. However, OT personal should also protect the engineering configuration data, which is critical to operations and valuable to malicious actors, but often overlooked.  また、電圧や圧力レベルなど、より刹那的なOTデータも重要である。これは、組織やその顧客が何をしているのか、あるいは制御システムがどのように動作しているのかを洞察できるためである。OTデータのセキュリティは、知的財産(IP)や個人を特定できる情報(PII)の保護にも重要である。例えば、電気、ガス、水道のメータリングや、医療における患者記録などである。このような刹那的なOT値、IP、PIIといった他のタイプのOTデータも保護される必要がある。しかし、OT 個人はエンジニアリング・コンフィギュレーション・データも保護する必要がある。これは運用にとっ て重要であり、悪意ある行為者にとって貴重であるが、見過ごされがちである。
Examples and implications 例と影響
Organisations should define and design where and how OT data can be stored, so as to control and secure it. While OT systems are often segmented and segregated from corporate IT systems, frequently adversaries do not need to access the more highly protected OT systems to gain access to all necessary OT data. Organisations may need to change their business processes to minimise the distribution and storage locations of OT data, including internally to the corporate system, such as processes that require that staff store OT configuration files in the corporate document management system. Ideally, critical OT data is always protected to the level of the OT system and as such should be stored in a protected repository that is segmented and segregated from the corporate environment and the internet. 組織は、OTデータを管理し保護するために、OTデータを保存する場所と方法を定義し設計する必要がある。OTシステムはしばしば企業のITシステムからセグメント化され分離されているが、多くの場合、敵対者は必要なすべてのOTデータにアクセスするために、より高度に防御されたOTシステムにアクセスする必要はない。組織は、職員がOT設定ファイルを企業の文書管理システムに保存することを要求するプロセスなど、企業システム内部を含め、OTデータの配布と保存場所を最小限にするために、ビジネスプロセスを変更する必要があるかもしれない。理想的には、重要な OT データは常に OT システムのレベルまで防御され、企業環境やインターネットから分 離・隔離された保護されたレポジトリに保管されるべきである。
OT networks should push data out of the network, rather than external networks pulling data in from OT. OTネットワークは、外部ネットワークがOTからデータを取り込むのではなく、ネットワークからデータを押し出すべきである。
When seeking to identify where critical OT data is, indicative questions include: 重要なOTデータがどこにあるかを特定しようとする場合、識別のための質問には次のようなものがある:
• Do vendors and service technicians have a copy? - ベンダーやサービス技術者はコピーを持っているか?
• Do consultants have a copy? - コンサルタントはコピーを持っているか?
• Do engineers work in corporate IT systems, which allows them to correspond with other experts via email, before transferring the work to the OT environment? - エンジニアは、OT環境に作業を移す前に、電子メールで他の専門家とやり取りできるような企業のITシステムで作業しているか?
• Is the data stored in emails, laptops, corporate backup devices, or in the cloud? - データは電子メール、ノートパソコン、企業のバックアップ機器、またはクラウドに保存されているか?
• What is the process for information destruction and disposal (e.g., when a programmable logic controller (PLC) is decommissioned, is the logic code wiped)? - 情報の破壊と廃棄のプロセスはどうなっているか(例えば、プログラマブルロジックコントローラ(PLC)を廃棄する際、ロジックコードは消去されるか)。
• Is there anything to prevent technologies such as endpoint detection and response (EDR) or anti-virus causing an inadvertent data spill by sending copies of OT files out of the organisation’s network? Is there anything to prevent staff from uploading files to online antivirus or storage services? - エンドポイント検知・対応(EDR)やアンチウィルスなどの技術が、OTファイルのコピーを組織のネットワーク外に送信することによって、不注意によるデータ流出を引き起こすことを防ぐものはあるか?職員がオンライン・アンチウイルスやストレージ・サービスにファイルをアップロードするのを防ぐ方法はあるか?
• How much information is shared with the insurer, HR, procurement, social media, etc.? - 保険会社、人事部、調達部、ソーシャルメディアなどとどの程度情報を共有しているか?
• Where are OT log files stored and analysed? - OTログファイルはどこに保存され、分析されているか?
• Are usable solutions in place, so that all parties working in OT do not have to create workarounds, potentially saving information in inappropriate places just to complete their work?  - OTに携わるすべての関係者が、作業を完了するためだけに不適切な場所に情報を保存する可能性のある回避策を作る必要がないように、使いやすいソリューションが用意されているか?
Organisations should seek to do more than protect the confidentiality, integrity and availability of OT data. Ideally they are alerted when OT data is viewed or exfiltrated – potentially via implementing canary tokens, which may include responses on certain files if they are touched. Further, they should consider what data adversaries already have access to, and if that data can be changed. This includes default passwords. If default passwords are changed, ideally ensure there is a way to capture failed login attempts, and investigate them. 組織は、OTデータの機密性、完全性、可用性を保護する以上のことを追求すべきである。理想的なのは、OTデータが閲覧されたり、流出したりしたときにアラートが発せられることである。カナリートークンを実装することで、特定のファイルに触れた場合に、そのファイルに対するレスポンスを含めることもできる。さらに、敵対者がすでにどのようなデータにアクセスしているか、そのデータを変更できるかどうかを検討すべきである。これにはデフォルトのパスワードも含まれる。デフォルトパスワードが変更された場合、ログインの失敗を記録し、調査する方法があることが理想的である。
Principle 4: Segment and segregate OT from all other networks 原則4:OTを他のすべてのネットワークから分離・隔離する
Segmenting and segregating more critical functions and networks has been common advice for decades. That advice is covered in many prior publications[2]. Entities should segment and segregate OT networks from the internet and from IT networks, because the corporate IT network is usually assessed as having a higher risk of compromise due to its internet connectivity, and services like email and web browsing. We add to, rather than change, prior advice in two main areas.  より重要な機能やネットワークを分離・隔離することは、数十年前から一般的なアドバイスとなっている。そのアドバイスは、多くの先行出版物[2]で取り上げられている。事業体は、OTネットワークをインターネットやITネットワークからセグメント化し、分離すべきである。なぜなら、企業のITネットワークは通常、インターネットに接続し、電子メールやウェブブラウジングなどのサービスを利用するため、侵害リスクが高いとアセスメントされるからである。我々は、主に2つの領域において、事前のアドバイスを変更するのではなく、追加する。
“From all other networks” 「他のすべてのネットワークから」
The first additional area relates to the need to secure connections between the critical infrastructure organisation’s OT network and other organisations’ OT networks. These connections from other organisations’ OT networks can be a backdoor into a critical asset, potentially bypassing levels of security protecting the OT network from corporate IT, and the internet. 1つ目の追加領域は、重要インフラ組織のOTネットワークと他の組織のOTネットワークとの間の接続をセキュアにする必要性に関するものである。他の組織の OT ネットワークからのこれらの接続は、重要資産へのバックドアとなる可能性があり、企業の IT やインター ネットから OT ネットワークを保護するセキュリティレベルをバイパスする可能性がある。
Critical Infrastructure organisations should segment and segregate their OT from all other networks. Fairly well understood in recent times is the need to protect and restrict OT networks from vendors. Also well understood since 2017’s Hatman malware, is the need to separate more critical OT networks such as those essential to safety, from less critical OT networks. Less well understood is the need to protect and restrict OT networks from peers and services upstream and downstream, as defined in the example below. 重要インフラ組織は、OTを他のすべてのネットワークからセグメント化し、分離すべきである。OTネットワークをベンダーから保護・制限する必要性は、最近よく理解されている。また、2017年のHatmanマルウェア以来、安全に不可欠なOTネットワークなど、よりクリティカルなOTネットワークを、よりクリティカルでないOTネットワークから分離する必要性もよく理解されている。あまり理解されていないが、以下の例で定義されているように、OTネットワークを上流や下流のピアやサービスから防御・制限する必要性がある。
Examples and implications 例とその意味
For example, an electricity transmission company may have connections between its own OT networks and the OT networks of other electricity transmission companies (peers). The electricity transmission company may also have a connection between its OT network and the OT networks of electricity generators (upstream). The electricity transmission company may have a connection between its OT network and the OT network of electricity distribution companies and large customers (downstream). 例えば、送電会社は自社のOTネットワークと他の送電会社のOTネットワーク(ピア)との接続を持つことがある。送電会社はまた、自社のOTネットワークと発電事業者(上流)のOTネットワークとの間の接続を有する場合がある。送電会社は、自社の送電網と配電会社や大口需要家の送電網(下流)との間に接続を持つこともある。
Compounding the long-standing issue of OT interconnectivity between different organisations is the disruption taking place in many critical infrastructure subsectors. As an example, in the electricity generation subsector, large monolithic generators are being replaced with many smaller generators and storage devices. The organisations running these smaller generators and storage devices may have overseas control rooms, and permanent connections from their OT networks to overseas vendors. 異なる組織間のOT相互接続性という長年の問題をさらに複雑にしているのが、多くの重要インフラサブ部門で起きている混乱である。一例として、発電サブセクターでは、大型のモノリシック発電機が多くの小型発電機や蓄電装置に置き換えられている。これらの小型発電機や蓄電装置を稼動させている組織は、海外に制御室を持ち、OTネットワークから海外のベンダーに常時接続している可能性がある。
An important shift in thinking from engineering reliability to cyber security is the concept that if a connection exists, it needs to be secure, regardless of the size of the organisation it is connected to. That is, from an engineering reliability point of view, a connection to a 2GW power station is more critical than a connection to a 5MW solar farm. However, from the cyber security point of view of an attack vector into an electricity transmission organisation’s OT network, a network connection to the control system of a 5MW solar farm has the same criticality as a network connection to the control system of the 2GW power station. 工学的信頼性からサイバーセキュリティへの重要な考え方の転換は、接続先の組織の規模に関係なく、接続が存在するのであれば、それは安全でなければならないという考え方である。つまり、エンジニアリングの信頼性の観点からは、2GWの発電所への接続は、5MWの太陽光発電所への接続よりも重要である。しかし、送電組織のOTネットワークへの攻撃ベクトルというサイバーセキュリティの観点からは、5MWの太陽光発電所の制御システムへのネットワーク接続は、2GWの発電所の制御システムへのネットワーク接続と同じ重要性を持つ。
Organisations cannot presume that other organisations have the same cyber risk appetite, cyber hygiene and cyber security standards as their own. If an organisation’s OT network is not sufficiently protected from another organisation’s OT network, including usual considerations such as logging and alerts, then the security boundary for the OT network includes the other organisation. Understanding third-party risks is critical. 組織は、他の組織が自組織と同じサイバーリスク選好度、サイバー衛生、サイバーセキュリティ標準を持っていると推定することはできない。組織のOTネットワークが、ロギングやアラートなどの通常の考慮事項を含め、他の組織のOTネットワークから十分に防御されていない場合、OTネットワークのセキュリティ境界は他の組織を含むことになる。サードパーティ・リスクを理解することが重要である。
Segmentation within an OT network must be used where assets and processes have different levels of criticality or the environment has a different level of trust. For example, pole-top infrastructure in an electricity distribution network may only be secured with a padlock and may use untrusted cellular networks. This infrastructure should have a lower level of trust and be segregated from infrastructure in a zone substation that is protected with robust security measures and fully encrypted communications paths. OTネットワーク内のセグメンテーションは、資産やプロセスの重要度が異なる場合や、環境の信頼度が異なる場合に使用しなければならない。例えば、配電網の柱上インフラは、南京錠でしか保護されておらず、信頼されていない携帯電話ネットワークを使用している可能性がある。このようなインフラは信頼レベルが低く、堅牢なセキュリティ対策と完全に暗号化されたコミュニケーション経路で保護されているゾーン変電所内のインフラとは分離されるべきである。
Administration and management 管理およびマネジメント
This principle also builds on advice surrounding the administration and management of OT systems and services. Typical advice involves segmenting and segregating OT networks from IT networks, logically and physically. In addition to this, organisations should explicitly consider where system administration and management services are placed, and ensure adequate separation of the administration and management interfaces from their IT environment counterparts. Compromise of the management and administration accounts or systems compromises the systems that they manage. Critical OT systems should not be reliant on IT systems to operate. この原則は、OT システムおよびサービスの管理およびマネジメントをめぐる助言にも基づいている。典型的なアドバイスとしては、OT ネットワークを論理的・物理的に IT ネットワークからセグメンテーションし、分離することが挙げられる。これに加えて、組織は、システム管理および管理サービスがどこに配置されるかを明確に考慮し、管理および管理インターフェイスとIT環境との適切な分離を確保すべきである。管理アカウントや管理システムが侵害されると、それらが管理するシステムも侵害される。クリティカルな OT システムの運用を IT システムに依存すべきではない。
Examples and implications 例と影響
A firewall is often placed between a corporate IT network and an OT network, because the corporate IT network is usually seen as having a higher risk of compromise. However, a common goal of malicious cyber actors, once on a network, is to seek privilege escalation. If a malicious cyber actor compromises the corporate IT network and achieves privilege escalation, and the firewall is managed from the IT side via a privileged IT account, then the firewall between IT and OT may no longer provide the desired level of protection for the OT environment. This architecture is always required when there are two environments of different trust and security levels: a more critical environment should never be administered from a less critical environment, and should always be managed from a network with the same or higher security posture. 企業の IT ネットワークと OT ネットワークの間にはファイアウォールが設置されることが多いが、これは通常、企業の IT ネットワークの方が侵害のリスクが高いと考えられているためである。しかし、一旦ネットワークに侵入した悪意のあるサイバー行為者の共通の目標は、特権の昇格を求めることである。悪意のあるサイバー・アクターが企業のITネットワークに侵入し、特権の昇格を達成し、ファイアウォールがIT特権アカウントを介してIT側から管理される場合、ITとOTの間のファイアウォールはもはやOT環境に望ましいレベルの防御を提供しない可能性がある。よりクリティカルな環境は、よりクリティカルでない環境から管理されるべきではなく、常に同じかそれ以上のセキュリティ・ポスチャーを持つネットワークから管理されるべきである。
There are many other instances where administration and management systems are critical, and hence require appropriate segmentation. For example, as noted by Microsoft, Active Directory (AD) Domains do not function as security zone boundaries inside an AD Forest. If the OT environment is inside the same AD Forest as the IT environment, or if a trust relationship exists, then the desired level of protection and operational separation for the OT environment may not be provided. 管理・運営システムが重要であり、それゆえに適切なセグメンテーションが必要なケースは、他にもたくさんある。例えば、マイクロソフトが指摘しているように、Active Directory(AD)ドメインは、ADフォレスト内のセキュリ ティゾーンの境界としては機能しない。もしOT環境がIT環境と同じADフォレスト内にある場合、あるいは信頼関係が存在する場合、OT環境に望ましいレベルの防御と運用分離が提供されない可能性がある。
Similarly, virtualisation is becoming common in many OT environments. Consider the case where virtualisation of the OT infrastructure or components is managed by privileged accounts from a corporate domain. If the corporate environment becomes compromised, through ransomware or other mechanisms, even if the virtualised OT environment has not been directly affected, the privileged IT accounts required to manage the OT environment would be no longer accessible. 同様に、仮想化は多くの OT 環境で一般的になりつつある。OT インフラやコンポーネントの仮想化が、企業ドメインの特権アカウントによって管理されている場合を考えてみる。企業環境がランサムウェアやその他のメカニズムによって侵害された場合、仮想化されたOT環境が直接影響を受けていなくても、OT環境を管理するために必要な特権ITアカウントにアクセスできなくなる。
Another example of significance is backups. If the backups or backup infrastructure for the OT environment is managed by privileged corporate IT accounts, then again the desired level of risk mitigation against a cyber-incident may not be provided. もう一つの重要な例はバックアップである。OT環境のバックアップやバックアップ・インフラが特権的な企業ITアカウントによって管理されている場合、サイバーインシデントに対して望ましいレベルのリスク低減が提供されない可能性がある。
Segmenting and segregating networks has long been recommended as one of the primary ways of reducing cyber risk in OT environments. In addition to more traditional physical and logical separation concerns, administration and management systems are highlighted. As demonstrated by the above non-exhaustive list of vital administrative and management areas including network security, authentication and access control, virtualisation and backups, there is a need for organisations to regularly assess the risk of insufficiently separating administrative and management systems and services in OT environments. ネットワークのセグメント化と分離は、OT環境におけるサイバー・リスクを軽減する主要な方法の一つとして、長い間推奨されてきた。より伝統的な物理的・論理的分離の懸念に加え、管理・運営システムが強調されている。ネットワーク・セキュリティ、認証とアクセス管理、仮想化、バックアップなど、重要な管理・マネジメント分野の上記の非網羅的なリストが示すように、組織は、OT環境における管理・マネジメントシステムとサービスの分離が不十分であるリスクを定期的に評価する必要がある。
Principle 5: The supply chain must be secure 原則5:サプライチェーンは安全でなければならない
Making supply chains more secure has been a focus of advice for some time. That advice is covered in many prior and current publications, including the need to have a supply chain assurance program for suppliers of equipment and software, vendors and managed service providers (MSPs), particularly when they have access to OT to provide support. The requirement to make supply chains more secure has often resulted in a level of rigour assessing major vendors in an organisation’s OT environment. While organisations should still follow existing advice, we call out some additional areas of particular concern for OT environments. サプライチェーンをより安全なものにすることは、しばらくの間、助言の焦点となってきた。その助言は、多くの過去および現在の出版物で取り上げられており、特に、機器やソフトウエアのサプライヤー、ベンダー、マネージドサービス・プロバイダー(MSP)が、OTにアクセスしてサポートを提供する場合には、サプライチェーン保証プログラムを用意する必要性などが挙げられている。サプライチェーンをよりセキュアにする必要性から、組織のOT環境における主要ベンダーのアセスメントが厳格化されることが多い。組織は既存のアドバイスに従うべきであるが、OT環境について特に懸念される追加的な領域をいくつか指摘する。
Examples and implications 例と影響
A shift in thinking is required regarding criticality and risk exposure presented by vendors. Organisations should re-evaluate the scope of systems that require oversight, as historically often only large vendors or vendors that are the most significant from an engineering point of view were scrutinised. For cyber security, size and engineering significance often does not matter. ベンダーが提示するクリティカリティとリスク・エクスポージャーに関する考え方の転換が必要である。組織は、監視が必要なシステムの範囲を再評価すべきである。従来は、大規模ベンダーやエンジニアリングの観点から最も重要なベンダーのみが精査されることが多かったからである。サイバーセキュリティにとって、規模やエンジニアリング上の重要性は重要ではないことが多い。
In OT environments, the network is typically fairly open. Critical control messages are commonly sent with little or no security, such as without encryption. Some control systems protocols communicate via multicast or broadcast messages, which are sent to all devices on the network. As such, almost any device on the network may be able to view critical control messages, and could create and inject messages to cause an undesirable action, making the supply chain of all devices critical. OT環境では、ネットワークは通常かなりオープンである。重要な制御メッセージは、暗号化されていないなど、ほとんど、あるいはまったくセキュリティがない状態で送信されるのが一般的である。制御システム・プロトコルの中には、マルチキャストやブロードキャスト・メッセージでコミュニケーションするものがあり、ネットワーク上のすべてのデバイスに送信される。そのため、ネットワーク上のほとんどすべてのデバイスが、重要な制御メッセージを見ることができ、望ましくない動作を引き起こすメッセージを作成し、注入することができる。
“Any device” includes peripherals such as printers, networking and telecommunications equipment, as well as the more commonly considered remote terminal units (RTUs), human machine interfaces (HMIs), engineering workstations, historians, relays, intelligent electronic devices (IEDs) and controllers. Other systems may also need to be considered, depending on interconnections or the necessity for the other system to be functioning correctly for the OT to function correctly. These may include building management systems, air conditioning (HVAC), fire suppression systems, elevators, cameras and physical access control systems. 「あらゆるデバイス」には、プリンター、ネットワーキング機器、電気通信機器などの周辺機器や、より一般的に考えられているリモート・ターミナル・ユニット(RTU)、ヒューマン・マシン・インターフェース(HMI)、エンジニアリング・ワークステーション、ヒストリアン、リレー、インテリジェント電子デバイス(IED)、コントローラーなどが含まれる。相互接続や、OTが正しく機能するために他のシステムが正しく機能する必要性によっては、他のシステムも考慮する必要がある。これには、ビル管理システム、空調(HVAC)、消火システム、エレベーター、カメラ、物理的アクセス管理システムなどが含まれる。
The source and provenance of all devices in the OT environment should be known. This includes any vendor or consultant laptop connecting to the OT network, which may be used to access otherwise explicitly prevented content such as email or web browsing. Consideration should be given regarding what other networks, such as a vendor’s alternative customer, the devices have been connected to, and if those networks are at the same trust level as the OT network. This includes the case where networking or other devices from lower trust corporate IT networks are repurposed for use in higher trust OT networks. OT 環境にあるすべてのデバイスの出所と出所を知るべきである。これには、OTネットワークに接続するベンダーやコンサルタントのノートパソコンが含まれ、電子メールやウェブ閲覧のような明示的に防止されたコンテンツにアクセスするために使用される可能性がある。ベンダーの代替顧客のような他のどのようなネットワークにデバイスが接続されているか、またそれらの ネットワークが OT ネットワークと同じ信頼レベルにあるかどうかを考慮すべきである。これには、信頼度の低い企業ITネットワークのネットワークやその他のデバイスが、信頼度の高いOTネットワークで使用するために再利用される場合も含まれる。
A small technical check that most organisations can do while evaluating a device, is to plug the device in with a packet analyser capturing traffic, and check if the device unexpectedly attempts to communicate with a remote address. デバイスの評価中にほとんどの組織ができる小さな技術的チェックは、トラフィックをキャプチャしているパケットアナライザーにデバイスを接続し、デバイスが予期せずリモートアドレスとの通信を試みるかどうかをチェックすることである。
Another shift in thinking required is to not only consider what a device is currently configured to do, which can be tested, but also consider what a device could do if its firmware or configuration was changed. This is particularly important if the device is constantly or occasionally connected to a vendor, who can update the firmware. To aid protecting against third-party interference, entities should ensure that firmware is received from a trusted location, is cryptographically signed, and that the signature is checked. もう一つ必要な発想の転換は、デバイスが現在どのように設定されているかをテストするだけでなく、デバイスのファームウェアや設定が変更された場合に何ができるかを検討することである。これは、ファームウェアを更新できるベンダーに、デバイスが常時または時折接続されている場合、特に重要である。サードパーティによる干渉から保護するために、事業体は、ファームウェアが信頼できる場所か ら受信され、暗号的に署名され、その署名がチェックされることを保証すべきである。
Vendors can increase risk to OT systems. A vendor request, habit or architecture that requires an organisation to break one or more of the principles of OT cyber security can increase the OT system’s susceptibility to cyberattack. Such activity should count negatively for a vendor’s cyber security maturity when assessing the suitability of their products or services. A common example is a license renewal process, that requires connections from critical parts of the OT network out to the internet. Other examples include direct connections between OT and the internet, bypassing remote access security architecture, as a means to allow the vendor to collect data, perform firmware updates, make configuration changes, or to perform any other form of remote servicing or support. ベンダーは、OT システムのリスクを増大させる可能性がある。組織が OT サイバーセキュリティの原則の 1 つ以上を破ることを要求するようなベンダーの要求、 習慣、またはアーキテクチャは、OT システムのサイバー攻撃に対する感受性を高める可能性がある。そのような活動は、ベンダの製品やサービスの適合性をアセスメントする際に、ベンダのサイバーセキュリティ成熟度にとってマイナスにカウントされるべきである。よくある例は、OTネットワークの重要な部分からインターネットへの接続を必要とするライセンス更新プロセスである。その他の例としては、ベンダがデータ収集、ファームウェア更新、設定変更、その他のリモートサービスやサポートを行うための手段として、リモートアクセスセキュリティアーキテクチャをバイパスして、OTとインターネットを直接接続することが挙げられる。
Principle 6: People are essential for OT cyber security 原則6:OTサイバーセキュリティには人が不可欠
A cyber-related incident cannot be prevented or identified in OT without people that possess the necessary tools and training creating defences and looking for incidents. Once a cyber-related incident has been identified in OT, trained and competent people are required to respond. 必要なツールやトレーニングを有する人が防御を構築し、インシデントを探すことなしに、OTにおけるサイバー関連インシデントを防止したり識別したりすることはできない。一旦OTでサイバー関連インシデントが特定されると、訓練を受けた有能な人材が対応する必要がある。
A strong safety-based cyber security culture is critical to the on-going cyber resiliency of OT systems. There is a need for each organisation to reframe the requirements from these principles as workplace safety requirements, as opposed to cyber security requirements. 強固な安全ベースのサイバーセキュリティ文化は、OTシステムの継続的なサイバーレジリエンスに不可欠である。各組織は、これらの原則からの要件を、サイバーセキュリティ要件とは対照的に、職場の安全要件として捉え直す必要がある。
Staff, particularly field technicians and all other members of operating staff, are often the front line of defence and detection for an organisation. スタッフ、特に現場技術者やその他すべての作業スタッフは、しばしば組織の防御と検知の最前線に立つ。
Examples and implications 例と影響
A mix of people with different backgrounds, with various skills, knowledge, experience and security cultures, is necessary to support effective OT cyber security practices. This includes members from infrastructure and cyber security teams (commonly found in IT), as well as control system engineers, field operations staff, and asset managers (commonly found in OT). 効果的な OT サイバーセキュリティの実践を支援するためには、さまざまなスキル、知識、経験、セ キュリティ文化を持つ、さまざまな背景を持つ人々の混合が必要である。これには、制御システム・エンジニア、現場運用スタッフ、資産管理者(OTに多い)だけでなく、インフラストラクチャー・チームやサイバー・セキュリティ・チーム(ITに多い)のメンバーも含まれる。
Developing a cohesive OT cyber security culture requires general alignment on the principles of OT throughout the organisation. Consider that there will be a different set of inherent values and priorities carried by members of different backgrounds. For example, the first principle of OT cyber security, “Safety is paramount”, often requires a fundamental shift in thinking for people that have non-engineering or noncritical infrastructure backgrounds. Team members with non-engineering backgrounds gaining an understanding of OT challenges is important for the team to work cohesively in OT. 結束力のある OT サイバーセキュリティ文化を発展させるには、組織全体で OT の原則を全般的に一致させる必要がある。異なる背景を持つメンバーによって、固有の価値観や優先順位が異なることを考慮する。例えば、OTサイバーセキュリティの第一原則である「安全が最優先」は、非エンジニアリングまたは非重要インフラストラクチャのバックグラウンドを持つ人々にとって、しばしば考え方の根本的な転換を必要とする。非エンジニアリングの背景を持つチームメンバーがOTの課題を理解することは、チームがOTで結束して作業するために重要である。
In most critical infrastructure OT sites, from electricity generation to water treatment facilities, staff are the front line of defence. They almost certainly will not be OT cyber security experts, nor people who work in corporate IT. Field operations staff rarely receive formal information technology or cyber security training and certification. Often, experience with the IT components of an Industrial Control System (ICS) will have been developed on-the-job, out of necessity due to the growing dependency of site operations on ICT infrastructure and IP-based communication. 発電から水処理施設まで、ほとんどの重要インフラの OT サイトでは、スタッフが防衛の最前線である。彼らはほぼ間違いなく、OTサイバーセキュリティの専門家でもなければ、企業のIT部門で働く人でもない。現場のオペレーション・スタッフが正式な情報技術やサイバー・セキュリティのトレーニングや認定を受けることはほとんどない。多くの場合、産業制御システム(ICS)のITコンポーネントに関する経験は、現場のオペレーションがICTインフラとIPベースのコミュニケーションへの依存度を高めているため、必要に迫られて現場で培われたものである。
As such, significant focus is required to develop cyber security awareness as a core component of field safety culture, so that operators feel confident and empowered to raise potential cyber concerns, without fear of ridicule or judgement. Further, there needs to be a process put in place where cyber-safety related observations can be raised quickly, with a culture of knowing that observations will be appreciated. そのため、現場の安全文化の中核的な要素としてサイバーセキュリティに対する認識を高めることに大きな焦点を当てる必要がある。そうすることで、オペレーターは、嘲笑や判断を恐れることなく、サイバーに関する潜在的な懸念を提起する自信と権限を得ることができる。さらに、サイバーセーフティに関連する観察が迅速に提起され、その観察が評価されることを知る文化が醸成されるようなプロセスを整備する必要がある。
Potential strategies to develop security awareness and a cyber-safe culture amongst staff include: 職員のセキュリティ意識とサイバーセーフティ文化を発展させるために、以下のような戦略が考えられる:
• Incorporating cyber security into safety assessments, factory acceptance testing (FAT), site acceptance testing (SAT), and the engineering change management process. Established methods include Cyber-Informed Engineering, Cyber PHA or HAZCADS. - 安全アセスメント、工場受入試験(FAT)、現場受入試験(SAT)、及びエンジニアリング変更管理プロセスにサイバーセキュリティを組み込む。確立された手法には、サイバーインフォームドエンジニアリング、サイバーPHA、HAZCADSなどがある。
• Creating environments and processes that encourage local staff to identify and report suspicious behaviour. A common antipattern is for engineers to perform remote maintenance without informing on-site staff. The field operator will observe the engineer’s activities as a mouse moving on a local machine or visible interaction with the HMI. Local staff will grow to ignore such behaviour as being normal and legitimate. - 現地スタッフが不審な行動を識別し、報告することを奨励する環境とプロセスを構築する。よくある悪いパターンは、エンジニアが現場のスタッフに知らせずに遠隔保守を行うことである。現場のオペレーターは、エンジニアの行動を、現地の機械上でマウスが動いている、あるいはHMIとの目に見えるインタラクションとして観察する。現地スタッフは、そのような行動を正常かつ合法的なものとして無視するようになる。
• Conditioning field operators to consider the possibility of cyber compromise when operational faults are identified. Historically, faults that engineers address have been due to engineering issues such as misconfiguration, device failure, corruption of data or the device working outside of tolerances. Typical responses include restarting the program, rebooting or resetting the device, re-flashing or loading a known good configuration, or replacing the device. Historically, malicious cyber actions have not been considered, meaning that cyber incidents may have been misidentified and dismissed as operational faults or missed entirely. The possibility that a fault has a cyber-related cause should also be considered. Most, if not all, of the traditional remediation steps listed will reset communication links and wipe volatile memory, which may have helped a cyber security investigation. Specific additional processes, and changes to long existing processes, are required for cyber identification, classification and investigations in OT. - 運用上の欠陥が識別されたときに、サイバー侵害の可能性を考慮するよう、現場オペレータに条件付ける。歴史的に、エンジニアが対処するフォールトは、設定ミス、デバイスの故障、データの破損、デバイスの許容範囲外での動作など、エンジニアリング上の問題によるものであった。典型的な対応としては、プログラムの再起動、デバイスのリブートまたはリセット、再フラッシュまたは既知の良好なコンフィギュレーションのロード、デバイスの交換などがある。歴史的に、悪意のあるサイバー行為は考慮されてこなかった。つまり、サイバーインシデントが誤認され、運用上の障害として処理されるか、完全に見逃されてきた可能性がある。障害にサイバー関連の原因がある可能性も考慮すべきである。すべてではないにせよ、従来の是正措置のほとんどは、通信リンクをリセットし、揮発性メモリを消去するものであり、サイバーセキュリティの調査に役立ったかもしれない。OTにおけるサイバー識別、分類、調査には、具体的な追加プロセスや、長い既存のプロセスの変更が必要である。

 

[1] Note ASD ACSC’s advice is never pay a ransom. See our guidance on how to report and recover from ransomware - https://www.cyber.gov.au/report-and-recover/recover-from/ransomware
[2] Such as https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/systemhardening-and-administration/network-hardening/implementing-network-segmentation-and-segregation,  NSA and CISA Recommend Immediate Actions to Reduce Exposure Across all Operational Technologies and Control Systems https://media.defense.gov/2020/Jul/23/2002462846/-1/-1/0/OT_ADVISORY-DUAL-OFFICIAL-20200722.PDF,  Stop Malicious Cyber Activity Against Connected Operational Technology  https://media.defense.gov/2021/Apr/29/2002630479/-1/-1/0/CSA_STOP-MCA-AGAINST-OT_UOO13672321.PDF, and  https://www.cyber.gc.ca/en/guidance/baseline-security-requirements-network-security-zones-version-20-itsp80022

 


 

米国 CISA

● CISA

・2024.10.01 ASD’s ACSC, CISA, FBI, NSA, and International Partners Release Guidance on Principles of OT Cybersecurity for Critical Infrastructure Organizations

 

ASD’s ACSC, CISA, FBI, NSA, and International Partners Release Guidance on Principles of OT Cybersecurity for Critical Infrastructure Organizations ASDのACSC、CISA、FBI、NSA、そして国際的パートナーが重要インフラ組織のためのOTサイバーセキュリティの原則に関するガイダンスを発表
Today, the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC)—in partnership with CISA, U.S. government and international partners—released the guide Principles of Operational Technology Cybersecurity. This guidance provides critical information on how to create and maintain a safe, secure operational technology (OT) environment. 本日、オーストラリア通信総局のオーストラリア・サイバーセキュリティセンター(ASD's ACSC)は、CISA、米国政府および国際的なパートナーとの協力のもと、「運用技術・サイバーセキュリティの原則」(Principles of Operational Technology Cybersecurity)のガイダンスを発表した。このガイダンスは、安全でセキュアな運用技術(OT)環境を構築・維持する方法に関する重要な情報を提供している。
The six principles outlined in this guide are intended to aid organizations in identifying how business decisions may adversely impact the cybersecurity of OT and the specific risks associated with those decisions. Filtering decisions that impact the security of OT will enhance the comprehensive decision-making that promotes security and business continuity. 本ガイドに概説されている6つの原則は、ビジネス上の意思決定がOTのサイバーセキュリティにどのような悪影響を及ぼす可能性があるか、また、それらの意思決定に関連する具体的なリスクを特定する際に組織を支援することを目的としている。OT のセキュリティに影響を与える意思決定をフィルタリングすることで、セキュリティと事業継続を促進する包括的な意思決定が強化される。
CISA encourages critical infrastructure organizations review the best practices and implement recommended actions which can help ensure the proper cybersecurity controls are in place to reduce residual risk in OT decisions. CISAは、重要インフラ組織がベスト・プラクティスを検討し、OTの意思決定における残留リスクを低減するために適切なサイバーセキュリティ管理を確保するのに役立つ推奨行動を実施することを奨励している。
For more information on OT cybersecurity, review our Industrial Control Systems page and the Joint Cybersecurity Advisory Immediate Actions to Reduce Exposure Across Operational Technologies and Control Systems to help critical infrastructure organizations manage and enhance their OT cybersecurity. OTサイバーセキュリティの詳細については、産業用制御システムのページと、重要インフラ組織がOTサイバーセキュリティを管理し強化するのに役立つ、運用技術および制御システム全体のエクスポージャーを低減するための共同サイバーセキュリティアドバイザリ「Immediate Actions to Reduce Exposure Across Operational Technologies and Control Systems」を参照されたい。

 

 


 

内閣官房

・2024.10.02 国際文書「Principles of operational technology cyber security」に署名しました

・・[PDF] 報道資料

20241003-112532

 

・[PDF] 仮訳

20241003-122936

 


 

ドイツ

ドイツはBSIからプレスですね...

Bundesamt für Sicherheit in der Informationstechnik

・2024.10.02 Cybersicherheit industrieller Anlagen: Australische Partnerbehörde veröffentlicht Grundsatzpapier zur OT-Cybersicherheit



 

| | Comments (0)

2024.10.02

米国 英国 オーストラリア Evil Corpのメンバーを制裁

こんにちは、丸山満彦です。

EuropolがLockbit関係者の逮捕や経済制裁について公表していましたが、その活動の一つとして、LockBitとも関係があるといわれているロシアのEvil Corpの活動に関して、米国、英国、オーストラリアが共同して対象者と特定し、それぞれの国で経済制裁をしたと公表していますね...

 

まず、英国政府の発表から...

Gov UK

・2024.10.01 UK sanctions members of notorious ‘Evil Corp’ cyber-crime gang, after Lammy calls out Putin’s mafia state

UK sanctions members of notorious ‘Evil Corp’ cyber-crime gang, after Lammy calls out Putin’s mafia state 英国、ラミー外相がプーチンのマフィア国家を非難し、悪名高いサイバー犯罪集団「Evil Corp」のメンバーを制裁、
The UK, alongside the US and Australia, has sanctioned 16 members of prolific Russian cyber-crime gang 'Evil Corp'. 英国は米国やオーストラリアとともに、ロシアのサイバー犯罪集団「Evil Corp」の16人のメンバーに制裁を科した。
・the UK sanctions 16 members of prolific Russian cyber-crime gang Evil Corp, alongside the US and Australia   ・英国は、米国やオーストラリアとともに、ロシアのサイバー犯罪集団「Evil Corp」の16人のメンバーに制裁を科した。 
・Evil Corp’s malicious cyber activity involved a concerted effort to compromise UK health, government and public sector institutions ・Evil Corpの悪質なサイバー活動には、英国の医療機関、政府機関、公共機関を標的にした組織的な攻撃が含まれていた。
Cybercriminals connected to Evil Corp, a prolific, long-standing Russian hacker group, have today (1 October) been targeted with new UK sanctions, in coordinated action alongside the US and Australia.   Evil Corpとつながりのあるサイバー犯罪者たちは、多作で長年にわたって活動しているロシアのハッカー集団であるが、本日(10月1日)米国およびオーストラリアと協調した行動として、英国による新たな制裁の対象となった。 
Among those sanctioned today is Maksim Yakubets, who long led the group’s operations and has a $5 million bounty on his head by the US Department of Justice. Yakubets also cultivated strong ties between Evil Corp and the Russian state, developing relationships with the FSB and Russian military intelligence (GRU).  本日制裁の対象となった人物の中には、長年グループの活動を主導し、米国司法省から500万ドルの懸賞金をかけられているマクシム・ヤクベッツも含まれる。ヤクベッツはまた、エビル・コーポとロシア政府との強固な関係を築き、ロシア連邦保安庁(FSB)およびロシア軍情報部(GRU)との関係を深めた。
Known for their Mafia style of operation, Evil Corp has waged a campaign of destructive cyber-attacks worldwide for over a decade.  マフィアのような手法で知られるEvil Corpは、10年以上にわたり世界中で破壊的なサイバー攻撃キャンペーンを展開してきた。
This includes malware and ransomware attacks against UK health, government and public sector institutions, as well as private commercial technology companies. Their attacks have earned hundreds of millions of dollars in illicit profits worldwide.  これには、英国の医療、政府、公共部門の機関、および民間商業技術企業に対するマルウェアやランサムウェア攻撃が含まれる。同社の攻撃により、世界中で数億ドルの不正利益がもたらされた。
Those sanctioned today will now be subject to a series of asset freezes and travel bans. The UK is committed to protecting the businesses and livelihoods affected by these cruel attacks. 本日制裁対象となった者たちは、今後、一連の資産凍結と渡航禁止の対象となる。英国は、こうした非情な攻撃の被害を受けた企業や生活を守ることを約束している。
Foreign Secretary David Lammy said:  デービッド・ラミー外相は次のように述べた。
I am making it my personal mission to target the Kremlin with the full arsenal of sanctions at our disposal.    私は、我々の利用可能な制裁措置のすべてを駆使して、クレムリンを標的にすることを個人的な使命としている。 
Putin has built a corrupt mafia state with himself at its centre. We must combat this at every turn, and today’s action is just the beginning.    プーチン大統領は、自身をその中心に据えた腐敗したマフィア国家を築き上げた。我々はあらゆる局面でこれに対抗しなければならない。そして、今日の措置はまさにその始まりに過ぎない。
Today’s sanctions send a clear message to the Kremlin that we will not tolerate Russian cyber-attacks - whether from the state itself or from its cyber-criminal ecosystem.  今日の制裁措置は、ロシアによるサイバー攻撃を容認しないという明確なメッセージをクレムリンに送るものである。その攻撃が国家によるものか、あるいはサイバー犯罪の生態系によるものかに関わらず、である。
Security Minister Dan Jarvis said:  ダン・ジャーヴィス安全保障大臣は次のように述べた。
Cyber-crime causes immense damage to people and business across the world but today’s action is evidence that there are serious consequences for those involved.  サイバー犯罪は世界中の人々や企業に甚大な被害をもたらしているが、今日の措置は、関与した者たちに深刻な結果が待ち受けているという証拠である。
We will continue to work with our international partners to pursue and expose malicious cyber activity and protect the public. 我々は今後も国際的なパートナーと協力し、悪質なサイバー活動を追跡し摘発し、国民を守り続ける。
These sanctions have taken place in coordination with significant law enforcement investigations led by the NCA and law enforcement agencies internationally. This announcement demonstrates our ability to use the full range of government tools to target the threat from cybercrime and disrupt malicious cyber actors emanating from the Russian state. これらの制裁は、NCAおよび国際的な法執行機関が主導する重要な捜査と連携して実施された。今回の発表は、サイバー犯罪の脅威を標的にし、ロシア政府に由来する悪意あるサイバー犯罪者を阻止するために、政府が持つあらゆる手段を活用する我々の能力を示すものである。
Today’s sanctions build on the action taken earlier this year against a leader of associated cyber-crime group LockBit. Alongside our allies, we will continue to crack down on malicious cyber activity and cyber-crime groups with links to Russia that seek to undermine global integrity, prosperity and security.  本日の制裁は、今年初めにサイバー犯罪グループLockBitのリーダーに対して取られた措置を基にしている。我々は同盟国とともに、世界的な誠実さ、繁栄、安全を脅かすロシアとつながりのある悪意あるサイバー活動やサイバー犯罪グループの取り締まりを継続していく。

 

Since designation by the US in 2019, Evil Corp-affiliated actors have continued to operate, rebranding their activity by using different ransomware variants to obfuscate their activity and evade sanctions. This activity included the use of and affiliation with LockBit ransomware operations. Evil Corp and those involved in its malicious cyber activity remain a threat.  2019年に米国が指定して以来、Evil Corpに所属するアクターたちは活動を継続し、さまざまなランサムウェアの亜種を使用して活動を難読化し、制裁を回避することで、自らの活動を再ブランディングしてきた。この活動には、LockBitランサムウェアの運用への関与や使用が含まれていた。Evil Corpおよびその悪意あるサイバー活動に関与する者たちは依然として脅威である。
These announcements represent the culmination of significant law enforcement investigations led by the NCA and law enforcement agencies internationally and demonstrate our ability to use the full range of government tools to target the threat from cybercrime and disrupt malicious cyber actors emanating from the Russian state.  これらの発表は、NCAおよび国際的な法執行機関が主導した大規模な法執行捜査の集大成であり、サイバー犯罪の脅威を標的にし、ロシア政府に由来する悪意あるサイバー犯罪者を阻止するために、政府が持つあらゆるツールを活用する我々の能力を示すものである。
Alongside our sanctions action, the NCA, FBI and Australian Federal Police have released a public document revealing Evil Corp’s ties to the Russian state and their history of trying to adapt to a changing cyber landscape to cause as much harm as possible, including by pioneering new forms of cyber-crime.  制裁措置と並行して、NCA、FBI、オーストラリア連邦警察は、Evil Corpのロシア政府とのつながりや、サイバー犯罪の新しい形態を開拓するなど、変化するサイバー環境に適応して可能な限り多くの被害を引き起こそうとしてきたこれまでの経緯を明らかにする文書を公開した。
This package has been announced as the UK is attending the international Counter Ransomware Initiative in the United States, where like-minded countries are working to mitigate the risks of malicious cyber activity. このパッケージは、英国が米国で開催される国際的なランサムウェア対策イニシアティブに参加するにあたり発表された。このイニシアティブでは、同じ考えを持つ各国が、悪意のあるサイバー活動のリスクを軽減するための取り組みを行っている。

 

国家犯罪庁

U.K. National Crime Agency; NCA

・2024.10.01 Further Evil Corp cyber criminals exposed, one unmasked as LockBit affiliate

Further Evil Corp cyber criminals exposed, one unmasked as LockBit affiliate さらなるEvil Corpのサイバー犯罪者が摘発、そのうちの1人はLockBitの関連組織として摘発される
Sixteen individuals who were part of Evil Corp, once believed to be the most significant cybercrime threat in the world, have been sanctioned in the UK, with their links to the Russian state and other prolific ransomware groups, including LockBit, exposed. かつて世界で最も深刻なサイバー犯罪の脅威と考えられていたEvil Corpの一員であった16人が英国で制裁の対象となり、ロシア政府やLockBitを含む他の多作なランサムウェアグループとのつながりが明らかになった。
Sanctions have also been imposed by Australia and the US, who have unsealed an indictment against a key member of the group. オーストラリアと米国も制裁を課しており、グループの主要メンバーに対する起訴状が公開された。
An extensive investigation by the NCA has helped map out the history and reach of Evil Corp’s criminality; from a family-centred financial crime group in Moscow that branched out into cybercrime, going on to extort at least $300 million from global victims including those within healthcare, critical national infrastructure, and government, among other sectors. NCAによる広範な捜査により、Evil Corpの犯罪歴と影響力が明らかになった。モスクワの家族中心の金融犯罪グループがサイバー犯罪に手を染め、医療、重要な国家インフラ、政府など、さまざまな分野の被害者から少なくとも3億ドルを脅し取った。
In 2019, this investigation contributed to the head of Evil Corp, Maksim Yakubets, and one of the group’s administrators, Igor Turashev, being indicted in the US and sanctioned, along with several other members of the group. 2019年、この捜査により、Evil Corpのボスであるマクシム・ヤクーベッツとグループの管理者の一人であるイゴール・トゥラシェフが米国で起訴され、制裁措置の対象となった。また、グループの他の数名のメンバーも制裁措置の対象となった。
Today, Yakubets, Turashev, and seven of those sanctioned by the US in 2019 have also been designated in the UK by the Foreign, Commonwealth and Development Office, along with an additional seven individuals, whose links and support for the group have not previously been exposed. 今日、ヤクベッツ、トゥラシェフ、そして2019年に米国によって制裁対象となった7名は、英国外務・英連邦・開発省によって制裁対象にも指定された。さらに、このグループとのつながりや支援がこれまで明らかになっていなかった7名も追加で制裁対象となった。
This includes Aleksandr Ryzhenkov, Yakubets’ right-hand man in whom he placed a lot of trust and worked closely with to develop some of the group’s most prolific ransomware strains. He has also been identified as a LockBit affiliate as part of Operation Cronos - the ongoing NCA-led international disruption of the group. Investigators analysing data obtained from the group’s own systems found he has been involved in LockBit ransomware attacks against numerous organisations. これには、ヤクベッツが最も信頼を寄せており、グループの最も多産なランサムウェアのいくつかを開発するために密接に協力していた右腕のアレクサンドル・リジェンコフも含まれる。彼はまた、現在進行中の国家犯罪対策庁主導の国際的なグループ壊滅作戦「オペレーション・クロノス」の一環として、LockBitの関連組織としても特定されている。グループのシステムから入手したデータを分析した捜査官は、彼が多数の組織に対するLockBitランサムウェア攻撃に関与していることを発見した。
Separately, the US Department of Justice has unsealed an indictment charging Ryzhenkov for using BitPaymer ransomware to target victims across the US. また、米国司法省は、RyzhenkovがBitPaymerランサムウェアを使用して米国中の被害者を標的にした容疑で起訴状を公開した。
Also sanctioned today in the UK are Yakubets’ father, Viktor Yakubets, his father-in-law, Eduard Benderskiy, a former high-ranking FSB official, and others who were key to enabling Evil Corp’s criminal activity. さらに、英国では本日、Yakubetsの父親であるViktor Yakubets、義理の父親である元FSB高官のEduard Benderskiy、およびEvil Corpの犯罪行為を可能にする上で重要な役割を果たしたその他の人物も制裁の対象となった。
James Babbage, Director General for Threats at the NCA, said: NCAの脅威対策局長であるジェームズ・バベッジ氏は次のように述べた。
"The action announced today has taken place in conjunction with extensive and complex investigations by the NCA into two of the most harmful cybercrime groups of all time. 「本日発表された措置は、NCAによる史上最も有害なサイバー犯罪グループ2つに対する広範かつ複雑な捜査と連携して実施された。
"These sanctions expose further members of Evil Corp, including one who was a LockBit affiliate, and those who were critical to enabling their activity. 「これらの制裁措置により、Evil Corpのさらなるメンバー、LockBitの関連組織であった人物、および彼らの活動を可能にする上で重要な役割を果たした人物が摘発された。
"Since we supported US action against Evil Corp in 2019, members have amended their tactics and the harms attributed to the group have reduced significantly. We expect these new designations to also disrupt their ongoing criminal activity. 「2019年にEvil Corpに対する米国の措置を支持して以来、メンバーは戦術を修正し、グループに起因する被害は大幅に減少した。我々は、これらの新たな指定が彼らの継続中の犯罪行為も妨害することを期待している。
"Ransomware is the most significant cybercrime threat facing the UK and the world. The NCA is dedicated to working with our partners in the UK and overseas, sharing intelligence and working to disrupt the most sophisticated and harmful ransomware groups, no matter where they are or how long it takes." 「ランサムウェアは、英国および世界が直面する最も重大なサイバー犯罪の脅威である。NCAは、英国および海外のパートナーと協力し、情報を共有しながら、最も洗練された有害なランサムウェアグループを、それがどこにあろうと、またどれだけの時間がかかろうと、その活動を妨害するために取り組んでいる」
Evil Corp officially formed as a crime group in 2014. They were responsible for the development and distribution of BitPaymer and Dridex, which they used target banks and financial institutions in over 40 countries, stealing over $100m. Evil Corpは2014年に正式に犯罪グループとして結成された。彼らはBitPaymerとDridexの開発と配布を担当し、それらを使用して40か国以上の銀行や金融機関を標的にし、1億ドル以上を盗んだ。
The group were in a privileged position, with some members having close links to the Russian state. Benderskiy was a key enabler of their relationship with the Russian Intelligence Services who, prior to 2019, tasked Evil Corp to conduct cyber attacks and espionage operations against NATO allies. このグループは特権的な立場にあり、メンバーの中にはロシア政府と密接なつながりを持つ者もいた。ベンダスキーは、2019年以前にNATO加盟国に対するサイバー攻撃やスパイ活動をエビル・コープに命じていたロシア情報機関との関係を築く上で重要な役割を果たした。
After the US sanctions and indictments in December 2019, Benderskiy used his extensive influence with the Russian state to protect the group, both by providing senior members with security and by ensuring they were not pursued by Russian internal authorities. 2019年12月の米国による制裁と起訴後、ベンダースキーはロシア政府に対する広範な影響力を駆使して、グループを保護した。上級メンバーに警備を提供し、ロシア国内当局による追及を受けないよう保証することで、グループを守ったのだ。
However, the 2019 activity caused considerable disruption to Evil Corp, damaging their brand and ability to operate, including making it harder for them to elicit ransom payments from victims. しかし、2019年の活動により、Evil Corpは大きな混乱に見舞われ、ブランドと活動能力に打撃を受けた。被害者から身代金を引き出すことがより困難になるなど、
It caused them to have to rebuild, change tactics and take increased measures to hide their activity from law enforcement, with many members going underground, abandoning online accounts and restricting their movements. そのため、彼らは再構築を余儀なくされ、戦術を変更し、法執行機関から活動を隠すための対策を強化せざるを得なくなり、多くのメンバーが地下に潜り、オンラインアカウントを放棄し、移動を制限した。
They continued to adapt and some members went on to develop further malware and ransomware strains, most notably WastedLocker, Hades, PhoenixLocker, PayloadBIN and Macaw. Their focus narrowed, switching from volume attacks to targeting high-earning organisations. 彼らは適応を続け、一部のメンバーはさらにマルウェアやランサムウェアの亜種を開発し、特にWastedLocker、Hades、PhoenixLocker、PayloadBIN、Macawを開発した。彼らの焦点は狭まり、大量攻撃から高収益の組織を標的にする攻撃に切り替えた。
Other members moved away from using their own technical tools, instead using ransomware strains developed by other crime groups, such as LockBit. 他のメンバーは、独自の技術ツールの使用を止め、代わりにLockBitなどの他の犯罪グループが開発したランサムウェアを使用するようになった。
The NCA is continuing to track illicit activity conducted by various former members of Evil Corp, including their involvement in ransomware attacks. NCAは、Evil Corpの元メンバーによるさまざまな違法行為を追跡しており、その中にはランサムウェア攻撃への関与も含まれている。
The international investigation into LockBit is also ongoing and this week their original leak site, which remains under the control of the NCA, went live once more. It details further action taken by the Cronos Taskforce, including NCA arrests in August of two people believed to be associated with a LockBit affiliate, on suspicion of Computer Misuse Act and money laundering offences. LockBitに関する国際的な捜査も継続中で、今週、NCAの管理下にある元のリークサイトが再び公開された。このサイトでは、コンピュータ不正利用法および資金洗浄の容疑で、LockBitの関連組織と見られる2名を8月にNCAが逮捕したことなど、クロノス・タスクフォースによるさらなる措置について詳しく説明されている。
In the same month, French authorities secured the arrest of a suspected LockBit developer, and Spanish police detained one of the main facilitators of LockBit infrastructure, as well as seizing nine servers used by the group. 同月、フランス当局はLockBit開発者の容疑者を逮捕し、スペイン警察はLockBitインフラの主要な仲介者の1人を拘束し、グループが使用していた9台のサーバーを押収した。
Foreign Secretary, David Lammy said: 外務大臣のデイビッド・ラミーは次のように述べた。
"I am making it my personal mission to target the Kremlin with the full arsenal of sanctions at our disposal.   「私は、我々の利用可能な制裁措置のすべてを駆使して、ロシア政府を標的にすることを個人的な使命としている。 
"Putin has built a corrupt mafia state with himself at its centre. We must combat this at every turn, and today’s action is just the beginning.   「プーチン大統領は、自身をその中心に据えた腐敗したマフィア国家を築き上げた。我々はあらゆる局面でこれに対抗しなければならない。そして、今日の措置は始まりに過ぎない。
"Today's sanctions send a clear message to the Kremlin that we will not tolerate Russian cyber-attacks - whether from the state itself or from its cyber-criminal ecosystem." 「今日の制裁措置は、ロシア政府によるものか、あるいはそのサイバー犯罪エコシステムによるものかに関わらず、我々はロシアのサイバー攻撃を容認しないという明確なメッセージをクレムリンに送るものである。
Security Minister, Dan Jarvis said: ダン・ジャービス安全保障相は次のように述べた
"Cyber-crime causes immense damage to people and business across the world but today’s action is evidence that there are serious consequences for those involved. 「サイバー犯罪は世界中の人々や企業に甚大な被害をもたらしているが、今日の措置は、関与した者には重大な結果が待ち受けているという証拠である。
"We will continue to work with our international partners to pursue and expose malicious cyber activity and protect the public." 「我々は今後も国際的なパートナーと協力し、悪質なサイバー活動を追跡・摘発し、国民を守るために取り組んでいく」
Jonathon Ellison, NCSC Director for National Resilience and Future Technology, said: 国家サイバーセキュリティセンター(NCSC)の国家強靭性および未来技術担当ディレクターであるジョナサン・エリソン氏は、次のように述べた。
"Every day we see ransomware incidents have real-world consequences for UK victims, disrupting key services, damaging businesses’ finances and putting individuals’ data at risk. 「ランサムウェアによる被害は、英国の被害者に現実的な影響をもたらしており、重要なサービスを妨害し、企業の財務を損ない、個人のデータを危険にさらしている。
"I welcome today’s sanctions against Evil Corp-affiliated cyber actors, who have caused harm in the UK and beyond, and strongly support the coordinated steps taken with allies to ensure cyber crime does not pay. 英国およびその他の国々で被害をもたらしたEvil Corp系列のサイバー犯罪者に対する今日の制裁措置を歓迎するとともに、サイバー犯罪が報いを受けないようにするための同盟国との協調的な取り組みを強く支持する。
"All organisations are encouraged to follow the NCSC’s ransomware guidance to help reduce their chances of falling victim to an attack and to ensure they have tried-and-tested response plans in case the worst should happen." 「すべての組織は、攻撃の被害に遭う可能性を低減し、最悪の事態に備えて十分に検証された対応計画を確実に用意するために、NCSCのランサムウェアに関する指針に従うことが推奨される」

 

報告書...

・[PDF] Evil Corp: Behind the Screens


20241002-123854

参考:英国の制裁者の一覧のページ

 

 


 

米国 司法省...

U.S. Department of Justice

・2024.10.01 Russian National Indicted for Series of Ransomware Attacks

Russian National Indicted for Series of Ransomware Attacks 一連のランサムウェア攻撃でロシア人起訴
Indictment Unsealed Charging Aleksandr Ryzhenkov with Attacks Against Multiple Victims in the United States アレクサンドル・リジェンコフを米国の複数の被害者に対する攻撃で起訴する起訴状が公開
The Justice Department today unsealed an indictment charging Russian national Aleksandr Viktorovich Ryzhenkov (Александр Викторович Рыженков) with using the BitPaymer ransomware variant to attack numerous victims in Texas and throughout the United States and hold their sensitive data for ransom. 司法省は本日、ロシア国籍のアレクサンドル・ヴィクトロヴィチ・リジェンコフ(Александр Викторович Рыженков)が、テキサス州および米国全土の多数の被害者を攻撃し、その機密データを人質に取るために、BitPaymerランサムウェアの亜種を使用した罪で起訴状を公開した。
According to the indictment, beginning in at least June 2017, Ryzhenkov allegedly gained unauthorized access to the information stored on victims’ computer networks. Ryzhenkov and his conspirators then allegedly deployed the strain of ransomware known as BitPaymer and used it to encrypt the files of the victim companies, rendering them inaccessible. An electronic note left on the victims’ systems contained a ransom demand and instructions on how to contact the attackers to begin ransom negotiations. Ryzhenkov and his conspirators allegedly demanded that victims pay a ransom to obtain a decryption key and prevent their sensitive information from being made public online. 起訴状によると、少なくとも2017年6月より、Ryzhenkovは被害者のコンピューターネットワークに保存された情報に不正アクセスしたとされる。Ryzhenkovと共謀者はその後、BitPaymerとして知られるランサムウェアの亜種を展開し、それを使用して被害企業のファイルを暗号化し、アクセス不能にした。被害者のシステムに残された電子メモには、身代金の要求と、身代金の交渉を開始するために攻撃者に連絡する方法が記載されていた。リゼンコフと共犯者たちは、被害者に対して、復号キーを取得し、機密情報がオンライン上で公開されないようにするために身代金を支払うよう要求したとされる。
The indictment further alleges that Ryzhenkov and others used a variety of methods to intrude into computer systems, including phishing campaigns, malware, and taking advantage of vulnerabilities in computer hardware and software. Ryzhenkov and coconspirators used this access to demand millions of dollars in ransom. Ryzhenkov is believed to be in Russia. View the FBI’s wanted poster for him here. 起訴状によると、さらに、リジェンコフと共犯者らは、フィッシング・キャンペーン、マルウェア、コンピュータ・ハードウェアおよびソフトウェアの脆弱性を利用するなど、さまざまな方法でコンピュータ・システムに侵入したとされている。 リジェンコフと共犯者らは、このアクセス権を利用して、数百万ドルの身代金を要求した。 リジェンコフは現在ロシアにいると見られている。 FBIの指名手配ポスターは こちら。
In coordination with the indictment’s unsealing, the Treasury Department's Office of Foreign Assets Control today announced that Ryzhenkov was added to its list of specially designated nationals. The designation blocks property and interests in any property the designee may have in the United States and prohibits U.S. financial institutions from engaging in certain transactions and activities with the designated individual. To learn more, view the Treasury announcement here. 起訴状公開と連動して、財務省外国資産管理局は本日、リジェンコフを特別指定国民リストに追加したことを発表した。この指定により、米国国内に保有する可能性のある財産および財産上の利益が凍結され、米国の金融機関は指定された個人との特定の取引や活動に従事することが禁じられる。詳細は、財務省の発表を参照のこと。
“The Justice Department is using all the tools at its disposal to attack the ransomware threat from every angle,” said Deputy Attorney General Lisa Monaco. “Today’s charges against Ryzhenkov detail how he and his conspirators stole the sensitive data of innocent Americans and then demanded ransom. With law enforcement partners here and around the world, we will continue to put victims first and show these criminals that, in the end, they will be the ones paying for their crimes.” リサ・モナコ副司法長官は次のように述べた。 「司法省は、あらゆる手段を駆使してランサムウェアの脅威をあらゆる角度から攻撃している。本日、リゼンコフに対する起訴状は、彼と共謀者が無実のアメリカ人の機密データを盗み、身代金を要求した経緯を詳細に説明している。我々は、国内および世界中の法執行機関と協力し、今後も被害者を第一に考え、これらの犯罪者たちに、最終的には彼ら自身が犯罪の代償を支払うことになることを示していく」
“The FBI, together with partners, continues to leverage all resources to impose cost on criminals engaging in ransomware attacks,” said FBI Deputy Director Paul Abbate. “Today’s indictment delivers a clear message to those who engage in cyber-criminal activity – you will face severe consequences for your illicit activities and will be held accountable under the law.” FBI副長官のポール・アバテ氏は次のように述べた。 「FBIはパートナー機関とともに、ランサムウェア攻撃に関与する犯罪者にコストを課すためにあらゆるリソースを活用し続けている。今日の起訴は、サイバー犯罪に関与する者たちに明確なメッセージを送るものである。すなわち、違法行為には厳しい結果が待ち受けており、法の下で責任を問われるということである」
“Aleksandr Ryzhenkov extorted victim businesses throughout the United States by encrypting their confidential information and holding it for ransom,” said Principal Deputy Assistant Attorney General Nicole M. Argentieri, head of the Justice Department’s Criminal Division. “Addressing the threat from ransomware groups is one of the Criminal Division’s highest priorities. The coordinated actions announced today demonstrate, yet again, that the Justice Department is committed to working with its partners to take an all-tools approach to protecting victims and holding cybercriminals accountable.” 司法省刑事局の局長補佐官であるニコル・M・アルジェンティエリ氏は次のように述べた。 「アレクサンダー・リゼンコフは、米国中の被害企業の機密情報を暗号化し、身代金としてそれを人質に取ることによって、企業から金をゆすり取っていた。ランサムウェアグループによる脅威への対処は、刑事局の最優先事項のひとつである。本日発表された協調行動は、司法省がパートナーと協力し、あらゆる手段を講じて被害者を防御し、サイバー犯罪者に責任を取らせることに尽力していることを、改めて示すものである。」
“Ransomware attacks – particularly those deployed by bad actors with ties to Russia – can paralyze a company in the time it takes to open a laptop. Whether or not the ransom is paid, recovering from a ransomware attack is generally costly and time-consuming,” said U.S. Attorney Leigha Simonton for the Northern District of Texas. “The U.S. Attorney’s Office for the Northern District of Texas is committed to pursuing cybercriminals who hold data hostage, no matter where in the world they may be hiding.” テキサス州北部地区の連邦検事、Leigha Simonton氏は次のように述べた。 「ランサムウェア攻撃、特にロシアとつながりのある悪意ある行為者によるものは、ラップトップを開く間に企業を麻痺させる可能性がある。身代金を支払うかどうかに関わらず、ランサムウェア攻撃からの復旧には一般的に費用と時間がかかる。テキサス州北部地区連邦検事局は、データの人質を取るサイバー犯罪者を、その居場所が世界のどこであろうと、追及していく。」
The FBI Dallas Field Office is investigating the case. この事件の捜査は、FBIダラス支局が担当している。
Trial Attorney Debra L. Ireland of the Criminal Division’s Computer Crime and Intellectual Property Section and Assistant U.S. Attorney Vincent J. Mazzurco for the Northern District of Texas are prosecuting the case. 刑事部門のコンピュータ犯罪および知的財産セクションのデブラ・L・アイルランド検察官とテキサス州北部地区のヴィンセント・J・マズルコ副検察官が起訴している。
Victims of ransomware attacks are encouraged to contact their local FBI field office. For additional information on ransomware, please visit StopRansomware.gov. ランサムウェア攻撃の被害者は、最寄りのFBI支局に連絡するよう勧められている。ランサムウェアに関する追加情報は、StopRansomware.govを参照のこと。
An indictment is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. 起訴は単なる申し立てに過ぎない。すべての被告人は、法廷で合理的な疑いを越えて有罪が証明されるまでは無罪と推定される。

 

指名手配...

Most Wnated; ALEKSANDR RYZHENKOV

 

 

財務省...

U.S. Department of The Treasury

・2024.10.01 Treasury Sanctions Members of the Russia-Based Cybercriminal Group Evil Corp in Tri-Lateral Action with the United Kingdom and Australia

 

Treasury Sanctions Members of the Russia-Based Cybercriminal Group Evil Corp in Tri-Lateral Action with the United Kingdom and Australia 財務省による制裁措置 ロシアを拠点とするサイバー犯罪グループ「Evil Corp」のメンバーを、英国およびオーストラリアとの三者間協定により制裁
he United States takes additional action against the Russia-based cybercriminal group Evil Corp, identifying and sanctioning additional members and affiliates 米国は、ロシアを拠点とするサイバー犯罪グループ「Evil Corp」に対して追加措置を講じ、新たなメンバーおよび関連企業を特定し、制裁を科す
WASHINGTON — Today, the Department of the Treasury’s Office of Foreign Assets Control (OFAC) is designating seven individuals and two entities associated with the Russia-based cybercriminal group Evil Corp, in a tri-lateral action with the United Kingdom’s Foreign, Commonwealth & Development Office (FCDO) and Australia’s Department of Foreign Affairs and Trade (DFAT). On December 5, 2019, OFAC designated Evil Corp, its leader and founder Maksim Viktorovich Yakubets and over a dozen Evil Corp members, facilitators, and affiliated companies pursuant to Executive Order (E.O.) 13694, as amended by E.O. 13757 (“E.O. 13694, as amended”). The United Kingdom and Australia are concurrently designating select Evil Corp-affiliated individuals designated by OFAC today or in 2019. Additionally, the U.S. Department of Justice has unsealed an indictment charging one Evil Corp member in connection with his use of BitPaymer ransomware targeting victims in the United States. Today’s designation also coincides with the second day of the U.S.-hosted Counter Ransomware Initiative summit which involves over 50 countries working together to counter the threat of ransomware.   ワシントン発 — 米国財務省外国資産管理局(OFAC)は本日、英国外務・英連邦・開発省(FCDO)およびオーストラリア外務貿易省(DFAT)との3か国間協調により、ロシアを拠点とするサイバー犯罪集団「Evil Corp」に関与する7人の個人および2つの事業体を新たに指定した。2019年12月5日、OFACは大統領令(E.O.)13694(大統領令(E.O.)13757により改正されたもの)に基づき、Evil Corp、そのリーダーであり創設者であるマクシム・ビクトロヴィチ・ヤクベッツ、およびEvil Corpのメンバー、仲介者、関連会社10数社を指定した。英国とオーストラリアは、本日または2019年にOFACが指定したEvil Corp関連の特定の個人を同時に指定する。さらに、米国司法省は、米国の被害者を標的としたランサムウェア「BitPaymer」を使用したとして、Evil Corpのメンバー1人を起訴した。また、本日の指定は、米国が主催する「ランサムウェア対策イニシアティブ」サミットの2日目にも重なる。このサミットには50か国以上が参加し、ランサムウェアの脅威に対抗するために協力している。 
“Today’s trilateral action underscores our collective commitment to safeguard against cybercriminals like ransomware actors, who seek to undermine our critical infrastructure and threaten our citizens,” said Acting Under Secretary of the Treasury for Terrorism and Financial Intelligence Bradley T. Smith. “The United States, in close coordination with our allies and partners, including through the Counter Ransomware Initiative, will continue to expose and disrupt the criminal networks that seek personal profit from the pain and suffering of their victims.” 「本日、3か国が共同で実施した措置は、わが国の重要なインフラを弱体化させ、国民を脅かすランサムウェアの犯罪者たちのようなサイバー犯罪者から守るという我々の決意を明確に示しています」と、テロおよび金融情報担当財務次官代理のブラッドリー・T・スミス氏は述べた。「米国は、カウンター・ランサムウェア・イニシアティブなどを通じて同盟国およびパートナー国と緊密に連携し、被害者の苦痛や苦悩から私的利益を得ようとする犯罪ネットワークを摘発し、破壊し続けていきます」
Evil Corp is a Russia-based cybercriminal organization responsible for the development and distribution of the Dridex malware. Evil Corp has used the Dridex malware to infect computers and harvest login credentials from hundreds of banks and other financial institutions in over 40 countries, resulting in more than $100 million in theft losses and damage suffered by U.S. and international financial institutions and their customers. In a concurrent action with OFAC’s December 2019 sanctions designations, the U.S. Department of Justice indicted Maksim and Evil Corp administrator Igor Turashev on criminal charges related to computer hacking and bank fraud schemes, and the U.S. Department of State’s Transnational Organized Crime Rewards Program issued a reward for information of up to $5 million leading to the capture and/or conviction of Maksim. Evil Corpは、ロシアを拠点とするサイバー犯罪組織であり、Dridexマルウェアの開発と配布を担当している。Evil CorpはDridexマルウェアを使用して、40か国以上の数百の銀行やその他の金融機関のコンピュータに感染し、ログイン認証情報を収集した。その結果、米国および国際的な金融機関とその顧客が1億ドル以上の盗難損失と被害を被った。2019年12月のOFAC制裁指定と同時に、米国司法省はマクシムとEvil Corpの管理者イゴール・トゥラシェフをコンピューターハッキングと銀行詐欺計画に関連した刑事責任で起訴し、米国国務省の国際組織犯罪懸賞金プログラムは、マクシムの逮捕および/または有罪判決につながる情報に対して最高500万ドルの懸賞金を発表した。
Additionally, Maksim used his employment at the Russian National Engineering Corporation (NIK) as cover for his ongoing criminal activities linked to Evil Corp. The NIK was established by Igor Yuryevich Chayka (Chayka), son of Russian Security Council member Yuriy Chayka, and his associate Aleksei Valeryavich Troshin (Troshin). In October 2022, OFAC designated Chayka, Troshin, and NIK pursuant to E.O. 14024.  さらに、マクシムはロシア国立エンジニアリング公社(NIK)での雇用を隠れ蓑として、Evil Corp.に関連する犯罪行為を継続していた。NIKは、ロシア安全保障会議メンバーのユーリ・チャイカ(チャイカ)の息子イーゴリ・ユーリエヴィチ・チャイカ(チャイカ)と、その協力者アレクセイ・ヴァレリエヴィチ・トロシン(トロシン)によって設立された。2022年10月、OFACは大統領令14024に基づき、チャイカ、トロシン、およびNIKを指定した。
Evil Corp Members and Affiliates  Evil Corpのメンバーおよび関連会社 
Jy2623figure1Click to Enlarge
Eduard Benderskiy (Benderskiy), a former Spetnaz officer of the Russian Federal Security Service (FSB), which is designated under numerous OFAC sanctions authorities, current Russian businessman, and the father-in-law of Evil Corp’s leader Maksim Viktorovich Yakubets (Maksim), has been a key enabler of Evil Corp’s relationship with the Russian state. Benderskiy leveraged his status and contacts to facilitate Evil Corp’s developing relationships with officials of the Russian intelligence services. After the December 2019 sanctions and indictments against Evil Corp and Maksim, Benderskiy used his extensive influence to protect the group.   エドゥアルド・ベンデルスキー(Benderskiy)は、多数のOFAC制裁当局により指定されているロシア連邦保安庁(FSB)の元スペツナズ将校であり、現ロシア人実業家であり、イービル・コープのリーダーであるマクシム・ビクトロヴィチ・ヤクベッツ(Maksim)の義理の父である。ベンデルスキーは、イービル・コープとロシア政府との関係を可能にする上で重要な役割を果たしてきた。ベンデルスキーは、その地位と人脈を活用し、イービル・コーポレーションがロシア情報機関の職員と関係を築くのを支援した。2019年12月のイービル・コーポレーションとマクシムに対する制裁と起訴の後、ベンデルスキーは、その広範な影響力を駆使してグループを防御した。 
While he has no official position in the Russian government, Benderskiy portrays himself as an aide to the Russian Duma. Around 2017, one of Benderskiy’s private security firms was involved in providing security for Iraq-based facilities operated by the Russian oil company Lukoil OAO. This same private security firm has been lauded by the FSB, the Russian Ministry of Foreign Affairs, the Russian Duma, and other Russian government bodies.  彼はロシア政府で公式な役職には就いていないが、ロシア連邦議会の補佐官であると自らを位置づけている。2017年頃、ベンスキーの経営する民間警備会社の1社が、ロシアの石油会社ルクオイル(OAO)がイラクで運営する施設の警備プロバイダとして関与していた。この民間警備会社は、ロシア連邦保安庁(FSB)、ロシア外務省、ロシア連邦議会、その他のロシア政府機関から高い評価を得ている。
From at least 2016, Maksim had business interactions with Aleksandr Tikhonov (Tikhonov), former commander of the FSB Special purpose Center, Russian government leaders, including OFAC-designated persons Dmitry Kozak (Kozak) and Gleb Khor, and leaders of prominent Russian banks like OFAC-designated person Herman Gref (Gref), the Chief Executive Officer of Sberbank. In 2019, Benderskiy used his connections to facilitate a business deal that included Maksim and Kozak, which they believed would earn tens of millions of dollars per month. In the same year, Benderskiy hosted a meeting with Maksim and Gref to discuss business contracts with NIK.   少なくとも2016年から、マクシムは、FSB特別目的センターの元司令官であるアレクサンドル・ティホノフ(ティホノフ)、OFAC指定人物であるドミトリー・コザック(コザック)やグレブ・コール、OFAC指定人物であるセルゲイ・グレフ(グレフ)のようなロシアの著名銀行のリーダーなど、ロシア政府の指導者たちとビジネス上の交流があった。2019年、ベンダースキーは自身のコネクションを活用し、マクシムとコザックを含むビジネス取引を促進した。彼らは、これにより毎月数千万ドルの利益を得られると信じていた。同年、ベンダースキーはマクシムとグレフを招いてNIKとのビジネス契約について話し合う会合を開催した。 
After the December 2019 sanctions and indictments against Evil Corp and Maksim, Maksim sought out Benderskiy’s guidance. Benderskiy used his extensive influence to protect the group, including his son-in-law, both by providing senior members with security and by ensuring they were not pursued by Russian internal authorities.  2019年12月の制裁とEvil Corpおよびマクシムに対する起訴の後、マクシムはベンダースキーの指導を求めた。ベンダースキーは、娘婿を含むグループを防御するために、上級メンバーにセキュリティを提供し、ロシアの国内当局に追及されないようにするなど、広範な影響力を利用した。
OFAC designated Benderskiy pursuant to E.O. 14024 for being owned or controlled, or having acted or purported to act for or on behalf of, directly or indirectly, the Government of the Russian Federation, and pursuant to E.O. 13694, as amended, for having materially assisted, sponsored, or provided financial, material, or technological support, or goods or services in support of, Maksim, a person whose property and interests in property are blocked pursuant to E.O. 13694, as amended.   OFACは、大統領令14024に基づき、ロシア連邦政府を直接的または間接的に所有または支配している、またはロシア連邦政府のために、またはロシア連邦政府を代表して行動している、または行動しているとみなされる人物としてベンダースキイ氏を指定した。また、大統領令136 改正された大統領令13694に従って資産および資産権が凍結された人物であるマクシムを、直接的または間接的に、実質的に支援、後援、または資金、物資、技術的支援、または支援のための物品やサービスを提供したとして、改正された大統領令13694に従って 
Benderskiy is the general director, founder, and 100 percent owner of the Russia-based business and management consulting companies Vympel-Assistance LLC and Solar-Invest LLC. OFAC designated Vympel-Assistance LLC and Solar-Invest LLC pursuant to E.O. 14024 and E.O. 13694, as amended, for being owned or controlled, or having acted or purported to act for or on behalf of, directly or indirectly, Benderskiy, a person whose property and interests in property are blocked pursuant to E.O. 14024 and E.O. 13694, as amended. ベンダースキー氏は、ロシアを拠点とする経営コンサルティング会社であるウィンペル・アシスタンスLLCおよびソーラー・インベストLLCの最高経営責任者(CEO)であり、創設者であり、100%の所有者でもある。OFACは、改正大統領令14024および13694に基づき、ベンダースキー氏、または同氏に所有または支配されている、または同氏のために、または同氏を代表して直接的または間接的に行動した、または行動したとされる 改正された大統領令14024および13694に従って資産および資産権が凍結された人物であるBenderskiyに、直接的または間接的に所有または支配されている、または行動した、または行動したと称した
Viktor Grigoryevich Yakubets (Viktor) is Maksim’s father and a member of Evil Corp. In 2020, Viktor likely procured technical equipment in furtherance of Evil Corp’s operations. OFAC designated Viktor pursuant to E.O. 13694, as amended, for having materially assisted, sponsored, or provided financial, material, or technological support, or goods or services in support of, Evil Corp, a person whose property and interests in property are blocked pursuant to E.O. 13694, as amended.   ビクター・グリゴリエヴィチ・ヤクベッツ(ビクター)はマクシムの父親であり、Evil Corpのメンバーである。2020年、ビクターは、おそらくEvil Corpの業務推進のために技術設備を調達した。OFACは、改正されたE.O. 13694に基づき、Evil Corp(改正されたE.O. 13694に従って資産および資産権が凍結された人物)を実質的に支援、後援、または資金、資材、技術支援、または商品やサービスを提供したとして、ビクターを指定した。 
Maksim has been careful about exposing different group members to different areas of business, however, he placed a lot of trust in his long-term associate and second-in-command, Aleksandr Viktorovich Ryzhenkov (Aleksandr Ryzhenkov). Maksim started working with Aleksandr Ryzhenkov around 2013 while they were both still involved in the “Business Club” group. Their partnership endured, and they worked together on the development of a number of Evil Corp’s most prolific ransomware strains. In 2016, Aleksandr Ryzhenkov, who is associated with the online moniker “Guester” (a pseudonym he has used while conducting operations on behalf of Evil Corp), sought to acquire internet bots in an Evil Corp operation targeting Switzerland-based targets. Since at least mid-2017, Aleksandr Ryzhenkov served as an interlocutor for Maksim with most of the Evil Corp members and oversaw operations of the cybercriminal group. In mid- 2017, Aleksandr Ryzhenkov targeted a New York-based bank. Following the December 2019 sanctions and indictment, Maksim and Aleksandr Ryzhenkov returned to operations targeting U.S.-based victims. In 2020, Aleksandr Ryzhenkov worked with Maksim to develop “Dridex 2.0.”  マクシムは、異なるグループメンバーを異なる事業分野に配置することには慎重だったが、長年の協力者であり、副官であるアレクサンドル・ヴィクトロヴィッチ・リジェンコフ(アレクサンドル・リジェンコフ)には大きな信頼を寄せていた。マクシムは、2013年頃、2人ともまだ「ビジネスクラブ」グループに関与していた頃に、アレクサンドル・リジェンコフと仕事を始めた。彼らのパートナーシップは続き、Evil Corpの最も多作なランサムウェアの数種の開発を共同で行った。2016年、オンライン上の別名「Guester」(Evil Corpを代表して業務を行う際に使用した偽名)と関連付けられているアレクサンドル・リジェンコフは、スイスを標的としたEvil Corpの業務において、インターネットボットの入手を試みた。2017年の中頃以降、アレクサンドル・リジェンコフはマクシムとイービル・コープのメンバーのほとんどとの連絡役を務め、サイバー犯罪グループの活動を監督した。2017年の中頃、アレクサンドル・リジェンコフはニューヨークを拠点とする銀行を標的にした。2019年12月の制裁と起訴の後、マクシムとアレクサンドル・リジェンコフは米国を拠点とする被害者を標的にした活動に戻った。2020年、アレクサンドル・リジェンコフはマクシムと協力して「ドリデックス2.0」を開発した。
Sergey Viktorovich Ryzhenkov (Sergey Ryzhenkov), Aleksey Yevgenevich Shchetinin (Shchetinin), Beyat Enverovich Ramazanov (Ramazanov), and Vadim Gennadievich Pogodin (Pogodin) are members of Evil Corp who have provided general support to the cybercriminal group’s activities and operations.  セルゲイ・ヴィクトロヴィッチ・リジェンコフ(セルゲイ・リジェンコフ)、アレクセイ・エフゲネヴィッチ・シェチーニン(シェチーニン)、ベヤト・エンヴェロヴィッチ・ラマザノフ(ラマザノフ)、ヴァディム・ゲナディエヴィッチ・ポゴジン(ポゴジン)は、サイバー犯罪グループの活動と業務全般のサポートを行っているEvil Corpのメンバーである。
In 2019, Sergey Ryzhenkov, the brother of Aleksandr Ryzhenkov, helped to move Evil Corp operations to a new office. In 2020, after Evil Corp’s sanctions designation and indictment, Sergey Ryzhenkov helped Aleksandr Ryzhenkov and Maksim develop “Dridex 2.0” malware. In 2017 through at least 2018, Shchetinin worked with several other Evil Corp members, including Denis Igorevich Gusev, Dmitriy Konstantinovich Smirnov, and Aleksei Bashlikov, to purchase and exchange millions of dollars’ worth of virtual and fiat currencies. In early 2020, Pogodin played a crucial role in an Evil Corp ransomware attack, and in mid-2020, he contributed to an Evil Corp ransomware attack on a U.S. company.  2019年、アレクサンドル・リジェンコフの兄弟であるセルゲイ・リジェンコフは、イービル・コープの業務を新しいオフィスに移転するのを手伝った。2020年、イービル・コープが制裁指定および起訴された後、セルゲイ・リジェンコフはアレクサンドル・リジェンコフとマクシムが「Dridex 2.0」マルウェアを開発するのを手伝った。2017年から少なくとも2018年にかけて、シェチェニンは、デニス・イゴレヴィチ・グセフ、ドミトリー・コンスタンチノヴィチ・スミルノフ、アレクセイ・バシリコフを含む複数のイービルコープのメンバーと協力し、数百万ドル相当の仮想通貨および法定通貨の購入と交換を行った。2020年初頭、ポゴジンはイービル・コープのランサムウェア攻撃において重要な役割を果たし、2020年半ばには米国企業に対するイービル・コープのランサムウェア攻撃に貢献した。
OFAC designated Aleksandr Ryzhenkov, Sergey Ryzhenkov, Shchetinin, Ramazanov, and Pogodin pursuant to E.O. 13694, as amended, for having materially assisted, sponsored, or provided financial, material, or technological support, or goods or services in support of, Evil Corp, a person whose property and interests in property are blocked pursuant to E.O. 13694, as amended.   OFACは、改正大統領令13694に基づき、Evil Corp(改正大統領令13694に基づき資産および資産権が凍結された個人)を実質的に支援、後援、または資金、物資、技術的支援、または商品やサービスを提供したとして、アレクサンドル・リゼンコフ、セルゲイ・リゼンコフ、シェチェニン、ラマザノフ、ポゴディンの5名を制裁対象に指定した。 
In addition to today’s sanctions designations, the U.S. Department of Justice has unsealed an indictment charging Aleksandr Ryzhenkov with using the BitPaymer ransomware variant to target numerous victims throughout the United States. Aleksandr Ryzhenkov used a variety of methods to intrude into computers systems and used his ill-gotten access to demand millions of dollars in ransom. The Federal Bureau of Investigation’s published a wanted poster for Aleksandr Ryzhenkov for his alleged involvement in ransomware attacks and money laundering activities.  Also today, the United Kingdom designated 15 and Australia designated three Evil Corp members and affiliates. 本日の制裁指定に加え、米国司法省は、米国全土の多数の被害者を標的にしたBitPaymerランサムウェアの亜種を使用した容疑でアレクサンドル・リジェンコフを起訴した。アレクサンドル・リジェンコフは、さまざまな方法でコンピューターシステムに侵入し、不正に入手したアクセス権限を使用して、数百万ドルの身代金を要求した。連邦捜査局は、アレクサンドル・リゼンコフがランサムウェア攻撃および資金洗浄活動に関与した容疑で指名手配ポスターを公開した。また、本日、英国は15人のEvil Corpのメンバーおよび関連会社を指定し、オーストラリアは3人を指定した。
SANCTIONS IMPLICATIONS 制裁措置の影響
As a result of today’s action, all property and interests in property of the designated persons described above that are in the United States or in the possession or control of U.S. persons are blocked and must be reported to OFAC. In addition, any entities that are owned, directly or indirectly, individually or in the aggregate, 50 percent or more by one or more blocked persons are also blocked. Unless authorized by a general or specific license issued by OFAC, or exempt, OFAC’s regulations generally prohibit all transactions by U.S. persons or within (or transiting) the United States that involve any property or interests in property of designated or otherwise blocked persons.  本日の措置により、米国にある、または米国人が所有または管理する、上記の指定された人物のすべての財産および財産権は凍結され、OFACに報告されなければならない。さらに、1人または複数の制裁対象者によって、直接的または間接的に、個別または総計で50%以上所有されている事業体も、すべて凍結される。OFACが発行する一般または特定のライセンスによる認可、または適用除外がない限り、OFACの規制では、米国人が行う、または米国国内(または米国経由)で行われる、制裁対象者またはその他の凍結対象者の財産または財産権に関わるすべての取引が一般的に禁止されている。
In addition, financial institutions and other persons that engage in certain transactions or activities with the sanctioned persons may expose themselves to sanctions or be subject to an enforcement action. The prohibitions include the making of any contribution or provision of funds, goods, or services by, to, or for the benefit of any designated person, or the receipt of any contribution or provision of funds, goods, or services from any such person.  さらに、制裁対象者との特定の取引や活動に従事する金融機関やその他の者は、制裁の対象となる可能性や、強制措置の対象となる可能性がある。禁止事項には、指定された者による、または指定された者への、または指定された者の利益のための、あらゆる寄付や資金、商品、サービスの提供、または指定された者からのあらゆる寄付や資金、商品、サービスの受領が含まれる。
The power and integrity of OFAC sanctions derive not only from OFAC’s ability to designate and add persons to the SDN List, but also from its willingness to remove persons from the SDN List consistent with the law. The ultimate goal of sanctions is not to punish, but to bring about a positive change in behavior. F or information concerning the process for seeking removal from an OFAC list, including the SDN List, please refer to OFAC’s Frequently Asked Question 897 here. For detailed information on the process to submit a request for removal from an OFAC sanctions list, please click here. OFAC制裁の権限と信頼性は、SDNリストに個人を指定し追加するOFACの能力だけでなく、法律に則りSDNリストから個人を削除するOFACの意思にも由来する。制裁の最終的な目的は、処罰することではなく、行動に前向きな変化をもたらすことである。SDNリストを含むOFACリストからの削除を求める手続きに関する情報は、OFACのよくある質問897を参照のこと。OFACの制裁リストからの削除申請手続きに関する詳細情報については、こちらをクリックしてご覧ください。
See OFAC’s updated Advisory on Potential Sanctions Risk for Facilitating Ransomware Payments for information on the actions that OFAC would consider to be mitigating factors in any related enforcement action involving ransomware payments with a potential sanctions risk. For information on complying with sanctions applicable to virtual currency, see OFAC’s Sanctions Compliance Guidance for the Virtual Currency Industry. OFACが、制裁リスクの可能性があるランサムウェアの支払いが関わるいかなる関連執行措置においても低減要因とみなす可能性がある行為に関する情報は、OFACが更新した「ランサムウェアの支払いを容易にする潜在的な制裁リスクに関する勧告」を参照のこと。仮想通貨に適用される制裁措置への準拠に関する情報は、OFACの「仮想通貨業界における制裁措置遵守の指針」を参照のこと。
Click here for more information on the individuals and entities designated today. 本日指定された個人および事業体に関する詳細については、こちらをクリック。

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.02 Europol Lockbit関係者を新たに逮捕し、経済制裁も加える

 

| | Comments (0)

Europol Lockbit関係者を新たに逮捕し、経済制裁も加える

こんにちは、丸山満彦です。

フランス、英国、スペイン等が協力し、Lockbit関係者を新たに逮捕し、経済制裁も加えたようですね...

日本の警察も協力していますね。英国がEvil Corpの件、米国、オーストラリアも制裁を課していると記載していますね...

Europol

・2024.10.01 LockBit power cut: four new arrests and financial sanctions against affiliates

 

LockBit power cut: four new arrests and financial sanctions against affiliates LockBitの力を削ぐ:4人の新たな逮捕者と関連組織への経済制裁
A developer, a Bulletproof hosting service administrator, and two other associates arrested in a series of coordinated action by France, the United Kingdom and Spain フランス、英国、スペインによる一連の協調行動により、開発者、Bulletproofホスティングサービス管理者、およびその他の2人の関係者が逮捕された
Europol supported a new series of actions against LockBit actors, which involved 12 countries and Eurojust and led to four arrests and seizures of servers critical for LockBit’s infrastructure. A suspected developer of LockBit was arrested at the request of the French authorities, while the British authorities arrested two individuals for supporting the activity of a LockBit affiliate. The Spanish officers seized nine servers, part of the ransomware’s infrastructure, and arrested an administrator of a Bulletproof hosting service used by the ransomware group. In addition, Australia, the United Kingdom and the United States implemented sanctions against an actor who the National Crime Agency had identified as prolific affiliate of LockBit and strongly linked to Evil Corp. The latter comes after LockBit’s claim that the two ransomware groups do not work together. The United Kingdom sanctioned fifteen other Russian citizens for their involvement in Evil Corp’s criminal activities, while the United States also sanctioned six citizens and Australia sanctioned two. 欧州刑事警察機構は、12カ国と欧州司法機構が関与するLockBitの関係者に対する新たな一連の行動を支援し、4人の逮捕とLockBitのインフラストラクチャに不可欠なサーバーの押収につながった。フランス当局の要請により、LockBitの開発者と見られる容疑者が逮捕された。また、英国当局は、LockBitの関連組織の活動を支援した容疑で2名を逮捕した。スペインの警察官は、ランサムウェアのインフラの一部である9台のサーバーを押収し、ランサムウェアグループが使用していたBulletproofホスティングサービスの管理者を逮捕した。さらに、オーストラリア、英国、米国は、国家犯罪対策庁がLockBitの多作なアフィリエイトであり、Evil Corp.と強く結びついていると識別した人物に対して制裁を実施した。後者は、2つのランサムウェアグループは連携していないというLockBitの主張の後に実施された。英国は、Evil Corp.の犯罪活動への関与により、他の15人のロシア国民に制裁を課した。米国も6人の国民に制裁を課し、オーストラリアは2人に制裁を課した。
LockBit full infrastructure in the crosshairs of law enforcement LockBitのインフラ全体が法執行機関の監視下に
These are some of the results of the third phase of Operation Cronos, a long-running collective effort of law enforcement authorities from 12 countries, Europol and Eurojust, who joined forces to effectively disrupt at all levels the criminal operations of the LockBit ransomware group. These actions follow the massive disruption of LockBit infrastructure in February 2024, as well as the large series of sanctions and operational actions that took place against LockBit administrators in May and subsequent months. これは、12か国の法執行当局、欧州刑事警察機構、欧州司法機構が力を合わせてLockBitランサムウェアグループの犯罪活動をあらゆるレベルで効果的に阻止した、長期にわたる共同取り組み「オペレーション・クロノス」の第3段階の成果の一部である。これらの行動は、2024年2月のLockBitインフラの大規模な混乱、および5月とその後の数か月にわたってLockBit管理者に対して実施された一連の制裁措置と業務上の措置に続くものである。
Between 2021 and 2023, LockBit was the most widely employed ransomware variant globally with a notable number of victims claimed on its data leak site. Lockbit operated on the ransom as a service model. The core group sold access to affiliates and received portions of the collected ransom payments. Entities deploying LockBit ransomware attacks had targeted organisations of various sizes spanning critical infrastructure sectors such as financial services, food and agriculture, education, energy, government and emergency services, healthcare, manufacturing and transportation. Reflecting the considerable number of independent affiliates involved, LockBit ransomware attacks display significant variation in observed tactics, techniques and procedures. 2021年から2023年の間、LockBitは世界中で最も広く使用されたランサムウェアの亜種であり、そのデータ漏洩サイトでは多数の被害者が報告された。Lockbitは、ランサムウェアをサービスモデルとして運営していた。中核グループは、関連組織へのアクセスを販売し、集められた身代金支払いの一部を受け取っていた。LockBitランサムウェア攻撃を展開する事業体は、金融サービス、食品および農業、教育、エネルギー、政府および緊急サービス、ヘルスケア、製造事業者、運輸など、重要なインフラストラクチャ部門にわたるさまざまな規模の組織を標的にしていた。多数の独立した関連組織が関与していることを反映して、LockBitランサムウェア攻撃は、観測された戦術、技術、手順に大きなばらつきがある。
No More Ransom to decrypt your files ファイルの復号にはNo More Ransomを
With Europol’s support, the Japanese Police, the National Crime Agency and the Federal Bureau of Investigation have concentrated their technical expertise on developing decryption tools designed to recover files encrypted by the LockBit Ransomware. 欧州刑事警察機構の支援を受け、日本の警察、国家犯罪対策庁、連邦捜査局は、LockBitランサムウェアによって暗号化されたファイルを復元するための復号ツールの開発に技術的専門知識を集中させている。
The support from the cybersecurity sector has also proven crucial for minimising the damage from ransomware attacks, which remains the biggest cybercrime threat. Many partners have already provided decryption tools for a number of ransomware families via the ‘No More Ransom’ website. サイバーセキュリティ分野からの支援は、依然として最大のサイバー犯罪の脅威であるランサムウェア攻撃による被害を最小限に抑える上でも極めて重要である。多くのパートナーがすでに「No More Ransom」のウェブサイトを通じて、多くのランサムウェアファミリー向けの復号ツールを提供している。
These solutions have been made available for free on the ‘No More Ransom’ portal, available in 37 languages. So far, more than 6 million victims around the globe have benefitted from No More Ransom, which contains over 120 solutions capable of decrypting more than 150 different types of ransomware. これらのソリューションは、37言語で利用可能な「No More Ransom」ポータルで無料で提供されている。これまでに、世界中で600万人以上の被害者がNo More Ransomの恩恵を受けている。このポータルには、150種類以上のランサムウェアを解読できる120以上のソリューションが含まれている。
Europol’s support 欧州刑事警察機構の支援
Europol facilitated the information exchange, supported the coordination of the operational activities and provided operational analytical support, as well as crypto tracing and forensic support. The analysis workflow proposed after the first operation enabled a joint work focused on the identification of the LockBit actors. The advanced demixing capabilities of Europol’s Cybercrime Centre enabled the identification of several targets. Following the initiation operations against LockBit’s infrastructure in the beginning of 2024, Europol organised seven technical sprints, three of which were fully dedicated to cryptocurrency tracing. During the action days, Europol deployed an expert to provide on-the-spot support to the national authorities. 欧州刑事警察機構は情報交換を促進し、運用活動の調整を支援し、運用分析のサポート、暗号追跡、法医学的サポートを提供した。最初の作戦後に提案された分析ワークフローにより、LockBitの関係者の特定に焦点を当てた共同作業が可能になった。欧州刑事警察機構のサイバー犯罪センターの高度な分離機能により、複数の標的を特定することができた。2024年初頭にLockBitのインフラに対する作戦を開始した後、欧州刑事警察機構は7回の技術的スプリントを組織し、そのうち3回は暗号通貨の追跡に完全に専念した。作戦期間中、欧州刑事警察機構は各国当局に現場でのサポートを提供する専門家を派遣した。
The Joint Cybercrime Action Taskforce (J-CAT) at Europol supported the operation. This standing operational team consists of cyber liaison officers from different countries who work from the same office on high-profile cybercrime investigations. 欧州刑事警察機構(ユーロポール)のサイバー犯罪対策合同タスクフォース(J-CAT)もこの作戦を支援した。この常設の運用チームは、各国のサイバー捜査官で構成され、注目度の高いサイバー犯罪捜査を同じオフィスで実施している。
Authorities participating in Operation Cronos オペレーション・クロノスに参加した当局
Australia: Australian Federal Police オーストラリア:オーストラリア連邦警察
Canada: Royal Canadian Mounted Police/ Gendarmerie royale du Canada カナダ:カナダ騎馬警察/カナダ王立憲兵隊
France: Gendarmerie - (Gendarmerie Nationale – Unité nationale cyber C3N); Court of Paris JUNALCO (National Jurisdiction against Organised Crime) Cybercrime Unit フランス:国家憲兵隊(国家憲兵隊サイバーC3N部隊)、パリ裁判所 JUNALCO(国家組織犯罪対策局)サイバー犯罪ユニット
Germany: State Bureau of Criminal Investigation (Landeskriminalamt Kiel) and Federal Criminal Police Office (Bundeskriminalamt) ドイツ:州刑事局(キール)および連邦刑事局(連邦警察局)
Japan: National Police Agency of Japan (警察庁) 日本:警察庁
Spain: Spanish Civil Guard (Guardia Civil) スペイン:スペイン市民警備隊(Guardia Civil)
Sweden: Swedish Police Authority スウェーデン:スウェーデン警察庁
Switzerland: Switzerland Fedpol – Zurich State Police スイス:スイス連邦警察局チューリッヒ州警察
Netherlands: National Police (Politie) Dienst Regionale Recherche Oost-Brabant オランダ:国家警察(Politie)東ブラバント地域捜査部
Romania: National Police Central Cybercrime Unit ルーマニア:国家警察中央サイバー犯罪対策部
United Kingdom: National Crime Agency, South West Regional Organised Crime Unit (South West ROCU) 英国:国家犯罪対策庁、南西部組織犯罪対策部(South West ROCU)
United States: Federal Bureau of Investigation Newark 米国:連邦捜査局(FBI)ニューアーク支局

 

Europollogo

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.02 米国 英国 オーストラリア Evil Corpのメンバーを制裁

 

| | Comments (0)

英国 会計検査院 (NAO) 監査実施基準の改訂案 (2024.09.09)

こんにちは丸山満彦です。

英国の会計検査院 (NAO) が監査実施基準案を作成し、議会に提出していますね... 今年の晩秋に確定するようです。

地方公共団体の地方監査人が従うべき基準...

 

National Audit Office; NAO

Code of Audit Practie

 

議会に提出されたものは、こちら...

・[PDF]

20241002-31420

・[DOCX][PDF] 仮訳

 

改訂案についての意見募集結果

・2024.09.05 Code of Audit Practice Consultation

意見に対する回答

・[PDF] consultation response

20241002-32209

 

現在のは、2020年に策定されたものです。。。どこがかわったかは調べてません(^^)

・[PDF]

20241002-31726

 

 

| | Comments (0)

2024.10.01

英国 会計検査院 (NAO) クラウドサービスについての監査委員会向け指針 (2024.09.12)

こんにちは、丸山満彦です。

英国の会計検査院 (NAO) が、クラウドサービスについての監査委員会向け指針の更新をしていますね...

いろいろな意味で参考になると思います...

 

● U.K. National Audit Office; NAO

・2024.09.12 Guidance for audit committees on cloud services

Guidance for audit committees on cloud services 監査委員会向けクラウドサービスに関する指針
This is the latest version of our cloud guidance for audit committees updating guides published in 2021 and 2019. Since 2021 more of the public sector has adopted cloud services, with a matching increase in government spending with the big cloud providers. Many found our previous guide to be valuable, so we have updated it to reflect the evolution of cloud services. これは、2021年と2019年に発行された監査委員会向けクラウドサービスに関する当社の指針の最新版である。2021年以降、公共部門ではクラウドサービスの採用が増加しており、大手クラウドプロバイダとの政府支出も増加している。当社の以前のガイドは多くの人々にとって有益であったため、クラウドサービスの進化を反映させるために更新した。
Government has developed digital policy to support moving to the cloud for over a decade, and the number of cloud services continues to increase. But some organisations may lack the capacity and expertise to choose the right services for their needs. 政府は10年以上にわたり、クラウドへの移行を支援するデジタル政策を展開しており、クラウドサービスの数は増加し続けている。しかし、組織によっては、ニーズに合ったサービスを選択するための能力や専門知識が不足している場合もある。
Our guide sets out specific questions for audit committees to consider when engaging with their management on this. 本指針では、経営陣とこの問題について話し合う際に監査委員会が考慮すべき具体的な質問を提示している。
It takes a lifecycle approach and poses informed questions at three key stages: 本ガイドではライフサイクル・アプローチを採用し、次の3つの主要な段階において、適切な質問を提示している。
Strategic assessment of cloud services: This section covers both first-time adoption and continuing re appraisal and re-evaluation of cloud services. クラウドサービスの戦略的アセスメント:このセクションでは、クラウドサービスの新規導入と継続的な再適用・再評価の両方を対象としている。
Implementation of cloud services: This covers mid-lifecycle implementation and considers system configuration, data migration, and service risk and security issues when moving from one cloud provider to another, or from on-premises to cloud for the first time. クラウドサービスの導入:これはライフサイクルの中盤における導入をカバーし、システム構成、データ移行、およびクラウドプロバイダから別のプロバイダへの移行、あるいはオンプレミスからクラウドへの初めての移行におけるサービスリスクとセキュリティの問題を考慮する。
Management and optimisation of cloud services: This later lifecycle section covers operational considerations, the need for assurance from third parties, the capabilities needed to manage live running, and how to continue to control costs. クラウドサービスの管理と最適化:これはライフサイクルの後半におけるセクションで、運用上の考慮事項、サードパーティによる保証の必要性、稼働中の管理に必要な機能、およびコスト管理の継続方法についてカバーする。

 

・[PDF]

20241001-51803

 

Strategic assessment of cloud services クラウドサービスの戦略的アセスメント
1 Digital strategy 1 デジタル戦略
2 Business case 2 ビジネスケース
3 Due diligence 3 デューデリジェンス
4 Lock-in and exit strategy 4 ロックインと出口戦略
Implementation of cloud services クラウドサービスの導入
1 System configuration 1 システム構成
2 Risk and security 2 リスクとセキュリティ
3 Implementation 3 導入
Management and optimisation of cloud services クラウドサービスの管理と最適化
1 Operations 1 運用
2 Assurance 2 保証
3 Capability 3 機能

 

質問表以外...

Guidance for audit committees on cloud services 監査委員会向けクラウドサービスに関する指針
About our guide 本指針について
Who is the guide for?  本指針は誰を対象としているのか?
We published the original edition of our Guidance for audit committees on cloud services in 2019, with an updated version issued in 2021. Gaining suitable assurance is complex and difficult, and our aim is to help audit committees understand the cloud-related questions they might need to ask of management. 2019年に初版を発行した監査委員会向けクラウドサービスに関する指針の改訂版を2021年に発行した。適切な保証を得ることは複雑で困難であり、当社の目的は、監査委員会が経営陣に尋ねる必要があるかもしれないクラウド関連の質問を理解する手助けをすることである。
Since we last published this guidance, more of the public sector has adopted cloud services, with a matching increase in government spending with the big cloud providers. Government’s digital and commercial functions have also continued to develop their cloud strategy and associated guidance for the public sector. 前回本指針を発行して以来、公共部門ではクラウドサービスを採用する機関が増え、大手クラウドプロバイダへの政府支出も増加している。また、政府のデジタルおよび商業機能も、公共部門向けのクラウド戦略および関連指針の開発を継続している。
Our audience found our previous guide to be valuable, so we have updated it to reflect the growing adoption and evolution of cloud services and to keep it relevant.  前回の指針は読者から有益であるとの評価をいただいたため、クラウドサービスの採用と進化を反映し、関連性を維持するために更新した。
What does the guide cover? 本指針ではどのような内容を取り上げているのか?
Our guide sets out specific questions for audit committees to consider when engaging with their management. Our other related support for audit committees includes Cyber security and information risk guidance for audit committees and Transformation guidance for audit committees. In addition, we have published a guide to Digital transformation in government and a report on the Use of artificial intelligence in government. 本指針では、経営陣と関わる際に監査委員会が考慮すべき具体的な質問を提示している。 監査委員会向けのその他の関連サポートには、監査委員会向けサイバーセキュリティおよび情報リスクに関する指針、および監査委員会向けトランスフォーメーション・指針がある。 さらに、政府におけるデジタル・トランスフォーメーションに関する指針、および政府における人工知能の利用に関するレポートも発行している。
This guide takes a lifecycle approach and poses informed questions at three key stages. 本指針ではライフサイクル・アプローチを採用し、3つの重要な段階で適切な質問を提示している。
•  Strategic assessment of cloud services: This section covers both first-time adoption and continuing re-appraisal and re-evaluation of cloud services as part of early lifecycle organisational and digital strategies, the business case process, and due diligence. クラウドサービスの戦略的アセスメント:このセクションでは、初期のライフサイクルにおける組織戦略およびデジタル戦略、ビジネスケースプロセス、デューデリジェンスの一環として、クラウドサービスの新規導入と継続的な再評価・再検討の両方を対象としている。
•  Implementation of cloud services: This section covers mid-lifecycle implementation and considers system configuration, data migration, and service risk and security issues when moving from one cloud provider to another, or from on-premises to cloud for the first time. クラウドサービスの導入:このセクションでは、ライフサイクルの中盤における導入を取り上げ、システム構成、データ移行、およびクラウドプロバイダを変更する場合や、オンプレミスからクラウドに初めて移行する場合のサービスリスクとセキュリティの問題について検討する。
•  Management and optimisation of cloud services: This later lifecycle section covers operational considerations, the need for assurance from third parties, the capabilities needed to manage live running, and how to continue to control costs. クラウドサービスの管理と最適化:このライフサイクル後期のセクションでは、運用上の考慮事項、サードパーティによる保証の必要性、稼働中の管理に必要な機能、およびコスト管理の継続方法について取り上げる。
Why does this need attention? なぜ注意が必要なのか?
Government has developed digital policy to support moving to the cloud for over a decade, and the number of cloud services continues to increase. But some organisations may lack the capacity and expertise to choose the right services for their needs, implement them securely, and continue to use them effectively. In particular, organisations should not under-estimate the cost and effort of moving to cloud solutions and the investment needed in skills and processes to manage and optimise them. These challenges are most likely where multiple suppliers are involved. The skills needed are not just technical ones. Commercial skills will also be needed to understand and manage cloud services. Also, senior management needs to understand the risks involved. 政府は10年以上にわたり、クラウドへの移行を支援するデジタル政策を展開しており、クラウドサービスの数は増加し続けている。しかし、組織によっては、ニーズに合ったサービスを選択し、安全に導入し、効果的に使い続けるための能力や専門知識が不足している場合がある。特に、クラウドソリューションへの移行にかかるコストや労力、およびソリューションの管理と最適化に必要なスキルやプロセスへの投資を、組織は過小評価すべきではない。こうした課題は、複数のサプライヤーが関与している場合に最も発生しやすい。必要なスキルは、技術的なものだけではない。クラウドサービスを理解し、管理するためには、商業的なスキルも必要となる。また、経営陣は関連するリスクを理解する必要がある。
Well-managed cloud services can be more secure than local or on-premises technology. The threat levels for both are broadly the same, but cloud providers can use economies of scale and concentration of expertise to their advantage. This strength of scale offers a level of security that would be difficult for many organisations to provide on their own. Cloud providers invest heavily in security because otherwise their businesses are at risk. However, customers should not assume that the cloud provider is taking care of all aspects of security on their behalf. Some services have differently priced options with different levels of security features available. All cloud services require users to ensure that the security set-up is in line with their needs, including that data is not left open to a wider audience than intended. This point cannot be over-emphasised: the key to a successful security implementation in a cloud environment is understanding where the cloud provider’s responsibilities end and where the customer’s responsibilities begin. This is called the ‘shared responsibility model’.  適切に管理されたクラウドサービスは、ローカルまたはオンプレミスのテクノロジーよりも安全である可能性がある。両者の脅威レベルはほぼ同じであるが、クラウドプロバイダーは規模の経済と専門知識の集中を活用できる。このスケールメリットにより、多くの組織が独自に提供するのは難しいレベルのセキュリティが実現されている。クラウドプロバイダは、そうしなければビジネスにリスクが生じるため、セキュリティに多額の投資を行っている。しかし、顧客はクラウドプロバイダがセキュリティのあらゆる側面を代行していると考えるべきではない。一部のサービスでは、セキュリティ機能のレベルに応じて価格設定が異なるオプションが用意されている。すべてのクラウドサービスにおいて、ユーザーはセキュリティ設定が自社のニーズに合致していることを確認する必要がある。その中には、意図した範囲を超えてデータが公開されないようにすることも含まれる。この点は強調し過ぎることはない。クラウド環境でセキュリティを適切に実装するための鍵は、クラウドプロバイダの責任がどこまでで、顧客の責任がどこから始まるかを理解することである。これを「共有責任モデル」と呼ぶ。
Implementation of cloud services is not a ‘once and done’ endeavour. While the cloud may sometimes save money, organisations should not assume this will always be the case without a detailed analysis of their total cost of operation and the opportunities for optimisation. For example, a ‘lift and shift’ migration of existing applications to cloud hosting is likely to require further work to take maximum advantage of the benefits that a cloud environment can offer. It does not automatically improve the data or applications themselves. クラウドサービスの導入は「一度きり」で済むものではない。クラウドはコスト削減につながることもあるが、運用コストの総額や最適化の可能性について詳細な分析を行わずに、常にそうなるだろうと想定すべきではない。例えば、既存のアプリケーションをクラウドホスティングに「リフト&シフト」で移行しても、クラウド環境が提供するメリットを最大限に活用するには、さらなる作業が必要になる可能性が高い。データやアプリケーション自体が自動的に改善されるわけではない。
Introduction 序文
An overview of cloud services クラウドサービスの概要
Cloud services are a combination of systems and data hosted by third parties and accessed by users over the internet. This is in contrast with traditional systems where hardware and software are maintained on an organisation’s own premises and accessed over a traditional corporate local or wide area network. Cloud services are not a new concept and have been available in one form or another for over 25 years. Today many organisations invest heavily in the cloud and well-established offerings are now available to meet a wide range of organisational needs, including business and financial systems. クラウドサービスとは、サードパーティがホスティングするシステムとデータで構成され、インターネットを介してユーザーがアクセスするものである。これは、ハードウェアとソフトウェアを組織の自社施設で管理し、従来の企業内LANやWANを介してアクセスする従来のシステムとは対照的である。クラウドサービスは新しい概念ではなく、25年以上前から何らかの形で利用されてきた。現在では多くの組織がクラウドに多額の投資を行っており、ビジネスや財務システムなど、幅広い組織のニーズに対応する確立されたサービスが利用可能になっている。
Cloud services are heavily promoted as providing a wide range of benefits, including efficiency, flexibility and security. These benefits may be achieved through the cloud provider’s access to resources, expertise and economies of scale. クラウドサービスは、効率性、柔軟性、安全性など、幅広いメリットを提供すると強くアピールされている。これらのメリットは、クラウドプロバイダがリソース、専門知識、規模の経済にアクセスできることで実現される可能性がある。
Cloud financial and operating models have moved away from capital investment funding and fixed utilisation arrangements to more flexible models such as ‘pay as you go’, which transfer more costs to operating expenditure. This gives organisations the opportunity to flex demand to pay only for what is required, provided that arrangements are suitably optimised to take advantage of this flexibility. クラウドの財務および運用モデルは、資本投資による資金調達や固定利用契約から、より柔軟な「利用した分だけ支払う」モデルへと移行しており、より多くのコストが営業費用に転嫁されるようになっている。これにより、組織は必要に応じて柔軟に需要を調整し、必要なものだけに対して支払うことができる。ただし、この柔軟性を活用するには、適切な最適化が前提となる。
The National Cyber Security Centre (NCSC) provides a useful overview of the main cloud service and deployment models.1 Illustrative pricing models for cloud services can be found in Appendix One of this guidance. Broadly speaking, cloud offerings can be thought of in two main categories. 英国サイバーセキュリティセンター(NCSC)は、主なクラウドサービスおよび展開モデルの概要をわかりやすく提供している。1 クラウドサービスの価格モデルの例は、本指針の附属書1を参照のこと。 概して、クラウドサービスは主に2つのカテゴリーに分類できる。
•  Cloud services and software: Pre-built software applications that are accessed over the internet, such as finance and human resources systems and productivity suites. クラウドサービスおよびソフトウェア:財務や人事システム、生産性スイートなど、インターネット経由でアクセスする構築済みのソフトウェアアプリケーション。
•  Cloud hosting and platforms: Cloud-based components such as servers and platforms (infrastructure) that an organisation can use to build a customised service. • クラウド・ホスティングおよびプラットフォーム:組織がカスタマイズしたサービスを構築するために使用できる、サーバーやプラットフォーム(インフラ)などのクラウドベースのコンポーネント。
Moving to the cloud is often not straightforward. Appendix One contains a brief overview of dealing with legacy technology in the context of contemplating a move to cloud services. クラウドへの移行は、必ずしも単純明快なものではないことが多い。附属書1には、クラウドサービスへの移行を検討する際にレガシー技術を扱う際の概要が記載されている。
What is government policy on cloud services? クラウドサービスに関する政府の政策とは?
Government encourages public sector organisations to adopt cloud solutions where they offer better quality of service or value for money. It has developed its policy since 2013, when it expressed an explicit preference for public cloud over other deployment models. This ‘cloud first’ policy was re-assessed in 2019 and, although the policy remains “consider using public cloud solutions first” it is acknowledged that cloud solutions may not be right in all situations.  政府は、より質の高いサービスやコストパフォーマンスの高いソリューションを提供するクラウドソリューションを公共部門の組織に採用するよう奨励している。政府は2013年以降、その方針を策定しており、その際には他の展開モデルよりもパブリッククラウドを明確に優先する意向を表明した。この「クラウドファースト」の方針は2019年に再アセスメントされ、方針は「まずパブリッククラウドソリューションの利用を検討する」という内容に変更されたが、クラウドソリューションがすべての状況に適しているわけではないことが認められている。
Government guidance continues to evolve, and organisations should ensure they are aware of the latest developments published in the Cloud guide for the public sector. 政府による指針は引き続き進化しており、組織は「公共部門向けクラウド指針」で公表されている最新動向を把握しておくべきである。2
1National Cyber Security Centre, Cloud security guidance: Service and deployment models, accessed 18 July 2024. 1 National Cyber Security Centre, Cloud security guidance: Service and deployment models, accessed 18 July 2024.
2Central Digital and Data Office and Government Commercial Function, Cloud guide for the public sector, accessed 18 July 2024. 2 Central Digital and Data Office and Government Commercial Function, Cloud guide for the public sector, accessed 18 July 2024.
Strategic assessment of cloud services クラウドサービスの戦略的アセスメント
What does this section cover? このセクションでは何を扱うのか?
This section covers strategic choices for both first-time adoption and ongoing evaluation of cloud services as part of organisational and digital strategies, the business case process, due diligence assessments and lock-in and exit considerations. このセクションでは、組織戦略およびデジタル戦略の一環として、クラウドサービスを初めて採用する場合と継続的に評価する場合の両方における戦略的選択肢、ビジネスケースプロセス、デューデリジェンスアセスメント、ロックインと撤退の検討事項を扱う。
Why is this important? なぜこれが重要なのか?
Management should set clear criteria for success so that it can properly evaluate the options available. Organisations need to strategically evaluate what is most suitable for their needs and keep this under review as the cloud market continues to evolve and mature. This includes issues related to supplier lock-in and related exit strategies from cloud service providers. 経営陣は成功の明確な規準を設定し、利用可能な選択肢を適切に評価できるようにすべきである。組織は、自らのニーズに最も適したものを戦略的に評価し、クラウド市場が引き続き進化し成熟するにつれ、これを継続的に見直していく必要がある。これには、サプライヤーのロックインに関する問題や、クラウドサービス・プロバイダーからの撤退戦略などが含まれる。
1 Digital strategy 1 デジタル戦略
A successful digital strategy should be central to the wider organisational vision and strategy, taking due account of government’s aim to move towards a more streamlined and consistent set of services over time. Management should guard against technology-led decision making. It should first develop robust organisational and digital strategies that meet the business need, and then establish a clear view of technological requirements to support the needs of the business. Smaller bodies may find it beneficial to engage external expertise to help them understand and navigate the various options. 成功するデジタル戦略は、より広範な組織のビジョンと戦略の中心となるべきであり、政府が目指す、より合理化され一貫性のあるサービス群への移行を考慮すべきである。経営陣は、テクノロジー主導の意思決定に陥らないよう注意すべきである。まず、ビジネスニーズを満たす強固な組織戦略とデジタル戦略を策定し、次に、ビジネスニーズをサポートするテクノロジー要件の明確なビジョンを確立すべきである。小規模な団体は、外部の専門家の支援を受け、さまざまな選択肢を理解し、選択することが有益である。
2 Business case 2 ビジネスケース
Cloud service providers advertise a range of potential benefits. These include cost efficiencies, adaptability, scalability, and security. However, the cost of cloud services can vary significantly depending on uncertain factors like user numbers and data volumes, as well as currency exchange fluctuations. Different suppliers have different elements to their pricing. Some features may not be included in base level services, and upgrade costs to obtain such features need to be fully understood. The benefits of adaptability and flexibility depend on the complexity of implementation and the extent to which services are provided ‘as is’ or need to be tailored. The advantages of cloud technology can be significant enough to justify the extra effort needed for accurate forecasting. However, the skills to implement cloud services are different from those required to implement and maintain more traditional on-premises or outsourcing arrangements. Moving from a single prime supplier to an environment involving multiple suppliers will call for a service integration and management skillset, which must be developed and maintained. Users will need to adapt to a culture of more frequent changes and improvement to the systems they work with, and not feel threatened by it. クラウドサービスプロバイダは、さまざまな潜在的なメリットを宣伝している。これには、コスト効率、適応性、拡張性、セキュリティなどが含まれる。しかし、クラウドサービスのコストは、ユーザー数やデータ量、為替レートの変動などの不確定要素によって大きく異なる可能性がある。サプライヤーによって、価格設定の要素は異なる。基本レベルのサービスには含まれない機能もあり、そのような機能を得るためのアップグレード費用を十分に理解しておく必要がある。適応性と柔軟性のメリットは、実装の複雑さや、サービスが「現状のまま」提供されるか、カスタマイズが必要かによって異なる。クラウド技術のメリットは、正確な予測に必要な追加の労力を正当化するに十分なほど大きい。しかし、クラウドサービスの導入に必要なスキルは、従来型のオンプレミスまたはアウトソーシングの導入・維持に必要なスキルとは異なる。単一の主要サプライヤーから複数のサプライヤーが関わる環境に移行するには、サービス統合と管理のスキルセットが必要となり、それらを開発し維持しなければならない。ユーザーは、使用するシステムがより頻繁に変更され改善されるという文化に適応し、それによって脅威を感じないようにする必要がある。
3 Due diligence 3 デューデリジェンス
There is a wide variety of cloud service providers, and many are global suppliers. The providers on G-Cloud are pre-screened only to check they are suitable to work with government, and not to provide assurance on their specific services. Selection criteria should, therefore, cover the specific needs of the organisation. The organisation should conduct due diligence on shortlisted suppliers to check they meet all security requirements, relevant standards, regulations, and business-specific needs. It should continue to perform periodic due diligence once a service is implemented. Organisations have a responsibility both to ensure security ‘of’ the cloud (provider responsibility) and security ‘in’ the cloud (customer responsibility). Organisations not only need to gain assurance over cloud providers but also their own organisation’s security and associated accreditations, and to ensure nothing can ‘fall between the gaps’ due to a misunderstanding of their own responsibilities relative to those of their cloud providers. クラウドサービスプロバイダには多種多様な業者が存在し、その多くはグローバルなサプライヤである。G-Cloudのプロバイダは、政府との取引に適しているかどうかを事前に確認するのみであり、特定のサービスに関する保証を提供するものではない。したがって、選定規準は組織の特定のニーズをカバーするものでなければならない。組織は、最終選考に残ったサプライヤについてデューデリジェンスを実施し、すべてのセキュリティ要件、関連標準、規制、および業務固有のニーズを満たしていることを確認すべきである。また、サービスが導入された後は、定期的にデューデリジェンスを実施すべきである。 組織には、クラウドのセキュリティを確保する責任(プロバイダの責任)とクラウド内のセキュリティを確保する責任(顧客の責任)の両方がある。 組織はクラウドプロバイダのセキュリティを確保するだけでなく、自社のセキュリティと関連する認定も確保する必要がある。また、クラウドプロバイダのセキュリティに対する自社の責任を誤解して、「すきま」が生じないようにしなければならない。
Organisations should be clear that they are responsible for the security of their own data in the cloud. The supplier may provide a secure technical environment but identifying and addressing data breaches remains the responsibility of the client organisation. It is not sufficient to be a passive consumer of cloud services. 企業は、クラウド上の自社データのセキュリティに責任を負うことを明確にすべきである。プロバイダは安全な技術環境を提供することはできるが、データ侵害の識別と対処は依然として顧客企業の責任である。クラウドサービスを単に受動的に利用するだけでは不十分である。
4 Lock-in and exit strategy 4 ロックインと出口戦略
Lock-in arises where an organisation depends heavily on products and services from a particular supplier. It can also arise where an organisation uses more than one cloud provider but depends on each for a specific service. Switching to a different technology or provider can be difficult, time-consuming and expensive. There are two main types of lock-in. ロックインは、組織が特定のサプライヤの製品やサービスに大きく依存している場合に発生する。また、組織が複数のクラウドプロバイダを利用しているものの、各プロバイダを特定のサービスに依存している場合にも発生する。異なるテクノロジーやプロバイダへの切り替えは、困難で時間も費用もかかる可能性がある。ロックインには主に2つのタイプがある。
Commercial: Long and inflexible contracts can prevent organisations from changing their technology strategy when circumstances change. Commercial lock-in is to be avoided. Government advice is that it can be reduced by agreeing shorter contracts, with organisations ensuring that they retain the intellectual property of their products and services as well as access rights to their data. However, shorter contracts can bring their own problems. Organisations will have to run procurement and evaluation exercises more frequently. Vendors may be less inclined to offer incentives than they would be for a longer-term relationship. 商業的:長期かつ柔軟性のない契約は、状況が変化した際に組織がテクノロジー戦略を変更することを妨げる可能性がある。商業的ロックインは回避すべきである。政府の助言では、より短期の契約を締結することで、組織が自社製品およびサービスの知的財産とデータへのアクセス権を確保しながら、商業的ロックインを軽減できるとしている。しかし、短期の契約には独自の課題もある。組織は調達と評価をより頻繁に行う必要がある。ベンダーは、長期的な関係よりもインセンティブを提供することに消極的になる可能性がある。
Technical: While there may be no commercial barriers to moving from one provider to another (for instance, an organisation is approaching the end of its contracted term or is on a pay-as-you-go pricing model), doing so may represent a significant technical and cost challenge. Technical lock-in cannot be avoided entirely, and trying to do so at all costs has its own downsides. Deep integration with a specific cloud provider’s service may provide significant technical or business benefits, but may simultaneously increase the risk of technical lock-in. If an organisation only uses cloud providers in such a way as to be able to migrate off them again easily, this can severely restrict the features and functionality it is able to use. Doing so could compromise the value of moving to the cloud. In most cases a trade-off is involved, and each organisation needs to determine its own approach and judge the degree of lock-in it is willing to accept. Organisations should explore ways to mitigate technical lock-in risks by using approaches such as open standards. 技術的:プロバイダを変更することに商業的な障壁がない場合(例えば、契約期間が終了間近である、または従量課金制の価格モデルである場合)でも、技術的およびコスト面で大きな課題となる可能性がある。技術的なロックインを完全に回避することはできない。また、何としてでも回避しようとすると、それ自体にデメリットが生じる可能性がある。特定のクラウドプロバイダのサービスと深く統合することで、技術面やビジネス面で大きなメリットが得られる可能性があるが、同時に技術的なロックインのリスクも高まる可能性がある。企業がクラウドプロバイダを、簡単に乗り換え可能な方法でしか利用しない場合、利用可能な機能や機能性が大幅に制限される可能性がある。そうすることで、クラウドへの移行の価値が損なわれる可能性がある。ほとんどの場合、トレードオフが伴うため、各企業は独自の方法を見出し、どの程度のロックインを受け入れるかを判断する必要がある。企業はオープン標準などのアプローチを使用することで、技術的ロックインのリスクを低減する方法を模索すべきである。
An exit strategy is one of the most important components of a cloud strategy, even if it is never called upon. It should weigh the impact of changing provider against the benefits of staying. Organisations may find it useful to be in a position where they can give an indication of the costs and timescales for exiting from each of their cloud providers, the specific circumstances which might give rise to the need to do so, and the most probable potential alternative solutions. Estimates of time, effort and cost should include other aspects of lock-in, such as skills and capability. Strategies should consider the merits and drawbacks of different timeframes, for instance, a two-year planned exit versus an emergency exit. It is also advisable for such a strategy to be developed in conjunction with a third party expert rather than the provider of the service. たとえ実際に必要とされることはないとしても、出口戦略はクラウド戦略の最も重要な要素のひとつである。プロバイダを変更することによる影響と、現状維持のメリットを比較検討すべきである。各クラウドプロバイダからの撤退にかかる費用と期間の見込み、撤退の必要が生じる可能性のある具体的な状況、および最も可能性の高い代替ソリューションを提示できる体制を整えておくことが、企業にとって有益である。時間、労力、コストの見積もりには、スキルや能力など、その他のロックインの側面も考慮すべきである。戦略では、例えば、2年計画の撤退と緊急撤退など、異なる時間枠の長所と短所を検討すべきである。また、このような戦略は、サービスプロバイダではなく、サードパーティの専門家と共同で策定することが望ましい。
The Cabinet Office is placing an increased emphasis on exit planning as part of the One Government Cloud Strategy. 内閣府は、政府クラウド戦略の一環として、撤退計画に重点を置いている。
Implementation of cloud services クラウドサービスの導入
What does this section cover? このセクションでは何を扱うのか?
This section focuses primarily on utilising cloud components such as platform infrastructure to develop and deploy a customised service. Some elements discussed here will also apply to the consumption of pre-built cloud. There is a notable difference between the issues involved with these two approaches. このセクションでは、主にプラットフォームインフラストラクチャなどのクラウドコンポーネントを活用してカスタマイズされたサービスを開発および展開することに焦点を当てる。ここで取り上げるいくつかの要素は、事前構築されたクラウドの利用にも適用される。この2つのアプローチに関連する問題には、顕著な違いがある。
Why is this important? なぜこれが重要なのか?
Management needs to address the risks associated with cloud service implementation. Failing to configure and utilise cloud services correctly can severely hamper the achievement of financial benefits and expose organisations to the risk of a data breach. When organisations are moving from one cloud provider to another, or from on-premises to cloud for the first-time, issues to be considered include system configuration, data migration, service risk and security. Most of the challenges in implementing cloud services are common to on-premises systems. The broader challenges of change management and stakeholder engagement also apply to the introduction and use of cloud systems. However, cloud services and providers can vary in their levels of maturity and the configuration of systems can be complex. Organisations should consider their approach to multi-cloud solutions and whether alternative cloud providers will be considered only at initial implementation or for all new needs. They should assess the initial and ongoing impact of multi-cloud implementation on the costs, capabilities and resources required. 経営陣は、クラウドサービス導入に伴うリスクに対処する必要がある。クラウドサービスの設定と利用を適切に行わないと、財務上の利益の達成が大幅に妨げられ、データ漏洩のリスクにさらされる可能性がある。企業がクラウドプロバイダを変更する場合、またはオンプレミスからクラウドへ初めて移行する場合、考慮すべき問題には、システム構成、データ移行、サービスリスク、セキュリティなどがある。クラウドサービス導入における課題のほとんどは、オンプレミスシステムにも共通するものである。また、変更管理や利害関係者の関与といったより広範な課題も、クラウドシステムの導入や利用に当てはまる。しかし、クラウドサービスやプロバイダは成熟度に差があり、システムの構成は複雑になる可能性がある。企業はマルチクラウドソリューションへのアプローチを検討し、代替のクラウドプロバイダを検討するのは初期導入時のみか、それともすべての新規ニーズに対して検討するのかを検討すべきである。また、マルチクラウド導入がコスト、機能、必要なリソースに及ぼす初期および継続的な影響をアセスメントすべきである。
1 System configuration 1 システム構成
Outside of the use of pre-built cloud applications, such as productivity or finance software operating in a user’s browser, the potential variation and continuous innovation in the cloud environment can make configuration more challenging than for an on-premises network. Correct configuration is essential for a hybrid arrangement of cloud and legacy systems to inter-operate and communicate efficiently and securely. Smaller organisations are less likely to have sufficient expertise and capacity to manage the configuration of new systems. Such organisations will need a robust plan in place to manage business as usual at the same time as managing the change while drawing on external help. 生産性や財務管理ソフトウェアなど、ユーザーのブラウザ上で動作する既製のクラウドアプリケーションの利用を除いては、クラウド環境における潜在的な変化や継続的なイノベーションにより、オンプレミスネットワークよりも構成が難しくなる可能性がある。クラウドとレガシーシステムを相互運用し、効率的かつ安全にコミュニケーションを行うハイブリッド構成には、適切な構成が不可欠である。小規模な組織では、新しいシステムの構成を管理するための十分な専門知識や能力を備えている可能性は低い。このような組織は、外部の支援を受けながら、変化に対応しつつ通常通りの業務を遂行するための堅牢な計画を立てることが必要となる。
2 Risk and security 2 リスクとセキュリティ
The cloud is not necessarily any more or less secure than on-premises technical architecture. The threats in an on-premises and a public cloud environment are broadly similar. Organisations must take responsibility and accountability for ensuring that data is appropriately secured and not left open to a wider audience than intended. クラウドは、必ずしもオンプレミスの技術的アーキテクチャよりも安全であるとは限らない。オンプレミスとパブリッククラウド環境における脅威は、概ね類似している。組織は、データが適切に保護され、意図した範囲を超えてより広範なユーザーに公開されないようにする責任と説明責任を負わなければならない。
3 Implementation 3 導入
The realisation of benefits from new software can depend on the acceptance, compliance and engagement of users. Cloud systems often involve significant and more frequent changes to the user interface. While these changes may appear intuitive to technical colleagues, they may not work for everyone. In addition to managing technical implementation, organisations must focus on the importance of change management for all key stakeholders and users. 新しいソフトウェアから利益を得るには、ユーザーの受容、コンプライアンス、積極的な関与が重要となる。クラウドシステムでは、ユーザーインターフェースに大幅な変更が頻繁に生じる場合が多い。技術担当者はこうした変更を直感的に理解できるかもしれないが、すべてのユーザーにとって使いやすいものになるとは限らない。技術的な実装の管理に加えて、組織はすべての主要な利害関係者およびユーザーを対象とした変更管理の重要性を重視する必要がある。
Management and optimisation of cloud services クラウドサービスの管理と最適化
What does this section cover? このセクションでは何を扱うのか?
This section covers operational considerations, the need for assurance from in-house teams and third parties (reflecting the shared responsibility model), the capabilities needed to manage live running, and how to continue to control ongoing costs.  このセクションでは、運用上の考慮事項、社内チームおよびサードパーティ(共有責任モデルを反映)からの保証の必要性、稼働中の管理に必要な機能、および継続的なコスト管理方法について説明する。 
Why is this important? なぜ重要なのか?
A move to cloud services has an impact on the skills and resources required in-house to manage live services. Cloud service providers can usually take care of infrastructure management and maintenance. However, this is unlikely to apply if a legacy system has been ‘lifted and shifted’ into the cloud, with software patches and updates involved at various system levels. In such a case, responsibility remains with the organisation. Cloud providers can also offer a helpdesk and support to users and technical staff depending on the service procured. However, new capability is required to understand, manage and interpret the interface between the cloud service and the organisation. Organisations cannot outsource responsibility for governance of data and controls over financial and other transactions, nor for data security. This includes the interpretation of monitoring information and alerts from the cloud provider. Many organisations also opt to modify the services they use. This can increase the ongoing need for in-house service management, particularly as cloud providers routinely  クラウドサービスへの移行は、ライブサービスを管理するために社内で必要とされるスキルやリソースに影響を与える。通常、クラウドサービス・プロバイダはインフラの管理と保守を担当できる。しかし、レガシーシステムが「リフト&シフト」方式でクラウドに移行され、ソフトウェアのパッチや更新がさまざまなシステムレベルで必要となる場合は、この限りではない。このような場合、責任は組織に残る。クラウドプロバイダは、調達したサービスに応じて、ユーザーや技術スタッフにヘルプデスクやサポートを提供することも可能である。しかし、クラウドサービスと組織間のインターフェースを理解し、管理し、解釈するには、新たな能力が必要となる。組織は、データガバナンスや財務およびその他の取引の管理、データセキュリティに関する責任を外部委託することはできない。これには、クラウドプロバイダからのモニタリング情報やアラートの解釈も含まれる。また、多くの組織では、利用するサービスを変更することを選択している。これにより、特にクラウド・プロバイダが日常的に
1 Operations 1 運用
Immediately after implementation there may be a ‘teething’ period as it takes time for the requirements backlog to be addressed. Ongoing change management will be important through this period to assure users and to signpost any further changes to system interfaces or configuration. It is important for strong governance to be in place over the cloud provider and the in-house team. Thereafter the cloud environment is likely to be more dynamic, with a greater frequency and volume of changes and updates compared to an on-premises environment. The organisation will have less control over the acceptance of these updates, particularly with software as a service. 実装直後は、要件のバックログに対処するのに時間がかかるため、「慣らし運転」期間が必要となる可能性がある。この期間中は、ユーザーを安心させ、システム・インターフェースや構成に対する今後の変更を周知するために、継続的な変更管理が重要となる。クラウドプロバイダと社内チームに対して強力なガバナンスを確立することが重要である。その後、クラウド環境は、オンプレミス環境と比較して変更や更新の頻度や量がより多くなり、よりダイナミックになる可能性が高い。特にSaaS(Software as a Service)の場合、組織はこれらの更新の受け入れに対するコントロールが弱くなる。
2 Assurance 2 保証
Cloud providers typically offer assurance to their customers in the form of Service Organisation Controls (SOC) reports (see Appendix Three). Cloud providers commission independent auditors to write these reports to provide assurance on their processes and security arrangements. Management needs clarity on the assurance that these reports provide and where there may be controls gaps or areas where further assurance is needed. External auditors will also wish to have sight of these reports as part of the annual audit where they relate to cloud services supporting key systems and processes. クラウドプロバイダは通常、サービス組織統制(SOC)報告書(附属書3を参照)という形で顧客に保証を提供する。クラウドプロバイダは、自社のプロセスとセキュリティ対策に関する保証を提供するために、独立監査人にこれらの報告書の作成を依頼する。経営陣は、これらの報告書が提供する保証の内容と、統制の欠陥やさらなる保証が必要な領域がどこにあるかについて明確にする必要がある。外部監査人は、主要なシステムとプロセスをサポートするクラウドサービスに関連するこれらの報告書を、年次監査の一環として確認したいと考えるだろう。
3 Capability 3 機能
Moving functionality into cloud systems does not necessarily mean that there will be any significant efficiencies, and organisations may need more investment in terms of in-house capability. Simple cloud applications may make little difference to capability requirements. However, more complex integration work will need significant upfront resource to configure and implement, with a long tail thereafter to manage ongoing system improvements and updates. Integrating several different cloud services at the same time can be particularly challenging. 機能をクラウドシステムに移行しても、必ずしも大幅な効率化が実現するわけではない。組織は社内機能の面でさらなる投資が必要になる可能性がある。単純なクラウドアプリケーションでは、機能要件にほとんど変化がない場合もある。しかし、より複雑な統合作業では、設定と実装に多大な先行投資が必要となり、その後も継続的なシステム改善と更新の管理に長い時間がかかる。同時に複数の異なるクラウドサービスを統合することは、特に困難な場合がある。
Appendix One 附属書1
Cloud services – pricing models and legacy systems クラウドサービス - 価格モデルとレガシーシステム
Pricing models for cloud services  クラウドサービスの価格モデル
Cloud services have different pricing models to reflect the degree of certainty or flexibility organisations require or are willing to accept. Cloud providers can offer a variety of models, including one or more combinations of per-user pricing (with charges based on the number of users), tiered pricing (which offers a range of bundled packages with varying functionality), feature-based pricing (based on specific features or modules), pay as you go, freemium (where a basic version is available free with charges for premium features), flat pricing/subscription (with fixed monthly or annual fees), and free (free access with advertising).  クラウドサービスには、企業が求める確実性や柔軟性の度合いに応じて、さまざまな価格モデルが存在する。クラウドプロバイダは、ユーザーごとの価格設定(ユーザー数に応じた課金)、段階的価格設定(さまざまな機能を持つパッケージを組み合わせたもの)、機能ベースの価格設定( 特定の機能やモジュールに基づく)、従量制、フリーミアム(基本バージョンは無料で、プレミアム機能には料金がかかる)、定額制/サブスクリプション(月額または年額の固定料金)、無料(広告付き無料アクセス)など、さまざまなモデルを提供できる。
To get the best value out of cloud hosting/platforms (as opposed to the consumption of pre-built cloud application services), organisations should understand their requirements and select the model or combination of models which has the best fit with their needs.3 These include the following. クラウドホスティング/プラットフォーム(構築済みのクラウドアプリケーションサービスの利用とは対照的)から最大限の価値を引き出すには、組織は自らの要件を理解し、ニーズに最も適したモデルまたはモデルの組み合わせを選択すべきである。3 これには以下が含まれる。
•  Reserved instance: Organisations pay for guaranteed access to a defined level of capacity for a set period of time, whether or not they actually use it. This model is best suited to services that are stable and need to run continuously. It can be inefficient where usage is variable or unpredictable, as the lack of flexibility in this model commits an organisation to a level of spend that it cannot reduce. It can be combined with on-demand for handling peak loads. 予約インスタンス:組織は、実際に使用するかどうかに関わらず、一定期間に定義されたレベルの容量を保証されたアクセスに対して料金を支払う。このモデルは、安定しており、継続的に実行する必要があるサービスに最適である。このモデルでは柔軟性が欠如しているため、削減できない支出レベルに組織が拘束されることになり、使用量が変動したり予測できない場合には非効率的になる可能性がある。ピーク負荷を処理するためにオンデマンドと組み合わせることができる。
•  On‑demand: A ‘pay as you go’ option that charges for capacity as and when an organisation needs to use it, such as to support peaks in workload. It gives organisations the flexibility to start and stop using cloud resources without early termination fees or long-term commitment. To get the best value from this model, it is important for organisations to manage their usage diligently, for example, by not using capacity unnecessarily and by shutting down capacity that is no longer required. 
オンデマンド:
組織がワークロードのピーク時など、必要な時に必要な分だけ利用できる従量制のオプション。 早期解約料や長期契約を結ぶことなく、クラウドリソースの利用を開始したり停止したりできる柔軟性を提供している。 このモデルから最大限の価値を引き出すには、組織が利用状況を慎重に管理することが重要である。例えば、不必要な容量を使用しないことや、必要のなくなった容量を停止することなどである。
•  Spot instance: Cloud providers offer high discounts for the use of otherwise idle capacity in exchange for customers accepting that it may be taken away at very short notice (in some cases, less than a minute) if needed by another customer. This option best suits activities that are not critical or time-sensitive and can be paused (for example, development environments). It is not well suited to services that need to run continuously. スポットインスタンス:クラウドプロバイダは、他の顧客が必要とした場合、非常に短い通知期間(場合によっては1分未満)で取り消される可能性があることを顧客が了承することを条件に、それ以外では遊休状態にある容量の利用に対して大幅な割引を提供している。このオプションは、クリティカルなものではなく、時間的制約のない活動に最適であり、一時停止(例えば、開発環境)が可能である。継続的に実行する必要があるサービスにはあまり適していない。
Legacy systems レガシーシステム
Across the whole of government, ageing IT systems are a key source of inefficiency and create a major constraint to improving and modernising government services. These ageing systems are commonly referred to as ‘legacy’. However, it would not provide value for money to constantly replace all systems whenever a new need or a more effective technology is identified. Well-managed legacy systems deliver continuity of service, and there are circumstances where the lives of such systems can safely be extended. By ‘well-managed’, we mean that the system has been kept up to date and is still supported by the relevant vendors, and there are no significant security or data protection issues that need to be addressed. Having a cloud strategy does not equate to moving everything into the cloud indiscriminately. The Central Digital & Data Office (CDDO) Guidance on the Legacy IT Risk Assessment Framework sets out how organisations should assess their legacy technology.4 政府全体にわたって、老朽化したITシステムは非効率性の主な原因であり、政府サービスの改善と近代化の大きな障害となっている。これらの老朽化したシステムは一般的に「レガシー」と呼ばれている。しかし、新たなニーズやより効果的なテクノロジーが識別されるたびに、すべてのシステムを常に置き換えることは費用対効果の面で価値をもたらさない。適切に管理されたレガシーシステムはサービスの継続性を実現し、そうしたシステムの寿命を安全に延長できる状況もある。「適切に管理されている」とは、システムが最新の状態に保たれ、関連ベンダーによるサポートが継続されていることを意味し、また、セキュリティやデータ保護に関して対処が必要な重大な問題がないことを意味する。クラウド戦略を持つことは、無差別にすべてをクラウドに移行することと同義ではない。レガシーITリスクアセスメントフレームワークに関する中央デジタル・データオフィス(CDDO)指針では、組織がレガシー技術をどのようにアセスメントすべきかが示されている。4
3 According to the Cabinet Office, selecting the most appropriate approach for an organisation’s circumstances could yield discounts of between 60% and 80%.  3 内閣府によると、組織の状況に最も適したアプローチを選択することで、60%から80%の割引が得られる可能性がある。 
4 Central Digital and Data Office, Guidance on the Legacy IT Risk Assessment Framework, accessed 18 July 2024. 4 中央デジタル・データオフィス、レガシーITリスクアセスメントフレームワークに関する指針、2024年7月18日アクセス。
There are various options for dealing with legacy technology in the context of contemplating a move to cloud services. These options, which include the following, should be considered on a system-by-system basis rather than as a strict policy for all legacy technology. クラウドサービスへの移行を検討するにあたり、レガシー技術への対応にはさまざまな選択肢がある。これらの選択肢は、以下を含むが、これらに限定されるものではない。すべてのレガシー技術に厳格な方針として適用するのではなく、システムごとに検討すべきである。
•  Retain (do nothing): Where the system is not cloud-compatible but is otherwise working well and there is no strong business case for the cost and disruption of moving to an alternative. • 維持(現状維持):システムがクラウド対応ではないが、それ以外は問題なく稼働しており、代替システムへの移行に伴うコストや混乱を正当化できるだけのビジネス上の理由がない場合。
•  Retire: Where the system’s functions are either no longer required or can be incorporated into other applications. • 廃棄:システムの機能がもはや必要とされていないか、他のアプリケーションに組み込むことができる場合。
•  Repurchase (‘shop and drop’): Decommissioning the existing application and replacing it with its equivalent cloud-based version. In effect it is a change in licensing arrangements alongside the work required to move the service into the cloud. • 再購入(「ショップ・アンド・ドロップ」):既存のアプリケーションを廃止し、同等のクラウドベースのバージョンに置き換える。実質的には、ライセンス契約の変更と、サービスをクラウドに移行するために必要な作業である。
•  Rehost (‘lift and shift’): Moving the application from on-premises to the cloud with no or only minimal modification to adapt to the new environment. It means that the application is unlikely to be able to take advantage of cloud-specific features but may be the only feasible option where organisations do not have the ability to make the necessary changes themselves. This may be the case for commercial off-the-shelf applications or customised applications built using proprietary technology that imposes constraints. This option is sometimes called ‘moving without improving’. • リホスト(「リフト・アンド・シフト」):新しい環境に適応するために、アプリケーションをオンプレミスからクラウドへ、変更を加えずに、あるいは最小限の変更のみを加えて移行する。この方法では、アプリケーションがクラウド特有の機能を活用することはできないが、組織が自ら必要な変更を加える能力を持たない場合、唯一実行可能な選択肢となる可能性がある。これは、制約のある独自技術を使用して構築された市販のアプリケーションやカスタマイズされたアプリケーションの場合に該当する可能性がある。このオプションは、「改善せずに移行する」と呼ばれることもある。
•  Replatform (‘lift and shape’): Modifying and optimising the application for moving to the cloud, but not to the extent of significantly changing the core functions. • リプラットフォーム(「リフト・アンド・シェイプ」):クラウドへの移行のためにアプリケーションを修正および最適化するが、コア機能を大幅に変更するほどではない。
•  Refactor (rewrite): This is the most complex option and involves a major overhaul of the application. It is very time-consuming and resource-intensive but offers the greatest opportunity for making extensive use of cloud capabilities. • リファクタリング(書き直し):これは最も複雑なオプションであり、アプリケーションの大規模な再構築を伴う。非常に時間とリソースを要するが、クラウドの機能を最大限に活用できる可能性が最も高い。
The last four of these options will require the organisation to perform extensive testing to confirm the system operates satisfactorily in its new environment and that the migration has not introduced a lower quality of service. For example, while all expected functionalities may be present, the migrated system may run more slowly, or there could be an adverse impact on interfaces or other integrations such as robotic process automation. To compensate for this, an organisation may find it needs to pay the cloud provider for a higher level of performance or capability than the on-premises equivalent to stand still in terms of overall user experience. このオプションの最後の4つについては、組織が大規模なテストを実施し、システムが新しい環境で適切に動作し、移行によってサービスの質が低下していないことを確認する必要がある。例えば、期待通りの機能がすべて揃っていても、移行後のシステムは動作が遅くなる可能性がある。また、インターフェースやロボットプロセスオートメーションなどの他の統合機能に悪影響が及ぶ可能性もある。これを補うために、組織はクラウドプロバイダにオンプレミス環境と同等のパフォーマンスや機能よりも高いレベルのものを支払う必要があるかもしれない。そうしなければ、全体的なユーザーエクスペリエンスの面で現状維持が難しくなるからだ。
Appendix Two 附属書2
National Cyber Security Centre (NCSC) guidance 英国サイバーセキュリティセンター(NCSC)の指針
Working towards your cloud security – four steps クラウドセキュリティへの取り組み - 4つのステップ
The NCSC advises an approach based on the following four steps. Working through these in order will help organisations identify cloud services that are suitably secure for their intended use.5   NCSCは、以下の4つのステップに基づくアプローチを推奨している。これらのステップを順を追って進めることで、組織は意図する用途に適したセキュリティレベルのクラウドサービスを識別しやすくなる。5 
1  Know your business requirements.
1 ビジネス要求を理解する。
2  Choose a cloud provider that meets your needs. 2 ニーズを満たすクラウドプロバイダを選択する。
3  Use the cloud service securely. 3 クラウドサービスを安全に利用する。
4  Continue to monitor and manage the risks. 4 リスクのモニタリングと管理を継続する。
The NCSC outlines a lightweight approach to cloud security that sets out minimum expectations across data encryption, authentication and access control, security logging and incident management, and governance, but notes the full approach (as below) is still recommended for more sensitive systems.6 NCSCは、データ暗号化、認証、アクセス管理、セキュリティログ、インシデント管理、政府によるガバナンスなど、クラウドセキュリティに関する最低限の要件を定めた簡易なアプローチを概説しているが、より機密性の高いシステムには完全なアプローチ(下記)が推奨されるとしている。6
The 14 cloud security principles クラウドセキュリティの14原則
The 14 security principles that NCSC recommends organisations should use are summarised as follows.7  NCSCが推奨する、組織が使用すべき14のセキュリティ原則は以下の通りである。7
1 Data in transit protection: User data transiting networks should be adequately protected against tampering and eavesdropping. This can be achieved through a combination of network protection, authentication and encryption. 1 転送中のデータ防御:ネットワーク上を転送中のユーザーデータは、改ざんや盗聴から適切に防御されなければならない。これは、ネットワーク保護、認証、暗号化の組み合わせによって実現できる。
2 Asset protection and resilience: User data, and the assets storing or processing it, should be protected against physical tampering, loss, damage or seizure. Considerations include physical location, legal jurisdiction, data centre security, data encryption, data sanitisation, equipment disposal, and physical resilience and availability. 2 資産の防御とレジリエンシー: ユーザーデータおよびそれを保存または処理する資産は、物理的な改ざん、損失、損害、または押収から防御されなければならない。考慮すべき事項には、物理的な場所、法的管轄権、データセンターのセキュリティ、データの暗号化、データの消去、機器の廃棄、物理的なレジリエンスおよび可用性などがある。
3 Separation between customers: A malicious or compromised customer of the service should not be able to affect the service or data of another customer. The factors affecting this include the deployment model (public, private or community cloud), service model (infrastructure, platform or software as a service), and the level of assurance available over the design, implementation and operating effectiveness of the cloud provider’s separation controls. 3 顧客間の分離:悪意のある顧客や不正に侵入した顧客が、他の顧客のサービスやデータに影響を及ぼすことがあってはならない。これに影響する要因には、導入モデル(パブリック、プライベート、コミュニティクラウド)、サービスモデル(インフラ、プラットフォーム、ソフトウェア・アズ・ア・サービス)、およびクラウドプロバイダの分離制御の設計、実装、運用効果に対する保証レベルが含まれる。
4 Governance framework: The service provider should have a security governance framework that coordinates and directs its management of the service and information within it. 4 ガバナンスの枠組み:サービスプロバイダは、サービスとその中の情報の管理を調整し、指示するセキュリティガバナンスの枠組みを持つべきである。
5 Operational security: The service needs to be operated and managed securely to impede, detect or prevent attacks. The elements to consider are configuration and change management, vulnerability management, protective monitoring and incident management. 5 運用セキュリティ:サービスは、攻撃を妨害、検知、または防止するために、安全に運用および管理される必要がある。考慮すべき要素は、構成および変更管理、脆弱性管理、防御監視、インシデント管理である。
6 Personnel security: Where service provider personnel have access to data and systems, the customer needs a high degree of confidence in their trustworthiness. Thorough screening, supported by adequate training, can reduce the likelihood of accidental or malicious compromise by service provider personnel. 6 職員のセキュリティ:サービスプロバイダの職員がデータやシステムにアクセスできる場合、顧客は彼らの信頼性に対して高い信頼性を必要とする。適切な研修による徹底した審査は、サービスプロバイダの職員による偶発的または悪意のある侵害の可能性を低減することができる。
7 Secure development: Services should be designed and developed in a way that minimises and mitigates threats to their security. 7 安全な開発:サービスは、セキュリティに対する脅威を最小限に抑え、低減する方法で設計および開発されるべきである。
8 Supply chain security: The service provider should ensure that its supply chain satisfactorily supports all of the security principles which the service claims to implement. 8 サプライチェーンセキュリティ:サービスプロバイダは、そのサプライチェーンが、サービスが実施すると主張するセキュリティ原則のすべてを十分にサポートしていることを保証すべきである。
9 Secure user management: The provider should make tools available for customers to securely manage their use of the service. Management interfaces and procedures are a vital part of the security barrier, preventing unauthorised access and alteration of resources, applications and data. The key considerations are minimising permissions, a single and coherent access control mechanism, and time-bounded permissions. 9 安全なユーザー管理:プロバイダは、顧客がサービスを安全に管理するためのツールを利用できるようにすべきである。管理インターフェースと手順は、セキュリティ障壁の重要な一部であり、リソース、アプリケーション、およびデータの不正アクセスと改ざんを防止する。重要な考慮事項は、許可の最小化、単一かつ首尾一貫したアクセス管理メカニズム、および時間制限付きの許可である。
10 Identity and authentication: All access to service interfaces should be restricted to authenticated and authorised individuals. Authentication should take place over secure channels and employ strong methods such as two-factor authentication, certificates or secure federated identity. User names and passwords alone are weak and susceptible to compromise. 10 アイデンティティおよび認証:サービス・インターフェースへのすべてのアクセスは、認証および承認された個人に制限されるべきである。認証は安全なチャネルを介して行われ、2要素認証、証明書、または安全なフェデレーションIDなどの強力な方法を採用すべきである。ユーザー名とパスワードだけでは脆弱であり、危険にさらされる可能性が高い。
11 External interface protection: All external or less trusted interfaces of the service should be identified and appropriately defended. Services that accept connections over the internet from any worldwide location are more exposed to attack. 11 外部インターフェースの保護:サービスのすべての外部インターフェースまたは信頼性の低いインターフェースは識別され、適切に防御されるべきである。世界中のあらゆる場所からインターネット経由で接続を受け付けるサービスは、攻撃にさらされる可能性が高い。
12 Secure service administration: Systems used for administration of a cloud service will have highly privileged access to that service. Their compromise would have significant impact, including the means to bypass security controls and steal or manipulate large volumes of data. Customers should understand how the service provider is managing the service. 12 安全なサービス管理:クラウドサービスの管理に使用されるシステムは、そのサービスに対して非常に特権的なアクセス権を持つ。そのシステムが侵害されると、セキュリティ管理を回避して大量のデータを盗んだり操作したりする手段が得られるなど、重大な影響が生じる。顧客は、サービス・プロバイダがどのようにサービスを管理しているかを理解すべきである。
13 Audit information and alerting for customers: Customers should be provided with the audit records needed to monitor access to their service and the data held within it. The type of audit information available will have a direct impact on a customer’s ability to detect and respond to inappropriate or malicious activity within reasonable timescales. 13 顧客向け監査情報およびアラート:顧客は、サービスへのアクセスおよびその中に保管されているデータを監視するために必要な監査記録を提供されるべきである。利用可能な監査情報の種類は、顧客が妥当な時間枠内で不適切または悪意のある活動を検知し、対応する能力に直接的な影響を与える。
14 Secure use of the service: The security of cloud services and the data held within them can be undermined if customers use the service poorly. Consequently, customers will have certain responsibilities when using the service in order for their data to be adequately protected, for example, implementing the required services to interpret and act on data highlighting poor usage practices. 14 サービスの安全な利用:顧客がサービスを適切に使用しない場合、クラウドサービスおよびその中に保管されているデータのセキュリティが損なわれる可能性がある。したがって、顧客は、データを適切に防御するために、サービスを使用する際には一定の責任を負うことになる。例えば、不適切な使用実態を示すデータを解釈し、それに対応するための必要なサービスを導入するなどである。
5 National Cyber Security Centre, Cloud security guidance: Introduction to cloud security, accessed 18 July 2024. 5 国家サイバーセキュリティセンター、クラウドセキュリティ指針:クラウドセキュリティの序文、2024年7月18日アクセス。
6 National Cyber Security Centre, Cloud security guidance: Lightweight approach to cloud security, accessed 18 July 2024. 6 国家サイバーセキュリティセンター、クラウドセキュリティ指針:クラウドセキュリティへの軽量アプローチ、2024年7月18日アクセス。
7 National Cyber Security Centre, Cloud security guidance: The cloud security principles, accessed 18 July 2024. 7 国家サイバーセキュリティセンター、クラウドセキュリティ指針:クラウドセキュリティの原則、2024年7月18日アクセス。
Appendix Three 附属書3
Assurance arrangements: Service Organisation Controls (SOC) reports, Cyber Essentials and ISO 27001 保証契約:サービス組織統制(SOC)報告書、サイバーエッセンシャル、ISO 27001
Assurance over cloud providers can vary from self-certifications through to reports prepared by certified, independent assessors.  クラウドプロバイダに対する保証は、自己認証から認定を受けた独立評価者による報告書まで様々である。
Where assurance is provided, typically this is in the form of SOC reports.8 Cloud providers commission independent auditors to write these reports to provide assurance to customers on processes and security arrangements. There are three types. 保証が提供される場合、通常はSOC報告書の形式で提供される。8 クラウドプロバイダは、プロセスとセキュリティ対策について顧客に保証を提供するために、独立監査人にこれらの報告書の作成を依頼する。 3つのタイプがある。
•  SOC1: The focus is on transaction processing and IT general controls relevant to financial reporting. • SOC1:財務報告に関連する取引処理とIT全般統制に重点が置かれる。
•  SOC2: This covers wider operational controls over the IT environment and includes the auditor’s test procedures and results. • SOC2:これはIT環境におけるより広範な運用管理を対象とし、監査人のテスト手順と結果を含む。
•  SOC3: A shorter version of the SOC2 report that is placed in the public domain but omits the detail of the test procedures undertaken.  • SOC3:SOC2レポートの簡略版で、一般公開されるが、実施されたテスト手順の詳細は省略されている。
Organisations should understand what assurances they are, and are not getting from such reports and other certifications such as Cyber Essentials or ISO 27001.9,10 The level of assurance in practice may be less than might be assumed. 組織は、このようなレポートや、Cyber EssentialsやISO 27001などのその他の認証から、どのような保証が得られるのか、また得られないのかを理解しておくべきである。9,10 実際には、想定されるよりも保証のレベルが低い可能性もある。
•  Cyber Essentials focuses on simplicity of approach and aims to help a wide range of organisations assess and mitigate risks to their IT systems from the most common cyber security threats. Cyber Essentials relies on self-certification. While Cyber Essentials Plus is the externally assessed equivalent, it is not specifically targeted at any particular type of organisation and should not be regarded as a comprehensive audit of all technical controls operated by a cloud service provider. • サイバーエッセンシャルズは、アプローチの簡素化に重点を置いており、幅広い組織が、最も一般的なサイバーセキュリティの脅威からITシステムへのリスクをアセスメントし、低減することを支援することを目的としている。サイバーエッセンシャルズは自己認証に依存している。サイバーエッセンシャルズ・プラスは外部評価に相当するものであるが、特定のタイプの組織を対象としているわけではなく、クラウドサービスプロバイダが運用するすべての技術的コントロールの包括的な監査と見なすべきではない。
•  ISO 27001 is a management standard, rather than a security standard. While it provides an auditable framework for the management of information security, it does not provide a ‘gold standard’ for security, which, if implemented, would ensure the security of an organisation.  • ISO 27001は、セキュリティ標準というよりも、むしろ管理標準である。情報セキュリティ管理のための監査可能な枠組みを提供するものの、実装すれば組織のセキュリティを確実に保証できるような「ゴールドスタンダード」としてのセキュリティ標準ではない。
Organisations that fail to appreciate these considerations may in effect be outsourcing unknown levels of risk. In practice it can be difficult to get reports and assurances from cloud providers on a timely basis in order to hold them to account effectively. An approach may be needed that prioritises essential services. This is the approach adopted by GovAssure, which replaces the cyber security element of the Departmental Security Health Check (DSHC).11 GovAssure was introduced in 2023 to support the aim set out in the Government Cyber Security Strategy: 2022 to 2030 that all government organisations across the whole public sector should be resilient to known vulnerabilities and attack methods no later than 2030. こうした点を考慮しない組織は、実際には未知のレベルのリスクを外部委託している可能性がある。実際には、クラウドプロバイダに効果的に責任を負わせるために、適時に報告や保証を得ることは難しい場合がある。重要なサービスを優先するアプローチが必要となる可能性がある。これは、GovAssureが採用しているアプローチであり、これは、Departmental Security Health Check(DSHC)のサイバーセキュリティ要素を置き換えるものである。11 GovAssureは、2023年に導入され、政府サイバーセキュリティ戦略(2022年から2030年)で定められた目標、すなわち、2030年までに、公共部門全体にわたるすべての政府組織が既知の脆弱性および攻撃手法に対してレジリエンスを持つべきであるという目標をサポートするものである。
8 The content is prescribed in International Standard on Assurance Engagements (ISAE) 3402: Assurance Reports on Controls at a Service Organization (accessed 18 July 2024), issued by the International Federation of Accountants. This standard has not been adopted formally by the Financial Reporting Council for the UK but can be drawn upon for best practice. 8 国際会計士連盟が発行した国際保証業務基準(ISAE)3402:サービス組織における管理に関する保証報告書(2024年7月18日アクセス)に規定されている内容である。この標準は英国財務報告評議会によって正式に採用されたものではないが、ベストプラクティスとして活用できる。
9National Cyber Security Centre, About Cyber Essentials, accessed 18 July 2024. 9 国家サイバーセキュリティセンター、サイバーエッセンシャルについて(2024年7月18日アクセス)。
10   International Organization for Standardization, ISO/IEC 27001:2022, accessed 18 July 2024. 10 国際標準化機構、ISO/IEC 27001:2022、2024年7月18日アクセス。
11   Government Security, GovAssure, accessed 18 July 2024. 11 政府セキュリティ、GovAssure、2024年7月18日アクセス。
Appendix Four 附属書4
Other available guidance material その他の利用可能な指針資料
Our guidance on cloud is highly summarised and, as well as that from the National Cyber Security Centre (see Appendix Two), there are other complementary, more detailed guides on offer. クラウドに関する当社の指針は、非常に要約されたものであり、国家サイバーセキュリティセンター(附属書2を参照)によるものと同様に、補完的なより詳細な指針が他にも提供されている。
1 The Financial Conduct Authority (FCA) provides a guide for firms outsourcing to the cloud and other third-party IT services.12 This guidance helps firms to oversee the lifecycle of their outsourcing arrangements. This ranges from making the decision to outsource, selecting an outsource provider, and monitoring outsourced activities on an ongoing basis, through to exit. 1 金融行為規制機構(FCA)は、クラウドやその他のサードパーティITサービスにアウトソーシングする企業向けの指針を提供している。12 本指針は、企業がアウトソーシング契約のライフサイクルを監督するのに役立つ。これには、アウトソーシングの決定、アウトソーシングプロバイダの選定、継続的なアウトソーシング活動のモニタリング、そして終了までが含まれる。
2 The Competition and Markets Authority (CMA) investigation of the supply of public cloud infrastructure services in the UK has published a competitive landscape working paper that highlights a range of issues relating to cloud services, from a review of the main providers to customer switching and use of multi-cloud.13 2 英国におけるパブリッククラウドインフラサービスの供給に関する競争市場庁(CMA)の調査では、主要プロバイダのレビューから顧客の乗り換え、マルチクラウドの利用に至るまで、クラウドサービスに関連するさまざまな問題を浮き彫りにした競争状況に関するワーキングペーパーが発表されている。13
3 More specific guides and advice are available through subscription to research services such as Gartner.   3 ガートナーなどの調査サービスに加入すると、より具体的な指針やアドバイスを利用できる。
12   Financial Conduct Authority, FG16/5: Guidance for firms outsourcing to the ‘cloud’ and other third party IT services, accessed 18 July 2024. 12 金融行動監視機構、FG16/5:「クラウド」およびその他のサードパーティITサービスに業務委託する企業向け指針、2024年7月18日アクセス。
13   Competition & Markets Authority, Cloud services market investigation: Competitive landscape working paper, 23 May 2024, accessed 23 July 2024. 13 競争市場庁、クラウドサービス市場調査:競争状況に関するワーキングペーパー、2024年5月23日、2024年7月23日アクセス。

 

質問票...

Strategic assessment of cloud services クラウドサービスの戦略的アセスメント
1 Digital strategy 1 デジタル戦略
Are the priorities for the digital strategy set out? デジタル戦略の優先事項は明確になっているか?
• Does it start with the organisation’s needs, rather than being retrofitted to a high-level arbitrary decision to use a particular technology?  • 特定のテクノロジーを使用するという上層部の恣意的な決定に後付けするのではなく、組織のニーズから始まっているか?
• Does it align with wider cross-government initiatives, such as any moves to standardise on specific technologies or platforms? • 特定のテクノロジーやプラットフォームの標準化に向けた動きなど、政府横断的なより広範なイニシアティブと整合しているか?
• Is it being actively maintained and kept relevant to reflect both changing organisational needs and the evolution of technology and cloud services? • 組織のニーズの変化とテクノロジーおよびクラウドサービスの進化の両方を反映し、積極的に維持管理されているか?
Does the cloud strategy have an appropriate range of input? クラウド戦略には適切な範囲のインプットがあるか?
• Does it address commercial aspects, such as planning, negotiating and managing contractual relationships?  • 契約関係の計画、交渉、管理など、商業的な側面が考慮されているか?
• Does it address resourcing aspects such as recruitment, skills and development, both for an initial migration and for maintaining and optimising cloud services thereafter? • 初期の移行と、その後のクラウドサービスの維持および最適化の両方において、採用、スキル、開発などのリソースに関する側面が考慮されているか?
• Does it include provision for upskilling teams where • チームのスキルアップのための規定が含まれているか?
• Does it envisage establishing a centre of excellence that combines technical and commercial knowledge? • 技術的および商業的知識を組み合わせた卓越したセンターの設立を想定しているか?
• Does it reflect other essential aspects, such as the organisation’s need • 組織のニーズなど、その他の重要な側面を反映しているか?
• While thinking about moving to the cloud, has the business considered all aspects of the service end-to-end to determine how to implement the cloud-based service in a smarter, more secure and cost efficient manner, rather than just ‘lifting and shifting’ the existing service? • クラウドへの移行を検討するにあたり、企業は、既存のサービスを単に「持ち上げて移行」するのではなく、よりスマートで安全かつコスト効率の高い方法でクラウドベースのサービスを導入する方法を決定するために、サービスをエンドツーエンドで検討したか?
Have technical requirements been articulated? 技術的要件が明確にされているか?
• Has the organisation considered the most appropriate type of service and deployment model for each of its main activities? • 組織は、それぞれの主要な活動に対して最も適切なサービスと展開モデルを検討したか?
• Have technical lock-in considerations been factored into thinking around requirements? • 技術的なロックインに関する考慮事項は、要件に関する考察に組み込まれているか?
• Has integration between cloud hosting and customer ‘on premise’ environments been evaluated and planned for? • クラウドホスティングと顧客の「オンプレミス」環境との統合は評価され、計画されているか?
• Will connectivity be sufficiently fast and resilient for all users and locations from which cloud services will be accessed, especially with hybrid working? • クラウドサービスにアクセスするすべてのユーザーと場所に対して、特にハイブリッドな作業環境において、接続性は十分に高速でレジリエントか?
Have any specific features or legislative requirements been considered and identified? 特定の機能や法的要件は検討され、識別されているか?
• Are issues of both data sovereignty (UK-only data hosting) and data separation (isolation of organisation-held data to avoid its exposure to other customers) fully understood?  • データ主権(英国のみのデータホスティング)とデータ分離(他の顧客へのエクスポージャーを避けるための組織保有データの隔離)の両方の問題が十分に理解されているか?
• As suppliers increasingly incorporate new technologies such as artificial intelligence (AI) into their products and services, are the risks and benefits fully understood, including whether the organisation’s data might be accessed and used for AI training? • サプライヤーが人工知能(AI)などの新技術を製品やサービスに組み込むことが増えているが、組織のデータがAIのトレーニング用にアクセスされ、使用される可能性があるかどうかを含め、リスクとメリットが十分に理解されているか?
• Does the provider offer opt-outs from the incorporation of new features, such as AI, or does the customer have no such choice? • プロバイダは、AIなどの新機能の組み込みを拒否できるオプションを提供しているか、あるいは顧客にはそのような選択肢がないか?
Is there a strategy for dealing with legacy? レガシーシステムへの対応策はあるか?
• Has a plan for handling legacy systems been agreed? • レガシーシステムへの対応計画は合意されているか?
• Has the organisation thoroughly investigated the challenges involved in migration and configuration, such as moving a bespoke system onto a shared platform? • 特注システムを共有プラットフォームに移行するなど、移行や設定に伴う課題について、組織は十分に調査したか?
• Where legacy or unsupported technology is to remain on-premises or move to alternative hosting (such as Crown Hosting), has consideration been given to how it will connect and interact with services moving to the cloud? • レガシーシステムやサポートされていないテクノロジーを社内に残すか、あるいは代替のホスティング(Crown Hostingなど)に移行する場合、クラウドに移行するサービスとの接続や相互作用について検討されているか?
Will best practice be followed in respect of security? セキュリティに関してはベストプラクティスが採用されるか?
• Has the organisation set out how assurance will be gained in respect of the NCSC’s 14 cloud security principles (see Appendix Two)? • NCSCの14のクラウドセキュリティ原則(附属書2を参照)に関して、保証をどのように得るかについて、組織は計画を立てているか?
• Is there an in-depth plan for how cloud services will interface securely with existing services, systems and processes? • クラウドサービスが既存のサービス、システム、プロセスと安全にインターフェースする方法について、詳細な計画があるか?
2 Business case 2 ビジネスケース
Have costing models been considered to an appropriate level of detail? コストモデルは適切なレベルまで詳細に検討されているか?
• Have the different pricing models (pre-committing to guaranteed availability levels, pay as you go, excess capacity arrangements, etc.) been considered? • Are the implications of the move towards revenue expenditure rather than capital expenditure properly understood and reflected in the business case and budget profile?  • 異なる価格モデル(可用性レベルの保証をコミットする前の段階、従量制、余剰容量の取り決めなど)が検討されているか? 資本支出ではなく収益支出への移行の影響が適切に理解され、ビジネスケースおよび予算計画に反映されているか? 
• Is there clarity about which options and features are included with the different levels on offer? (For example, some basic plans may not offer the same security features as higher tier plans). • Is the frequency and volume of data storage, access and extraction understood in order to model and understand ongoing cost implications and avoid unexpected charges? • 提供される異なるレベルのオプションや機能について明確になっているか。(例えば、基本プランでは、上位プランと同じセキュリティ機能を提供していない場合がある。)継続的なコストへの影響をモデル化し、理解し、予期せぬ料金を回避するために、データの保存、アクセス、抽出の頻度と量について理解しているか。
• Does this include copying or extracting data from the cloud provider to alternative (provider independent) storage or between cloud providers (known as “data egress”)?  • クラウドプロバイダから代替(プロバイダ非依存)ストレージへの、またはクラウドプロバイダ間のデータコピーまたは抽出(「データエクセス」と呼ばれる)が含まれるか?
• Is the contractual basis for potential future increases in cloud provider charges understood, including those caused by currency exchange fluctuations, and the impact they could have on anticipated costs/benefits? • 為替レートの変動によるものも含め、クラウドプロバイダ料金の将来的な値上げの可能性についての契約上の根拠が理解されているか、また、予想される費用/利益にどのような影響があるか?
Have planned costs been subject to suitable scenario testing? 計画されたコストは適切なシナリオテストの対象となっているか?
• Does the organisation have a clear understanding of current service usage and how this is changing, or might change in the future? • 組織は現在のサービス利用状況と、その変化、あるいは将来的な変化について明確に理解しているか?
• Has the organisation considered whether everyone needs the same licence, or are higher tiers and associated functionality only required by a subset of ‘power’ users? • 組織は、全員が同じライセンスを必要としているのか、あるいは上位レベルのライセンスと関連機能は「パワーユーザー」の一部のみが必要としているのかを考慮したか?
• Has the organisation factored in any pan-government volume discounts that may be available? • 組織は、政府全体で適用されるボリュームディスカウントを考慮したか?
• Has it analysed the baseline (fixed) and potential variable costs in each of the different options and bundled packages? Does the expected usage include development and test environments as well as live services? • 異なるオプションやパッケージの組み合わせごとに、ベースライン(固定)コストと変動コストの分析を行ったか。想定される利用には、開発環境やテスト環境、本番サービスが含まれるか。
• Has the organisation considered the costs of a multi-zone architecture for resilience, from both a technical and commercial perspective? • レジリエンシーを高めるためのマルチゾーン・アーキテクチャのコストについて、技術面と商業面の両方の観点から検討したか。
• For multi-cloud deployments, has the organisation considered in detail the relative costs and benefits of running workloads on different services, considering the impact of committed spend discounts? • マルチクラウドの展開については、コミットした支出に対する割引の影響を考慮した上で、異なるサービス上でワークロードを実行した場合のコストと利益の相対的な関係について、組織は詳細に検討したか?
Will extra skills and capacity be needed? 追加のスキルや能力が必要になるか?
• Can the in-house team manage business case development, commercial negotiation, implementation, operations and assurance? • 社内チームは、ビジネスケースの開発、商談、実装、運用、保証を管理できるか?
• If consultants or contractors are required to implement systems, will in-house staff be able to build knowledge and capability alongside them (knowledge transfer)? • システムの実装にコンサルタントや請負業者の支援が必要な場合、社内スタッフは彼らとともに知識と能力を習得できるか(知識の伝達)?
• Has the organisation considered the use of mixed skills teams for new functions such as cloud cost optimisation? • クラウドコストの最適化など、新しい機能に対して混合スキルチームの活用を検討したか?
• What is the wider impact on the workforce and the cost of training and roll-out? • 従業員とトレーニングおよび展開コストへのより広範な影響は何か?
Has an appropriate time horizon been considered in the commercial model? 商業モデルにおいて適切な時間軸が考慮されているか?
• Has management ensured the inclusion of break clauses to prevent lock-in? • 経営陣はロックインを防ぐための解除条項の組み込みを確実にしているか?
• If implementation costs are high with highly tailored services, has management considered how this might weaken the negotiating position when the contracted term approaches expiry? • 高度にカスタマイズされたサービスで導入コストが高額になる場合、契約期間が満了に近づいた際に交渉上の立場が弱体化する可能性について、経営陣は考慮しているか?
• Has an assessment been made of the longer-term costs of such tailoring, and would a more standard implementation be a better option? • このようなカスタマイズの長期的コストについてアセスメントは行われているか?より標準的な導入がより良い選択肢ではないか?
3 Due diligence 3 デューデリジェンス
Will there be clear accountability between the organisation and the cloud provider? 組織とクラウドプロバイダの間で明確な説明責任が果たされるか?
• What oversight regime will the organisation have in regard to the cloud provider?  • 組織はクラウドプロバイダに関してどのような監督体制を取るか? 
• Does the cloud provider subcontract and, if so, how does it manage risks? • クラウドプロバイダは下請け業者に委託しているか、委託している場合はリスクをどのようにマネジメントしているか?
• Has the organisation undertaken sufficient due diligence? Will it mitigate the risk that, in the event of a data breach, it will be held liable as the data controller alongside the cloud provider as the data processor? • 組織は十分なデューデリジェンスを実施したか? データ侵害が発生した場合に、データ管理者としてクラウドプロバイダと共にデータ処理者として責任を問われるリスクを低減できるか?
Have the service features being promoted by the provider been verified? プロバイダが宣伝しているサービス機能は検証済みか?
• Has the organisation obtained views from other customers on how e • 組織は他の顧客からeコマースに関する意見を収集したか?
• How easily will the new service integrate with other systems? • 新しいサービスは他のシステムとどの程度簡単に統合できるか?
• Are some features listed as ‘beta’, meaning they could potentially be modified or withdrawn with little or no notice? • 一部の機能が「ベータ版」としてリストアップされている場合、それらの機能は予告なしに変更または廃止される可能性があることを意味する。
Are the terms of service well understood? サービス利用規約は十分に理解されているか?
• Is there scope for negotiation to meet organisation- specific needs, or are the terms of service provided ‘as is’ and therefore non-negotiable?  • 組織特有のニーズを満たすための交渉の余地はあるか、それとも「現状のまま」のサービス利用規約が提示され、交渉の余地はないのか? 
• Does the organisation have access to guidance and expertise on how to obtain the best out of terms that are negotiable? • その組織は、交渉可能な条件から最大限の利益を引き出す方法に関するガイダンスや専門知識にアクセスできるか?
• Are the capacity and availability guaranteed by the cloud provider sufficient for the organisation’s needs? • クラウドプロバイダが保証する容量と可用性は、その組織のニーズを満たすのに十分か?
• Does the organisation understand that negotiating an improved service level agreement (SLA) does not improve resilience if the solution is not engineered in a meaningfully different way to achieve that resilience? • ソリューションがレジリエンシーを達成するために有意義な方法で設計されていない場合、サービスレベルアグリーメント(SLA)の改善を交渉してもレジリエンシーは改善されないことを、その組織は理解しているか?
• Are the SLA and business continuity arrangements fully understood, including how quickly service is guaranteed to resume after an outage? • SLAと事業継続の取り決めは、サービス停止後の迅速なサービス再開の保証を含め、十分に理解されているか?
• Does the service come with inbuilt backup options, or are these paid extras? Would a third-party backup solution provide a better fit for the organisation?  • サービスには内蔵のバックアップオプションが含まれているか、それとも追加料金が必要か? サードパーティのバックアップソリューションの方が自社に適しているか? 
• Does the organisation understand the provider’s liability cap (particularly for smaller contracts) and the extent to which it is sufficient to cover the cost of any damage the organisation may suffer? • プロバイダの責任上限(特に小規模な契約の場合)と、それが自社が被る損害のコストをカバーするのに十分であるかについて、組織は理解しているか?
Is there clarity regarding where the provider’s infrastructure is physically situated, and in what jurisdiction(s) the organisation’s data is being held and accessed? プロバイダのインフラが物理的にどこに位置しているか、また、組織のデータがどの管轄区域で保管され、アクセスされているかについて明確になっているか?
• What assurances and guarantees are there on data residency and sovereignty? • データの所在および主権について、どのような保証および保証があるか?
• Are security or sovereignty constraints imposed by a parent department or other important stakeholders? (Cloud services are generally organised by region and not every service is necessarily available in every region.) • 親会社やその他の重要な利害関係者によってセキュリティや主権に関する制約が課されていないか?(クラウドサービスは一般的に地域ごとに組織化されており、すべてのサービスがすべての地域で利用できるとは限らない。
• If the provider has a UK data centre, what assurances does the organisation have that it will be used for the organisation’s own data, and/or covers all services that the organisation plans to use? Will this incur additional cost? • プロバイダが英国にデータセンターを所有している場合、そのデータセンターが自社のデータ用に利用されること、および/または、自社が利用を計画しているすべてのサービスをカバーすることを、その組織はどのように保証されているか? これによって追加コストが発生するか?
• If the provider has a UK data centre, what assurances does the organisation have that it will be used for the organisation’s own data, and/or covers all services that the organisation plans to use? Will this incur additional cost? • プロバイダが英国にデータセンターを所有している場合、そのデータセンターが自社のデータ用に利用されること、および/または、自社が利用を計画しているすべてのサービスをカバーすることを、その組織はどのように保証されているか? これによって追加コストが発生するか?
Does the provider have appropriate security accreditation and protocols? プロバイダは適切なセキュリティ認定およびプロトコルを保有しているか?
• What information security standards does the provider meet? • プロバイダはどのような情報セキュリティ標準を満たしているか?
• What measures are there to ensure strong security, including preventing unauthorised access? Are these measures part of the base licence, are they additional paid-for options, or are they left to the organisation to implement separately? • 不正アクセス防止を含む強固なセキュリティを確保するための対策は何か?これらの対策は基本ライセンスの一部か、追加の有料オプションか、または組織が別途実施するものか?
• What is the provider’s approach to proactive testing, and is there historical evidence of how they have responded to security issues? • プロバイダの積極的なテストへの取り組みはどのようなものか、また、セキュリティ問題への対応の実績はあるか。
Is there an understanding of what assurances are available from the provider? プロバイダからどのような保証が得られるか理解しているか。
• Do they cover all areas identified by the organisation as important (such as the NCSC’s 14 cloud security principles)? (See Appendix Two)  • 組織が重要と識別したすべての領域(NCSCの14のクラウドセキュリティ原則など)をカバーしているか。(附属書2を参照) 
• Are assurances based on self-certification or are independent validation reports available? (See Appendices Two and Three for further information) • 保証は自己認証に基づくものか、または独立した検証報告書が利用可能か?(詳細は附属書2および3を参照)
Does the organisation understand what security information will be supplied by the provider as part of the service? 組織は、サービスの一環としてプロバイダから提供されるセキュリティ情報がどのようなものか理解しているか?
• Does the provider undergo regular, independent assurance activities (such as penetration tests, external audits, Service Organisation Controls reports etc – see Appendix Three) and make the results readily available to customers? • プロバイダは、定期的に独立した保証活動(侵入テスト、外部監査、サービス組織統制報告書など - 詳細は附属書3を参照)を受け、その結果を顧客に迅速に提供しているか?
• Does the contract exclude any rights of access and audit? • 契約書には、アクセスや監査に関する権利が除外されていないか?
• Does the service provide sufficient logs or alerts to support how the organisation detects and responds to security incidents? • サービスは、組織がセキュリティインシデントを検知し対応する方法をサポートするのに十分なログやアラートを提供しているか?
• Are there sufficient in-house resources to understand and interpret the information and alerts being fed back in a timely and responsive way?  • フィードバックされる情報やアラートを理解し解釈するのに十分な社内リソースがあるか? 
• Does the provider operate their own security functions with whom the organisation can collaborate when investigating security incidents or seeking assurance?  • プロバイダは独自のセキュリティ機能を運用しており、セキュリティインシデントの調査や保証の取得に際して組織が連携できるか?
• oth internal and related to its external providers? • 内部および外部プロバイダに関連するものか?
4 Lock-in and exit strategy 4 ロックインと出口戦略
Has the organisation addressed technical lock‑in considerations? 組織は技術的なロックインの考慮事項に対処しているか?
• Does the strategy set expectations for how the trade-offs between value and portability will be assessed for each cloud service to determine the degree of lock-in considered acceptable? (The Central Digital & Data Office (CDDO) advises that many, although not all, of the cloud services that provide the most value are also the least portable.)  • 戦略では、各クラウドサービスについて、価値とポータビリティのトレードオフをどのようにアセスメントし、許容できると考えられるロックインの度合いを決定するのか、その見通しが立てられているか? (中央デジタル・データ事務局(CDDO)は、最も価値の高いクラウドサービスの多くは、同時に最もポータビリティが低い場合が多いと助言している。)
• Has the organisation set baseline expectations for what a disproportionately large switching cost might be for each service and overall collection of services with a particular provider? • 組織は、特定のプロバイダの各サービスおよびサービス全体について、不釣り合いなほど大きな切り替えコストがどの程度になるかについての基本的な期待値を設定しているか?
Has the organisation considered cloud concentration risk? 組織はクラウドの集中リスクを考慮しているか?
• Have alternative cloud providers been considered? • 代替のクラウドプロバイダは検討されているか?
• Are the advantages and disadvantages of multi-cloud versus si • マルチクラウドとシングルクラウドのメリットとデメリットは明確になっているか
• Is there a clear articulation of the benefits of using a single provider where this is • 単一のプロバイダを使用することのメリットが明確に説明されているか
• Have the risks of cloud provider errors or failures been modelled and mitigated? • クラウドプロバイダのエラーや障害のリスクがモデル化され、低減されているか
• Is the cloud service optimised to meet the organisation’s required levels of resilience? • クラウドサービスは、組織が求めるレジリエンシーのレベルを満たすよう最適化されているか
• Has the Cabinet Office been consulted, especially where services form part of the Critical National Infrastructure? • 特にサービスが国家の重要なインフラの一部である場合、内閣府に相談したか
Is there a well‑defined approach to data access and retrieval? データへのアクセスと取得に関する明確なアプローチがあるか
• Has the organisation undertaken an assessment of the costs and barriers to retrieving its data in a format suitable for migration to another service? (The degree of effort and expense to move to a new provider should not be underestimated, and the risk is most acute with software as a service.)  • 別のサービスへの移行に適した形式でデータを取得するためのコストと障壁について、組織はアセスメントを行ったか?(新しいプロバイダへの移行に要する労力と費用を過小評価すべきではない。SaaS(Software as a Service)ではリスクが最も深刻である。)
• Are there contractual mechanisms to ensure the provider will supply the organisation’s data in an agreed electronic format for alternative back-up arrangements, or migration to another provider?  • プロバイダが、代替のバックアップ体制や別のプロバイダへの移行のために、合意した電子形式で組織のデータを確実に提供することを保証する契約上の仕組みはあるか? 
• Are the actual mechanics of how the data will be extracted sufficiently clear from the outset 
データが実際にどのように抽出されるのか、当初から十分に明確になっているか
Is there an exit strategy? 撤退戦略はあるか
• Have issues of potential lock-in as a consequence of deep integration with the native capabilities of a specific provider been considered? What impact would exiting have on the skills required when moving from one cloud provider’s technology to another? • 特定のプロバイダのネイティブ機能と深く統合した結果、ロックインされる可能性があるという問題は考慮されているか?クラウドプロバイダのテクノロジーを別のものに変更する際に必要なスキルに、撤退がどのような影響を与えるか
• Is there a good analysis and understanding of the trade-offs between regulatory, commercial and technical considerations of exiting from one cloud provider to another? And is there a more detailed exit plan that assesses the specific steps needed to exit, the risks to be mitigated, the time it would take and how it would be managed on an orderly service-by-service basis? • クラウドプロバイダから別のプロバイダへの乗り換えに関する規制、商業、技術的な考慮事項のトレードオフについて、適切な分析と理解がなされているか。また、乗り換えに必要な具体的なステップ、低減すべきリスク、かかる時間、サービスごとの秩序ある管理方法などを評価する、より詳細な乗り換え計画があるか。
• Has a plan been developed for exiting from the cloud, whether to another cloud provider, on-premises, or just discontinuation of the service? Is it costed and validated so it can stand the test of time? • クラウドからの撤退計画は策定されているか。他のクラウドプロバイダへの移行、オンプレミスへの移行、あるいはサービスの廃止のいずれかであるか。その計画は、長期的なテストに耐えられるよう、コスト計算され、検証されているか。
• If the plan is to switch to an alternative provider, has an assessment been made of the need to operate multiple cloud services in parallel, with a period of dual running, while the migration takes place? • 代替プロバイダへの移行を計画している場合、移行期間中は並行して複数のクラウドサービスを運用する必要があるか、また、並行稼働期間はどの程度か、アセスメントは行われているか。
• How mature are the standards, tools and techniques involved in moving services from one cloud provider to another? • サービスをクラウドプロバイダから別のプロバイダに移行する際に使用される標準、ツール、および技術はどの程度成熟しているか?
• What experience does the organisation have internally with managing a migration from one provider to another? • 組織は、プロバイダ間の移行管理について社内でどのような経験があるか?
• Will such a migration ensure that the organisation can continue to meet its obligations under the Public Records Act to preserve and make records available? • このような移行により、記録の保存と公開に関する公文書法に基づく義務を組織が引き続き果たせることを確実にできるか?
Implementation of cloud services クラウドサービスの導入
1 System configuration 1 システム構成
Is there a strong governance and project management plan in place? 強力なガバナンスとプロジェクト管理計画が実施されているか?
• Is there an identified owner of the implementation process?  • 実装プロセスのオーナーが識別されているか?
• What commitment is there from the provider to work collaboratively on systems configuration? • プロバイダはシステム構成について協調的に取り組むというコミットメントを示しているか?
• Is there a full range of senior representatives from across the relevant areas of the organisation involved in programme governance? • プログラムのガバナンスには、組織の関連分野から上級代表者がすべて参加しているか?
• Is it clear which roles and responsibilities the organisation has and which roles and responsibilities the provider has? • 組織とプロバイダの役割と責任が明確になっているか?
Have infrastructure, applications and data been prepared for the move? インフラ、アプリケーション、データは移行の準備ができているか?
• If legacy data is poor quality, should it be transferred in its existing state into the new system, or cleansed and improved first? • レガシーデータが低品質である場合、そのデータをそのまま新しいシステムに移行すべきか、それともクレンジングや改善を先に行うべきか?
• Are other systems sufficiently up to date to integrate with the new cloud service? • 他のシステムは、新しいクラウドサービスと統合するのに十分な最新の状態になっているか?
Is the organisation following • configuration best practice? 組織は、構成のベストプラクティスに従っているか?
• Is the move to the cloud being clearly documented • to ensure that any changes, for example, in data categories or business processes, are understood?  • クラウドへの移行は、データカテゴリーやビジネスプロセスの変更などを確実に理解できるように、明確に文書化されているか? 
• Has pre-implementation testing been completed and documented prior to go-live?
実稼働前に実装前のテストが完了し、文書化されているか?
• Are configurations and customisations fully documented in a way that can be understood by someone not involved in the original implementation?
実装に関与していない者にも理解できる形で、設定およびカスタマイズが完全に文書化されているか?
Is the organisation overly reliant on third‑party resource? 組織はサードパーティのリソースに過度に依存していないか?
• Is there sufficient continuity in the in-house team to maintain a robust corporate memory?
企業内のチームに、強固な企業記憶を維持するのに十分な継続性があるか?
• Will the post-implementation in-house team understand how the system has been configured?
実装後の企業内のチームは、システムがどのように設定されているかを理解しているか?
• Is there documented guidance in place?
文書化された指針が整備されているか?
2 Risk and security 2 リスクとセキュリティ
Are technical risks covered with clear responsibilities and mitigating actions? 技術的なリスクは明確な責任と低減策によってカバーされているか?
• Has the organisation put an agreement and action plan in place to cover risks such as resource exhaustion, isolation failure, threats from insiders, interface compromise, data interception, data leakage, insecure data deletion, denial of service (DoS) attacks, ransomware, and loss of encryption keys? • 組織は、リソースの枯渇、分離の失敗、内部関係者からの脅威、インターフェースの侵害、データの傍受、データ漏洩、安全でないデータ削除、サービス拒否(DoS)攻撃、ランサムウェア、暗号化キーの紛失などのリスクをカバーする契約と対応計画を策定しているか?
• Are key personnel aware of the steps they need to take in the event of different kinds of security breach? • 重要な職員は、さまざまなセキュリティ侵害が発生した場合に取るべき手順を理解しているか?
• Have these steps been practised? • これらの手順は実践されているか?
Does the organisation have the capacity and capability to analyse security data made available by the cloud provider? クラウドプロバイダから提供されるセキュリティデータを分析する能力と能力が組織にあるか?
• Is it clear who in the organisation is responsible for reviewing this data and the timeframe within which they should do so? • このデータをレビューする責任者は誰か、またそのレビューを行うべき期間は明確になっているか?
• Do they know how to act on any warnings and alerts contained within the data? • データに含まれる警告やアラートに対してどのように対応すべきか理解しているか?
• Are lines of responsibility between digital services/IT teams and information security teams clear? • デジタルサービス/ITチームと情報セキュリティチーム間の責任の所在は明確になっているか?
• Have the costs of obtaining any additional skills needed been considered? • 必要な追加スキルの習得にかかる費用は考慮されているか?
• Has the organisation assessed the reputational risk of a data breach arising from a failure to act on warning signs that should have been heeded? • 警告サインを見逃したために発生したデータ漏洩のレピュテーションリスクについて、組織はアセスメントを行っているか?
Are the required legal and policy agreements in place? 必要な法的およびポリシー上の合意は整っているか?
• Do contracts cover data protection risks, licensing risks and changes of jurisdiction? • 契約はデータ防御リスク、ライセンスリスク、管轄変更をカバーしているか?
• Are the software licensing implications fully understood? • ソフトウェアライセンスの関連事項は完全に理解されているか?
• Are there policies in place to cover key vulnerabilities such as vendor lock-in, governance, compliance, and reputational risks, or supply chain failures? • ベンダーロックイン、ガバナンス、コンプライアンス、レピュテーションリスク、サプライチェーンの障害などの主要な脆弱性をカバーするポリシーが策定されているか?
Have business continuity plans been updated? 事業継続計画は更新されているか?
• Is the organisation prepared for a range of scenarios for service outage? • サービス停止のさまざまなシナリオに備えているか?
• How frequently will plans be tested to ensure they work and to apply any lessons learned? • 計画が確実に機能し、得られた教訓を適用できるよう、どの程度の頻度でテストを行うか?
• Has the organisation considered resilience requirements in case of a failure in one zone/region of the cloud provider and the option to shift to another zone/region? • クラウドプロバイダの1つのゾーン/地域で障害が発生した場合のレジリエンシー要件、および別のゾーン/地域への移行オプションについて、組織は検討しているか?
Are plans in place to cover the event of data loss? データ損失が発生した場合の計画は策定されているか?
• Is key data covered by a syste • 重要なデータはシステムによってカバーされているか?
• Are the provider’s backup arrangements sufficient, or are third-party solutions required? • プロバイダのバックアップ体制は十分か、それともサードパーティのソリューションが必要か?
• Are data backups maintained in a safe location outside of the cloud provider’s services to guard against unforeseen failures, and to mitigate risks such as ransomware attacks? • データバックアップは、予期せぬ障害に備え、ランサムウェア攻撃などのリスクを低減するために、クラウドプロバイダのサービス外の安全な場所で管理されているか?
• Are there plans in place to support ongoing business operations in the event of data being lost or compromised? • データが損失または侵害された場合に、継続中の事業運営をサポートする計画はあるか?
• Are data backups and service continuity or recovery arrangements regularly tested? • データバックアップとサービス継続または復旧の体制は定期的にテストされているか?
• Have clear lines of responsibility, management and communication been established for handling the impact of data loss or a data breach? • データ損失またはデータ侵害の影響に対処するための明確な責任、管理、コミュニケーションの体制が確立されているか?
Are there adequate plans for technical and user acceptance testing? 技術面およびユーザー受容テストのための適切な計画があるか?
• Has the organisation identified all relevant business scenarios for inclusion in testing, and defined thresholds for acceptable deviations or other issues with acceptance? • テストに含めるべき関連するビジネスシナリオをすべて識別し、許容できる逸脱や受容に関するその他の問題の閾値を定義しているか?
• Has testing been completed, and does it demonstrate that users are able to complete all required tasks without encountering system errors?  • テストは完了しており、ユーザーがシステムエラーに遭遇することなく、必要なすべてのタスクを完了できることを実証しているか?
• Have non-functional requirements, such as the need to operate under high levels of user demand to an acceptable level of performance, been fully tested? • 高いレベルのユーザー需要を許容できるレベルのパフォーマンスで処理する必要性など、非機能要件は十分にテストされているか?
Have privileged accounts been secured? 特権アカウントは安全に保護されているか?
• Are administrator and service accounts (that is, accounts used by the system itself rather than individuals) secured appropriately? • 管理者およびサービスアカウント(すなわち、個人ではなくシステム自体が使用するアカウント)は適切に保護されているか?
• Are privileged accounts properly managed and monitored to avoid the granting of excessive permissions, or granting of power to a single account without adequate governance and technical controls? • 特権アカウントは、過剰な権限の付与や、適切なガバナンスや技術的統制のない単一アカウントへの権限付与を回避するために、適切に管理および監視されているか?
• Have service accounts been checked to ensure they do not inadvertently have greater permissions than required, for instance, the ability to delete an entire database when all that is needed is permission to read and write? • サービスアカウントが、必要以上に高い権限を誤って付与されていないか確認されているか。例えば、読み取りと書き込みの権限のみが必要であるのに、データベース全体を削除できる権限が付与されていないか。
3 Implementation 3 実装
Have key stakeholders been engaged through a comprehensive change management strategy? 包括的な変更管理戦略を通じて、主要な利害関係者が関与しているか。
• Does the organisation have adequate plans to provide training, on-going support, and coaching for users before, during and after implementation, appropriate for the service(s) chosen? • 実装の前後および実装中に、選択したサービスに適したトレーニング、継続的なサポート、およびユーザーへのコーチングを提供する適切な計画が組織にあるか。
• Does the implementation programme have an effective governance structure to prioritise the backlog of requirements? • 実装プログラムには、未処理の要件に優先順位を付けるための効果的なガバナンス構造があるか?
Are contingency plans in place to manage implementation issues? 実装上の問題に対処するための緊急時対応計画は策定されているか?
• If the organisation is relying on third parties, will it have sufficient control over them? • 組織がサードパーティに依存している場合、それらを十分に管理できるか?
• Do the organisation’s existing systems represent a “burning platform” and would they be able to continue indefinitely until implementation issues are resolved? • 組織の既存のシステムは「燃えるプラットフォーム」であり、実装上の問題が解決するまで無期限に継続できるか?
Are there adequate plans for technical and user acceptance testing? 技術面およびユーザー受入テストのための適切な計画があるか?
• Has the organisation identified all relevant business scenarios for inclusion in testing, and defined thresholds for acceptable deviations or other issues with acceptance? • 組織は、テストに含めるべき関連するビジネスシナリオをすべて識別し、許容できる逸脱やその他の受容に関する問題の閾値を定義したか?
• Has testing been completed, and does it demonstrate that users are able to complete all required tasks without encountering system errors? • テストは完了しており、ユーザーがシステムエラーに遭遇することなく、すべての必要なタスクを完了できることを実証しているか?
• Have non-functional requirements, such as the need to operate under high levels of user demand to an acceptable level of performance, been fully tested? • 許容できるパフォーマンスレベルで、高いレベルのユーザー需要に対応する必要性など、非機能要件は十分にテストされているか?
Management and optimisation of cloud services クラウドサービスの管理と最適化
1 Operations 1 運用
Is there effective governance to prioritise the removal of any temporary workarounds? 一時的な回避策の排除を優先する効果的なガバナンスはあるか?
• Are the priorities clear, shared and bought into by all concerned? • 優先事項は明確で、関係者全員に周知され、理解されているか?
• Are there any integration issues still outstanding that expose security weaknesses? • セキュリティ上の弱点を露呈する統合上の問題がまだ残っていないか?
• Is information being manually exported to other systems and are there plans to automate this? • 情報は手動で他のシステムにエクスポートされているか?また、自動化する計画はあるか?
Is there clear oversight over what the cloud providers are planning? クラウドプロバイダの計画は明確に把握されているか?
• Is the cloud provider being transparent over their plans to release new features and upgrades to their systems? • クラウドプロバイダは、システムの新機能やアップグレードのリリース計画について透明性を確保しているか?
• Is the organisation able to influence the cloud provider to prioritise the developments they would value, or the retention of features they would not wish to see discontinued? • 組織は、クラウドプロバイダに、自分たちが重視する開発や、廃止されたくない機能の維持を優先させるよう影響力を及ぼすことができるか?
• Is the organisation assessing the impact of planned changes on the business, including whether the original business case benefits continue to be achieved? • 組織は、当初のビジネスケースのメリットが引き続き達成されるかどうかを含め、計画された変更がビジネスに与える影響をアセスメントしているか?
Are arrangements clear for system changes, upgrades and patches? システム変更、アップグレード、パッチの適用に関する取り決めは明確になっているか?
• Does the in-house team have the capacity and expertise to manage any changes they will be required to make?  • 社内チームは、必要となる変更を管理する能力と専門知識を備えているか? 
• Will the team have sufficient time to test any changes in a ‘sandbox’ before being required to release them into the live service?  • チームには、変更を本番サービスにリリースする前に「サンドボックス」でテストする十分な時間があるか?
• Will the team be able to prevent new features, such as artificial intelligence (AI), being deployed by a cloud provider until they have had time to assess their technical, security and legal implications? • チームは、人工知能(AI)などの新機能がクラウドプロバイダによって展開される前に、技術面、セキュリティ面、および法務面での影響をアセスメントする時間を確保できるか?
Is there sufficient capability to take advantage of the reporting functionality? レポート機能を活用するのに十分な能力があるか?
• Will the in-house team continue to be dependent on third-party support to manage key reporting and system processes? • 社内チームは、主要なレポート作成やシステムプロセスを管理するために、引き続きサードパーティのサポートに依存することになるだろうか?
• Have relevant logging and auditing functions been turned on to provide tracking information? • 関連するログ記録や監査機能が有効になっており、追跡情報を提供できるだろうか?
• Does the team have the expertise to interpret and act on the data? • チームには、データを解釈し、それに基づいて行動する専門知識があるだろうか?
Is the organisation monitoring its usage of the cloud to confirm that it is getting the best value? 組織は、クラウドの利用状況を監視し、最適な価値を得ていることを確認しているだろうか?
• Does this monitoring include the development environment as well as live services? • この監視には、開発環境だけでなく、稼働中のサービスも含まれているだろうか?
• Does it ensure that new cloud instances and services are only set up where there is a necessary business requirement? • 新しいクラウドインスタンスやサービスは、必要なビジネス要件がある場合のみに設定されているか?
• Are they being set up in the most efficient way, and shut down again when the business need has been satisfied?  • 最も効率的な方法で設定され、ビジネスニーズが満たされた時点で停止されているか?
• Is there a regular review to ensure that the pricing model continues to be the best fit for the organisation’s needs? • 価格設定モデルが組織のニーズに最適な状態を維持していることを確認するための定期的な見直しが行われているか?
• Is the organisation taking advantage of any available free optimisation advice and solutions from the cloud provider? • クラウドプロバイダが提供する無料の最適化アドバイスやソリューションを利用しているか?
2 Assurance 2 保証
Does management understand the general scope and limitations of the different types of SOC reports? 経営陣は、SOCレポートの各種タイプにおける一般的な範囲と限界を理解しているか?
• Is assurance required to cover financial reporting (SOC1) or wider operational controls (SOC2)? Is a publishable public-facing report (SOC3) needed?  • 保証は、財務報告(SOC1)またはより広範な運用管理(SOC2)を対象とする必要があるか?公開可能な顧客向けレポート(SOC3)が必要か?
• Do available reports provide an assessment of both cloud provider(s) and the organisation itself (to reflect the shared responsibility model and ensure no potential gaps between areas of assurance and accountability)? • 利用可能なレポートは、クラウドプロバイダ(複数可)と組織自体の両方のアセスメントを提供しているか(共有責任モデルを反映し、保証と説明責任の領域に潜在的なギャップがないことを確認するため)?
Is management clear on the scope of controls tested, the extent of testing and the assurance given? 管理部門は、テストされた統制の範囲、テストの程度、および付与された保証について明確に理解しているか?
• Is the service auditor a recognised firm? • サービス監査人は、信頼のおける企業か?
• What additional controls or assurance are needed to cover internal processes and systems? • 内部プロセスおよびシステムをカバーするために、どのような追加の統制や保証が必要か?
• If there are weaknesses or gaps in the cloud provider’s controls, are there additional steps that management should take to strengthen internal controls? • クラウドプロバイダの統制に弱点やギャップがある場合、内部統制を強化するために管理部門が追加で実施すべきステップはあるか?
Do SOC reports give assurance on the success of operational controls over time? SOCレポートは、運用統制の継続的な成功を保証しているか?
• Are SOC2 reports available which test the controls over time rather than simply documenting them?  • 単に文書化するだけでなく、長期間にわたって統制をテストするSOC2レポートは入手可能か?
• Does management have a way of monitoring any changes in key controls between reports?  • 経営陣は、レポート間の主要統制の変更を監視する方法を持っているか?
Are SOC reports frequent enough to keep pace with continuous improvement? • 継続的な改善に対応できる頻度でSOCレポートは発行されているか?
• Is there a mechanism in place to allow management to continuously monitor compliance with key controls? • 経営陣が主要統制の継続的な遵守を監視できる仕組みがあるか?
• Is there a trigger clause to oblige the cloud provider to obtain a new report if it makes significant changes to its systems or controls? • クラウドプロバイダがシステムや統制に大幅な変更を加えた場合、新しいレポートを取得することを義務付けるトリガー条項があるか?
Does management carefully scrutinise SOC report findings? 経営陣はSOCレポートの調査結果を慎重に精査しているか?
• Even if the report gives an ‘unqualified opinion’, are there any exceptions noted?  • レポートが「無限定適正意見」を表明している場合でも、例外事項が記載されていないか?
• What is the quality of the cloud provider’s responses to any exceptions raised? • 例外事項が指摘された場合、クラウドプロバイダの対応の質はどうか?
• Does management acknowledge that, while the organisation may outsource procedures or services, it cannot outsource responsibility for the control environment, and that outsourcing extends the scope of management’s responsibilities for gaining assurance over data, transactions and controls operated on their behalf by others? • 経営陣は、組織が手続きやサービスを外部委託することはできても、統制環境に対する責任を外部委託することはできないことを認識しているか。また、外部委託により、他者によって代行されるデータ、取引、統制に対する保証を得るための経営陣の責任の範囲が拡大することを認識しているか。
• How has the organisation checked it has not accidentally exposed document storage to unintended public access? • 組織は、文書保管が意図しない一般公開に誤ってさらされていないことをどのように確認しているか。
3 Capability 3 能力
Will the organisation retain the necessary technical knowledge post‑implementation? 組織は、実装後に必要な技術的知識を維持できるか。
• What ongoing knowledge will there be of any legacy systems and how they interface with new cloud systems?  • どのようなレガシーシステムに関する継続的な知識があり、それらが新しいクラウドシステムとどのようにインターフェースしているか?
• What plans are there for knowledge transfer from the cloud provider pre- and post-migration? • クラウドプロバイダから移行前および移行後に知識を移転する計画は何か?
• How is knowledge sharing operating with the cloud provider? • クラウドプロバイダとの知識共有はどのように行われているか?
• Will documentation be routinely maintained and provided to track configuration changes and customisations? • 構成変更やカスタマイズを追跡するために、文書は定期的に維持され、提供されるか?
• Is there a learning plan to keep users and administrators up to date with changes and developments? • ユーザーと管理者に変更や進展を最新の状態に保つための学習計画はあるか?
Does the technical team have the capability to take full advantage of the cloud systems? 技術チームはクラウドシステムのメリットを最大限に活用できる能力を備えているか?
• Is specific training arranged for different cloud provider systems (which may have widely varied data structures and technical requirements)? • 異なるクラウドプロバイダのシステム(データ構造や技術要件が大幅に異なる場合がある)に対応する特別なトレーニングが用意されているか?
• Do teams responsible for legacy systems (such as business intelligence reporting, third-party payroll, or fixed asset modules) have the capability to manage the interfaces with the cloud system? • レガシーシステム(ビジネスインテリジェンスレポート、サードパーティの給与計算、固定資産管理モジュールなど)を担当するチームは、クラウドシステムとのインターフェースを管理する能力を備えているか?
Will there be sufficient capability to manage updates, downtime, and system changes? アップデート、ダウンタイム、システム変更を管理するのに十分な能力があるか?
• Will the organisation retain people who understand the cloud system configuration and can manage changes and continuous improvement? • クラウドシステムの構成を理解し、変更や継続的な改善を管理できる人材を組織内に確保できるか?
• Will the technical team be able to effectively monitor planned cloud system updates and understand the organisational impacts? • 技術チームは、計画されたクラウドシステムのアップデートを効果的に監視し、組織への影響を理解できるか?
Will there be sufficient commercial and legal capacity to challenge on value for money and compliance? 費用対効果やコンプライアンスについて、十分な商業的・法的対応能力があるか?
• Is there a thorough understanding of providers’ pricing structures, including across areas such as compute, storage and retrieval, and data egress (transfer out) as well as the way services may be bundled or tied together? • プロバイダの価格体系について、コンピューティング、ストレージ、検索、データ転送(転送)などの分野全体にわたって、また、サービスがどのようにバンドルまたは結合される可能性があるかについても、十分に理解しているか?
• Will the commercial team have sight of the usage of cloud systems through monitoring tools? • 営業チームは、モニタリングツールを通じてクラウドシステムの使用状況を把握できるか?
• Will they be able to understand and interrogate th • また、それらを理解し、調査することができるか?
• Will there be legal capacity to support the technical team if there are breaches of service level agreements (SLAs)? • サービスレベル契約(SLA)に違反があった場合、技術チームをサポートする法的能力があるか?
Is there sufficient base‑level stakeholder capability to optimise cloud system usage? クラウドシステムの使用を最適化するのに十分な基本レベルの利害関係者の能力があるか?
• Are system users taking advantage of the opportunities and features available? • システムユーザーは、利用可能な機会や機能を活用しているか?
• Is there a training plan in place to keep users up to speed with changes and induct new users? • ユーザーに変更を周知し、新規ユーザーを導入するためのトレーニング計画があるか?
• Do decision-makers have sufficient understanding of cloud capabilities to engage effectively? • 意思決定者は、効果的に関与するためにクラウドの能力を十分に理解しているか?
Does the organisation have access to skills and knowledge of a broad range of technical solutions? 組織は、幅広い技術的ソリューションのスキルや知識にアクセスできるか?
• Is this sufficient to maintain a perspective of the cloud market and of technologies becoming available? • クラウド市場や利用可能になるテクノロジーの展望を維持するのに十分な体制が整っているか?
• Is external capability needed to support and/or train up internal resources? • 社内リソースのサポートやトレーニングに外部の能力が必要か?
• Will recruitment and training cover more general cloud skills as well as specific cloud platforms? • 採用やトレーニングは、特定のクラウドプラットフォームだけでなく、より一般的なクラウドスキルもカバーするか?

 

 

| | Comments (0)

IPA セキュリティ要件適合評価及びラベリング制度(JC-STAR)のページを開設

こんにちは、丸山満彦です。

IPAが、セキュリティ要件適合評価及びラベリング制度(JC-STAR)のウェブページを開設しましたね...

ロゴは、

Logo_only

ラベルは、

Logo_label

★1から★4まで定めることになっていますが、まずは、★1からですかね...

制度については、IPAのウェブページで詳細に書いていますので、そちらから...

 

この制度の課題は、国際連携だと思います。

欧州、米国、中国、それぞれが、それぞれの思惑で、それぞれの制度をつくっているようにも見えるので、これをどう相互承認のような形にもっていくのかというのは、知恵と根気のいる仕事のような気がしています...

 

IPA

まずは、プレス...

・2024.09.30  IoT製品に対するセキュリティ要件適合評価・ラベリング制度を開始します

 

そして、制度自体のページ

セキュリティ要件適合評価及びラベリング制度(JC-STAR)

 

 


参考

● 経済産業省産業サイバーセキュリティ研究会 - ワーキンググループ3(サイバーセキュリティビジネス化) 

IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

IoT製品のセキュリティ適合性評価制度における基準等の策定に向けたプレ検討委員会

IoT製品に対するセキュリティ適合性評価制度構築方針

関連リンク

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

米国...

・2024.09.14 米国 NIST IR 8425A 一般消費者向けルーター製品に推奨されるサイバーセキュリティ要件 (2024.09.10)

・2024.09.13 米国 FCC IoTのためのサイバーセキュリティ・ラベリングFAQと管理者の申請プロセス (2024.09.10) 

・2024.08.02 米国 FCC IoTのためのサイバーセキュリティ・ラベリング最終規則

・2024.03.20 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14)

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

EU

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

英国

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 

中国

・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

 

日本

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

| | Comments (0)

2024.09.30

NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「親分でまとまる集団とルールでまとまる集団とIDFに対するちょっとした提案」

こんにちは、丸山満彦です。

デジタル・フォレンジック研究会にコラムを載せました。

 IDF - Column

・2024.09.26 第841号コラム:「親分でまとまる集団とルールでまとまる集団とIDFに対するちょっとした提案」

「親分でまとまる集団」と「ルールでまとまる集団」というのは、実は、中根千枝先生の縦社会と横社会の話です。これをベースにIDFにちょっとした提案をしています。

5_20240911214501

 

さて、私の提案はどうですかね...

 

蛇足;自民党の総裁選がありましたね...自民党以外は選挙に参加できないので、まぁ、眺めているしかないのですけど...

さて、政党というのは、そもそもある政策の方向性(ある意味ルール)のもとに集まるものという気がします。英国の国民党と労働党、米国の民主党と共和党、、、日本の政党はどういう集まりか?というのを考える上でも参考になるかもです。どうして、日本では二大政党のような構造ができないのか???

 


 

私が書いた「NPO デジタル・フォレンジック研究会」の「コラム」の一覧

 

No Date Title
31 841 2024.09.26 親分でまとまる集団とルールでまとまる集団とIDFに対するちょっとした提案
30 806 2024.01.25 気候風土と社会
29 780 2023.07.31 国家安全保障戦略 ― 何をだれから守るのか? 国益 (National Interests) とは何か?
28 754 2023.01.31 「木を見て森を見ず」にならず、「神は細部に宿る」を忘れない
27 731 2022.08.22 サイバー空間の安全に向けて: All for one, One for all
26 702 2022.01.31 サイバーセキュリティは空気のように社会全体に拡がる
25 678 2021.08.16 ティラノサウルスとスズメ
24 650 2021.02.01 データを科学的に分析する
23 627 2020.08.17 若者のサイバー犯罪を無くしたい。。。
22 600 2020.02.03 デジタルフォレンジックスと多様性
21 578 2019.08.26 未来を考えようと思うとき、人は過去を振り返る
20 551 2019.02.11 とらわれずに物事をみつめる
19 521 2018.07.09 AIは科学捜査を騙せるか?
18 493 2017.12.18 セキュリティ・デバイド?
17 474 2017.08.07 『デジタル・フォレンジック』という言葉を今更考える
16 451 2017.02.20 相手を知ることが重要
15 425 2016.08.15 本質を理解する
14 383 2015.10.12 名ばかりCSIRTで良いのか?
13 357 2015.04.13 IoT時代は明るいか暗いか
12 335 2014.11.03 頭を下げるのは社長です
11 308 2014.04.30 標的型攻撃には内部不正対応が重要?
10 286 2013.11.14 セキュリティガバナンスはできる範囲だけやればよいのか?
09 261 2013.05.23 セキュリティの基本はずっとかわっていない
08 240 2012.12.25 さらに組織化が進むサイバー攻撃集団
07 207 2012.05.10 外部から侵入されている想定で情報セキュリティを考える
06 173 2011.09.08 想定外に対応するのが危機管理ではないか
05 139 2011.01.13 データ分析を使った不正発見手法
04 131 2010.11.11 発見的統制の重要性
03 084 2009.12.10 クラウドコンピューティングがもたらす光と影
02 058 2009.06.11 不正をさせない
01 021 2008.09.25 ニーズとシーズ、目的と手段

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.30 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「親分でまとまる集団とルールでまとまる集団とIDFに対するちょっとした提案」

・2024.01.30 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「気候風土と社会」

・2023.08.01 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「「国家安全保障戦略 ― 何をだれから守るのか? 国益 (National Interests) とは何か?」

・2023.01.31 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「「木を見て森を見ず」にならず、「神は細部に宿る」を忘れない」

・2022.08.22 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「サイバー空間の安全に向けて: All for one, One for all」

・2022.01.31 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「サイバーセキュリティは空気のように社会全体に拡がる」

・2021.08.17 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「ティラノサウルスとスズメ」

・2021.02.03 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「データを科学的に分析する」

・2020.08.19 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦

・2020.06.11 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦

 

| | Comments (0)

米国 英国 イラン国家のために活動するサイバー行為者について警告をし、大統領選を妨害しようとするイラン政権に関係する活動家を起訴+財産の封鎖

こんにちは、丸山満彦です。

米国のFBI、米軍のサイバーコマンド(ナショナルミッション軍)、財務省、英国のサイバーセキュリティセンターが共同で、イラン国家のために活動するサイバー行為者について警告を公表していますね。また、米国司法省は、イラン国籍でイスラム革命防衛隊(IRGC)の職員である活動家を3名を、不正アクセス等のつみにより起訴していますね...そして、財務省は、資産凍結...

9.11もあったして、米国政府内の情報機関の横連携はそれなりにうまくいっているのでしょうね...そして、国際協力も...

 

イラン国家のために活動するサイバー行為者についての警告

● IC3

・2024.09.27[PDF] Iranian Cyber Actors Targeting Personal Accounts to Support Operations

20240929-61819

Iranian Cyber Actors Targeting Personal Accounts to Support Operations   イランのサイバー活動家が個人アカウントを標的にして活動を支援
The Federal Bureau of Investigation (FBI), U.S. Cyber Command - Cyber National Mission Force (CNMF), the Department of the Treasury (Treasury), and the United Kingdom’s National Cyber Security Centre (NCSC) are disseminating this joint Cybersecurity Advisory (CSA) to highlight continued malicious cyber activity by cyber actors working on behalf of the Iranian Government’s Islamic Revolutionary Guard Corps (IRGC1). This IRGC cyber activity is targeted against individuals with a nexus to Iranian and Middle Eastern affairs; such as current or former senior government officials, senior think tank personnel, journalists, activists, and lobbyists. Additionally, FBI has observed these actors targeting persons associated with US political campaign activity, likely in support of information operations.   連邦捜査局(FBI)、米サイバー軍(Cyber National Mission Force: CNMF)、財務省(Treasury)、英国の国家サイバーセキュリティセンター(NCSC)は、イラン政府のイスラム革命防衛隊(IRGC)に代わって活動するサイバー活動家による悪意のあるサイバー活動を継続的に強調するために、この共同サイバーセキュリティ勧告(CSA)を公表している1。このIRGCのサイバー活動は、イランおよび中東情勢に関係する個人を標的にしている。例えば、現職または元政府高官、シンクタンクの幹部、ジャーナリスト、活動家、ロビイストなどである。さらに、FBIは、情報操作を支援している可能性が高い、米国の政治キャンペーン活動に関係する人物を標的にしていることを確認している。
The authoring agencies believe the group and the cyber techniques remain an ongoing threat to various sectors worldwide, including but not limited to entities in their respective countries.  作成機関は、このグループとサイバー技術は、それぞれの国の事業体を含むが、それに限定されない、世界中のさまざまな分野に対する継続的な脅威であると考えている。
This advisory provides observed tactics, techniques, and indicators of compromise (IOCs) that the authoring agencies assess are likely associated with cyber actors working on behalf of IRGC. The authoring agencies urge individuals in targeted groups to apply the recommendations listed in the Mitigations section of this advisory to diminish risk of compromise from these cyber-actors. For more information on Iranian state-sponsored malicious cyber activity, see the FBI’s Iran Threat webpage.  本勧告では、IRGCのために活動するサイバー行為者と関連している可能性が高いと作成機関がアセスメントした、観測された戦術、技術、および侵害の指標(IOC)を提供する。作成機関は、標的とされたグループに属する個人に対し、これらのサイバー行為者による侵害のリスクを低減するために、本勧告の「低減」セクションに記載された推奨事項を適用するよう促している。イラン政府による悪意のあるサイバー活動の詳細については、FBIのイラン脅威に関するウェブページを参照のこと。
                                                 
1 The IRGC is an Iranian Government agency tasked with defending the Iranian Regime from perceived internal and external threats.  1 IRGCは、イラン政府機関であり、認識された内外の脅威からイラン政府を防衛する任務を負っている。

 

 

英国 NCSC

U.K. National Cyber Security Centre

・2024.09.27 UK and US issue alert over cyber actors working on behalf of Iranian state

UK and US issue alert over cyber actors working on behalf of Iranian state イラン政府に代わって活動するサイバー脅威行為者に関する英国および米国の警告
・Joint advisory encourages individuals at higher risk of targeted phishing to follow mitigation advice and sign up for NCSC's cyber defence services. ・共同勧告では、標的型フィッシングのリスクが高い個人に対して、低減策のアドバイスに従い、NCSCのサイバー防衛サービスに登録するよう推奨している。
・Attackers working on behalf of Iran’s Islamic Revolutionary Guard Corps use social engineering to gain access to victims’ online accounts ・イラン革命防衛隊に代わって活動する攻撃者は、ソーシャルエンジニアリングを使用して、被害者のオンラインアカウントにアクセスする
・Individuals at higher risk are encouraged to stay vigilant to targeted phishing attempts and to sign up for the NCSC’s cyber defence services for individuals ・リスクの高い個人に対しては、標的型フィッシング詐欺に警戒し、NCSCの個人向けサイバーディフェンスサービスに登録するよう呼びかけている
UK continues to call out malicious activity that puts individuals' personal and business accounts at risk, urging them to take action to reduce their chances of falling victim 英国は、個人や企業のオンラインアカウントを危険にさらす悪質な行為を継続的に取り締まり、被害に遭う可能性を低減するための対策を呼びかけている
THE UK has issued a new warning today (Friday) about the ongoing threat from spear-phishing attacks carried out by cyber actors working on behalf of the Iranian government. 英国は本日(金)、イラン政府に協力するサイバー行為者によるスピアフィッシング攻撃の継続的な脅威について、新たな警告を発した。
In an advisory published with US partners, the National Cyber Security Centre – a part of GCHQ – has shared technical details about how cyber attackers working on behalf of Iran’s Islamic Revolutionary Guard Corps (IRGC) are using social engineering techniques to gain access to victims’ personal and business accounts online. 英国政府通信本部(GCHQ)の一部である国家サイバーセキュリティセンターは、米国のパートナー機関と共同で発表した勧告の中で、イラン革命防衛隊(IRGC)の代理として活動するサイバー攻撃者がソーシャルエンジニアリングのテクニックを用いて、オンライン上の被害者の個人およびビジネスアカウントにアクセスする方法について、技術的な詳細を共有した。
The malicious activity is targeted against individuals with a nexus to Iranian and Middle Eastern affairs, such as current and former senior government officials, senior think tank personnel, journalists, activists and lobbyists. The US has also observed targeting of persons associated with US political campaigns.  この悪質な活動は、現職および元政府高官、シンクタンクの幹部、ジャーナリスト、活動家、ロビイストなど、イランおよび中東情勢に関係する個人を標的にしている。米国では、米国の政治キャンペーンに関係する人物も標的にされていることが確認されている。
The advisory says the actors have often been observed impersonating contacts over email and messaging platforms, building a rapport with targets before soliciting them to share user credentials via a false email account login page. The actors can then gain access to victims’ accounts, exfiltrate and delete messages and set up email forwarding rules.  勧告によると、攻撃者は電子メールやメッセージングプラットフォーム上で連絡先になりすますことが多く、偽の電子メールアカウントのログインページ経由でユーザー認証情報の共有を勧誘する前に、標的と親密な関係を築いている。その後、攻撃者は被害者のアカウントにアクセスし、メッセージを外部に送信したり削除したり、メール転送ルールを設定したりすることができる。 
The NCSC believes this activity poses an ongoing threat to various sectors worldwide, including in the UK. To reduce the chances of compromise, individuals at risk are strongly advised to follow the mitigation steps in the advisory and to take up the NCSC’s dedicated support for high-risk individuals, including by signing up for free cyber defence services NCSCは、この活動が英国を含む世界中のさまざまなセクターに継続的な脅威をもたらしていると考えている。被害を受ける可能性を低減するため、リスクにさらされている個人に対しては、勧告に記載されている低減策に従うこと、およびNCSCが提供する高リスク個人向けの専用サポート(無料のアクティブ・サイバーディフェンス・サービスへの登録など)の利用が強く推奨される。
Paul Chichester, NCSC Director of Operations, said: NCSCのポール・チチェスター運用部長は次のように述べた。
“The spear-phishing attacks undertaken by actors working on behalf of the Iranian government pose a persistent threat to individuals with a connection to Iranian and Middle Eastern affairs. 「イラン政府に代わって活動する脅威行為者によるスピアフィッシング攻撃は、イランおよび中東問題に関係する個人に対して継続的な脅威をもたらしている。
“With our allies, we will continue to call out this malicious activity, which puts individuals’ personal and business accounts at risk, so they can take action to reduce their chances of falling victim. 「我々は同盟国とともに、個人の個人用およびビジネス用アカウントをリスクにさらすこの悪質な行為を今後も引き続き指摘し、被害に遭う可能性を低減するための対策を講じるよう呼びかけていく。
“I strongly encourage those at higher risk to stay vigilant to suspicious contact and to take advantage of the NCSC’s free cyber defence tools to help protect themselves from compromise.” 「リスクが高いと考えられる人々には、不審な接触には警戒を怠らず、NCSCが提供する無料のサイバー防御ツールを活用して、侵害から身を守るよう強くお勧めする」
The advisory says the attackers often obtain victims’ credentials by soliciting them to access a document via a hyperlink which redirects them to the false login page.  この勧告によると、攻撃者は、偽のログインページにリダイレクトするハイパーリンク経由で文書へのアクセスを促すことで、被害者の認証情報を取得することが多いという。
The actors are known to tailor their social engineering techniques to include areas of interest or relevance to their targets, with approaches including impersonation of family members, well-known journalists, discussion of foreign policy topics and invitations to conferences. In some cases, the actors might impersonate email service providers to obtain sensitive user security information.  攻撃者はソーシャルエンジニアリングの手法を標的となる組織や個人に関係のある分野に絞って調整することが知られており、その手法には、家族や著名なジャーナリストになりすましたり、外交政策に関する話題を持ち出したり、会議への招待状を送ったりすることが含まれる。場合によっては、攻撃者は電子メールサービスプロバイダになりすまして、ユーザーの機密セキュリティ情報を入手することもある。 
The NCSC’s guidance for high-risk individuals helps people improve the security of their online accounts and personal devices, which continue to be attractive targets for attackers. NCSCの高リスク個人向けガイダンスは、攻撃者にとって魅力的な標的であり続けるオンラインアカウントや個人用デバイスのセキュリティ改善に役立つ。
And individuals who face a higher risk of targeting due to their work or public status are eligible to sign up for two opt-in cyber defence services managed by the NCSC. また、仕事や公的な立場から標的となるリスクが高い個人については、NCSCが管理する2つのオプトイン方式のサイバー防御サービスへの登録が認められる。
The Account Registration service alerts individuals if the NCSC becomes aware of a cyber incident impacting a personal account, while the Personal Internet Protection service helps prevent spear-phishing by blocking access to known malicious domains.  アカウント登録サービスは、NCSCが個人アカウントに影響を与えるサイバーインシデントを認識した場合に個人に警告を発する。一方、個人向けインターネット保護サービスは、既知の悪質なドメインへのアクセスをブロックすることでスピアフィッシングを防御する。
The spear-phishing activity detailed in the advisory is not targeted at the general public. For individuals worried about more generic phishing campaigns, the NCSC has published guidance to help spot the common signs of scams
.
この勧告で詳細に説明されているスピアフィッシング活動は、一般市民を標的としたものではない。より一般的なフィッシングキャンペーンを懸念する個人向けに、NCSCは詐欺の一般的な兆候を見抜くための指針を公表している。
The advisory has been co-sealed by the NCSC, the US Federal Bureau of Investigation (FBI), the US Cyber National Mission Force (CNMF) and the US Department of the Treasury. It can be read on the FBI website at [PDF] この勧告は、NCSC、米国連邦捜査局(FBI)、米国サイバー国家任務部隊(CNMF)、米国財務省により共同で発表された。FBIのウェブサイト( [PDF]
)で閲覧可能。

 

 

 


起訴...

司法省...

U.S. Department of Justice

・2024.09.27 Three IRGC Cyber Actors Indicted for ‘Hack-and-Leak’ Operation Designed to Influence the 2024 U.S. Presidential Election

Three IRGC Cyber Actors Indicted for ‘Hack-and-Leak’ Operation Designed to Influence the 2024 U.S. Presidential Election 2024年の米国大統領選挙に影響を与えることを目的とした「ハッキング&リーク」作戦に関与したとして、革命防衛隊のサイバー犯罪者3名を起訴した
Indictment Alleges the Activity Was a More Recent Phase of a Wide-Ranging Hacking Conspiracy in Support of IRGC Targeting of Current and Former U.S. Officials 起訴状によると、この活動は、現職および元の米国政府高官を標的とした革命防衛隊による広範なハッキング陰謀の、より最近の段階であったと主張している
NoteView the indictment here and the FBI Wanted Poster here. 注:起訴状はこちら、FBIの指名手配ポスターはこちらで。
The Justice Department today announced the unsealing of an indictment charging Iranian nationals, and Islamic Revolutionary Guard Corps (IRGC) employees, Masoud Jalili, 36,  also known as, مسعود جلیلی, Seyyed Ali Aghamiri, 34, also known as, سید علی آقامیری, and Yaser Balaghi, 37, also known as, یاسر بلاغی (the Conspirators), with a conspiracy with others known and unknown to hack into accounts of current and former U.S. officials, members of the media, nongovernmental organizations, and individuals associated with U.S. political campaigns. The activity was part of Iran’s continuing efforts to stoke discord, erode confidence in the U.S. electoral process, and unlawfully acquire information relating to current and former U.S. officials that could be used to advance the malign activities of the IRGC, including ongoing efforts to avenge the death of Qasem Soleimani, the former commander of the IRGC – Qods Force (IRGC-QF). 司法省は本日、イラン国籍の人物、および革命防衛隊(IRGC)の職員であるマスード・ジャリリ(36歳、別名:ムサウード・ジャリリ)、セイエド・アリ・アガミリ(34歳、別名:セイエド・アリ・アガミリ)、 、および、Yaser Balaghi(37歳)、別名、یاسر بلاغی(共謀者たち)は、現職および元の米国政府高官、メディア関係者、非政府組織、米国の政治キャンペーンに関係する個人のアカウントにハッキングする共謀を、知られている者および知られていない者と共に行った。この活動は、不和を煽り、米国の選挙プロセスに対する信頼を損ない、現職および元の米国政府高官に関する情報を不法に取得し、革命防衛隊(IRGC)の悪質な活動を推進するために利用しようとするイランの継続的な取り組みの一部であった。これには、IRGC-QF(革命防衛隊・クドス部隊)の元司令官であるガセム・ソレイマーニーの死の復讐を企てる継続中の取り組みも含まれる。
As alleged, in or around May, after several years of focusing on compromising the accounts of former U.S. government officials, the conspirators used some of the same hacking infrastructure from earlier in the conspiracy to begin targeting and successfully gaining unauthorized access to personal accounts belonging to persons associated with an identified U.S. Presidential campaign (U.S. Presidential Campaign 1), including campaign officials. The conspirators used their access to those accounts to steal, among other information, non-public campaign documents and emails (campaign material). The activity broadened in late June, when the conspirators engaged in a “hack-and-leak” operation, in which they sought to weaponize campaign material stolen from U.S. Presidential Campaign 1 by leaking such materials to members of the media and individuals associated with what was then another identified U.S. Presidential campaign (U.S. Presidential Campaign 2), in a deliberate effort to, as reflected in the conspirators’ own words and actions, undermine U.S. Presidential Campaign 1 in advance of the 2024 U.S. presidential election. 申し立てによると、数年にわたって元米国政府高官のアカウントを標的にしていた後、共謀者らは5月頃、以前の共謀から引き継いだハッキングインフラストラクチャの一部を使用し、識別された米国大統領選挙キャンペーン(米国大統領選挙キャンペーン1)に関係する人物(キャンペーン関係者を含む)の個人アカウントを標的にし、不正アクセスに成功した。共謀者たちは、これらのアカウントへのアクセス権限を利用して、非公開のキャンペーン文書や電子メール(キャンペーン資料)などの情報を盗んだ。この活動は6月下旬に拡大し、共謀者たちは「ハッキングとリーク」作戦を展開した。この作戦では、米国大統領選挙キャンペーン1から盗んだキャンペーン資料をメディア関係者や、当時特定されていた別の米国大統領選挙キャンペーン(米国大統領選挙キャンペーン2)に関係する個人にリークすることで、キャンペーン資料を武器化しようとした 共謀者自身の言動に反映されているように、2024年の米国大統領選挙に先立ち、米国大統領選挙1を事前に弱体化させる意図的な努力として、米国大統領選挙2に関連するメディアや個人にそのような資料を漏洩することで、米国大統領選挙1の選挙資材を武器化しようとした「ハッキングおよび漏洩」作戦に従事していた。
“The Justice Department is working relentlessly to uncover and counter Iran’s cyberattacks aimed at stoking discord, undermining confidence in our democratic institutions, and influencing our elections,” said Attorney General Merrick B. Garland. “The American people – not Iran, or any other foreign power – will decide the outcome of our country’s elections.” 司法省は、不和を煽り、民主的機構への信頼を損ない、選挙に影響を与えることを目的としたイランのサイバー攻撃を明らかにし、対抗するために、執拗に活動している」と、メリック・B・ガーランド司法長官は述べた。「米国の選挙の結果を決めるのは、イランでも、その他の外国でもなく、米国国民である」
“Today’s charges represent the culmination of a thorough and long-running FBI investigation that has resulted in the indictment of three Iranian nationals for their roles in a wide-ranging hacking campaign sponsored by the Government of Iran,” said FBI Director Christopher Wray. “The conduct laid out in the indictment is just the latest example of Iran’s brazen behavior. So today the FBI would like to send a message to the Government of Iran – you and your hackers can’t hide behind your keyboards.” 「今日の起訴は、イラン政府が支援する広範囲にわたるハッキングキャンペーンにおける役割を理由に、3人のイラン国籍の人物を起訴するという結果に至った、徹底的かつ長期にわたるFBIの捜査の集大成である」と、FBIのクリストファー・レイ長官は述べた。「起訴状に記載された行為は、イランの厚かましい行動の最新の一例に過ぎない。そこで本日、FBIはイラン政府にメッセージを送る。すなわち、あなたとあなたのハッカーたちはキーボードの後ろに隠れてはいられない、と。
“These hack-and-leak efforts by Iran are a direct assault on the integrity of our democratic processes,” said Assistant Attorney General Matthew G. Olsen of the Justice Department’s National Security Division. “Iranian government actors have long sought to use cyber-enabled means to harm U.S. interests. This case demonstrates our commitment to expose attempts by the Iranian regime or any other foreign actor to interfere with our free and open society.” 「イランによるハッキングと情報漏洩の試みは、我々の民主的プロセスの完全性を直接攻撃するものである」と、司法省国家安全保障ディビジョンのマシュー・G・オルセン副長官は述べた。「イラン政府関係者は、長年にわたりサイバー手段を利用して米国の利益を損なうことを試みてきた。この事件は、イラン政府やその他の外国勢力が、我々の自由で開かれた社会を妨害しようとする試みを暴くという我々の決意を示すものである」
“This indictment alleges a serious and sustained effort by a state-sponsored terrorist organization to gather intelligence through hacking personal accounts so they can use the hacked materials to harm Americans and corruptly influence our election,” said U.S. Attorney Matthew Graves for the District of Columbia. “The detailed allegations in the indictment should make clear to anyone who might attempt to do the same that the Justice Department has the ability to gather evidence of such crimes from around the globe, will charge those who commit such crimes, and will do whatever we can to bring those charged to justice.” 「この起訴状は、国家支援のテロ組織が、個人アカウントへのハッキングを通じて情報を収集し、そのハッキングされた情報を利用してアメリカ国民に危害を加えたり、不正に選挙に影響を及ぼそうとするという、深刻かつ継続的な取り組みを主張しています」と、コロンビア特別区のマシュー・グレイブス連邦検事は述べた。「起訴状に詳細に述べられた申し立ては、同じことを試みようとする者に対して、司法省には世界中のそのような犯罪の証拠を集める能力があり、そのような犯罪を犯した者を起訴し、起訴された者を法の下で裁くためにできる限りのことを行うという姿勢を明確に示すはずである」と、コロンビア特別区のマシュー・グレイブス連邦検事は述べた。
As alleged in the indictment, beginning in or around January 2020, Jalili, Aghamiri, and Balaghi, working on behalf of the IRGC, commenced a wide-ranging hacking campaign that used spearphishing and social engineering techniques to target and compromise victims computers and accounts. Among the conspirators’ techniques were: using virtual private networks and virtual private servers to obscure their true location; creating fraudulent email accounts in the names of prominent U.S. persons and international institutions; creating spoofed login pages to harvest account credentials; sending spearphishing emails using compromised victim accounts; and using social engineering to obtain victims’ login information and multi-factor recovery/authentication codes. Some of the conspirators’ efforts were successful, while others were not. 起訴状で申し立てられているように、2020年1月頃から、ジャリリ、アガミリ、バラギの3人は、IRGCの代理として、スピアフィッシングやソーシャルエンジニアリングのテクニックを使用して、標的となる被害者のコンピューターやアカウントを侵害する広範囲にわたるハッキングキャンペーンを開始した。共謀者の手口には、仮想プライベートネットワークや仮想プライベートサーバーを使用して実際の所在地を隠匿すること、著名な米国人や国際機構の名称を使用した詐欺的な電子メールアカウントを作成すること、なりすましログインページを作成してアカウント認証情報を入手すること、不正入手した被害者アカウントを使用してスピアフィッシング電子メールを送信すること、ソーシャルエンジニアリングを使用して被害者のログイン情報や多要素復旧/認証コードを入手することなどがあった。共謀者の一部の試みは成功したが、そうでないものもあった。
In April 2019, the Department of State designated the IRGC as a foreign terrorist organization. Among the purposes of the conspiracy were for the conspirators to: (i) steal victims’ data, such as information related to U.S. government and foreign policy information concerning the Middle East; (ii) steal information relating to current and former U.S. officials that could be used to advance the IRGC’s malign activities; (iii) disrupt U.S. foreign policy in the Middle East; (iv) stoke discord and erode confidence in the U.S. electoral process; (v) steal personal and private information from persons who had access to information relating to U.S. Presidential Campaign 1, including non-public campaign material and information; and (vi) undermine U.S. Presidential Campaign 1 in advance of the 2024 U.S. presidential election by leaking stolen campaign material and information. 2019年4月、国務省はIRGCを外国テロ組織に指定した。共謀者の目的には、以下のものが含まれていた。(i) 中東に関する米国政府および外交政策に関する情報など、被害者のデータを盗むこと、(ii) IRGCの悪質な活動を推進するために利用できる現職および元米国政府高官に関する情報を盗むこと、(iii) 中東における米国の外交政策を混乱させること、(iv) 不和を煽り、米国の選挙プロセスに対する信頼を損なうこと、(v) 米国大統領選挙キャンペーン1に関連する情報にアクセスした人物から、非公開のキャンペーン資料や情報を含む個人およびプライベートな情報を盗み出し、(vi) 盗んだキャンペーン資料や情報をリークすることで、2024年の米国大統領選挙に先立ち、米国大統領選挙キャンペーン1を妨害する。
As reflected in the Sept. 18 joint statement released by the Office of the Director of National Intelligence, FBI, and Cybersecurity and Infrastructure Security Agency: “Iranian malicious cyber actors in late June and early July sent unsolicited emails to individuals then associated with President Biden’s campaign that contained an excerpt taken from stolen, non-public material from former Trump’s campaign as text in the emails. There is currently no information indicating those recipients replied. Furthermore, Iranian malicious cyber actors have continued their efforts since June to send stolen, non-public material associated with former President Trump’s campaign to U.S. media organizations. 国家情報長官室、FBI、サイバーセキュリティ・インフラセキュリティ庁が9月18日に発表した共同声明に反映されているように、「6月下旬から7月上旬にかけて、イランの悪意あるサイバー犯罪者は、バイデン前大統領のキャンペーンに関係していた個人に対して、トランプ前大統領のキャンペーンから盗まれた非公開資料の一部をメールのテキストとして含んだ迷惑メールを送信した。現時点では、これらの取得者が返信したことを示す情報は存在しない。さらに、イランの悪意あるサイバー犯罪者たちは、6月以来、盗んだトランプ前大統領の選挙運動に関連する非公開資料を米国のメディア組織に送信する努力を続けている。
As alleged in further detail in the indictment, the conspirators’ hack-and-leak efforts involved the conspirators emailing stolen campaign material to individuals that the conspirators believed were associated with what was then U.S. Presidential Campaign 2 and members of the media. 起訴状でさらに詳しく述べられているように、共謀者のハッキングとリークの努力には、共謀者が、当時米国大統領選挙キャンペーン2に関連していると考えた個人やメディア関係者に盗んだ選挙資料を電子メールで送信することが含まれていた。
First, between on or about June 27 and July 3, the conspirators sent or forwarded an unsolicited email message to personal accounts of three persons that the conspirators believed were associated with U.S. Presidential Campaign 2. The June 27 email was sent to two recipients, and then forwarded the same day to another account for one of those recipients (due to the earlier email being sent to an invalid account for that recipient). This email chain contained campaign material stolen from an official for U.S. Presidential Campaign 1 (U.S. Victim 11). Neither of the recipients replied to the conspirators’ email. In addition, the conspirators sent a follow up email on July 3rd to a third recipient’s account, and the recipient similarly did not reply to the Conspirators. まず、共謀者らは、2012年6月27日頃から7月3日にかけて、米国大統領選挙キャンペーン2に関連していると思われる3人の個人のアカウントに、迷惑メールを送信または転送した。6月27日のメールは2人の取得者に送信され、その後、取得者のうちの1人のアカウントに同日転送された(取得者のアカウントが有効でないため)。この電子メールの連鎖には、米国大統領選挙キャンペーン1(米国の被害者11)の関係者から盗まれたキャンペーン資料が含まれていた。いずれの取得者も共謀者の電子メールに返答しなかった。さらに、共謀者は7月3日に3人目の取得者のアカウントにフォローアップの電子メールを送信したが、取得者は同様に共謀者に返答しなかった。
Second, between on or about July 22 and on or about Aug. 31, the conspirators distributed other campaign material stolen from U.S. Victim 11 regarding U.S. Presidential Campaign 1’s potential vice-presidential candidates to multiple members of the news media, in an attempt to induce the news media to publish the material. In one instance, for example, the conspirators’ message stated “I think this information is worth a good [U.S. news publication] piece with your narration. Let me know your thoughts.” 次に、共謀者らは、7月22日頃から8月31日頃までの間に、米国大統領選挙キャンペーン1の副大統領候補者に関する米国の被害者11から盗んだ他の選挙キャンペーン資料を、ニュースメディアの複数のメンバーに配布し、ニュースメディアにその資料を公表させるよう仕向けた。例えば、共謀者のメッセージには「この情報は、あなたのナレーション付きで、[米国のニュース出版] 社が記事にする価値があると思います。ご意見をお聞かせください」と書かれていた。
As alleged, these defendants also sought to promote the IRGC’s goals and mission by compromising and maintaining unauthorized access to the email accounts of a number of former government officials, including U.S. Victim 1, who had served in a position with responsibility over U.S. Middle East policy at the time of Qasam Soleimani’s death. Using this access, the defendants obtained information to assist the IRGC’s efforts to target U.S. Victim 1 and others, including their means of identification, correspondence, travel information, lodging information and other information regarding their whereabouts and policy positions.    申し立てによると、これらの被告は、IRGCの目標と使命を推進するために、カサム・スレイマーニー死亡時に米国の中東政策を担当する役職に就いていた米国の被害者1を含む多数の元政府高官の電子メールアカウントへの不正アクセスを試み、また不正アクセスを維持しようとした。このアクセス権を利用して、被告らは、IRGCが米国の被害者1およびその他の人物を標的にするのを支援する情報を入手した。入手した情報には、身元確認手段、通信、旅行情報、宿泊情報、およびその他の所在情報や政策上の立場に関する情報が含まれていた。 
Jalili, Aghamiri, and Balaghi are charged with: conspiracy to commit identity theft, aggravated identity theft, access device fraud, unauthorized access to computers to obtain information from a protected computer, unauthorized access to computers to defraud and obtain a thing of value, and wire fraud, all while knowingly falsely registering domain names, which carries a maximum penalty of 12 years in prison; conspiracy to provide material support to a designated foreign terrorist organization, which carries a maximum penalty of 20 years in prison; eight counts of wire fraud while falsely registering domain names, each of which carries a maximum penalty of 27 years in prison; and eight counts of aggravated identity theft, each of which carries a mandatory minimum penalty of two years in prison. If convicted, a federal district court judge will determine any sentence after considering the U.S. Sentencing Guidelines and other statutory factors. ジャリリ、アガミリ、バラギは、以下の罪状で起訴された。ID窃盗の共謀、悪質なID窃盗、アクセス装置詐欺、防御されたコンピューターから情報を取得するためのコンピューターへの不正アクセス、詐取および価値のあるものの取得を目的としたコンピューターへの不正アクセス、電信詐欺、これらすべてを、故意に虚偽のドメイン名登録を行いながら行った罪で、最高刑は禁固12年 、指定された外国テロ組織への物質的支援提供の共謀(最高刑は20年の禁固刑)、ドメイン名の偽装登録中の8件の電信詐欺(それぞれ最高刑は27年の禁固刑)、および8件の加重ID窃盗(それぞれ最低刑は2年の禁固刑)である。有罪判決が下された場合、連邦地方裁判所の裁判官は、米国量刑ガイドラインおよびその他の法定要素を考慮した上で刑を決定する。
Concurrent with today’s announcement, the Department of State, through the Rewards for Justice Program, issued a reward of up to $10 million for information on Jalili, Aghamiri, and Balaghi, the IRGC’s interference in U.S. elections, or associated individuals and entities. Also, concurrent with today’s announcement, the Department of the Treasury, Office of Foreign Asset Control (OFAC), pursuant to Executive Order (E.O.) 13694, as amended, and E.O. 13848 designated Jalili for being responsible for or complicit in, or having engaged in, directly or indirectly, a cyber-enabled activity originating from, or directed by persons located, in whole or in substantial part, outside the United States that is reasonably likely to result in, or has materially contributed to, a significant threat to the national security, foreign policy, or economic health or financial stability of the United States and that has the purpose or effect of causing a significant misappropriation of funds or economic resources, trade secrets, personal identifiers, or financial information for commercial or competitive advantage or private financial gain. 本日の発表と同時に、国務省は司法のための報奨プログラムを通じて、ジャリリ、アガミリ、バラギ、IRGCによる米国の選挙への干渉、または関連する個人や事業体に関する情報に対して最高1000万ドルの報奨金を発表した。また、本日の発表と同時に、財務省外国資産管理局(OFAC)は、修正大統領令(EO)13694号および大統領令13848号に基づき、ジャリリ氏を、米国の国家安全保障、外交政策、経済の健全性または金融の安定に対する重大な脅威となる、または重大な脅威に大きく寄与する可能性が高い、かつ、商業上または競争上の優位性または私的な金銭的利益のために資金または経済資源、企業秘密、個人識別情報、または金融情報を著しく不正流用する目的または結果を持つ、米国外に全部または大部分所在する人物が発信または指揮するサイバー活動の責任者、共謀者、または直接的または間接的に従事した者として指定した。
The FBI Washington Field Office is investigating this case. The FBI Cyber Division and Springfield and Minneapolis Field Offices provided substantial assistance in this matter. For more information on threat activity as well as mitigation guidance, the FBI has released a Joint Cyber Security Advisory titled “Iranian Cyber Actors Targeting Personal Accounts to Support Operations FBIワシントン支局がこの事件を捜査している。FBIサイバー犯罪対策部およびスプリングフィールドおよびミネアポリス支局がこの事件で多大な支援を提供した。脅威行為および低減対策に関する詳細情報については、FBIは「イランのサイバー行為者が個人アカウントを標的にして作戦を支援」と題する共同サイバーセキュリティ勧告を発表している。
The Justice Department would like to thank the following private sector partners for their assistance with this case: Google, Microsoft, Yahoo, and Meta. 司法省は、この事件への支援に関して、Google、Microsoft、Yahoo、Metaの各社に感謝の意を表する。
Assistant U.S. Attorneys Tejpal Chawla and Christopher Tortorice for the District of Columbia and Trial Attorney Greg Nicosia of the National Security Division’s National Security Cyber Section are prosecuting the case, with significant assistance from Paralegal Specialists Mariela Andrade and Kate Abrey. Joshua Champagne of the National Security Division’s Counterterrorism Section also provided valuable assistance. コロンビア特別区のテジャル・チャウラおよびクリストファー・トルトリスの両副検事、および国家安全保障局の国家安全保障サイバー課のグレッグ・ニコシア検察官が、パラリーガル・スペシャリストのマリエラ・アンドラーデおよびケイト・エイブリーの多大な支援を受けながら、この事件を起訴している。また、国家安全保障局のテロ対策課のジョシュア・シャンパーニュも、貴重な支援を提供している。
An indictment is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. 起訴は単なる申し立てに過ぎない。すべての被告人は、法廷で合理的な疑いを越えて有罪が証明されるまでは無罪と推定される。

 

起訴状...

20240929-63917

 

FBI長官の発表

● FBI

・2024.09.27 Three IRGC Cyber Actors Indicted for Hack-and-Leak Operation Designed to Influence the 2024 U.S. Presidential Election

Video:





FBI Director Christopher Wray on September 27 addressed the indictment of three Iranian cyber actors.

Three IRGC Cyber Actors Indicted for Hack-and-Leak Operation Designed to Influence the 2024 U.S. Presidential Election 2024年の米国大統領選挙に影響を与えることを目的としたハッキングおよび情報漏洩作戦に関与したとして、IRGCのサイバー犯罪者3名が起訴された
FBI Director Christopher Wray on September 27 addressed the indictment of three Iranian cyber actors. 9月27日、FBI長官のクリストファー・レイ氏は、イランのサイバー犯罪者3名の起訴について声明を発表した。
Video Transcript ビデオの文字起こし
FBI Director Christopher Wray: I'm Chris Wray, the FBI Director. FBI長官のクリストファー・レイ:私はFBI長官のクリス・レイです。
Today's charges represent the culmination of a thorough and long-running FBI investigation that has resulted in the indictment of three Iranian nationals for their roles in a wide-ranging hacking campaign sponsored by the government of Iran.  本日の起訴は、イラン政府が支援する広範なハッキングキャンペーンにおける役割を理由に、3人のイラン国籍の人物を起訴するという結果に至った、徹底的かつ長期にわたるFBIの捜査の集大成である。
These individuals—employees of Iran's Islamic Revolutionary Guard Corps—targeted a U.S. political campaign, current and former U.S. officials, and members of the American media—all in an attempt to sow discord and undermine our democracy. これらの人物は、イランのイスラム革命防衛隊の職員であり、米国の政治キャンペーン、現職および元の米国政府高官、米国のメディア関係者を標的にした。その目的は、不和を巻き起こし、わが国の民主主義を弱体化させることだった。
These hackers impersonated U.S. government officials, used the fake personas they created to engage in spearphishing, and then exploited their unauthorized access to trick even more people and steal even more confidential information.  これらのハッカーは、米国政府高官になりすまし、偽の人物像を使ってスピアフィッシングを行い、不正アクセスを利用してさらに多くの人々を騙し、さらに多くの機密情報を盗んだ。
Last week, the FBI released a statement—along with the Office of the Director of National Intelligence and the Cybersecurity and Infrastructure Security Agency—exposing Iran's attempts to steal nonpublic campaign material from former President Trump's 2024 election campaign. 先週、FBIは国家情報長官室およびサイバーセキュリティ・インフラセキュリティ庁とともに、2024年のトランプ前大統領の選挙キャンペーンから非公開のキャンペーン資料を盗もうとしたイランの試みを暴露する声明を発表した。
That statement laid bare Iran's attempts to influence our elections and inflame divisions in our society by leaking that information to President Biden's campaign and to the media.  その声明では、イランがバイデン大統領のキャンペーンやメディアに情報をリークすることで、選挙に影響を与え、社会の分裂を煽ろうとしたことが明らかになった。
Let's be clear what we're talking about here: attempts by a hostile foreign government to steal campaign information from one presidential candidate and then shopping around both to that candidate's opponent and the media. ここで話していることを明確にしよう。敵対的な外国政府が、大統領候補のキャンペーン情報を盗み、その情報を候補者の対立候補とメディアにばらまくという試みだ。
And while there's no indication that any of the recipients of the stolen campaign information actually replied, Iran's intent was clear: to sow discord and shape the outcome of our elections.  そして、盗まれたキャンペーン情報の取得者の誰かが実際に返信したという兆候はないが、イランの意図は明らかである。不和をまき散らし、我々の選挙の結果を左右しようとしたのだ。
For years now, we at the FBI have been calling out Iran's aggressive behavior—whether it's Iran's reckless cyber operations, including a ransomware attack on a New England children's hospital, Iran's plots to assassinate U.S. officials on American soil, their attempts to murder an American journalist here in the U.S. who dared publicize the Iranian government's human rights abuse, or their targeted hacks to influence our last presidential election in 2020.  FBIでは、長年にわたり、イランの攻撃的な行動を指摘してきた。ニューイングランドの小児病院に対するランサムウェア攻撃を含むイランの無謀なサイバー作戦、米国内での米政府高官暗殺計画、 、米国内で米国政府高官を暗殺しようとした陰謀、イラン政府の人権侵害を公表した米国のジャーナリストを殺害しようとした企て、あるいは2020年の前回の大統領選挙に影響を与えることを目的とした標的型ハッキングなど、いずれもである。
The conduct laid out in today's indictment is just the latest example of Iran's brazen behavior. So, today, the FBI would like to send a message to the government of Iran: You and your hackers can't hide behind your keyboards. If you try to meddle in our elections, we're going to hold you accountable. If you try to attack our infrastructure or commit violence against our citizens, we're going to disrupt you. 今日の起訴状に記載された行為は、イランの厚かましい行動の最新の一例に過ぎない。そこで、本日、FBIはイラン政府にメッセージを送りたい。あなたとあなたのハッカーたちは、キーボードの後ろに隠れてはいられない。もしあなたがたが我々の選挙に干渉しようとするならば、我々はあなた方に責任を取らせるつもりだ。もしあなたがたが我々のインフラを攻撃したり、我々の市民に対して暴力を振るおうとするならば、我々はあなた方を阻止するつもりだ。
And as long as you keep attempting to flout the rule of law, you're going to keep running into the FBI, because we're going to leverage all of our partnerships and use every tool at our disposal to protect the American people and defend our democracy.   そして、法の支配を無視しようとする限り、FBIと対峙し続けることになるだろう。なぜなら、我々はアメリカ国民を防御し、民主主義を守るために、あらゆるパートナーシップを活用し、あらゆる手段を講じるつもりだからだ。 
Thank you.  ありがとう。

指名手配...

・2024.09.27 THREE IRANIAN CYBER ACTORS

20240929-64524

THREE IRANIAN CYBER ACTORS 3人のイラン人サイバー犯罪者
Conspiracy to Obtain Information from a Protected Computer; Defraud and Obtain a Thing of Value; Commit Fraud Involving Authentication Features; Commit Aggravated Identity Theft; Commit Access Device Fraud; Commit Wire Fraud While Falsely Registering Domains; Wire Fraud; Aggravated Identify Theft; Aiding and Abetting; Material Support to Designated Foreign Terrorist Organization 保護されたコンピューターからの情報取得を目的とした共謀、詐欺および価値あるものの取得、認証機能を含む詐欺の実行、悪質なID窃盗の実行、アクセス装置詐欺の実行、偽のドメイン登録中の電信詐欺の実行、電信詐欺、悪質なID窃盗、幇助、指定外国テロ組織への実質的支援

 

 


資産凍結

財務省...

U.S. Department of Treasury

・2024.09.27 Treasury Sanctions Iranian Regime Agents Attempting to Interfere in U.S. Elections

Treasury Sanctions Iranian Regime Agents Attempting to Interfere in U.S. Elections 財務省による制裁 イラン政権の工作員による米国選挙への介入を試みる
The United States takes action to defend and protect U.S. campaign and government officials from Iranian attempts to interfere in U.S. elections. 米国は、米国の選挙への干渉を試みるイランの企てから、米国のキャンペーンおよび政府関係者を防御し、防御するために行動を起こす。
WASHINGTON — Today, the Department of the Treasury’s Office of Foreign Assets Control (OFAC) designated seven individuals as part of a coordinated U.S. government response to Iran’s operations that sought to influence or interfere in the 2024 and 2020 presidential elections. Iranian state-sponsored actors undertook a variety of malicious cyber activities, such as hack-and-leak operations and spear-phishing, in an attempt to undermine confidence in the United States’ election processes and institutions and to interfere with political campaigns. The designations undertaken today pursuant to Executive Order (E.O.) 13848, complement law enforcement actions taken by the Department of Justice against a variety of Iranian election interference actors.  ワシントン発 — 米国財務省外国資産管理局(OFAC)は本日、2024年および2020年の大統領選挙に影響を与えたり干渉しようとしたイランの活動に対する米国政府の協調的対応の一環として、7人の個人を指定した。イラン政府が支援する行為者らは、ハッキングおよび情報漏洩作戦やスピアフィッシングなど、さまざまな悪意のあるサイバー活動を行い、米国の選挙プロセスや機構に対する信頼を損ない、政治キャンペーンに干渉しようとした。 大統領令(E.O.)13848に基づき本日実施された指定は、イランによるさまざまな選挙干渉行為者に対する司法省による法執行措置を補完するものである。
“The U.S. government continues to closely monitor efforts by malicious actors to influence or interfere in the integrity of our elections,” said Acting Under Secretary of the Treasury for Terrorism and Financial Intelligence Bradley T. Smith. “Treasury, as part of a whole-of-government effort leveraging all available tools and authorities, remains strongly committed to holding accountable those who see to undermine our institutions.”  「米国政府は、悪意ある行為者による選挙の完全性への影響や干渉の試みを引き続き厳重に監視している」と、財務省テロ・金融情報局長官代理のブラッドリー・T・スミス氏は述べた。「財務省は、政府全体として利用可能なあらゆるツールや権限を活用する取り組みの一環として、米国の機構を弱体化させようとする者たちに責任を取らせることに引き続き強くコミットしている」 
In the summer of 2024, the U.S. government identified that the Government of Iran had been seeking to stoke discord and undermine confidence in the United States’ democratic institutions, using social engineering and other efforts to gain access to individuals with direct access to the presidential campaigns. Such activities, including thefts and disclosures, are intended to influence the U.S. election process. Since at least May 2024, Iran-based hackers have increased their malicious cyber-enabled targeting of the 2024 U.S. presidential election. These intrusions have been reported as the work of “APT 42” and “Mint Sandstorm” by private security firms. 2024年夏、米国政府は、イラン政府がソーシャルエンジニアリングやその他の取り組みにより、大統領選挙キャンペーンに直接アクセスできる個人に接触し、米国の民主的機構に対する不信感を煽り、その信頼を損なわせようとしていたことを識別した。 盗難や開示を含むこうした活動は、米国の選挙プロセスに影響を与えることを目的としている。少なくとも2024年5月以来、イランを拠点とするハッカー集団は、2024年の米国大統領選挙を標的とした悪意のあるサイバー攻撃を増加させている。これらの侵入は、民間セキュリティ企業によって「APT 42」および「Mint Sandstorm」の仕業として報告されている。
Iranian Election Interference & Malicious Cyber-Enabled operations イランによる選挙妨害および悪意のあるサイバー攻撃
2024 U.S. Presidential Election Interference 2024年の米国大統領選挙妨害
Since at least May 2024, Masoud Jalili (Jalili) and other Iranian Islamic Revolutionary Guard Corps (IRGC) members compromised several accounts of officials and advisors to a 2024 presidential campaign and leaked stolen data to members of the media and other persons for the purpose of influencing the 2024 U.S. presidential election, using technical infrastructure known to be associated with Jalili. Jalili is also responsible for malicious cyber operations targeting a former U.S. government official in 2022. In 2022, Jalili used spear-phishing in an attempt to compromise the former U.S. official’s personal accounts.  少なくとも2024年5月以降、マズード・ジャリリ(ジャリリ)およびその他のイラン革命防衛隊(IRGC)のメンバーは、2024年の大統領選挙キャンペーンに関わる複数の関係者およびアドバイザーのアカウントを侵害し、2024年の米国大統領選挙に影響を与える目的で、ジャリリに関連付けられていることが知られている技術インフラストラクチャを使用して、盗んだデータをメディア関係者やその他の人物に漏洩した。ジャリリは、2022年に元米国政府高官を標的とした悪意のあるサイバー作戦にも関与している。2022年、ジャリリはスピアフィッシングを駆使して、元米国政府高官の個人アカウントを侵害しようとした。
OFAC designated Jalili pursuant to E.O. 13848 for being controlled by, or having acted or purported to act for or on behalf of, directly or indirectly, the IRGC, a person whose property and interests in property are blocked pursuant to E.O. 13848.  OFACは、大統領令13848に基づき、ジャリリが革命防衛隊に直接的または間接的に支配されている、または行動している、あるいは行動していると見なされている、または行動していると見なされている人物であるとして、同氏を指定した。
In addition to his designation, the Department of Justice has unsealed an indictment charging Jalili and two IRGC co-conspirators and the Department of State’s Rewards for Justice program is offering a reward of up to $10 million for information on Jalili and his two associates for their attempt to interfere in U.S. elections. この指定に加え、司法省はジャリリとイラン革命防衛隊の共犯者2名を起訴し、国務省の「正義のための報奨プログラム」は、米国の選挙への介入を試みたジャリリと共犯者2名に関する情報に対して最高1000万ドルの報奨金を提示している。
2020 U.S. Presidential Election Interference  2020年米国大統領選挙への介入 
Today, OFAC is also designating six employees and executives of Emennet Pasargad, an Iranian cybersecurity company formerly known as Net Peygard Samavat Company, which attempted to interfere in the 2020 U.S. presidential election.  本日、OFACは、2020年の米国大統領選挙への介入を試みたイランのサイバーセキュリティ企業、エメンネット・パサルガド(旧称:ネット・ペイガード・サマヴァト・カンパニー)の従業員および幹部6名を指定した。
Between approximately August and November 2020, Emennet Pasargad led an online operation to intimidate and influence American voters, and to undermine voter confidence and sow discord, in connection with the 2020 U.S. presidential election. Emennet Pasargad personnel obtained or attempted to obtain U.S. voter information from U.S. state election websites, sent threatening emails to intimidate voters, and crafted and disseminated disinformation pertaining to the election and election security. In November 2021, OFAC designated Emennet Pasargad pursuant to E.O. 13848 for attempting to influence the 2020 U.S. presidential election, and five Emennet Pasargad associates pursuant to E.O. 13848 for acting, or purporting to act, for or on behalf of Emennet Pasargad. 2020年8月から11月にかけて、エメンネット・パサルガドは、2020年の米国大統領選挙に関連して、米国の有権者を威嚇し影響を与えるオンライン作戦を主導し、有権者の信頼を損ない、不和を煽った。エメンネット・パサルガドの職員は、米国の州選挙ウェブサイトから米国の有権者情報を入手または入手を試み、有権者を威嚇する脅迫メールを送信し、選挙および選挙のセキュリティに関する偽情報を作成・拡散した。2021年11月、OFACは、2020年の米国大統領選挙に影響を与えようとしたとして、Emennet Pasargadを大統領令13848に基づき指定し、Emennet Pasargadのために、またはEmennet Pasargadを代表して行動した、または行動したと称したとして、5人のEmennet Pasargadの関係者を大統領令13848に基づき指定した。
In February 2019, OFAC designated Emennet Pasargad pursuant to E.O. 13606 for having materially assisted, sponsored, or provided financial, material, or technological support for, or goods or services to or in support of, the Islamic Revolutionary Guard Corps-Electronic Warfare and Cyber Defense Organization. Net Peygard Samavat Company was involved in a malicious cyber campaign to gain access to and implant malware on the computer systems of current and former U.S. counterintelligence agents. After being designated, Net Peygard Samavat Company rebranded itself as Emennet Pasargad, presumably to evade sanctions and continue its malicious cyber operations. 2019年2月、OFACは、イラン革命防衛隊の電子戦・サイバー防衛組織に実質的な支援、資金援助、物的支援、技術支援、または商品やサービスを提供したとして、大統領令13606号に基づきEmennet Pasargadを指定した。Net Peygard Samavat Companyは、現職および元職の米国防諜機関職員のコンピューターシステムにアクセスし、マルウェアを埋め込む悪意あるサイバーキャンペーンに関与していた。指定後、Net Peygard Samavat Companyは制裁を回避し、悪意あるサイバー作戦を継続するために、Emennet Pasargadと名称を変更したとみられる。
DESIGNATION OF EMENNET PASARGAD EMPLOYEES Emennet Pasargad従業員の指定
Ali MahdavianFatemeh Sadeghi, and Elaheh Yazdi are employees of Emennet Pasargad and were named in a November 2023 U.S. Department of State Rewards for Justice programSayyed Mehdi Rahimi Hajjiabadi, Mohammad Hosein Abdolrahimi, and Rahmatollah Askarizadeh are also employees of Emennet Pasargad. アリ・マハダヴィアン、ファテメ・サデギ、エラヘ・ヤズディは、Emennet Pasargadの従業員であり、2023年11月の米国務省の司法省報奨プログラムで指定された。 セイイェド・メフディ・ラヒミ・ハジアバディ、モハマド・ホセイン・アボルラヒミ、ラフマトッラー・アスカリザデもEmennet Pasargadの従業員である。
OFAC designated Ali Mahdavian, Fatemeh Sadeghi, Elaheh Yazdi, Sayyed Mehdi Rahimi Hajjiabadi, Mohammad Hosein Abdolrahimi, and Rahmatollah Askarizadeh pursuant to E.O 13848 for being controlled by, or having acted or purported to act for or on behalf of, directly or indirectly, Emennet Pasargad, a person whose property and interests in property are blocked pursuant to E.O. 13848. OFAC は、大統領令 13848 に基づき、Ali Mahdavian、Fatemeh Sadeghi、Elaheh Yazdi、Sayyed Mehdi Rahimi Hajjiabadi、Mohammad Hosein Abdolrahimi、および Rahmatollah Askarizadeh を、大統領令 13848 に基づき財産および財産権益が凍結されている人物である Emennet Pasargad によって支配されている、または直接的もしくは間接的に同人物のために、もしくは同人物に代わって行動していた、もしくは行動したと称していたとして指定した。
SANCTIONS IMPLICATIONS 制裁措置の影響
As a result of today’s action, all property and interests in property of the designated persons described above that are in the United States or in the possession or control of U.S. persons are blocked and must be reported to OFAC. In addition, any entities that are owned, directly or indirectly, individually or in the aggregate, 50 percent or more by one or more blocked persons are also blocked. Unless authorized by a general or specific license issued by OFAC, or exempt, OFAC’s regulations generally prohibit all transactions by U.S. persons or within (or transiting) the United States that involve any property or interests in property of designated or otherwise blocked persons.  本日の措置により、上記で指定された者の米国にある、または米国人によって所有または管理されているすべての財産および財産権が凍結され、OFACに報告されなければならない。さらに、1人または複数の制裁対象者によって、直接的または間接的に、個別にまたは総計で50%以上所有されている事業体もすべて凍結される。OFACが発行する一般または特定のライセンスによる認可、または適用除外がない限り、OFACの規制では、米国人が行う、または米国国内(または米国経由)で行われる、制裁対象者またはその他の凍結対象者の財産または財産権に関わるすべての取引が一般的に禁止されている。
In addition, financial institutions and other persons that engage in certain transactions or activities with the sanctioned individuals may expose themselves to sanctions or be subject to an enforcement action. The prohibitions include the making of any contribution or provision of funds, goods, or services by, to, or for the benefit of any designated person, or the receipt of any contribution or provision of funds, goods, or services from any such person.  さらに、制裁対象の個人との特定の取引や活動に従事する金融機関やその他の個人も、制裁の対象となる可能性や、強制措置の対象となる可能性がある。禁止事項には、制裁対象の個人による、または制裁対象の個人に対する、または制裁対象の個人の利益のための、あらゆる寄付や資金、商品、サービスの提供、または制裁対象の個人からのあらゆる寄付や資金、商品、サービスの受領が含まれる。
The power and integrity of OFAC sanctions derive not only from OFAC’s ability to designate and add persons to the SDN List, but also from its willingness to remove persons from the SDN List consistent with the law. The ultimate goal of sanctions is not to punish, but to bring about a positive change in behavior. For information concerning the process for seeking removal from an OFAC list, including the SDN List, please refer to OFAC’s Frequently Asked Question 897 hereFor detailed information on the process to submit a request for removal from an OFAC sanctions list, please click here. OFAC制裁の権限と信頼性は、OFACがSDNリストに個人を指定し追加する能力だけでなく、法律に従ってSDNリストから個人を削除する意思にも由来する。制裁措置の最終的な目的は、処罰することではなく、行動に前向きな変化をもたらすことである。SDNリストを含むOFACリストからの削除を求める手続きに関する情報は、OFACのよくある質問897を参照のこと。OFAC制裁リストからの削除を求める申請手続きに関する詳細情報は、こちらをクリックのこと。
Click here for more information on the individuals designated today. 本日指定された個人に関する詳細情報は、こちらをクリックのこと。


指定した人...

・2024.09.27 Iran-related Designation; Foreign Interference in U.S. Election Designations

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.24 米国 国家情報長官室(ODNI)、FBI、CISA イランによの選挙介入に関する共同声明 (2024.09.18)

・2024.09.18 米国 CISA FBI ハッキングされた有権者情報の虚偽の主張は、米国の選挙に対する不信感を煽る意図がある可能性が高いと警鐘... (2024.09.12)

・2024.09.11 米国 CISA 選挙セキュリティチェックリスト(サイバー編と物理編) (2024.09.09)

・2024.08.22 米国 ODNI FBI CISA イランによる選挙への影響工作に関する共同声明 (2024.08.19)

・2024.08.19 米国 FBI CISA 知っておいてください: 投票期間中のランサムウェアによる混乱は、投開票プロセスのセキュリティや正確性には影響ありません!

・2024.07.25 米国 司法省監察官室 米国の選挙に対する外国の悪質な影響力の脅威に関する情報共有を調整するための司法省の取り組みの評価

・2024.07.09 米国 CISA 選挙関係者のための運用セキュリティガイド

・2024.06.20 米国 サイバーセキュリティ・インフラセキュリティ庁(CISA)と米国選挙支援委員会(EAC)が選挙セキュリティについてのガイドを発表 (2024.06.17)

・2024.06.07 欧州議会 欧州議会選挙に対する偽情報に対する準備は整った(選挙期間中)

・2024.06.02 欧州会計監査院がEU選挙を控えているので偽情報とサイバーセキュリティには気をつけろといってますね...

・2024.04.22 米国 CISA FBI ODNI 外国の悪質な影響力工作の手口から選挙インフラを守るためのガイダンス

・2024.04.14 米国 EPIC他 テック・プラットフォーマーにAIによる選挙偽情報に対抗するように要請

・2023.12.12 カナダ サイバーセキュリティセンター 選挙に対するサイバー脅威、政治家候補へのサイバーセキュリティ・アドバイス他

・2023.11.23 ENISA 2024年のEU議会議員選挙に向けたサイバー演習

・2023.10.26 ENISA 脅威状況2023 - AIによる情報操作の台頭でEUの選挙がリスクにさらされる

・2023.08.25 シンガポール CSR 大統領選に向け立候補者、有権者、それぞれに向けてサイバー関連の注意喚起

・2023.08.07 米国 MITRE グローバル民主主義への脅威

・2022.08.14 米国 国土安全保障省 監察官室 国土安全保障省は偽情報キャンペーンに対する統一的な戦略が必要

・2022.06.06 NATO CCDCOE 選挙干渉への対抗をテーマにしたイノベーションチャレンジ(52大学から56チームが参加)

 

 

イラン

・2024.09.24 米国 国家情報長官室(ODNI)、FBI、CISA イランによの選挙介入に関する共同声明 (2024.09.18)

・2024.08.30 米国 CISA FBI DC3 米国組織へのランサムウェア攻撃を可能にするイランベースのサイバー行為者に関する勧告

・2024.08.22 米国 ODNI FBI CISA イランによる選挙への影響工作に関する共同声明 (2024.08.19)

・2024.03.14 米国 インテリジェンス・コミュニティによる2024年の脅威評価 

・2023.11.16 英国 NCSC Annual Review 2023 国家サイバーセキュリティセンター2023年報告書 - 英国の重要インフラに対する永続的かつ重大な脅威を警告

・2023.09.19 米国 国防総省サイバー戦略 2023(要約)(2023.09.12)

・2023.09.15 IISS サイバー対応能力と国家力 2回目の評価は10カ国

・2023.08.28 BRICs拡大 現在の5カ国に加え、新たにアルゼンチン、エジプト、エチオピア、イラン、サウジアラビア、アラブ首長国連邦も...

・2023.08.11 米国 国家情報戦略 2023

・2023.04.09 米国 インテリジェンスコミュニティーによる2023年脅威評価 (2023.02.06)

・2023.04.04 米国 ファクトシート:「民主主義のための技術の進歩」と「バイデン-ハリス政権の国内外における民主主義の再生への揺るぎないコミットメント」 (2023.03.29)

・2023.04.03 米国 米サイバー軍がアルバニアでイランからのサイバー攻撃に対する防衛的ハント作戦を実施 (2023.03.23)

・2023.03.13 サイバー軍 ポール・M・ナカソネ将軍の姿勢表明

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2022.11.09 オーストラリア ACSC 年次サイバー脅威報告書(2021年7月から2022年6月)

・2022.11.01 カナダ サイバーセキュリティセンター 国家サイバー脅威評価 2023-2024

・2022.10.30 米国 国防総省:サイバー軍 CYBER101 - Defend Forward and Persistent Engagement (2022.10.25)

・2022.10.29 米国 国家防衛戦略

・2022.10.14 米国 国家安全保障戦略

・2022.10.13 米国 White House ファクトシート: バイデン-ハリス政権が米国のサイバーセキュリティの強化に貢献

・2022.05.19 米国 司法省 ランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことでハッカーかつランサムウェア設計者を起訴

・2022.04.06 第117回米国連邦議会におけるポール・M・ナカソネ米サイバー軍司令官の姿勢表明

・2021.11.20 米国 米下院監視改革委員会でのFBIサイバー部門アシスタントディレクターの「ハッカーを阻止し、サイバー脅威からの回復力を高めるための戦略」についての証言

・2021.06.29 IISS サイバー対応能力と国家力 日本のサイバー能力はいけていない?

・2021.06.06 米国 インテリジェンスコミュニティーによる2021年脅威評価 by ODNI at 2021.04.09

・2021.03.27 米国 連邦上院軍事委員会 公聴会 特殊作戦コマンドとサイバーコマンド

・2020.11.01 米国 CISAとFBIがイランのAPT攻撃者が有権者登録データを取得していたと公表していますね。。。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。

 

| | Comments (0)

米国 下院 国土安全保障委員会 クラウドストライクの欠陥ソフトウェアアップデートの世界的影響のアセスメントについての公聴会 (2024.09.24)

こんにちは、丸山満彦です。

米国下院の国土安全保障委員会のサイバーセキュリティ・インフラ保護小委員会が、2024.09.24にクラウドストライクの欠陥ソフトウェアアップデートの世界的影響のアセスメントに関する公聴会を開催していますね...

多くの企業が利用するソフトウェアの欠陥が世界的に大きな影響を与えたという意味では重要な問題であったと思います。原因がとしては、サイバー攻撃だろうが、ソフトウェアの単なるコーディングミスであろうが、同じですよね...

 

U.S. House of Representatives  - Homeland Security

1_20240930002701

・2024.09.24 An Outage Strikes: Assessing the Global Impact of CrowdStrike’s Faulty Software Update

 



A Cybersecurity and Infrastructure Protection Subcommittee Hearing entitled, “An Outage Strikes: Assessing the Global Impact of CrowdStrike’s Faulty Software Update.”

33分15秒くらいから会議は始まります。

 

概要について別途ページが作られていますね...

 

・2024.09.24 

ICYMI: Committee Examines CrowdStrike Processes in First Congressional Hearing on the Disastrous July Global IT Outage 見逃した人向け:委員会、7月の世界規模のIT障害に関する初の公聴会でCrowdStrikeのプロセスを検証
WASHINGTON, D.C. — This week, the House Homeland Security Subcommittee on Cybersecurity and Infrastructure Protection, led by Committee Chairman Mark E. Green, MD (R-TN) and Subcommittee Chairman Andrew Garbarino (R-NY), held a hearing to examine CrowdStrike’s defective software update that caused a major information technology (IT) outage on July 19, 2024. In the hearing, Members received witness testimony from CrowdStrike’s Senior Vice President of Counter Adversary Operations Adam Meyers. The Committee initially requested testimony from CEO George Kurtz on July 22, but was told by the company that Mr. Meyers was the appropriate witness. ワシントンD.C. — 今週、マーク・E・グリーン下院議員(共和党、テネシー州選出)とアンドリュー・ガバリノ下院議員(共和党、ニューヨーク州選出)が率いる下院国土安全保障委員会のサイバーセキュリティ・インフラ保護小委員会は、2024年7月19日に大規模なIT(情報技術)障害を引き起こしたCrowdStrikeの欠陥のあるソフトウェアアップデートを調査するための公聴会を開催した。公聴会では、CrowdStrikeの敵対者対策業務担当上級副社長アダム・メイヤーズ氏から証言を受けた。委員会は当初、7月22日にCEOのジョージ・クルツ氏から証言を受けるよう要請したが、同社からメイヤーズ氏が適切な証人であると伝えられた。
Members examined how the defective update caused an outage across industry sectors, as well as how CrowdStrike has since adjusted its processes for pre-deployment testing and the rollout of updates. Members also expressed concerns about the company’s security culture, the impact of the outage on government networks, such as the Cybersecurity and Infrastructure Security Agency (CISA), and how the cross-sector impacts of the outage could serve as a dangerous inspiration for America’s cyber adversaries. 議員らは、欠陥のあるアップデートが業界全体にわたって停電を引き起こした経緯、および、CrowdStrikeがそれ以降、展開前のテストとアップデートのロールアウトのプロセスをどのように調整したかを調査した。議員らはまた、同社のセキュリティ文化、サイバーセキュリティ・インフラセキュリティ庁(CISA)などの政府ネットワークへの停電の影響、および、停電がさまざまな業界に及ぼした影響が、アメリカのサイバー敵対者にとって危険なインスピレーションとなる可能性について懸念を表明した。
Image36
In Chairman Green’s opening statement, he highlighted the potential homeland security implications of the IT outage: グリーン議長の冒頭の声明では、IT障害が国土安全保障に及ぼす潜在的な影響について次のように強調した。
“As the July 19th outage has demonstrated yet again, our networks are increasingly interconnected. While we know that nation-state actors and criminals try to exploit our networks, we would not expect companies to defend themselves from these targeted attacks. However, as I emphasized with the President of Microsoft in June, we do expect companies to implement the strongest cybersecurity practices possible. Our nation’s security depends on a strong public-private partnership for protecting our networks. …  In August, CISA Director Jen Easterly described this incident as, ‘a useful exercise — a dress rehearsal for what China may want to do to us.’ We look forward to working with you to make sure we never make it to opening night.” 「7月19日の障害がまたも示したように、私たちのネットワークはますます相互接続されている。国家による行為や犯罪者が私たちのネットワークを悪用しようとしていることは承知しているが、企業がこうした標的型攻撃から自らを守ることは期待できない。しかし、6月にマイクロソフト社の社長と強調したように、企業が可能な限り最善のサイバーセキュリティ対策を実施することは期待している。わが国の安全保障は、ネットワーク防御のための強力な官民連携に依存している。…8月、CISAのジェン・イースタリー長官は、このインシデントを「有益な演習であり、中国が米国に対して行う可能性があることの予行演習」と表現した。私たちは、初日を迎えることが決してないよう、皆様と協力していきたいと考えている。
In his line of questioning, Chairman Green asked Meyers how the decision was made to launch the update グリーン委員長は、メイヤーズ氏にアップデートの開始がどのように決定されたのかを尋ねた。
“Who made the decision to launch the update? Did AI do that or did an individual do that––and can you tell me how that decision was made?”  「アップデートの開始を決定したのは誰か? その決定はAIが行ったのか、それとも個人が行ったのか、そしてその決定がどのように下されたのかを教えてほしい」
Meyers answered: メイヤーズ氏は次のように答えた。
“AI was not responsible for making any decision in that process. It is part of a standard process. We release 10 to 12 of these updates, content updates, every single day. So, that was part of our standard operating procedure.”  「AIは、そのプロセスにおけるいかなる決定にも関与していない。 これは標準的なプロセスの一部である。 当社は、コンテンツのアップデートを10から12件、毎日リリースしている。 つまり、これは標準的な業務手順の一部であった」 
Chairman Green continued:  グリーン委員長はさらに続けた。
“These updates are automatic globally?” 「これらのアップデートは世界中で自動的に行われたのか?
Meyers answered:  メイヤーズ氏は答えた。
“The updates were distributed to all customers in one session. We’ve since revised that. In the full testimony, I’ve included a graphic that depicts what that now looks like and that is no longer the case.”  「アップデートは1回のセッションで全顧客に配信された。その後、修正した。証言の全文には、現在の状況を示す図表を添付している。
Image37
Subcommittee Chairman Garbarino questioned Meyers on why government agencies were also affected: 小委員会のガバリノ委員長は、政府機関も影響を受けた理由についてメイヤーズ氏に質問した。
“There was reporting about CrowdStrike’s faulty software update—it’s largely focused on commercial operations, like emergency services, flights, but there was also a big impact on federal agencies such as the FCC, Social Security, CBP, and even CISA. Although networks are becoming increasingly interconnected, government networks should be isolated from commercial ones. Why were federal agencies impacted by this outage? Are there different updates to test for commercial versus government business when you deal with your clients, or is it all the same?”   「CrowdStrikeのソフトウェア更新に欠陥があったという報道がありました。これは主に緊急サービスや航空便などの商業業務に焦点を当てたものですが、FCC、社会保障、CBP、さらにはCISAなどの連邦政府機関にも大きな影響がありました。ネットワークはますます相互接続されるようになっていますが、政府のネットワークは商業ネットワークから分離されるべきです。なぜ連邦政府機関がこの停電の影響を受けたのでしょうか? 顧客と取引する際に、商業用と政府用でテストするアップデートが異なるのか、それともすべて同じなのか?」 
Meyers replied:  メイヤーズ氏は次のように答えた。
“The updates went to Microsoft Windows operating system sensors that CrowdStrike had deployed. So that would have impacted any system that was running Microsoft operating system with that particular version of CrowdStrike Falcon that was online during the time period that the channel file was distributed.”  「アップデートは、CrowdStrikeが展開したMicrosoft Windowsオペレーティングシステムのセンサーに送られた。そのため、チャンネルファイルが配布された期間中にオンラインになっていた、特定バージョンのCrowdStrike Falconを搭載したMicrosoftオペレーティングシステムを実行しているシステムすべてに影響が及んだ。
Chairman Garbarino continued:  ガバリノ議長は続けた。
“So, as long as Microsoft was on that computer, using that system––whether it was government or commercial––it didn’t matter. It was affected.”  「つまり、Microsoftがそのコンピュータ上で、政府または商業用に関わらず、そのシステムを使用している限り、影響を受けるということだ。」 
Meyers replied:  メイヤーズ氏は次のように答えた。
“As long as the CrowdStrike sensor is running on the Microsoft operating systems––on those systems at that time––yes.”  「CrowdStrikeセンサーがMicrosoftオペレーティングシステム上で動作している限り、つまり、その時点ではそのシステム上で動作している限り、その通りだ。」 
Image39
Representative Mike Ezell (R-NY) asked Meyers about concerning reports on how CrowdStrike handles staffing decisions and suppor 代表者マイク・エゼル(共和党、ニューヨーク州選出)は、CrowdStrikeの人員配置の決定とサポートに関する報告について、メイヤーズ氏に質問した。
“A recent article stated that, ‘engineers and threat hunters were given just two months for work that would have normally taken a year.’ Additionally, the article noted that CrowdStrike confirmed its use of  ‘existing engineers instead of hiring a new team of cloud threat hunters.’ Pearl River Community College and many others in my district offer an excellent cybersecurity technology program for our next generation of students to help fill this unsettling skills gap. Do you make these staffing decisions because of a lack of adequate job force in the industry?”  「最近の報道では、『エンジニアや脅威ハンターは通常1年かかる仕事をわずか2か月でこなすよう命じられた』と述べられていた。さらに、記事では、クラウド脅威ハンターの新しいチームを雇用する代わりに、既存のエンジニアを活用するとCrowdStrikeが確認したと指摘していた。パールリバー・コミュニティ・カレッジをはじめ、私の選挙区内の多くの大学では、次世代の学生を対象に、この不安を煽るスキルギャップを埋めるための優れたサイバーセキュリティ技術プログラムを提供している。このような人員配置の決定は、業界で十分な労働力が不足していることが理由ですか?」
Meyers answered:  メイヤーズ氏は次のように答えた。
“We have a robust internship program. We bring some of the most talented from these internal and external internship programs, and recruit from all over the country and all over the world in order to fill positions.”  「当社には充実したインターンシップ・プログラムがある。社内および社外のインターンシップ・プログラムから最も優秀な人材を一部採用し、また、全米および世界中から採用して、ポジションを埋めている。
Rep. Ezell continued:  エゼル議員はさらに続けた。
“What steps do you take to better support your staff and ensure that they have the right tools and skills to succeed?”  「スタッフをより良くサポートし、成功に必要な適切なツールとスキルを確実に習得させるために、どのような対策を講じていますか?」
Meyers answered: メイヤーズ氏は次のように答えた。
“We have extensive internal training programs. We also send our team to various trainings across the globe, different industry trainings at conferences, and other programs where they can learn new skills and continue to develop their existing skills. We also have some of our own researchers and analysts conduct trainings at those same events to help train individuals that are not yet in the workforce, or working at other companies, in order to learn some of the critical skills that are needed to identify and to track advanced threat actors.”  「当社には広範な社内研修プログラムがあります。また、当社のチームを世界各地のさまざまな研修や、会議での異業種研修、その他、新しいスキルを習得し、既存のスキルを継続的に向上させることができるプログラムに参加させています。また、当社の研究者やアナリストが、同じイベントでトレーニングを実施し、まだ社会に出ていない人や他社で働いている人に対して、高度な脅威行為者を識別し追跡するために必要な重要なスキルを習得する手助けもしている。
Image41
Representative Laurel Lee (R-FL) questioned Meyers on the risks and benefits of CrowdStrike’s cybersecurity software running at the core of the operating system––the kernel––rather than the user space: ローレル・リー(フロリダ州選出、共和党)代表者は、ユーザー空間ではなく、オペレーティングシステムの中心であるカーネルで動作するCrowdStrikeのサイバーセキュリティソフトウェアのリスクと利点について、メイヤーズ氏に質問した。
“CrowdStrike has this really extraordinary access into the kernel of the operating system, and you all were talking a bit about the risk versus efficiency of having this kind of access and making updates within the kernel. Share with me your thoughts on whether this incident could have been averted, or future incidents could be averted, by using the user space for this kind of update.” 「CrowdStrikeはオペレーティングシステムのカーネルに非常に特別なアクセス権限を持っています。この種のアクセス権限を持ち、カーネル内で更新を行うことのリスクと効率性について、皆さんも少しお話しされていましたね。この種の更新にユーザー領域を使用することで、今回のインシデントや将来のインシデントを回避できた可能性があるかどうか、ご意見をお聞かせください。」
Meyers replied:  メイヤーズ氏は次のように答えた。
“Thank you for the question. The kernel, as I said, provides the visibility, the enforcement mechanism, the telemetry and visibility, as well as the anti-tamper. So, I would suggest that while things can be conducted in user mode from a security perspective, kernel visibility is certainly critical to ensuring that a threat actor does not insert themselves into the kernel themselves and disable or remove the security products and features.”  「ご質問ありがとうございます。 私が申し上げたように、カーネルは可視性、強制メカニズム、遠隔測定および可視性、そして改ざん防止を提供します。 ですから、セキュリティの観点からユーザーモードで実行できるとしても、脅威行為者が自らカーネルに侵入し、セキュリティ製品や機能を無効化または削除することがないよう、カーネルの可視性は確かに重要です。」 
Rep. Lee continued:  リー議員はさらに続けた。
“So, is it your assessment then that it’s not possible, really in realistic terms, to do it outside of the kernel?”  「では、現実的な観点から見て、カーネル外で実行することは不可能だというのがあなたのアセスメントですか?」
Meyers replied: メイヤーズ氏は次のように答えた。
“With the current kernel architecture, this is the most effective way to get the visibility and to prevent an adversary from tampering with security tools.”  「現在のカーネルアーキテクチャでは、可視性を確保し、敵対者がセキュリティツールを改ざんするのを防ぐには、これが最も効果的な方法です。」
Rep. Lee pressed:  リー議員はさらに追及した。
“So, it’s ‘the most effective way,’ but it’s not the only way possible?”  「最も効果的な方法」ではあるが、唯一の方法ではないということですね?」 
Meyers replied: メイヤーズ氏は次のように答えた。
“It is certainly the industry standard to use the kernel for visibility, enforcement, and anti-tamper––to ensure that you can stop a threat.”  「可視性、施行、および改ざん防止にカーネルを使用することは、業界標準です。脅威を確実に阻止できるようにするためです。
Rep. Lee continued:  リー議員は続けた。
“You’ve testified thus far that you’ve made modifications to the phased rollout approach and also the pre-deployment testing. What other modifications has CrowdStrike made or changes to your internal practices to avert future-similar incidents?”  「あなたはこれまで、段階的展開のアプローチと展開前のテストに修正を加えたと証言してきました。同様のインシデントを今後回避するために、CrowdStrikeは他にどのような修正を加え、社内での業務をどのように変更したのですか?」
Meyers answered: メイヤーズ氏は次のように答えた。
“That is the primary change that we’ve made.”  「それが私たちが実施した主な変更点です。」 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.14 米国 FTC ブログ 機能停止を回避し、広範囲にわたるシステム障害

・2024.08.11 CROWDSTRIKE ファルコンのトラブルの根本原因分析報告書 (2024.08.06)

・2024.08.05 米国 GAO ブログ CrowdStrikeの混乱がソフトウェア・アップデートによる主要なサイバー脆弱性を浮き彫りにする (2024.07.30)

・2024.07.20 米国 CISAもCrowdStrikeの更新の問題について情報提供をしていますね...はやい...

 

 

| | Comments (0)

経済産業省 第1回 サイバーインフラ事業者に求められる役割等の検討会 (2024.09.24)

こんにちは、丸山満彦です。

経済産業省の「サイバーインフラ事業者に求められる役割等の検討会」の第1回会議の資料等が公開されていますね...

サイバーインフラ事業者というのは誰か?ということですが、

  1. 開発者:システム・サービス開発に従事する事業者・人員
  2. 供給者:顧客に、システム・サービスを提供する事業者・人員
  3. 運用者:顧客に、システム・サービス運用を提供する事業者・人員

を想定しているようです。

で、対象は、ソフトウェア

ソフトウェアには、

  1. ソフトウェア製品クラウドサービスを含む)
  2. IT/OTシステムまたはICTサービスを構成する構成ソフトウェア(専用に開発するソフトウェアのほか、パッケージソフトウェア、ソフトウェアライブラリ、オープンソースソフトウェアなどのソフトウェア製品も含む)
  3. OT/IoT機器などのハードウェア製品組込みソフトウェアファームウェアも含む)

となっています。

論理的にはPCのOSも含むことになるのでしょうね...そして、IaaSも...

日本でサービスを展開している海外事業者も対象となるという想定ですよね...

でも、まぁ、ガイドラインですし、海外事業者があまり気にしないというのは想定内?

 

このWGでは、基準をつくって、普及させるための自己適合宣言といったことも考えているようですね。

気になるのは、要求事項をどのように決めるのかということですね。。。

実施してもらう要求事項について、WG側で実行の難易度を想定して決めるような進め方になっています?が、もしそうだとするとそれは良くないですね。

・WGは社会的に実施が必要と考える要求事項を考える。

・事業者側でリスク便益分析をした上で実施すべき要求事項を決める。(実行の難易度は事業者側で決める)

とすべきですね。こういう進め方は政府で統一してすべきですね。リスクアセスメントはあくまでも事業者が実施する。

WGの委員の方も経済産業省の方もちょっと考えてほしいところです...

 

自己適合宣言は、普及のための施策としてありと思います。その際に、経済産業省等の公式ウェブで自己適合宣言をしている企業の名前を公表すべきだと思います。そのほうが、利用者側も確認しやすい!

そして、その企業の自己適合宣言に誤り等があると自己が判断した場合は、取り下げることもありと思います。取り下げには、その記録も合わせて公表すべきですね。

これも制度をする上で重要なポイントと思います。

 

● 経済産業省産業サイバーセキュリティ研究会 - WG1(制度・技術・標準化) - WG1(分野横断SWG) - サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース

・2024.09.24 第1回 サイバーインフラ事業者に求められる役割等の検討会 

・・資料1 議事次第・配布資料一覧

・・資料2 委員名簿

・・資料3 本検討会の議事運営について

・・資料4 サイバーインフラ事業者に求められる役割等の検討の方向性

20240929-141817

・・参考資料 サイバーインフラ事業者に求められる役割等に関するガイドライン素案(委員限り)

 


 

何をしようとしているのかは、

20240929-142136

 

| | Comments (0)

2024.09.29

オランダ 個人データ庁 意見募集 「操作的欺瞞的、搾取的なAIシステム」

こんにちは、丸山満彦です。

オランダの個人データ庁が、禁止AIシステム、操作的欺瞞的、搾取的なAIシステムについての意見募集をしていますね...AI法の適用を見据えて、徐々にこのようなガイドが整備されていくのでしょうかね...

AI法第5条で禁止されるAIが8つ定義されています...

A:特定の操作型AIシステム(サブリミナル技術の利用等)
B:特定の搾取的AIシステム(個人や集団の弱みに漬け込む利用等)
C:ソーシャル・スコアを用いて作動する特定のAIシステム
D:個人による犯罪の可能性を予測する特定のAIシステム
E:顔画像の非標的スクレイピング
F:職場や教育における感情認識のための特定のAIシステム
G:生体認証による人物分類のための特定のAIシステム
H:法執行目的の公共の場における遠隔リアルタイム生体認証のための特定のAIシステム

このうち、

A:特定の操作型AIシステム(サブリミナル技術の利用等)
B:特定の搾取的AIシステム(個人や集団の弱みに漬け込む利用等)

についてのガイド案となるようです。

それ以外についても追って公表されるようです...次は、

F:職場や教育における感情認識のための特定のAIシステム

のようです。

 

● Autoriteit Persoonsgegevens

プレス...

・2024.09.27 Oproep voor input: verbod op manipulatieve en uitbuitende AI-systemen

Oproep voor input: verbod op manipulatieve en uitbuitende AI-systemen 意見募集:操作的で搾取的なAIシステムの禁止
De Directie Coördinatie Algoritmes (DCA) van de Autoriteit Persoonsgegevens (AP) vraagt input op de eerste twee verboden uit de AI-verordening.  個人データ庁(AP)のアルゴリズム調整局(DCA)は、AI規制における最初の2つの禁止事項に関する意見を求めている。
Input gevraagd 意見募集
In deze eerste oproep tot input gaan wij in op de eerste twee verboden in de AI-verordening: manipulatieve en misleidende AI-systemen (verbod A) en uitbuitende AI-systemen (verbod B). Later vragen wij ook om input op de andere verboden. この最初の意見募集では、AI規制における最初の2つの禁止事項、すなわち、操作的で誤解を招くようなAIシステム(禁止事項A)と搾取的なAIシステム(禁止事項B)を取り上げる。その後、その他の禁止事項についても意見を求める。
In de oproep worden specifieke criteria voor deze verboden AI-systemen toegelicht, waarbij ook vragen worden gesteld voor aanvullende input. U kunt uw input tot 17 november 2024 indienen. 今回の募集では、これらの禁止されるAIシステムの具体的な基準について、追加意見を求める質問も含めて説明する。2024年11月17日まで意見を提出できる。
Lees ook: Input op verboden AI-systemen 関連記事:禁止されるAIシステムについての意見

 

・2024.09.27 Input op verboden AI-systemen

Input op verboden AI-systemen 禁止されるAIシステムについての意見
Als coördinerend toezichthouder op algoritmes en AI is de AP van start gegaan met de voorbereiding van toezicht op verboden AI-toepassingen. Deze verboden zijn al per 2 februari 2025 van toepassing. アルゴリズムとAIに関する調整監督機関として、APは禁止されたAIアプリケーションの監督準備を開始した。これらの禁止は早ければ2025年2月2日から適用される。
Input gevraagd 求められる意見
Bedrijfsleven, overheden, belangengroeperingen en het brede publiek worden opgeroepen input te geven op verschillende verboden uit de AI-verordening. Met de opbrengst kan gewerkt worden aan de verdere uitleg van de verboden AI-systemen. 企業、政府、利益団体、一般市民は、AI規制における様々な禁止事項について意見を提供するよう求められている。寄せられた意見は、AI禁止事項のさらなる説明に役立てられる。
De AI-verordening kent meerdere verboden, daarom komt er een serie van oproepen. AI規制にはいくつかの禁止事項があり、そのため一連の募集が行われる。
Oproep 1: verbod op manipulatieve en uitbuitende AI-systemen 募集1:操作的搾取的なAIシステムの禁止
In de eerste oproep voor input gaan wij in op de eerste twee verboden in de AI-verordening: manipulatieve en misleidende AI-systemen (verbod A) en uitbuitende AI-systemen (verbod B). Later vragen wij ook om input op de andere verboden. 最初の意見募集では、AI規制の最初の2つの禁止事項、すなわち、操作的欺瞞的なAIシステム(禁止事項A)と搾取的なAIシステム(禁止事項B)を取り上げる。その後、他の禁止事項についても意見を求める。
In de oproep worden specifieke criteria voor deze verboden AI-systemen toegelicht, waarbij ook vragen worden gesteld voor aanvullende input. U kunt uw input tot 17 november 2024 indienen. 募集では、追加意見を求める質問を含め、これらの禁止されるAIシステムの具体的な基準を説明する。2024年11月17日まで意見を提出できる。

 

・[PDF] Manipulatieve, misleidende en uitbuitende AI-systemen - Verbodsbepalingen in EU-verordening 2024/1689 (AI-verordening)

20240928-202548

 

Oproep tot input  意見募集 
Manipulatieve, misleidende en uitbuitende AI-systemen  操作的欺瞞的、搾取的なAIシステム 
Verbodsbepalingen in EU-verordening 2024/1689 (AI-verordening)  EU規則2024/1689(AI規則)における禁止事項 
Autoriteit Persoonsgegevens - Directie Coördinatie Algoritmes (DCA)  個人データ機関 - アルゴリズム調整局(DCA) 
Sep-24 9月24日
 DCA-2024-01   DCA-2024-01 
Samenvatting 概要
De Europese AI-verordening (2024/1689) is sinds 1 augustus 2024 van kracht en reguleert het gebruik van AI in de Europese Unie (EU) door middel van een risico-gebaseerde aanpak. Als gevolg hiervan zijn bepaalde AI-systemen die een onaanvaardbaar risico met zich meebrengen vanaf 2 februari 2025 verboden.  欧州AI規則(2024/1689)は2024年8月1日から施行されており、欧州連合(EU)におけるAIの利用をリスクベースアプローチで規制している。その結果、許容できないリスクをもたらす特定のAIシステムは2025年2月2日から禁止される。 
Het is aan toezichthouders op de AI-verordening om uitleg te even over de wijze waarop ten behoeve van toezicht invulling wordt gegeven aan de in deze verordening opgenomen verboden. Ter voorbereiding daarop vraagt de Autoriteit Persoonsgegevens (AP) via deze oproep tot input om behoeften, informatie en inzichten van belanghebbenden (burgers, overheden, bedrijven en andere organisaties) en hun vertegenwoordigingen. Alle reacties kunnen worden meegenomen in de verdere uitleg van de verboden AI-systemen.  AI規制の監督当局は、監督上、この規制に含まれる禁止事項がどのように実施されるかを説明する必要がある。この準備のため、個人情報機関(AP)は、この意見募集を通じて、利害関係者(市民、政府、企業、その他の組織)およびその代理人からのニーズ、情報、洞察を求めている。 すべての回答は、禁止されているAIシステムのさらなる説明において考慮することができる。 
In deze eerste oproep tot input gaan wij in op de eerste twee verboden: manipulatieve en misleidende AI-systemen (verbod A) en uitbuitende AI-systemen (verbod B). Later vragen wij ook om input op de andere verboden. In dit document worden specifieke criteria voor deze verboden AI-systemen toegelicht, waarbij ook vragen worden gesteld voor aanvullende input. Input kan tot 17 november 2024 worden ingediend.  この最初の意見募集では、最初の2つの禁止事項、すなわち、操作的で欺瞞的なAIシステム(禁止事項A)と搾取的なAIシステム(禁止事項B)を取り上げる。その後、他の禁止事項についても意見を求める。この文書では、これらの禁止されるAIシステムの具体的な基準について説明し、追加的な意見を求める質問を含む。意見は2024年11月17日まで提出できる。
De AP doet deze oproep tot input vanuit haar rol als coördinerend toezichthouder op algoritmes en AI. Deze taken zijn binnen de AP belegd bij de directie Coördinatie Algoritmes (DCA). Tevens ligt de oproep tot input in het verlengde van het voorbereidende werk dat wordt gedaan ten behoeve van het toezicht op verboden AI-systemen onder de AIverordening. De regering werkt op dit moment aan de formele aanwijzing van nationale toezichthouders voor de AI-verordening.  APは、アルゴリズムとAIの調整規制機関としての役割から、この意見募集を行っている。これらの業務はAP内のアルゴリズム調整局(DCA)に委ねられている。また、今回の意見募集は、AI規則のもとで禁止されているAIシステムの監督に向けて行われている準備作業に沿ったものである。政府は現在、AI規則の国内規制当局の正式な指定に向けて作業を進めている。
I. Achtergrond  I. 背景 
1. Sinds 1 augustus 2024 is de Europese AI-verordening (2024/1689) van kracht. Deze verordening bevat regels over het aanbieden en gebruiken van artificiële (kunstmatige) intelligentie (AI) in de EU. Het uitgangspunt van de AI-verordening is dat er vele nuttige toepassingen van AI zijn, maar dat de technologie ook risico’s met zich meebrengt, die beheerst moeten worden. De wet is daarbij risicogericht. Daarbij zullen voor systemen met een hoger risico strengere regels gaan gelden. Sommige systemen brengen echter dusdanige risico’s met zich mee dat het in de handel brengen of in gebruik nemen ervan volledig wordt verboden. AI-systemen brengen bijvoorbeeld een onaanvaardbaar risico met zich mee als ze worden ingezet voor manipulatie en uitbuiting. De verboden zijn opgenomen in artikel 5 van de AIverordening.  1. 欧州AI規則(2024/1689)は2024年8月1日より施行されている。この規則は、EUにおける人工(AI)知能の提供と利用に関する規則を定めたものである。AI規制の前提は、AIには多くの有用な用途があるが、技術にはリスクもあり、それを管理しなければならないということである。この観点から、法律はリスクベースとなっている。そうすることで、リスクの高いシステムにはより厳しい規則が適用されることになる。しかし、システムの中には、市場投入やサービス開始が完全に禁止されるようなリスクをもたらすものもある。例えば、AIシステムは、操作や搾取に使用される場合、容認できないリスクをもたらす。禁止事項はAI規制の第5条に定められている。 
Verboden AI-toepassingen vanaf februari 2025  2025年2月から禁止されるAIアプリケーション 
2. De verboden in de AI-verordening worden snel van toepassing. Vanaf 2 februari 2025 mogen de in artikel 5 opgenomen verboden AI-systemen niet meer op de Europese markt worden aangeboden of gebruikt. Vanaf 2 augustus 2025 moeten de toezichthouders zijn aangewezen en kunnen er sancties worden opgelegd voor overtredingen van de verboden. Voorafgaand zouden overtreding van de verboden al kunnen leiden tot civielrechtelijke aansprakelijkheid.  2. AI規制の禁止事項は間もなく適用される。2025年2月2日以降、第5条に記載された禁止されたAIシステムは、欧州市場において入手または使用することができなくなる。2025年8月2日からは、監督者を任命し、禁止事項に違反した場合には制裁を科すことができる。禁止事項に違反した場合は、すでに民事責任を問われる可能性がある。 
Toezicht op naleving van de verbodsbepalingen  禁止遵守の監視 
3. Welke toezichthouder in Nederland toezicht zal houden op de naleving van de verboden wordt vastgelegd in wetgeving waaraan de Nederlandse regering momenteel werkt. De AP (vanuit de directie Coördinatie Algoritmes) en de Rijksinspectie Digitale Infrastructuur (RDI) geven hierover advies in samenwerking en afstemming met andere toezichthouders. In een tweede tussenadvies hebben de toezichthouders in mei 2024 voorgesteld de AP hoofdverantwoordelijk te maken voor het toezicht op naleving van de bepalingen omtrent verboden AI. Bij opvolging van de adviezen zal de AP voor de verboden op manipulatieve en uitbuitende AI-systemen nauw samenwerken met andere relevante toezichthouders, in het bijzonder met de Autoriteit Financiële Markten (AFM). De toezichthouders adviseren het kabinet namelijk om de AFM aan te wijzen als marktautoriteit wanneer verboden AI-systemen worden gebruikt in het toezichtsveld van de AFM. Ook dient in ieder geval te worden afgestemd met de Autoriteit Consument & Markt (ACM) vanwege de raakvlakken met de bepalingen over manipulatieve en misleidende praktijken in onder andere het consumentenrecht en de Digitale dienstenverordening (Digital Services Act; DSA).  3. オランダのどの規制当局が禁止事項の遵守を監督するかは、オランダ政府が現在作成中の法律で規定される。AP(アルゴリズム調整局より)とデジタルインフラ局(RDI)は、他の規制当局と協力・協調しながら、この点について助言を行っている。2024年5月の2回目の中間アドバイスでは、規制当局は、禁止AIに関する規定の遵守を監視する主な責任をAPに負わせることを提案した。この助言に従えば、APは操作的で搾取的なAIシステムの禁止に関して、他の関連規制当局、特に金融市場庁(AFM)と緊密に連携することになる。実際、規制当局は、禁止されているAIシステムがAFMの監督領域で使用される場合、AFMを市場当局として指定するよう政府に助言している。また、消費者法やデジタルサービス法(DSA)などにおける操作的・欺瞞的行為に関する規定との接点があるため、どのような場合でも消費者市場庁(ACM)との連携が必要である。
4. Met deze oproep tot input wordt een voorbereidende basis gelegd voor verdere uitleg van de verboden in de AI-verordening. Omdat de verboden in deze oproep raken aan AI-systemen die ook onder ander Unierecht vallen is afgestemd met het Samenwerkingsplatform Digitale Toezichthouders (AI en Algoritmekamer) en is de oproep ook besproken in de Werkgroep Toezichthouders op AI, aansluitend op de gedachte van artikel 78, 8e lid van de AI Act om andere nationale toezichthouders te betrekken die verantwoordelijk zijn voor ander Unierecht dat van toepassing is op AI systemen.
4.この意見募集は、AI規則における禁止事項のさらなる解釈のための準備基盤となるものである。本意見募集の禁止事項は、他のEU法でもカバーされているAIシステムに関するものであるため、デジタル監督者協力プラットフォーム(AI・アルゴリズム会議所)と調整され、AIシステムに適用される他のEU法を担当する他の国の監督者を巻き込むというAI法第78条8項の考えに沿って、AI監督者ワーキンググループでも議論されている。
II. Doel en proces oproep tot input  II. 意見募集の目的とプロセス 
Doel: waarom vragen wij om input 目的:なぜ意見を求めるのか
5. Het is aan toezichthouders op de AI-verordening om uitleg te geven over de wijze waarop ten behoeve van toezicht invulling wordt gegeven aan de in deze verordening opgenomen verboden. Ter voorbereiding vraagt de AP via deze oproep om behoeftes, informatie en inzichten van belanghebbenden (burgers, overheden, bedrijven en andere organisaties) en hun vertegenwoordigingen. Deze reacties kunnen worden meegenomen in de verdere uitleg over de verboden op AI-systemen die manipulatieve en misleidende of uitbuitingspraktijken gebruiken. Deze taak wordt binnen de AP uitgevoerd door de directie Coördinatie Algoritmes (DCA).  5. AI規則の監督当局は、本規則に含まれる禁止事項が監督の目的のためにどのように解釈され るかを説明する必要がある。その準備として、APはこの呼びかけを通じて、利害関係者(市民、政府、企業、その他の組織)およびその代理人からのニーズ、情報、洞察を求める。これらの回答は、操作的で欺瞞的、または搾取的な慣行を使用するAIシステムの禁止についてさらに説明する際に考慮される。このタスクは、AP内ではアルゴリズム調整局(DCA)によって遂行される。 
6. Deze oproep tot input gaat in het bijzonder om de verboden in lid 1, onderdelen a en b van artikel 5 van de AI-verordening. De wetstekst en toelichting uit de overwegingen bij de wet vormen de basis voor deze oproep tot input. Gezien de omvang en de reikwijdte van deze eerste twee verbodsbepalingen is ervoor gekozen om een oproep tot input voor deze bepalingen te publiceren. Zie de bijlage van dit document voor een overzicht van de verboden in onderdelen a tot en met g van artikel 5 lid 1 van de AI-verordening.  6. この意見募集は、特にAI規則第5条第1項(a)および(b)の禁止事項を取り上げている。本意見募集の根拠となるのは、同法のリサイタルにある法文と説明である。この最初の2つの禁止事項の規模と範囲を考慮し、これらの条項に関する意見募集を公表することを選択した。AI規則第5条第1項a~gの禁止事項の概要については、本文書の付属文書を参照のこと。
7. In deze oproep tot input worden specifieke onderdelen van deze twee verbodsbepalingen uitgelicht. Het gaat hierbij in bijna alle gevallen om specifieke criteria waaraan moet worden voldaan om wel of niet onder de verbodsbepalingen te vallen. We geven steeds een korte toelichting op basis van de uitleg die de wetgever geeft in de toelichting op de AI-verordening. In enkele gevallen geven wij onze eigen uitleg. Vervolgens stellen wij enkele vragen.  7. この意見募集は、これら2つの禁止事項の特定の部分に焦点を当てたものである。ほとんどの場合、禁止事項に該当する、あるいは該当しないために満たさなければならない具体的な基準である。私たちは常に、AI規則の注釈にある立法者の説明に基づいて簡単な説明を行う。場合によっては独自の説明をすることもある。その後、いくつかの質問をする。
Proces: zo stuurt u uw input naar ons  プロセス:このようにして私たちに意見を送る。
8. U bepaalt zelf welke vragen u beantwoordt. Ook kunt u, buiten de gestelde vragen, andere relevante input meegeven. Mail uw reactie uiterlijk 17 november 2024 naar [mail]
onder vermelding van oproep tot input DCA-2024-01 (“manipulatieve, misleidende en uitbuitende AIsystemen”) en uw naam en/of organisatie. Indien u dat wenst ontvangen wij ook graag uw contactgegevens zodat wij u kunnen bereiken als wij eventueel nog vragen hebben. Wanneer wij uw input hebben ontvangen, sturen wij een bevestiging per e-mail. 
8. どの質問に答えるかはあなたが決める。質問されたこと以外にも、関連する意見を提供することができる。2024年11月17日までに、意見募集DCA-2024-01(「操作的、誤解を招く、搾取的なAIシステム」)と、あなたの氏名および/または組織を明記の上、[mail] まで。希望であれば、さらに質問がある場合に連絡できるよう、連絡先の詳細もお知らせいただきたい。あなたの入力を受け取り次第、確認の電子メールを送信する。 
Vervolg: wat doen wij met uw input?  フォローアップ:あなたの意見をどうするか?
9. De AP zal na de sluiting va deze oproep tot input een samenvatting en appreciatie van de inbreng over manipulatieve, misleidende en uitbuitende AI-systemen publiceren. In deze samenvatting zullen wij in generieke termen verwijzen naar de ontvangen input (bijvoorbeeld: “meerdere sectorvertegenwoordigende organisaties geven aan”, “een ontwikkelaar van AI-systemen wijst er op dat”, “vanuit organisaties die zich sterk maken voor grondrechten wordt opgemerkt dat”). Indien u dit wenst en aangeeft, is het een mogelijkheid dat wij uw organisatie of groepering expliciet benoemen. Middels onze samenvattende en appreciërende reactie kunnen wij de opgedane kennis daarbij ook delen met andere (Europese) toezichthouders op AI. Zo kan de opgehaalde input bijvoorbeeld gebruikt worden bij het opstellen van richtsnoeren over de verboden. Op Europees niveau kan de AI Office, een onderdeel van de Europese Commissie, dergelijke guidelines ook samen met de toezichthouders opstellen.  9. APは本意見募集の終了後、操作的、誤解を招く、搾取的なAIシステムに関する意見の要約と評価を公表する。この要約では、寄せられた意見について一般的な用語で言及する(例えば、「複数の業界代表組織からの指摘」、「AIシステムの開発者からの指摘」、「基本的権利擁護組織からの指摘」など)。ご希望があれば、あなたの組織や団体名を明示することも可能である。要約と感謝の回答を通じて、このプロセスで得られた知識を、AIに関する他の(欧州の)規制当局と共有することもできる。例えば、禁止事項に関するガイドラインを起草する際に、収集した意見を利用することができる。欧州レベルでは、欧州委員会の一部であるAI事務局が、規制当局とともにそのようなガイドラインを起草することもできる。 
10.We gebruiken uw input alleen voor onze taak om informatie en inzichten te verkrijgen over de verboden in de AI-verordening. Wij verwijderen uw persoonsgegevens na publicatie van onze samenvatting en appreciatie van de input. Tenzij u toestemming heeft gegeven voor verder gebruik. Bekijk voor meer informatie over hoe wij persoonsgegevens verwerken: De AP en privacy.  10.当社は、AI規則の禁止事項に関する情報と見識を得るという当社の任務のためにのみ、あなたの意見を使用する。ご意見の要約と評価を公表した後、あなたの個人データを削除する。ただし、お客様がさらなる使用を許可した場合を除く。個人情報の取り扱いに関する詳細は、APとプライバシーを参照のこと。 
Er komen meer oproepen voor input aan  さらなる意見募集のお知らせ 
11. Na deze oproep komen er meer oproepen voor input over andere onderdelen van de AI-verordening, inclusief de andere verboden. De AP wil op korte termijn een oproep doen voor input op verbod F: AIsystemen voor emotieherkenning op de werkplek of in het onderwijs.  11. この意見募集の後、他の禁止事項を含むAI規制の他の部分についても意見募集を行う予定である。APは近い将来、禁止事項F:職場や教育における感情認識のためのAIシステムに関する意見募集を行う予定である。 
III. Definitie van verbodsbepalingen manipulatieve, misleidende en uitbuitende AI-systemen  III. 操作的、誤解を招く、搾取的なAIシステムの禁止事項の定義 
Algemene reikwijdte verboden AI-systemen  禁止されるAIシステムの一般的範囲 
12.De AI-verordening (en de verboden daarin) zijn van toepassing op ‘AI-systemen’. Ter bepaling of de verordening van toepassing is, is de eerste vraag of het product valt onder de definitie van AI-systeem:  12.AI規則(およびその中の禁止事項)は、「AIシステム」に適用される。規制が適用されるかどうかを判断するにあたっては、まず、製品がAIシステムの定義に該当するかどうかが問題となる: 
“Een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat na het inzetten ervan aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen die van invloed kunnen zijn op fysieke of virtuele omgevingen.”  「さまざまなレベルの自律性で動作するように設計され、導入後は適応性を示すことができる機械ベースのシステムであって、明示的または黙示的な目的のために、物理的または仮想的な環境に影響を及ぼす可能性のある予測、コンテンツ、推奨、決定などの出力を生成する方法を、受け取った入力から導き出すもの」。 
13.De verboden zijn gericht aan aanbieders (bijv. ontwikkelaars), gebruiksverantwoordelijken, importeurs, distributeurs en andere operatoren. Zij mogen de verboden AI-systemen niet in de handel brengen, in gebruik stellen of gebruiken. Het is voor de bovenstaande operatoren dus van belang dat ze zekerstellen dat ze geen verboden AI-systeem in de handel brengen of gebruiken. Hiervoor zullen ze moeten nagaan of het desbetreffende AI-systeem valt onder de verbodsbepalingen in artikel 5.  13.禁止対象は、プロバイダー(開発者など)、ユースケース、輸入業者、販売業者、その他の事業者である。これらの事業者は、禁止されたAIシステムを販売、委託、使用することはできない。 したがって、上記の事業者は、禁止されたAIシステムを市場に出したり、使用したりしないようにすることが重要である。そのためには、当該AIシステムが第5条の禁止事項に該当するかどうかを確認する必要がある。 
Inhoud eerste twee verbodsbepalingen  最初の2つの禁止事項の内容 
14.Deze oproep tot input richt zich op de verboden die in onderdeel a en b van artikel 5 lid 1 worden omschreven. Allereerst verbiedt de AI-verordening AI-systemen die gebruik maken van manipulatieve of misleidende technieken (hierna: manipulatieve systemen). In het vervolg van deze oproep tot input spreken we van “verbod A”. In de verordening is dit verbod als volgt omschreven:  14.今回の意見募集では、第5条(1)の(a)項と(b)項に規定される禁止事項に焦点を当てる。まず、AI規則は、操作的又は欺瞞的な技術を使用するAIシステム(以下、操作的システム)を禁止している。本意見募集では、これを「禁止事項A」と呼ぶ。規則では、この禁止事項を以下のように定義している: 
Artikel 5 lid 1, onder a (“verbod A”):  第5条1項a(「禁止事項A」): 
“het in de handel brengen, het in gebruik stellen of het gebruiken van een AI-systeem dat subliminale technieken waarvan personen zich niet bewust zijn of doelbewust manipulatieve of misleidende technieken gebruikt, met als doel of effect het gedrag van personen of een groep personen wezenlijk te verstoren door hun vermogen om een geïnformeerd besluit te nemen merkbaar te belemmeren, waardoor een persoon een besluit neemt dat deze anders niet had genomen, op een wijze die ertoe leidt of er waarschijnlijk toe zal leiden dat deze of andere personen, of een groep personen, aanzienlijke schade oplopen;”  「人が知らないサブリミナル技法、または意図的に操作的もしくは欺瞞的な技法を使用するAIシステムを市場に投入、使用開始、または使用することで、その人または他の人、または人の集団に実質的な損害を与える、または与える可能性がある方法で、その人または人の集団が十分な情報を得た上で意思決定を行う能力を著しく損なうことによって、その人の行動を実質的に妨害し、それによってその人が他の方法では行わなかったであろう意思決定を行わせる目的または効果を持つこと。 
15.Daarop aansluitend verbiedt de verordening ook AI-systemen die gebruik maken van uitbuitingspraktijken (hierna: uitbuitende systemen). In deze oproep tot input spreken we van “verbod B”. Het gaat dan om:  15.これに続き、搾取的手法を用いるAIシステム(以下、搾取的システム)も禁止する。本意見募集では、これを「禁止事項B」と呼ぶ。これらは以下の通りである: 
Artikel 5 lid 1, onder b (“verbod B”):  第5条1項b(以下「禁止事項B」という: 
“het in de handel brengen, het in gebruik stellen of het gebruiken van een AI-systeem dat gebruikmaakt van de kwetsbaarheden van een persoon of specifieke groep personen als gevolg van hun leeftijd, handicap of een specifieke sociale of economische omstandigheid, met als doel of met als gevolg het gedrag van die persoon of personen die tot deze groep behoren, wezenlijk te verstoren op een wijze die ertoe leidt of waarvan redelijkerwijze te verwachten is dat deze ertoe zal leiden dat deze of andere personen aanzienlijke schade oplopen;”  「個人またはその集団に属する者の行動を、その者または他の者に実質的な危害をもたらすか、またはもたらす可能性が合理的に高い方法で実質的に妨害する目的または効果をもって、その者またはその集団に属する者の年齢、障害または特定の社会的もしくは経済的状況に起因する特定の集団の脆弱性を悪用するAIシステムを市場に投入、サービス開始または使用すること。
IV. Verbodscriteria en vragen  IV. 禁止基準と質問事項 
16. Om deze oproep tot input te structureren, worden in de volgende sectie afzonderlijke criteria van de verboden onder de aandacht gebracht. Deze criteria worden uitgelicht omdat ze belangrijke voorwaarden zijn om te bepalen of AI-systemen wel of niet onder verbod A of verbod B vallen. Voor elk criterium wordt een korte toelichting gegeven, gebaseerd op de uitleg van de wetgever in de toelichtende overwegingen bij de AI-verordening en in enkele gevallen de eigen interpretatie van de AP. Daarna volgen enkele begeleidende vragen die u kunt gebruiken bij het geven van uw input.  16. この意見募集を構成するため、以下のセクションでは、禁止事項の個々の基準を強調する。これらの基準が強調されているのは、AIシステムが禁止事項Aまたは禁止事項Bに該当するか否かを判断するための重要な条件だからである。各基準については、AI規則の説明リサイタルにおける立法者の説明と、場合によってはAP独自の解釈に基づき、簡単な説明を行う。続いて、意見を述べる際に利用できる付随的な質問をいくつか示す。
Criterium 1 (verbod A en B): op AI gebaseerde manipulatieve, misleidende of uitbuitingspraktijken  基準1(禁止事項AおよびB):AIに基づく操作的、欺瞞的または搾取的な慣行 
17. Om onder de verbodsbepalingen te vallen is het voor zowel manipulatieve of misleidende systemen (verbod A) als uitbuitende systemen (verbod B) een vereiste dat kan worden aangetoond dat de praktijk op AI is gebaseerd. Veel manipulatieve of misleidende praktijken zijn verboden onder het consumentenrecht met betrekking tot oneerlijke handelspraktijken. De verbodsbepalingen voor dergelijke AI-praktijken vormen een aanvulling op de bepalingen van Richtlijn 2005/29/EG van het Europees Parlement en de Raad, met name die bepalingen waarin is vastgesteld dat oneerlijke handelspraktijken die tot economische of financiële schade voor consumenten leiden onder alle omstandigheden verboden zijn, ongeacht of zij via AI-systemen of anderszins tot stand worden gebracht.  17. 禁止事項に該当するためには、操作的または欺瞞的なシステム(禁止事項A)、搾取的なシステム(禁止事項B)ともに、その行為がAIに基づくものであることを示す必要がある。操作的または欺瞞的な行為の多くは、不公正な商行為に関する消費者法で禁止されている。このようなAI慣行の禁止は、欧州議会および理事会指令2005/29/ECの規定を補完するものであり、特に、消費者に経済的または金銭的な損害をもたらす不公正な商行為は、それがAIシステムによって達成されたか否かにかかわらず、あらゆる状況において禁止されている。
Vragen bij criterium 1  基準1に関する質問 
1. Kunt u voorbeelden geven van systemen die zijn gebaseerd op AI en die (mogelijk) leiden tot manipulatieve of misleidende en/of uitbuitingspraktijken?  1. 操作的欺瞞的、および/または搾取的な行為につながる(可能性のある)AIベースのシステムの例を示すことができるか?
2. Kent u AI-systemen waarbij het voor u onvoldoende duidelijk is of deze leiden tot misleidende en manipulatieve en/of uitbuitingspraktijken? Waarover heeft u meer duidelijkheid nodig? Kunt u dit verder toelichten? 2. 誤解を招き、操作的、搾取的な行為につながるかどうかが十分に明確でないAIシステムを知っているか?何をより明確にする必要があるか?さらに詳しく説明できるか?
Gebruikmaking van (i) subliminale, manipulatieve en misleidende technieken of van (ii) kwetsbaarheden  (i)サブリミナル的、操作的、誤解を招くような手法の使用、または(ii)脆弱性の使用 
18. In de volgende paragrafen worden de onderdelen ‘subliminale en misleidende technieken’ (verbod A) en ‘kwetsbaarheden’ (verbod B) afzonderlijk omschreven. Deze onderdelen hebben exclusief betrekking op verbod A of verbod B en brengen dus verschillende vragen met zich mee.  18. 以下の段落では、「サブリミナル的で誤解を招くようなテクニック」(禁止事項 A)と「脆弱性」(禁止事項 B)を分けて記述する。これらのセクションは、禁止事項Aまたは禁止事項Bにのみ関連しており、したがって異なる問題を提起している。
Criterium 2 (verbod A): Gebruik maken van subliminale en misleidende technieken  基準2(禁止事項A): サブリミナルや誤解を招くようなテクニックの使用 
19. Verbod A is van toepassing op AI-systemen die gebruikmaken van subliminale technieken, waarvan personen zich niet bewust zijn, of welke doelbewust gebruikmaken van manipulatieve of misleidende technieken. In de toelichting wordt beschreven dat hiervoor gebruikgemaakt kan worden van subliminale componenten zoals audio, beelden en videostimuli die personen niet kunnen waarnemen of beheersen. Het gaat daarbij om stimuli die verder gaan dan de menselijke perceptie, of andere manipulatieve of bedrieglijke technieken die de autonomie, besluitvorming of vrije keuze van personen ondermijnen of beperken op wijzen waarvan mensen zich van deze technieken niet bewust zijn of waarbij, zelfs als ze zich er bewust van zijn, ze nog steeds misleid kunnen worden of hen niet kunnen beheersen of weerstaan. Gebruik van technologie voor machine-hersen-interfaces of virtuele realiteit vergroten de mogelijkheid tot dergelijke controle. 19. 禁止事項Aは、個人が気づかないようなサブリミナル・テクニックを用いたり、意図的に操作的または誤解を招くようなテクニックを用いたりするAIシステムに適用される。説明文では、個人が知覚または制御できない音声、画像、映像刺激などのサブリミナル・コンポーネントを使用することが含まれると説明されている。これには、人間の知覚を超えた刺激や、個人の自律性、意思決定、自由な選択を損なったり制限したりするような、操作的または欺瞞的なテクニックが含まれる。 機械と脳のインターフェース技術やバーチャルリアリティの使用は、そのような支配の可能性を高める。

Vragen bij criterium 2  基準2に関する質問 
3. Kent u voorbeelden van AI-systemen die gebruikmaken van subliminale technieken?  3. サブリミナル技術を使ったAIシステムの例を知っているか? 
4. Kunt u AI-specifieke voorbeelden geven van subliminale componenten zoals audio, beelden, videostimuli die personen niet kunnen waarnemen of beheersen?  4. 音声、画像、映像刺激など、個人が知覚・制御できないサブリミナル的な要素について、AIに特化した例を示すことができるか?
Criterium 3 (verbod B): Gebruikmaken van kwetsbaarheden  基準3(禁止事項B): 脆弱性を利用する 
20. Verbod B is van toepassing op AI-systemen die gebruikmaken van kwetsbaarheden van mensen. Uit de verordening volgt verder dat uitbuitende systemen worden verboden als deze gebruikmaken van de kwetsbaarheden van een persoon of een specifieke groep personen als gevolg van hun leeftijd – denk aan kinderen en ouderen– handicap (zoals omschreven in de Toegankelijkheids-richtlijn (richtlijn (EU) 2019/882)) of specifieke sociale of economische omstandigheid die ze kwetsbaarder maakt voor uitbuiting, zoals mensen die in extreme armoede leven of personen die behoren tot een etnische of religieuze minderheid.  20. 禁止事項Bは、人間の脆弱性を利用するAIシステムに適用される。さらに規則から、搾取的なシステムが、年齢(子どもや高齢者を指す)、障害(アクセシビリティ指令(指令(EU)2019/882)で定義されている)、または極度の貧困状態にある人、民族的・宗教的マイノリティに属する人など、搾取されやすくなる特定の社会的・経済的状況に起因する人または特定のグループの脆弱性を利用する場合は、禁止されることになる。
Vragen bij criterium 3  基準3に関する質問 
5. Kunt u voorbeelden geven van AI-systemen die, volgens u, gebruikmaken van kwetsbaarheden van een persoon of een specifieke groep personen? En kunt u dat toelichten?  5. 個人または特定の集団の脆弱性を利用しているとあなたが考える AI システムの例を挙げることができるか。また、それを説明できるか。 
6. Zijn er volgens u ook gevallen die mogelijk onterecht buiten de reikwijdte van het verbod vallen? 6. 禁止事項の範囲から不当に除外されるケースはあるか。
Criterium 4 (verbod A en B): Aanzienlijke schade  基準4(禁止事項AおよびB): 実質的損害 
21. Een voorwaarde voor toepasselijkheid van zowel verbod A als B is dat de verstoring van gedrag uiteindelijk ertoe leidt of redelijkerwijze ertoe kan leiden dat er aanzienlijke schade wordt opgelopen door een persoon of personen. Daarvan is in ieder geval sprake als er voldoende belangrijke negatieve gevolgen voor de fysieke of psychologische gezondheid of voor financiële belangen zijn. Daarmee gaat het verbod verder dan alleen de bescherming van economische belangen en gaat het juist ook over het bieden van bescherming tegen het aanrichten van fysieke of psychologische schade.  21. 禁止事項 A と B の両方が適用されるための条件は、行為の妨害が最終的に人または人に 実質的な危害をもたらすか、またはもたらす可能性があることである。身体的もしくは心理的健康、または経済的利益に対して十分に重大な悪影響がある場合は、どのような場合でもそうである。 したがって、この禁止は経済的利益の保護にとどまらず、身体的または心理的な危害の発生を防止するためのものでもある。 
Vragen bij criterium 4  基準4に関する質問 
7. Kunt u voorbeelden geven van systemen die aanzienlijke schade teweeg (kunnen) brengen voor iemands fysieke of psychologische gezondheid of financiële belangen? Welke vragen of behoefte aan verduidelijking in de context van deze verboden heeft u hierbij? 7. 人の身体的・心理的健康や経済的利益に重大な危害を与える(可能性のある)システムの例を挙げることができるか。これらの禁止事項に関して、どのような疑問や明確化の必要性があるか。
Criterium 5 (verbod A en B): Met als doel of effect/gevolg de wezenlijke verstoring van gedrag  基準5(禁止事項AおよびB): 行動を実質的に妨害する目的または効果/作用を伴う 
22.Uit de verbodsbepalingen volgt dat het in de handel brengen, het in gebruik stellen of het gebruiken van een AI-systeem het doel of effect (verbod A) of het doel of gevolg (verbod B) moet hebben het gedrag van personen wezenlijk te verstoren. Als de verstoring van het gedrag het gevolg is van factoren buiten het AIsysteem waarop de aanbieder of de gebruiksverantwoordelijke geen invloed heeft dan kan worden aangenomen dat de doelstelling (intentie) nooit was om het gedrag te verstoren. Deze factoren waren dan redelijkerwijs niet te voorzien.  22. 人の行動を実質的に妨害する目的若しくは効果(禁止事項A)又は目的若しくは効果(禁止事項B)を有するAIシステムの上市、使用開始又は使用は禁止される。行動の混乱が、提供者や使用責任者のコントロールの及ばないAIシステム外の要因によるものである場合、その目的(意図)は決して行動を混乱させることではなかったと考えることができる。その場合、これらの要因は合理的に予見可能なものではなかったことになる。
23.Voor verbod A geldt dat van een wezenlijke verstoring sprake is als het doel of effect/gevolg is dat een AIsysteem het vermogen van personen om een geïnformeerd besluit te nemen merkbaar belemmert, waardoor zij een besluit nemen dat ze anders niet hadden genomen. De wetgever heeft niet verder uitgewerkt wat een verstoring van gedrag is in het geval er gebruikt wordt gemaakt van uitbuitende systemen (verbod B). Aangenomen wordt dat de lat voor toepassing van dit verbod op dit punt lager ligt omdat er sprake is van gebruikmaking van kwetsbaarheden. Voor beide verbodsbepalingen geldt dat een wezenlijke verstoring betrekking kan hebben op zowel individuele personen als groepen personen.  23.禁止事項Aについて、重大な混乱は、その目的または効果・結果が、AIシステムが個人の十分な情報に基づいた意思決定の能力を顕著に妨害し、そうでなければ取らなかったであろう意思決定を取らせる場合に生じる。立法者は、搾取的なシステム(禁止事項B)を使用する場合、何が行動の混乱を構成するかについて詳しく説明していない。この点については、脆弱性を利用するため、この禁止を適用するためのハードルが低くなっていると推測される。いずれの禁止事項についても、重大な混乱は個人と個人の集団の両方に関係する可能性がある。
Vragen bij criterium 5  基準5に関する質問 
8. Kent u voorbeelden van AI-systemen die het vermogen van personen om besluiten te nemen zo beïnvloeden dat het vermogen om een geïnformeerd besluit te nemen kan worden belemmerd waardoor zij een besluit kunnen nemen dat anders niet was genomen? Welke vragen of behoefte aan verduidelijking in de context van deze verboden heeft u hierbij?  8. 十分な情報に基づいた意思決定を行う能力が損なわれ、そうでなければ行われなかったであろう意思決定を行うことを可能にするような形で、個人の意思決定能力に影響を与える AI システムの例を知っているか。 これらの禁止事項に関して、どのような疑問や明確化の必要性があるか。
9. Kent u voorbeelden van situaties waarin het gedrag van een of meerdere groepen personen volgens u wordt verstoord door een AI-systeem? Welke vragen of behoefte aan verduidelijking in de context van deze verboden heeft u hierbij? 9. AI システムによって、ある集団または複数の集団の行動が損なわれると考える状況を知っているか。この点に関して、これらの禁止事項の文脈でどのような疑問や明確化の必要性があるか。
Criterium 6 (verbod A en B): Individuele en groepsschade  基準6(禁止事項AおよびB): 個人および集団への危害 
24. Verbod A en B zijn van toepassing als schade wordt veroorzaakt of redelijkerwijs waarschijnlijk veroorzaakt kan worden bij de personen wier gedrag wordt verstoord of bij andere personen. Daarbij kan het ook gaan om schade die wordt toegebracht aan een groep personen.  24. 禁止事項AおよびBは、行動を妨害された人または他の人に危害が生じる、あるいは生じる可能性が合理的に高い場合に適用される。 これには、集団に生じる危害も含まれる。
Vragen bij criterium 6  基準6に関する質問 
10. Kent u situaties waarin sprake is van een wezenlijke verstoring van gedrag van een persoon of groep personen, die leidt tot schade bij andere personen dan die groep en waarin AIsystemen een rol spelen? Welke vragen of behoefte aan verduidelijking in de context van deze verboden heeft u hierbij?  10. 個人または集団の行動が実質的に妨害され、その集団以外の者に危害が及び、AIシステムが関与する状況を知っているか。この点について、本禁止事項の文脈上、どのような疑問や明確化の必要性があるか。
Reikwijdte van de verboden  禁止事項の範囲 
25.Er zijn in de overwegingen van de verordening ook situaties omschreven waarin een AI-systeem niet onder de verbodsbepalingen zou moeten vallen. De toelichting bij de verordening (ovw. 29) verduidelijkt dat de verboden geen afbreuk mogen doen aan rechtmatige praktijken in het kader van medische behandelingen, zoals psychologische behandeling van een psychische aandoening of lichamelijke revalidatie, wanneer die praktijken worden uitgevoerd overeenkomstig de toepasselijke medische normen en wetgeving, bijvoorbeeld met uitdrukkelijke toestemming van de natuurlijke personen of hun wettelijke vertegenwoordigers. Ook mogen gangbare en legitieme handelspraktijken, bijvoorbeeld in de reclamesector, die in overeenstemming zijn met het toepasselijke recht op zich niet worden beschouwd als schadelijke manipulatieve AI-praktijken.  25.また、規則のリサイタルには、AIシステムが禁止事項の対象とならない状況も定義されている。規則の解説書(Rev.29)では、精神疾患の心理的治療や身体的リハビリテーションなど、医療行為に関連する合法的な行為については、自然人またはその法定代理人の明示的な同意がある場合など、適用される医療基準や法律に従って実施される場合には、禁止事項が影響を及ぼすべきではないことを明確にしている。同様に、一般的で合法的なビジネス慣行、例えば広告分野での慣行は、適用される法律に沿ったものであり、それ自体が有害な操作的AI慣行とみなされるべきではない。
Vragen bij criterium 7  基準7に関する質問 
11. Welke medische behandelingen kent u die zijn gebaseerd op AI en waarbij gebruik wordt gemaakt van subliminale technieken?  11. AIに基づき、サブリミナル・テクニックを用いた医療行為を知っているか?
12. Zijn er mogelijk andere categorieën doeleinden of toepassingen van AI-systemen waarvan het onduidelijk is of deze onder de verbodsbepalingen zouden moeten vallen? Welke vragen of behoefte aan verduidelijking in de context van deze verboden heeft u hierbij?  12. 禁止事項の対象とすべきかどうかが不明確なAIシステムの目的または使用は、他に分類される可能性があるか。この点について、どのような疑問や明確化の必要性があるか。
26.Ter afsluiting wordt benadrukt dat dit document niet alle aspecten van de verbodsbepalingen uitlicht. Geïnteresseerden worden daarom nadrukkelijk ook uitgenodigd om buiten de gestelde vragen om, relevante input te geven ten behoeve van de verdere uitleg van verbod A en verbod B.  26.結論として、本文書は禁止事項の全ての側面に焦点を当てたものではないことを強調する。したがって、利害関係者は、禁止事項Aおよび禁止事項Bのさらなる説明のために提示された質問以外にも、関連する意見を提供するよう明示的に要請される。
Vragen ter afsluiting  結論としての質問 
13. Is er buiten de gestelde vragen, relevante input die u mee wil geven ten behoeve van de verdere uitleg van verbod A en verbod B?  13. 禁止事項Aおよび禁止事項Bのさらなる説明のために、提示された質問以外に、関連する意見を提供 したいか。 
14. Vindt u het wenselijk dat wij uw organisatie of groepering expliciet noemen in onze publieke reactie en appreciatie op deze oproep tot input, bijvoorbeeld zodat wij in kunnen gaan op voorbeelden en overwegingen die u aandraagt?  14. この意見募集に対する私たちの公的な回答および謝辞の中で、あなたの組織または団体について明示的に言及することが望ましいと思われるか。
Bijlage: overzicht verbodsbepalingen uit artikel 5 lid 1 van de AI-verordening 2024/1689  附属書:AI規則2024/1689第5条1項における禁止事項の概要 
Verbod A: Bepaalde manipulatieve AI-systemen  禁止事項A:特定の操作型AIシステム 
AI-systemen die subliminale technieken waarvan personen zich niet bewust zijn of doelbewust manipulatieve of misleidende technieken gebruiken, met als doel of effect het gedrag van personen of een groep personen wezenlijk te verstoren door hun vermogen om een geïnformeerd besluit te nemen merkbaar te belemmeren, waardoor zij een besluit nemen dat zij anders niet hadden genomen, op een wijze die ertoe leidt of er redelijkerwijs waarschijnlijk toe zal leiden dat deze of andere personen, of een groep personen, aanzienlijke schade oplopen.  個人が知らないサブリミナル・テクニックを使用する、または意図的に操作的もしくは欺瞞的なテクニックを使用するAIシステムであって、個人または他の個人、もしくは個人の集団に重大な危害をもたらすか、またはもたらす可能性が合理的に高い方法で、十分な情報に基づいた意思決定を行う能力を著しく損なうことにより、個人または個人の集団の行動を実質的に妨害し、それにより、他の方法では行わなかったであろう意思決定を行わせる目的または効果を有するもの。
Verbod B: Bepaalde uitbuitende AI-systemen  禁止事項B:特定の搾取的AIシステム 
AI-systemen die gebruikmaken van de kwetsbaarheden van een natuurlijke persoon of specifieke groep personen als gevolg van hun leeftijd, handicap of een specifieke sociale of economische omstandigheid, met als doel of met als gevolg het gedrag van die persoon of personen die tot deze groep behoren, wezenlijk te verstoren op een wijze die ertoe leidt of waarvan redelijkerwijze te verwachten is dat deze ertoe zal leiden dat deze of andere personen aanzienlijke schade oplopen.  自然人または特定の集団の年齢、障害または特定の社会的もしくは経済的状況に起因する脆弱性を悪用するAIシステムであって、当該個人または当該集団に属する者の行動を、当該個人または他の者に重大な危害をもたらす、またはもたらす可能性が合理的に高い方法で、実質的に妨害することを目的とし、またはその効果を有するもの。
Verbod C: Bepaalde AI-systemen die werken met een sociale score  禁止事項C:ソーシャル・スコアを用いて作動する特定のAIシステム 
AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken.  社会的行動、既知、推論、予測される個人的または人格的特徴に基づき、一定期間にわたって自然人または集団を評価または分類するAIシステム。 
Hierbij heeft de sociale score een of beide van de volgende gevolgen:  その際、社会的スコアは以下の効果の一方または両方を持つ: 
• De nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld, of;  ・データが元々生成または収集された文脈とは無関係な社会的文脈において、 特定の自然人または集団が不利または不利に扱われる; 
• De nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan zijn.  ・特定の自然人または集団に対して,その社会的行動や重大性に不当または不釣り合いな不利益または不利な扱いをすること。
Verbod D: Bepaalde AI-systemen die de kans op strafbare feiten door personen voorspellen  禁止事項D: 個人による犯罪の可能性を予測する特定のAIシステム 
AI-systemen voor risicobeoordelingen van natuurlijke personen om het risico dat een natuurlijke persoon een strafbaar feit pleegt te beoordelen of te voorspellen, uitsluitend op basis van de profilering van een natuurlijke persoon of op basis van de beoordeling van diens persoonlijkheidseigenschappen en kenmerken.  自然人のリスクアセスメントのためのAIシステムは、自然人のプロファイリングまたはその人の人格的特徴および特性の評価のみに基づいて、自然人が犯罪を犯すリスクを評価または予測する。 
Dit verbod geldt niet voor AI-systemen die worden gebruikt ter ondersteuning van de menselijke beoordeling van de betrokkenheid van een persoon bij een criminele activiteit, die reeds op rechtstreeks met de criminele activiteit verband houdende objectieve en verifieerbare feiten is gebaseerd.  この禁止は、犯罪活動に直接関連する客観的かつ検証可能な事実に既に基づいている、犯罪活動への人物の関与に関する人間の評価を支援するために使用されるAIシステムには適用されない。 
Verbod E: Ongerichte scraping van gezichtsafbeeldingen  禁止事項E:顔画像の非標的スクレイピング 
AI-systemen die databanken voor gezichtsherkenning aanleggen of aanvullen door ongerichte scraping van gezichtsafbeeldingen van internet of CCTV-beelden.  インターネットやCCTV画像から顔画像を非標的的にスクレイピングすることにより、顔認識データベースを作成または補完するAIシステム。
Verbod F: Bepaalde AI-systemen voor emotieherkenning op de werkplek of in het onderwijs  禁止事項F:職場や教育における感情認識のための特定のAIシステム 
AI-systemen om emoties van een natuurlijke persoon op de werkplek en in het onderwijs uit af te leiden, behalve wanneer het gebruik van het AI-systeem is bedoeld om uit medische of veiligheidsoverwegingen te worden ingevoerd of in de handel te worden gebracht.  職場や教育現場において、自然人の感情を推測するAIシステム。ただし、医療や安全上の理由でAIシステムの導入や販売が意図されている場合を除く。
Verbod G: Bepaalde AI-systemen voor biometrische categorisering van personen  禁止事項G:生体認証による人物分類のための特定のAIシステム 
AI-systemen voor biometrische categorisering die natuurlijke personen individueel in categorieën indelen op basis van biometrische gegevens om hun ras, politieke opvattingen, lidmaatschap van een vakbond, religieuze of levensbeschouwelijke overtuigingen, seksleven of seksuele gerichtheid af te leiden. Dit verbod geldt niet voor het labelen of filteren van rechtmatig verkregen biometrische datasets, zoals afbeeldingen, op basis van biometrische gegevens of categorisering van biometrische gegevens op het gebied van rechtshandhaving.  人種、政治的意見、労働組合員、宗教的または哲学的信条、性生活または性的指向を推測するために、バイオメトリクスデータに基づいて自然人を個別に分類するバイオメトリクス分類のためのAIシステム。この禁止は、合法的に入手された画像などのバイオメトリックデータセットの、バイオメトリックデータに基づくラベリングやフィルタリング、または法執行分野におけるバイオメトリックデータの分類には適用されない。
Verbod H: Bepaalde AI-systemen voor biometrische identificatie op afstand in real time in openbare ruimte met het oog op rechtshandhaving  禁止事項H:法執行目的の公共の場における遠隔リアルタイム生体認証のための特定のAIシステム 
AI-systemen voor biometrische identificatie op afstand in real time in openbare ruimten met het oog op de rechtshandhaving.  法執行を目的とした公共空間における遠隔リアルタイム・バイオメトリクス識別のための AI システム。 
Dit verbod geldt niet voor zover gebruik van een dergelijk AI-systeem strikt noodzakelijk is voor een van de volgende doelstellingen:  この禁止は、そのようなAIシステムの使用が以下のいずれかの目的のために厳密に必要である限りにおいて適用されない: 
• Het gericht zoeken naar specifieke slachtoffers van ontvoering, mensenhandel of seksuele uitbuiting van mensen, alsook het zoeken naar vermiste personen;  ・誘拐、人身売買、性的搾取の特定の被害者、および行方不明者の捜索; 
• Het voorkomen van een specifieke, aanzienlijke en imminente dreiging voor het leven of de fysieke veiligheid van natuurlijke personen, of een reële en actuele of reële en voorspelbare dreiging van een terroristische aanslag;  ・自然人の生命または身体の安全に対する具体的、重大かつ差し迫った脅威、またはテロ攻撃の現実的かつ現在的または現実的かつ予測可能な脅威を防止すること; 
• De lokalisatie of identificatie van een persoon die ervan wordt verdacht een strafbaar feit te hebben gepleegd, ten behoeve van een strafrechtelijk onderzoek of vervolging of tenuitvoerlegging van een straf voor in bijlage II van de AI-verordening genoemde strafbare feiten waarop in de betrokken lidstaat een vrijheidsstraf of een tot vrijheidsbeneming strekkende maatregel staat met een maximumduur van ten minste vier jaar.  ・AI規則の附属書IIに記載された犯罪で,当該加盟国において最高4年の拘禁刑または拘禁命令により処罰されるものについて,犯罪捜査,訴追または刑罰の執行を目的として,犯罪を犯したと疑われる者の所在を特定すること。
Dit verbod doet geen afbreuk aan artikel 9 van Verordening (EU) 2016/679 voor de verwerking van biometrische gegevens voor andere doeleinden dan rechtshandhaving.  この禁止は、法執行以外の目的でのバイオメトリクス・データの処理に関する規則(EU)2016/679の第9条を損なうものではない。

 

 

 

 


 

ちなみに、AI法第5条の第1項...

Article 5 第5条
Prohibited AI practices 禁止されるAIの慣行
1.   The following AI practices shall be prohibited: 1. 以下のAIの慣行は禁止されるものとする。
(a) the placing on the market, the putting into service or the use of an AI system that deploys subliminal techniques beyond a person’s consciousness or purposefully manipulative or deceptive techniques, with the objective, or the effect of materially distorting the behaviour of a person or a group of persons by appreciably impairing their ability to make an informed decision, thereby causing them to take a decision that they would not have otherwise taken in a manner that causes or is reasonably likely to cause that person, another person or group of persons significant harm; (a) 人の意識を超えたサブリミナル技術、または意図的に人を操る技術や人を欺く技術を展開するAIシステムを、市場に投入すること、稼働させること、または使用すること。その目的または結果として、 情報に基づく意思決定を行う能力を著しく損なうことにより、個人または複数の個人による行動を実質的に歪め、その結果、その個人、他の個人、または複数の個人に重大な危害を引き起こす、または引き起こす可能性が合理的に高い方法で、その個人に意思決定を行わせることを目的とする、またはその目的を達成する効果を持つ
(b) the placing on the market, the putting into service or the use of an AI system that exploits any of the vulnerabilities of a natural person or a specific group of persons due to their age, disability or a specific social or economic situation, with the objective, or the effect, of materially distorting the behaviour of that person or a person belonging to that group in a manner that causes or is reasonably likely to cause that person or another person significant harm; (b) 年齢、障害、特定の社会的または経済的状況により、自然人または特定のグループに属する者の脆弱性を悪用するAIシステムを、市場に投入、使用、または稼働させること。その目的または結果として、その個人またはそのグループに属する者の行動を歪め、その個人または他の者に重大な危害を引き起こす、または引き起こす可能性が高い場合。
(c) the placing on the market, the putting into service or the use of AI systems for the evaluation or classification of natural persons or groups of persons over a certain period of time based on their social behaviour or known, inferred or predicted personal or personality characteristics, with the social score leading to either or both of the following: (c) 一定期間にわたって、自然人の社会的行動または既知、推論、予測された個人または人格的特性に基づいて、自然人または自然人のグループを評価または分類するAIシステムの市場への投入、運用、または使用。社会的スコアは、以下のいずれかまたは両方につながる。
(i) detrimental or unfavourable treatment of certain natural persons or groups of persons in social contexts that are unrelated to the contexts in which the data was originally generated or collected; (i) データがもともと生成または収集された文脈とは無関係な社会的文脈において、特定の自然人または自然人グループに不利益または好ましくない扱いをもたらすこと
(ii) detrimental or unfavourable treatment of certain natural persons or groups of persons that is unjustified or disproportionate to their social behaviour or its gravity; (ii) 特定の自然人または自然人グループに不利益または好ましくない扱いをもたらすこと、ただし、その社会的行動またはその重大性に対して不当または不均衡である場合
(d) the placing on the market, the putting into service for this specific purpose, or the use of an AI system for making risk assessments of natural persons in order to assess or predict the risk of a natural person committing a criminal offence, based solely on the profiling of a natural person or on assessing their personality traits and characteristics; this prohibition shall not apply to AI systems used to support the human assessment of the involvement of a person in a criminal activity, which is already based on objective and verifiable facts directly linked to a criminal activity; (d) 犯罪行為を犯す自然人に関するリスクを評価または予測することを目的として、自然人のプロファイリングのみ、またはその人格特性や特徴の評価に基づいて、自然人のリスク評価を行うAIシステムの市場への投入、この特定の目的のための利用、または使用。この禁止は、犯罪行為への関与に関する人間の評価を支援するために使用されるAIシステムには適用されない。この評価は、すでに犯罪行為に直接関連する客観的かつ検証可能な事実に基づいている。
(e) the placing on the market, the putting into service for this specific purpose, or the use of AI systems that create or expand facial recognition databases through the untargeted scraping of facial images from the internet or CCTV footage; (e) インターネットまたはCCTV映像から顔画像を無差別に収集することで顔認識データベースを作成または拡大するAIシステムの市場への投入、この特定の目的のための利用、または使用、
(f) the placing on the market, the putting into service for this specific purpose, or the use of AI systems to infer emotions of a natural person in the areas of workplace and education institutions, except where the use of the AI system is intended to be put in place or into the market for medical or safety reasons; (f) 職場および教育機関の分野における、自然人の感情を推論するAIシステムの市場への投入、この特定の目的のための利用、または使用。ただし、AIシステムの使用が医療上または安全上の理由で実施または市場に投入されることを目的としている場合は除く。
(g) the placing on the market, the putting into service for this specific purpose, or the use of biometric categorisation systems that categorise individually natural persons based on their biometric data to deduce or infer their race, political opinions, trade union membership, religious or philosophical beliefs, sex life or sexual orientation; this prohibition does not cover any labelling or filtering of lawfully acquired biometric datasets, such as images, based on biometric data or categorizing of biometric data in the area of law enforcement; (g)  生体認証分類システムを市場に投入すること、この特定の目的で使用すること、または生体認証データに基づいて個々の自然人(自然人)を分類し、人種、政治的意見、労働組合の会員資格、宗教的 性生活や性的指向を推論または推測する生体認証分類システムの使用。この禁止事項は、生体認証データに基づく合法的に取得された画像などの生体認証データセットのラベル付けやフィルタリング、または法執行分野における生体認証データの分類には適用されない。
(h) the use of ‘real-time’ remote biometric identification systems in publicly accessible spaces for the purposes of law enforcement, unless and in so far as such use is strictly necessary for one of the following objectives: (h) 以下の目的のいずれかに対して厳密に必要な場合を除き、またその範囲内において、法執行の目的で、一般市民がアクセス可能な公共の場所で「リアルタイム」遠隔生体識別システムを使用すること。
(i) the targeted search for specific victims of abduction, trafficking in human beings or sexual exploitation of human beings, as well as the search for missing persons; (i) 特定の拉致、人身取引、人身売買、性的搾取の被害者、および行方不明者の捜索を目的とした捜索。
(ii) the prevention of a specific, substantial and imminent threat to the life or physical safety of natural persons or a genuine and present or genuine and foreseeable threat of a terrorist attack; (ii) 自然人の生命または身体の安全に対する具体的かつ現実的で差し迫った脅威、またはテロ攻撃の現実的かつ差し迫った脅威の防止
(iii) the localisation or identification of a person suspected of having committed a criminal offence, for the purpose of conducting a criminal investigation or prosecution or executing a criminal penalty for offences referred to in Annex II and punishable in the Member State concerned by a custodial sentence or a detention order for a maximum period of at least four years. (iii) 犯罪捜査、起訴、または、附属書IIに記載され、当該加盟国において禁固刑または最長4年間の拘禁命令により処罰される犯罪に対する刑事罰の執行を目的とした、犯罪を行った疑いのある者の特定または身元確認。
Point (h) of the first subparagraph is without prejudice to Article 9 of Regulation (EU) 2016/679 for the processing of biometric data for purposes other than law enforcement. 第1項第(h)号は、法執行以外の目的での生体データの処理については、規則(EU)2016/679第9条を損なうものではない。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.26 欧州委員会 信頼できる安全なAI開発の推進を誓約するEUのAI協定に100社以上が署名

・2024.09.25 ベルギー データ保護機関 AIシステムとGDPR (2024.09.19)

・2024.09.08 欧州評議会 AI条約の署名開始... (2024.09.05)

・2024.08.05 欧州AI法が施行された... (2024.08.01)

・2024.07.19 ドイツ BfDI フランス CNIL オランダ AP EU AI法関連

・2024.07.16 EU 2024.07.12にAI法がEU官報に掲載された

・2024.05.22 EU 欧州理事会がAI法を承認...まもなく発効されますね...

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2023.12.10 欧州委員会、欧州議会がAI法について政治的合意

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

| | Comments (0)

韓国 個人情報保護委員会 事例付き「自動化された決定に対する情報主体の権利ガイド」を公開

こんにちは、丸山満彦です。

韓国の個人情報保護委員会が、事例も載せた「自動化された決定に対する情報主体の権利ガイド」を公開していますね...欧州とはかなり密接に情報交換をしているのでしょうかね...

こういう文書も公表できるというのは、委員会内でもいろいろと知見を溜めているのでしょうね...

 

개인정보위

・2024.09.26 개인정보위, 사례 중심의 “자동화된 결정에 대한 정보주체의 권리 안내서” 공개

개인정보위, 사례 중심의 “자동화된 결정에 대한 정보주체의 권리 안내서” 공개 個人情報委員会、事例中心の「自動化された決定に対する情報主体の権利ガイド」を公開
  개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 9월 26일부터 인공지능(AI) 등 자동화된 결정*이 이루어지는 영역에서 기업ㆍ기관 등이 준수해야 하는 사항을 담은 「자동화된 결정에 대한 개인정보처리자의 조치 기준」(고시)이 시행된다고 밝혔다. 이와 함께, 자동화된 결정에 대한 정보주체의 권리와 기업ㆍ기관 등의 조치사항을 사례 중심으로 설명한 안내서도 공개했다. 個人情報保護委員会(委員長コ・ハクス、以下「個人情報委員会」)は、9月26日から人工知能(AI)など自動化された決定*が行われる領域で企業・機関などが遵守すべき事項を盛り込んだ「自動化された決定に対する個人情報処理者の措置基準」(告示)が施行されると明らかにした。これと共に、自動化された決定に対する情報主体の権利と企業・機関などの措置事項を事例中心に説明したガイドも公開した。
   * ‘자동화된 결정’은 인공지능 기술을 적용한 시스템을 포함한 완전히 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정을 말한다. 정보주체는 자동화된 결정에 대해 설명 또는 검토 요구를 할 수 있고, 권리 또는 의무에 중대한 영향을 미치는 경우에는 거부할 수 있다.(「개인정보 보호법」 제37조의2) * '自動化された決定'は、人工知能技術を適用したシステムを含む完全に自動化されたシステムで個人情報を処理して行われる決定をいう。情報主体は、自動化された決定に対して説明または検討要求をすることができ、権利または義務に重大な影響を及ぼす場合には拒否することができる(「個人情報保護法」第37条の2)。
  제도 시행에 따라 기업ㆍ기관 등이 정보주체의 권리와 의무에 영향을 미치는 결정을 하면서 사람이 개입하지 않는 방식으로 운영하는 때에는 그 기준과 절차를 공개하는 등 투명성 확보와 함께 설명이 가능하도록 미리 준비해야 한다.  制度の施行により、企業・機関などが情報主体の権利と義務に影響を及ぼす決定を行い、人が介入しない方式で運営する場合には、その基準と手順を公開するなど、透明性の確保と説明ができるように事前に準備しなければならない。
  먼저, 모든 자동화된 시스템에 의한 결정이 자동화된 결정에 해당하는 것은 아니므로 자동화된 결정에 해당하는지 여부를 확인해야 한다. 최종 결정 전에 사람에 의한 판단 절차를 마련하여 운영하고 있는 경우는 자동화된 결정에 해당하지 않는다. (안내서 4쪽 ~ 12쪽 참고) まず、すべての自動化されたシステムによる決定が自動化された決定に該当するわけではないので、自動化された決定に該当するかどうかを確認しなければならない。最終決定前に人による判断手順を設けて運営している場合は、自動化された決定に該当しない。(ガイドブック4ページ~12ページ参照)
  인공지능(AI) 기술 등을 활용하여 자동화된 시스템으로 의사결정을 하고 있는 기업ㆍ기관 등은 “자동화된 결정 자율진단표”(붙임2)를 활용하여 스스로 자동화된 결정에 해당하는지 여부를 확인해 볼 수 있다.  人工知能(AI)技術などを活用して自動化されたシステムで意思決定を行っている企業・機関などは、「自動化された決定自律診断表」(添付2)を活用して、自ら自動化された決定に該当するかどうかを確認することができる。
  자동화된 결정에 해당하는 경우에는 정보주체의 권리 행사 요구 내용에 맞추어 기업·기관 등은 다음과 같은 조치를 해야 한다.  自動化された決定に該当する場合には、情報主体の権利行使要求内容に合わせて企業・機関等は次のような措置をしなければならない。
  ① 정보주체가 자동화된 결정에 대해 설명을 요구한 경우에는 정보주체에게 도움이 될 수 있는 의미 있는 정보*를 선별하여 제공해야 한다. 또한, 정보주체가 자신에 대한 자동화된 결정에 대해 의견을 제출한 경우에는 해당 의견을 반영할 수 있는지 검토하고 그 결과를 알려야 한다.   ①情報主体が自動化された決定について説明を要求した場合には、情報主体に役立つ意味のある情報*を選別して提供しなければならない。また、情報主体が自分に対する自動化された決定に対して意見を提出した場合には、その意見を反映できるかどうかを検討し、その結果を通知しなければならない。 
   * 알고리즘이나 머신러닝의 작동과정에서 개인정보 처리에 대한 복잡한 수학적 설명 대신 간결하고 의미있는 정보를 정보주체에게 제공해야 함 * アルゴリズムや機械学習の作動過程で、個人情報の処理に関する複雑な数学的説明の代わりに、簡潔で意味のある情報を情報主体に提供しなければならない。
  더불어, 사람이 이해하기 어려운 인공지능 기술의 특성을 고려하여 기술 발전 상황에 따라 설명가능한 인공지능(XAI : Expainable AI)*을 단계적으로 적용할 수 있도록 준비하는 것이 바람직하다. また、人が理解しにくい人工知能技術の特性を考慮し、技術の発展状況に応じて説明可能な人工知能(XAI : Expainable AI)*を段階的に適用できるように準備することが望ましい。
   * 인공지능 모델의 결과가 어떻게 도출된 것인지 사람이 이해할 수 있는 형태로 설명을 생성하는 알고리즘을 의미함 (안내서 51쪽 ~ 56쪽 참고) * 人工知能モデルの結果がどのように導き出されたのか、人が理解できる形で説明を生成するアルゴリズムを意味する(ガイドブック51ページ~56ページ参照)
  ② 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우에 해당하여 정보주체가 그 결정을 거부한 경우에는 기업ㆍ기관 등은 해당 결정의 적용을 정지하고, 조치 결과를 정보주체에게 알려야 한다. 실질적으로 사람이 개입하여 재처리한 후 그 결과를 정보주체에게 알리는 것도 가능하다. 自動化された決定が情報主体の権利又は義務に重大な影響を及ぼす場合に該当し、情報主体がその決定を拒否した場合には、企業・機関等は当該決定の適用を停止し、措置結果を情報主体に通知しなければならない。実質的に人が介入して再処理した後、その結果を情報主体に知らせることも可能である。
   ※ 다만, 자동화된 결정이 이루어진다는 사실에 대해 정보주체가 명확히 알 수 있도록 동의, 계약 등을 통해 미리 알렸거나 법률에 명확히 규정이 있는 경우에는 거부는 인정되지 않고 설명 및 검토 요구만 가능 ただし、自動化された決定が行われるという事実について情報主体が明確に分かるように同意、契約などを通じて事前に知らせたり、法律に明確に規定がある場合には拒否は認められず、説明及び検討要求のみ可能。
  이 경우, ‘중대한 영향을 미치는 경우’에 해당하는지를 판단할 때에는 사람의 생명, 신체의 안전과 관련된 정보주체의 권리 또는 의무인지, 지속적인 제한이 발생하는지, 회복 가능성은 있는지 등을 종합적으로 고려해야 한다.  この場合、「重大な影響を及ぼす場合」に該当するかどうかを判断する際には、人の生命、身体の安全と関連する情報主体の権利または義務であるか、持続的な制限が発生するか、回復可能性はあるかなどを総合的に考慮しなければならない。
  ③ 기업ㆍ기관 등이 자동화된 결정을 하는 경우에는 그 기준과 절차 등을 정보주체가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 사전에 공개해야 한다. 공개할 때에는 정보주체가 쉽게 알 수 있도록 권리 행사를 위한 구체적인 방법과 절차를 마련하여 함께 안내해야 한다.  企業・機関などが自動化された決定を行う場合には、その基準と手続きなどを情報主体が容易に確認できるようにインターネットホームページなどに事前に公開しなければならない。公開する際には、情報主体が容易に知ることができるように、権利行使のための具体的な方法と手続きを用意して一緒に案内しなければならない。
  양청삼 개인정보정책국장은 “인공지능 기술을 활용하여 자동화된 결정을 할 때에는 이번에 공개한 안내서를 참고하여 그 기준과 내용을 미리 파악하고 정보주체의 요청에 대응할 수 있도록 준비가 필요하다”며,    ヤン・チョンサム個人情報政策局長は「人工知能技術を活用して自動化された決定をする際には、今回公開したガイドを参考にしてその基準と内容を事前に把握し、情報主体の要請に対応できるように準備が必要だ」と述べた、   
  “새로운 제도가 현장에서 안정적으로 정착될 수 있도록 설명회 등을 통해 지속적으로 홍보하고 안내해 나갈 계획”이라고 밝혔다. 「新しい制度が現場で安定的に定着できるよう、説明会などを通じて持続的に広報し、案内していく計画」と明らかにした。

 

ガイド...

・[PDF] 개인정보위, 사례 중심의 “자동화된 결정에대한 정보주체의 권리 안내서” 공개

20240928-124306

・[DOCX][PDF] 仮訳

 

 

・[PPTX][PNG]自主診断表(仮訳)

1_20240928124701

 

 

| | Comments (0)

2024.09.28

財務省財務局が、株式会社DMM Bitcoinに対する行政処分を、金融庁が、暗号資産の流出リスクへの対応等に関する注意喚起及び自主点検要請について発表していますね...(2024.09.26)

こんにちは、丸山満彦です。

財務省関東財務局が、株式会社DMM Bitcoinに対する行政処分を公表し、金融庁が暗号資産の流出リスクへの対応等に関する注意喚起及び自主点検要請を一般社団法人日本暗号資産取引業協会 会長宛に出していますね...

まずは、行政処分について...

財務省 - 関東財務局

・2024.09.26 株式会社DMM Bitcoinに対する行政処分について

・[PDF] [downloaded]

行政処分は

(1)流出事案についての具体的な事実関係及び発生した根本原因を分析・究明すること。

(2)-1 被害が発生した顧客の保護を引き続き、徹底することと、顧客に対し十分な説明・開示等を行う

(2)-2 顧客からの苦情に適切に対応すること。

(3)暗号資産交換業の業務の運営に必要な措置を講じること。

①根本的な原因を分析・評価の上、十分な改善が可能となるようシステムリスク管理態勢を見直し、強化すること。

流出リスクへの対応が適切に行われるための態勢を構築すること。

③-1 経営責任の明確化を図ること。

③-2 代表取締役等は、暗号資産交換業の業務運営に対応したリスク等を議論し、その対応を着実に実施すること。

③-3 取締役会の機能強化を図り、法令等遵守や適正かつ確実な業務運営を行うために必要な実効性のある経営管理態勢、内部管理態勢及び内部監査態勢を構築すること。

となっていますね...

(4)-1 停止している取引の再開及び新規口座開設を行うにあたっては、(2)(3)に基づく対応の実施すること

(4)-2 (1)に記載の原因究明を踏まえた必要な態勢を整備の上、実効性を確保すること。

(5)(1)から(4)((3)(4)については、業務改善計画(具体策及び実施時期を明記したもの))について、令和6年10月28日(月曜)までに報告すること

(6)(3)(4)に関する業務改善計画については、実施完了までの間、1か月毎の進捗・実施状況を翌月10日までに報告すること(初回報告基準日を令和6年11月末日とする。)。

 

 

次に注意喚起と要請...

金融庁

・2024.09.26 暗号資産の流出リスクへの対応等に関する注意喚起及び自主点検要請について

20240927-234253

 

 

金融庁

第三分冊:金融会社関係

・[PDF] 本文

20240927-235116

これについては、改訂案が出され、現在改訂中ですね...

参考

・2024.06.28 主要行等向けの総合的な監督指針」等の一部改正(案)及び「金融分野におけるサイバーセキュリティに関するガイドライン」(案)の公表について

・[PDF](別紙13)事務ガイドライン(第三分冊:金融会社関係 16 暗号資産交換業者関係)」の一部改正(案)(新旧対照表)

 

で、

DMMの発表...

DMM Bitcoin - お知らせ

・2024.09.26 【重要】当社に対する関東財務局の行政処分について [PDF] [downloaded]

 

事案については発表...

・2024.06.14 【重要】暗号資産の不正流出発生に関するご報告(第三報) [PDF][downloaded]

・2024.06.05 【重要】暗号資産の不正流出発生に関するご報告(第二報) [PDF][downloaded]

・2024.05.31 【重要】暗号資産の不正流出発生に関するご報告(第一報) [PDF][downloaded]

 

| | Comments (0)

米国 CISA+FBI 幼稚園から高校3年生までの学校を対象とした匿名脅迫への対応に関する指針とツールキット

こんにちは、丸山満彦です。

米国のCISAとFBIが、K-12までの学校を対象とした匿名脅迫(例えば、SNS等の)についての指針とツールキットを公表していますね。。。

FBIによると、2022年には学校が6,000件以上の脅迫の標的となり、そのほとんどが匿名でソーシャルメディアに投稿されたものだったようです。というところから、この指針が作られているようです。。。

K-12というのは、米国では幼稚園の最後の1年から高校三年生(Grade12)までの13年間ということになりますね。。。年齢でいえば、5歳から13歳が該当することになりますね(9月から学級がはじまります)...

日本では、文科省が対応する分野ですが、米国ではこのガイドをCISAとFBIが作っていますね...

 

6つの戦略

・報告の重要性を認識する

・パートナーシップ体制の構築

・法執行機関の関与

・適切な初期対応

・脅迫アセスメントチームの活用

・緊急事態管理活動の訓練

 

 

CISA

・2024.09.25 CISA Releases Anonymous Threat Response Guidance and Toolkit for K-12 Schools

CISA Releases Anonymous Threat Response Guidance and Toolkit for K-12 Schools CISA、幼稚園から高校3年生までの学校を対象とした匿名脅迫への対応に関する指針とツールキットを公開
New Resources Will Help K-12 Schools and Law Enforcement Entities Create Tailored Approaches to Addressing Anonymous Threats of Violence 新たなリソースにより、幼稚園から高校3年生までの学校および法執行機関が、暴力的な匿名脅迫への対応に特化したアプローチを策定できるよう支援
WASHINGTON – Today, the Cybersecurity and Infrastructure Security Agency (CISA) released the Anonymized Threat Response Guidance: A Toolkit for K-12 Schools, a new resource to help kindergarten through grade 12 (K-12) schools and their law enforcement and community partners create tailored approaches to addressing anonymous threats of violence, including those received on social media. The toolkit outlines steps school leaders can take to assess and respond to anonymous threats, better prepare for and prevent future threats, and work in coordination with law enforcement and other local partners when these threats arise. It is co-sealed with the Federal Bureau of Investigation (FBI), which provided expert feedback on the toolkit’s key principles and strategies. ワシントン発 - サイバーセキュリティ・インフラセキュリティ庁(CISA)は本日、「匿名脅迫への対応に関する指針: 幼稚園から高校3年生(K-12)までの学校とその法執行機関や地域社会のパートナーが、ソーシャルメディア上で受け取ったものも含む暴力的な匿名脅迫に対応するためのカスタマイズされたアプローチを構築するのに役立つ新しいリソースである。このツールキットでは、匿名脅迫をアセスメントし対応するための学校のリーダーがとることのできるステップ、将来の脅威に対するより良い備えと防止、そして脅迫が発生した際の法執行機関やその他の地域パートナーとの連携について概説している。このツールキットは、連邦捜査局(FBI)と共同で作成されており、FBIはツールキットの主要原則と戦略に関する専門家のフィードバックを提供している。
Social media-based and other types of anonymous threats of violence against K-12 institutions are common. These threats can erode trust that schools are safe places, contribute to losses in learning and instruction time, overwhelm school and law enforcement resources and have lasting psychological impacts on school communities. 幼稚園から高校3年生までの教育機構に対するソーシャルメディアを基盤とした匿名の暴力脅迫は、よくあることである。このような脅迫は、学校が安全な場所であるという信頼を損ない、学習と指導の時間の損失につながり、学校や法執行機関のリソースを圧迫し、学校コミュニティに長期的な心理的影響を与える可能性がある。
“K-12 schools across the country are experiencing a scourge of anonymous threats of violence. School leaders need scalable solutions to navigate these ever-evolving and burdensome threats,” said CISA Director Jen Easterly. “The K-12 Anonymized Threat Response Guidance provides step-by-step approaches to help schools better assess and respond to these threats, as well as take action to mitigate future risks in coordination with their law enforcement and other community partners.” CISAのジェン・イースタリー(Jen Easterly)局長は次のように述べている。「全米の幼稚園から12年生までの学校は、暴力的な匿名脅迫という災厄に直面している。 学校のリーダーは、こうした進化し続ける厄介な脅迫に対処するための拡張可能なソリューションを必要としている。幼稚園から12年生までの匿名脅迫への対応に関する指針は、学校がこうした脅迫をより適切にアセスメントし、対応するためのステップバイステップのアプローチを提供するとともに、法執行機関やその他のコミュニティパートナーと連携して、将来のリスクを低減するための行動を取ることを支援する。」
“Families, students and educators should not have to question whether they’re safe when they walk into a classroom,” said FBI Office of Partner Engagement Assistant Director, Robert Contee. “In the face of these ongoing school threats, the strategies the FBI and our partners at CISA put together will hopefully prepare our educators and administrators to maneuver through difficult challenges. The more parents, teachers and administrators know, the more likely we are to keep our kids safe. The FBI is dedicated to safeguarding schools and communities who are impacted by anonymous threats, but we also want to urge parents to talk with their children about the consequences that come with making these threats. We all need to work together.” FBIのパートナーエンゲージメント担当副部長ロバート・コンティー氏は次のように述べている。「家族、生徒、教育者は、教室に入るときに安全かどうかを心配する必要はないはずです。現在も続く学校への脅迫に直面する中、FBIとCISAのパートナーが協力して策定した戦略が、教育者や管理者の困難な課題への対応に役立つことを期待している。保護者、教師、学校関係者がより多くを知ることで、子供たちをより安全に守ることができる可能性が高まる。FBIは、匿名の脅迫に影響を受ける学校や地域社会の安全確保に専念しているが、同時に保護者に対して、子供たちに脅迫をすることによって生じる結果について話し合うよう促したい。我々は皆、協力し合う必要がある。」
The K-12 Anonymized Threat Response Guidance was developed to provide K-12 stakeholders with information to both protect school communities and limit the disruption and trauma that can be caused by anonymous threats of violence. By providing guidance to inform decision-making about the urgency and credibility of individual threats, school and public safety leaders may be able to more effectively balance the full range of risks faced by K-12 organizations. K-12匿名脅迫対応ガイダンスは、K-12関係者が学校コミュニティを防御し、暴力的な匿名脅迫によって引き起こされる混乱やトラウマを最小限に抑えるための情報を提供するために作成された。個々の脅迫の緊急性や信憑性に関する意思決定に役立つガイダンスを提供することで、学校や公共安全のリーダーは、K-12組織が直面するあらゆるリスクをより効果的にバランスさせることができるようになる可能性がある。
The toolkit emphasizes six key strategies for schools to consider when addressing anonymous threats: このツールキットでは、匿名脅迫に対処する際に学校が考慮すべき6つの主要戦略を強調している。
・Build awareness about reporting to detect threats early and deter future threats. ・脅迫を早期に検知し、将来の脅迫を阻止するために、報告に関する認識を高める。
・Develop a partnership structure that will help address threats. This includes school administrators, law enforcement personnel and mental health professionals. ・脅迫に対処する上で役立つパートナーシップ体制を構築する。これには、学校管理者、法執行機関関係者、精神保健の専門家が含まれる。
・Engage law enforcement to manage threat situations and decide when to scale response actions up or down. ・脅迫の状況を管理し、対応措置を拡大または縮小するタイミングを決定するために、法執行機関を関与させる。
・Balance initial response steps to ensure the campus is safe. Most critically, treat each threat as credible, and from there, work with necessary partners to determine how to approach an immediate response. ・キャンパスが安全であることを確実にするために、初期対応の手順をバランスよく行う。最も重要なのは、それぞれの脅迫を信頼に足るものとして扱い、そこから必要なパートナーと協力して、即時の対応をどのように行うかを決定することである。
・When appropriate, tap into multidisciplinary threat assessment teams to support interventions and expedite response if the subject who made the threat becomes known. ・脅迫を及ぼした人物が判明した場合、介入を支援し、対応を迅速化するために、必要に応じて、多分野にわたる脅迫アセスメントチームを活用する。
T・ake steps throughout the school year to prepare for threats. Establish a response protocol and practice other types of emergency management activities, such as training exercises for staff. ・脅迫に備えるために、学校年度を通じて対策を講じる。対応手順を確立し、スタッフの訓練演習など、その他の緊急事態管理活動の練習を行う。
Today’s release also includes a supplemental reference guide that provides streamlined information for K-12 stakeholders to understand and utilize some of the best practices from the full toolkit. Both products were developed to support the diverse range of K-12 school settings across the United States and are based on current practices of K-12 organizations and law enforcement agencies. また、本日の発表では、K-12の関係者がツールキットのベストプラクティスの一部を理解し、活用するための簡潔な情報を提供する補足の参考ガイドも公開された。両製品は、米国の多様なK-12学校環境をサポートするために開発され、K-12組織および法執行機関の現在の実務に基づいている。
The new toolkit and guide were announced at CISA’s 2024 National Summit on K-12 School Safety and Security, an annual event that brings together K-12 school leaders and practitioners to discuss and share actionable recommendations that enhance safe and supportive learning environments. この新しいツールキットとガイドは、K-12 学校のリーダーや実務者が一堂に会し、安全で支援的な学習環境を強化するための実行可能な提言について話し合い、共有する年次イベントである、CISA の 2024 年 K-12 学校の安全とセキュリティに関する全国サミットで発表された。
To learn more and access the K-12 Anonymized Threat Response Guidance, please click here.  K-12 学校向け匿名脅迫対応ガイダンスの詳細とアクセスについては、こちら。 

 

・2024.09.25 K-12 Anonymized Threat Response Guidance

K-12 Anonymized Threat Response Guidance K-12 学校向け匿名脅迫対応ガイダンス
The “Anonymized Threat Response Guidance: A Toolkit for K-12 Schools” can help K-12 schools and law enforcement and community partners create tailored approaches to addressing anonymous threats of violence, including those received on social media. The toolkit outlines steps that school leaders can take to assess and respond to anonymous threats and better prepare for and prevent future threats. It also highlights how K-12 schools can work with law enforcement and community partners in addressing these threats.   「匿名脅迫対応ガイドライン:K-12 学校向けツールキット」は、K-12 学校や法執行機関、地域社会のパートナーが、ソーシャルメディア上で受け取ったものも含め、暴力的な匿名脅迫に対応するためのカスタマイズされたアプローチを構築するのに役立つ。このツールキットでは、匿名脅迫をアセスメントし対応し、将来の脅迫に備え防止するための学校のリーダーがとるべきステップが概説されている。また、K-12 学校が法執行機関や地域社会のパートナーと協力してこれらの脅迫に対応する方法についても強調されている。 
The accompanying “Anonymized Threat Response Guidance: A Reference Guide for K-12 Schools” provides streamlined information for K-12 stakeholders to understand and utilize some of the best practices from the full toolkit. 付属の「匿名脅迫への対応に関する指針:K-12学校のための参考ガイド」では、K-12の関係者がツールキットのベストプラクティスの一部を理解し、活用するための簡潔な情報を提供している。
These products are applicable to K-12 schools across diverse geographical settings, student populations and levels of maturity in emergency operations planning. これらの製品は、地理的条件、生徒の人口、緊急対応計画の成熟度など、さまざまな状況にあるK-12の学校に適用できる。

 

・[PDF] Anonymized Threat Response Guidance: A Toolkit for K-12 Schools

 

20240927-62632

 

エグゼクティブサマリー...

Executive Summary エグゼクティブサマリー
According to Federal Bureau of Investigation (FBI) data, schools were the target of more than 6,000 threats in 2022, most of which were anonymous and posted to social media (Haskell, 2023). These threats are taxing school and law enforcement resources, contributing to losses in instruction time and traumatizing school communities. The CISA Anonymized Threat Response Guidance: A Toolkit for K-12 Schools is designed to help local education agencies and their law enforcement and community partners create tailored approaches to addressing anonymous threats from assessment to response. This guide is intended to assist the range of kindergarten through grade 12 (K-12) schools across the United States and is applicable to schools across diverse geographical settings, student populations, and levels of maturity in emergency operations planning. 連邦捜査局(FBI)のデータによると、2022年には学校が6,000件以上の脅迫の標的となり、そのほとんどが匿名でソーシャルメディアに投稿されたものだった(Haskell、2023年)。 こうした脅迫は学校や法執行機関のリソースを圧迫し、授業時間の損失や学校コミュニティのトラウマにつながっている。 CISAによる匿名脅迫対応ガイダンス: K-12 学校向けツールキットは、アセスメントから対応まで、匿名脅迫に対処するためのカスタマイズされたアプローチを、地域の教育機関およびその法執行機関や地域社会のパートナーが作成するのを支援することを目的としている。このガイドは、米国の幼稚園から12年生(K-12)までの学校を対象としており、地理的条件、生徒の人口、緊急対応計画の成熟度など、さまざまな状況にある学校に適用できる。
Key Strategies to Address Anonymized Threats 匿名脅迫に対処するための主な戦略
Build awareness about reporting to detect threats early and deter future threats. 脅迫を早期に検知し、将来の脅迫を阻止するために、報告に関する認識を高める。
Bystander reporting is a critical violence prevention tool for K-12 schools (see e.g. CISA and NTAC, 2023; Moore et al., 2023; NTAC, 2021). Like threats or comments made by known individuals (sometimes termed “leakage” in threat assessment protocols), efforts to detect anonymized threats against schools before they can spread should focus heavily on building awareness about reporting. Encourage community members to “Report, Don’t Repost” threats they see online, since stopping the further dissemination of a threat both aids investigation and limits the potential impact of threats that, while alarming, are not intended to be followed through. Efforts to educate parents and others across the school community about youth social media use are also critical to spreading the word about what constitutes a threat and the damage threats can do to a school community. Be clear about what the consequences are for making threats, even if they are meant to be jokes. Finally, threats made by students are often indicators of underlying problems and akin to cries for help. Early intervention by mental health and other professionals is often better than intervention after the fact. 傍観者による報告は、幼稚園から12年生までの学校における暴力防止の重要な手段である(例えば、CISAおよびNTAC、2023年、Moore他、2023年、NTAC、2021年を参照)。特定の個人による脅迫やコメント(脅迫アセスメントプロトコルでは「リーク」と呼ばれることもある)と同様に、学校に対する匿名脅迫が拡散する前に検知するための取り組みでは、報告に関する認識を高めることに重点的に取り組むべきである。オンライン上で目にした脅迫は「報告するが、転載しない」よう地域社会のメンバーに呼びかけるべきである。脅迫のさらなる拡散を阻止することは、調査を支援するだけでなく、驚くべきことではあるが、脅迫を最後までやり遂げるつもりがない場合の脅迫の潜在的な影響を限定することにもなる。青少年のソーシャルメディア利用について、保護者や学校関係者に教育を行うことも、脅迫に該当する行為や、脅迫が学校コミュニティに与える被害について周知徹底を図る上で重要である。たとえ冗談のつもりであっても、脅迫をするとどのような結果を招くかについて明確にしておく。最後に、生徒による脅迫は、潜在的な問題の兆候であることが多く、助けを求める叫び声のようなものである。精神保健やその他の専門家による早期介入は、事後対応よりも効果的な場合が多い。
Develop a partnership structure that will help address anonymized threats. 匿名脅迫に対処するためのパートナーシップ体制を構築する。
Schools work with several different partners both inside and outside the immediate school community to address anonymized and other threats. In addition to school administrators, intelligence organizations, such as fusion centers or the FBI, and school-based or school-knowledgeable law enforcement personnel, such as school resource officers (SROs), will play a key role in assessing threats and deciding on appropriate response actions. Mental health and other threat assessment professionals will provide key resources to schools addressing threat situations, including in the aftermath of threats, to ensure that the mental health, emotional and other needs of the community are met. 学校は、匿名の脅迫やその他の脅迫に対処するために、学校コミュニティ内外の複数の異なるパートナーと協力する。学校管理者、フュージョン・センターやFBIなどのインテリジェンス機関、スクール・リソース・オフィサー(SRO)などの学校ベースまたは学校に精通した法執行機関担当者が、脅迫をアセスメントし、適切な対応行動を決定する上で重要な役割を果たす。メンタルヘルスやその他の脅迫アセスメントの専門家は、脅迫事態に対処する学校に重要なリソースを提供し、脅迫事態の後にも対応し、地域社会のメンタルヘルス、感情面、その他のニーズが満たされるようにする。
Consider the inclusion of a multidisciplinary threat assessment team when addressing anonymous threats, and utilize their expertise if the subject who made the threat becomes known. 匿名脅迫に対処する際には、学際的な脅迫アセスメントチームの編成を検討し、脅迫をた人物が判明した場合は、その専門知識を活用する。
Multidisciplinary threat assessment teams can help identify the level of concern posed by an individual who made a threat or exhibited concerning behavior and can decide on the appropriate supports and interventions for individuals identified as “at risk of doing harm.” At a minimum, these teams should include a school administrator, a school-based law enforcement representative, and a school counselor and/or other mental health professional with the option of adding individuals who can further help assess the situation and contribute to developing the right intervention plan. While the utility of a multidisciplinary threat assessment team may be limited prior to knowing the identity of the threat’s source, awareness of an anonymous threat could identify a link to previous incidents, thereby aiding the response, and expediting the team’s response if an individual is eventually identified.  多分野脅迫アセスメントチームは、脅迫を口にした、あるいは懸念される行動を示した個人による懸念レベルを識別し、「危害を加えるリスクがある」と識別された個人に対して適切な支援や介入を決定するのに役立つ。 少なくとも、これらのチームには、学校管理者、学校を管轄する法執行機関の代表者、学校カウンセラーおよび/またはその他のメンタルヘルスの専門家を含めるべきであり、状況をさらに評価し、適切な介入計画の策定に貢献できる人物を追加するオプションもある。脅迫の発生源が特定されるまでは、多分野にわたる脅迫アセスメントチームの有用性は限定的であるかもしれないが、匿名脅迫を認識することで、過去のインシデントとの関連性を識別でき、それによって対応を支援し、最終的に個人を特定できればチームの対応を迅速化できる。
Response coordinators should balance initial steps to ensure the campus is safe. 対応コーディネーターは、キャンパスの安全を確保するための初期段階の対応をバランスよく行う必要がある。
Schools that are targets of anonymized threats must treat each one as initially credible. If a school is the target of a threat, determining which assets need to be on-scene to keep the campus and school community safe is a critical first step. Because certain response actions, such as full lockdowns or an increased police presence, can be traumatizing for some students, schools should consider the intensity and overtness of their response. Determine how to balance the initial response and leave open the potential to scale up rapidly as necessary. Be prepared to announce to the community whether the decision is made to lock down, secure campus or close school. Ensure that school personnel coordinate with local law enforcement to deliver uniform messages about a threat situation and provide accurate, up-to-date information to the broader school community. 匿名の脅迫の標的となった学校は、すべての脅迫を当初は信用に足るものとして扱わなければならない。学校が脅迫の標的となった場合、キャンパスと学校コミュニティの安全を確保するために、どの資産を現場に配置する必要があるかを判断することが、重要な第一歩となる。完全な封鎖や警察官の増員など、特定の対応措置が一部の生徒にトラウマを与える可能性があるため、学校は対応の強度と露骨さを考慮する必要がある。初期対応と、必要に応じて迅速に拡大する可能性をどのようにバランスさせるかを決定する。 キャンパスを封鎖するか、安全を確保するか、あるいは学校を閉鎖するかの決定が下された場合、地域社会にその旨を通知する準備をしておく。 学校関係者が地元の警察当局と連携し、脅迫の状況について統一されたメッセージを発信し、より広範な学校コミュニティに正確な最新情報を提供できるようにする。
Triage and determine the level of concern a threat poses. 脅迫の深刻度を優先順位付けし、判断する。
The first step in triaging anonymous threats is to engage a law enforcement partner whose expertise is critical to managing threat situations and deciding when it is okay or necessary to scale response actions up or down. First, consider key background and contextual information about a threat. Then, move on to identify any discernable patterns that might elevate or decrease the level of concern posed by the threat. Finally, identify any signs of the threat’s imminence that might call for a rapid response reaction to keep the community safe.  匿名脅迫の優先順位付けの第一歩は、脅迫の状況を管理し、対応措置を拡大または縮小することが適切または必要であるかを判断する上で専門知識が不可欠な法執行機関のパートナーと連携することである。まず、脅迫に関する主な背景情報および状況情報を検討する。次に、脅迫による懸念のレベルを上昇または低下させる可能性のある、識別可能なパターンを識別する。最後に、地域社会の安全を維持するために迅速な対応が必要となるような、脅迫の切迫した兆候を識別する。
Putting it all together: Enhance school preparedness to address future threats. まとめ:将来の脅迫に対処するための学校の備えを強化する。
Every school and school district can take steps throughout the school year to better prepare for threat situations. Successful response during an emergency begins with ongoing preparedness and prevention efforts outside of emergencies. Establish a response protocol that addresses threat situations, and conduct developmentally and age-appropriate drills and training exercises to help prepare for responding to threats. Establish protocols for communicating with families, and make sure the resources are in place to address the impacts of a threat. すべての学校および学区は、脅迫の状況に備えるために、学校年度を通じて対策を講じることができる。緊急時の対応を成功させるには、緊急時以外の継続的な準備と予防の取り組みから始める必要がある。脅迫の状況に対応する対応手順を確立し、脅迫への対応に備えるために、発達段階や年齢に適した訓練やトレーニングを実施する。家族とのコミュニケーション手順を確立し、脅迫の影響に対処するためのリソースが確実に用意されていることを確認する。

 

目次...

Acknowledgments   謝辞 
Executive Summary  エグゼクティブサマリー 
Introduction and Overview  序文と概要
Toolkit Goals and Intended Audience  ツールキットの目標と想定読者 
Methods Used to Develop This Toolkit  ツールキット開発に使用した方法 
Navigating and Using This Toolkit  ツールキットのナビゲーションと使用方法 
SECTION ONE | Getting Started: Trends in Threats Against K-12 Schools  第1章:はじめに:幼稚園から高校3年生までの学校に対する脅迫の傾向 
1.1 Social Media, Youth and Threats Against Schools  1.1 ソーシャルメディア、若者、学校に対する脅迫
1.2 What Impact Are Anonymized Threats Having on K-12 Schools?  1.2 匿名の脅迫が幼稚園から高校3年生までの学校に与える影響とは? 
SECTION TWO | Containing the Problem: Early Awareness and Deterring Future Threats  第2章:問題の封じ込め:早期の認識と将来の脅迫の抑止 
2.1 Build Awareness About Reporting Threats  2.1 脅迫の通報に関する認識を高める 
2.2 Prepare Staff Who Might Receive Anonymous Threats By Phone to Capture Key Information  2.2 匿名脅迫電話を受けた場合の対応要員を準備し、重要な情報を入手する 
2.3 Educate the Community About Youth Social Media Use, Especially Families   2.3 特に家族に対して、青少年のソーシャルメディア利用について地域社会に啓発を行う 
2.4 Provide Mental Health Resources to Help Mitigate Threats  2.4 脅迫を軽減するためのメンタルヘルス関連のリソースを提供する 
2.5 Take Actions to Deter Future Threats  2.5 将来の脅迫を抑止するための措置を取る 
SECTION THREE | Key Partners in Addressing Anonymized Threats to K-12 Schools  第3章:K-12学校に対する匿名脅迫への対応における主要パートナー 
3.1 Reporting Party  3.1 通報者 
3.2 School Administrators  3.2 学校管理者 
3.3 School-Knowledgeable Law Enforcement  3.3 学校に精通した法執行機関 
3.4 School-Knowledgeable Mental Health and Threat Assessment Professionals  3.4 学校に精通した精神保健および脅迫アセスメント専門家 
SECTION FOUR | First Response: Immediate Actions When a Threat is Received  第4章:第一応答:脅迫を受けた際の即時対応 
4.1 Initial Response to Threats to Ensure Campus Safety  4.1 キャンパスの安全を確保するための脅迫に対する初期対応 
4.2 Initiating Threat Evaluation to Inform Response  4.2 対応を決定するための脅迫アセスメントの開始 
4.3 Crisis Communication with the School Community  4.3 学校コミュニティとの危機管理コミュニケーション 
SECTION FIVE | Deliberate Response: Balancing Response Actions for Complex and Uncertain Threats  第5章:慎重な対応:複雑かつ不確実な脅迫に対する対応行動のバランス 
5.1 Options Available to Schools to Heighten Response to Anonymized Threats  5.1 学校が匿名脅迫への対応を強化するために利用できる選択肢 
5.2 Ongoing Threat Evaluation to Inform Response Changes  5.2 対応の変更を知らせるための継続的な脅迫アセスメント 
5.3 Communication as the Threat is Resolved and Beyond   5.3 脅迫が解決された後およびそれ以降のコミュニケーション 
SECTION SIX | Preparedness to Enhance Schools’ Capabilities to Manage Anonymized Threats   第6章:学校の匿名脅迫への対応能力を高めるための準備  
6.1 Establish a Threat Response Protocol for Addressing Anonymized Threats   6.1 匿名脅迫への対応手順を確立する 
6.2 Engage in Training and Drills Covering Different Options for Threat Response  6.2 脅迫への対応のさまざまな選択肢をカバーする訓練や演習を実施する 
6.3 Inform Families of Basic Threat Response Plans and Prepare to Communicate with the School Community When Threats Occur  6.3 保護者に基本的な脅迫対応計画を伝え、脅迫が発生した際に学校関係者と連絡を取る準備をする
6.4 Prepare to Provide Support Resources to Address the Impacts of Threats  6.4 脅迫の影響に対処するための支援リソースの提供準備をする 
6.5 Conclusion  6.5 結論 
Additional Resources  追加リソース 
Worksheets  ワークシート 
Worksheet 1. Taking Stock of Anonymized Threats at Your School  ワークシート 1. 学校における匿名脅迫の現状把握 
Worksheet 2. Gathering Information When You Receive a Threat: Where to Start?  ワークシート 2. 脅迫を受けた場合の情報収集:何から始めるか? 
Abbreviations  略語 
References  参考文献 

 

 

序文と概略

Introduction and Overview 序文と概要
School violence shapes the educational experience of many students and school staff across the United States. In a fall 2022 survey of over 950 kindergarten through grade 12 (K-12) teachers across the United States, about one third (35%) reported that their school had been disrupted by threats posted to social media during the 2021-2022 school year (Jackson et al., 2023). In early 2023, the Federal Bureau of Investigation (FBI) reported that schools received 6,000 threats in 2022, a 60% increase from the previous year. Most of these were posted on social media (Haskell, 2023).  学校での暴力は、米国中の多くの生徒や学校スタッフの教育体験を形作っている。2022年秋に米国中の幼稚園から12年生(K-12)の教師950人以上を対象に実施された調査では、約3分の1(35%)が、2021-2022年度中にソーシャルメディアに投稿された脅迫により学校が混乱したと報告している(Jackson et al., 2023)。2023年初頭、連邦捜査局(FBI)は、2022年に学校が受け取った脅迫の件数は6,000件で、前年度から60%増加したと報告した。そのほとんどがソーシャルメディアに投稿されていた(Haskell, 2023)。
What is an Anonymized Threat? 匿名の脅迫とは?
・Anonymous threats can be delivered via a multitude of different ways, whether by phone, using technology that masks phone numbers and distorts a caller’s voice, over anonymous platforms like email or social media, or written on the wall of a school building. Across these various modes of delivery, the identity of the individual making the threat is not immediately discernable.  ・匿名の脅迫は、電話によるもの、電話番号を隠して発信者の声を歪める技術を使用したもの、電子メールやソーシャルメディアなどの匿名のプラットフォームを介したもの、学校の壁に書かれたものなど、さまざまな方法で送信される。これらのさまざまな送信方法では、脅迫を行った個人の身元を即座に特定することはできない。
・Anonymized threats are different from threats made by known individuals, which may be made publicly (e.g. a threat made in writing at school or online connected to the threatener’s identity) or may be termed “leakage” in threat assessment protocols (when the threat to engage in violence against a target becomes known through communication to a third party).  ・匿名の脅迫は、既知の個人による脅迫とは異なる。既知の個人による脅迫は、公にされる場合(例えば、学校やオンライン上で書面による脅迫が行われる場合など、脅迫者の身元が明らかになる場合)や、脅迫評価プロトコルにおいて「リーク」と呼ばれる場合(第三者に連絡することで、標的に対する暴力行為の脅迫が明らかになる場合)がある。
・Anonymous reports of threats by other individuals (i.e. a student calling an anonymous tip line or other reporting mechanism to report a threat they heard from a peer or saw posted by a peer online) are also not anonymous threats because the identity of the individual who made the threat is known.  ・他の人物による脅迫の匿名報告(すなわち、学生が匿名の通報用ホットラインやその他の報告手段に連絡し、同級生から聞いた、あるいは同級生がオンラインに投稿した脅迫を報告する)も、脅迫を行った人物の身元が判明しているため、匿名の脅迫とはみなされない。
Social media-based and other types of anonymized threats of violence against K-12 institutions are common. The age of the internet and of social media grant a perception of anonymity that can make individuals more comfortable saying or doing things online that they would not do in person. With this newfound comfort has come a rise in anonymous threats to schools and other public spaces (Ward, 2023). K-12の教育機関に対するソーシャルメディアを基盤とした匿名の暴力の脅迫やその他の種類の脅迫は、よく見られる。インターネットやソーシャルメディアの普及により、匿名性という感覚が生まれ、個人にとっては、オンライン上では対面ではしないような言動をしても気兼ねがなくなる。この新たな気楽さにより、学校やその他の公共の場に対する匿名の脅迫が増加している(Ward, 2023)。
These threats vary in their delivery and intent. Many threaten attacks against students, but some target additional members of the school community, such as teachers and other school staff. A threat might mention a bomb at a specific school or that a student is bringing a gun to school the next day to target a specific person or group of persons. Other threats might be more general, such as an image of someone with a firearm urging people not to come to school the next day. Some anonymous threats posted to social media and elsewhere can be so vague as to just mention the initials of a supposedly targeted school or no specific location at all (Ward, 2023). Indeed, a common characteristic among threats targeting K-12 schools is their anonymous nature—schools are often unable to immediately discern who posted the threat. こうした脅迫は、その伝達方法や意図において様々である。多くの脅迫は生徒に対するものだが、教師やその他の学校スタッフなど、学校コミュニティのその他のメンバーを標的にするものもある。ある特定の学校に爆弾が仕掛けられているという脅迫や、特定の個人やグループを標的にして、ある生徒が翌日銃を持って登校するという脅迫もある。また、銃を持った人物が、翌日は学校に来るなと人々に呼びかけるという、より一般的な脅迫もある。ソーシャルメディアやその他の場所に投稿される匿名の脅迫の中には、標的とされる学校のイニシャルが記載されているだけのものや、特定の場所がまったく示されていないものもある(Ward, 2023)。実際、幼稚園から高校3年生までの学校を標的とする脅迫に共通する特徴は、その匿名性である。学校は、誰が脅迫を投稿したのかを即座に特定できないことが多い。
Most of the anonymous threats schools receive are intended to be jokes—hoax threats by students trying to get out of school for a day or trying to sow disorder. Others can be cries for help. Their timing also varies. Sometimes, threats come at random times during the school year or follow disturbing patterns in the wake of actual tragedies. Highly publicized mass shootings, for example, often prompt an onslaught of so-called copycat threats of more violence (Santucci, 2022). Threats can also come in response to trends spreading across various social media platforms, such as the “National Shoot Up Your School” or “School Shooting” TikTok challenge that tasked students to prank call their schools and local police claiming that there would be a mass shooting on a specific date. This particular challenge plagued school districts across the United States in December 2021 (Mak, 2021; Klein, 2022). 学校が受け取る匿名の脅迫のほとんどは、冗談を言いたいがためのものであり、一日学校を休みたい、あるいは混乱を引き起こしたいという生徒によるデマである。 また、助けを求めるものもある。 そのタイミングも様々である。 時には、脅迫が学年の間ランダムな時間に届いたり、実際の悲劇の後に不穏なパターンで届いたりする。例えば、大々的に報道された銃乱射事件は、しばしばさらなる暴力をほのめかす模倣犯による脅迫の急増を招く(Santucci, 2022)。脅迫はまた、さまざまなソーシャルメディアプラットフォームで広がるトレンドに呼応して発生することもある。例えば、「National Shoot Up Your School」や「School Shooting」というTikTokのチャレンジでは、特定の日に銃乱射事件が起こるという偽の通報を学校や地元警察にかけるイタズラを学生たちに課している。この特定のチャレンジは、2021年12月に米国中の学区を悩ませた(Mak, 2021; Klein, 2022)。
When a school is the target of a threat, district and schoollevel administrators, school-based law enforcement personnel, other school staff, and local law enforcement partners have no choice but to immediately devote extensive resources to tracking down its origins, determining the level of concern that it poses and implementing response actions to keep their communities safe. Often, these school-led responses— evacuations, lockouts, lockdowns or school cancelations among others—have a significant emotional impact on students, teachers and other members of the school community, making it difficult for schools to foster a positive educational experience and maintain an accepting and trusting environment. 学校が脅迫の標的となった場合、学区および学校レベルの管理者、学校を拠点とする法執行機関の職員、その他の学校スタッフ、および地元の法執行機関のパートナーは、その発信源を追跡し、それがもたらす懸念のレベルを判断し、地域社会の安全を確保するための対応措置を実施するために、すぐに広範なリソースを投入する以外に選択肢はない。避難、ロックアウト、ロックダウン、休校など、学校主導のこうした対応は、生徒や教師、その他の学校関係者に大きな精神的影響を与えることが多く、学校が前向きな教育体験を育み、受容的で信頼できる環境を維持することが難しくなる。
Given the complexity of the problem, there is no one-sizefits-all approach to addressing anonymized threats against schools. Through the development of this toolkit, the Cybersecurity and Infrastructure Security Agency (CISA) hopes to alleviate some of the challenges that local education agencies face in this area. 問題の複雑さを考えると、学校に対する匿名の脅迫に対処するための万能なアプローチは存在しない。このツールキットの開発を通じて、サイバーセキュリティ・インフラ保護庁(CISA)は、この分野において地方教育機関が直面する課題のいくつかを軽減することを目指している。
Toolkit Goals and Intended Audience ツールキットの目標と想定読者
The purpose of this toolkit is to provide guidance to local education agencies that have been targeted by anonymous threats, including those originating on social media, and other similar threats, such as swatting (see Box 1.1). This toolkit outlines steps that school leaders can take to respond to threats in a balanced way that will not induce further stress on or unfairly impact their communities, assess the level of concern posed by a threat, and better prepare themselves for and prevent future threats. It also highlights key partners that local education agencies can work with to address such threats and how schools can best work with these partners. The information in this toolkit is meant to speak to diverse K-12 school settings and populations and is based on current practices highlighted by local education agencies, law enforcement agencies and other partners situated across the country. このツールキットの目的は、ソーシャルメディアを起点とするものも含め、匿名の脅迫の標的となった地方教育機関にガイダンスを提供することである。また、スワッティング(Box 1.1を参照)などの同様の脅迫にも対応する。このツールキットでは、学校のリーダーが脅迫に対応するために、地域社会にさらなるストレスや不当な影響を与えないようバランスを考慮した手順を概説し、脅迫による懸念の度合いを評価し、将来の脅迫に備え、防止するためのより良い準備を行う方法を説明する。また、地域の教育機関がこうした脅迫に対処するために連携できる主要なパートナーや、学校がこれらのパートナーと最善の形で協力する方法についても強調している。このツールキットの情報は、幼稚園から12年生までのさまざまな学校環境や生徒を対象としており、地域の教育機関、法執行機関、および全米各地のパートナーが強調する現在の慣行に基づいている。
This toolkit is intended for K-12 schools and districts serving all grade levels across different geographical contexts, whether or not they have been the target of anonymous threats in the past. Local law enforcement agencies working with K-12 schools to address threats may also find the content in this toolkit useful. このツールキットは、過去に匿名の脅迫の対象となったことがあるかどうかに関わらず、さまざまな地理的状況において全学年を対象に教育を行っている幼稚園から12年生までの学校および学区を対象としている。幼稚園から12年生までの学校と協力して脅迫に対処している地元の法執行機関も、このツールキットの内容が役立つ可能性がある。
Methods Used to Develop This Toolkit このツールキットの開発に使用された方法
The guidance included in this toolkit draws on findings presented in Developing Practical Responses to Social Media Threats Against K-12 Schools: An Overview of Trends, Challenges, and Current Approaches (Moore et al., 2024). This study is based on four key research activities: a literature review of over 115 sources focused on assessing written threatening communications in the educational and other contexts, including anonymous social media-based and swatting threats; an analysis of over 1,000 news reports about social media threat incidents against K-12 schools between 2012-2022; over 40 interviews with more than 60 individuals involved in school safety at the federal, state, county, local community, school district and individual school levels; and a panel discussion with eight experts from the K-12, law enforcement and threat assessment communities.  このツールキットに記載されている指針は、以下の研究結果に基づいている。「幼稚園から12年生までの学校に対するソーシャルメディア上の脅迫に対する実用的な対応策の開発: 動向、課題、および現在の取り組みの概要(Moore 他、2024年)で発表された調査結果に基づいている。この研究は、次の4つの主要な研究活動に基づいている。匿名のソーシャルメディアを利用した脅迫やスワッティング脅迫など、教育現場やその他の状況における脅迫的な通信の評価に焦点を当てた115以上の情報源の文献レビュー。2012年から2022年の間にK-12学校を対象としたソーシャルメディア上の脅迫に関する1,000件以上のニュース記事の分析、連邦、州、郡、地域社会、学区、学校レベルで学校の安全に関与する60人以上の個人を対象とした40件以上のインタビュー、K-12、法執行機関、脅迫評価コミュニティの8人の専門家によるパネルディスカッション。
・The literature review identified indicators that have been used to assess the credibility and level of concern posed by written threats in the K-12 educational context. It also includes contexts that hold appropriately relevant and translatable lessons for schools, such as anonymous threats made to public officials, threats from fixated individuals (stalkers), bomb threats, and, to a lesser extent, cyberbullying. ・文献レビューでは、K-12教育の文脈における書面による脅迫の信憑性と懸念レベルを評価するために使用されてきた指標が特定された。また、公人に対する匿名の脅迫、ストーカーによる脅迫、爆破予告、そして程度は低いがサイバーいじめなど、学校にとって適切に関連性があり、翻訳可能な教訓となる内容も含まれている。
・The analysis of news reports helped identify discernable trends around social media threats against K-12 schools such as information about their timing, geographical scope, type of schools targeted, and how schools and districts have been responding to these threats.  ・ニュース報道の分析により、K-12の学校に対するソーシャルメディア上の脅迫について、その時期、地理的範囲、標的となった学校の種類、学校や学区がこれらの脅迫にどのように対応してきたかなど、識別可能な傾向を特定することができた。
・The direct interviews, which represented 17 school districts across 12 states as well as school safety offices, tip lines and state law enforcement agencies from 15 different states, collected information on current practices that local education agencies and their law enforcement partners are using to address anonymized threats as well as the challenges they face in this area.  ・12州17学区の教育委員会や学校安全対策室、ホットライン、15州の州法執行機関を対象とした直接インタビューでは、匿名の脅迫に対処するために地方教育委員会とその法執行機関のパートナーが現在使用している手法や、この分野における課題に関する情報を収集した。
・・To highlight the contributions of this diverse group of stakeholders and emphasize key points, this toolkit includes selected “Voices from the Field” throughout each section. ・・この多様なステークホルダーの貢献を強調し、要点を強調するために、このツールキットでは各セクションに「現場の声」を抜粋して掲載している。
・・There are several “Example Threat Scenarios” provided throughout the document that recount real-world situations involving K-12 schools and districts. These entries have been collected during the research process and include quotes that have been edited or paraphrased to avoid any identifiable information about the institutions subject to these threats. ・・また、K-12の学校や学区が実際に直面している状況を再現した「脅迫シナリオの例」もいくつか記載されている。これらの事例は調査の過程で収集されたもので、脅迫の対象となった機関を特定できる情報を避けるために、編集または言い換えられた引用文が含まれている。
・Finally, the research team held an expert panel in July 2023 to collect feedback on the draft report and gather recommendations for the development of this toolkit. Experts consisted of K-12 administrators, federal law enforcement personnel, and threat assessment professionals from academia and law enforcement.  ・最後に、研究チームは2023年7月に専門家によるパネルを開催し、報告書草案に対するフィードバックを収集し、このツールキットの開発に向けた提言を収集した。専門家は、K-12の管理者、連邦法執行機関の職員、学術界および法執行機関の脅迫評価の専門家で構成された。
Navigating and Using This Toolkit このツールキットの使用方法
This toolkit acknowledges the myriad diverse contexts that characterize K-12 schools across the United States and the ensuing need for flexible solutions that can help them meet the needs of their unique populations as they address anonymized threats. Its purpose is to provide simple, actionable guidance around assessing and responding to such threats and enhancing preparedness in this area. このツールキットは、米国の幼稚園から12年生までの学校を特徴づける無数の多様な背景を認識し、匿名の脅迫に対処する際に、学校がそれぞれの生徒のニーズを満たすことを支援する柔軟なソリューションの必要性を認識している。その目的は、このような脅迫の評価と対応、およびこの分野における準備態勢の強化に関する、シンプルで実行可能な指針を提供することである。
SECTION ONE 第1章
Provides background about trends in social media-based and other types of anonymous threats targeting K-12 schools, including how schools are becoming aware of threats. This section also describes the impact that these threats are having on local education agencies across the country such as loss of instruction time, the high demand they place on school and law enforcement resources, and the trauma and emotional stress that they induce. K-12の学校を標的としたソーシャルメディアを基盤とする匿名の脅迫やその他のタイプの脅迫の傾向について、学校が脅迫に気づくようになった経緯を含め、背景を説明する。また、このセクションでは、授業時間の損失、学校や法執行機関のリソースへの多大な負担、心的外傷や精神的ストレスなど、これらの脅迫が全米の地方教育機関に与えている影響についても説明する。
SECTION TWO 第2章
Outlines initiatives that schools can consider putting in place to help prevent and deter threat-making. The discussion focuses on strategies to increase awareness and reporting of threats, adding mental health resources to schools and efforts to educate the community about the potential consequences of threat-making even when threats are meant to be jokes. 学校が脅迫の防止と抑止のために導入を検討できる取り組みについて概説する。議論の焦点は、脅迫に対する認識と報告を増加させるための戦略、学校へのメンタルヘルス関連リソースの追加、脅迫が冗談のつもりであった場合でも脅迫がもたらす潜在的な結果について地域社会に教育を行う取り組みである。
SECTION THREE 第3章
Describes key partners in the process of addressing anonymous threats made against K-12 schools. Schools should think about what additional capabilities and expertise they will need to effectively respond to threats and to help them investigate the origins of a threat and the risk that it poses. 幼稚園から高校3年生までの学校に対する匿名の脅迫に対処するプロセスにおける主要なパートナーについて説明する。学校は、脅迫に効果的に対処し、脅迫の発生源やそれがもたらすリスクを調査するために、どのような追加の能力や専門知識が必要かを考えるべきである。
SECTION FOUR 第4章