こんにちは、丸山満彦です。
日本公認会計士協会から、「監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」の改正について」が、公表されていますね。
・2020.03.31 監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」の改正について
-----
今回の改正は、企業会計審議会から2019年12月6日付けで公表された「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂に関する意見書」を受けた財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂を踏まえ、関連する実務指針の検討を行ったものです。
-----
こんにちは、丸山満彦です。
「学術雑誌『情報通信政策研究』第3巻第2号」に板倉陽一郎先生の論文「プライバシーに関する契約についての考察(問答編)」が掲載されています。興味深いです。。。
・[PDF] プライバシーに関する契約についての考察(問答編) 著者:板倉 陽一郎(ひかり総合法律事務所パートナー弁護士)
-----
2.「プライバシーに関する契約についての考察」の基本的な枠組み
...インターネット上に数多ある、プライバシーポリシーや利用規約に着目すると、①プライバシーポリシーにおいて個人情報の保護に関する法律...における法定公表事項等が記載され、②更にこれが発展してプライバシーポリシーに第三者提供等に関する同意が記載され、③同意を円滑に取得するために、利用規約によりプライバシーポリシーにおける同意を取得しようとする、という流れが確認できる。そして、利用規約による第三者提供等に関する同意の取得は公法上の契約である(個人情報保護委員会がいうところの「承諾」に限らない)といえる。一方、公法上の契約を発生させようとした条項について私法上の解釈が問題となるところ、(個人データの)第三者提供等に関する同意は、私法的には、当該個人情報の取扱いの範囲においてはプライバシーに関する請求権(人格権に基づく差止請求権及び不法行為に基づく損害賠償請求権)を行使しないという意思表示を含むと考えられ、これを、連載では「プライバシーに関する契約」と称している4。そして、公法上の契約及び個人情報保護法上は有効であることを前提とし、それでもプライバシーに関する契約について何らかの問題が生じるか、というのが基本的な問題設定である5。そして、プライバシーに関する契約について第一類型(個人情報保護法上の同意に関する契約)、第二類型(個人情報保護法上の法定公表事項に関する契約)、第三類型(個人情報保護法上の請求権の制限に関する契約)に分類した上で、契約締結の場面における限界(有効な被害者の同意がない、人格権の放棄、消費者契約法 10 条違反)、利用規約変更の場面における限界(定型約款条項違反)を論じ、その効果を分析した6。さらに、訴訟法上の問題について、民事訴訟、行政訴訟の場面をそれぞれ考察してきた7。
-----
こんにちは、丸山満彦です。
「学術雑誌『情報通信政策研究』第3巻第2号」に中川裕志先生の寄稿論文「AI 倫理指針の動向とパーソナル AI エージェント」が掲載されています。全体感を理解する上で参考になると思います。
また、新保史生先生の「AI 原則は機能するか?―非拘束的原則から普遍的原則への道筋」 も掲載されています。
● 総務省 - 情報通信政策研究所
・[PDF] AI倫理指針の動向とパーソナルAIエージェント 著者:中川裕志(理化学研究所・革新知能統合研究センターPI)
・[PDF] AI原則は機能するか? ―非拘束的原則から普遍的原則への道筋 著者:新保史生(慶應義塾大学総合政策学部教授)
同じ号に板倉先生の論文も掲載されていますね。
・[PDF] プライバシーに関する契約についての考察(問答編) 著者:板倉 陽一郎(ひかり総合法律事務所パートナー弁護士)
これはこれで興味深いので別途記載するつもりです。。。
こんにちは、丸山満彦です。
FBIが、COVID-19で在宅勤務や在宅学習が増えることによるZoomを使ったサイバー犯罪(例えば乗っ取り)についての注意喚起をしていますね。。。
・2020.03.30 FBI Warns of Teleconferencing and Online Classroom Hijacking During COVID-19 Pandemic
事例については次のような感じですね。
-----
-----
対策については次のような感じですね。。。
-----
-----
【参考】
・2020.03.30 COVID-19: Hackers Begin Exploiting Zoom's Overnight Success to Spread Malware
こんにちは、丸山満彦です。
英国政府はCOVID-19に関する偽情報(misinformation)を取り締まるチームを設置したようですね。偽情報、フェイクニュース(fake news)については、選挙活動での悪用に注目がいっていましたが、関東大震災、オイルショック等の時にも明らかですが危機管理においても非常に重要ですね。。。
● UK Government - Cyber security
・2020.03.30 Government cracks down on spread of false coronavirus information online
・2020.03.30 Coronavirus: Fake news crackdown by UK governmen
● Sky News
・2020.03.30 Coronavirus: Government cracks down on fake advice on social media and WhatsApp
・2020.03.30 Coronavirus fake news 'could cost lives', Culture Secretary warns
・ 2020.03.30 Government sets up coronavirus rapid rebuttal unit to dispel rumours
・2020.03.30 DCMS leads fight to counter fake coronavirus information on internet
● CITYA.M.
・2020.03.30 Coronavirus: Government slams ‘breath holding’ advice amid fake news crackdown
・2020.03.30 Sharing fake news during coronavirus outbreak should become an offence, says Tory MP
● MyLondon
・2020.03.30 08:16 Government cracks down on spread of false coronavirus information online
Specialist units across government are working at pace to combat false and misleading narratives about coronavirus, ensuring the public has the right information to protect themselves and save lives.
The Rapid Response Unit, operating from within the Cabinet Office and No10, is tackling a range of harmful narratives online - from purported ‘experts’ issuing dangerous misinformation to criminal fraudsters running phishing scams.
Up to 70 incidents a week, often false narratives containing multiple misleading claims, are being identified and resolved. The successful ‘Don’t Feed the Beast’ public information campaign will also relaunch next week, to empower people to question what they read online.
・2020.03.30 Coronavirus: Government cracks down on fake advice on social media and WhatsApp
ーーーー
・2020.03.30 UK Government Launches Unit To Deal With Fake Coronavirus News
こんにちは、丸山満彦です。
トヨタ自動車製 (日本以外)DCU (ディスプレイコントロールユニット) の脆弱性が公表されていますね。「BlueBorne の脆弱性に起因する脆弱性 」があり、第三者によって、DCU に対してサービス運⽤妨害 (DoS) 攻撃が行われたり任意のコマンドを実⾏されたりする可能性があり、DCU を経由して⾞両に対する操作が⾏われる可能性があるようです。ただ、走る、曲る、止まるといった車両運動制御には影響しない事を確認済みとのことのようですね。
この脆弱性に対応した DCU のアップデートが提供されているようです。
● JVN
・2020.03.30 JVNVU#99396686 トヨタ自動車製 DCU (ディスプレイコントロールユニット) に脆弱性
・2020.03.30 JVNVU#99396686 A vulnerability in TOYOTA MOTOR's DCU (Display Control Unit)
● CVE
・2020.03.30 CVE-2020-5551
● トヨタ自動車
・2020.03.30 Tencent Keen Security Labの自動車サイバーセキュリティ向上への貢献とトヨタ自動車の取り組みについて
・2020.03.30 Toyota Acknowledges Tencent Keen Security Lab's Initiatives for Improving Automotive Cybersecurity
・2020.03.30 Tencent Keen Security Lab: Experimental Security Assessment on Lexus Cars
これは、かなり詳細に記載されていますね。。。
こんにちは、丸山満彦です。
Carnegie Mellon Universityのブログで、CMMCについての記事が記載されていますね。。。
● Carnegie Mellon University
・2020.03.30 An Introduction to the Cybersecurity Maturity Model Certification (CMMC) by Katie C. Stewart
プロセスとプラクティスの成熟度という概念がポイントの一つですよね。。。
【参考】
・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0
-----
Leveled Practices
Process Maturity
-----
こんにちは、丸山満彦です。
私も一部関わっていた(セキュリティ検討プロジェクトチームメンバー)にもかかわらず、ブログに載せるのを忘れてました(^^;;
● IPA
・2020.03.27 情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)
-----
(Wiki形式)
-----
こんにちは、丸山満彦です。
COVID-19が感染爆発し、医療崩壊を招かないように、できるだけ外出を控えるようにという要請が出ており、各企業はリモートワーク(在宅勤務)を始めていますが、新たにリモートワークを進めるにあたり、セキュリティの課題もまた出てきますので、気になりますよね。。。
このブログでも取り上げているので、まとめておきます。
・2020.03.28 CSA - 7 Steps to Securing Your Remote Work Lifecycle in the Cloud
・2020.03.25 Oregon FBI Tech Tuesday: Building a Digital Defense When You Are On-the-Go
・2020.03.25 ENISA Tips for cybersecurity when working from home
・2020.03.24 CSA Cloud Security for Newly Distributed Engineering Teams
・2020.03.18 US、UKのテレワークガイダンス
● DoD Washington Headquarters Services
・CORONAVIRUS DISEASE 2019 (COVID-19)
・#Telework
- JSP Teleworking Tips (CAC-enabled site - use Internet Explorer for best performance)
- 2020.03.12 [PDF] OMB Updated Guidance on Telework Flexibilities in Response to Coronavirus (M-20-13)
- 2020.03.08 [PDF] DoD Civilian Workforce Personnel Guidance
- OPM Guidance (Coronavirus Disease 2019 (COVID-19))
- [PDF] PROTECT YOURSELF - A Guide to Best Practices for Keeping You and Yours Safe Online
こんにちは、丸山満彦です。
COVID-19がいよいよ日本、特に東京で感染爆発するかどうかと言うところに来ているように感じています。
例えば、医療機関で院内感染が起こり、病院が閉鎖されるようなことになれば、治療する側が治療を受ける側になるわけで、その影響は大きいですよね。医療機関がCOVID-19の患者で溢れれば、COVID-19以外の病気の多くの患者も含めて命の危険性にさらされるという状況になりますよね。。。本当に早く収束してほしいものです。もちろん、そのためには自分も含めて人類全員の行動が重要なわけですが・・・
● Worldometers
・COVID-19 CORONAVIRUS PANDEMIC
刻一刻変わっていくので、2020.03.29 18:55 GMTの情報を画像で・・・
● 日本版?
こんにちは、丸山満彦です。
Googleは、個人アカウントが外国の国家等に悪用される恐れがある場合は本人に通知しているそうですが、 2019年はそれが40,000件以上あったようですね。。。それでも2018年は25%多い、つまり2018年より20%低いようです。
● Forbes
・2020.03.27 Google Confirms 40,000 Nation-State Cyber Attack Warnings Issued
こんにちは、丸山満彦です。
セキュリティ人材の育成はどこでも苦労しているのかもしれません。ENISAが「Cybersecurity Skills Development in the EU」を公表していますね。。。
大学のコースのデータベースは面白いですね。。。
● ENISA
・2020.03.26 Cybersecurity Skills Development in the EU
・Cybersecurity Higher Education Database
-----
1. INTRODUCTION
2. THE CYBERSECURITY SKILLS SHORTAGE
2.1 THE CYBERSECURITY SKILLS SHORTAGE WORLDWIDE
2.2 THE CYBERSECURITY SKILLS SHORTAGE IN THE EUROPEAN UNION
2.3 THE CAUSES OF THE SHORTAGE
3. CHALLENGES IN CYBERSECURITY EDUCATION ANDTRAINING
4. THE CERTIFICATION OF CYBERSECURITY DEGREES
4.1 AUSTRALIA
4.2 FRANCE
4.3 UNITED KINGDOM
4.4 UNITED STATES
4.5 CYBERSECURITY DEGREE CERTIFICATIONS: SUMMARY OF MAIN FEATURES
5. THE EU DIGITAL AND CYBERSECURITY EDUCATION POLICY & ENISA’S HIGHER EDUCATION DATABASE
5.1 THE EU DIGITAL AND CYBERSECURITY EDUCATION POLICY
5.2 ENISA ROLE IN CYBERSECURITY EDUCATION
5.3 ENISA CYBERSECURITY HIGHER EDUCATION DATABASE
6. SUMMARY AND RECOMMENDATIONS
6.1 CONSIDERATIONS
6.2 RECOMMENDATIONS
7. BIBLIOGRAPHY
こんにちは、丸山満彦です。
CSAがリモートワークのセキュリティに関する記事、「7 Steps to Securing Your Remote Work Lifecycle in the Cloud」を掲載していますね。。。
● Cloud Security Alliance
・2020.03.27 7 Steps to Securing Your Remote Work Lifecycle in the Cloud
作者は、Martin Johnson, VP Marketing at Polyrize
ということも含めて見ておいてくださいませ。。。
-----
STEP 1: Segregate your cloud workflows by group, department or location to determine what apps and resources they and their associated employees and contractors need to do their jobs. If possible, roll-out new cloud services incrementally for remote access, allowing only a manageable number of individuals from each group to try out the app and their associated access privileges before full deployment.
STEP 2: Adhere to the principle of least privilege access by ensuring employees have the minimum access privileges needed to do their job. For example, consultants shouldn’t have unfettered access to customer PII and interns shouldn’t have access to sensitive engineering documents and IP. It also means placing controls on privileged users of both SaaS and IaaS services to prevent them from abusing admin privileges for non-admin related activities that can place your organization at high risk. In addition, you should eliminate unused or stale permissions of employees and external contractors to effectively reduce your attack surface by minimizing the risk of account takeovers and data loss.
STEP 3: Ensure your business-critical resources are protected with MFA. This means identifying and consolidating your business-critical resources within IT-sanctioned cloud apps that have been fully vetted for MFA support, as well as PII security controls, SOC-2 compliance, encryption support, etc.
STEP 4: Make sure that file and folder sharing permissions within your sanctioned apps are restricted within specific groups, depending on usage. This will help prevent accidental oversharing of business-critical data. Realize that a sensitive file carelessly dropped into a folder with overly-broad sharing rights will inherit those same rights and be automatically exposed.
STEP 5: Implement cloud DLP policies to provide a last line of defense against the leakage of business-critical data. This includes placing strict controls on externally sharing sensitive files, especially those containing PII, PCI and PHI, with contractors and on copying files to personal accounts.
STEP 6: Set up processes for off-boarding remote employees and contractors. This process can be a challenge since many cloud services are managed outside of your SSO. Adopting a unified, cross-service access control solution that allows you to identify and revoke permissions when employees or contractors leave the company is recommended.
STEP 7: Reprioritize security team resources to cloud data protection, focused on preventing data leakage and account takeovers.
こんにちは、丸山満彦です。
内閣官房が、政府情報システムのためのセキュリティ評価制度(ISMAP)における各種基準(案)のパブリックコメントを募集していますね。
・2020.03.27 政府情報システムのためのセキュリティ評価制度(ISMAP)における各種基準(案)の意見公募手続(パブリックコメント)を開始しました。
1.背景・趣旨
平成30年6月に、政府は「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(平成 30年6月7日 各府省情報化統括責任者(CIO)連絡会議決定)を定め、クラウド・バイ・デフォルト原則を掲げる一方で、「未来投資戦略2018」(平成30年6月15日閣議決定)、及び「サイバーセキュリティ戦略」(平成30年7月27日閣議決定)において、クラウドサービスの安全性評価に関する検討の必要性が位置付けられました。
これを受け、同年8月から令和元年12月にかけて、経済産業省と総務省が事務局となり、「クラウドサービスの安全性評価に関する検討会」を開催し、令和2年1月にはパブリックコメントを経たとりまとめが行われました。
また、これらの閣議決定等を踏まえ、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和2年1月30日サイバーセキュリティ戦略本部決定)において、本制度の①基本的枠組み、②各政府機関等における利用の考え方、③所管と運用体制が決定されました。
今般、内閣官房(内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室)・総務省・経済産業省が所管となった同制度を「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program(略称ISMAP:イスマップ))」と称し、当該制度で用いる各種基準について幅広い御意見をいただくべく、令和2年3月27日(金曜日)から同年4月26日(日曜日)までの間、意見を募集することとしました。
● e-Gov
・2020.03.27「政府情報システムのためのセキュリティ評価制度(ISMAP)における各種基準(案)」に対する意見公募
こんにちは、丸山満彦です。
タイムリーな話題というわけではないのですが、EUのEthics Guidelines for Trustworthy AIのウェブページ。。。
・Ethics Guidelines for Trustworthy AI
・[PDF] Guidelines
| EXECUTIVE SUMMARY | エグゼクティブ・サマリー |
| A. INTRODUCTION | A. はじめに |
| B. A FRAMEWORK FOR TRUSTWORTHY AI | B. 信頼性の高いAIのためのフレームワーク |
| I. Chapter I: Foundations of Trustworthy AI | I. 第1章:信頼できるAIの基礎知識 |
| II. Chapter II: Realising Trustworthy AI | II. 第II章 信頼できるAIの実現 信頼できるAIの実現 |
| 1. Requirements of Trustworthy AI | 1. 信頼できるAIの要件 |
| 2. Technical and non-technical methods to realise Trustworthy AI | 2. 信頼できるAIを実現するための技術的・非技術的手法 |
| III. Chapter III: Assessing Trustworthy AI | III. 第III章 信頼できるAIの評価 |
| C. EXAMPLES OF OPPORTUNITIES AND CRITICAL CONCERNS RAISED BY AI | C. AIがもたらす機会と重大な懸念の例 |
| D. CONCLUSION | D. おわりに |
| GLOSSARY | 用語集 |
こんにちは、丸山満彦です。
Europolが「Pandemic profiteering: how criminals exploit the COVID-19 crisis」を公表していますね。。。Cybercrimeも含まれていますね。。。
● Europol
・2020.03.27 HOW CRIMINALS PROFIT FROM THE COVID-19 PANDEMIC
・2020.03.27 PANDEMIC PROFITEERING: HOW CRIMINALS EXPLOIT THE COVID-19 CRISIS
・[PDF] Pandemic profiteering how criminals exploit the COVID-19 crisis
こんにちは、丸山満彦です。
経団連・東京大学・GPIFから、「ESG投資の進化、Society 5.0の実現、そしてSDGsの達成へ-課題解決イノベーションへの投資促進-」が公表されていますね。。。
● 経団連 - Policy(提言・報告書) - 税、会計、経済法制、金融制度
・2020.03.26 ESG投資の進化、Society 5.0の実現、そしてSDGsの達成へ(経団連・東京大学・GPIFの共同研究報告書)
目次
本報告書の目的・報告書の全体像
第1章:検討の背景
第2章:Society 5.0の理解とその向上策
第3章:経済効果・社会的効果
第4章:Society 5.0推進企業の情報開示の方向性
第5章:投資環境の整備
おわりに・今後のアクションプラン
ーーーーー
共同研究の背景
4つの方策
こんにちは、丸山満彦です。
(2021.02.03 追記:確定しています=>このブログ 2021.02.02 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月))
厚生労働省の「健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ」で、医療情報システムの安全管理に関するガイドライン 改定素案(第 5.1 版)が議論されていますね。。。
● 厚生労働省 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ
・2020.03.26 第一回
-----
医療機関等を対象とするサイバー攻撃の多様化・巧妙化、スマートフォンや各種クラウドサービス等の医療現場での普及、各種ネットワークサービスの動向への対応として、関連する4章、6章等の改定を行った。また、各種ガイドラインとの整合性の確保や近時の個人情報に関する状況等への対応として、6章、8章の改定を行った。
4章では、
6章では、
8章では、
その他、分かりやすさの観点から、全般的な表現の修正を行った。
-----
のようです。。。
こんにちは、丸山満彦です。
DEER.IOとして知られるロシアに拠点を置くサイバー犯罪のプラットフォームがFBIによって閉鎖され、その管理者であるロシア人ハッカー Kirill Victorovich Firsov(キリル・ヴィクトロヴィッチ・フィルソフ)容疑者が逮捕され、起訴されたようですね。。。
-----
the FBI made purchases from DEER.IO storefronts hosted on Russian servers.
・・・
On or about March 4, 2020, the FBI purchased approximately 1,100 gamer accounts from the DEER.IO store ACCOUNTS-MARKET.DEER.IS for under $20 in Bitcoin. Once payment was complete, the FBI obtained the gamer accounts, including the user name and password for each account. Out of the 1,100 gamer accounts, 249 accounts were hacked Company A accounts. Company A confirmed that if a hacker gained access to the user name and password of a user account, that hacker could use that account. A gamer account provides access to the user’s entire media library. The accounts often have linked payment methods, so the hacker could use the linked payment method to make additional purchases on the account. Some users also have subscription-based services attached to their gamer accounts.
On or about March 5, 2020, the FBI purchased approximately 999 individual PII accounts from the DEER.IO store SHIKISHOP.DEER.IS for approximately $170 in Bitcoin. On that same date, the FBI purchased approximately 2,650 individual PII accounts from the DEER.IO store SHIKISHOP.DEER.IS for approximately $522 in Bitcoin. From those identities, the FBI identified names, dates of birth and U.S. Social Security numbers for multiple individuals who reside in San Diego County, including G.V. and L.Y.
-----
と公表しているので、FBIがDEER.IOに出店している店舗から購入したようですね。。。
● FBI - Cyber Crime news and press releases
・2020.03.24 FBI Takes Down a Russian-Based Hacker Platform; Arrests Suspected Russian Site Administrator
● まるちゃんの情報セキュリティ気まぐれ日記
・2020.03.23 脅威インテリジェンスサービスの利用とコンプライアンス by 高橋郁夫弁護士
こんにちは、丸山満彦です。
IPAが情報システム等の脆弱性情報の取扱いにおける報告書を公表していますね。
● IPA
・2020.03.25 情報システム等の脆弱性情報の取扱いにおける報告書を公開
● 情報システム等の脆弱性情報の取扱いに関する研究会 2019年度報告書
● 脆弱性対処に向けた製品開発者向けガイド
● ネット接続製品の安全な選定/利用ガイド
● 資料のダウンロード
● 関連資料
今回は、2019年度の報告書だけですね。ガイドは5月に公開予定。。。
・[PDF] 情報システム等の脆弱性情報の取扱いに関する研究会 2019年度報告書(全43ページ)
【目次】
1. 情報セキュリティ早期警戒パートナーシップの現状と課題
1.1. 背景
1.2. 運用の状況
1.3. 本年度研究会における検討
2. ソフトウェア製品の脆弱性対処促進に関する調査
2.1. 調査の概要
2.2. 調査結果
3. 一般消費者のリテラシー向上に関する調査
3.1. 調査の概要
3.2. 調査結果
4. サポート終了製品のパートナーシップにおける取扱いに関する調査
4.1. 調査の概要
4.2. 調査結果
5. パートナーシップガイドラインの改訂等に関する調査
5.1. 調査結果
参考1 2019年度情報システム等の脆弱性情報の取扱いに関する研究会名簿
参考2 脆弱性研究会の検討経緯
こんにちは、丸山満彦です。
JVNが「JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題」を公表していますね。。。
もともとは、CERT Coordination Center (@ Software Engineering Institute in Carnegie Mellon University) の Vulnerability Note VU#425163 Machine learning classifiers trained via gradient descent are vulnerable to arbitrary misclassification attackですね。。。
● JVN
・2020.03.25 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題
詳細情報勾配降下法を用いて学習させたモデルを用いた分類を行う場合に、任意の分類結果が得られるような入力を意図的に作成することが可能です。これは、Kumar et al. による攻撃分類では、perturbation attacks や adversarial examples in the physical domain に該当します。
攻撃対象のシステムに対して、攻撃者がデータの入力や出力の確認などを行うことができる余地が大きいほど、攻撃が成功する可能性は大きくなります。
また、学習プロセスに関する情報(教師データ、学習結果、学習モデル、テストデータなど)があれば、攻撃はより容易に行えるようになります。
現状では、数秒で攻撃できるものから何週間も必要になるものまで様々な事例が知られています。想定される影響
本件はアルゴリズムの脆弱性であり、攻撃対象となるシステムにおいて機械学習の仕組みがどのように使われているかによって影響は異なります。
以下に、現在知られている中から典型的な事例を3つ挙げます。
- 音声からテキストへの自動変換システムに対し、任意の結果に誤変換させることが可能であることを実証
- 写真データを使った顔認識システムに対し、照明操作、眼鏡着用、写真データ加工などによって意図的に誤認識させることが可能であることを実証
- 2019年3月に発表された論文では、車線認識機能を持つ Tesla Autopilot に対し、実験用走行環境ではあるが、路面に貼られたステッカーによって意図的に車線変更させる実験に成功。また、2020年1月に発表された論文では、同様の手法がドローンなどによる路面への投影によっても可能であることを実証
こんにちは、丸山満彦です。
個人情報保護委員会が「特定個人情報の適正な取扱いに関するガイドラインの一部を改正する件(告示案)」に関する意見募集をしていますね。。。
軽微な改正と思います。。。
2.改正案の概要
従来から情報連携のために用いられている取得番号について、「情報照会者等及び総務大臣並びに取得番号の提供を受けた者は、情報提供用個人識別符号の取得後、当該情報提供用個人識別符号の取得に係る事務を処理する必要がなくなった場合で、文書管理に関する規程等によって定められている保存期間を経過した場合には、取得番号を削除する必要がある」旨を追加する。
・2020.03.25「特定個人情報の適正な取扱いに関するガイドラインの一部を改正する件(告示案)」に関する意見募集について
・2020.03.25 第140回 個人情報保護委員会
こんにちは、丸山満彦です。
IPAが企業のCISO等やセキュリティ対策推進に関する実態調査を公表していますね。
● IPA
・2020.03.25 企業のCISO等やセキュリティ対策推進に関する実態調査
・2020.03.25 プレス発表 CISO等がいる組織においてもセキュリティに関する事業リスク評価が未実施である割合は53.4%
調査報告書をダウンロードされる方は、こちらです。
こんにちは、丸山満彦です。
IPAがサイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版を公表していますね。
作成に関わっているので、宣伝です。。。委員会でもいろいろと本当に検討し、議論してきました。まだまだ課題はあると思いますが、まずは幅広く使ってもらって、皆さんと一緒に改善していけたらと思っておりますので、使っていただいて、意見を頂ければと思います!!!
● IPA
・2020.03.25 サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版
・・[Excel] サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版
意図・・・
サイバーセキュリティの実践状況を企業自身がセルフチェックで可視化するためのサイバーセキュリティ経営ガイドラインベースの可視化ツールです。企業は自社の状況を定量的に把握することで、サイバーセキュリティに関する方針の策定、適切なセキュリティ投資の実行等が可能となります。
どうやって使うか?
可視化ツールβ版について
「使い方ガイド」(本シート)、「チェックリスト」、「可視化結果」の3種類のシートから構成されます。チェックリストの39個の質問にセルフチェックで回答します。回答方式は成熟度モデルで、5段階の選択式です。全質問について回答すると、可視化結果シートの表示が自動的に更新されます。詳細は使い方ガイドをご覧ください。
今回はβ版!
注意事項
本ツールはβ版であり、2020年度以降もブラッシュアップを続ける予定です。 可視化ツール正式版(Ver. 1.0)では内容が変わっている可能性があるのでご了承ください。
皆さんと一緒に作る!
アンケートのお願い
よろしければ今後の改善を図るため、可視化ツールβ版に関するアンケートにご協力ください。アンケート詳細は可視化ツールエクセルをご参照ください。
【参考】
・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0
こんにちは、丸山満彦です。
ENISAがAI+Cybersecurityの専門家を探していますね。
● ENISA
・2020.03.24 Call for Expression of Interest: Experts Group in Artificial Intelligence Cybersecurity
求めている情報というのは、
| AI cybersecurity | AIのサイバーセキュリティ |
| AI explainability and trustworthiness | AIの説明力と信頼性 |
| AI risk management | AIのリスク管理 |
| Sectorial AI expertise | 分野別のAIの専門知識 |
| Algorithmic security | アルゴリズムのセキュリティ |
| Data security in relation to AI | AIに関連したデータセキュリティ |
主要なトピックは、
ということのようです。
こんにちは、丸山満彦です。オレゴンのFBIがリモートワークのセキュリティに関することを記載していますので、共有しておきますね。。。
・2020.03.24 Oregon FBI Tech Tuesday: Building a Digital Defense When You Are On-the-Go
平易に書かれていますね。。。
<詳細>
【参考】
The FBI’s Protected Voices initiative provides tools and resources to political campaigns, companies, and individuals to protect against online foreign influence operations and cybersecurity threats.
こんにちは、丸山満彦です。
ENISAもリモートワークのセキュリティについて公表していますので、共有しておきます。雇用主側と雇用者側、それぞれに記載がありますね。。。あと、COVID-19関係のPhisingについても触れていますね。。。
● ENISA
・2020.03.24 Tips for cybersecurity when working from home
<詳細>
【参考】
● Europol
・MAKE YOUR HOME A CYBER SAFE STRONGHOLD Public awareness and prevention
こんにちは、丸山満彦です。
NISTがSP 800-124 Rev. 2(Draft) Guidelines for Managing the Security of Mobile Devices in the Enterprise についてのコメントを求めていますね。。。
● NIST ITL
・2020.03.24 SP 800-124 Rev. 2(Draft) Guidelines for Managing the Security of Mobile Devices in the Enterprise
・[PDF] SP 800-124 Rev. 2 (Draft)
【既存文書】
・2013.06 SP 800-124 Rev. 1 Guidelines for Managing the Security of Mobile Devices in the Enterprise
こんにちは、丸山満彦です。
NISTがSP 800-56C Rev. 2(Draft) Recommendation for Key-Derivation Methods in Key-Establishment Schemes(鍵確立スキームにおける鍵導出手法の推奨)についてのコメントを求めていますね。。。
● NIST ITL
・2020.03.24 SP 800-56C Rev. 2(Draft) Recommendation for Key-Derivation Methods in Key-Establishment Schemes
・[PDF] SP 800-56C Rev. 2 (Draft) (DOI)
【参考】既存文書
| SP | 800-56A Rev. 3 | Recommendation for Pair-Wise Key-Establishment Schemes Using Discrete Logarithm Cryptography | [PDF] | Final | 2018.04.16 |
| SP | 800-56B Rev. 2 | Recommendation for Pair-Wise Key-Establishment Using Integer Factorization Cryptography | [PDF] | Final | 2019.03.21 |
| SP | 800-56C Rev. 1 | Recommendation for Key-Derivation Methods in Key-Establishment Schemes | [PDF] | Final | 2018.04.16 |
こんにちは、丸山満彦です。
COVID-19で世界中で在宅勤務が否応が無しに増えている状況ですが、日本でも「意外とリモートワークいけるやん」という声が増えているように思います。(もちろん、すべての産業がリモートワークに向いているわけでもなく、リモートワークが可能な業務でもすべてをリモートワークで実施するのが適切というわけでもないのですが。。。)
と、なってくるとリモートワークとセキュリティの問題も気にする必要がありますね。本来的にはデータの機密性だけでなく、システムの可用性(もっと言うと業務の継続性)の問題も重要です。
Cloud Security Alliance (CSA)が新しい記事を載せているので紹介です。。。複数のクラウド環境を利用することを想定していますね。。。
● Cloud Securit Alliance (CSA)
・2020.03.23 Cloud Security for Newly Distributed Engineering Teams
5つのポイントを指摘していますね。
1. Device Security
・Ensure corporate devices are under corporate control.
・Disk encryption.
・Strict password requirements and screen locking.
・Antivirus and device hygiene.
2. Access Policies
・Formalize your access policies.
・Use Virtual Private Networks (VPNs).
・Enforce security group rules.
・Identity and Access Management (IAM).
・Leverage privileged identity and session management tools.
・Enforce Multi-Factor Authentication (MFA).
・Enable Single Sign On (SSO).
・Practice good cloud hygiene.
・Don’t share root access keys to your cloud account!
3. Processes
・Code reviews.
・Expand the use of your internal ticketing system.
・Formalize informal practices.
・Embrace asynchronous communications.
・Don't shy away from voice calls!
・Turn on your camera!
4. Visibility and Control
・Get continuous visibility into cloud state.
・Device visibility.
・Review and update your software deployment processes.
・Use policy-as-code.
5. Support your Team
こんにちは、丸山満彦です。
総務省において「タイムスタンプ認定制度に関する検討会」が開催されたようですね。。。
● 総務省
・2020.03.23 「タイムスタンプ認定制度に関する検討会」の開催
-----
総務省は、トラストサービスの1つであるタイムスタンプについて、国際的な動向を踏まえつつ、国としての認定の仕組みを検討するため、「タイムスタンプ認定制度に関する検討会」を開催します。
1 目的
サイバー空間と実空間の一体化が進むSociety5.0ではデータの重要性が一層高まり、データ流通を支える基盤として、データの真正性や信頼性を確保する仕組みであるトラストサービスが必要となります。
本検討会では、トラストサービスの1つであるタイムスタンプ(電子データがある時刻に存在し、その時刻以降に当該データが改ざんされていないことを確認できる仕組み)について、国際的な動向を踏まえつつ、国としての認定の仕組みを検討するため、「タイムスタンプ認定制度に関する検討会」を開催します。2 議題
(1)時刻認証業務の認定の仕組みに関する事項
(2)当該認定の基準に関する事項
(3)その他3 構成員等
別紙のとおり
4 スケジュール
令和2年3月30日(月)に第1回会合を開催し、以降順次開催の上、同年秋頃を目途に取りまとめを行う予定です。
-----
| ・2020.03.23 | ニュースリリース 三菱電機インフォメーションネットワーク株式会社の時刻認証業務について、更新を認定しました。 |
|---|---|
| ・2020.03.03 | ニュースリリース株式会社エヌ・ティ・ティ・データの時刻認証業務について、更新を認定しました。 |
こんにちは、丸山満彦です。
以前、このブログで紹介した米国連邦政府の法務省がインテリジェンスのために不正な情報源から情報を購入することに関する考察についてですが、
・ 2020.03.07 DOJ - Legal Considerations when Gathering Online Cyber Threat Intelligence and Purchasing Data from Illicit Sources
高橋郁夫弁護士が解説をしていますので、ご紹介いたします。参考になります。
・2020.03.08 脅威インテリジェンスサービスの利用とコンプライアンス(1)
・2020.03.08 脅威インテリジェンスサービスの利用とコンプライアンス(2)
・2020.03.08 脅威インテリジェンスサービスの利用とコンプライアンス(3)
・2020.03.08 脅威インテリジェンスサービスの利用とコンプライアンス(4)
こんにちは、丸山満彦です。
U.S. GAOが2020.02.25に重要インフラストラクチャの保護として「(サイバーセキュリティ)フレームワークの採用とその結果としての改善点を特定するために必要な追加措置」についての報告書を公表しています。監査して時点から報告書を公表するまでに時間があるので、その間に色々と改善もされていますが、米国のGAOの働きについては、改善を促す意味でも非常に良い働きをしていますよね。。。
● GAO (Government Accountability Office)
・2020.02.25 GAO-20-299 CRITICAL INFRASTRUCTURE PROTECTION:Additional Actions Needed to Identify Framework Adoption and Resulting Improvements
・Report
[PDF] Highlights Page
[PDF] Full Report
=====
All 12 organizations in our review were voluntarily using the framework, and told us they’ve seen benefits. For example, one organization said that the framework allowed it to better identify and address cybersecurity risks.
However, the agencies with lead roles in protecting critical infrastructure are not collecting or reporting on improvements from using the framework as we recommended.
DeepLによる機械翻訳
私たちのレビューに参加した12の組織は、すべて自発的にこのフレームワークを使用しており、その効果を実感していると述べています。例えば、ある組織では、フレームワークのおかげでサイバーセキュリティのリスクをよりよく特定し、対処できるようになったと述べています。
しかし、重要インフラストラクチャの保護に主導的な役割を果たす機関は、私たちが推奨したようにフレームワークの使用による改善点を収集したり、報告したりしていません。
=====
・Recommendations for Executive Action (Summary)
(01) The Director of NIST should establish time frames for completing NIST's initiatives, to include the information security measThe Administrator of the General Services Administration, in coordination with the Secretary of Homeland Security, should take steps to consult with respective sector partner(s), such as the Coordinating Council and NIST, as appropriate, to collect and report sector-wide improvements from use of the framework across its critical infrastructure sector using existing initiatives.
urement program and the cybersecurity framework starter profile, to enable the identification of sector-wide improvements from using the framework in the protection of critical infrastructure from cyber threats.
(02) The Secretary of Agriculture, in coordination with the Secretary of Health and Human Services, should take steps to consult with respective sector partner(s), such as the SCC, DHS, and NIST, as appropriate, to collect and report sector-wide improvements from use of the framework across its critical infrastructure sector using existing initiatives.
(03) The Secretary of Defense should take steps to consult with respective sector partner(s), such as the SCC, DHS, and NIST, as appropriate, to collect and report sector-wide improvements from use of the framework across its critical infrastructure sector using existing initiatives.
(04) The Secretary of Energy should take steps to consult with respective sector partner(s), such as the SCC, DHS, and NIST, as appropriate, to collect and report sector-wide improvements from use of the framework across its critical infrastructure sector using existing initiatives.
(05) The Administrator of the Environmental Protection Agency should take steps to consult with respective sector partner(s), such as the SCC, DHS, and NIST, as appropriate, to collect and report sector-wide improvements from use of the framework across its critical infrastructure sector using existing initiatives.
(06) The Administrator of the General Services Administration, in coordination with the Secretary of Homeland Security, should take steps to consult with respective sector partner(s), such as the Coordinating Council and NIST, as appropriate, to collect and report sector-wide improvements from use of the framework across its critical infrastructure sector using existing initiatives.
(07) The Secretary of Health and Human Services, in coordination with the Secretary of Agriculture, should take steps to consult with respective sector partner(s), such as the SCC, DHS, and NIST, as appropriate, to collect and report sector-wide improvements from use of the framework across its critical infrastructure sector using existing initiatives.
(08) The Secretary of Homeland Security should take steps to consult with respective sector partner(s), such as the SCC and NIST, as appropriate, to collect and report sector-wide improvements from use of the framework across its critical infrastructure sectors using existing initiatives.
(09) The Secretary of Transportation, in coordination with the Secretary of Homeland Security, should take steps to consult with respective sector partner(s) such as the SCC and NIST, as appropriate, to collect and report sector-wide improvements from use of the framework across its critical infrastructure sector using existing initiatives.
(10) The Secretary of the Treasury should take steps to consult with respective sector partner(s), such as the SCC, DHS, and NIST, as appropriate, to collect and report sector-wide improvements from use of the framework across its critical infrastructure sector using existing initiatives.
こんにちは、丸山満彦です。
NIST FIPS 140-3が2019.03.22に発行され、ちょうど一年たち、SP 800-140が予定通り改定されましたね。。。
私もまだ全然読んでません(^^)
【参考】
● FIPS140-3 Security Requirements for Cryptographic Modules [PDF]
● ISO/IEC 19790:2012 Information technology — Security techniques — Security requirements for cryptographic modules
● ISO/IEC 24759:2017 Information technology — Security techniques — Test requirements for cryptographic modules
【参考 日本】
● IPA 暗号モジュール試験及び認証制度(JCMVP):規程集
こんにちは、丸山満彦です。
NISTがNISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)を公表して、意見募集をしていますね。
● NIST ITL
・2020.03.19 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)
・[PDF]NISTIR 8286 (Draft) (DOI)
-----
1 Introduction
1.1 Purpose and Scope
1.2 Document Structure
2 Gaps in Managing Cybersecurity Risk Versus Enterprise Risk
2.1 Overview of ERM
2.2 Shortcomings of Typical Approaches to Cybersecurity Risk Management
2.3 The Gap Between Cybersecurity Risk Management Output and ERM Input
3 Cybersecurity Risk Considerations Throughout the ERM Process
3.1 Identify the Context
3.2 Identify the Risks
3.3 Analyze the Risks
3.4 Prioritize Risks
3.5 Plan and Execute Risk Response Strategies
3.6 Monitor, Evaluate, and Adjust
4 Cybersecurity Risk Management as Part of a Portfolio View
4.1 Applying the Enterprise Risk Register
4.2 Information and Decision Flows in Support of ERM
4.3 Conclusion
こんにちは、丸山満彦です。
NISTがNISTIR 8170 Approaches for Federal Agencies to Use the Cybersecurity Frameworkが公表されていますね。Cybersecurity Frameworkを実装するためのツールという位置付けですかね。。。
●NIST ITL
・2020.03.19 NISTIR 8170 Approaches for Federal Agencies to Use the Cybersecurity Framework
・[PDF] NISTIR 8170 (DOI)
こんにちは、丸山満彦です。
NIST ITL Bulletinが"Security for Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Solutins" を公表していますね。。。
●NIST ITL Bulletin
・2020.03.19 Security for Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Solutions
• Developing and enforcing a telework security policy, such as having tiered levels of remote access
• Requiring multi-factor authentication for enterprise accessUsing validated encryption technologies to protect communications and data stored on the client devices
• Ensuring that remote access servers are secured effectively and kept fully patched
• Securing all types of telework client devices—including desktop and laptop computers,
smartphones, and tablets—against common threats
●SP 800-46 Rev. 2 Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security
・[PDF]
こんにちは、丸山満彦です。
Cloud Security AllianceがManaging the Risk for Medical Devices Connected to the Cloudを公開していますね。。。
・2020.03.16 Managing the Risk for Medical Devices Connected to the Cloud
With the increased number of Internet of Things devices, Healthcare Delivery Organizations are experiencing a digital transformation bigger than anything in the past. The new breed of connected medical devices brings the promise of improved patient care, better clinical data, improved efficiency, and reduced costs; however, they also bring increased security risks. The goal of this paper is to present the concept of managing medical devices based on their proximity to the patient and introduce practices to secure the use of cloud computing for medical devices.
目次です。
Table of Contents Introduction
Medical Device Security Life Cycle
Pre-Purchase
Post Purchase/Pre-Deployment
Network
Web Application Interface
Wireless Communications
Secure Communication Channels
Deployment/Operations Management
Devices with Zero Degrees of Separation
Devices with One Degree of Separation
Devices with Two Degrees of Separation
Devices with Three Degrees of Separation
Devices with Four Degrees of Separation
Decommission/Disposal
Recommendations and Conclusion
Recommendations
Conclusion/Need for Further Studies
References
=====
分離の程度です。。。
| Degrees of Separation | Definition | Device Support Responsibility |
| 0degrees | The device is implanted in the patient. | Vendor and/or Physician or Medical Staff |
| 1degree | The device touches the patient. | Vendor or Clinical Engineering |
| 2degrees | The device does not touch the patient, but it is taking measurements of patient vital signs, fluids, or data. | Vendor or Clinical Engineering |
| 3degrees | The device does not touch the patient, but it may be doing something still vital to proper patient diagnosis. | Vendor or Clinical Engineering |
| 4degrees | The device is removed from the patient and is an operational tool more than a diagnostic or clinical device. | Vendor or IT |
こんにちは、丸山満彦です。
コロナウイルスによる外出禁止等のため、テレワーク等による在宅勤務が日本でも増えていると思いますが、US、UKのテレワークガイダンスを紹介しておきます。。。
● DoD Washington Headquarters Services
・CORONAVIRUS DISEASE 2019 (COVID-19)
・#Telework
いろいろと参考になると思います。
● National Cyber Security Centre
・2020.03.17 NCSC issues guidance as home working increases in response to COVID-19
・2020.03.17 Home working: preparing your organisation and staff
こんにちは、丸山満彦です。
NIST SP 800-53 Rev. 5のドラフトが公開されていますね。。。コメントの受付は2020.05.15までです。2017.08.15に最初のドラフトが公開されてから2年半経っています。。。
主な変更点として、コントロールの記述の仕方をOutcomeベースにするとか、新しく2つのコントロールファミリー(プライバシー、サプライチェーン)を加えるとか、NISTのCyber security framework, Privacy frameworkとの整合性をとったり、いろいろとあるようです。。。
ーーーーー
Revision 5 of this foundational NIST publication represents a multi-year effort to develop next-generation security and privacy controls. The major changes to the publication include:
- Creating security and privacy controls that are more outcome-based by changing the structure of the controls;
- Fully integrating privacy controls into the security control catalog, creating a consolidated and unified set of controls;
- Adding two new control families for privacy and supply chain risk management;
- Integrating the Program Management control family into the consolidated catalog of controls;
- Separating the control selection process from the controls—allowing controls to be used by different communities of interest;
- Separating the control catalog from the control baselines;
- Promoting alignment with different risk management and cybersecurity approaches and lexicons, including the NIST Cybersecurity and Privacy Frameworks;
- Clarifying the relationship between security and privacy to improve the selection of controls necessary to address the full scope of security and privacy risks; and
- Incorporating new, state-of-the-practice controls based on threat intelligence, empirical attack data, and systems engineering and supply chain risk management best practices, including controls to:
- Strengthen security and privacy governance and accountability;
- Support secure system design; and
- Support cyber resiliency and system survivability.
The integration of security and privacy controls into one catalog recognizes the essential relationship between security and privacy objectives. This relationship requires security and privacy officials to collaborate across the system development life cycle. In particular, control implementation is one area in which collaboration is important. Because security and privacy objectives are aligned in many circumstances, the implementation of a particular control can support achievement of both sets of objectives. However, there are also circumstances when controls are implemented differently to achieve the respective objectives, or the method of implementation can impact the objectives of the other program. Thus, it is important that security and privacy programs collaborate effectively with respect to the implementation of controls to ensure that both programs’ objectives are met appropriately.
ーーーーー
●NIST ITL
・2020.03.15 SP 800-53 Rev. 5(Draft) Security and Privacy Controls for Information Systems and Organizations (Final Public Draft)
・[PDF]
・[PDF] Rev. 4からの重要な変更点の要約
・SECURITY AND PRIVACY CONTROL FAMILIES
| No | ID | FAMILY |
| 01 | AC | Access Control |
| 02 | AT | Awareness and Training |
| 03 | AU | Audit and Accountability |
| 04 | CA | Assessment, Authorization, and Monitoring |
| 05 | CM | Configuration Management |
| 06 | CP | Contingency Planning |
| 07 | IA | Identification and Authentication |
| 08 | IR | Incident Response |
| 09 | MA | Maintenance |
| 10 | MP | Media Protection |
| 11 | PE | Physical and Environmental Protection |
| 12 | PL | Planning |
| 13 | PM | Program Management |
| 14 | PS | Personnel Security |
| 15 | PT | PII Processing and Transparency |
| 16 | RA | Risk Assessment |
| 17 | SA | System and Services Acquisition |
| 18 | SC | System and Communications Protection |
| 19 | SI | System and Information Integrity |
| 20 | SR | Supply Chain Risk Management |
米国の場合、カテゴリーで分類せずにABC順で並べることが多いですよね。政府統一基準を作るときに、アイウエオ順を提案してみたけど、受けが悪くて採用されませんでした(^^)
こんにちは、丸山満彦です。
日本セキュリティ・マネジメント学会でAIとセキュリティに関する論文が2つ掲載されていますね。。。
●日本セキュリティ・マネジメント学会誌 - 2019 年 33 巻 3 号
・[PDF]
抄録機械学習とセキュリティは異なる分野で独立に発展してきた技術である.各技術の有用性と社会的重要性が高まるにつれ,両者を融合したクロスオーバーの領域が盛んに研究されるようになった.それらの研究は(A) 「機械学習を用いた防御技術」,(B) 「機械学習を用いた攻撃技術」,(C) 「機械学習アルゴリズムに対する攻撃・防御技術」の3 つのテーマに大別することができる.(A) は比較的古くから研究がなされてきているが,(B) と (C) は比較的新しい研究領域であり,攻撃技術を対象とすることに大きな特徴がある.本稿では特に (B) と (C),すなわち機械学習と「オフェンシブセキュリティ」に関わる研究領域に焦点を当て,各領域の概略と具体的な研究事例を解説する
・金融サービスにおけるAI のセキュリティ・ マネジメント(宇根 正志 )
・[PDF]
抄録
こんにちは、丸山満彦です。
日本銀行の2020年度考査実施方針が、公表されていました。
●日本銀行
・2020.03.13 2020 年度の考査の実施方針等について
● 2019年度考査で確認された事例
① 各種リスクテイクの積極化に伴いリスクプロファイルが変化しているにもかかわらず、管理体制の見直しが十分でない事例
② 収益力の低下が続いているにもかかわらず、中期的な収益力の把握と対応策の実行が十分でない事例
③ 内外金融市場の急変時に、機動的な意思決定を行い得る体制が整備されていない事例
④ デジタライゼーションの進展に対し、サイバーセキュリティ対策や情報管理が追い付いていない事例
● 2020 年度の考査の実施方針 基本的な考え方
第一に、内外金融経済情勢などの外部環境に対する経営陣の認識と中長期的な経営戦略のもとでの、収益力および経営体力に関する経営管理の実効性を点検する。
その際には、
①中長期的な収益力および経営体力に関する認識が的確であるか、
②これを踏まえて、非資金収益の強化や経営効率化、戦略投資の実施など、適切な施策を講じているかについて、経営陣との対話を深めていく。デジタライゼーションをどのように位置付け、業務改革や新規業務にどう活かそうとしているのかも確認する。併せて、
③貸出・有価証券運用のリスク・リターン分析や、事業本部・エリア別の収益性分析など、収益管理の枠組みが適切に整備されているかも点検する。また、
④信用コストの増加が明確化していることや金融検査マニュアルが廃止となったことも踏まえて、貸倒損失の見通しを検証するとともに、金融経済環境の変化等に応じた適切な償却・引当方法についても対話を深める。さらに、
⑤各種ストレス事象を想定した場合の自己資本や期間収益への影響を適切に把握し、対応策を整備しているかを点検する。
先行きの収益力や経営体力に懸念が認められる先との間では、将来にわたり安定的に金融仲介機能を発揮していくための自己資本水準や、これを確保するための経営方針、有価証券評価益の活用や配当などの資本政策のあり方について、経営陣との対話を重点的に行う。考査終了後も、オフサイトモニタリングにおいて、収益力や経営体力等に関する課題と具体的な対応策について、経営トップとの対話を継続していく。
このほか、LIBOR の恒久的な公表停止については、時限性がある中で必要となる対応が幅広いことから、工程管理を含めて適切に対応が進んでいるかを点検する。気候変動問題、SDGs や ESG については、経営上の位置付けと取り組みを確認する。
第二に、金融機関のリスクプロファイルについて、足もとの状況と先行きの方向性を把握したうえで、リスク管理の実効性を点検する。
信用リスクについては、大手金融機関における大型のクロスボーダーM&A 関連貸出やレバレッジド・ローン等の海外与信、地域金融機関におけるミドルリスク企業向け貸出や不動産業向け貸出など、金融機関が注力している分野を中心に、審査・管理の適切性、与信ポートフォリオのリスク特性の分析状況を点検する。
市場リスクについては、大手金融機関では CLO(Collateralized LoanObligation)やバンクローン・ファンドなどの海外クレジット商品等、地域金融機関では投資信託等を通じ、リスクテイクを積極化する動きがみられていることから、有価証券ポートフォリオが内包するリスクを点検する。
オペレーショナルリスクについては、重要性を増しているサイバーセキュリティ管理やマネー・ローンダリング対策等の体制整備の状況などを点検する。
また、大手金融機関については、海外関連資産の拡大を踏まえて、外貨流動性リスク管理の適切性を点検する。なお、新型コロナウィルスの感染拡大への懸念から、足もと内外金融市場で不安定な動きがみられるとともに、経済の先行きに対する不透明感が高まっている。こうしたもとで、金融機関が債務者の業況を適時適切に把握しつつ、その経営課題に的確に対応しているか、また、内外金融市場の変化に対して、市場リスク管理体制が有効に機能しているかを点検する。
第三に、経営管理やリスク管理の実効性を確保するために必要なガバナンス体制の整備状況や有効性について点検する。
経営管理やリスク管理が有効に機能するために必要な情報把握体制や、業務の適正性を確保するうえで重要な内部監査の機能度を点検する。
また、持株会社形態の金融グループについては、グループベースでの統制状況を、グローバル展開する大手金融機関については、海外拠点に対する統制状況を点検する。
第四に、考査運営は、リスクの所在や収益力・経営体力の状況等に応じて、調査にめり張りをつけることを基本方針とする。
また、新型コロナウィルスを巡る最近の状況を踏まえ、感染拡大防止などの観点から、金融機関の実情に最大限配慮しつつ、考査運営面でも所要の対応を講じる。この間、グローバルに展開する大手金融機関については、海外拠点をはじめ主要グループ企業も必要に応じて対象とする。
こんにちは、丸山満彦です。
ENISAがeIDAS準拠のeIDソリューションに関する報告書を公表していますね。
● ENISA
・2020.03.15 (publication) eIDAS compliant eID Solutions
・[PDF] eIDAS COMPLIANT eID SOLUTIONS - Security Considerations and the Role of ENISA
この報告書では、電子的識別のためのeIDASの下での法的枠組みの概要を提供し、通知済みおよび事前通知済みのeIDスキームの状況を示し、電子的識別分野における主要なトレンドを特定している。さらに、eID手段に使用される基礎技術に関連した事前のセキュリティ上の考慮事項と推奨事項について議論し、eIDASに準拠したeIDエコシステムにおいてENISAが果たしうる役割について提案しています。
認証手段が、接触型のカードから非接触型のカード、スマートフォンへの移行してきている現状を踏まえて、全体像を理解する上では有益な文書ですね。。。
| # | 原文 | 章 | 仮訳 |
| 1 | INTRODUCTION | 1 | 序論 |
| 1.1 | SCOPE AND OBJECTIVES | 1.1 | 範囲と目的 |
| 1.2 | THE LEGISLATIVE FRAMEWORK | 1.2 | 法律の枠組み |
| 1.2.1 | Electronic identification in the eIDAS Regulation | 1.2.1 | eIDAS規制における電子識別 |
| 1.2.2 | Focus on the Commission Implementing Regulation (EU) 2015/1502 | 1.2.2 | 欧州委員会実施規則(EU)2015/1502の焦点 |
| 1.2.3 | Focus on the Commission Implementing Regulation (EU) 2015/1501 | 1.2.3 | 欧州委員会実施規則(EU)2015/1501の焦点 |
| 1.3 | OVERVIEW OF NOTIFIED AND PRE-NOTIFIED EID SCHEMES UNDER THE EIDAS REGULATION | 1.3 | EIDAS 規制に基づく通知済み及び事前通知済み EID 制度の概要 |
| 1.3.1 | Landscape of notified and pre-notified eID schemes | 1.3.1 | 通知されたeIDスキームと事前通知されたeIDスキームの状況 |
| 1.3.2 | Considerations regarding eID means for notified and pre-notified eID schemes | 1.3.2 | 通知されたeIDスキームと事前通知されたeIDスキームのeID手段に関する考察 |
| 1.4 | EID KEY EVOLUTIONARY TENDENCIES AND OTHER CONSIDERATIONS | 1.4 | EIDの主要な進化の方向性およびその他の考慮事項 |
| 1.4.1 | Increasing usage of mobile-based systems | 1.4.1 | モバイルを利用したシステムの利用が増加 |
| 1.4.2 | Biometrics – shifting towards multimodal and behavioural | 1.4.2 | バイオメトリクス - 多面的、行動的なものへの移行 |
| 1.4.3 | Private sector involvement | 1.4.3 | 民間部門の関与 |
| 1.4.4 | Privacy concerns | 1.4.4 | プライバシーへの配慮 |
| 1.4.5 | Self-Sovereign Identities and Verifiable Claims | 1.4.5 | 自己主権者のアイデンティティと検証可能な主張 |
| 2 | SECURITY CONSIDERATIONS | 2 | セキュリティに関する考察 |
| 2.1 | DOCUMENTS AND STANDARDS REGARDING EID SECURITY | 2.1 | EIDセキュリティに関する文書と基準 |
| 2.1.1 | eID related European documentation: Guidance on Levels of Assurance | 2.1.1 | eID関連の欧州文書 保証レベルに関するガイダンス |
| 2.1.1.1 | Guidance on Notification | 2.1.1.1 | 告知に関するガイダンス |
| 2.1.1.2 | Interoperability framework for eID | 2.1.1.2 | eIDのための相互運用性の枠組み |
| 2.1.2 | Other international & third-country frameworks | 2.1.2 | その他の国際的・第三国間の枠組み |
| 2.1.2.1 | ISO/IEC 29003:2018 – Identity proofing | 2.1.2.1 | ISO/IEC 29003:2018 - アイデンティティ証明 |
| 2.1.2.2 | ISO/IEC 29115:2013 – Entity authentication assurance framework | 2.1.2.2 | ISO/IEC 29115:2013 - エンティティ認証保証の枠組み |
| 2.1.2.3 | NIST SP 800-63 – Digital Identity Guidelines | 2.1.2.3 | NIST SP 800-63 - デジタル・アイデンティティ・ガイドライン |
| 2.1.2.4 | CEN/TR 419010 – Framework for standardisation of signature – extended structure including electronic identification and authentication | 2.1.2.4 | CEN/TR 419010 - 署名の標準化のための枠組み-電子的識別と認証を含む拡張構造 |
| 2.2 | SECURITY CONSIDERATIONS FOR EID SOLUTIONS BASED ON PEER REVIEW FEEDBACK | 2.2 | ピアレビューフィードバックに基づくEIDソリューションのセキュリティ配慮 |
| 2.2.1 | Introduction | 2.2.1 | 序章 |
| 2.2.2 | Enrolment | 2.2.2 | 登録 |
| 2.2.2.1 | Verification of document for identity proofing | 2.2.2.1 | 本人確認のための書類の確認 |
| 2.2.2.2 | Remote identification (video-based) and facial recognition | 2.2.2.2 | 遠隔識別(ビデオベース)と顔認証 |
| 2.2.2.3 | Qualified electronic signature for enrolment | 2.2.2.3 | 登録のための適格電子署名 |
| 2.2.3 | Electronic identification means management and authentication | 2.2.3 | 電子的な識別とは管理と認証を意味する |
| 2.2.3.1 | eID means using mail or SMS OTP | 2.2.3.1 | メールやSMSのOTPを利用したeID手法 |
| 2.2.3.2 | eID mobile-based solutions (software-based, using SE or TEE, SIM-based) | 2.2.3.2 | eIDモバイルベースのソリューション(ソフトウェアベース、SEまたはTEEの利用、SIMベース) |
| 2.2.3.3 | Use of biometrics authenticators within eID mobile-based solutions | 2.2.3.3 | eIDモバイルベースのソリューション内でのバイオメトリクス認証の利用 |
| 2.2.3.4 | Considerations on other authentication solutions used to trigger access to certificates stored on a remote HSM | 2.2.3.4 | リモート HSM に保存されている証明書へのアクセスをトリガするために使用される他の認証ソリューションに関する考察 |
| 2.2.3.5 | Certification of devices usedin eID means | 2.2.3.5 | eIDで使用されているデバイスの認証 |
| 2.2.4 | Management and organisation | 2.2.4 | 経営と組織 |
| 2.2.4.1 | Certification of identity providers issuing eID means | 2.2.4.1 | eIDを発行するID提供者の認証手段 |
| 3 | NEW OPPORTUNITIES FOR ENISA UNDER THE CYBERSECURITY ACT | 3 | サイバーセキュリティ法に基づくENISAの新たな可能性 |
| A | ANNEX: OVERVIEW OF OTHER EID SCHEMES | A | 別紙:他のeIDスキームの概要 |
| A.1 | SMART-ID | A.1 | SMART-ID |
| A.2 | BANKID IN SCANDINAVIAN COUNTRIES | A.2 | スカンジナビアの国々の銀行ID |
| A.2.1 | Swedish eID | A.2.1 | スウェーデンのeID |
| A.2.2 | Norwegian eId | A.2.2 | ノルウェーのeID |
| B | ANNEX: TECHNOLOGICAL LANDSCAPE OF EID SOLUTIONS | B | 別紙:eIDソリューションの技術的なランドスケープ |
| B.1 | CARDS AND OTHER HARDWARE AUTHENTICATORS | B.1 | カードおよび他のハードウェアの認証者 |
| B.1.1 | Physical identity document and visible digital seals | B.1.1 | 物理的なアイデンティティ文書と目に見えるデジタルシール |
| B.1.2 | Contact Smart Cards | B.1.2 | 接触型スマートカード |
| B.1.3 | Contactless Smart Cards | B.1.3 | 非接触型スマートカード |
| B.1.4 | FIDO Authenticator | B.1.4 | FIDO認証機能 |
| B.2 | MOBILE-BASED EID SOLUTIONS | B.2 | モバイルベースのeIDソリューション |
| B.2.1 | SMS and email OTP | B.2.1 | SMSと電子メールのOTP |
| B.2.2 | Soft OTP | B.2.2 | ソフトOTP |
| B.2.3 | Mobile authentication with push notification | B.2.3 | プッシュ通知によるモバイル認証 |
| B.2.4 | Cryptographic SIM or smartphone secure element | B.2.4 | 暗号SIMまたはスマートフォンのセキュアエレメント |
| B.2.5 | Mobile Connect | B.2.5 | モバイルコネクト |
| B.3 | BIOMETRICS | B.3 | バイオメトリクス |
| B.3.1 | Fingerprint Recognition | B.3.1 | 指紋認識 |
| B.3.2 | Face Recognition | B.3.2 | 顔認識 |
| B.4 | PROSPECTIVE TECHNOLOGIES | B.4 | 将来的なテクノロジー |
| B.4.1 | eID using Blockchain/Distributed Ledger Technology | B.4.1 | ブロックチェーン/分散型台帳技術を利用したeID |
こんにちは、丸山満彦です。
湯浅先生のブログ(Harumichi Yuasa's Blog 雑記帳Blog版)で知ったのですが、
アメリカ連邦選挙支援委員会(Election Assistance Commission)から、電子投票の仕様に関するガイドラインである任意的投票システムガイドライン(Voluntary Voting System Guideline = VVSG)のバージョン2.0案が公開され、昨年2月から5月までのパブリックコメントの期間をへて、今後、正式に採択されるとみられる。
とのことのようです。。。
湯浅先生のブログで詳細がありますので、参考にしてくださいませ。
● Harumichi Yuasa's Blog 雑記帳Blog版
・2020.03.15 アメリカ連邦選挙支援委員会(EAC)任意的投票システムガイドライン2.0案
湯浅先生の仮訳のうち、原則部分を抜粋しました。。。
● U.S. Election Assistance Commission (EAC)
・VOLUNTARY VOTING SYSTEM GUIDELINES
・[PDF] TGDC Recommended VVSG 2.0 Principles and Guidelines
こんにちは、丸山満彦です。
武田先生のブログ「2020.03.15「2020 World's Most Ethical Companies(世界で最も倫理的な企業)」に今年も花王、ソニーが選定」で知りました。。。
米企業倫理推進シンクタンクのThe Ethisphere InstituteがThe 2020 World’s Most Ethical Companies Honoree Listを公開しています。132社(51カ国)が選ばれていますが、日本企業としては花王とSONYが選ばれていますね。。。
FAQによれば、2007年から14年続いている制度ですが、ほとんどの企業が米企業なのです。まずは、3000US$を払って応募するところから始まります。。。
(i) Ethics and Compliance Program(倫理・コンプライアンスプログラム)
(ii) Culture of Ethics(倫理文化)
(iii) Corporate Citizenship and Responsibility(企業市民としての責任ある行動)
(iii) Governance(ガバナンス)
(iv) Leadership and Reputation(リーダーシップと評判)
の指標により評価されるようです。
なお、過去の受賞企業は、ここから見れます。。。
● The Ethisphere Institute
・The 2020 World’s Most Ethical Companies Honoree List
・
・FAQS
・
■CFOのための最新情報
・2020.03.15「2020 World's Most Ethical Companies(世界で最も倫理的な企業)」に今年も花王、ソニーが選定
●花王
・2020.02.26 花王、14年連続で「World’s Most Ethical CompaniesR」(世界で最も倫理的な企業)に選定
●SONY
・2020.02.26 2年連続で倫理的と評価された企業に与えられる「2020 World's Most Ethical Companies(世界で最も倫理的な企業)」に選定
こんにちは、丸山満彦です。
NISTが NISTIR 8272(Draft) Impact Analysis Tool for Interdependent Cyber Supply Chain Risksの意見募集をしていますね。。。
・2020.03.13 NISTIR 8272(Draft) Impact Analysis Tool for Interdependent Cyber Supply Chain Risks
・[PDF] NISTIR 8272 (Draft)
サプライチェーン関係のドキュメントのみならず、ツールも充実しつつありますね。。。
-----
Table of Contents
1 Introduction
1.1 Purposez
1.2 Relationship to Other Publications
1.3 Audience
1.4 Location of files
2 Tool Overview
2.1 Licensing
2.2 Use Case
2.3 Data Requirements
2.3.1 Sample Data
2.4 Security Advisory
3 Getting Started
3.1 System Requirements
3.2 Installing the Tool
3.3 Running the Tool
3.4 Uninstalling the Tool
3.5 Creating CSV Files
3.5.1 CSV File Requirements
3.5.2 CSV File Optional Fields
3.6 Importing CSV Files
3.6.1 Importing Updated CSV Files
3.6.2 Handling Import Errors
3.7 Completing Questionnaires
3.7.1 Using the Artificial Answer Generator
4 User Interface
4.1 Interface Overview
4.2 Dashboard
4.3 Suppliers
4.4 Products
4.5 Projects
4.6 Suppliers, Products, and Projects Questionnaires
4.7 Visualizations
4.7.1 Hierarchy
4.7.2 Candlestick
4.7.3 Scatterplots
4.8 Tool Menu
5 Results
5.1 Overview
5.2 Significant Nodes
5.3 Impact Scores
5.4 Interdependence Scores
5.5 Assurance Scores
6 Advanced Configuration
6.1 Overview
6.2 Question
6.3 Question Info Text
6.4 Weight
6.5 Answers
References
List of Appendices
Appendix A – Calculation
Appendix B – Question Categories
Appendix C – Calculation Example
こんにちは、丸山満彦です。
NISTが SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Programを公開していました。。。
・2020.03.13 SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Program
Abstract
こんにちは、丸山満彦です。
White Houseでの記者会見をWhite HouseのTwitterから見ています。。。便利な世の中です。。。
国家非常事態宣言を出していましたね。。。財政出動も500億ドル(約5.3兆円@106円/US$)をまずはすると。。。
●White House
https://www.pscp.tv/w/1nAJEdqnekRGL
●CNET
・2020.03.13 Trump says Google is helping to build a website for coronavirus information
↑確かに言うてた。。
●日経新聞
・2020.03.14 NYダウ1985ドル高、過去最大の上げ幅 新型コロナ対策期待
-----
一方でこのような指摘も
https://twitter.com/paul__johnson/status/1238549577248186370?s=20
こんにちは、丸山満彦です。
ネットワンシステムズが適時開示として、「特別調査委員会の調査結果と今後の対応に関するお知らせ 」を出していますね。
●ネットワンシステムズ - IR News
・2020.03.12 [PDF] 特別調査委員会の調査結果と今後の対応に関するお知らせ
[PDF](Downloaded)
ーーーーー
特別調査委員会の提言(要旨)
(1)経営層・幹部層による営業現場の実態把握
・ 経営層、幹部層による全部門における現場の実情の的確な把握と、実効性のある報告・連絡・相談態勢の構築
・ 中央省庁案件における商流取引の抜本的な見直し
(2)リスク管理体制の見直し
・ CRO を中心としたリスク管理活動の推進体制の再構築と、CRO による能動的・積極的な活動の推進
・ 経営委員会及びリスク・コンプライアンス委員会のあり方のゼロベースでの検証・検討
・ リスク管理全般及び不正リスクの管理に関する責任部門及びミッションの明確化
・ 各部門における重要リスクの識別・評価と、他部門による当該重要リスクの検証・検討
・ 役職員のリスク感度の向上とルール等の実効性の確保
・ 内部監査室等のモニタリング部門の強化
(3)内部統制に関する見直し
・ 営業担当者と仕入先・外注先との癒着防止策の検討と実行
・ 直送取引の業務フローの見直しと、検収確認の方策の検討と実行
・ 購買部門の役割再定義
・ 外注先調査権限の強化
(4)コンプライアンス活動の見直し
・ コンプライアンスの実践に関する経営層や各部門の幹部層による能動的・積極的なコミットメント
・ 自らが考えるコンプライアンス活動の実践
・ 組織風土の検証とより良い風土作り
(省略)
(1)再発防止策
当社は、特別調査委員会の調査結果を真摯に受け止め、以下の再発防止策に取り組んでまいります。
ア 営業取引に関する基本方針
・ 当社グループの付加価値(当社独自のサービスやソリューション等)が認められる案件のみを対応します。
イ リスク管理体制の強化
・ 再発防止策の実行に関する業務ルールの変更を全社統一的に推進することを目的として営業統括室を4月1日付で社長直轄として新設する予定です。
・ 各部門は、期初に自部門のリスク分析を行い、「リスク調査シート」を作成しリスク管理室に提出します。リスク管理室は客観的な視点からその検証と判断を行います。
・ リスク管理活動の推進方針や体制を抜本的に見直します。併せてリスク・コンプライアンス委員会の機能及びそのメンバーに関しても再検討を行います。
・ コンプライアンスに対する意識強化として、全社員(経営層、幹部層を含む)を対象とした研修を実行します。
ウ 業務統制に関する見直しと強化
・ 営業部門の業務役割を見直し、その役割と権限を明確にします。発注権限と検収権限を営業部門から切
・ 仕入先からの直送取引は原則禁止とします。納期等の事情により直送が必要な場合は、商流取引に該当しないことの承認を購買部から事前に得るとともに、お客様の検収確認を義務付けます。
・ 人事ローテーションと、部門内における担当業務の共有(属人化防止)を徹底します。
エ コンプライアンス活動の見直し
・ 各部門が期初に作成する「コンプライアンスの活動計画」に対して、管掌する役員及び関係する幹部層は、コンプライアンス活動に関する自らのコミットメントを記載し、役職や職位に応じて取締役会又は経営委員会が四半期ごとにレビューを実施します。
・ 当社グループのゴールやミッション、行動指針をまとめた「ビジョンブック」の更新を行います。更新にあっては社内横断的にメンバーを選定し、新たな組織風土の形成と実現を図るとともに、社内での浸透を再徹底します。
ーーーーー
・2020.03.13 NOSを中心とした架空循環取引事件の根本原因とは?某氏の視点(下)
・2020.03.12 NOSを中心とした架空循環取引事件の根本原因とは?-某氏の視点(上)
・2020.02.22 NOSを中心とした架空循環取引の件につきまして(関係者の方へ)
・2020.02.17 会計不正事件の王道「架空循環取引」は増えることはあっても、減ることはない
●日経Xtech
・2020.02.13 「A氏が単独で行っていた」、ネットワンシステムズが循環取引で中間報告書
・2020.02.07 全容が見えてきた7社関与の循環取引、残る疑問は首謀者「某社X氏」の正体
・2020.01.30 「6社が関与・某社に介入を求められた」富士電機がIT子会社の循環取引の経緯公表
・2020.01.27 ネットワンシステムズ一時ストップ安、循環取引問題で時価総額1200億円減
・2020.01.24 みずほ東芝リースでも実在性に疑義のある取引、架空取引の認識は否定
・2020.01.23 [独自記事]東芝子会社らの循環取引、富士電機子会社も関与の可能性
・2020.01.22 東芝子会社の200億円循環取引、ネットワンシステムズと日鉄子会社が関与か
・2020.01.21 ネットワンシステムズが決算を延期、IT業界で「実在性に疑義のある取引」相次ぐ
・2020.01.20 IT業界の「悪癖」再び、東芝IT子会社が200億円の循環取引
-----
なお、2013年の不正事案については、山口先生のブログ他にいろいろと記載があるので参考にしてくださいませ。
・2013.03.11 経理財務部門・内部監査部門必読!NOS第三者委員会報告書
●@IT
・2014.02.06 なぜ防げなかったのか~ IT業界の不正事
・2013年2月 ネットワンシステムズ不正請求の支払い748百万円
・2013年3月 ネットワンシステムムズの続報 不正のトライアングル(2)
こんにちは、丸山満彦です。
2020.02.25に判決が出された東京地裁 平成27(ワ)34010 マイナンバー(個人番号)利用差止等請求事件の判決文が公開されていますね。
●裁判所 裁判例検索 下級裁裁所 裁判例速報
・2020.02.25 東京地裁 平成27(ワ)34010 マイナンバー(個人番号)利用差止等請求事件
・判決文
ーーーーー
⑶ 結論
以上検討したところによれば,番号利用法及び同法に基づく個人番号制度 は,行政運営の効率化,社会保障に関する公平・公正な負担と給付の確保,国民の利便性向上という正当な立法目的に資するものであるが,その裏返し として,社会保障,税務等の分野に関わる一定の私事性・秘匿性を有する個 人に関する情報を取り扱うものといえる。
一方で,番号利用法及び同法に基づく個人番号制度に基づいて取り扱われる個人番号や特定個人情報については,様々な限定やその保護のための措置,具体的には,一元的な情報管理システムを採用せず,情報連携に利用できる事務や情報を取り扱える者を一定の範囲に限定し,個人番号自体を情報連携には使用しないこととし,独立性を有する個人情報保護委員会による監督の 制度を設けるなど,その情報の重要性に見合った情報の保護措置を講じていることが認められる。また,万が一,個人番号が流出したり漏えいしたりした際にも,それによって直ちに個人に関する情報の名寄せ等が行われないような対策を施していることが認められる。
そうすると,番号利用法及び同法に基づく個人番号制度により,個人番号 を付番された原告らの個人に関する情報がみだりに収集若しくは利用され,又は第三者に開示若しくは公表される具体的な危険が生じているということはできない。
したがって,原告らの,個人の私生活上の自由の一つとしての個人に関する情報をみだりに収集若しくは利用され,又は第三者に開示若しくは公表されない自由が侵害されているものとは認められない。
また,原告らは,原告らのうち,性同一性障害を有する者については,個人 番号制度が導入されたことによって,平穏に生活する権利等が侵害されたと主張し,同旨を述べる陳述書を提出する。
しかしながら,個人番号制度は,戸籍上の性別について,何ら新たな取扱い を定めたものではない。戸籍上の性別は,現に個人識別情報として広く利用さ れているところ,当該情報について,特に性同一性障害等を有する者に関しては慎重な取扱いがされるべきであることはもちろんであるが,行政機関等においても,手続の性質等に応じてそのような慎重な取扱いが浸透しつつある(一例として,「性同一性障害に係る児童生徒に係るきめ細やかな対応の実施等につ いて」平成27年4月30日文部科学省初等中等教育局児童生徒課長通知参照)。個人番号制度それ自体は,こうした状況を何ら変更するものではないから,個人番号制度によって直ちに当該原告らの平穏に生活する権利等が侵害されたとは認められない。また,個人番号カードには戸籍上の性別が表示されるものではあるが,同カードを利用しないことも可能であること,同カードの性別欄をマスキングするようなケースを併せて配布するなどの対策が講じられていることに照らせば,やはり,個人番号制度の導入によって当該原告らの権利等が侵害されたものと認めることは困難である。
以上によれば,番号利用法及び同法に基づき導入された個人番号制度が,原告らの権利等を侵害するものとは認められない。
ーーーーー
●NHK
・2020.02.25 “マイナンバーは憲法に違反していない” 訴え退ける 東京地裁
ーーーーー
(省略)25日の判決で東京地方裁判所の男澤聡子裁判長は「マイナンバー制度は、個人情報が正当な目的の範囲を逸脱して利用されたり、第三者に漏えいしたりしないよう、法制度やシステム技術で対策が講じられている」と指摘しました。
そのうえで「個人情報がみだりに利用される具体的な危険は生じていない」として、憲法に違反していないと判断し、市民グループの訴えを退けました。
(省略)
訴えを起こした1人で、東京 国立市の市議会議員の関口博さんは「個人情報を一元的に管理することの危険性を司法の場で訴えてきたが、判決では情報が漏えいする危険性はないと判断されてしまった。個人情報はどれだけ管理をしていても人的なミスなどによって、必ず漏えいが起こるということを理解してほしかった」と述べ、控訴する考えを示しました。(省略)
ーーーーー
こんにちは、丸山満彦です。
WhiteSourseがオープンソースの脆弱性に関する報告書を公開していますね。。。
・2020.03.12 The State of Open Source SecurityVULNERABILITIES
・[PDF]
2019年は6,000以上の脆弱性が報告されているようですね。
85%以上の脆弱性についてはパッチが公開されている反面、16%の脆弱性は脆弱性情報データベースに載っていないようですね。
丸山満彦です。
骨董通り法律事務所の井出先生が、「2020年、改めてロボット・AI社会の知的財産制度を考える」を書いておりますが、参考になります!
・2020.02.28 「2020年、改めてロボット・AI社会の知的財産制度を考える」
こんにちは、丸山満彦です。
WHOが「COVID-19はパンデミックと言える」と表明したようですね。
●NHK
・2020.03.12 WHO「新型コロナウイルスはパンデミックといえる」
・2020.03.12 BREAKING "We have therefore made the assessment that #COVID19 can be characterized as a pandemic"-
・ https://twitter.com/WHO/status/1237777021742338049
こんにちは、丸山満彦です。
金融庁が、ブロックチェーンに関する新しい国際ネットワークである”Blockchain Governance Initiative Network: BGIN” の設立についてプレスしていますね。。。松尾先生ですね。。。日本人だと他には崎村さんや、佐古さん。。。
●金融庁
・2020.03.10 ブロックチェーンに関する新しい国際ネットワーク(Blockchain Governance Initiative Network: BGIN)の設立について
3月10日(火)、金融庁および日本経済新聞社は、Blockchain Global Governance Conference [BG2C]の特別オンラインパネル討論を開催しました。
本パネル討論は、BG2C公式サイトよりご視聴頂けます。
本オンラインパネルにおいて、米ジョージタウン大の松尾真一郎研究教授より、ブロックチェーンに関する新しい国際的なネットワークである「Blockchain Governance Initiative Network(BGIN)」[1]の設立が発表されました。
「BGIN」は、ブロックチェーンコミュニティの持続的な発展のため、すべてのステークホルダーの共通理解の醸成や直面する課題解決に向けた協力を行うためのオープンかつ中立的な場を提供することを目的とし、当面の活動目標として、以下の3点を掲げています。
1.オープンかつグローバルで中立的なマルチステークホルダー間の対話形成
2.各ステークホルダーの多様な視点を踏まえた共通な言語と理解の醸成
3.オープンソース型のアプローチに基づいた信頼できる文書とコードの不断の策定を通じた学術的基盤の構築
●BGIN
こんにちは、丸山満彦です。
IPAが「情報セキュリティ10大脅威 2020」解説書を公開していますね。
●IPA
・2020.03.10「情報セキュリティ10大脅威 2020」を公開
・・[PDF]「情報セキュリティ10大脅威 2020」解説書/冊子形式
●まるちゃんの情報セキュリティ気まぐれ日記
・2020.01.29 IPA 情報セキュリティ10大脅威 2020
こんにちは、丸山満彦です。
「個人情報の保護に関する法律等の一部を改正する法律案」が閣議決定されたようですね。
●個人情報保護委員会
・2020.03.10 個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について
●まるちゃんの情報セキュリティ気まぐれ日記
・2020.02.12 パブコメ結果:「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」に関する意見募集の結果について
こんにちは、丸山満彦です。
いわゆる「三省三ガイドライン」のうち、システム事業者側の総務省、経済産業省のガイドラインが統合されようとしている話題をこのブログでも取り上げましたが、
・2020.03.06「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見の募集
医療機関側のガイドラインも変えていこうという話ですね。。。
●厚生労働省 健康・医療・介護情報利活用検討会
・2020.03.09 第一回 資料
なお、改訂の方向性については資料4 医療安全管理ガイドライン に記載されいますね。。
こんにちは、丸山満彦です。
個人情報保護法の見直しの議論が始まりましたね。。。
●内閣官房 個人情報保護制度の見直しに関するタスクフォース
・2020.03.09 第1回 個人情報保護制度の見直しに関する検討会 議事次第
こんにちは、丸山満彦です。
科学技術の進歩というものは兵器を通じて進歩するものなのかもしれませんが、そうでない世界になってほしいと思います。。。
・2020.03.08 US Navy robot submarine would be able to kill without human control
AIについての倫理と言っても兵器開発の話になると無力感でますよね。AIに関わらず、技術開発一般の話なわけですが、、、
こんにちは、丸山満彦です。
米国のOUSD(A&S) (Office of the Under Secretary of Defense for Acquisition & Sustainment Cybersecurity Maturity Model Certification) が提供している、Cybersecurity Maturity Model Certification (CMMC)について、簡単にまとめておきます。
OUSD(A&S)は、防衛産業基盤企業のサプライチェーンにおけるFCI(Federal Contract Information:連邦契約情報)とCUI(Controlled Unclassified Information:管理対象非機密情報)の保護を目的にCMMCを開発しました。
もともとCUIについては、DFARS 252.204-7012とNIST SP 800-171が適用される予定でしたが、それがうまく行かなかったようです。その理由は、次のように言われています。
そこで、米国国防省(DoD)は、2019年にCUIを含む全てのUnclassified情報を扱う調達に対する要件をカバーする仕組みとしてCMMCを適用することを公表しました。
セキュリティ対応について成熟度モデル的に5段階を設け、リスクに応じた適切なレベルの認証を得ることにより、適切なセキュリティ対応ができる仕組みにしたのだろうと思います。CMMCの取り組みは、米国の既存の規則 48CFR 52.204-21(Basic Safeguarding of Covered Contractor Information Systems)、DFARS 252.204-7012(Safeguarding Covered Defense Information and Cyber Incident Reporting) に基づいています。 まずは、2020年6月から認証が始まっていくと思いますが、DoDと取引のあるすべての組織に対する認証が2026年に向けて徐々に進んでいくのだろうと思います。
・2020.01.31 [PDF] CMMC Model V1.0 Briefing
・2020.01.31 [PDF] CMMC Model V1.0
・2020.01.31 [PDF] CMMC Model V1.0 Appendices
こんにちは、丸山満彦です。
DoDのDefense's Cyber Crime Center (DC 3 ) は、Vulnerability Disclosure Program(VDP)を通じて、2,800以上の脆弱性の報告を受け取ったようですね。上位は次の通りだそうです。
・2020.03.03 White hat hackers find thousands of vulnerabilities: DoD
●Department of Defense Cyber Crime Center (DC3)
・2020.02.29 [PDF] Vulnerability Disclosure Program (VDP) ANNUAL REPORT 2019
●US Deoartment of Defense - Armed with Science
・2020.02.12 Who Wants to Work With a Hacker?
whitehut hackerへはお金では無く、信頼の付与で応えるということですね。。。
こんにちは丸山満彦です。
AIを使って手塚治虫作品を作ってみようとした取り組みが紹介されていますね。
●AINOW
・2020.03.06 手塚治虫の新作漫画に挑んだ裏側 ーAIを活用したあらすじ&キャラクター生成
ある人物の、絵画、漫画、小説、声、歌声、譜面、動画、などをベースにその人物が作ったものと同じようなものが誰でも、手軽に作れるようになったときの社会で起こりうる課題については、あらかじめ議論し、その負の面を適切に対応しておかないと、かえって普及が阻害されます。
一定の社会的なルール、例えば法規制が必要となるでしょうね。。。
こんにちは、丸山満彦です。
米国連邦政府の法務省がインテリジェンスのために不正な情報源から情報を購入することに関する考察を発表していますね。。。
●Department of Justice - COMPUTER CRIME AND INTELLECTUAL PROPERTY SECTION (CCIPS)
・2020.02 [PDF] Legal Considerations when Gathering Online Cyber Threat Intelligence and Purchasing Data from Illicit Sources
-----
I. Introduction
II. Scenario Assumptions
A. Security Practitioners
B. The Forums
C. Accessing the Forums
III. Cyber Threat Intelligence Gathering
A. Scenario 1: “Lurking” in Forums to Gather Cyber Threat Intelligence
B. Scenario 2: Posing Questions on Criminal Forums
C. Scenario 3: Exchanging Information with Others on the Forum
IV. Purchasing Stolen Data and Vulnerabilities for Cybersecurity Purposes
A. Scenario 1: Purchasing Stolen Data
1. The Ownership of the Data
2. The Nature of the Data
3. The Nature of the Seller
B. Scenario 2: Purchasing Vulnerabilities
V. Conclusion
こんにちは、丸山満彦です。
NIST SP 800-63-3 Digital Identity Guidelines、SP 800-63A Enrollment and Identity Proofing、SP 800-63B Authentication and Lifecycle Management、SP 800-63C Federation and AssertionsにEditorialな修正がありましたね。。。
| 2020.03.02 | SP 800-63-3 | |
| 2020.03.02 | SP 800-63A | Digital Identity Guidelines: Enrollment and Identity Proofing |
| 2020.03.02 | SP 800-63B | Digital Identity Guidelines: Authentication and Lifecycle Management |
| 2020.03.02 | SP 800-63C |
| Document | Title | |
| SP 800-63-3 | [PDF] | Digital Identity Guidelines |
| SP 800-63A | [PDF] | Enrollment and Identity Proofing |
| SP 800-63B | [PDF] | Authentication and Lifecycle Management |
| SP 800-63C | [PDF] | Federation and Assertions |
こんにちは、丸山満彦です。
総務省と経済産業省から「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見の募集がされていますね。
総務省のクラウドサービス事業者を対象とする「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン(第1版)」(平成30年7月策定)と、経済産業省の「医療情報を受託管理する情報処理事業者における安全管理ガイドライン(第2版)」(平成24年10月策定)をマージした感じですね。。。
●総務省 情報流通行政局 情報流通振興課
・2020.03.05「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見の募集
○別紙1:[PDF] 医療情報を受託する情報処理事業者の安全管理ガイドライン改定検討会構成員
○別紙2:[PDF] 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)
-別添2-1:[PDF] ガイドラインに基づくサービス仕様適合開示書及びサービス・レベル合意書(SLA)参考例
-別添2-2:[PDF] 旧ガイドラインの対策項目一覧と医療情報安全管理ガイドラインとの対応表
●経済産業省 商務情報政策局 情報産業課
・2020.03.05 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見を募集します
医療情報の安全管理のため、医療情報を取り扱う情報システムやサービス(以下、「医療情報システム」)の提供事業者に対して、総務省の「クラウド事業者ガイドライン」及び経済産業省の「情報処理事業者ガイドライン」は、それぞれ必要な対策等を規定してきました。
近年、情報サービスの提供形態の多様化により、医療情報システムの提供事業者がこれら2つのガイドラインの両方を参照して対応する必要が生じていることから、2つのガイドラインを統合・改定することとしました。今般、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)を取りまとめましたので、令和2年3月6日(金曜日)から同年4月6日(月曜日)までの間、同ガイドライン案に対する意見を募集します。
=====
【参考】
●厚生労働省
・医療情報システムの安全管理に関するガイドライン 第5版(平成29年5月)
こんにちは、丸山満彦です。
警察庁、総務省、経済産業省から不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況が公表されていますね。
●総務省
・2020.03.05 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況
・[PDF] 別紙1 平成31年1月1日から令和元年12月31日までの不正アクセス行為の発生状況
・[PDF] 別紙2 アクセス制御機能に関する技術の研究開発の状況、募集・調査した民間企業等におけるアクセス制御機能に関する技術の研究開発の状況
1 国で実施しているもの
- サイバーセキュリティ技術の研究開発
- Web媒介型攻撃対策技術の実用化に向けた研究開発
- 欧州との連携によるハイパーコネクテッド社会のためのセキュリティ技術の研究
開発- サイバー攻撃ハイブリッド分析実現に向けたセキュリティ情報自動分析基盤技術
の研究開発2 民間企業等で研究を実施したもの
ア 大学(13大学、18件)
・東京理科大学(2件)
・福山大学
・島根大学
・名古屋大学
・城西大学
・佐賀大学(3件)
・東京電機大学
・崇城大学
・立命館
・お茶の水女子大学
・北九州市立大学
・広島大学(3件)
・東北工業大学イ 企業(3社、4件)
・トビラシステムズ株式会社(2件)
・株式会社FFRI
・株式会社アズジェント
●経済産業省
・2020.03.05 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況を取りまとめました
表3-1 過去5年の年代別被疑者数の推移
| 年次/区分 | 平成27年 | 平成28年 | 平成29年 | 平成30年 | 令和元年 |
| 14~19歳 | 53 | 62 | 92 | 48 | 55 |
| 20~29歳 | 43 | 56 | 87 | 48 | 93 |
| 30~39歳 | 41 | 48 | 36 | 37 | 50 |
| 40~49歳 | 29 | 29 | 28 | 26 | 22 |
| 50~59歳 | 5 | 3 | 11 | 10 | 12 |
| 60歳以上 | 2 | 2 | 1 | 4 | 2 |
| 計(人) | 173 | 200 | 255 | 173 | 234 |
こんにちは丸山満彦です。
NISTが、SP 800-133 Rev. 2(Draft) Recommendation for Cryptographic Key Generation(暗号鍵生成の推奨)を公開し、意見募集していますね。
・2020.03.05 SP 800-133 Rev. 2(Draft) Recommendation for Cryptographic Key Generation
・[PDF] SP 800-133 Rev. 2 (Draft) (DOI)
Table of Contents
こんにちは丸山満彦です。
NISTが、NISTIR 8183 Rev. 1(Draft) Cybersecurity Framework Version 1.1 Manufacturing Profileを公開し、意見募集していますね。この文書は製造環境におけるCSFの実装を支援するため詳細に記述したものという感じですかね。
この製造プロファイルは、
•製造システムの現在のサイバーセキュリティ体制を改善する機会を特定する方法
•許容可能なリスクレベルで制御環境を運用する能力の評価
•製造システムのセキュリティを継続的に保証するためのサイバーセキュリティ計画を準備するための標準化されたアプローチ
を提供するものです。。。by Exective Summary
・2020.03.04 NISTIR 8183 Rev. 1(Draft) Cybersecurity Framework Version 1.1 Manufacturing Profile
・[PDF] NISTIR 8183 Rev. 1 (Draft) (DOI)
Abstract
This document provides the Cybersecurity Framework (CSF) Version 1.1 implementation details developed for the manufacturing environment. The “Manufacturing Profile” of the CSF can be used as a roadmap for reducing cybersecurity risk for manufacturers that is aligned with manufacturing sector goals and industry best practices. This Manufacturing Profile provides a voluntary, risk-based approach for managing cybersecurity activities and reducing cyber risk to manufacturing systems. The Manufacturing Profile is meant to enhance but not replace current cybersecurity standards and industry guidelines that the manufacturer is embracing.
こんにちは、丸山満彦です。
セキュリティ製品の脆弱性を突いた攻撃は、セキュリティ製品ベンダーのブランドに影響が大きいと思われるので、一般的に隠される傾向があるのかもしれませんね。
●日経新聞
・2020.03.05 三菱電機は氷山の一角 セキュリティー製品に脆弱性
こんにちは、丸山満彦です。
米国のハッキンググループについての記事は少ないですね。。。
Qihoo 360が、中国に対して11年間続くCIAハッキンググループ(APT-C-39)によるサイバー攻撃についての記事を書いていますね。。。航空機関、科学研究機関、石油産業、ネット企業、政府機関など複数の業種が標的となっているようです。
合わせて、元CIA職員のJoshua Adam Schulte氏がサイバー兵器の研究・開発・生産を担当していたと書いていますね。彼はCIAの国家機密サービス(NCS)に科学技術総局(DS&T)の諜報員として、サイバー兵器「Vault 7」[Wikileaks]の開発に直接関与していたと述べています。
-----
● みっきー申す
・ 2020.03.05 米国CIA関連のAPT-C-39による中国へのサイバー攻撃について
こんにちは、丸山満彦です。「宇陀市立病院コンピューターウイルス感染事案に係る安全確認の公表及び報告」が公表されていますね。有識者会議の議長は上原教授ですね。。。
・2020.02.28 宇陀市立病院コンピューターウイルス感染事案に係る安全確認の公表及び報告
・[PDF] 安全確認の公表
・宇陀市立病院コンピューターウイルス感染事案に関する報告書
・[PDF] 概要版
・[PDF] 報告書
=====
【原因1】
本来はインターネットに接続していない環境にあった医療情報ネットワークに、病院職員もしくは委託業者などの誰かが、何らかの「ルール違反」を犯してインターネットに接続したことにより、何らかの方法により外部からの侵入を許してしまったこと。【 原因2】
医療情報システムの導入にかかる業者の管理や障害時対応の適切な運用体制が構築、運営されておらず、監督すべき病院のガバナンス※に問題があったこと。
=====
こんにちは、丸山満彦です。欧州での顔認証技術の利用は説明をかなりきっちりしないと難しいのでしょうね。。。
●Chair Legal & Regulatory Implications AI
・2020.02.27 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION
そもそも顔認証をしなければダメなのか?ということを説明するハードルがありますよね。他の方法がないのか。。。
そして、未成年者の場合は本人及び法定代理人に適切に説明をした上で同意を取るなどの処置が必要となりそうですね。
こんにちは、丸山満彦です。
WHOコロナウイルス報告書本文の日本語訳がNPO法人市民科学研究室から公表されていますね。。。参考になります。。。
・2020.03.02 WHOコロナウイルス報告書 本文の日本語訳
●WHO (World Health Organization)
・2020.02.28 Report of the WHO-China Joint Mission on Coronavirus Disease 2019 (COVID-19)
こんにちは、丸山満彦です。作成に関わった、「サイバーセキュリティ関係法令Q&Aハンドブック 」が、公開されました(^^)
●NISC
・2020.03.02 「サイバーセキュリティ関係法令Q&Aハンドブック 」について
・・[PDF] サイバーセキュリティ関係法令 Q&A ハンドブック Ver1.0
・サイバーセキュリティ関係法令の調査検討等を目的としたサブワーキンググループ
・・[PDF] サイバーセキュリティ関係法令の調査検討等を目的としたサブワーキンググループ 委員等名簿
——-
企業におけるQ&Aで取り上げている主なトピックスについて
1. サイバーセキュリティ基本法関連
2. 会社法関連(内部統制システム等)
3. 個人情報保護法関連
4. 不正競争防止法関連
5. 労働法関連(秘密保持・競業避止等)
6. 情報通信ネットワーク関連 (IoT関連を含む)
7. 契約関連(電子署名、システム開発、クラウド等)
8. 資格等(情報処理安全確保支援士等)
9. その他各論(リバースエンジニアリング、暗号、情報共有等)
10. インシデント対応関連(デジタルフォレンジックを含む)
11. 民事訴訟手続
12. 刑事実体法(サイバー犯罪等)
13. 海外法令(GDPR等)
こんにちは、丸山満彦です。
公認会計士協会から「公会計委員会研究報告第26号「地方公共団体の外部監査に関するガイドライン及びQ&A」の公表について」が公開されていますね。
情報セキュリティ監査ではないですが、参考になるところもあると思います。
●公認会計士協会
・2020.03.02 公会計委員会研究報告第26号「地方公共団体の外部監査に関するガイドライン及びQ&A」の公表について
=====
2017年の地方自治法の改正では、監査委員監査における監査基準が導入されたほか、内部統制制度の導入が都道府県及び指定都市については義務化され、その他の市町村においても整備に向けて努力義務が課されました。外部監査においても、このことを踏まえた監査を行う必要が出てきました。
=====
・・2020.02.20 [PDF] 公会計委員会研究報告第26号 地方公共団体の外部監査に関するガイドライン及びQ&A
こんにちは、丸山満彦です。
機械学習、深層学習等のAIによる意思決定の結果が人間の意思決定の結果よりも適切であることが多くなってくるとAIを権利能力の主体として考えたくなることが出てくるかもしれません。AIが権利能力の主体となるということは、法的に権利能力を与えるということになると思うので、そのようなAIは法人と考えることができますね。。。
そうすると、権利能力の主体を持ったAIに関わる法規制というのは、いわば現在の民法、商法、会社法をはじめとする様々な法規制の考え方を活用すれば良いのかもしれません。
例えば、会社というのは、まず目的を持って設立されます。それが定款となるわけですが、権利能力の主体となるAIも定款のようなものを持って作製されることになり、定款外の行為をすれば違法ということにすれば良いのかもしれませんね。
また、AIは代表取締役のような具体的な人間が代表権を持つことが求められるかもしれません。具体的にはどのようにすれば良いのか、詳細にわたり検討する必要があるとは思いますが、既存の枠組みを参考に制度設計をすることが、社会への普及を促進する上でも良いのかもしれませんね。。。
こんにちは、丸山満彦です。
ある組織のプロセスが複層的なビジネス関係(例えば、委託、組み込み)から構成される(つまり、サプライチェーン)と、それに伴うセキュリティリスクというのが存在するようになりますね。
NISTが最近それをまとめているので、備忘録として残しておきます。。。
-----
●NIST cyber supply chain risk management C-SCRM
・2015.04 SP 800-161 Supply Chain Risk Management Practices for Federal Information Systems and Organizations
・・2019.08.07 SP 800-204 Security Strategies for Microservices-based Application Systems
Recent Comments