« April 2020 | Main | June 2020 »

May 2020

2020.05.30

NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

こんにちは、丸山満彦です。

NISTがIoTに関する白書を2つ(NISTIR 8259 Foundational Cybersecurity Activities for IoT Device ManufacturersNISTIR 8259A  IoT Device Cybersecurity Capability Core Baseline
)公開していますね。。。

● NIST - ITL

・2020.05.29 (PUBLICATIONSNISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers

・[PDF] NISTIR 8259 (DOI)

Supplemental Material:
・[Web] Blog post
・[Web] Video overview of NIST recommendations

Related NIST Publications:
・2019.06.25 (PUBLICATIONSNISTIR 8228 Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks
・[PDF] NISTIR 8228

 


Abstract

Internet of Things (IoT) devices often lack device cybersecurity capabilities their customers—organizations and individuals—can use to help mitigate their cybersecurity risks. Manufacturers can help their customers by improving how securable the IoT devices they make are by providing necessary cybersecurity functionality and by providing customers with the cybersecurity-related information they need. This publication describes recommended activities related to cybersecurity that manufacturers should consider performing before their IoT devices are sold to customers. These foundational cybersecurity activities can help manufacturers lessen the cybersecurity-related efforts needed by customers, which in turn can reduce the prevalence and severity of IoT device compromises and the attacks performed using compromised devices.

 

・2020.05.29 (PUBLICATIONSNISTIR 8259A  IoT Device Cybersecurity Capability Core Baseline

・[PDF] NISTIR 8259A

Supplemental Material:
・[web] Federal Profile of NISTIR 8259A
・[web] NIST Cybersecurity for IoT Program
・[web] Blog post
・[web] Video overview of NIST recommendations


Abstract

Device cybersecurity capabilities are cybersecurity features or functions that computing devices provide through their own technical means (i.e., device hardware and software). This publication defines an Internet of Things (IoT) device cybersecurity capability core baseline, which is a set of device capabilities generally needed to support common cybersecurity controls that protect an organization’s devices as well as device data, systems, and ecosystems. The purpose of this publication is to provide organizations a starting point to use in identifying the device cybersecurity capabilities for new IoT devices they will manufacture, integrate, or acquire. This publication can be used in conjunction with NISTIR 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers.


 

 

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

Continue reading "NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline"

| | Comments (0)

2020.05.28

CSAがソフトウェア定義の境界(SDP)を使用してゼロトラストを実装する方法に関する報告書を公開していますね。。。

こんにちは、丸山満彦です。

CSAがソフトウェア定義の境界(SDP)を使用してゼロトラストを実装する方法に関する報告書を公開していますね。。。

● Cloud Security Alliance

・2020.05.27 (Press) Cloud Security Alliance’s Latest Research Examines Symbiotic Relationship Between Software Defined Perimeter (SDP) and Zero Trust

・2020.05.27 Software-Defined Perimeter (SDP) and Zero Trust

A Zero Trust implementation using Software-Defined Perimeter enables organizations to defend new variations of old attack methods that are constantly surfacing in existing network and infrastructure perimeter-centric networking models. Implementing SDP improves the security posture of businesses facing the challenge of continuously adapting to expanding attack surfaces that are increasingly more complex. This paper will show how SDP can be used to implement ZTNs and why SDP is applied to network connectivity, meaning it is agnostic of the underlying IP-based infrastructure and hones in on securing all connections using said infrastructure - it is the best architecture for achieving Zero Trust.

・[PDF


Table of Contents

Acknowledgments

Introduction
 Goals
 Audience

Zero Trust Networking (ZTN) and SDP
 Why Zero Trust
 What Zero Trust Addresses
 Implementing a Zero Trust Strategy
 Benefits of a SDP Zero Trust Solution
  Security Benefits
  Business Benefits
 SDP Zero Trust Strategic Approach and Proof of Concept
 Technology Components and Infrastructure
 Technology Risks and Issues
 Assumptions
 Technology Analysis
 Required Resources
 Key Industry Developments 
 Delivery Activities
 Situation Analysis
 Timeframes and Stakeholder Engagement

References









Continue reading "CSAがソフトウェア定義の境界(SDP)を使用してゼロトラストを実装する方法に関する報告書を公開していますね。。。"

| | Comments (0)

2020.05.27

読書感想文 「新型コロナウイルス対プライバシー-コンタクトトレーシングと法」 by 高橋郁夫先生、有本真由先生、 黒川真理子先生

こんにちは、丸山満彦です。

高橋先生等がこのタイミングで新型コロナウイルス対プライバシー-コンタクトトレーシングと法」をKindleで出版しました。すごいスピード感です。しかも内容も濃いです。紙の本に換算すると約200ページとなります。

第1章は、コンタクト・トレーシングの仕組みについての復讐があります。

第2章は、世界のコンタクト・トレーシングの状況として、英国、米国、オーストラリア等を紹介しています。

第3章は、我が国のコンタクト・トレーシング・システムの導入についての課題等を整理しています。

となっております。

感染防止という公衆衛生とプライバシー保護のバランスをどのように取るのか?概念的には誰しも理解していることですが、今回、それを本気で考えないといけない状況になり、逃げられなくなりました。今後のことも踏まえると、きっちりと議論し、何か残しておくのは有益だと思います。そういう意味では、高橋先生の意見が第3章に乗っています。議論の出発点になると思います。。。

興味がある方は是非読んでみればと思います。(値段も超良心的な800円台。Kindle unlimited会員なら無料)

 

 

 

 

 

| | Comments (0)

政府CIOポータル 接触確認アプリに関する仕様書等の公表

こんにちは、丸山満彦です。

政府CIOポータルに接触確認アプリに関する仕様書等が公表されましたね。。。

政府CIOポータル - お知らせ

・2020.05.26 接触確認アプリに関する仕様書等の公表

 

仕様書に記載されている目的

-----

1. 目的

本アプリケーション(以下「本アプリ」と記述)は、スマートフォンの近接通信機構(Bluetooth)を利用し、人と人との接触したことを検知、記録する。新型コロナウイルス感染症の陽性診断が確定した者(以下「陽性者」と記述)であることが判明した場合に、その本人の同意のもとで、その陽性者と一定期間内に接触が確認された者に対し通知を行う。
※本仕様書では、「本人」とは本アプリが入った端末を操作する利用者を表す

利用者は、スマートフォンを活用して、①日常において自らの行動変容を意識できると共に、②互いに誰とどこで接触があったのかは分からないよう、プライバシー保護と本人同意を前提に、自らが陽性者と接触した情報について、通知を受けることが可能になる。

(利用者におけるメリット)
・利用について本人の同意のもと、自分が感染者と接触が確認された者かどうかを知ることができる

(公衆衛生当局、保健所等におけるメリット)
・個人が自らの行動変容を意識するとともに、接触確認後の適切な行動等を実施できることにより、感染拡大の防止につながる

-----

事業の目的というよりもシステムの仕様書なので、システムの目的が記載されています。

資料2は、プライバシーインパクト分析のための前資料という感じでしょうかね。。。システム仕様書のデスクトップレビューという感じですね。。。

Logo

| | Comments (0)

2020.05.26

防衛やその他高度に規制された環境下でのSoS (Sysytems of Systems)のDevSecOps導入ガイド by カーネギー・メロン大学

こんにちは、丸山満彦です。

防衛やその他高度に規制された環境下でのSoS (Sysytems of Systems)のDevSecOps導入ガイドが、Carnegie Mellon University Software Engineering Instituteにより公表されていました(at 2020.04)

● Carnegie Mellon University (CMU) - Software Engineering Institute (SEI)

・2020.04.08 Guide to Implementing DevSecOps for a System of Systems in Highly Regulated Environments

この技術報告書は、システム・オブ・システム (SoS) [wikipedia][SEBoK]を含む防衛やその他高度に規制された環境下での DevSecOps (DSO) の実装に関心のあるプロジェクトのためのガイダンスを提供する。

...

このガイダンスでは、DSO を採用する根拠と、その採用に必要な変化の次元を提供しています。また、DSO、その原則、運用、および期待される便益について紹介している。さらに、準備、確立、管理を含むDSOエコシステムを実施するために必要な目的と活動について説明している。準備は、達成可能な目標と期待を作成し、エコシステムを構築するための実行可能な増分を確立するために必要である。エコシステムの確立には、文化、自動化、プロセス、システムアーキテクチャを初期状態から初期能力に向けて進化させることが含まれる。エコシステムの管理には、エコシステムの健全性と組織のパフォーマンスの両方を測定し、監視することが含まれる。また、DSOアプローチの概念的基盤に関する追加情報も提供している。

・[PDF]

ーーーーー

また、以下のブログには、上記の話題の他、未来のサイバーセキュリティ:サイバー犯罪、サイバーセキュリティ成熟度モデル評価の話、信頼できるAIの設計などのCMUのブログが紹介されています。

・2020.05.25 The Latest Work from the SEI: DevSecOps, Artificial Intelligence, and Cybersecurity Maturity Model Certification by Douglas C. Schmidt

 

Cmu_20200527000001 

報告書の目次と概要 ↓

Continue reading "防衛やその他高度に規制された環境下でのSoS (Sysytems of Systems)のDevSecOps導入ガイド by カーネギー・メロン大学"

| | Comments (0)

カリフォルニア州のContact tracingアプリの説明

こんにちは、丸山満彦です。

カリフォルニア州でContact tracingサービスが始まりますね。。。コンタクト・トレーシングの仕組みは他の国等の仕組みと大きく変わらないと思いますが、説明の仕方が丁寧で分りやすいように思いました(Contact Tracingのページのみでなく全体として)。

COVID19.CA.GOV

| | Comments (0)

日本のコンタクト・トレーシング・システムは6月中旬稼働予定

こんにちは、丸山満彦です。

各国でコンタクト・トレーシング・システムの導入が進んでいますが、日本では6月中旬に稼働するようですね。

重要なことは、このシステムの導入目的及びシステムの限界について、国民が正しく理解することであり、政府等もそれを理解しやすいように(正しく、わかり易く)伝える事だと思います。

若干関わったりしていたので、まず目的からですが、大雑把に言えば、

・感染者との濃厚接触の可能性が高い人が、感染しているかもしれないという想定の元、他の人への感染を防止するような行動を積極的に取るようにすることにより、社会全体で見た場合の感染拡大を緩和すること

だと思います。

もちろん、検査体制と検査精度が十分であれば、検査を受け陰性とわかれば感染を防止する行動を積極的に取らなくても良いという判断ができるのも良いと思います。

色々なシステムが想定されますが、位置情報等を利用せずに端末間のBlue Tooth通信を利用するApple、Googleの共通APIを利用することを想定すれば、

濃厚接触の可能性のアラートに関係するパラメーターですが、バクっといって

  • X1:感染者と継続して取り続けた距離 (m)
  • X2:感染者と継続して取り続けた時間 (分)
  • X3:照合のためのデータ保持期間 (日)

が、考えられます。(パラメタとしてはデータ保持期間もありますが

したがって、システムの限界が見えてきます。

感染者との濃厚接触があれば、必ず感染するというわけではないのは当然としても、

  • 飛沫感染を防止することを想定していて、間接感染の防止にはほぼ効果がない(ドアノブ等の接触による間接感染は発見できない。)
  • X1、X2のパラメタの取り方によっては、飛沫感染しているにもかかわらずアラートが上がらない可能性が高まる(すれ違いざまに感染者が目の前でくしゃみをした場合、濃厚接触した感染者がアプリを利用していない場合など)
  • X1、X2のパラメタの取り方によっては、飛沫感染する可能性がほぼ0の環境にもかかわらずアラートが上がる可能性が高まる(ガラスで仕切られた空間ではあるが距離と時間が閾値に達した場合など)
  • X3のパラメタの取り方によっては、濃厚接触をして感染していたにもかかわらずアラートが上がらない可能性が高まる。(潜伏期間以上の期間を取ることが想定されるのであまり気にしなくても良いかもです。)

ということが、考えられます。

つまり、このシステムでは、感染者からの網羅的な感染を検知はできないということです。

また、アラートが上がった人が確実に感染しているわけでもないということです。ただ、マスで見た場合、通常の人よりも可能性が高いということに過ぎません。

こうやってみると限界はかなりあり、効果は限定的だと思います。ただ、だからと言って利用しないということはないと思います。利用による利用者のデメリットがほぼないからです。(政府等がプライバシーにかかわる情報を目的外利用しなければ・・・)

そして、社会全体での効果は、利用者が増えるほど上がります(なので、多くの人が利用することが重要です)。

ーーーーー

■ 報道等

● NHK
・2020.05.25 17:26 「濃厚接触の可能性あり」コロナ対策アプリで知りたい?  by 経済部記者 伊賀亮人

「濃厚接触した可能性があります」こういう通知がスマホに届くとしたら、アプリをダウンロードしますか?緊急事態宣言が解除されたあとの感染対策はどうすればいいのか悩んでいる人も多いと思いますが、濃厚接触した可能性がある場合に自動的に通知が届くアプリの開発がいま、日本でも進んでいます。データを使った対策は、公衆衛生のために必要か、それとも監視社会につながるのか。アプリ開発の現場を取材しました。(経済部記者 伊賀亮人)

(表題と内容が微妙で、個人の興味の問題ではなく公衆衛生という社会的な貢献の問題であり、そのためにはプライバシーに配慮し監視社会につながらないように政府も国民も意識して対応をするということなんですけどね。。。)

● IT Media
・2020.05.25 19:20 首相「接触確認アプリ使って」 “緊急事態宣言解除後のカギ”と呼びかけ by 井上輝一

安倍晋三首相は5月25日、全国の緊急事態宣言を解除するとともに、新型コロナウイルス感染症(COVID-19)の第2波を起こさないための重要な取り組みとして、厚生労働省が開発を進めている「接触確認アプリ」を多くの国民に利用してほしいと呼びかけた。6月中旬をめどに公開するという。

(コード・フォー・ジャパンの有志がボランタリに活動していた成果が今回の厚労省アプリの早期リリースに貢献していることがわかりますね。)

● ケータイWatch
・2020.05.25 18:34 安倍総理、「濃厚接触通知アプリ」6月中旬導入とコメント by 関口 聖

安倍晋三総理大臣は、25日夕刻の記者会見で、新型コロナウイルス感染症対策として「接触確認アプリ」、いわゆる濃厚接触通知アプリ(コンタクト・トレーシングアプリ)を6月中旬にも導入することを明らかにした。

● Excite News
・2020.05.25 19:02 [ねとらぼ] 緊急事態宣言、全国47都道府県で解除 陽性患者との接触可能性を通知する「接触確認アプリ」導入へ

感染者を早期に発見するクラスター対策を強化。具体的な案として、6月中旬より「接触確認アプリ」を導入する方針。スマートフォンでユーザーの行動を追跡し、陽性が判明した人と濃厚接触の可能性がある人に検査を求めます。個人情報は取得しません。

あわせて検査を受けられる環境の拡大にも力を入れていくと発表。PCRセンターや十分な専用病床を拡充すると述べました。

朝日新聞
・2020.05.25 21:05 政府、緊急事態宣言すべて解除 経済対策200兆円規模 by 岡村夏樹

25日に改定された基本的対処方針では、外出自粛やイベントの開催制限、施設の使用制限などについて、おおむね3週間ごとの3段階で段階的な緩和を打ち出した。

 一方で首相は感染防止の徹底と経済活動再開の両立は難しいとして、「次なる流行のおそれは常にある」と強調。再び感染が拡大した場合は緊急事態宣言を出す可能性があるとした。感染拡大防止のため、来月中旬から新型コロナの感染者と接触していた人にスマートフォンで通知するアプリを導入する方針も明らかにした。

産経新聞
・2020.05.25 18:58 首相会見全文(4)接触確認アプリ「個人情報取得せず、来月中旬目途に導入」

「クラスター(感染者集団)対策を一層強化することが必要です。そのカギは、接触確認アプリの導入です。スマートフォンの通信機能により、陽性が判明した人と、一定時間近くにいたことが判明した方々、すなわち、濃厚接触の可能性が高い皆さんに自動的に通知することで、早期の対策につなげるアプリです。先月、(英国の)オックスフォード大学が発表したシミュレーションによれば、このアプリが人口の6割近くに普及し、濃厚接触者を早期に、早期の確認につなげることができれば、ロックダウンを避けることが可能となる大きな効果が期待できるという研究があります。わが国では、個人情報は全く取得しない。安心して使えるアプリを来月中旬を目途に導入する予定です。どうか多くの皆さんに、ご活用いただきたいと思います」

● 日本経済新聞
・2020.05.25 22:45 10万円支給遅れ「真剣に反省」首相会見要旨「新たな日常を作り上げる」

【接触確認アプリ】

最悪の場合には2度目の緊急事態宣言発出の可能性もある。外出自粛のような社会・経済活動を制限するようなやり方はできる限り避けたい。

感染者をできるだけ早期に発見する。クラスター(感染者集団)対策を一層強化することが必要だ。安心して使える接触確認アプリを6月中旬をメドに導入する予定だ。

・2020.05.26 接触アプリを来月中旬導入 首相表明

安倍晋三首相は25日の記者会見で、新型コロナウイルスへの対策として、6月中旬をめどに感染者と濃厚接触した可能性を知らせるスマートフォンアプリを導入すると表明した。プライバシー保護に配慮し「個人情報はまったく取得しない」と説明した。

アプリはスマホに備わる近距離無線通信「ブルートゥース」の機能を使う。アプリの利用者同士が近距離で一定時間接触すると記録がスマホに保存される。

利用者の感染が判明すれば、記録を活用して濃厚接触者に通知する仕組みだ。

毎日新聞
・2020.05.25 19:46 首相「自治体向け交付金2兆円増額」 接触確認アプリ「6月中旬めどに導入」

さらに、感染者の増加の速度が再び高まれば「2度目の緊急事態宣言発出の可能性もある」と述べた上で、「個人情報はまったく取得しない、安心して使える(接触確認)アプリを6月中旬をめどに導入する」と述べた。



ーーーーー

まるちゃんの情報セキュリティ気まぐれ日記

2020.05.23 Apple & Google 公衆衛生機関を支援するために - Exposure Notification API を公開

2020.05.22 政府CIOポータル 第2回 接触確認アプリに関する有識者検討会合 開催

2020.05.21 COVID-19に対する濃厚接触可能性検知アプリの現状 by 喜連川 国立情報学研究所 所長

2020.05.20 世界のコンタクト・トレーシング・アプリケーション(by The Office of the Privacy Commissioner of New Zealand)

2020.05.19 関係者は是非! => 接触確認アプリ「まもりあいJAPAN」の全体設計について

2020.05.19 セキュリティ専門家の「まずは使ってもらうというところを重視した設計思想を入れないと何も実現できない」という「NHKスペシャル「新型コロナウイルス ビッグデータで闘う」」番組中のコメントの真意について

2020.05.14 CNILCOVID-19感染者をモニタリングする情報システムに関する政令案の審議結果を公表していますね。

2020.05.14 Norway データ保護機関が公衆衛生研究所にコンタクト・トレーシング・アプリの課題について通知したようですね。。。

2020.05.14 ニュージーランドでも、コンタクト・トレーシングについて議論されているようですね。。。

2020.05.12 政府CIOポータル 第1回 接触確認アプリに関する有識者検討会合 開催

2020.05.08 カナダ 連邦、州、地域のプライバシー委員会委員によるコンタクト・トレーシング・アプリに対するプライバシー原則についての共同声明

2020.05.08 GoogleAppleCOVID-19 "Exposure Notifications" APIの提携の話・・・

2020.05.06 イタリア政府 COVID-19緊急時のコンタクト・トレース・アプリに関する情報 (2020.04.30 update)

2020.05.06 Norway コンタクト・トレーシング・アプリ(smittestopp / Infection stop)

2020.05.05 UK NHS COVID-19 appのテストバージョンのリリースとNCSCによる技術情報の公表。。。

2020.05.05 UK ICO COVID-19 コンタクト・トレーシング:アプリ開発におけるデータ保護の期待

2020.05.04 カナダ アルバータ州のコンタクト・トレーシング・アプリ ABTrace Togehter

2020.05.03 ベルギーのDPACOVID-19のトレースとデータベースに関する王立法案に関する意見を公表していますね。。。コンタクト・トレーシング・アプリをリリースする前にデータ保護影響評価を実施し、ソースコードを公開することを要求していますね。。。

2020.05.02 米国上院委員会がCOVID-19消費者データ保護法案についての発表をしていますね。。。

2020.05.02 英国 NHSX(国民保健サービス・デジタル)はドイツ等と異なりApple-Google APIを使用せず集中管理方式の連絡先追跡システムにする?

2020.05.01 個人情報保護委員会 新型コロナウイルス感染症対策としてコンタクトトレーシングアプリを活用するための個人情報保護委員会の考え方について

2020.05.01 高橋先生の「コロナウイルス(Covid-19)GDPR (26) コンタクトトレーシングアプリの要求事項を整理する」はよく整理されている!

2020.04.27 オーストラリアではCOVIDsafeというコンタクト・トレーシング・アプリがダウンロードできるようになっているようです!!(が登録はまだできない?

2020.04.27 少なくとも7カ国の政府を含むPEPP-PTの支援者は、プライバシー保護の「中央管理手法」をあきらめていない

2020.04.26 英国 NHSX(国民保健サービス・デジタル)が間も無くコンタクト・トレーシング・アプリをリリースするようですね。。。

2020.04.25 オランダでは、COVID-19 コンタクト・トレーシング・アプリが国民的議論を巻き起こしているようですね。。。

2020.04.25 COVID-19 トラック・トレーシング・アプリについて米国・カナダ関連

2020.04.23 イタリア政府 COVID-19緊急時のコンタクト・トレース・アプリに関する情報

2020.04.23 欧州データ保護委員会 COVID-19に関する研究目的の健康データ処理についてのガイドライン

2020.04.21 「各国政府のコンタクト・トレーシング・アプリについて知っておくべきこと」という記事

2020.04.20 コンタクト トレース アプリ>>「感染者との接触通知も打倒コロナへデータ活用は救世主か」

2020.04.17 COVID-19感染対策用のアプリケーションは位置情報を追跡する必要はない。。。

2020.04.17 EU - データ保護に関連したCOVID-19パンデミック対策を支援するアプリケーションのガイダンス

2020.04.17 ドイツ連邦政府 「COVID19の流行を抑制するための公衆衛生上の制限」についての決定 at 2020.04.15

2020.04.16 EU COVID-19の封じ込め対策を解除するためのロードマップ

 

-----


| | Comments (0)

2020.05.25

個人情報保護委員会 通知カードの廃止等に伴い「特定個人情報の適正な取り扱いに関するガイドライン」とそれに関するQ&Aのページを更新

こんにちは、丸山満彦です。

個人情報保護委員会が通知カードの廃止等に伴い「特定個人情報の適正な取り扱いに関するガイドライン」とそれに関するQ&Aのページを更新していますね。。。

● 個人情報保護委員会

・2020.05.25「特定個人情報の適正な取扱いに関するガイドライン」を更新しました。

・2020.05.25  特定個人情報の適正な取扱いに関するガイドラインに関するQ&Aのページを更新しました。

・2020.05.25 [意見募集] 特定個人情報の適正な取扱いに関するガイドラインの改正案に関する意見募集結果を公表しました。

 ・「特定個人情報の適正な取扱いに関するガイドラインの一部を改正する件(告示)」について
 ・ 特定個人情報の適正な取扱いに関するガイドラインの一部を改正する件(告示案)」に関する意見募集の結果について

-----

・[PDF] 令和2年5月25日  事業者編新旧対照表

・[PDF] 令和2年5月25日  行政機関等・地方公共団体等編新旧対照表

・[PDF] Q&Aの追加・更新(令和2年5月25日)

| | Comments (0)

10歳になったUSのCyber Command

こんにちは、丸山満彦です。

2020.05.21にUSCyber Command [wikipedia] 10歳になりましたね。。。

US Cyber Command

2020.05.21 U.S. Cyber Command Celebrates 10 Years of Growth

Today marks the 10th anniversary of U.S. Cyber Command. This video showcases a decade of defending the world's most complicated network.

2020.05.21 Commander Discusses a Decade of DOD Cyber Power

While the U.S. Cyber Command's mission has evolved over the last decade, defense of the nation in cyberspace remains as important as ever.

NSA | CSS

・2020.05.21 Secretary of Defense Visits NSA and U.S. Cyber Command

(センターの写真が掲載されていますね。)

2008 年に国防省の機密と非機密の両ネットワークに侵入され、当時のロバート・M・ゲイツ国防長官が、2009 年に戦略司令部(Strategic Command)Cyber Commandを副統合司令部として設置するよう指示したのが始まりですね。そして、2010.05.21Cyber Commandを設立しましたね。2010.10.01に本格運用開始という流れです。

 

まるちゃんの情報セキュリティ気まぐれ日記

2010.05.25 米国防総省 サイバー司令部を設立

-----
戦略軍(Strategic Command)の下部組織で、陸軍、海軍、空軍、海兵隊等の既存の組織からの異動により1000名体制にするようです。本格的な稼働は101日。
-----

当初は軍のネットーワークの防御が目的でしたが、その後、攻撃に関する使命も担当することになっていますね。そして、国の重要インフラに対するサイバー脅威、インターネットを利用して勧誘、資金調達、攻撃を行うテロリスト、米国の社会的結束と民主的プロセスに影響を与え、混乱させようとする権威主義的な政権などの複数の脅威に対処するために発展したようですね。


2015年に133の新しいチームを加えています。そして、国家安全保障におけるサイバー空間の重要性が高まっていることから、トランプ大統領は20178月に2018年にサイバーコムを統一戦闘指揮部に昇格させることを発表し、20185月に米陸軍サイバーコマンドの司令官出会ったポール・M・ナカソネ氏[wikipedia]国家安全保障局 (NCA) [wikipedia]のディレクターとNCAの中央安全保障局 (Central Security Service) [wikipedia]のチームと兼務する形でサイバー指令部長 (Commander of United States Cyber Command )[wikipedia](four-star general) になっています。

1000名体制で始まったが、今は6000名以上いるんでしょうね。

 

Uscybercom-seal

 



 

Continue reading "10歳になったUSのCyber Command"

| | Comments (0)

2020.05.24

COVID-19に関する規制の世界の規制グラデーション

こんにちは、丸山満彦です。

JDSPRA

・2020.05.22 Global Regulatory Guidance for COVID-19 Privacy and Security Issues by Brent Tuttle and Jim McKenzie

各国における、COVID-19に関連する個人健康情報の企業における取り扱いに関するガイダンスの制限レベルの分類をしていますね。

-----


Sourced:JDSPRA 2020.05.22 Global Regulatory Guidance for COVID-19 Privacy and Security Issues by Brent Tuttle and Jim McKenzie

-----

 




| | Comments (0)

「GNU glibc における整数アンダーフローの脆弱性」(CVE-2020-6096 / JVNDB-2020-003729)に関するCISCO Talosチームによる解説

こんにちは、丸山満彦です。

CISCOのTALOSチームが発見した「GNU glibc における整数アンダーフローの脆弱性」(CVE-2020-6096 / JVNDB-2020-003729)に関する解説を少し読んでいました。。。この脆弱性自体は、2020.04.02にCVE-2020-6096として発行されています。。。

この脆弱性は、GNU glibc 2.30.9000のARMv7 memcpy()実装における脆弱性で、GNU glibc の実装を利用する ARMv7 上でmemcpy() を負の値の 'num' パラメータで呼び出すと、境界外のメモリへの書き込みやリモートコードの実行などの未定義の動作を引き起こす可能性があるため、このコードの後続の実行や繰り返しが、この破損したデータで実行されるという危険性があるというものです。

TALOSチームの解説が興味深いですね。。。

CISCO- TALOS(Blog)

・2020.05.21 Vulnerability Spotlight: Memory corruption vulnerability in GNU Glibc leaves smart vehicles open to attack

・2020.05.21 (Talos Vulnerability Report) TALOS-2020-1019 GNU glibc ARMv7 memcpy() memory corruption vulnerability

ーーーーー

CVE List
・2020.04.02 CVE-2020-6096

NIST - ITL -NATIONAL VULNERABILITY DATABASE
・2020.04.02 CVE-2020-6096 Detail

● JVN - DB
・2020.04.23 (登録日) JVNDB-2020-003729 GNU glibc における整数アンダーフローの脆弱性

CVSS v3 による深刻度
基本値: 8.1 (重要) [NVD値]

  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高

Sourceware Bugzilla
・2020.03.02 (reported) Bug 25620 (CVE-2020-6096) - Signed comparison vulnerability in the ARMv7 memcpy() (CVE-2020-6096)

JPCERT
・2020.05.21 ISC BIND 9 の脆弱性 (CVE-2020-8616, CVE-2020-8617) に関する注意喚起

ISC
・2020.05.19 CVE-2020-8616: BIND does not sufficiently limit the number of fetches performed when processing referrals

ーーーーー

| | Comments (0)

2020.05.23

オーストラリア 在宅業務時を実施している重要なインフラ企業がサイバー攻撃から身を守るのに役立つアドバイス

こんにちは、丸山満彦です。

オーストラリアのサイバーセキュリティセンターが在宅業務時を実施している重要なインフラ企業に対してサイバー攻撃から身を守るのに役立つアドバイスを公表していますね。

Autoralian Cyber Security Centre

・2020.05.22 (News) Safeguarding Australia’s Critical Infrastructure From Cyber Attack

COVID-19 – Remote Access to Operational Technology Environments

 

| | Comments (0)

総務省 IoT・5Gセキュリティ総合対策 プログレスレポート2020」の公表

こんにちは、丸山満彦です。

総務省が、「IoT・5Gセキュリティ総合対策 プログレスレポート2020」を公表していますね。

総務省

・2020.05.22「IoT・5Gセキュリティ総合対策 プログレスレポート2020」の公表

[PDF]

-----

1 概要
あらゆるものがインターネット等のネットワークに接続されるIoT/AI時代が到来し、それらに対するサイバーセキュリティの確保は、安心安全な国民生活や社会経済活動確保の観点から極めて重要な課題です。そこで、総務省では、平成29年1月より「サイバーセキュリティタスクフォース」を開催し、IoTセキュリティの確保に必要な対策について検討を進めてきました。 本文書は、「サイバーセキュリティタスクフォース」において、令和元年8月に策定・公表された「IoT・5Gセキュリティ総合対策」の進捗状況及び今後の取組について、プログレスレポートとして整理したものです。

-----

【関係報道資料等】

| | Comments (0)

総務省 「自治体情報セキュリティ対策の見直しについて」の公表

こんにちは、丸山満彦です。

総務省が、「自治体情報セキュリティ対策の見直しについて」を公表していますね。

総務省

・22020.05.22「自治体情報セキュリティ対策の見直しについて」の公表

 ・[PDF] 「自治体情報セキュリティ対策の見直しのポイント」
 ・[PDF] 「自治体情報セキュリティ対策の見直しについて」

-----

1.「三層の対策」の見直し
 ・マイナンバー利用事務系の分離の見直し
 住民情報の流出を徹底して防止する観点から他の領域との分離は維持しつつ、国が認めた特定通信(例:eLTAX、ぴったりサービス)に限り、インターネット経由の申請等のデータの電子的移送を可能とし、ユーザビリティの向上や行政手続のオンライン化に対応
 ・LGWAN接続系とインターネット接続系の分割の見直し
 従来の「三層の対策」の基本的な枠組みを維持しつつ、効率性・利便性の高いモデルとして、インターネット接続系に業務端末・システムを配置した新たなモデル(βモデル)を提示(ただし、採用には人的セキュリティ対策の実施が条件)

2.業務の効率性・利便性向上
 自治体内部環境からパブリッククラウドへの接続、自治体の内部環境へのリモートアクセス、庁内無線LANについて、安全な実施方法を検討・整理

3.次期「自治体情報セキュリティクラウド」の在り方
 ・国が最低限満たすべき事項(標準要件)を提示し、民間のベンダがクラウドサービスを開発・提供することにより、セキュリティ水準の確保とコスト抑制を実現
 ・引き続き、都道府県が主体となって調達・運営(複数の都道府県の共同調達・運営も可)し、市区町村のセキュリティ対策を支援
 ・セキュリティ専門人材による監視機能(SOC)の強化、負荷分散機能(CDN)の追加を検討

4.昨今の自治体における重大インシデントを踏まえた対策の強化
 ・神奈川県におけるHDD流出事案を踏まえ、情報システム機器の廃棄等について、情報の機密性に応じた適切な手法等を整理
 ・昨年発生したクラウドサービスの大規模障害事案を踏まえ、システムに求められる可用性等のレベルに応じたクラウドサービスの選択や適切な契約等の締結を推進

5.各自治体の情報セキュリティ体制・インシデント即応体制の強化
 実践的サイバー防御演習(CYDER)の確実な受講、インシデント対応チーム(CSIRT)の設置及び役割の明確化等を推進

6.ガイドラインの適時の改定
-----

| | Comments (0)

NIST SP 800-137A Assessing Information Security Continuous Monitoring (ISCM) Programs: Developing an ISCM Program Assessment

こんにちは、丸山満彦です。

NISTから情報セキュリティ継続監視プログラムの評価の開発についてのガイド(SP 800ー137A)が公表されていますね。これは、2011年に公開されている「SP 800-137 連邦情報システムおよび組織向けの情報セキュリティ継続監視(ISCM)」の補足資料で、情報セキュリティ継続監視プログラム評価の開発のためのアプローチについて説明したものですね。

NIST - ITL

・2020.05.21 SP 800-137A Assessing Information Security Continuous Monitoring (ISCM) Programs: Developing an ISCM Program Assessment

・[PDF] SP 800-137A (DOI)

・Supplemental Material:
 Element Catalog for SP 800-137A (xls)

・Other Parts of this Publication:
 2011.09.30: SP 800-137

・Document History:
 2020.01.13: SP 800-137A (Draft)
 2020.05.21: SP 800-137A (Final)

 


Continue reading "NIST SP 800-137A Assessing Information Security Continuous Monitoring (ISCM) Programs: Developing an ISCM Program Assessment"

| | Comments (0)

NIST SP 1800-23 Energy Sector Asset Management: For Electric Utilities, Oil & Gas Industry

こんにちは、丸山満彦です。

NISTから電気事業、石油およびガス産業向けの資産管理のガイドが発行されてますね。OT資産を特定して管理し、それらに関連するサイバーセキュリティリスクを検出する方法についての手順を説明したものですね。。。

内容的には、3つに分かれていて

  • NIST SP 1800-23A: Executive Summary 

  • NIST SP 1800-23B: Approach, Architecture, and Security Characteristics – what we built and why 

  • NIST SP 1800-23C: How-To Guides – instructions for building the example solution

 

NIST - ITL

・2020.05.20 SP 1800-23 Energy Sector Asset Management: For Electric Utilities, Oil & Gas Industry
・[PDF]

・Supplemental Material:
 Web version (other)
 Project Homepage (other)

・Document History:
 2019.09.23: SP 1800-23 (Draft)
 2020.05.20: SP 1800-23 (Final)

Continue reading "NIST SP 1800-23 Energy Sector Asset Management: For Electric Utilities, Oil & Gas Industry"

| | Comments (0)

Apple & Google 公衆衛生機関を支援するために - Exposure Notification API を公開

こんにちは、丸山満彦です。

AppleとGoogleが公衆衛生機関を支援するためにExposure Notification API を公開しましたね。

 

● Google Japan

・2020.05.21 公衆衛生機関を支援するために。Exposure Notification API を公開

Exposure Notification Reference Server | Covid-19 Exposure Notifications

Apple

Privacy-Preserving Contact Tracing

Framework ExposureNotification - Implement a COVID-19 exposure notification system that protects user privacy.

Continue reading "Apple & Google 公衆衛生機関を支援するために - Exposure Notification API を公開"

| | Comments (0)

2020.05.22

「倫理的な人工知能にとって、セキュリティは非常に重要」と言う意見

こんにちは、丸山満彦です。

米国国防省が、AIに関する原則を公表したのはこのブログでも紹介しました。

まるちゃんの情報セキュリティ気まぐれ日記
・2020.05.04 米国国防省と人工知能(戦略と倫理)

AI原則を遵守するためには、セキュリティが重要と言う意見です。

FIFTH DOMAIN

・2020.05.19 For ethical artificial intelligence, security is pivotal by 

この意見の最後に書かれていることは、確かに重要なポイントだと思います。

-----

potential adversaries will make the pursuit of finding ways to compromise these systems a top priority of their own.

-----

AIが様々な意思決定を支援していくことになると、仮想敵は、AIシステムを侵害する方法を見つけ出すことを最優先事項にすると言うことですよね。

 

| | Comments (0)

政府CIOポータル 第2回 接触確認アプリに関する有識者検討会合 開催

こんにちは、丸山満彦です。

コンタクト・トレーシング・アプリに関する有識者検討会合の第二回が開催されましたね。

政府CIOポータル - お知らせ

・2020.05.18 第2回 接触確認アプリに関する有識者検討会合 開催

仕様書案から目的の部分を・・・

------

目的

本アプリケーション(以下「本アプリ」と記述)は、スマートフォンの近接通信機構(Bluetooth)を利用し、人と人との接触したことを検知、記録する。新型コロナウイルス感染症の陽性診断が確定した者(以下「陽性者」と記述)であることが判明した場合に、その本人の同意のもとで、その陽性者と一定期間内に接触が確認された者に対し通知を行う。

利用者は、スマートフォンを活用して、①日常において自らの行動変容を確認できると共に、②互いに誰とどこで接触があったのかは分からないよう、プライバシー保護と本人同意を前提に、自らが陽性者と接触した情報について、通知を受けることが可能になる。

接触が確認された旨の通知を受けた者自らが、国の新型コロナウイルス感染者等把握・管理支援システム(仮称)(以下「感染者システム」と記述)に登録することで、健康観察への円滑な移行、自らが接触通知を受けた際の行動変容、保健所の負荷の軽減等も期待できる。

なお、陽性者の状況の把握や濃厚接触に関する調査等については、別途厚生労働省で構築中の感染者システムで行われる。

-----

 

「接触確認アプリ及び関連システム仕様書(案)」に対するプライバシー及びセキュリティ上の評価及びシステム運用上の留意事項(案)の概要

-----
○ 本アプリが、プライバシー及びセキュリティ等の観点から安全なものであるかどうかを評価すると共に、その運用段階における留意事項を指摘するもの。
○ 評価の対象は、2020 年 5 月 17 日付の仕様書(案)。
○ 別途厚生労働省が構築している感染者システムについては、本評価書の対象としていない。

第1 本アプリのプライバシー及びセキュリティ上の評価
1.プライバシー
○ ①行政機関の保有する個人情報の保護に関する法律、及び②個人情報保護法適用の有無。
○ 法令に基づく義務の遵守に加えた、プライバシーに対する十分な配慮の必要性。

2.セキュリティ
○ 国の行政機関等が順守すべきセキュリティ基準。
○ スマホ端末のアプリに関するセキュリティ対策

第2 本アプリの運用上の留意点
1.透明性
○ 仕様書等の公開
○ ユーザーへの通知公表

2. インクルーシブネス(包摂性)
○ 分かりやすい操作
○ 多言語対応
○ 未成年や高齢のユーザーの代理登録
○ ユーザーの差別の防止
○ 相談窓口の設置

3.使用目的の限定
○ 目的外利用の禁止
○ 本感染症終息後のサービス停止

4. 検証
○ 内部検証
○ 有識者検討会等の評価
○ 仕様書の大幅な変更

5. 調整事項に関する留意事項
○ 調整事項1について
○ 調整事項2について

-----

Logo

 

Continue reading "政府CIOポータル 第2回 接触確認アプリに関する有識者検討会合 開催"

| | Comments (0)

2020.05.21

COVID-19に対する濃厚接触可能性検知アプリの現状 by 喜連川 優 国立情報学研究所 所長

こんにちは、丸山満彦です。

日本医師会COVID-19有識者会議のページに、国立情報学研究所の喜連川所長が、「COVID-19に対する濃厚接触可能性検知アプリの現状」という寄稿を寄せていますね。

興味深いです。まぁ、コンタクト・トレーシング・アプリだけで解決するわけではないのは、制度や原理から見て明らかです。なので、現実的にはできる限りの成果を出すためにはどうすべきかという話をするのが良いし、そういうことも正直にコミュニケーションを取りながら進めるしかないと思うんですよね。。。ちゃんとしたコミュニケーションが重要です。

日本医師会 COVID-19有識者会議 - 寄稿

・2020.05.19 COVID-19に対する濃厚接触可能性検知アプリの現状 by 喜連川 優 国立情報学研究所 所長

| | Comments (0)

UK-ICO Explaining decisions made with AI / AIによる決定の説明

こんにちは、丸山満彦です。

英国のInformation Commissioner's Office (ICO) のAI関連のガイダンスを備忘録として。。。

2019.12.02にICO と The Alan Turing Institute が共同で開発したようですね。。。

UK-ICO

・2020.05.19 Explaining decisions made with AI     

 

Introduction 序章
Part 1 The basics of explaining AI 1 AIを説明する上での基本
Definitions 定義
Legal framework 法的枠組み
Benefits and risks メリットとリスク
What goes into an explanation? 説明には何が入るのか?
What are the contextual factors? 文脈的要因とは何か?
The principles to follow 従うべき原則
Part 2: Explaining AI in practice 2部:AIを実際に解説
Summary of the tasks to undertake 実施業務の概要
Task 1: Select priority explanations by considering the domain, use case and impact on the individual タスク1:ドメイン、ユースケース、個別への影響を考慮して優先的な説明を選択する
Task 2: Collect and pre-process your data in an explanation-aware manner タスク2:説明を意識した方法でデータを収集し、前処理を行う
Task 3: Build your system to ensure you are able to extract relevant information for a range of explanation types タスク3: さまざまな説明タイプの関連情報を確実に抽出できるようにシステムを構築する
Task 4: Translate the rationale of your system’s results into useable and easily understandable reasons タスク4: システムの結果の根拠を、使用可能で理解しやすい理由に翻訳する
Task 5: Prepare implementers to deploy your AI system タスク5AIシステムを実装する導入者を準備する
Task 6: Consider how to build and present your explanation タスク6:説明の組み立て方と提示の仕方を考える
Part 3: What explaining AI means for your organisation 3回:AIを説明することが組織にとって何を意味するのか
Organisational roles and functions for explaining AI AIを説明するための組織的な役割と機能
Policies and procedures 方針と手続き
Documentation 文書化
Annexe 1: Example of building and presenting an explanation of a cancer diagnosis 別紙1:がん診断の説明の構築と提示例
Annexe 2: Algorithmic techniques 付録2. アルゴリズム・テクニック
Annexe 3: Supplementary models 付録3:補足モデル
Annexe 4: Further reading 付録4:続いて読むべきもの
Annexe 5: Argument-based assurance cases 付録5:アーギュメントに基づく保証ケース

 

 

・2019.12.02 Blog: ICO and The Alan Turing Institute open consultation on first piece of AI guidance by Simon McDougall

-----

The following blog relates to the ICO and the Turing's consultation on guidance about explaining the decisions made by AI. The ICO is also currently consulting on our work about auditing AI.

...

A blog aimed at data scientists, app developers, business owners, CEOs or data protection practitioners, whose organisations are using, or thinking about using, artificial intelligence (AI) to support, or to make, decisions about individuals, by Simon McDougall, Executive Director Technology and Innovation

-----

 

| | Comments (0)

2020.05.20

世界のコンタクト・トレーシング・アプリケーション(by The Office of the Privacy Commissioner of New Zealand)

こんにちは、丸山満彦です。

 The Office of the Privacy Commissioner of New Zealand (OPCNZ)が2020.05.12現在の世界のコンタクト・トレーシング・アプリケーションをまとめていますね。。。

国別に40のアプリケーションのを掲載していますね。1つの国で複数のアプリがある国(インド、韓国等)もあるので、国数でいうと約30となります。Kyrgyzstan、North Macedoniaといった国まで作っているんですね。

感染環境、目的が国ごとに異なりますから、アプリケーションも各国多彩ですね。。。

5月12日現在ですから、ドイツ、フランス、英国、それから日本も掲載されていません。。。

● The Office of the Privacy Commissioner of New Zealand (OPCNZ)

・2020.05.12 The app race to contact trace

・[PDF] a summary of contact tracing apps around the world (as of 2020.05.12)

日本の「政府CIOポータル 第1回 接触確認アプリに関する有識者検討会合」の資料でも網羅性というよりも論点を整理する観点から整理した資料が提示されていますね。

 政府CIOポータル - お知らせ

・2020.05.11 第1回 接触確認アプリに関する有識者検討会合 開催

-----

まるちゃんの情報セキュリティ気まぐれ日記

・2020.05.14 ニュージーランドでも、コンタクト・トレーシングについて議論されているようですね。。。

・2020.05.12 政府CIOポータル 第1回 接触確認アプリに関する有識者検討会合 開催

 

| | Comments (0)

2020.05.19

関係者は是非! => 接触確認アプリ「まもりあいJAPAN」の全体設計について

こんにちは、丸山満彦です。

note

・2020.05.18 接触確認アプリ「まもりあいJAPAN」の全体設計について by Takuya Kawatsu

この記事を読むと、「まもりあいJAPAN」が、システムの開発設計当初から、

・利用を増やすためには何をすべきか?(プライバシーの観点も含む)

・現場のオペレーションの負担を如何に少なくするか?

技術等の制約を意識して設計をしようとしていたかがわかりますね。

この記事の終わりに書かれていますが、

-----

・日本全体の感染症対策に立ち向かう様々なシステムの中で、
 接触確認/コンタクトトレーシングが果たすべき機能とは何か
・そのデータは誰のものか、どのような同意設計が必要か
・インターオペラビリティ (相互運用性) の考慮
・プラットフォーム(Apple/Google)の技術採択の是非

-----

というポイントは、実際に多くの人の意見を聞き、手を動かしてきた中から体得した貴重な意見ですので、これだけではないとは思いますが、しっかりと噛みしめて、次のプロジェクトに活かして頂きたいと思います。。。

 

| | Comments (0)

JNSA 緊急事態宣言解除後のセキュリティ・チェックリスト

こんにちは、丸山満彦です。

JNSAが「緊急事態宣言解除後のセキュリティ・チェックリスト」を公表していますね。

平時から緊急時への切替、緊急時から平時への巻き戻し。

いずれてもフェーズ(環境)が変わるので、変わり目でセキュリティの確認が必要ですよね。

JNSA

・2020.05.19 緊急事態宣言解除後のセキュリティ・チェックリスト

・[Word]

 

項目

  1. 停止したシステムの再稼働における注意事項
  2. テレワークで社外に持ち出した機器を社内NWに接続する際の注意事項
  3. 緊急措置としてテレワークを許可した業務やルールを変更した業務の扱い
  4. Withコロナフェーズに向けた、業務見直しとセキュリティ対策


| | Comments (0)

セキュリティ専門家の「まずは使ってもらうというところを重視した設計思想を入れないと何も実現できない」という「NHKスペシャル「新型コロナウイルス ビッグデータで闘う」」番組中のコメントの真意について

こんにちは、丸山満彦です。

2020.05.17にNHKスペシャル「新型コロナウイルス ビッグデータで闘うが放送されたようです(番組は見ていませんが。。。)が、そこで「まずは使ってもらうというところを重視した設計思想を入れないと何も実現できない」というコメントが篠田カナさんの発言に続いてされていたそうです(複数の知り合いが連絡してくれました)が、その発言は私の発言です。前後関係がよくわからないのですが、私の発言の真意は、

-----

COVID-19による行動制限を緩和していくためには、感染源を特定と管理をし、新たな感染者の抑制を行うことが重要である。

コンタクト・トレーシングという仕組みを導入が、効率的な感染者の識別に有効である。

コンタクト・トレーシングの効果が一定でるためには、国民の7割が利用していることが必要と言われているが、それが事実であるならば、普及率を高める必要がある。

日本では、ソフトウェアの利用を法的に強制させるのは困難であるため、その利用は個人の自主的な判断に委ねなければならない。

シンガポールのような国家による統制が効いている国でもアプリの利用率は2割程度という報告がある。

ということを考えると、ソフトウェアの機能だけでなく、普及のための信頼、信用を高める活動、例えば説明を含むコミュニケーションが重要である。

こういう考え方を、そもそも事業構想の段階から入れておかないといけない。

-----

ということです。

コミュニケーションの問題にはプライバシーの問題「も」含まれてくるでしょう。「政府等(特に公安関連部門)がコンタクト・トレーシング・システムで収集した個人情報の目的外利用を本当にしないのか?」という疑問がわけば、多くの国民がコンタクト・トレーシング・システムを利用しなくなるのではないか。例えばシンガポールのように2割程度しか利用しないのであれば、効果が薄いとなり、ますます個人がこのシステムを利用するインセンティブがなくなってくる。

国家の信頼、信用に関わってくる問題だけに、プライバシー問題も含めてよりいっそう丁寧な対応が求められるが、信頼、信用を高める活動、例えばコミュニケーションプラン等も含めたシステムのリリースが重要であるが、そういうことはシステム開発途中ではなく、事業構想の段階からちゃんと入れておくべきだと述べたかったわけです。

篠田カナさんの発言を受けて私も話をしたので、篠田カナさんも同様の発言をしていたと思います。

ということで、コンタクト・トレーシングについては、このブログでも色々と紹介してきていますが、ソフトウェアの開発に係る技術的な問題よりも、普及につなげる課題の方がかなり大きいと思う反面、そもそも、この事業が何のためにされるのか?という議論がなかなかされていないのが気になります。。。

目的の議論が国民できっちりされ、合意が得られれば、システムは自然と決まっていき、プライバシーの扱いについての合意も容易になり、アプリの普及率も進むのではないかなぁ・・・と、思った次第です。。。

 

Continue reading "セキュリティ専門家の「まずは使ってもらうというところを重視した設計思想を入れないと何も実現できない」という「NHKスペシャル「新型コロナウイルス ビッグデータで闘う」」番組中のコメントの真意について"

| | Comments (0)

2020.05.18

ヨーロッパのスーパーコンピュータが次々とハッキングされ

こんにちは、丸山満彦です。

ヨーロッパのスーパーコンピュータがいくつかハッキングされたようですね。ドイツ、イギリス、スイス、スペイン?でインシデントが報告されているようですね。

EGI-Cert

・2020.05.15 Academic data centers abused for crypto currency mining


-----
Incident #EGI20200421
Summary
A malicious group is currently targeting academic data centers for CPU mining purposes. The attacker is hopping from one victim to another using compromised SSH credentials.
The compromised hosts are turned into different roles, including:
  • XMR mining hosts (running a hidden XMR binary)
  • XMR-proxy hosts ; The attacker uses these hosts from the XMR mining hosts, to connect to other XMR-proxy hosts and eventually to the actual mining server.
  • SOCKS proxy hosts (running a microSOCKS instance on a high port) ; The attacker connects to these hosts via SSH, often from Tor. MicroSOCKS is used from Tor as well.
  • Tunnel hosts (SSH tunneling) ; The attacker connects via SSH (compromised account) and configure NAT PREROUTING (typically to access private IP spaces).

Key points:

  • Connections to the SOCKS proxy hosts are typically done via TOR or compromised hosts.
  • The attackers uses different techniques to hide the malicious activity, including a malicious Linux Kernel Module (https://github.com/m0nad/Diamorphine).
  • It is not fully understood how SSH credentials are stolen, although some (but not all) victims have discovered compromised SSH binaries.
  • At least in one case, the malicious XMR activity is configured (CRON) to operate only during night times to avoid detection.
  • There are victims in China, Europe and North America.

-----

bw|HPC (De)

・2020.05.11 IT security incident

-----
Dear users,
due to an IT security incident the state-wide HPC systems

  • bwUniCluster 2.0,
  • ForHLR II,
  • bwForCluster JUSTUS,
  • bwForCluster BinAC, and
  • Hawk

are currently not available. Our experts are already working on an assessment of the problem.
We will inform you as soon as a reliable schedule for the resuming of operation is available.
-----

University of Edinburgh - Archer (UK)

Status

2020.03.18 (JST)

-----

Service Statusa

Login Nodes: Unavailableaa
Last Updated: 18:15, Sunday 17 May 2020

Compute Nodes: Unavailable
Last Updated: 18:15, Sunday 17 May 2020

Low Priority: Disabled
Last Updated: 14:30, Monday 11 May 2020

This page contains details of the status and usage of the ARCHER system.

Known Issues

No known issues

-----

● The Leibniz Computing Center (LRZ), an institute under the Bavarian Academy of Sciences (De)

HPC systems closed for access due to a security issue

-----
Dear users of the HPC systems at LRZ,

due to a security issue we have temporarily closed access from the outside world to all HPC systems.

Update (May 14, 2020):

Wir können einen Sicherheitsvorfall bestätigen, von dem unsere Hochleistungsrechner betroffen sind. Sicherheitshalber haben wir deshalb die betroffenen Maschinen von der Außenwelt abgeschottet. Die Benutzer und die zuständigen Behörden sind informiert. Wir halten Sie über weitere Details auf dem Laufenden, bitten jedoch um Verständnis, dass wir keine Aussagen machen, so lange wir die Lage noch untersuchen. Wir sind zudem in engem Austausch mit unseren Partnern beim Gauss Supercomputing Centre und der Gauss-Allianz, sowie unseren europäischen Partnern bei PRACE.

-----

 

報道等

ZDnet
・2020.05.16 Supercomputers hacked across Europe to mine cryptocurrency by
Confirmed infections have been reported in the UK, Germany, and Switzerland. Another suspected infection was reported in Spain.

Security Affairs
・2020.05.17 Experts reported the hack of several supercomputers across Europe by Pierluigi Paganini
Organizations managing supercomputers across Europe reported their systems have been compromised to deploy cryptocurrency miners.

cado security
・2020.05.16 RECENT ATTACKS AGAINST SUPERCOMPUTERS by  CHRIS AND JAMES
This morning I saw news that a Supercomputer based at the University of Edinburgh called “Archer”, currently performing analysis for Coronavirus research, had been taken offline due to a cyber-attack.
Below I’ve provided some additional details on a spate of recent, likely linked, attacks.

● atdotde
・2020.05.16 High Performance Hackers

| | Comments (0)

人工知能はJoint All Domain Command-and-Control (JADC2) には不可欠。。。

こんにちは、丸山満彦です。

Joint All Domain Command-and-Control (JADC2)が活用されだすと、扱うデータが膨大となり、AIの支援による意思決定が有効となってくることは、誰も否定しないと思います。やはり新しい技術というのは、ミリタリー関係で進むように思います。AIが支援するJoint All Domain Command-and-Control (JADC2)が見えてくると次のステップは、それが無効になったときの対応方法何でしょうね。。。

C4ISRNET

・2020.05.13 Central to meeting the complexities of JADC2? Artificial intelligence by Henrik Røboe Dam

| | Comments (0)

企業会計基準委員会:会計基準に置いて「財務諸表を継続企業の前提に基づき作成することが適切であるかどうか の判断規準の作成」はしないことに...

こんにちは、丸山満彦です。

会計の話にいきなり飛ぶのですが(^^)、、、

企業会計基準委員会、つまり「一般に公正妥当」な会計基準を作成する委員会が「財務諸表を継続企業の前提に基づき作成することが適切であるかどうかの判断規準」なんてできないから作成しないと、言う結論になったようです。その理由は、

-----
日本基準では、これまで「経営者」を用いたことがなく、上記のような状況を踏まえると、企業の清算若しくは事業停止の意図」をもつ主体を決めるには、相当の時間を要するものと考えられる。
-----

と言うことなんですよね。。。この委員会で検討する範囲外での検討が中心となるので、この委員会で検討をしない方が良いと言うことなのでしょうね。。。

要は、日本の監査基準で言う経営者の定義と国際会計基準で言う経営者の定義が異なると思われるので、この委員会で議論をするのが難しいと言うことのようです。。。

20年ほど前、日本監査研究学会に参加したときに、継続企業の開示についての議論が行われていたました。神戸大学の内藤先生(当時は助教授でしたかね。。。)が発表していました。

当時の議論の中心は、監査人が継続企業の開示を行うことは、会計士が企業の継続性について付加的な情報を与えることになる、みたいな話があったのですが、「それって、会計公準の継続企業の前提が崩れるかもしれないので、継続企業を前提とした財務諸表が意味なくなるかもしれないので、注意をしてよ。と言う話で、まずは、経営者がそれを言った上で、会計士が評価をすれば良いんじゃないんですかね。。。」と言う話を内藤先生に懇親会か何かの場でしたように思います。(先生は忘れているでしょうが・・・)

ちなみに今回の問題は、技術的には、国際会計基準の経営者の定義に揃えることにすれば、問題は解決です。。。

 

企業会計基準委員会

・2020.05.14 第433回企業会計基準委員会の概要

議事概要(速報)

-----

矢農常勤委員より、「財務諸表を継続企業の前提に基づき作成することが適切であるかどうかの判断規準の作成」に関するプロジェクトの方向性について説明がなされ、審議が行われた。審議の結果、「財務諸表を継続企業の前提に基づき作成することが適切であるかどうかの判断規準の作成」については、開発を行なう上では既存の基準を参考とすることを前提としていたが、既存の会計基準を参考として開発を継続することは難しい状況であることから、開発中のテーマから除外することが承認された。

-----

審議(4) 財務諸表を継続企業に基づき作成することが適切か否かの判断規準の検討

-----

日本基準では、これまで「経営者」を用いたことがなく、上記のような状況を踏まえると、企業の清算若しくは事業停止の意図」をもつ主体を決めるには、相当の時間を要するものと考えられる。

----

上記資料を読めばわかるのですが、議論は丁寧にされています。

問題の出発点は、

国際会計基準では、第1号第25項で、「経営者は、企業が継続企業として存続する能力があるのかどうかを検討しなければならない。経営者に当該企業の清算若しくは営業停止の意図がある場合、又はそうする以外に現実的な代替案がない場合を除いて、企業は財務諸表を継続企業の前提により作成しなければならない。」と定めています。第26項にも言及があります。

一方、

-----

5. 我が国の会計基準には、どのような場合に経営者が継続企業の前提に基づいて財務諸表を作成すべきかの明示的な定めがない。また、継続企業の前提により財務諸表を作成することが不適切と判断された場合の会計処理が定められた会計基準も存在しない。

6. 国際的な監査基準に基づく監査報告書においては、継続企業の前提に基づいて財務諸表を作成することが適切であるか否かを判断する責任は経営者にあり、経営者がどのような場合に継続企業の前提に基づいて財務諸表を作成することが適切であると判断するのかについての説明を記載することが求められている。

7. 一方、我が国の会計基準には、どのような場合に経営者が継続企業の前提に基づいて財務諸表を作成すべきかの明示的な定めがないことから、我が国の監査報告書に国際的な監査基準と同様の記載をすることは難しいとされた。

-----

と言うことで、議論を始めてみたら、経営者の定義の違いに気づいた・・・

国際会計基準では、

-----

20. なお、IFRS では、「概念フレームワーク」において「経営者」という用語は、「企業の経営者及び統治機関を指す。」とされ、統治機関も含んだ概念とされている。

(「財務報告に関する概念フレームワーク」PART A 脚注 3)
「概念フレームワーク」全体を通じて、「経営者」という用語は、特に断りのない限り、企業の経営者及び統治機関を指す。」

-----

となっている一方、監査基準では

-----

監基報 570 において「企業の清算若しくは事業停止の意図」をもつ主体

17. 監基報 570 第 2 項の判断規準において、「企業の清算若しくは事業停止の意図」をもつ主体は「経営者」とされている。監査基準委員会報告書(序)では、「経営者」の定義を以下のとおり定めており、「経営者」は個人を前提とした概念と理解している。

(監査基準委員会報告書(序)「監査基準委員会報告書の体系及び用語」付録 2:用語集)
「取締役又は執行役のうち、企業における業務の執行において責任を有する者をいう。国によっては、統治責任者の一部若しくは全員が経営者である企業もあり、又はオーナー経営者のみが経営者である企業もある。」

-----

となっていて、齟齬があり、この齟齬を解決しないと基準が作れないと言うことのように思います。

 

● 会計ニュース・コレクター(小石川経理研究所)

・2020.05.17 「「財務諸表を継続企業の前提に基づき作成することが適切であるかどうか の判断規準の作成」テーマから除外」企業会計基準委員会

| | Comments (0)

2020.05.17

GAO 重要インフラ保護:国土安全保障省はリスクが高い化学施設のサイバーセキュリティにもっと注意を払え

こんにちは、丸山満彦です。

GAOが国土安全保障省に対して、リスクが高い化学施設のサイバーセキュリティにもっと注意を払うように指摘し、6つの推奨事項を報告していますね。

● U.S. Government Accountability Office (GAO) [wikipedia]

・2020.05.14 CRITICAL INFRASTRUCTURE PROTECTION:Actions Needed to Enhance DHS Oversight of Cybersecurity at High-Risk Chemical Facilities

 ・[PDF] Highlights Page

 ・[PDF] Full Report

-----

Fast Facts

Terrorists and others may pose a cyber-threat to high-risk chemical facilities. Control systems, for example, could be manipulated to release hazardous chemicals. The Department of Homeland Security started a program more than a decade ago to help address these security risks.

We reviewed the program. DHS guidance designed to help about 3,300 facilities comply with cybersecurity and other standards has not been updated in over 10 years. Also, its cybersecurity training program for its inspectors does not follow some key training practices.

We made 6 recommendations, including that DHS review and update guidance and improve training.

-----

Recommendation:

  1. The Assistant Director of the Infrastructure Security Division should implement a documented process for reviewing and, if deemed necessary, revising its guidance for implementing cybersecurity measures at regularly defined intervals.
  2. The Assistant Director of the Infrastructure Security Division should incorporate measures to assess the contribution that its cybersecurity training is making to program goals, such as inspector- or program-specific performance improvement goals.
  3. The Assistant Director of the Infrastructure Security Division should track delivery and performance data for its cybersecurity training, such as the completion of courses, webinars, and refresher trainings.
  4. The Assistant Director of the Infrastructure Security Division should develop a plan to evaluate the effectiveness of its cybersecurity training, such as collecting and analyzing course evaluation forms.
  5. The Assistant Director of the Infrastructure Security Division should develop a workforce plan that addresses the program's cybersecurity-related needs, which should include an analysis of any gaps in the program's capacity and capability to perform its cybersecurity-related functions, and human capital strategies to address them.
  6. The Assistant Director of the Infrastructure Security Division should maintain reliable, readily available information about the cyber integration levels of covered chemical facilities and inspector cybersecurity expertise. This could include updating the program's inspection database system to better track facilities' cyber integration levels. 

-----

要は、

  1. セキュリティガイダンスの定期的な見直し
  2. サイバーセキュリティ研修の実施状況の把握
  3. サイバーセキュリティ研修の有効性の評価
  4. セキュリティプログラムを実施する際の能力についてのフィットギャップ
  5. サイバーセキュリティ人材リソース計画
  6. 化学物質施設検査官のサイバーセキュリティ専門知識の維持

と言うことかなぁ・・・

| | Comments (0)

2020.05.16

Tropic Trooperが台湾、フィリピンの政府、軍、医療機関等の物理的に分離されたネットワークをターゲットにUSBフェリー攻撃 by Trendmicro

こんにちは、丸山満彦です。

Trend Microのインテリジェンスチームが、Tropic Trooperが台湾、フィリピンの政府、軍、医療機関等の物理的に分離されたネットワークをターゲットにUSBフェリー攻撃を仕掛けていると言う報告書を出していますね。。。

Trend Micro Security Intelligence blog

・2020.05.12 Tropic Trooper’s Back: USBferry Attack Targets Air-gapped Environments by Joey Chen

・[PDF] Tropic Trooper’s Back: USBferry Attack Targets Air-gapped Environments - Technical Brief by Joey Chen (Threats Analyst)

-----

Tropic Trooper, a threat actor group that targets government, military, healthcare, transportation, and high-tech industries in Taiwan, the Philippines, and Hong Kong, has been active since 2011. The group was reportedly using spear-phishing emails with weaponized attachments to exploit known vulnerabilities. Primarily motivated by information theft and espionage, the group has also been seen adopting different strategies such as fine-tuning tools with new behaviors and going mobile with surveillanceware.

We found that Tropic Trooper’s latest activities center on targeting Taiwanese and the Philippine military’s physically isolated networks through a USBferry attack (the name derived from a sample found in a related research). We also observed targets among military/navy agencies, government institutions, military hospitals, and even a national bank. The group employs USBferry, a USB malware that performs different commands on specific targets, maintains stealth in environments, and steals critical data through USB storage. We started tracking this particular campaign in 2018, and our analysis shows that it uses a fake executable decoy and a USB trojan strategy to steal information.

Based on data from the Trend Micro™ Smart Protection Network™ security infrastructure, USBferry attacks have been active since 2014. We found the group was focused on stealing defense-, ocean-, and ship-related documents from target networks, which led us to believe that Tropic Trooper’s main purpose is to exfiltrate confidential information or intelligence.

Tropic Trooper, a threat actor group that targets government, military, healthcare, transportation, and high-tech industries in Taiwan, the Philippines, and Hong Kong, has been active since 2011. The group was reportedly using spear-phishing emails with weaponized attachments to exploit known vulnerabilities. Primarily motivated by information theft and espionage, the group has also been seen adopting different strategies such as fine-tuning tools with new behaviors and going mobile with surveillanceware.

We found that Tropic Trooper’s latest activities center on targeting Taiwanese and the Philippine military’s physically isolated networks through a USBferry attack (the name derived from a sample found in a related research). We also observed targets among military/navy agencies, government institutions, military hospitals, and even a national bank. The group employs USBferry, a USB malware that performs different commands on specific targets, maintains stealth in environments, and steals critical data through USB storage. We started tracking this particular campaign in 2018, and our analysis shows that it uses a fake executable decoy and a USB trojan strategy to steal information.

Based on data from the Trend Micro™ Smart Protection Network™ security infrastructure, USBferry attacks have been active since 2014. We found the group was focused on stealing defense-, ocean-, and ship-related documents from target networks, which led us to believe that Tropic Trooper’s main purpose is to exfiltrate confidential information or intelligence.

-----

■ 報道等

Security Affairs

・2020.05.15 Chinese APT Tropic Trooper target air-gapped military Networks in Asia by Pierluigi Paganini

| | Comments (0)

NISTIR 8196 Security Analysis of First Responder Mobile and Wearable Devices

こんにちは、丸山満彦です。

NISTが消防、緊急医療サービス(EMS)、法執行機関等のファーストレスポンダーがモバイルデバイスとウェアラブルデバイスを利用する際のセキュリティに関する報告書を出していますね。

NIST - ITL

・2020.05.11 NISTIR 8196 Security Analysis of First Responder Mobile and Wearable Devices

・[PDF

・(補足資料)Security Research Portfolio (from NIST's Public Safety Communications Research Division) (other)

-----
Abstract
Public safety practitioners utilizing the forthcoming Nationwide Public Safety Broadband Network (NPSBN) will have smartphones, tablets, and wearables at their disposal. Although these devices should enable first responders to complete their missions, any influx of new technologies will introduce new security vulnerabilities. This document analyzes the needs of public safety mobile devices and wearables from a cybersecurity perspective, specifically for the fire service, emergency medical service (EMS), and law enforcement. To accomplish this goal, cybersecurity use cases were analyzed, previously known attacks against related systems were reviewed, and a threat model was created. The overarching goal of this work is to identify security objectives for these devices, enabling jurisdictions to more easily select and purchase secure devices and industry to design and build more secure public safety devices.
-----

Continue reading "NISTIR 8196 Security Analysis of First Responder Mobile and Wearable Devices"

| | Comments (0)

CDPSE:ISACAのプライバシーに係るエンジニアの新しい資格

こんにちは、丸山満彦です。

ほぼ2週間前のプレスリリースですが、ISACAがプライバシーに係るエンジニアの新しい資格である、Certified Data Privacy Solutions Engineer (CDPSE) を作り、早期導入プログラム(Early Adoption Program)を始めましたね。。。

ISACA

・2020.05.04 ISACA Launches Early Adoption Program for New Technical Privacy Certification: Certified Data Privacy Solutions Engineer


資格についての説明は、

Certified Data Privacy Solutions Engineer (CDPSE)

試験内容の概要は、

CDPSE EXAM CONTENT OUTLINE

 

Continue reading "CDPSE:ISACAのプライバシーに係るエンジニアの新しい資格"

| | Comments (0)

2020.05.15

日本からアップロードされたサンプルから見つかったRamsayはインターネットに接続されていないネットワークでの動作を可能にする? by ESET

こんにちは、丸山満彦です。

ESETの発表によると、日本からアップロードされたサンプルから見つかったRamsayはインターネットに接続されていないネットワークでの動作を可能にするようです。

ESET

・2020.05.13 New cyber espionage framework named Ramsay discovered by ESET Research

ESETの発表によると、インターネットに接続されていない(Air-gapped)システムから機密文書を収集し、流出することを目的として作られているようです。これまでのところ被害者の数は非常に少ないため、このフレームワークは開発中なのではないかと考えているとのことです。

記事によると、日本からアップロードされたVirusTotalのサンプルの中にRamsayのインスタンスを発見し、それがフレームワークの更なるコンポーネントや他のバージョンの発見につながったとのことです。

調査をしたところ、調査結果によると、3つのバージョンが発見されていて、機能の数と複雑さが増加していって最新バージョンが特に、回避と持久性については最もすすんでいいるようです。

技術的な詳細については、

WeLiveSecurity by ESTA

・2020.05.13 Ramsay: A cyber‑espionage toolkit tailored for air‑gapped networks by

■ 報道等

Security Affairs
・2020.05.14 New Ramsay malware allows exfiltrating files from air-gapped computers by Pierluigi Paganini
Experts discovered a new strain of malware dubbed Ramsay that can infect air-gapped computers and steal sensitive data, including Word, PDF, and ZIP files.

ZDNet
・2020.05.13 New Ramsay malware can steal sensitive documents from air-gapped networks by
Ramsay can infect air-gapped computers, collect Word, PDF, and ZIP files in a hidden folder, and then wait for exfiltration.

CyberScoop
・2020.05.13 Researchers expose new malware designed to steal data from air-gapped networks by
The ultimate goal for Ramsey, ESET says, is to use a local file system on the target machine to smuggle data out of an air-gapped network.

The Hacker News
・2020.05.13 Researcher Spots New Malware Claimed to be 'Tailored for Air‑Gapped Networks' by

Bleeping Computer
・2020.05.13 New Ramsay malware steals files from air-gapped computers by

 

| | Comments (0)

2020.05.14

COVID-19でオンライン投票は普及するのか?

こんにちは、丸山満彦です。

COVID-19によって、人との接触を避けることが推奨される中、会社の業務や授業がオンラインで行われていますが、大統領選、議員選などもオンラインでできないかと言うことが気になりますよね。

米国では州によって異なりますが、海外在住者、軍関係者などにオンライン投票が認められているケースもあります。これを全ての有権者に拡げるのはどうかと言うことです。

投票へのアクセス手法を増やすことにより、有権者の意思をより反映しやすくできる反面、投票の匿名性が担保されているか、改竄が行われていないか、を確認することが紙よりも困難で投票結果の信頼性の問題があります。

難しい問題ですが、下記の記事もそのような点を踏まえて書かれていますね。。。

日本でも地方自治体で、電子投票機を使った非オンライン式の電子投票は可能ですが、普及はしていませんね。。。

エストニアは、国政選挙にオンライン選挙を導入していますよね。。。

● WIRED

・2020.05.12 Online Voting Has Worked So Far. That Doesn’t Mean It's Safe by  

 

Wikipedia

Electronic voting by country

 

まるちゃんの情報セキュリティ気まぐれ日記

電子投票

・2020.03.16 アメリカ連邦選挙支援委員会(Election Assistance Commission)電子投票の仕様に関するガイドラインである任意的投票システムガイドライン(Voluntary Voting System Guideline = VVSG)バージョン2.0案

・2007.12.19 国政選挙でも電子投票ができるようになる?

・2005.07.10 可児市市議選 選挙無効確定!





 

| | Comments (0)

CNILがCOVID-19感染者をモニタリングする情報システムに関する政令案の審議結果を公表していますね。

こんにちは、丸山満彦です。

CNILがCOVID-19感染者をモニタリングする情報システムに関する政令案の審議結果を公表していますね。

例えば、健康データと私生活のデータのリンクをしないようにすることなど。。。で、公表された政令には反映されているようですね。

 

CNIL

・2020.05.13 (News letter) Déconfinement : l’avis de la CNIL sur le projet de décret encadrant les systèmes d’information mis en œuvre pour le suivi des malades du COVID-19

-----

L’essentiel

  • La CNIL s’est prononcée le vendredi 8 mai 2020 sur un projet de décret encadrant deux fichiers, SI-DEP et Contact Covid. Ils seront utilisés dans le cadre du dépistage du Covid-19 et de la conduite des enquêtes sanitaires dont l’objectif est de déterminer qui a pu être contaminé par une personne testée positive.
  • La CNIL estime le dispositif conforme au RGPD si certaines garanties sont respectées. Elle relève que ces fichiers sont nécessaires à la mise en place de la politique sanitaire envisagée par le Gouvernement pour le déconfinement. Elle demande que cette nécessité soit régulièrement réévaluée.
  • Compte tenu de la sensibilité du dispositif, la CNIL a appelé à des garanties supplémentaires. Elle a demandé que le décret soit précisé sur plusieurs points, afin de minimiser les données, de limiter les accès aux traitements au strict nécessaire et de garantir les droits des personnes sur leurs données personnelles. Ces demandes ont été prises en compte par le décret paru ce matin au Journal officiel. Elle a également formulé une série de recommandations pour la mise en œuvre de ces systèmes d’information, notamment s’agissant de la sécurité du dispositif et de la responsabilisation des personnes accédant aux fichiers. 
  • La présidente de la CNIL a annoncé qu’elle diligenterait des contrôles dans les premières semaines suivant la mise en place de ces nouveaux fichiers

-----

 

・(政令) Décret n° 2020-551 du12 mai 2020relatif aux systèmes d'information mentionnés à l'article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions

 

■ 報道等

DataGuidance

・2020.05.13 France: CNIL publishes Deliberation on Draft Decree on Coronavirus patient monitoring information systems

 

| | Comments (0)

FBIとCISAが共同で、中国の攻撃者がCOVID-19のワクチン研究データを盗もうとしていると発表していますね。

こんにちは、丸山満彦です。

FBIとCISAが共同で、中国の攻撃者がCOVID-19のワクチン研究データを盗もうとしていると発表していますね。

 

Cybersecurity and Infrastructure Security Agency (CISA)

・2020.05.13 CISA-FBI Joint Announcement on PRC Targeting of COVID-19 Research Organizations

・2020.05.13 FBI AND CISA WARN AGAINST CHINESE TARGETING OF COVID-19 RESEARCH ORGANIZATIONS

・2020.05.13 [PDF] People’s Republic of China (PRC) Targeting of COVID-19 Research Organizations

推奨事項として(ざっくり)次のことを言っていますね。

  • COVID-19に関連する研究をしていると注目を浴び、サイバー活動が活発になると思って対処する。
  • インターネットに接続されたサーバやデータを処理するソフトウェアの既知の脆弱性に優先してパッチを当て、すべてのシステムに重大な脆弱性がないかを確認する。
  • ウェブアプリケーションを積極的にスキャンし、不正アクセス、不正変更等の異常な活動がないことを確認する。
  • 多要素認証を利用する。
  • 異常な活動を示すユーザを特定し、一時的にアクセスを停止する。

● Chinese Malicious Cyber Activity

 


 

報道等

The New York Times

2020.05.13 U.S. to Accuse China of Trying to Hack Vaccine Data, as Virus Redirects Cyberattacks by David E. Sanger and Nicole Perlroth

The Verge

2020.05.13 US government accuses Chinese ‘cyber actors’ of trying to steal COVID-19 vaccine research by Nick Statt

 

Continue reading "FBIとCISAが共同で、中国の攻撃者がCOVID-19のワクチン研究データを盗もうとしていると発表していますね。"

| | Comments (0)

Czech Republic COVID-19に関連して温度チェックについての声明を出していますね。。。

こんにちは、丸山満彦です。

チェコ共和国のデータ保護機関がCOVID-19に関連して温度チェックについての声明を出していますね。。。

Úřadem pro ochranu osobních údajů (The Office for Personal Data Protection ('UOOU'))

・2020.05.12 Měření teploty při vstupu na pracoviště v době koronavirové pandemie

-----

現在発令されている健康上の緊急事態が、

  • 他の従業員の安全な労働環境を確保するための正当な目的になりつつある
  • 従業員の体温を処理することは明示的な法的義務ではないが、一般データ保護規則の文脈上、必要な健康対策を考慮して、雇用者の正当な利益として考慮することができることに留意している

と発表していますね。。

| | Comments (0)

Norway データ保護機関が公衆衛生研究所にコンタクト・トレーシング・アプリの課題について通知したようですね。。。

こんにちは、丸山満彦です。

5月6日のこのブログで述べているのですがノルウェーのデータ保護機関(Datatilsynet) が公衆衛生研究所のコンタクト・トレーシング・アプリについてのプライバシー評価をすると宣言していました。その結果がでて、ノルウェーのデータ保護機関は、2020年5月12日に公衆衛生研究所にトレース・アプリ・プロトコルの欠点について通知したようですね。

  • リスクと脆弱性の分析にト集団の通知と個人データの匿名化の評価が含まれていなかった
  • 集団の動きの監視や感染に関するアラートなど、アプリのいくつかの機能をプロトコルに含めるべきだ

についての指摘がされたようですね。

Datatilsynet

Varsel om pålegg til Smittestopp

Starter kontroll av FHIs Smittestopp-app

 

-----

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.05.06 Norway コンタクト・トレーシング・アプリ(smittestopp / Infection stop)


 

| | Comments (0)

ニュージーランドでも、コンタクト・トレーシングについて議論されているようですね。。。

こんにちは、丸山満彦です。

COVID-19のパンデミックは世界的にも収束に向かいつつある状況なのでしょうかね。。。出口戦略の一環としコンタクト・トレーシングが話題になっていますが、ニュージーランドでも議論はされているようですね。

The Office of the Privacy Commissioner of New Zealand (OPCNZ)

・2020.05.13 Privacy News - Commissioner briefs select committee on contact tracing

[Radio]

・2020.05.12 09.09 What could digital contact tracing look like?

・2020.05.12 09:31 Privacy in the era of Covid

 

| | Comments (0)

2020.05.13

CISA / FBI / DoD : HIDDEN COBRA 北朝鮮の悪意あるサイバー活動

こんにちは、丸山満彦です。

米国のサイバーセキュリティ・インフラストラクチャー安全保障局(CISA)、連邦捜査局(FBI)、国防省(DoD)が2020.05.12に、北朝鮮政府が使用するマルウェアの亜種に関する3つの分析レポート(MAR)をリリースしていますね。

● Cybersecurity and Infrastructure Security Agency (CISA)

・2020.05.12 North Korean Malicious Cyber Activity

-----
The Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), and the Department of Defense (DoD) have identified three malware variants—COPPERHEDGE, TAINTEDSCRIBE, and PEBBLEDASH—used by the North Korean government. In addition, U.S. Cyber Command has released the three malware samples to the malware aggregation tool and repository, VirusTotal. The U.S. Government refers to malicious cyber activity by the North Korean government as HIDDEN COBRA.

CISA encourages users and administrators to review the Malware Analysis Reports for each malware variant listed above, U.S. Cyber Command’s VirusTotal page, and CISA’s North Korean Malicious Cyber Activity page for more information.
-----

North Korean Malicious Cyber Activity

-----

■報道等

Cyberscoop
・2020.05.12 FBI, DHS to go public with suspected North Korean hacking tools by 

Health IT Security
・2020.05.12 Feds Alert to New North Korean Malware Threats, Mitigation Tactics by 
DHS CISA, the FBI, and DOD are urging organizations to review insights into three recent malware variants tied to North Korea and recommended mitigation techniques to bolster defenses.

ZDnet
・2020.05.12 On the three-year anniversary of WannaCry, US exposes new North Korean malware by 

US cyber-security officials expose today three new North Korean malware strains named COPPERHEDGE, TAINTEDSCRIBE, and PEBBLEDASH.

 

Continue reading "CISA / FBI / DoD : HIDDEN COBRA 北朝鮮の悪意あるサイバー活動"

| | Comments (0)

ENISA 電力セクターの時間サービスへの依存:時間に敏感なサービスへの攻撃についての報告書

こんにちは、丸山満彦です。

ENISAが「電力セクターの時間サービスへの依存:時間に敏感なサービスへの攻撃」についての報告書を公開していますね。

電力は需要に応じた発電をする必要があるため、継続的に需給バランスを見ておく必要があるのですが、その点をついたサイバー攻撃が考えられるというシナリオについての文書ですね。。。

ENISA

・2020.05.12 Power Sector Dependency on Time Service: attacks against time sensitive services

・[PDF]

概要

  1. 正確なタイミングと通信ネットワークの可用性に依存するエネルギー供給者のサービスに対する脅威について説明
  2. 時刻計測サービスを支援する典型的なアーキテクチャの提示
  3. サービスのCIA(機密性、完全性、可用性)に対する攻撃、脅威についての説明、及びリスク緩和策の提示
  4. 技術ベンダーと電力事業者への提言

----

エグゼクティブサマリー

電力システムは、送電中や配電中のグリッド操作、電力バランス、基礎となるステーションの状態を監視するために、正確なタイミング測定を利用する。現代のスマートグリッドでは、電力データの取得と同期は、分散化された分析と電力生産の効果的な調整を可能にするために、時間ソースを共有する必要がある。
時間サービスに対するサイバー攻撃は電力グリッドに大きな影響を与える可能性があり、今回の報告書はそのようなシナリオを提示している。このシナリオでは、主に最新の位相測定技術に焦点を当てている。自動化が進み、これらのタイプの装置は、将来の電力網をサポートするのに適していると考えられるからである。報告書では、従来のシステムについて詳細な説明はしていないが、本シナリオでは、いくつかの主要な従来の入力ベクトルも考慮しています。このシナリオの目的は、配電における品質タイミングの重要性を強調し、リスクを特定し、一貫した時間同期のためのガイドラインを提示する。
そのために、報告書では、測定値を取得するために使用される技術の紹介を行い、測定サービスをサポートする典型的なアーキテクチャを説明する。次に、サービスの CIA(機密性、完全性、可用性)に対する攻撃と同様に脅威について説明し、一連のリスク緩和策を提供する。
最後に、技術ベンダーとエネルギー事業者への提言を示す。

Continue reading "ENISA 電力セクターの時間サービスへの依存:時間に敏感なサービスへの攻撃についての報告書"

| | Comments (0)

2020.05.12

カーネギーメロン大学ソフトウェア工学研究所の「サイバーセキュリティの状況認識(Situaltion Awareness)」シリーズは基本的な内容で参考になりますね。

こんにちは、丸山満彦です。

Carnegie Mellon University - Software Engineering Instituteがブログを公開していますが、「サイバーセキュリティの状況認識(Situation Awareness)」について、2019.09.09からいくつかの記事が公開されていますが、基本的なことで興味深い内容となっているように思います。興味がある方は是非・・・

Situation Awareness (Wikipedia) の説明が参考になりますね。

最新の2020.05.11に公開されているものは、「監視と対応のためのツール」についての記事となっています。

-----

 

Continue reading "カーネギーメロン大学ソフトウェア工学研究所の「サイバーセキュリティの状況認識(Situaltion Awareness)」シリーズは基本的な内容で参考になりますね。"

| | Comments (0)

政府CIOポータル 第1回 接触確認アプリに関する有識者検討会合 開催

こんにちは、丸山満彦です。

コンタクト・トレーシング・アプリに関する有識者検討会合が開催されましたね。「新型コロナウイルス感染症対策 テックチーム Anti-Covid-19 Tech Team」と連携して動く感じですね。

政府CIOポータル - お知らせ

・2020.05.11 第1回 接触確認アプリに関する有識者検討会合 開催

ーーーーー

アプリとはすなわちツール、すなわち、目的を実現するための手段ですよね。どのような目的のためのツール・手段かということを常に意識しておく必要があります。

今回はCIO配下、すなわちツール側の話です。本来的には、目的レベルでの議論がきっちりあってのツールレベルの議論であるべきです。今回もそうなっていると思いますが、開示されている資料では、そもそもの目的や方針、原則が見えてきていないように思えます。

各国のツールの比較をするのも、目的とセットでする必要があるわけですから、日本のスタンスを明確にしておくことが重要ですよね。

Logo

 

例えば、欧州の場合はモバイルコンタクトトレーシングと警告アプリケーションへの共通のアプローチを提示しているのですが、そういうのがまうある方が良いですよね。。。

まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.17 EU-データ保護に関連したCOVID-19パンデミック対策を支援するアプリケーションのガイダンス

・2020.05.01 高橋先生の「コロナウイルス(Covid-19)とGDPR (26) コンタクトトレーシングアプリの要求事項を整理する」はよく整理されている!

 

 IT Law

・2020.05.01 コロナウイルス(Covid-19)とGDPR (26) コンタクトトレーシングアプリの要求事項を整理する

そして、以下の文書で今回の発表の内容を分析しています。やはり、なかなか鋭く、本質をついていると思います。

・2020.05.12 第1回 接触確認アプリに関する有識者検討会合など

 

例えば、資料4:接触確認アプリの導入に向けた取組について」の説明について

-----

3ページ目は、「接触確認アプリ主要類型の特徴」としています。厳密にいえば、他の国では、アップロードして、接触者の追跡まで、コンタクトトレーシングシステムとして説明されているので、「接触確認アプリ主要類型および追跡システム」の類型として、比較範囲を揃えて、あと、正確な事実を認識した上で検討すべきように思います。

コンタクトトレーシングシスムテは、フェーズでみていくと、1)登録 2)利用とデジタルシェークハンド 3)陽性者登録 4)近接接触者追跡の段階を経ます。日本のスライドは、3)の登録のアップロードするまでをアプリの責任範囲、データが登録サーバに到達してからを「感染者等把握・管理支援システム」としているところに特徴があります。

この表で気になるのは、特徴の「電話番号等の個人情報により、当局が接触者を特定し、連絡が可能」、「各ユーザの接触者データは、当局が保有するサーバーで管理」「各ユーザの接触者データは、各ユーザの端末で管理 。」というのが、別のフェーズの事項を並べている点です。そして、それが、まとめとして正確ではないということかと思います。

例えば、DP-3T説明でも、4段階は、きちんとわけて論じられています

(省略)

これは、陽性利用者が、その「秘密鍵」を中央サーバに送信することを前提に、その「秘密鍵」が雪崩(カスケード)のように接触者デバイスに情報がふっていることを物語っています。

.....

「電話番号等の個人情報により、当局が接触者を特定し、連絡が可能」というのは、登録していた段階で、その情報で、陽性判定時において「当局が接触者を特定し、連絡が可能」なのだろうと思います。

「各ユーザの接触者データは、当局が保有するサーバーで管理」の部分ですが、日本は、そこは「感染者等把握・管理支援システム」なので、これは、実は当てはまることになります。

アプリに中央サーバは関連していませんので、「アプリ」の話です、なので日本の「アプリ」は中央サーバで作業していませんとしているのでしょうけれど、説明としては、品がないだろうと思います。

-----

などです。

| | Comments (0)

2020.05.11

Naikon APTがオーストラリア等のAPACの政府組織をターゲットにしている?

こんにちは、丸山満彦です。

Check Pointのリサーチによると、中国のAPTグループ?のNaikon APTがオーストラリア等のAPACの政府組織をターゲットした活動をしているようですね。

Check Point - Research

・2020.05.07 Naikon APT: Cyber Espionage Reloaded

-----
Infection Chains

Throughout our research, we witnessed several different infection chains being used to deliver the Aria-body backdoor. Our investigation started when we observed a malicious email sent from a government embassy in APAC to an Australian state government, named The Indians Way.doc. This RTF file, which was infected (weaponized) with the RoyalRoad exploit builder, drops a loader named intel.wll into the target PC’s Word startup folder. The loader in turn tries to download and execute the next stage payload from spool.jtjewifyn[.]com.

This is not the first time we have encountered this version of the RoyalRoad malware which drops a filename named intel.wll – the Vicious Panda APT group, whose activities we reviewed in March 2020, utilizes a very similar variant.

Overall, during our investigation we observed several different infection methods:

  • An RTF file utilizing the RoyalRoad weaponizer.
  • Archive files that contain a legitimate executable and a malicious DLL, to be used in a DLL hijacking technique, taking advantage of legitimate executables such as Outlook and Avast proxy, to load a malicious DLL.
  • Directly via an executable file, which serves as a loader.

Infection chain examples

-----

| | Comments (0)

Stadler社(スイスの鉄道車両製造会社)がサイバー攻撃を受け

こんにちは、丸山満彦です。

スイスの鉄道車両製造会社のStadler Rail社(Wikipedia DE / EN/ JP)がサイバー攻撃を受けたようですね。脅迫を受けており、またデータ漏洩の可能性があると公表していますね。ランサムウェアですかね。。。

ただ、バックアップデータは完全であったようで、影響を受けるすべてのシステムが再起動されているので、大丈夫っていうことですかね。

Stadler Rail AG

・2020.05.07 Cyber-attack against Stadler IT network (EN)

-----

Cyber-attack against Stadler IT network

The Stadler IT network was attacked with malware. The company has immediately initiated the required security measures and it has involved the responsible authorities. A detailed investigation of the matter is ongoing.

Stadler internal surveillance services found out that the company’s IT network has been attacked by malware which has most likely led to a data leak. The scale of this leak has to be further analyzed. Stadler assumes that this incident was caused by a professional attack from unknown offenders. The offenders try to extort a large amount of money from Stadler and threaten the company with a potential publication of data to harm Stadler and thereby also its employees.
Stadler initiated the required security actions immediately, a team of external experts was called in and the responsible authorities were involved. The company’s backup data are complete and functioning. All affected systems are being rebooted. In spite of the pandemic caused by the Coronavirus and the cyber-attack, Stadler is able to continue the production of new trains and its services.

-----

■ 記事

Railway - News

・2020.05.08 Stadler’s IT network has been attacked by malware. by  Josephine Cordero Sapién

REUTERS - UK

・2020.05.07 BRIEF-Stadler Rail: Cyber Attack On Stadler It Network

BLEEPING Computer

・2020.05.08 Rail vehicle manufacturer Stadler hit by cyberattack, blackmailed by

Security Affairs

・2020.05.10 Swiss rail vehicle manufacturer Stadler hit by a malware-based attack by Pierluigi Paganini

 

| | Comments (0)

シンガポール政府 Boston Dynamicsの小型4足歩行ロボが公園をパトールし、社会的距離を保っているか確認。。。

こんにちは、丸山満彦です。

シンガポール政府(国立公園委員会(NParks)とスマートネイション・デジタル政府グループ)はBoston Dynamicsの小型4足歩行ロボSPOTを使って、公園をパトロールし、社会的距離を保っているか確認し、保っていない場合には警告を発するというパイロット試験をしていますね。

パトロール人員の削減を考えているようですが、試用期間中は警備員が一人随行するようです。搭載しているカメラで社会的距離が保たれているか確認するようですが、個人を追跡することができない仕様となっているようですね。

● Sigapore Government Technology Agency

・2020.05.08 NParks and SNDGG trial SPOT robot for safe distancing operations at Bishan-Ang Mo Kio Park

-----

Trial in Bishan-Ang Mo Kio Park

From today (8 May), NParks and SNDGG will be deploying SPOT over a 3-km stretch in the River Plains section of Bishan-Ang Mo Kio Park for two weeks during off-peak hours. A recorded message will be broadcast from SPOT to remind park visitors to observe safe distancing measures. SPOT will also be fitted with cameras – enabled with GovTech-developed video analytics – to estimate the number of visitors in parks. These cameras will not be able to track and/or recognise specific individuals, and no personal data will be collected.

SPOT will be controlled remotely, reducing the manpower required for park patrols and minimising physical contact among staff, volunteer safe distancing ambassadors and park visitors. This lowers the risk of exposure to the virus. Unlike wheeled robots, SPOT works well across different terrains and can navigate obstacles effectively, making it ideal for operation in public parks and gardens.

SPOT is fitted with safety sensors to detect objects and people in its path. It has in-built algorithms to detect an object or person within 1 metre of its proximity to avoid collision. SPOT will be accompanied by at least one NParks officer during the trial period.

-----

 

TechCrunch / TechCrunch Japan

・2020.05.08 Boston Dynamics’ Spot is patrolling a Singapore park to encourage social distancing by Brian Heater

・2020.05.10 Boston Dynamicsの小型4足歩行ロボがシンガポールの公園をパトロール中

 

| | Comments (0)

2020.05.10

英国 Teen向けサイバーセキュリティ関連のゲーム形式の教育コンテンツ(CyberLand)が8月末まで無料公開 by 英国政府(国家犯罪庁)

こんにちは、丸山満彦です。

英国政府のNational Crime Agencyと非営利団体のCyber Security Challenge UKが提携し、8月末まで学生がオンラインプラットフォーム「Cyber​​Land」を無料で利用できるようにしていますね。

Cyber​​Landは、12歳から18歳を主な対象とし、ファイアウォールの構成やデジタルフォレンジックなどのサイバーセキュリティの基礎を教えるためのゲーム形式の教育コンテンツを提供する仮想都市とのことです。やったことがないのでわかりません。。。

面白い取組ですね。

UK National Crime Agency

・2020.05.06 CyberLand: Teens given free online resources to improve cyber skills during lockdown



併せて、National Cyber Security Center(NCSC)も 、Cyber​​First(サマーコース)を開始したようですね。

National Cyber Security Center

Smallpeice Trust

Cyber First

| | Comments (0)

2020.05.09

GAFAMの時価総額が東証2170社の時価総額を上回る!

こんにちは、丸山満彦です。

Big tech企業(Microsoft、Apple、Amazon、Google、Facebook)の時価総額が約5兆3000億ドル(約560兆円) となり、東証2170社の時価総額(約550兆円)を超えたようです。

まあ、政府にも特定のクラウド企業がITインフラとなって、日本政府も含めて企業はその上に乗るしかなくなるので、それを前提に戦略を考えないといけない、特に中小企業とIT企業には、選択肢がないので、早めに覚悟を決めないといけないと言っていましたが、、、

安全保障も含めて必ずしも良い話ではないですが、政府の方針、企業の戦略も含めて過去の選択の結果ですから、今からの挽回は難しいと想定して、今後の覚悟を決めた戦略を描くしかないと思います。

極端な話、国としての存続自体が外国の存在の前提の上に成り立つことになるのですが、振り返ってみると、今まで日本はGDP2位(今は3位とですが)という特殊な地位であっただけで、他の約200国は、そういう状況で国として成立してきているということですね。外交がますます重要となりますね。。。

ちなみに、記事の見出しは、「近く社会インフラ化」となっていますが、既に社会インフラ化していて、それがますます強化されていっていると考えないといけないと思います。(このズレが今の日本につながっているのですけどね。。。)

日経新聞

・2020.05.09 GAFAMの時価総額、東証1部超え 560兆円に 近づく社会インフラ化

-----

米アルファベット(グーグル持ち株会社)、米アマゾン・ドット・コム、米フェイスブックと合わせ、市場で「GAFAM」とも呼ばれる。QUICK・ファクトセットによると、5社の時価総額は合計で約5兆3000億ドル(約560兆円)に達し、東証1部(約550兆円)を初めて超えた。

2016年末時点では東証1部が2倍以上大きかった。約3年半で東証1部が時価総額を4%程度減らしたのに対し、マイクロソフトの時価総額は2.8倍、アップルも2.1倍になった。

コロナ禍でも5社の業績は堅調だ。メディアや小売りといった分野で旧来型の企業の苦境が深まるなか、20年1~3月期決算は5社とも増収を確保し、最終損益も全社が黒字だった。

.....

米アルファベット(グーグル持ち株会社)、米アマゾン・ドット・コム、米フェイスブックと合わせ、市場で「GAFAM」とも呼ばれる。QUICK・ファクトセットによると、5社の時価総額は合計で約5兆3000億ドル(約560兆円)に達し、東証1部(約550兆円)を初めて超えた。

2016年末時点では東証1部が2倍以上大きかった。約3年半で東証1部が時価総額を4%程度減らしたのに対し、マイクロソフトの時価総額は2.8倍、アップルも2.1倍になった。

コロナ禍でも5社の業績は堅調だ。メディアや小売りといった分野で旧来型の企業の苦境が深まるなか、20年1~3月期決算は5社とも増収を確保し、最終損益も全社が黒字だった。
-----

出所:日経新聞 2020.05.09 GAFAMの時価総額、東証1部超え 560兆円に 近づく社会インフラ化

| | Comments (0)

ENISA CSIRT、法執行機関、司法機関の技術協力の強化に関する概要文書を公表

こんにちは、丸山満彦です。

ENISAがCSIRTと法執行機関の技術協力の強化に関する概要文書を2020.05.07に公表していますね。。。なお、文書自体は2019年12月に作成されたもののようです。。。

● ENISA

・2020.05.07 Sharing is caring: technical cooperation across CSIRTs, LE and the judiciary

・[PDF] 2019.12 AN OVERVIEW ON ENHANCING TECHNICAL COOPERATION BETWEEN CSIRTs AND LE

サイバー犯罪の捜査に関して、国や政府のCSIRT、法執行機関、司法機関の間での技術協力の成熟度を評価するためのツールに関する報告書となっていますね。

主要なツールの概要と主要な機能の分析、CSIRTs、LE、司法機関の協力によるサイバーセキュリティインシデントへの対応やサイバー犯罪対策のために情報を共有することができる共有プラットフォームを設計するための技術仕様を提案しているということです。

そして、次のような提言がされていますね。

・共通プラットフォームの開発に向けた努力を推進し、支援する
・情報共有に関連して CSIRT、法執行機関、司法の間で職務が重複しないように職務分離マトリクスの使用を促進する
・デジタル・フォレンジックの共通の枠組みの採用を検討し、促進する。
・サイバー犯罪調査ツールのための EU サイバーセキュリティ認証フレームワークの適合性を評価する。

 

【関連文書】

● ENISA

・2020.04.28 Training material to enhance cooperation across CSIRTs and Law Enforcement

のうち、技術的側面に絞ったもの

・Cooperation between CSIRTs and Law Enforcement: Technical Aspects

 ・[PDF] Handbook

 ・[PDF] Toolset

【参考】

 まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.30 ENISA CSIRTと法執行機関の連携を強化するためのトレーニング資料を追加公開

Continue reading "ENISA CSIRT、法執行機関、司法機関の技術協力の強化に関する概要文書を公表"

| | Comments (0)

2020.05.08

カナダ 連邦、州、地域のプライバシー委員会委員によるコンタクト・トレーシング・アプリに対するプライバシー原則についての共同声明

こんにちは、丸山満彦です。

カナダの連邦、州、地域のプライバシー委員会委員がコンタクト・トレーシング・アプリに対するプライバシー原則についての共同声明を出していますね。

Office of the Privacy Commissioner of Canada  

・2020.05.07 (News Release) Privacy guardians issue joint statement on COVID-19 contact tracing applications

・2020.05.07 Supporting public health, building public trust: Privacy principles for contact tracing and similar apps

Image

共同声明で言われている少なくとも遵守すべき原則

 

Continue reading "カナダ 連邦、州、地域のプライバシー委員会委員によるコンタクト・トレーシング・アプリに対するプライバシー原則についての共同声明"

| | Comments (0)

UK-ICO NHSXのコンタクト・トレース・アプリ試用版のデータ保護影響評価に関するメディアからの問い合わせへの声明

こんにちは、丸山満彦です。

UK-ICOがワイト等で試行を始めたNHSXのコンタクト・トレース・アプリ試用版に関するデータ保護影響評価についてのメディアからの問い合わせに回答していますね。

UK - ICO

・2020.05.07 Statement in response to media enquiries about the Data Protection Impact Assessment for the NHSX’s trial of contact tracing app

-----
An ICO spokesperson said:

“We are reviewing the Data Protection Impact Assessment for NHSX’s pilot of its contact tracing app in the Isle of Wight. We’ll feedback our comments as quickly as possible so that they can be usefully included in the learnings from the trial.”

-----

  • データ保護影響評価 (DPIA) は、プロジェクトのデータ保護リスクを特定し、最小化するために使用される。
  • 法律では、組織がDPIAを通じて、軽減できない高リスクを特定した場合にのみ、ICOに相談することが義務付けられている。
  • 私たちはアドバイスを提供することはできますが、DPIAは承認プロセスではない。
  • 法的な義務ではないが、NHSXは、ワイト等での試験と全国展開のためのDPIAを非公式に見直すようICOに要請してきた。
  • パンデミックとの闘いに対する継続的な支援の一環として、ICOは喜んで見直しを行う。
  • ちょっと待ってください。

ってところですかね。

 

Data Protection Impact Assessment

-----

まるちゃんの情報セキュリティ気まぐれ日記

・2020.05.05 UK NHS COVID-19 appのテストバージョンのリリースとNCSCによる技術情報の公表。。。

・2020.05.05 UK ICO COVID-19 コンタクト・トレーシング:アプリ開発におけるデータ保護の期待

・2020.05.02 英国 NHSX(国民保健サービス・デジタル)はドイツ等と異なりApple-Google APIを使用せず集中管理方式の連絡先追跡システムにする?

・2020.04.27 少なくとも7カ国の政府を含むPEPP-PTの支援者は、プライバシー保護の「中央管理手法」をあきらめていない

2020.04.26 英国 NHSX(国民保健サービス・デジタル)が間も無くコンタクト・トレーシング・アプリをリリースするようですね。。。 

2020.04.17 COVID-19感染対策用のアプリケーションは位置情報を追跡する必要はない。。。 

2020.04.17 EU - データ保護に関連したCOVID-19パンデミック対策を支援するアプリケーションのガイダンス 

・2020.04.15 UK Information commissioner's officeがパンデミック時の規制に関する文書を公表しましたね。。。 

・2020.04.15 UKがCOVID-19の追跡アプリを独自に開発?

| | Comments (0)

米国保険福祉省がHIPPA対応の参考のためのサイバーセキュリティガイダンスを公表していますね。

こんにちは、丸山満彦です。

米国保険福祉省がHIPPA対応の参考のためのサイバーセキュリティガイダンスを公表していますね。 チェックリストなどオリジナルもありますが、参考になるセキュリティガイドのリンク集的なものですかね。。。

United States Department of Health and Human ServicesHHS - Health information Privacy - Security

Cyber Security Guidance

  ・[PDF] Cyber Security Checklist

  ・[GIF] Cyber Security Infographic

 

| | Comments (0)

NIST SP 800-57 Part 1 Rev. 5 Recommendation for Key Management: Part 1 – General

こんにちは、丸山満彦です。

NISTが SP 800-57 Part 1 Rev. 5 Recommendation for Key Management: Part 1 – Generalを公開していますね。

NIST - ITL

・2020.05.04 (publication) SP 800-57 Part 1 Rev. 5 Recommendation for Key Management: Part 1 – General

-----
Abstract

This Recommendation provides cryptographic key-management guidance. It consists of three parts. Part 1 provides general guidance and best practices for the management of cryptographic keying material, including definitions of the security services that may be provided when using cryptography and the algorithms and key types that may be employed, specifications of the protection that each type of key and other cryptographic information requires and methods for providing this protection, discussions about the functions involved in key management, and discussions about a variety of key-management issues to be addressed when using cryptography. Part 2 provides guidance on policy and security planning requirements for U.S. Government agencies. Part 3 provides guidance when using the cryptographic features of current systems.
-----

Publication:
 SP 800-57 Part 1 Rev. 5 (DOI)
 Local Download

Supplemental Material:
None available

Other Parts of this Publication:
 SP 800-57 Part 2 Rev. 1
 SP 800-57 Part 3 Rev. 1

Document History:
10/08/19: SP 800-57 Part 1 Rev. 5 (Draft)
05/04/20: SP 800-57 Part 1 Rev. 5 (Final)

Continue reading "NIST SP 800-57 Part 1 Rev. 5 Recommendation for Key Management: Part 1 – General"

| | Comments (0)

GoogleとAppleのCOVID-19 "Exposure Notifications" APIの提携の話・・・

こんにちは、丸山満彦です。

2020.05.04に例のGoogle & Appleのコンタクト・トレーシング・アプリに関する情報が更新されていますね。

備忘録的に残しておきます。。。

Goolge

Google and Apple partner on COVID‑19 Exposure Notifications API (2020.05.04 updateds)/

More information and technical specs (Updated May 4, 2020)

-----

【参考】

駒澤綜合法律事務所 - IT Law
・2020.05.07 AppleとGoogleの新型コロナ対策、提供方法などの具体像が固まる-開発条件

ITメディア
・2020.05.05 新たなガイドラインを発表:AppleとGoogleの新型コロナ対策、提供方法などの具体像が固まる 
-----

| | Comments (0)

2020.05.07

欧州データ保護委員会はGDPRに基づく「同意」に関するガイドラインを公表していますね

こんにちは、丸山満彦です。

欧州データ保護委員会はGDPRに基づく同意に関するガイドラインを公表していますね。。。

EDPB (European Data Protection Board)

・2020.05.04 Guidelines 05/2020 on consent under Regulation 2016/679

・2020.05.04 [PDF] Guidelines 05/2020 on consent under Regulation 2016/679 Version 1.0

訳はこなれていない。。。

0 Preface 0 序文
1 Introduction 1 はじめに
2 Consent in Article 4(11) of the GDPR 2 GDPR第4条(11)の同意
3 Elements of valid consent 3 有効な同意の要素
3.1 Free / freely given 3.1 自由/自由に与えられる
3.1.1 Imbalance of power
3.1.2 Conditionality
3.1.3 Granularity
3.1.4 Detriment
3.1.1 パワーの不均衡
3.1.2 条件付き
3.1.3 粒度
3.1.4 デメリット
3.2 Specific 3.2 特定
3.3 Informed 3.3 通知
3.3.1 Minimum content requirements for consent to be ‘informed’
3.3.2 How to provide information
3.3.1 「通知」を受けるための同意の最低限の要件
3.3.2 情報の提供方法
3.4 Unambiguous indication of wishes 3.4 明確な意思の表示
4 Obtaining explicit consent 4 明示的な同意の取得
5 Additional conditions for obtaining valid consent 5 有効な同意を得るための追加条件
5.1 Demonstrate consent 5.1 同意を示す
5.2 Withdrawal of consent 5.2 同意の撤回
6 Interaction between consent and other lawful grounds in Article 6 GDPR 6 GDPR第6条における同意とその他の合法的根拠の相互作用
7 Specific areas of concern in the GDPR 7 GDPRにおける具体的な懸念事項
7.1 Children (Article 8) 7.1 児童 (第8条
7.1.1 Information society service
7.1.2 Offered directly to a child
7.1.3 Age
7.1.4 Children’s consent and parental responsibility
7.1.1 情報社会サービス
7.1.2 子供に直接提供される
7.1.3 年齢
7.1.4 子どもの同意と親の責任
7.2 Scientific research 7.2 科学研究
7.3 Data subject’s rights 7.3 データ主体の権利
8 Consent obtained under Directive 95/46/EC 8 指令 95/46/EC に基づいて取得された同意

REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation

・[PDF] 個人情報保護委員会による日本語訳

Continue reading "欧州データ保護委員会はGDPRに基づく「同意」に関するガイドラインを公表していますね"

| | Comments (0)

2020.05.06

韓国:公共データ戦略委員会がデータ活用戦略を発表してますね。。。

こんにちは、丸山満彦です。

韓国の公共データ戦略委員会がデータ活用戦略を2020.05.06に発表していますね。

● 국무조정실국무총리비서실 (政府政策調整局/首相官房)

・2020.05.06 (relaease) 제4기 공공데이터전략위원회 (第4期の公共データ戦略委員会)

공공데이터로 포스트코로나 시대의 혁신성장을 지원
- 제4기 공공데이터전략위원회 출범 -
- 공공데이터 지난해 대비 2배 이상 개방, 디지털 일자리도 창출 -
- 데이터3법 시행에 맞춰 공공부문의 가명정보 활용 지원 -
公共データにポストコロナ時代の革新成長をサポート
-第4期の公共データ戦略委員会発足-
-公共データ昨年比2倍以上の開放、デジタル雇用も創出-
-データ3法施行に合わせて、公共部門の仮名情報活用支援-

  興味深い論点もありますね。。。

② 데이터 3법 개정취지에 맞게 공공부문 개인정보의 가명화와 활용을 지원합니다.

 - 공공데이터의 가명화 절차와 방법 등을 담은 가이드라인을 마련하고, 「공공부문 개인정보 가명화 지원센터」를 운영합니다.

 - 공공부문 내 안전한 공간(안심구역)을 마련하여 개방이 제한된 데이터를 활용한 민·관의 연구와 비즈니스 모델개발도 지원합니다.

②データ3法改正の趣旨に合わせて、公共部門の個人情報の仮名化と活用をサポートします。

 - 公共データの仮名化手順と方法などを盛り込んだガイドラインを設け、「公共部門の個人情報仮名化支援センター」を運営します。

 - 公共部門内の安全な空間(安心エリア)を設けて開放が制限されたデータを活用した官民の研究とビジネスモデルの開発にも対応します。

-----

Data Guidance

・2020.05.06 South Korea: Public Data Strategy Committee announces data utilisation strategy

| | Comments (0)

カナダ:公益支援センターが、テレビ放送通信委員会にコンタクト・トレーシング・アプリとネットワークの監視を要求する申請を提出したようですね。。。

こんにちは、丸山満彦です。

カナダでは、2020.05.04に公益支援センター(PIAC : Public Interest Advocacy Centre)がテレビ放送通信委員会(CRTC : Canadian Radio-television and Telecommunications Commission)にコンタクト・トレーシング・アプリとネットワークの関しを要求する申請を提出したようですね。

PIAC : Public Interest Advocacy Centre

・2020.05.04 (Media Release) PIAC Calls for CRTC Oversight of Contact-Tracing Apps and Networks
・2020.05.04 [PDF] Application Regarding Pandemic Contact-Tracing at Application and Network Levels

-----

● Data Guidance

・2020.05.06 Canada: PIAC urges CRTC for oversight of contact-tracing apps and networks

Continue reading "カナダ:公益支援センターが、テレビ放送通信委員会にコンタクト・トレーシング・アプリとネットワークの監視を要求する申請を提出したようですね。。。"

| | Comments (0)

イタリア政府 COVID-19緊急時のコンタクト・トレース・アプリに関する情報 (2020.04.30 update)

こんにちは、丸山満彦です。

イタリアのデータ保護機関がコンタクト・トレーシング・アプリに関して肯定的な意見を述べているようですね。

イタリア語なので、機械翻訳をかけながら、辞書読みながらで時間かかりそうです(^^;;

Garante per la protezione dei dati personali

・2020.04.29 Parere sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da COVID-19

(報道)

JDSUPRA

・2020.05.05 Updates on privacy issues – Contact tracing app: Italian Data Protection Authority’s positive opinion on Italian Law Decree 28 on 30th April, 2020 (in Italian)

 

| | Comments (0)

米国 国土安全保障省のテレワークガイダンスとリソース

こんにちは、丸山満彦です。

米国 国土安全保障省がテレワークガイダンスを公表していたので。。。

Department of Homeland Security - Cybersecurity & Infrastructure Securiy Agency

・2020.04.24 TELEWORK GUIDANCE AND RESOURCES

 ・2020.05.01 [PDF] Telework Best Practices with CISA and NSA

 ・2020.05.01 [PDF] Video Conferencing Tips

 ・2020.05.01 [PDF] Cybersecurity Recommendations for Critical Infrastructure Using Video Conferencing

 ・2020.05.01 [PDF] Cybersecurity Recommendations for Federal Agencies Using Video Conferencing

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.21 IPA テレワークを行う際のセキュリティ上の注意事項

 

| | Comments (0)

Norway コンタクト・トレーシング・アプリ(smittestopp / Infection stop)

こんにちは、丸山満彦です。

ノルウェイのデータ保護機関が自国の公衆衛生研究所 (Folkehelseinstituttet (FHI)) が開発したコンタクト・トレーシング・アプリ (smittestopp / Infection stop)の評価を始めているようですね。

Datatilsynet

・2020.04.27 Starter kontroll av FHIs Smittestopp-app (FHI Infection Stopアプリのチェックを開始します)
Spørsmål og svar (質問と回答)
Korona og personvern (コロナとプライバシー)

Folkehelseinstituttet (公衆衛生研究所)

・2020.04.30 1 av 5 deler data fra Smittestopp-appen med Folkehelseinstituttet (国民の約20%は、Infection Stopアプリのデータをノルウェー公衆衛生研究所と共有します)

● Helsenorge.no

Together we can fight coronavirus - download the Smittestopp app
・2020.04.24 Engelsk (PDF): What is the Smittestopp app?

(報道等)

Data Guidance
・2020.05.05 Norway: Datatilsynet publishes assessment of tracing app

NRK beta
・2020.04.16 Personvernråd i EU mener norsk app bryter med viktig personvernprinsipp by  & 

Life of Nolway
・2020.04.16 Smittestopp: How Norway’s New Coronavirus App Works

 

Continue reading "Norway コンタクト・トレーシング・アプリ(smittestopp / Infection stop)"

| | Comments (0)

2020.05.05

UK NHS COVID-19 appのテストバージョンのリリースとNCSCによる技術情報の公表。。。

こんにちは、丸山満彦です。

UKのNHSXが開発したCOVID-19 appの実証テストがワイト島 (Isle of Wight ) で始まりますね。。。それに合わせて、NCSCによるCOVID-19 appに関する技術情報が公表されていますね。

NCSC

・2020.05.04 (News) NCSC provides security expertise on NHS COVID-19 contact tracing app

・2020.05.04 (Report) High level privacy and security design for NHS COVID-19 contact tracing app

 ・2020.05.03 [PDF] High level privacy and security design for NHS COVID-19 Contact Tracing App (Version 0.1)

 ・[PDF] NHS COVID-19 app infographic (Decentralised vs Centralised)

・2020.05.04 (blog) The security behind the NHS contact tracing app by Ian Levy

・2020.05.04 (Information) NHS COVID-19: the new contact-tracing app from the NHS

----

(参考)

BBC News
・2020.05.04 Coronavirus: UK contact-tracing app is ready for Isle of Wight downloads b

Data Guidance
・2020.05.05 UK: NCSC publishes papers relating to its support to the NHS Coronavirus contact-tracing app

 まるちゃんの情報セキュリティ気まぐれ日記

・2020.05.05 UK ICO COVID-19 コンタクト・トレーシング:アプリ開発におけるデータ保護の期待

・2020.05.02 英国 NHSX(国民保健サービス・デジタル)はドイツ等と異なりApple-Google APIを使用せず集中管理方式の連絡先追跡システムにする?

・2020.04.27 少なくとも7カ国の政府を含むPEPP-PTの支援者は、プライバシー保護の「中央管理手法」をあきらめていない

2020.04.26 英国 NHSX(国民保健サービス・デジタル)が間も無くコンタクト・トレーシング・アプリをリリースするようですね。。。 

2020.04.17 COVID-19感染対策用のアプリケーションは位置情報を追跡する必要はない。。。 

2020.04.17 EU - データ保護に関連したCOVID-19パンデミック対策を支援するアプリケーションのガイダンス 

・2020.04.15 UK Information commissioner's officeがパンデミック時の規制に関する文書を公表しましたね。。。 

・2020.04.15 UKがCOVID-19の追跡アプリを独自に開発?

 

注目すべきは、High level privacy and security design for NHS COVID-19 Contact Tracing App (Version 0.1)

です。

目次は、

Continue reading "UK NHS COVID-19 appのテストバージョンのリリースとNCSCによる技術情報の公表。。。"

| | Comments (0)

UK ICO COVID-19 コンタクト・トレーシング:アプリ開発におけるデータ保護の期待

こんにちは、丸山満彦です

COVID-19のコンタクト・トレーシング・アプリの開発中のUKですが、NHSX (National Health Service x)とICO (Information Commissioner's Office)との間でやりとりが続いておりますね。

ICOが書簡を出しています。コンタクト・トレーシング・アプリを開発するに当たっての10原則と、32の実践を記載しています!!!

大変参考になると思いますよ。ぜひ、一読を・・・

UK - ICO

・2020.05.04 COVID-19 contact tracing: data protection expectations on app development

・[PDF]

wordとhtmlに変換してみました。。。

・[Word][html]

10原則は、

1 Be transparent about the purpose: Explain if the purpose is only proximity notification or if the purpose is broader, or is likely to expand in accordance with any development roadmap. Explain any additional purposes clearly and make sure you assess the necessity and proportionality of the processing the app undertakes. Ensure your considerations address all relevant parties - for example, build core requirements into your notices, user experience (UX) design and other appropriate in-app transparency mechanisms, but also provide more detailed information about your app’s development outside of the app itself. 目的について透明であること: 目的が近接通知のみなのか、目的がより広範なものなのか、または開発ロードマップに従って拡大する可能性があるのかを説明する。追加の目的を明確に説明し、アプリが行う処理の必要性と比例性を評価していることを確認する。例えば、通知、ユーザエクスペリエンス(UX)デザイン、およびその他の適切なアプリ内の透明性メカニズムにコア要件を組み込むだけでなく、アプリ自体の外でアプリの開発に関するより詳細な情報を提供する。
2 Be transparent about your design choices: Be clear about the system’s architectural design decisions, how they were made and what risks the approach poses to individual rights. Use the least privacy intrusive approach possible to achieve your purpose and ensure you justify the design choices you make. Make the service requirements and objectives available to users and other parties. デザインの選択について透明であること。システムのアーキテクチャ設計の決定、それがどのように行われたか、そのアプローチが個人の権利にどのようなリスクをもたらすかを明確にする。目的を達成するために可能な限りプライバシーを侵害しないアプローチを使用し、行った設計の選択を正当化することを確認する。サービスの要件や目的を利用者やその他の関係者が利用できるようにする。
3 Be transparent about the benefits: Be clear about the benefits and outcomes your app seeks to achieve, from both your perspective and that of the user. Where benefits for different parties may be the subject of tension, ensure that you are clear on how you have managed these in the data protection context. As part of assessing necessity and proportionality, clearly define these parties and clarify how your solution addresses each in line with data protection requirements. 利益について透明であること。アプリが達成しようとしている利益と結果について、自分の視点とユーザーの視点の両方から明確にする。異なる関係者の利益が緊張の対象となる場合は、データ保護の観点から、これらをどのように管理しているかを明確にする。必要性と比例性の評価の一環として、これらの当事者を明確に定義し、データ保護の要件に沿って、ソリューションがそれぞれにどのように対処するかを明確にする。
4 Collect the minimum amount of personal data necessary: Minimise the data your solution processes to that which is necessary to achieve your purposes. Begin by considering whether you can generate and match identifiers on-device. Where this approach is available, feasible, and enables you to achieve your purposes, then you should use it. If you decide to use an alternative approach, you must be able to explain why it is necessary to do so, as well as the steps you will take to ensure you will not introduce unnecessary risks to the user. Contact tracing apps should only collect or otherwise process information that is required for the core purpose (e.g. excluding location data, other device identifiers beyond any that are strictly necessary for the purpose, and personal data such as user account information, etc.). As noted above the collection and processing of personal data for other purposes will need to be assessed on a case-bycase basis. 必要最小限の個人データを収集する。ソリューションが処理するデータは、目的を達成するために必要最小限にする。まず、デバイス上で識別子を生成して照合できるかどうかを検討する。この方法が利用可能、実行可能であり、目的を達成できる場合は、この方法を使用すべきである。別のアプローチを使用することを決定した場合は、その必要性と、ユーザに不必要なリスクをもたらさないようにするための手順を説明できるようにしなければならない。コンタクト・トレーシング・アプリは、中核となる目的に必要な情報のみを収集またはその他の方法で処理すべきである(例:位置情報、目的に厳密に必要なものを超えた他のデバイス識別子、ユーザーアカウント情報などの個人データを除く)。上記のとおり、その他の目的のための個人データの収集および処理については、ケースバイケースで評価する必要がある。
5 Protect your users: Ensure your app uses pseudonymous identifiers, which are renewed regularly as appropriate to your purposes, and are  generated in such a way that risks of reidentification and tracking are reduced. ユーザーの保護。アプリでは、目的に応じて定期的に更新される仮名の識別子が使用されていることを確認し、再識別や追跡のリスクが低減されるような方法で生成されていることを確認する。
6 Give users control: Ensure your users can exercise their rights via your app, where these rights apply. Provide controls while onboarding and during use, e.g. via a dedicated privacy control panel or dashboard. ユーザーにコントロールを与える。ユーザーがアプリを介して権利を行使できるようにする。専用のプライバシーコントロールパネルやダッシュボードなどを介して、オンボーディング中や使用中にコントロールを提供する。
7 Keep data for the minimum amount of time, and, where appropriate, ensure the user has control over this: Store data for the minimum amount of time necessary for your purposes. Explain what that period will be and why. Avoid gathering, augmenting or correlating user data without express permission. データを最小限の期間保存し、必要に応じて、ユーザがこれをコントロールできるようにする。目的に必要最小限の期間だけデータを保存する。その期間と理由を説明する。明示的な許可なしに、ユーザデータを収集、追加、または関連付けることは避ける。
8 Securely process the data: Apply appropriate cryptographic/security techniques to secure the data, both at rest (in servers and apps) and in transit (between apps and the server). Ensure confidentiality, integrity and availability has been engineered into the service. データを安全に処理する。適切な暗号化/セキュリティ技術を適用して、データの安全性を確保する。機密性、完全性、可用性がサービスに組み込まれていることを確認する。
9 Ensure the user can opt in or opt out without any negative consequences: App use, from installation to sharing of information, should be voluntary with no negative consequences for individuals if they do not take action. Functions should be de-coupled to allow the user to benefit from one function without being compelled to provide data for other functions. ユーザーが否定的な結果を招くことなく、オプトインまたはオプトアウトできるようにすること。アプリの使用は、インストールから情報の共有に至るまで、自発的なものであるべきであり、個人が行動を起こさなかった場合に負の結果を招かないようにすべきである。ユーザが他の機能のためにデータを提供することを強制されることなく、ある機能の恩恵を受けることができるように、機能は切り離されるべきである。
10 Strengthen privacy, dont weaken it: Ensure the design of the app does not introduce additional privacy and security risks for the user (for example requiring the phone to be unlocked, or location to be identified). プライバシーを強化し、弱体化させない。アプリのデザインが、ユーザに追加のプライバシーやセキュリティのリスクをもたらさないようにする(例:電話のロックを解除する必要がある、場所を特定する必要があるなど)。

まるちゃんの情報セキュリティ気まぐれ日記

・2020.05.02 英国 NHSX(国民保健サービス・デジタル)はドイツ等と異なりApple-Google APIを使用せず集中管理方式の連絡先追跡システムにする?

・2020.04.27 少なくとも7カ国の政府を含むPEPP-PTの支援者は、プライバシー保護の「中央管理手法」をあきらめていない

2020.04.26 英国 NHSX(国民保健サービス・デジタル)が間も無くコンタクト・トレーシング・アプリをリリースするようですね。。。 

2020.04.17 COVID-19感染対策用のアプリケーションは位置情報を追跡する必要はない。。。 

2020.04.17 EU - データ保護に関連したCOVID-19パンデミック対策を支援するアプリケーションのガイダンス 

・2020.04.15 UK Information commissioner's officeがパンデミック時の規制に関する文書を公表しましたね。。。 

・2020.04.15 UKがCOVID-19の追跡アプリを独自に開発?

| | Comments (0)

ENISA CSIRTとは何か?どのように役立つか?

こんにちは、丸山満彦です。

ENISAがCSIRTとは何か?どのように役立つか?(What is a CSIRT and how can it help me?)というNews Itemを2020.05.04に公表しています。なぜこれを公表したのかなぁ・・・とは思いつつ、まぁ、ENISAのCSIRT関連のリンクがまとまっているので良いです。(^^)

ENISA

・2020.05.04 What is a CSIRT and how can it help me?

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.30 ENISA CSIRTと法執行機関の連携を強化するためのトレーニング資料を追加公開

| | Comments (0)

2020.05.04

カナダ アルバータ州のコンタクト・トレーシング・アプリ ABTrace Togehter

こんにちは、丸山満彦です。

カナダ アルバータ州[wikipedia](人口は約 400万人。人口密度は約6.4人/km2)のコンタクト・トレーシング・アプリ ABTrace Togehterがリリースされています。Deloitteが開発に関与しているようですね。。。契約額は最大で625,000ca$のようです。

PIAがアルバータ州情報・プライバシー委員会(Office of the Information and Privacy Commissioner of Alberta)に提出され、受け取られているようですが、このブログを書いている時点では見つけられませんでした。。。

アルバーター州

・202005.01 Technology to support COVID-19 response

ABTraceTogether

Office of the Information and Privacy Commissioner of Alberta

・2020.05.01 Commissioner Comments on Alberta’s Contact Tracing App

・2020.04.23 Commissioner Responds to Government of Alberta’s Contact Tracing App Announcement

 

メディア関係の記事が意外と深く議論していますので、参考になります。

Global News

・2020.05.01 Alberta launches ABTraceTogether app to improve contact tracing, fight COVID-19 spread by  

-----
..... The government and AHS worked with Deloitte to develop it, using similar technology used in Singapore as a model. However, the Alberta app collects less information than any other similar product being used by other jurisdictions (like Singapore, South Korea and Australia) to fight COVID-19.

.....

Once installed, the app uses a phone’s Bluetooth to log anytime it comes within two metres of another person with the app for a cumulative 15 minutes.

The phones detect each other and exchange anonymous encrypted data, the province said. Alberta’s chief medical officer of health, Dr. Deena Hinshaw, described it as an “encrypted digital handshake.” No information is uploaded at that time; it is just stored in the app.

Using the manual contact tracing process, if someone tests positive for COVID-19, they receive a phone call from an AHS contact tracer. Now, that person will ask if the patient has the ABTraceTogether app, and if so, if they consent to sharing its encounter history data.

If the person agrees, that information provides the health official with a phone number and duration of exposure for anyone that positive COVID-19 case had contact with.

“Even when app users who may have been exposed are contacted, user identities will not be shared,” Hinshaw said. “Users will merely be informed that they have come into close contact with someone who has tested positive for COVID-19.

“If you are diagnosed with COVID and you consent with the information on your phone being used, the contact tracer will be able to match the unique non-identifiable IDs on your phone with the registered users’ phone numbers via a merging of data.”

Then, AHS is able to notify them of the exposure, regardless of if the initial COVID-19 patient knows their name, has their number, or even remembers being in that location.

.....

“Ensuring this app is voluntary, collects minimal information, uses decentralized storage of de-identified Bluetooth contact logs, and allows individuals to control their use of the app are positive components. People diagnosed with COVID-19 also decide whether to disclose to public health officials the contact log stored on their phone,” Clayton said.

“My office received a privacy impact assessment on the app earlier this week. An initial review has been undertaken and we have sent questions to Alberta Health to clarify certain aspects of the PIA.

“For example, I am seeking confirmation that the data collected through this app is to be used for contact tracing, and not for any other purpose.”

Ontario’s former privacy commissioner has concerns.

“Phone numbers are easily linked to personally identifiable individuals,” Ann Cavoukian told Global News.

The Opposition NDP supports the intent of the ABTraceTogether app but says its effectiveness is dependent on many Albertans trusting it’s safe, secure and downloading it.

“Acceptance depends on trust, and for that, the government must be fully transparent about the app’s privacy risks, and the steps the government has taken to limit those risks,” said Heather Sweet, the NDP’s critic for Democracy and Ethics.
-----

 

Calgary Herald

・2020.05.03 Concerns surface over Alberta COVID-19 app's practicality and privacy

iPhoneの場合はアプリをフォアグランドにしておく必要があると書いていますね。。。

-----
..... One potential problem with the smartphone app is that iOS users — those who download the app on an iPhone, iPad or iPod Touch — will have to leave the app running in the foreground of their device, meaning it has to be visibly open on their screen. That means iOS users will have to keep their phone unlocked and set to the ABTraceTogether app for it to be effective.

The problem only exists on iOS — on Android devices, the app can run in the background. According to a 2019 Bloomberg report, 53 per cent of Canadian smartphones run iOS.

“If you switch apps, it stops working, and that’s a pretty major flaw, because just from a practical sense, who is actually going to be able to use that app?” said Peter McCaffrey, president of the Alberta Institute, a think-tank with libertarian leanings.

.....

The app was developed by Deloitte and was built off of source code from a similar app released by the Singapore government. It cost $625,000, a figure McCaffrey says is a cause for concern.

“It seems like a very high cost for an app that has already been developed,” he said. “I don’t think just because we’re in an emergency, we should ignore the cost of government services and programs.”
-----

 

Data Guidance

・2020.05.04 Alberta: OIPC issues statement following launch of Alberta Health contact tracing app

 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.25 COVID-19 トラック・トレーシング・アプリについて米国・カナダ関連

 

| | Comments (0)

米国国防省と人工知能(戦略と倫理)

こんにちは、丸山満彦です。

忘れないうちにDoDがAIに関して最近公表したことを備忘録として。。。

DoDは2018年にJoing Artificial Intelligence Center (JAIC)を立ち上げ、2019.02.12にAI戦略を発表しています。そして2020.02.24にAI倫理原則を発表していますね。

 

US Department of Deffence (DoD)

【AI倫理原則】

・2020.02.25 (Release) DOD Adopts 5 Principles of Artificial Intelligence Ethics

・2020.02.24 (Transcript) Department Of Defense Press Briefing on the Adoption of Ethical Principles for Artificial Intelligence

・2020.02.24 (Immediate Release) DOD Adopts Ethical Principles for Artificial Intelligence

・2020.02.24 (Watch) DOD Officials Discuss Artificial Intelligence Ethics

簡単に仮訳つけてみました。

1 Responsible.

DoD personnel will exercise appropriate levels of judgment and care, while remaining responsible for the development, deployment, and use of AI capabilities.

責任

国防省の職員は、AI能力の開発、展開、および使用に責任を持ちながら、適切なレベルの判断と注意を行使する。

2 Equitable.

The Department will take deliberate steps to minimize unintended bias in AI capabilities.

衡平

国防省は、AI能力における意図しない偏りを最小限に抑えるための意図的な措置を講じる。

3 Traceable.

The Department’s AI capabilities will be developed and deployed such that relevant personnel possess an appropriate understanding of the technology, development processes, and operational methods applicable to AI capabilities, including with transparent and auditable methodologies, data sources, and design procedure and documentation.

追跡可能

国防省の AI 能力は、透明で監査可能な方法論、データソース、設計手順、文書化など、AI能力に適用される技術、開発プロセス、運用方法について、関係者が適切に理解しているように、開発・展開される。

4 Reliable.

The Department’s AI capabilities will have explicit, well-defined uses, and the safety, security, and effectiveness of such capabilities will be subject to testing and assurance within those defined uses across their entire life-cycles.

信頼性

国防省の AI 能力は、明確で明確に定義された用途を持ち、そのような能力の安全性、安全性、有効性は、 ライフサイクル全体にわたって、それらの定義された用途の中でテストと保証の対象となる。

5 Governable.

The Department will design and engineer AI capabilities to fulfill their intended functions while possessing the ability to detect and avoid unintended consequences, and the ability to disengage or deactivate deployed systems that demonstrate unintended behavior.

統治可能性

国防省は、意図しない結果を検知して回避する能力と、意図しない行動を示す配備システムを解除したり、 非活性化したりする能力を持ちながら、AI能力が意図した機能を果たすように設計・設計する。

 

C4ISRNET - opinion

・2020.05.04 Ensuring the Pentagon follows ethics for artificial intelligence by Sean McPherson

・2020.02.24 The Pentagon now has 5 principles for artificial intelligence by

Military Times

・2020.02.25 The Pentagon promises to use artificial intelligence for good, not evil by

 

【AI戦略】

・2020.02.12 (News) DOD Unveils Its Artificial Intelligence Strategy

・[PDF] SUMMARY OF THE 2018 DEPARTMENT OF DEFENSE ARTIFICIAL INTELLIGENCE STRATEGY - Harnessing AI to Advance Our Security and Prosperity

・(参考)[PDF] Summary of the National Defense Strategy - Sharpening the American Military’s Competitive Edge

 

Joint Artificial Intelligence Center

 

-----
【参考】

Homeland Security Digital Library

・2019.01.16 AIM Initiative: A Strategy for Augmenting Intelligence Using Machines

・[PDF

 

Continue reading "米国国防省と人工知能(戦略と倫理)"

| | Comments (0)

2020.05.03

米国連邦金融機関審査会(FFIEC)がクラウドコンピューティングサービスのリスク管理に関する声明を公表していますね。。。

こんにちは、丸山満彦です。

米国連邦金融機関審査会 (FFIEC)がクラウドコンピューティングサービスのリスク管理に関する声明を公表していますね。。。

内容は極めてベーシックです。なので、大変参考になると思います。。。

 

 Federal Financial Institutions Examination Council's (FFIEC) 

・2020.04.30 FFIEC Issues Statement on Risk Management for Cloud Computing Services

・2020.04.30 [PDF] Joint Statement Security in a Cloud Computing Environment

他の形式に簡単に変換[Word][html]

-----

Governance
• Strategies for using cloud computing services as part of the financial institution’s IT strategic plan and architecture.

Cloud Security Management
• Appropriate due diligence and ongoing oversight and monitoring of cloud service providers’ security.
• Contractual responsibilities, capabilities, and restrictions for the financial institution and cloud service provider. 
• Inventory process for systems and information assets residing in the cloud computing environment. 
• Security configuration, provisioning, logging, and monitoring. 
• Identity and access management and network controls.
• Security controls for sensitive data.
• Information security awareness and training programs.

Change Management
• Change management and software development life cycle processes.
• Microservice architecture. 

Resilience and Recovery
• Business resilience and recovery capabilities.
• Incident response capabilities.

Audit and Controls Assessment
• Regular testing of financial institution controls for critical systems. 
• Oversight and monitoring of cloud service provider-managed controls.
• Controls unique to cloud computing services. 
 o Management of the virtual infrastructure. 
 o Use of containers in cloud computing environments.
 o Use of managed security services for cloud computing environments.
 o Consideration of interoperability and portability of data and services.
 o Data destruction or sanitization


| | Comments (0)

ベルギーのDPAがCOVID-19のトレースとデータベースに関する王立法案に関する意見を公表していますね。。。コンタクト・トレーシング・アプリをリリースする前にデータ保護影響評価を実施し、ソースコードを公開することを要求していますね。。。

こんにちは、丸山満彦です。

ベルギーのDPAがCOVID-19のトレースとデータベースに関する王立法案に関する意見を公表していますが、コンタクト・トレーシング・アプリをリリースする前にデータ保護影響評価を実施し、ソースコードを公開することを要求していますね。。。

Data Protection Authority (Belgium)

・2020.04.30 Applications de traçage et base de données COVID-19: pour l’APD, les avant-projets d’arrêtés royaux doivent être revus

ポイントとしては次のような内容ですかね。

  • 国民のプライバシーへの干渉は、ウイルスの拡散と闘うという公益目的の達成に必要かつ比例する場合にのみ許される。
  • 市民のために追加のセーフガードを提供しなければならない。
  • 国立衛生研究所によるデータベースの作成に関する法令は収集されたデータの出所、この医療データが送信される可能性のある第三者、その使用に関して明確にしなければならない。
  • 収集したデータを他の目的のために再利用することはできない。
  • トレースアプリケーションのダウンロードと利用が真に任意である。
  • トレースアプリケーションをの利用を拒否する市民が不利益を被ることがないようにする。
  • 専門家が動作をチェックするための合理的な期間を確保するために、アプリケーションのソースコードを事前に公開しなければならない。

なお、

・コンタクト・トレーシング・アプリケーションに関する意見書

 ・2020.04.28 Avis n° 34/2020

・データベース上に関する意見書

 ・2020.04.29 Avis n° 36/2020

Data Guidance

・2020.05.01 Belgium: DPA issues opinions on draft royal decrees on tracing and databases in the context of Coronavirus

| | Comments (0)

2020.05.02

米国上院委員会がCOVID-19消費者データ保護法案についての発表をしていますね。。。

こんにちは、丸山満彦です。

商業、科学、および輸送に関する米国上院委員会がCOVID-19消費者データ保護法案についての発表をしていますね。。。

 

The U.S. Senate Committee on Commerce, Science, and Transportation

・2020.04.30 Wicker, Thune, Moran, Blackburn Announce Plans to Introduce Data Privacy Bill

この法案は、すべての米国人に、個人の健康情報、地理的位置情報、近接情報の収集と使用に対する透明性、選択、制御を提供するものである。

法案はまた、COVID-19のパンデミックと戦うために個人データを使用する場合、企業が消費者に説明責任を負うことにもなる。

この法案の概要は、

COVID-19消費者データ保護法は次のようなものです。

  • 連邦取引委員会の管轄下にある企業に対し、COVID-19の普及状況を追跡する目的で、個人の健康情報、地理的位置情報、または近接情報を収集、処理、または転送する際に、個人から肯定的な明示的同意を得ることを義務付ける。
  • 企業に対し、データがどのように取り扱われるか、誰に転送されるか、どのくらいの期間保持されるかを、収集時点で消費者に開示するよう指示する。
  • 企業が消費者のデータを再特定されないように保護するための技術的・法的保護措置を採用することを保証するために、集計データと非特定データの構成要素について明確な定義を確立する。
  • 個人の健康情報、地理的位置情報、または近接情報の収集、処理、または転送を個人がオプトアウトすることを許可することを企業に要求する。
  • COVID-19に関連したデータ収集活動を説明した透明性の高い報告書を一般市民に提供するよう企業に指示する。
  • 対象事業体が収集した個人を特定できる情報について、データの最小化とデータセキュリティの要件を確立する。
  • COVID-19公衆衛生緊急事態のために使用されなくなった場合には、すべての個人を特定できる情報を削除するか、または特定できないようにすることを企業に要求する。
  • 州の弁護士に本法を施行する権限を与える。

 

Data Guidance

・2020.05.01 USA: Senate Committee announces Senators' plan to introduce Coronavirus consumer data protection bill

 

 Hounton

・2020.05.01 Senate Republicans Unveil COVID-19-specific Privacy Bill by

| | Comments (0)

トランプさん、米国の電力システムに対する外国のサイバーセキュリティの脅威を国家緊急事態と宣言する大統領令に署名しました。。。

こんにちは、丸山満彦です。

トランプ大統領が、米国の電力システムに対する外国のサイバーセキュリティの脅威を国家緊急事態と宣言する大統領令に署名しましたね。。。

要は、

米国の国防、重要な緊急サービス、重要なインフラ、経済、生活を支える電力を供給している米国の大規模電力システムの脆弱性が、外国の敵対者によってますます生み出され、悪用されるようになってきている。

米国の大規模電力システムは、悪意のあるサイバー活動を含む、米国とその国民に対する悪意のある行為を行おうとする者の標的となっている。

外国の敵対者が所有し、支配し、または外国の敵対者の管轄や指示に従う者によって設計、開発、製造、供給されたバルク電力系統の電気機器を米国内で無制限に取得または使用することは、外国の敵対者がバルク電力系統の電気機器に脆弱性を創造して悪用し、壊滅的な影響を及ぼす可能性がある能力を増大させることになる

大規模電力系統のよって電気機器の無制限の外国からの供給は、その源の全部または実質的な一部が米国外にある米国の国家安全保障、外交政策、および経済に対する異常かつ異常な脅威を構成している 

なので、米国で使用されるバルクパワーシステムの電気機器の安全性、完全性、信頼性を保護するための追加的な措置が必要である。 これらの知見を踏まえ、私はここに、米国の大規模電力システムに対する脅威について、国家の緊急事態を宣言する

よって、私はここに命令する。

と、禁止事項、権限、タスクフォース、定義、議会への報告についての命令が書かれています。。。

White HousePresidential Actions

・2020.05.01 Executive Order on Securing the United States Bulk-Power System

Forbes

・2020.05.02 Trump Declares National Emergency As Foreign Hackers Threaten U.S. Power Grid by Davey Winder

| | Comments (0)

英国 NHSX(国民保健サービス・デジタル)はドイツ等と異なりApple-Google APIを使用せず集中管理方式の連絡先追跡システムにする?

こんにちは、丸山満彦です。

英国 NHSX(国民保健サービス・デジタル)はドイツ等と異なりApple-Google APIを使用せず集中管理方式の連絡先追跡システムにするとの報道がありますね。。。

ドイツ、スイス、エストニアは分散型を指向し、英国、フランスは集中型を指向するという感じですかね。。。

管理がしやすいという問題もあるし、システムを簡単に作れるというのも要素の一つになっているようですね。

国民が使うかどうかの問題(バッテリーのもちも含めて)もあるし、簡単には決まらないのかもしれませんね。。。

BBC

・2020.04.27 NHS rejects Apple-Google coronavirus app plan

Computing

・2020.04.28 NHS rejects Apple-Google API in favour of centralised contact tracing system

Continue reading "英国 NHSX(国民保健サービス・デジタル)はドイツ等と異なりApple-Google APIを使用せず集中管理方式の連絡先追跡システムにする?"

| | Comments (0)

中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。

こんにちは、丸山満彦です。

中国のサイバースペース管理局(CAC:Cyberspace Administration of China [Wikipedia])は、他の11の当局と共同で、2020年6月1日に発効するサイバーセキュリティレビューのための措置、現在有効な調査のための措置を2020年4月27日に共同で発行しましたね。。。

 

 

Cyberspace Administration of China (CAC)(国家互联网信息办公室)

・2020.04.27 Measures for Cybersecurity Review (网络安全审查办法)


-----

HUNTON

・2020.04.29 China Issued Measures for Cybersecurity Review

サイバーセキュリティレビューでは、ネットワーク製品やサービスの購入によって発生する可能性のある状態のセキュリティリスクを評価し、以下の要素を特に考慮する。

  • 重要な情報インフラに対する不正な支配、妨害、妨害または破壊のリスク、および製品やサービスの使用後に重要なデータが盗まれたり、漏洩したり、損傷したりするリスク
  • 製品やサービスの供給が途絶することにより、重要情報基盤事業の継続性が損なわれること
  • 製品やサービスの安全性、開放性、透明性、供給元の多様性、サプライチェーンの信頼性、政治、外交、貿易などの要因による供給中断のリスク
  • 製品またはサービスの提供者による州法、行政規制、および部門規則の遵守条件。そして
  • 重要な情報インフラストラクチャと国家の安全を危険にさらす可能性のある他の要因。

 

DataGuidance

・2020.04.27 China: CAC publishes cybersecurity review measures 

 

Continue reading "中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。"

| | Comments (0)

JNSA リモート署名ガイドラインを公表していますね。。。

こんにちは、丸山満彦です。

JNSAがリモート署名ガイドライン(日本トラストテクノロジー協議会(JT2A)リモート署名タスクフォース)を公表していますね。。。

JNSA

・2020.04.30 リモート署名ガイドライン

・[PDF]

-----
現在では民間事業者が提供する多くの電子契約サービスの中でリモート署名が採用されているが、その方法は様々である。電子契約では、利便性が高く、かつ安全なサービスが求められるが、その安全性や信頼性の指標が定まっていない。
JT2Aでは、経済産業省の2015年度、2016年度の電子署名法研究会の検討結果を受けてリモート署名事業者や関係事業者及びリモート署名の利用者がリモート署名の理解を深め、一定の指標として参照可能なリモート署名サービスのガイドラインを作成した。
本書は、第1版であり、リモート署名サービスを利用する環境及び諸外国を含む検討動向を踏まえ、今後も継続して更新する。
今後のデジタルトランスフォーメーションの推進に向けて、リモート署名を利用した電子契約や電子申請などの信頼性を確保するため、本書を参考にされたい。
(*1)リモート署名サービスとは、一般にリモート署名事業者のサーバに署名者の署名鍵を設置・保管し、署名者の指示に基づきリモート署名サーバ上で自ら(署名者)の署名鍵で電子署名を行うサービスのことをいう。
-----


目次

Continue reading "JNSA リモート署名ガイドラインを公表していますね。。。"

| | Comments (0)

EUROPOLはそろそろコロナの先を見据えているようですね。。。

こんにちは、丸山満彦です。

ユーロポールは、加盟国の捜査から得られた犯罪情報に基づき、パンデミックの影響を

  • 現在
  • 中期
  • 長期

の3つのフェーズに分けて評価していますね。

また、パンデミック期間中およびパンデミック後の組織犯罪に影響を与える5つの重要要因として、

  • ONLINE ACTIVITIES
    (オンライン活動)
  • DEMAND FOR AND SCARCITY OF CERTAIN GOODS
    (特定商品への需要とその不足)
  • PAYMENT METHODS
    (支払い手段)
  • CRIMINAL USE OF LEGAL BUSINESS STRUCTURES AND MONEY LAUNDERING
    (合法的事業構造の犯罪利用とマネーロンダリング)
  • ECONOMIC DOWNTURN
    (景気後退)
を特定しています。

EUROPOL

・2020.04.30 (News Release) BEYOND THE PANDEMIC - WHAT WILL THE CRIMINAL LANDSCAPE LOOK LIKE AFTER COVID-19?

・2020.04.30 (Reports) BEYOND THE PANDEMIC - HOW COVID-19 WILL SHAPE THE SERIOUS AND ORGANISED CRIME LANDSCAPE IN THE EU

・[PDF]

Continue reading "EUROPOLはそろそろコロナの先を見据えているようですね。。。"

| | Comments (0)

2020.05.01

個人情報保護委員会 新型コロナウイルス感染症対策としてコンタクトトレーシングアプリを活用するための個人情報保護委員会の考え方について

こんにちは、丸山満彦です。

日本の個人情報保護委員会からもやっと、コンタクト・トレーシング・アプリケーションに関する考え方が出てまいりました。。。

個人情報保護委員会

・2020.05.01 新型コロナウイルス感染症対策としてコンタクトトレーシングアプリを活用するための個人情報保護委員会の考え方について

・[PDF] 報道発表

内容的には、どうですかね。。。

Continue reading "個人情報保護委員会 新型コロナウイルス感染症対策としてコンタクトトレーシングアプリを活用するための個人情報保護委員会の考え方について"

| | Comments (0)

オーストラリア電力業界と政府のサイバーセキュリティ演習の概要

こんにちは、丸山満彦です。

オーストラリア・サイバーセキュリティ・センターが、2019年11月に二日かけて実施した電力業界と政府のサイバーセキュリティ演習の概要を公表していますね。運用演習と戦略的議論の演習の2つが行われたようですね。

Autoralian Cyber Security Centre

・2020.04.30 National cyber security exercises for Australia’s electricity industry 

演習の目的は、電力事業に影響を与える重大なサイバー事案に対する業界と政府の協調した対応の強化のようですね。

戦略的議論の演習には、電力(23組織)、政府機関から25人、運用演習には、電力(32組織)、政府機関から560人が参加したようです。

演習では、以下のことが議論されたようです。

  • 外部への注意喚起とサイバーセキュリティインシデントの報告
  • 連絡調整
  • インシデント対応能力と管理
  • 脅威情報を含む情報共有
  • 情報技術・運用技術
  • パブリックメッセージ調整
  • 復旧
  • 役割と責任

 

| | Comments (0)

高橋先生の「コロナウイルス(Covid-19)とGDPR (26) コンタクトトレーシングアプリの要求事項を整理する」はよく整理されている!

こんにちは、丸山満彦です。

高橋先生の「コロナウイルス(Covid-19)とGDPR (26) コンタクトトレーシングアプリの要求事項を整理する」は本当によく整理されているので一読をお勧めします!

IT Law

・2020.05.01 コロナウイルス(Covid-19)とGDPR (26) コンタクトトレーシングアプリの要求事項を整理する

| | Comments (0)

Cybersecurity成熟度モデル認証制度は普及するか、しないか・・・

こんにちは、丸山満彦です。

このブログでも取り上げたことがあるのですが、サイバーセキュリティ成熟度モデル認証制度(Cybersecurity Maturity Model Certification:CMMC)が注目されていますが、元軍関係者のFrank Kendall氏がForbesに寄稿している記事が興味深いです(思いっきり否定的です(^^))。

Forbes

・2020.04.29 Cybersecurity Maturity Model Certification: An Idea Whose Time Has Not Come And Never May by Frank Kendall

極めて常識的な意見のような気もします・・・

-----
More adjustments are needed: Compliance auditing and incentives should be strengthened, self-certification by industry isn’t reliable enough, standards need to be better defined and more consistently applied, and standards should be tailorable based on the type of information the firm possesses and the damage theft or destruction of that information would entail.
-----
準拠性監査とインセンティブを強化すべきであり、産業界による自己認証は十分な信頼性がなく、基準をより明確に定義し、より一貫性を持って適用する必要があり、基準は企業が保有する情報の種類と、その情報の盗難や破壊がもたらすであろう損害に基づいて調整可能なものにすべきである。
-----

とか

-----
Determining whether or not a contractor is qualified to bid on a government contract is, in my view, an inherently governmental function. Under CMMC, however, a new bureaucracy, created outside of government, takes on that role. The new bureaucracy consists of an independent non-profit Accreditation Body (for which a Board of Directors has already been appointed) whose principle function is to approve and oversee Assessment Organizations that in turn employ and field licensed Assessors of the CMMC levels for companies wishing to bid on or be sub-contractors on Defense Department contracts. How Assessment Organizations will be accredited to field licensed Assessors is a mystery, including to the Accreditation Body itself.
-----
請負業者が政府の契約に入札する資格があるかどうかを決定することは、私の考えでは、本質的には政府の機能である。しかしCMMCの下では、政府の外に作られた新しい官僚機構がその役割を担うことになる。この新しい官僚機構は、独立した非営利の認定機関(すでに理事会が任命されている)で構成されており、その主な機能は、国防総省の契約の入札や下請けを希望する企業のために、CMMCレベルのライセンスを受けた査定員を雇用し、現場に配置する査定機関を承認し、監督することにある。評価機関がどのようにして現場でライセンスを受けた評価者に認定されるのかは、認定機関自身も含めて確定していない。
-----




まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.19 COVID-19によりDODのサイバーセキュリティ認証(CMMC)の開始が遅れる?
・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)
・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

 

 

 

| | Comments (0)

« April 2020 | Main | June 2020 »