« October 2020 | Main

November 2020

2020.11.26

ENISA 認証をサポートする規格

こんにちは、丸山満彦です。

ENISAから認証をサポートする規格に関する報告書が公開されていますね。。。

■ ENISA

・2020.11.24 Standards Supporting Certification

・[PDF

この報告書では、EUのサイバーセキュリティ認証制度の候補として発展させる可能性のあるフレームワーク、制度、基準を持つ

  1. IoT
  2. クラウドインフラとサービス
  3. 金融セクター脅威ベースインテリジェンス
  4. 電子カルテ
  5. 適格トラストサービス

の5つの分野についての基準を分析し、ギャップを特定し、これらのギャップにど標準化団体がどのように対処できるか、また、利用可能な標準をどのように適応させて、将来のEUサイバーセキュリティ認証制度の基礎を形成する可能性があるかについての提言を行っているということです。。。

 


■ 参考 (一部ですが・・・)

[IoT]

Eurosmmart

Eurosmart IoT Certification Scheme

・・TR-E-IOT-SCS-PART-1

E-IoT-SCS Certification Scheme Process & Policy - This document defines the policies and processes that govern the IoT device certification scheme.

・・TR-E-IOT-SCS-PART-2

E-IoT-SCS Generic Protection Profile - This document is a generic representation of common security requirements on IoT devices. It is based on a security risk analysis approach of an IoT Device operating in a typical infrastructure without considering a specific type of data or a context for risk calculation. The main output of this document is a list of security goals and requirements qualifying the need to counter security threats identified on a typical IoT device

・・TR-E-IOT-SCS-PART-3

E-IoT-SCS Evaluation Methodology - Document defining the evaluation activities to be performed by an evaluator and links between them in order to conduct properly an evaluation. It lists evaluation evidences required to perform actions as defined in the security assurance requirements. It defines way to report evaluation results in Evaluation technical report and observation report. It also provides rules to define verdict and criteria of failure.

・・TR-E-IOT-SCS-PART-4

CABs Agreement - Guidelines listing the rules for setting up agreement between CABs and Certification Scheme stakeholders (e.g. other CABs – CAB reviewer, CAB evaluator, NABs, etc.)

・・TR-E-IOT-SCS-PART-5

CABs Accreditation Policy - Guidelines describing policy for CABs accreditation

 

[金融セクター脅威ベースインテリジェンス]

Europian Central Bank

TIBER-EU

・・2018.08 [PDF] Framework - Services Procurement Guidelines

・・2018.12 [PDF] White Team Guidance - The roles and responsibilities of the White Team in a Threat Intelligence-basedEthical Red Teaming test

・・2020.07 [PDF] Guidance for Target Threat Intelligence Report

・・2020.07 [PDF] Guidance for the Red Team - Test Plan

・・2020.08 [PDF] Guidance for the Red Team - Test Report

・・2020.08 [PDF] Guidance for the TIBER-EU Test Summary Report

Template

・・2020.07 [PDF] Scope Specification Template

・・2020.07 [PDF] TIBER-EU Attestation Template

Continue reading "ENISA 認証をサポートする規格"

| | Comments (0)

2020.11.25

米国 国土安全保障省 国土安全保証諮問委員会の最終報告書(バイオメトリックス、経済安全保障、緊急技術とか・・・)

こんにちは、丸山満彦です。

国土安全保障諮問委員会の2020.11に公表された最終報告書を中心にいくつかまとめておきます・・・

U.S. Department of Homeland Security - Homeland Security Advisory Council

・経済安全保障
・2020.11.16 [PDF] 
Final Report of the Economic Security Subcommittee

・ICTリスク低減
・2020.11.16 [PDF]  Final Report of the ICT Risk Reduction Subcommittee

・バイオメトリクス
・2020.11.13 [PDF]  Final Report of the Biometrics Subcommittee

過去分

・信仰に基づくコミュニティを狙った暴力の防止
・2019.12.17 [PDF]  Final Report of the Preventing Targeted Violence Against Faith-Based Communities Subcommittee

・州、地方、部族、領地のサイバーセキュリティ
・2020.04.21 [PDF]  State, Local, Tribal, Territorial Cybersecurity Final Report


Dhs


米国政府のセキュリティ対応について、経済産業省が過去(2018.03)に整理していますね。。。

● 経済産業省

・2018.03 [PDF] 調査報告書 平成 29 年度サイバーセキュリティ経済基盤構築事業 (米国から見た諸外国のサイバー空間における能力等の実態に関する調査)


 

Continue reading "米国 国土安全保障省 国土安全保証諮問委員会の最終報告書(バイオメトリックス、経済安全保障、緊急技術とか・・・)"

| | Comments (0)

2020.11.24

フェイク画像はここまで来たのか・・・ (The New York Times)+IDF辻井先生のコラム

こんにちは、丸山満彦です。

これ、もはや本物とわからないし、スライドバーで色々な顔を作れる。。。ここまで来たら、真贋判定機も同時にリリースしてもらわないと。。。

● The New York Times

・2020.11.21 Artificial Intelligence Fake People Faces 

Designed to Deceive: Do These People Look Real to You? b

 

これから通信ソフトでは、好きな顔、声、言語等の組み合わせで複数のアバターの登録ができるようになるかもですね。。。ネット上では本当の自分というものをどう定義したら良いやら・・・

特に自分がやっていないことを証明するのが難しくなりますね。。。

 

■ 参考

● デジタル・フォレンジック研究会

・2020.11.23 第641号コラム:「暗号学者の視た理念と現実(天国からの恩師のご下問に応えて)―『楕円曲線暗号から情報セキュリティ総合科学まで』」 by 辻井重男 [wikipedia]

STR(Short Tandem Repeat)という、センシティブな個人情報は含まないDNA情報を公開鍵暗号の中の秘密鍵に秘密に内蔵させるという方式

というのは、自分がやったことの証明には使えそうですね。。。

このコラム面白いです。

シャノン・染谷の標本化定理」の話と「五月みどり」が・・・

あと、板倉征男先生の話も出てきますね。。。まもなくなくなってから10年ですね。。。

ネットの信頼性についてはちょっと考えないとですね。。。

Fig_20201124102401

| | Comments (0)

2020.11.23

Europol, UNICRI, Trendmicro 犯罪者もAIを活用!(ディープフェイクだけではない)

こんにちは、丸山満彦です。

Europolと国連の犯罪研究所であるUnited Nations Interregional Crime and Justice Research Institute (UNICRI) [wikipedia]がTrendmicroの協力を得て、Malicious Uses and Abuses of Artificial Intelligence (AIの悪意ある利用とAIの悪用)という報告書を出していますね。。。

Europol

・2020.11.19 NEW REPORT FINDS THAT CRIMINALS LEVERAGE AI FOR MALICIOUS USE – AND IT’S NOT JUST DEEP FAKES

Europol, UNICRI and Trend Micro uncover current and future threats of AI and how to combat them

・・[PDF] Malicious Uses and Abuses of Artificial Intelligence

 

リコメンデーションとして、

  • 犯罪と戦うツールとしてのAI技術を利用する
  • 防御技術の開発を促進するための研究を継続する
  • 安全なAI設計フレームワークを促進し、開発する
  • サイバーセキュリティ目的でのAIの使用に関して政治的な美辞麗句を辞める
  • 官民パートナーシップを活用し、学際的な専門家グループを設立する

という感じでしょうか・・・

内容を見出しレベルで書き出すと・・・

仮章番 原文 仮訳
[1] Introduction 序章
[2]  The Present State of Malicious Uses and Abuses of AI  AIの悪意ある利用とAIの悪用の現状
[2-1] AI Malware AIマルウェア
[2-2] AI Malware at Large 大規模なAIマルウェア
[2-3] Abusing AI Cloud Services AIクラウドサービスの悪用
[2-4] Abusing Smart Assistants スマートアシスタントの悪用
[2-5] AI-Supported Password Guessing AIに支援されたパスワード推測
[2-6] AI-Supported CAPTCHA Breaking AIに支援されたCAPTCHA突破
[2-7] AI-Aided Encryption AI援用暗号化
[2-8] Trends Found on Underground Forums 地下フォーラムで見つけたトレンド
[2-8-1] Human Impersonation on Social Networking Platforms ソーシャル・ネットワーキング・プラットフォーム上での人間のなりすまし
[2-8-2] Online Game Cheats オンラインゲームのチート
[2-8-3] AI-Supported Hacking AIに支援されたハッキング
[2-8-4] AI-Supported Cryptocurrency Trading AIに支援された暗号通貨取引
[2-8-5] Social Engineering ソーシャルエンジニアリング
[3] Future Scenarios of Malicious Uses and Abuses of AI AIの悪用と悪用の将来シナリオ
[3-1] Social Engineering at Scale スケールアップしたソーシャルエンジニアリング
[3-2] Content Generation コンテンツ生成
[3-3] Content Parsing コンテンツ解析
[3-4] Improved Social Profile Aging for Forums and Botnets フォーラムやボットネットのためのソーシャル・プロフィール・エイジングの改善
[3-5] Robocalling v2.0 ロボコーリング v2.0
[3-6] Criminal Business Intelligence 犯罪者ビジネスインテリジェンス
[3-7] Abusing Image Recognition Systems 画像認識システムの悪用
[3-7-1] Autonomous Cars 自律走行車
[3-7-2] Drones, Connected Skies, and the Internet of Flying Things ドローン、コネクテッドスカイ、空を飛ぶIoT
[3-8] Escaping an Image Recognition System 画像認識システムの回避
[3-9] Remote Machine Learning Sets Pollution 汚染させられた遠隔機械学習
[3-9-1] Security Algorithms セキュリティアルゴリズム
[3-9-2] AI-Enabled Stock Market Manipulation AIを活用した株式市場の操作
[3-10] Business Process Compromise and Injection of Safelisted Telemetry ビジネスプロセスの汚染と安全なテレメ遠隔測定の注入
[3-11] Insider Attacks: Banking and Trading Floor AI インサイダー攻撃:銀行と取引所のAI
[3-12] Local Library Poisoning by Resident Malware 常駐マルウェアによる地域の図書館中毒
[3-13] AI-Supported Ransomware AIに支援されたランサムウェア
[3-14] Escaping AI Detection Systems AI検出システムの回避
[3-14-1] Fraud and Voice Recognition in Banks 銀行における不正行為と音声認識
[4] Recommendations 勧告
[5] Case Study: A Deep Dive Into Deepfakes ケーススタディ:ディープフェイクスへのディープダイブ
[5-1] Deepfakes ディープフェイクス
[5-2] The Technology Behind Deepfakes ディープフェイクスを支える技術
[5-2-1] Deepfake Creation: Apps and Tools ディープフェイク作成:アプリとツール
[5-3] The Current State of the Abuse of Deepfakes ディープフェイクスの悪用の現状
[5-4] Potential Reasons for the Low Rate of Adoption of Deepfakes ディープフェイクスの採用率が低い潜在的な理由
[5-5] Some Possible Future Threats of Deepfakes ディープフェイクの将来的な脅威のいくつかの可能性
[5-6] Countering Deepfakes ディープフェイクに対抗する
[5-6-1] Deepfake Detection ディープフェイクの検出
[5-6-2] Deepfake Policies ディープフェイクポリシー
[5-6-3] Recommendations and Considerations for Further Research さらなる研究への提言と考察
[6] Conclusion 結論
[7] Appendix 付録
[7-1] YARA Rules for AI-Powered Malware Detection AIを活用したマルウェア検出のためのYARAルール
[8] References 参考文献

Eut 

 

Continue reading "Europol, UNICRI, Trendmicro 犯罪者もAIを活用!(ディープフェイクだけではない)"

| | Comments (0)

2020.11.22

INTERPOL, Europol, バーゼルガバナンス研究所 「第4回犯罪金融と暗号通貨に関する世界会議」の7つの推奨事項

こんにちは、丸山満彦です。

INTERPOL, Europol, バーゼルガバナンス研究所 [wikipedia]が共催で2020.11.18-19に「第4回犯罪金融と暗号通貨に関する世界会議」を開催し、暗号通貨犯罪の動向と調査、闇市場における犯罪の流れと操作の探求、ランサムウェア等の事例研究、仮想資産を巻き込んだマネーロンダリング、暗号通貨を利用した薬物収益の移転などが議論され、7つの推奨事項が公表されていますね。

INTERPOL

・2020.11.20 Shaping an international response against criminal finances and misuse of cryptocurrencies

International conference focuses on cross-sector solutions against criminal finances and cryptocurrency-facilitated crime

Europol

・2020.11.20 OVER 2 000 PARTICIPANTS FROM 132 COUNTRIES LOGGED ON FOR THE 4TH GLOBAL CONFERENCE ON CRIMINAL FINANCES AND CRYPTOCURRENCIES

・[PDF] Recommendations - 4th Global Conference on Criminal Finances and Cryptocurrencies

Basel Institute on Governance 

・2020.11.20 Global Conference on Criminal Finances and Cryptocurrencies closes with 7 key recommendations for fighting crypto-enabled crime

 

7つの推奨事項はEuropolのウェブページにありますが、次の通りとなりますね。

A. Adopt  tools to extend capabilities on how to investigate Virtual Assets  A. 仮想資産の調査方法について機能を拡張するためのツールの採用
B. Apply rules to regulate Virtual Asset Service Providers to prevent money laundering B. マネーロンダリング防止のための仮想資産サービス事業者の規制ルールの適用
C. Apply the strategy to “Follow the Money” C. Follow the Money への戦略の適用
D. Strengthen international cooperation D. 国際協力の強化
E. Adopt a multidisciplinary approach E. 学際的なアプローチの採用
F. Promote new technologies applied to the financial investigation on Virtual Assets F. 仮想資産の財務調査に適用される新技術の推進
G. Adapt investigation strategies G. 調査戦略の適応

Ieb_20201121230001

 

 

Continue reading "INTERPOL, Europol, バーゼルガバナンス研究所 「第4回犯罪金融と暗号通貨に関する世界会議」の7つの推奨事項"

| | Comments (0)

2020.11.21

MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

こんにちは、丸山満彦です。

MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

  1. 民間宇宙船のサイバー攻撃を中心とした見方とその対策について
  2. 宇宙情報共有のためのフレームワーク
  3. 宇宙交通を把握するブロックチェーン(BESTA):宇宙交通の自動管理を支える異常行動の発見
  4. 小型衛星のためのサイバーベストプラクティス
  5. 複雑で動的な軌道外宇宙運用の図式化

● MITRE

・2020.11 A Cyber Attack-Centric View of Commercial Space Vehicles and the Steps Needed to Mitigate

Companies should implement a robust monitoring strategy to detect and mitigate cyber attacks. Companies should share information with the Space ISAC to ensure the safety of space for all.

・[PDF]

・2020.11 A Space Information Sharing Framework

Information sharing between space operators is needed to ensure joint safety-of-operations. It must balance between sharing for necessary preservation of the space operating environment and protecting sensitive mission information.

・[PDF]

・2020.11 Blockchain Enabled Space Traffic Awareness (BESTA): Discovery of Anomalous Behavior Supporting Automated Space Traffic Management

MITRE explores using blockchain to improve provenance of STM information to support automated discovery (and safeguarding evidence) of anomalies, supporting increased STM automation. An international multi-tier information sharing model is proposed.

・[PDF]

・2020.11 Cyber Best Practices for Small Satellites

To address principles described in the U.S. government’s Space Policy Directive Five, a set of "resilient space best practices" guidelines should be established. In this paper, we tailor the principles used in these other applications to the space domain.

・[PDF]

・2020.11 Charting Complex, Dynamic and Extra-Orbital Space Operations

How can we preserve and secure space for the benefit of all? Using the operational decisions that will confront space operators, we identify essential services and information exchanges for a complex environment.

・[PDF]

 


| | Comments (0)

米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

こんにちは、丸山満彦です。

U.S. GAOが国防省のJoint Cyber Warfighting Architecture (JCWA) について相互運用性目標を定義することを推奨していますね。。。

● U.S. GAO

・2020.11.19 DEFENSE ACQUISITIONS: Joint Cyber Warfighting Architecture Would Benefit from Defined Goals and Governance

Joint Cyber Warfighting Architecture (JCWA) は、次の5つの要素からなっています。

  1. Persistent Cyber Training Environment; PCTE - Training, assessment and mission rehearsal
  2. Joint Cyber Command and Control - Decision-making
  3. Joint Common Access Platform - Mission enablement
  4. Sensors - Situational awareness
  5. Cyber Tools - Operations

 

Rid14_image2

 

推奨事項は次の2つ

  1. Recommendation: The Secretary of Defense should direct the Commander, U.S. Cyber Command, to define and document Joint Cyber Warfighting Architecture goals for interoperability requirements to help synchronize acquisition efforts. 

  2. Recommendation: The Secretary of Defense should direct the Commander, U.S. Cyber Command, to further develop the Joint Cyber Warfighting Architecture governance structure by defining and documenting the roles and responsibilities of the Joint Cyber Warfighting Architecture Integration Office and Joint Cyber Warfighting Architecture Capabilities Management Office. 

 

■ 参考

2020年3月4日にサイバー軍司令官のナカソネ氏の上院での証言でJCWAに触れられていますね。。。

● U.S. Congress

・2020.03.04 STATEMENT OF GENERAL PAUL M. NAKASONE COMMANDER UNITED STATES CYBERSPACE COMMAND BEFORE THE HOUSE COMMITTEE ON ARMED SERVICES SUBCOMMITTEE ON INTELLIGENCE AND EMERGING THREATS AND CAPABILITIES

Continue reading "米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。"

| | Comments (0)

2020.11.20

欧州データ保護委員会-第42回本会議、第41回本会議(標準契約条項)

こんにちは、丸山満彦です。

プライバシーシールド無効の判決を受けて色々と検討をしていたEDPBの動き。。。2つのSCC(標準契約条項)案が開示されたりしていますので、参考まで・・・

● European Data Protection Board: EDPB

・2020.11.20 European Data Protection Board - 42nd Plenary session: Presentation of two new sets of SCCs & EDPB adopts statement on ePrivacy Regulation

・2020.11.11 European Data Protection Board - 41st Plenary session: EDPB adopts recommendations on supplementary measures following Schrems II

EU域内の管理者と処理者の間の標準契約条項案

・2020.11.12 Data protection - standard contractual clauses between controllers & processors located in the EU (implementing act)

・・ [PDF] Draft implementing decision - Ares(2020)6654429

・・ [PDF] Annex - Ares(2020)6654429

 

個人データをEU以外に転送するための標準契約条項案

・2020.11.12 Data protection - standard contractual clauses for transferring personal data to non-EU countries (implementing act)

・・[PDF] Draft implementing decision - Ares(2020)6654686

・・[PDF] Annex - Ares(2020)6654686

 

Edpb 

■ 参考

まるちゃんの情報セキュリティ気まぐれ日記

・2020.08.13 プライバシーシールド無効の判決を受けて、米国商務長官と欧州司法長官が共同プレス声明していますね

・2020.07.26 欧州データ保護委員会がプライバシーシール無効判決についてのFAQを公開していますね

・2020.07.16 EU-USのプライバシーシールドを無効にしま〜す by EU裁判所

| | Comments (0)

2020.11.19

米国 2020年IoTサイバーセキュリティ改善法が上院を通過

こんにちは、丸山満彦です。

米国では、2020.11.17にIoTサイバーセキュリティ改善法 (IoT Cybersecurity Improvement Act of 2020)が上院を通過していますね。。。元々は2019.03.11に提出されています。。。

● Congress

概要については、

Summary: H.R.1668 — 116th Congress (2019-2020)

この法案は、米国標準技術研究所(NIST)に政府機関が所有または管理する情報システムに接続されたIoTデバイスの適切な使用と管理に関する連邦政府の標準とガイドラインを作成するよう指示していますね。その他、制定から180日以内に、情報システムに関連するセキュリティの脆弱性の開示プロセスに関連する基準とガイドラインを確立するように要求していますね。。。

法案文

https://www.congress.gov/bill/116th-congress/house-bill/1668/text

・Wordにしてみました。。。[word]


スポンサー

Robin Kelly

 

Us-contress

 

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている?

 

Continue reading "米国 2020年IoTサイバーセキュリティ改善法が上院を通過"

| | Comments (0)

自民党デジタル社会推進本部がデジタル庁についての第一次提言を平井卓也デジタル改革担当相に手交

こんにちは、丸山満彦です。

日本ではデジタル庁に向けて自民党のデジタル社会推進本部(本部長:下村博文政調会長)が、「デジタル庁」についての提言を平井卓也デジタル改革担当相に提出(手交)したことが話題になっていますね。。。

ここは、メール送信でも、クラウド上での共有でもなく、マスクをして手交。。。全てをデジタル化する必要はないですからね。。。儀式という感じですかね。。。

● You Tube - 平井たくや

・2020.11.18 (You Tube) 自民党デジタル社会推進本部提言手交_20201118 (5:49)

● Business Insider

・2020.11.18 「マイナンバー普及には3倍以上のスピードが必要」自民党がデジタル庁創設へ提言提出、全41項目……主なポイントとは? by 小林 優多郎 [編集部]

主なポイント

● 政府+自治体関係

  • 内閣直属で、強い権限を有した常設組織とし、予算一括計上と執行権限、十分な機構・定員を付与
  • デジタル庁主導で、各府省や地方公共団体で整備・運用・検討されている情報システムについて、検討案や見直しを設定
  • 個人・法人に対し、各府省など地方公共団体共通の行政サービス電子調達ポータルを提供
  • マイナンバーの担う役割の整理。マイナンバーカードの利便性の向上。標準的なAPIを提供し、民間事業者が提供するサービスとの連携を実現
  • 個人情報保護法、行政機関個人情報保護法、独立行政法人個人情報保護法の1本化
  • 内閣サイバーセキュリティセンター(NISC)、独立行政法人情報処理推進機構(IPA)、地方公共団体情報システム機構(J-LIS)などの関係機関の役割を明確化、必要であれば組織の見直し
  • 準備室の段階から多様な経験を有する民間などの専門家を雇用。年齢や官民にとらわれない人材配置を行なう。
  • デジタル庁においては官民問わず適材適所の人材配置を行う。
  • 国家公務員全体の採用、育成、働き方の見直し。

● マイナンバー関係

  • 使いにくい点を是正。(複数のパスワード設定、5年おきの公的個人認証の更新、10年おきのマイナンバーカードの更新、ビニールケースでマイナンバーを隠す運用等)
  • “マイナンバーカードと健康保険証との一体化”に伴う健康保険証発行義務の緩和および将来的な廃止
  • 預貯金口座へのマイナンバー付番
  • スマートフォンへのマイナンバーカード機能の搭載

予算と人事の一元化ですかね。。。お得意の。。。一元化は集中リスクが出ますから、トップがよっぽどおつむがよくないと大変なことになりますね。。。

まぁ、期待しておきましょうか。。。



■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.07.07 自民党サイバーセキュリティ対策推進議員連盟の提言

・2012.02.27 自民党 情報セキュリティに関する提言

・2011.12.31 自民党が構想するサイバーセキュリティ対策

| | Comments (0)

2020.11.18

MITRE : INTELLIGENCE AFTER NEXT: THE FUTURE OF THE IC WORKPLACE (自宅でインテリジェンス?)

こんにちは、丸山満彦です。

MITREが「INTELLIGENCE AFTER NEXT: THE FUTURE OF THE IC WORKPLACE」という報告書を出しています。COVID-19の環境の中でインテリジェンスも機密防御区画 (sensitive compartmented information facilities; SCIFs)の外部でできる業務は外でする等の配慮が必要となっている、また優秀な人材を惹きつけるような施策も必要であるという話ですかね。。。

インテリジェンスも多くの場合は、情報ソースも公開情報ですから、収集という面をうまく切り出せれば在宅も可能ですよね。。。

● MITRE

・2020.11 TELLIGENCE AFTER NEXT: THE FUTURE OF THE IC WORKPLACE

・・[PDF]

 


| | Comments (0)

2020.11.17

NIST SP 800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework)

こんにちは、丸山満彦です。

NIST SP 800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework) が確定しましたね。

SP 800-181本文はフレームワークで、詳細な内容は補足のエクセルです。エクセルの方はこれから更新されていくようですね。

主要な変更案は。。。

  • サイバーセキュリティ業務を行う多様な人材をより包括的にするための名称の変更、 
  • 重要な用語の定義と正規化
  • 俊敏性、柔軟性、相互運用性、モジュール性を促進する原則
  • コンピテンシーの導入

のようですね。。。

● NIST - ITL

・2020.11.16 (PUBLICATIONS)  SP 800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework)

・[PDF]  SP 800-181 Rev. 1

補足資料:

NICE Framework homepage (web)

・・Employers

・・Education and Training Providers

・・Learners

NICE Framework Supplemental Material

・・Reference Spreadsheet (XLSX)

Blog

・2020.11.16 "Back to the Basics: Announcing the New NICE Framework" (web)

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.11.17 NIST SP 800-181 Rev. 1 (Draft) Workforce Framework for Cybersecurity (NICE Framework)

 

Continue reading "NIST SP 800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework)"

| | Comments (0)

NIST パブコメ SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem 遠隔患者監視エコシステムのセキュリティ確保

こんにちは、丸山満彦です。

NIST が遠隔患者監視エコシステムのセキュリティ確保に関するガイドラインとして、SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem を公開し、意見を募集していますね・・・

日本でも遠隔医療等の導入の検討も進んでいますが、参考になると思います。全てを遠隔でするわけにはいかないですが、病院までの交通の便や通院による感染リスクを考えた場合、選択肢として必要なんでしょうね。。。

● NIST - ITL

・2020.11.16 SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem

Draft SP 1800-30 volumes and Project homepage

  • [PDF] SP 1800-30A-C
  • [PDF] SP 1800-30A: Executive Summary 
  • [PDF] SP 1800-30B: Approach, Architecture, and Security Characteristics 
  • [PDF] SP 1800-30C: How-To Guides 

 


目次

1 Summary
1.1 Challenge
1.2 Solution
1.3 Benefits

2 How to Use This Guide
2.1 Typographic Conventions

3 Approach
3.1 Audience
3.2 Scope
3.3 Assumptions
3.4 Risk Assessment
 3.4.1 Threats
 3.4.2 Vulnerabilities
 3.4.3 Problematic Data Actions for Privacy
 3.4.4 Risk
 3.4.5 Mitigating Risk
3.5 Security Control Map
3.6 Technologies

4 Architecture
4.1 Layering the Architecture
4.2 High-Level Architecture Communications Pathwaysp
4.2.1 Cellular Data Pathways
4.2.2 Broadband Pathways
4.3 Data and Process Flows
4.4 Security Capabilities
 4.4.1 Telehealth Platform Provider
 4.4.2 Risk Assessment Controls
 4.4.3 Identity Management, Authentication, and Access Control
 4.4.4 Data Security
 4.4.5 Anomalies and Events and Security Continuous Monitoring
4.5 Final Architecture

5 Security and Privacy Characteristic Analysis
5.1 Assumptions and Limitations
5.2 Pervasive Controls
5.3 Telehealth Platform Providers
5.4 Risk Assessment (ID.RA and ID.RA-P)
5.5 Identity Management, Authentication, and Access Control (PR.AC and PR.AC-P) Protective Technology (PR.PT-P)
5.6 Data Security (PR.DS and PR.DS-P)
5.7 Anomalies and Events, Security Continuous Monitoring (DE.AE, DE.CM) and Data Processing Management (CT.DM-P)

6 Functional Evaluation
6.1 RPM Functional Test Plan
 6.1.1 RPM Functional Evaluation
 6.1.2 Test Case: RPM-1
 6.1.3 Test Case: RPM-2
 6.1.4 Test Case: RPM-3
 6.1.5 Test Case: RPM-4
 6.1.6 Test Case: RPM-5
 6.1.7 Test Case: RPM-6
 6.1.8 Test Case: RPM-7
 6.1.9 Test Case: RPM-8
 6.1.10 Test Case: RPM-9

7 Future Build Considerations

Appendix A List of Acronyms

Appendix B References

Appendix C Threats and Risks
C-1 Discussion on the Risk Management Framework
C-2 Information and Information System Categorization
C-3 Risk Context
C-4 Threats
C-5 Threat Sources
C-5.1 Business Processes
C-6 Vulnerabilities
C-7 Threat Modeling
 C-7.1 Modeling Threats to the Patient Home
 C-7.2 Linking Threats to Adverse Actions

Appendix D Problematic Data Actions and Risks
D-1 Privacy Risk Assessment Methodology (PRAM)
D-2 Problematic Data Actions and Mitigations
 D-2.1 Privacy Risk 1: Unauthorized individuals may access data on devices 
 D-2.2 Privacy Risk 2: Biometric device types can indicate patient health problems that individuals would prefer not to disclose beyond their healthcare provider
 D-2.3 Privacy Risk 3: Incorrect data capture of readings by devices may impact quality of patient care 
 D-2.4 Privacy Risk 4: Aggregated data may expose patient information
 D-2.5 Privacy Risk 5: Exposure of patient information through multiple providers of system components
D-3 Mitigations Applicable Across Various Data Actions

Appendix E Future Consideration: Applying Micro169 Segmentation Solutions for RPM Solutions


Continue reading "NIST パブコメ SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem 遠隔患者監視エコシステムのセキュリティ確保"

| | Comments (0)

2020.11.16

ロシアと北朝鮮のハッカーがCOVID 19のワク​​チン研究者からデータを盗もうとしている by Microsoft

こんにちは、丸山満彦です。

ロシアと北朝鮮と思われる攻撃者がCOVID 19のワクチン研究者等のデータを盗もうとしている行動をマイクロソフトが検出しているようですね。

具体的には、カナダ、フランス、インド、韓国、米国の大手製薬会社やワクチン研究者が含むCOVID 19関連の研究組織等に対して、Strontium(ロシア)、 Zinc、Cerium(北朝鮮)の攻撃者が侵入を試みていたのを、マイクロソフトが発見し阻止したということのようで、マイクロソフトが関与していない組織であっても、COVID 19関連の研究関連組織のメンバーは気をつけるようにということだと思います。

Strontium (Fancy Bear [wikipedia]) は、ログイン認証情報を盗むためにpassword spray と brute force login attempt を使ってきたとしています。Zinc (Lazarus_Group[wikipedia], HIDDEN COBRA [CISA]) は資格情報を盗むために採用担当者を装って仕事内容を捏造したメッセージを送信する等、スピアフィッシングを使ったとしていますね。Ceriumは世界保健機関(WHO)の代表者を装ったスピアフィッシングのメールを送ったようです。

どの国の誰が問題ということよりも、このような攻撃について直接の関係者は当然として、サイバーセキュリティに関わる関係者は、対応すべきだということだろうと思います。


● Microsoft blog

・2020.11.13 Cyberattacks targeting health care must stop by Tom Burt 

 

 

 

| | Comments (0)

2020.11.15

ENISAが鉄道事業向けのセキュリティガイドを公表していますね。

こんにちは、丸山満彦です。

ENISAが鉄道事業向けのセキュリティガイドを公表していますね。ENISAとERAが共同で鉄道事業のセキュリティについてのウェビナーも開催していましたね。後日ERAのYouTube chanelで公開されるようです。。。

セキュリティガイドでは、欧州の各加盟国におけるネット・情報システム指令 (Network and Information System Directive)の施行に関連して、鉄道部門におけるサイバーセキュリティ対策の実施レベルを調査し、重要な鉄道サービスの概要を紹介した上で最後に、鉄道運行管理システムのサイバーセキュリティに関するいくつかの重要な考慮事項と推奨事項を紹介していますね。。。

● ENISA

・2020.11.13 (PRESS) European Rail: Report unveils challenges and stresses the need for investment in cybersecurity

Basic protection measures are no longer enough. More cybersecurity expertise is needed to build up secure digital capacities for Europe’s rail sector to charge forward.

・2020.11.13 Railway Cybersecurity

This ENISA study regards the level of implementation of cybersecurity measures in the railway sector, within the context of the enforcement of the NIS Directive in each European Member State. It presents a thorough list of essential railway services accompanied by a high level overview of the railway systems they support. Finally, the European Railway Traffic Management System is presented together with some key cybersecurity considerations and recommendations.

・・[PDF] RAILWAY CYBERSECURITY - Security measures in the Railway Transport Sector

原文 仮訳
1. INTRODUCTION 1. 序文
1.1 POLICY AND REGULATORY CONTEXT 1.1 方針と規制の文脈
1.2 STUDY SCOPE 1.2 研究範囲
1.3 STUDY OBJECTIVES 1.3 研究目的
1.4 TARGET AUDIENCE 1.4 想定読者
1.5 METHODOLOGICAL APPROACH 1.5 方法論的アプローチ
1.6 STRUCTURE OF THE REPORT 1.6 報告書の構成
2. THE RAILWAY SECTOR 2. 鉄道セクター
2.1 RAILWAY STAKEHOLDERS 2.1 鉄道所有者
2.1.1 NIS Directive implementation – Authorities 2.1.1 ネット・情報システム指令の実施-当局
2.2 ESSENTIAL RAILWAY SERVICES 2.2 重要な鉄道サービス
2.2.1 NIS Directive Implementation – Essential Services 2.2.1 ネット・情報システム指令の実施 - 必須サービス
2.3 RAILWAY SYSTEMS 2.3 鉄道システム
3. CYBERSECURITY MEASURES 3. サイバーセキュリティ対策
3.1 CYBERSECURITY CHALLENGES 3.1 サイバーセキュリティの課題
3.2 MINIMUM SECURITY MEASURES 3.2 最低限のセキュリティ対策
3.2.1 Governance and ecosystem 3.2.1 ガバナンスとエコシステム
3.2.2 Protection 3.2.2 保護
3.2.3 Defence 3.2.3 防衛
3.2.4 Resilience 3.2.4 レジリエンス
4. CYBERSECURITY IN ERTMS 4. 欧州鉄道運行システムにおけるサイバーセキュリティ
4.1 ERTMS DEFINITION AND ARCHITECTURE 4.1 欧州鉄道運行システムの定義と構造
4.2 CYBERSECURITY ON ERTMS 4.2 欧州鉄道運行システムのサイバーセキュリティ
5. CONCLUSIONS 5. 結論
5.1 SECURITY MEASURES 5.1 セキュリティ対策
5.2 CONSIDERATIONS 5.2 考察
5.3 NEXT STEPS 5.3 次のステップ

 


● ERA (Europa Union Agency for Railways) 

・2020.11.13 Free webinar: Cybersecurity in Railways

・・YouTube Channel

・関連文書

・・[PDF] ERA activities on cybersecurity 

・・[PDF] ENISA activities for rail 

 

EU AgencyForRailways (@ERA_railways) | Twitter

Continue reading "ENISAが鉄道事業向けのセキュリティガイドを公表していますね。"

| | Comments (0)

2020.11.14

防衛省 防衛研究所 「中国安全保障レポート2021 ― 新時代における中国の軍事戦略 ―」は中国のサイバー戦略についての章がありますね

こんにちは、丸山満彦です。

防衛省 防衛研究所は2009年から「中国安全保証レポート」を毎年出していますが、今年は「新時代における中国の軍事戦略 」ということで、「情報化戦争」、「サイバー戦略」、「宇宙の軍事利用」「軍民融合発展戦略」の4つですね。。。

● 防衛省 - 防衛研究所

・2020.11.13『中国安全保障レポート2021』を掲載しました。


第 1 章 情報化戦争の準備を進める中国
1 中国軍事戦略の変遷

1)毛沢東時代(1927 1976最終戦争の呪縛と積極防御
2)鄧小平時代(1976 1989最終戦争からの脱却と局地戦争への移行
3)江沢民時代(1989 2004ハイテク条件下での局地戦争
4)胡錦濤時代(2004 2012情報化条件下での局地戦争

2 習近平時代(2012 ~)―情報化戦争、智能化戦争への転換
1)情報化戦争
2)智能化戦争

コラム 情報化戦争・智能化戦争と親和性が高い超限戦

第 2 章 中国のサイバー戦略
1 サイバー戦力の向上を図る中国

1)「情報化」建設を進める人民解放軍
2)戦略支援部隊の任務と組織

2 人民解放軍のサイバー戦に係る認識
1)情報化戦争におけるサイバー作戦
2)人民解放軍のサイバー戦の諸相
3)中国のサイバー戦力の課題と今後の方向性

3
 サイバーセキュリティをめぐる中国の対外行動とその反応
1)サイバー・ガバナンスをめぐる中国の取り組み
2)サイバー空間をめぐる米中関係

第 3 章 中国における宇宙の軍事利用
1 宇宙政策と国防政策の関係

1)宇宙活動の長期目標と軍の位置付け
2)国防政策と部隊運用における宇宙の位置付け

2
 宇宙活動の現状とその軍事的意味合い
1)宇宙システムの運用
2)宇宙利用妨害能力の整備
3)宇宙分野における軍民融合

3 宇宙領域をめぐる国際関係
1)米国との関係
2)そのほかの国際関係

第 4 章 中国の軍民融合発展戦略
1 中国における軍民関係の史的展開

1)改革開放期までの軍民関係
2)改革開放期の軍民関係

2
 習近平政権における軍民融合発展戦略
1)習近平政権の軍民融合の背景
2)軍民融合の政策制度システム
3)軍民融合の組織管理システム
4)軍民融合の業務運用システム
5)軍民融合が直面する課題

3 軍民融合発展戦略に対する国際社会の反応
1)軍民融合による技術移転の懸念
2)欧米における投資規制策の強化

 


年度 副題 テーマ
2021 新時代における中国の軍事戦略 1 情報化戦争の準備を進める中国
2 中国のサイバー戦略
3 中国における宇宙の軍事利用
4 中国の軍民融合発展戦略
2020 ユーラシアに向かう中国 1 中国のユーラシア外交
2 中央アジア・ロシアから見た中国の影響力拡大
3 ユーラシアにおけるエネルギー・アーキテクチャ
2019 アジアの秩序をめぐる戦略とその波紋 1 既存秩序と摩擦を起こす中国の対外戦略
2 中国による地域秩序形成とASEANの対応 ――「台頭」から「中心」へ
3 「一帯一路」と南アジア――不透明さを増す中印関係
4 太平洋島嶼国 ――「一帯一路」の南端
2018 岐路に立つ米中関係 1 中国の対米政策
2 米国の対中政策
3 地域における米中関係の争点
2017 変容を続ける中台関係 1 中国の台湾政策の変遷
2 台湾から見た中台関係
3 米国にとっての台湾問題
4 中台関係の変容と「現状維持」
2016 拡大する人民解放軍の活動範囲とその戦略 1 遠海での作戦能力強化を図る中国海軍
2 空軍の戦略的概念の転換と能力の増大
3 ミサイル戦力の拡充
4 統合的な作戦能力の強化
2014 多様化する人民解放軍・人民武装警察部隊の役割 1 中央国家安全委員会創設とその背景
2 人民武装警察部隊の歴史と将来像
3 人民解放軍による災害救援活動
4 軍事外交としての国連平和維持活動
5 ソマリア沖・アデン湾における海賊対処活動
2013   1 中国の対外危機管理体制
2 中国の危機管理概念
3 危機の中の対外対応
2012   1 「党軍」としての性格を堅持する人民解放軍
2 深化する軍と政府の政策調整
3 軍と政府が連携を深める安全保証政策
4 政策調整の制度化を求める人民解放軍
2011   1 海洋に向かう中国
2 南シナ海で摩擦を起こす中国
3 外洋に進出する中国海軍
4 対外園で発言力を増す人民解放軍
創刊号   1 中国の対外姿勢
2 拡大する活動範囲
3 役割を増す軍事外交
4 進む装備の近代化

 

Continue reading "防衛省 防衛研究所 「中国安全保障レポート2021 ― 新時代における中国の軍事戦略 ―」は中国のサイバー戦略についての章がありますね"

| | Comments (0)

サイバー攻撃と米国憲法

こんにちは、丸山満彦です。

サイバー攻撃(この論文では、コンピュータ・コードを⽤いて、コンピュータ・システムやネットワーク、あるいはそれらの情報を混乱させたり、劣化させたり、破壊したり、操作したりする⾏為、と定義していますが)の行使について大統領と議会の役割分担はどう考えるべきかという話とかもありますね。。。米国の場合は、戦争は議会の承認が必要なようですが、サイバー攻撃は多くの場合は武力の行使となることはないと考えられるようですね。興味深いですが、周辺知識が足りてないので、少しずつお勉強です(^^)

● Lawfare 

・2020.11.12 Cyberattacks and the Constitution

論文 [PDF] [web]

| | Comments (0)

2020.11.13

JIPDEC 第98回JIPDECセミナー 「eシールとは? —内外での活用状況からJIPDECの取組みまで」資料公開

こんにちは、丸山満彦です。

2020.05.14にJIPDECが「適格eシール」制度を始めていますね(プレス)。EUでは、「eIDAS規則」の中のトラストサービスの一部として、電子署名、タイムスタンプとともに、eシールが規定されていますね(第35条-第40条)

そんななk、2020.10.16にJIPDECが第98回JIPDECセミナー 「eシールとは? —内外での活用状況からJIPDECの取組みまで」を開催したわけですが、その時の講演資料が公開されていますね。。。

● JIPDEC 

・2020.10.16 第98回JIPDECセミナー 「eシールとは? —内外での活用状況からJIPDECの取組みまで

EUにおけるeシールとeIDAS規則を巡る動向

株式会社コスモス・コーポレイション 取締役 ITセキュリティ部 責任者
(JIPDEC 客員研究員)濱口 総志 氏

  日本でも制度化が検討されているeシールですが、欧州ではeIDAS規則の施行によって既に法的効力の伴うトラストサービスが利用されています。本講演では、eIDAS規則におけるeシールの定義及び法的効力、その特徴とユースケースの紹介から、現在検討されているeIDAS規則改定の方向性まで説明いたします。

・2020.11.11 講演レポート「EUにおけるeシールとeIDAS規則を巡る動向」

EU eシール用適格証明書の発行と利用事例

GMOグローバルサイン株式会社 プロダクトマネジメント部 部長
漆嶌 賢二 氏

  GMOグローバルサインではEUの認定を受け、EU eIDAS規則で規定された適格eシール署名用の法人向けデジタル証明書を201812月より提供しており、日本国内初のEU eシール用適格証明書をJIPDEC様に提供させていただきました。
 本講演では、簡単に適格eシールについて振り返ると共に、弊社が提供するeシール用適格証明書のプロファイル等の内容、他社との比較、発行プロセス、利用事例について紹介します。

・2020.11.11 講演レポート「EU eシール用適格証明書の発行と利用事例」

「日本版eシール」に関する政府検討状況と自社サービスの検討

株式会社帝国データバンク 業務推進部 ネットサービス課 課長補佐
小田嶋 昭浩 氏

 総務省において平成30年に「プラットフォームサービスに関する研究会」のもと「トラストサービス検討ワーキンググループ」が設置、令和22月の同研究会最終報告書の結論に基づき、「組織が発行するデータの信頼性を確保する制度に関する検討会」が開催され、「日本版eシール」の在り方が議論されています。当該内容、および帝国データバンクで想定した場合の内容も併せてご説明いたします。

・2020.11.11 講演レポート「日本版eシール」に関する検討状況とサービス検討

JIPDECにおけるeシール導入の取組みについて

JIPDEC インターネットトラストセンター 主査 高倉 万記子

・2020.11.11 講演レポート「JIPDECにおけるeシール導入の取組みについて」

| | Comments (0)

2020.11.12

金融庁 「監査基準の改訂に関する意見書」「中間監査基準の改訂に関する意見書 」を公表

こんにちは、丸山満彦です。

金融庁が、「監査基準の改訂に関する意見書」、「中間監査基準の改訂に関する意見書 」を公表しましたね。。。

過去のまるちゃんブログの記事も参考にしてくださいませ。。。

■ 参考

まるちゃんの情報セキュリティ気まぐれ日記

・2020.11.06 日本の監査基準改訂内容がほぼ決まったようですね。。。企業会計審議会総会・第7回会計部会 議事次第

 

● 金融庁

・2020.11.11 監査基準の改訂に関する意見書」及び「中間監査基準の改訂に関する意見書 」の公表について

・[PDF](別紙1)「監査基準の改訂に関する意見書」

・[PDF](別紙2)「中間監査基準の改訂に関する意見書」

・[PDF](別紙3)コメントの概要及びコメントに対する考え方

・[PDF](別紙4)監査基準(抄)新旧対照表

・[PDF](別紙5)中間監査基準(抄)新旧対照表

| | Comments (0)

中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

こんにちは、丸山満彦です。

中国の国家情報セキュリティ標準化技術委員会 (TC260) が「オンライン車予約サービスのデータセキュリティに関するガイド案」について意見募集をしていますね。。。

走行データや走行中の画像を撮っているのでプライバシーの問題は出てきますよね。。。

 

全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

・2020.11.10 关于征求《信息安全技术 网络预约汽车服务数据安全指南》国家标准(征求意见稿)意见的通知

・・[PDF] 关于征求《信息安全技术 网络预约汽车服务数据安全指南》国家标准(征求意见稿)意见的通知.pdf

・・[PDF] 信息安全技术 网络预约汽车服务数据安全指南-标准文本.pdf <= パブコメ対象

 

目次項目は

 

Continue reading "中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案"

| | Comments (0)

米国の消費者団体、プライバシー保護団体等の10団体が共同でバイデン政権に10の提言書を提出していますね。。。

こんにちは、丸山満彦です。

日本の総理選挙よりも行方が気になった、米国大統領選、議員選も終わり、民主党のバイデン候補が大統領に決まった感じですね。。。さて、そんなバイデン政権に対して、米国の消費者団体、プライバシー保護団等の10団体が共同で10の提言書を提出していますね。。。

10団体は次の通りです。

  1. the Campaign for a Commercial-Free Childhood
  2. the Center for Digital Democracy
  3. Color of Change
  4. Consumer Action
  5. Consumer Federation of America
  6. the Electronic Privacy Information Center
  7. the Parent Coalition for Student Privacy
  8. U.S. PIRG
  9. the Privacy Rights Clearinghouse
  10. Public Citizen

プレスリリースもほぼ同じ文面で出しているのですが、Consumer Federation of America (CFA)のページから、、、

● Consumer Federation of America

・2020.11.09 The Biden Administration and the Next Congress Should Protect Digital Privacy – Here’s How

10の提言書は、

・[PDF] Privacy And Digital Rights For All - A blueprint for the next Administration

となります。で、10の提言の表題は、

  原文 仮訳
1 Recognize Privacy and Surveillance as Racial Justice Issues, and Enact Meaningful Changes to Protect Black and Brown Communities プライバシーと監視を人種的正義の問題として認識し、黒人とブラウン・コミュニティを保護するための有意義な変化を実現する。
2 Establish Algorithmic Governance and Accountability to Advance Fair and Just Data Practices 公正かつ公正なデータの実践を促進するためのアルゴリズムガバナンスと説明責任の確立
3 Promote Privacy Protections and Encourage Enactment of a Baseline Comprehensive Federal Privacy Law プライバシー保護の推進と基本的な包括的な連邦プライバシー法の制定の促進
4 Establish a Data Protection Agency データ保護機関の設置
5 Ensure Robust Enforcement from the FTC and FCC 連邦取引委員会と連邦通信委員会の強力な執行を保証する
6 Bring Consumer, Privacy, and Civil Rights Experts into Key Government Positions 消費者、プライバシー、公民権の専門家を政府の重要な役職に就かせる
7 Limit Government Surveillance and Access to Personal Data 政府の監視と個人データへのアクセスを制限する
8 Protect Children and Teens from Corporate Surveillance and Exploitative Marketing Practices 企業の監視や搾取的なマーケティング手法から子供や10代の若者を守る
9 Ensure Antitrust Authorities Take Privacy, Digital Rights, and Civil Rights into Account in Merger Review Process 独占禁止当局が合併審査プロセスにおいて、プライバシー、デジタル著作権、市民権を考慮に入れていることを確認する
10 Protect Americans’ Health Data アメリカ人の健康データを守る

となりますね。。。

10 

 

Continue reading "米国の消費者団体、プライバシー保護団体等の10団体が共同でバイデン政権に10の提言書を提出していますね。。。"

| | Comments (0)

2020.11.11

Cloud Security Allianceが「クラウドサービスにおける鍵管理」を公開していますね。。。

こんにちは、丸山満彦です。

Cloud Security Allianceが「クラウドサービスにおける鍵管理」を公開していますね。。。

 

● Cloud Security Alliance

・2020.11.09 Key Management in Cloud Services: Understanding Encryption’s Desired Outcomes and Limitations

・2020.11.09 Key Management when using Cloud Services

・・[PDF] Downloadにはある意味登録的な作業が必要です。。。

 

  • クラウドネイティブ鍵管理システム
  • 外部鍵オリジネーション
  • 外部鍵管理システムを利用したクラウドサービス
  • マルチクラウド鍵管理システム(MCKMS)

の説明がありますね。。。

Continue reading "Cloud Security Allianceが「クラウドサービスにおける鍵管理」を公開していますね。。。"

| | Comments (0)

2020.11.10

ENISAがIoTサプライチェーンの保護に関するガイドラインを公開していますね

こんにちは、丸山満彦です。

ENISAがIoTサプライチェーンの保護に関するガイドラインを公開していますね。。。

● ENISA

・2020.11.09 (press) IoT Security: ENISA Publishes Guidelines on Securing the IoT Supply Chain

Report addresses the entire lifespan of Internet of Thing (IoT) product development by offering security measures for each step.

 

Guidelines for Securing the Internet of Things

・[PDF] Guidelines for Securing the Internet of Things

 

第 1 章-序章:報告書の⼊⾨情報を提供し、範囲、⽬的、その後の⽅法論を紹介する。

第 2 章 - IoT サプライチェーンの概要:IoT サプライチェーンの異なるフェーズと正式な定義を⽰す。また、異なるフェーズにおけるサイバーセキュリティの考慮事項についても論じる。

第 3 章 脅威の分類法:IoT サプライチェーンに影響を与えるセキュリティ上の脅威を特定し、潜在的な攻撃シナリオのいくつかの例を詳細に説明する。

第 4 章 IoT サプライチェーンのセキュリティに関するグッドプラクティス:IoT サプライチェーンのセキュリティを確保するためのグッドプラクティスとセキュリティ対策をリスト化して解説する。

第 5 章-ガイドラインと結論:前章でグッドプラクティスの形式で報告書の主な結論を⽰した後、IoT サプライチェーンにおけるセキュリティを包括的に理解できるように、⼀連の⽂書化されたガイドラインを提⽰する。

 

Continue reading "ENISAがIoTサプライチェーンの保護に関するガイドラインを公開していますね"

| | Comments (0)

中国 TC260 パブコメ AI倫理に関するガイドライン案

こんにちは、丸山満彦です。

中国の国家情報セキュリティ標準化技術委員会 (TC260) が「AI倫理に関するガイドライン案」について意見募集をしていますね。。。

人工知能 (AI) の定義は、

デジタルコンピュータまたはデジタルコンピュータ制御の機械を用いて、人間の知能を模倣、拡張、拡大し、環境を知覚し、知識を獲得し、その知識を利用して最適な結果を得るための理論、技術、システム、製品、サービス。

という感じでしょうか?中国語がわかる方に教えてもらいたいところです。。。

 

全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

・2020.11.09 关于对《网络安全标准实践指南—人工智能伦理道德规范指引(征求意见稿)》公开征求意见的通知

・・[PDF] 网络安全标准实践指南—人工智能伦理道德规范指引(征求意见稿).pdf

 

スコープ、つまり適用される対象は、「AI の研究開発、設計・製造、展開・応用、その他関連する活動を行っている関係機関または個人」ということで、およそAIに関連する業務をする場合に適用されるということのようですね。

「3. AIの倫理的、道徳的セキュリティリスク」では、「AIに関連する活動にいては、リスク分を行う要がある」として、以下のようなリスクが考えられるとしています。

a. 制御不能リスク AIの行動や影響が、研究開発者、設計者、アプリケーション展開者によって、あらかじめ決められたこと、理解されたこと、制御可能なことを超えてしまうリスクであり、社会的価値に負の結果をもたらす。
b. 社会的リスク AIの誤用や悪用などの非合理的な利用が社会的価値観に影響を与え、体系的な社会問題を引き起こすリスク。
c. 侵害リスク AIが人の基本的権利、個人、プライバシー、財産などを侵害したり、悪影響を及ぼすリスク。
d. 差別的リスク AIが特定のグループの人間に対して主観的または客観的なバイアスをかけ、権利侵害や否定的な結果をもたらすリスク。
e. 責任リスク AIに関わるすべての当事者の責任の境界が不明確で不合理であり、すべての当事者の不正行為につながり、社会的信頼や社会的価値に悪影響を及ぼすリスク。

その後、AI一般的な倫理指針、研究開発倫理指針、設計製造倫理指針、アプリケーション展開倫理指針、利用倫理指針が示されていますね。。。

 

目次

目 录 目次
摘 要 摘要
1 范围 1 スコープ
2、术语与定义 2.用語と定義
2.1 人工智能 2.1 AI
2.2 研究开发者 2.2 研究開発者
2.3 设计制造者 2.3 設計製造者
2.4 部署应用者 2.4 アプリケーション展開者
2.5 用户 2.5 利用者
3 人工智能伦理道德安全风险 3 AIの倫理的・道徳的セキュリティリスク
4 人工智能伦理道德规范指引 4 AIの倫理指針
4.1 基本要求 4.1 基本的な要件
4.2 研究开发指引 4.2 研究開発ガイドライン
4.3 设计制造指引 4.3 設計・製造ガイドライン
4.4 部署应用指引 4.4 アプリケーション展開ガイドライン
4.5 用户使用指引 4.5 利用ガイドライン
参考文献 参考文献

 

・[word] 仮訳

 

| | Comments (0)

中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

こんにちは、丸山満彦です。

中国の国家情報セキュリティ標準化技術委員会 (TC260) が「ネットワークセキュリティ状況認識技術の標準化に関する白書」を公開していますね。。。

全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

・2020.11.09 《网络安全态势感知技术标准化白皮书(2020版)》发布 ネットワークセキュリティ状況認識技術の標準化に関する白書

・[PDF] 网络安全态势感知技术标准化白皮书.pdf

 

 


Continue reading "中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書"

| | Comments (0)

The California Privacy Rights Act of 2020 ('CPRA') が成立 @2020.11.04

こんにちは、丸山満彦です。

大統領選挙と同日にカリフォルニア州で新しいプライバシー法 (The California Privacy Rights Act of 2020: CPRA) を含む法案について選挙がありましたね。結果、56.1%の賛成で可決されましたね。。。

■ 選挙のための情報

州の選挙のページには全ての31の提案についての詳細な情報がのっていますね。こういうところ日本も参考にすると良いかもですね。何と言っても投票ガイドの言語の対応が、英語スペイン語中国語ヒンディー語日本語クメール語韓国語タガログ語タイ語ベトナム語と10か国語の対応がされています。もちろん法案文も10か国語の対応。まさに多様な社会を目指しているのが言語の面からも分かりますよね。

California General Election Tuesday, November 3, 2020

選挙結果は↓

State Ballot Measures - Statewide Results

プライバシー法に関しては↓

PROP 24 AMENDS CONSUMER PRIVACY LAWS. INITIATIVE STATUTE.

・・Voter Information Guide 投票者ガイド

・・・[PDF] English

・・・[PDF] 日本語 / Japanese

・・Text of Proposed Laws 法案文

・・・[PDF] English

・・・[PDF] 日本語 / Japanese

 


 


州政府

● State of California Department of Justice

California Consumer Privacy Act (CCPA) 

・[PDF] 2019.11.13 Submission of Amendments to The California Privacy Rights and Enforcement Act of 2020, Version 3, No. 19-0021, and Request to Prepare Circulating Title and Summary (Amendment) 


■ 法案のスポンサー

このページには、法案の説明が詳細にされていますね。。。

Californians for Consumer Privacy

・2020.11.04 California Voters Decisively Approve Prop 24, the California Privacy Rights Act

 

 

 

| | Comments (0)

NYDFS - Twitter Investigation Report ニューヨーク州金融サービス局 ツイッター調査報告書 @2020.10.14

こんにちは、丸山満彦です。

ニューヨーク州金融サービス局がツイッターの有名人ユーザID乗っ取り事件についての調査報告書を2020.10.14に出していましたね。。。

なぜ、金融サービス局が調査報告書を出しているかということですが、「暗号資産を2倍にする」という噂を流布し金融市場に影響を及ぼしたということだと思います。
金融市場だけでなく、例えば選挙への影響の問題もあるわけで、Twitterのような情報発信プラットーフォーマーをどのように捉えるかということが問題だと思います。Twitter社が自らの取材、分析に基づいて意見をのべたり、情報を提供するというわけではないので、報道機関とは違いますが、社会に大きな影響を与えることができる団体、個人がそのプラットフォーム上で情報発信をし、多くの人々に影響を与えうる一方、ユーザの発言に対してプラットフォーマーが全く責任を取らないという状況であれば、不適切な発言を是正する力がプラットーフォーマーに働かず、市場原理だけでは社会的な最適状態には達しないことが想定され、独占という面からだけではなく、規制の検討が必要かもしれませんね。。。例えば、風説の流布も含めてDisinformationやFake Newsは問題となりそうですから、その対策の前提となるKnow Your Customer=発言者 (KYC)や情報セキュリティ対策は重要となるでしょうね。そのような規制が必要とすれば、その規制をどのような組織がするのかという問題が出てきますね。民間団体が行うのか、政府が行うのかという問題ですね。特に政府が規制当局になる場合は特に、言論の自由との調和をどのように図るかという非常に難しい問題もあると思います。

さて、、、表題の件です。。。

New York State - Department of Financial Service

・2020.10.14 Twitter Investigation Report

Report on Investigation of Twitter’s July 15, 2020 Cybersecurity Incident and the Implications for Election Security

エグゼクティブサマリーの内容を紹介している部分を抜き出して表にしてみました。

 

  原文 仮訳 原文 仮訳
Part I Executive Summary エグゼクティブサマリー    
Part II Background 背景 Part II of this Report describes background information about Twitter’s platform, the ever-expanding influence of social media platforms such as Twitter, and how this influence continues to affect markets and the national conversation around elections and disinformation. It also describes the Department’s role in protecting consumers and the financial services industry. 第2部では、ツイッターのプラットフォームについての背景情報、ツイッターのようなソーシャルメディアプラットフォームの影響力が拡大し続けていること、そしてこの影響力が金融市場、選挙、誤情報(disinformation)に関する国民の会話にどのように影響を与え続けているかについて説明する。また、消費者と金融サービス業界を保護する上での同省の役割についても説明する。
Part III  Facts of the Hack ハッキングの実際 Part III sets forth a detailed timeline of the Twitter Hack. This includes a description of key events and Twitter’s response. 第3部では、ツイッターのハッキングについて時系列に沿って詳細に示す。これには、主要な出来事とツイッターの対応についての説明も含む。
  A Visual Timeline ビジュアル版タイムライン    
Part IV DFS-Regulated Cryptocurrency Companies Respond 金融サービス局規制対象の暗号通貨企業の対応 Part IV details the Twitter Hack’s impact on the Department’s cryptocurrency licensees and their timely efforts to protect their customers from the fraud. It also describes the substantial threat cryptocurrency fraud poses to the industry. 第4部では、ツイッターのハッキングが同省が所管する暗号通貨登録者に与えた影響と、不正行為から顧客を守るための適時な取り組みについて詳細に説明する。また、暗号通貨詐欺が業界にもたらす実質的な脅威についても説明する。
Part V Cybersecurity Weakness at Twitter Contributed to Hackers' Success ハッカーの攻撃成功に繋がったツイッターの脆弱なサイバーセキュリティ対策

Part V addresses the cybersecurity weaknesses at Twitter that made the Twitter Hack possible. This includes a lack of leadership, vulnerability to social engineering, and a failure to address the new vulnerabilities caused by the pandemic-driven shift to mass remote working. 第5部では、ツイッターのハッキングを可能にしたツイッター社のサイバーセキュリティ上の弱点を取り上げている。これには、リーダーシップの欠如、ソーシャルエンジニアリングへの脆弱性、パンデミック主導の大量リモートワークへのシフトに起因する新たな脆弱性への対応の失敗などが含まれる。
Part VI Best Practices for Critical Institutions 重要な組織のためのベストプラクティス Part VI identifies best practices that address the weaknesses the Twitter Hack exposed. The Report recommends specific steps cryptocurrency companies can take to combat similar fraud. The Department also recommends cybersecurity measures that will reduce the likelihood that a similar cyberattack will succeed. 第6部では、ツイッターのハッキングによって明らかになった脆弱性に対処するベストプラクティスを提示している。報告書は、暗号通貨企業が同様の不正行為に対抗するために取ることができる具体的な手順を提唱する。また、同様のサイバー攻撃が成功する可能性を減らすためのサイバーセキュリティ対策も提唱する。
Part VII Expanding Oversight 監視の拡張 Part VII makes recommendations for improving our society’s defenses against cybersecurity lapses that can lead to social media manipulation. It addresses the need for a regulation and a regulator focused on large social media companies’ cybersecurity resiliency. 第7部では、ソーシャルメディアの操作につながるサイバーセキュリティの不備に対する我々の社会の防御を改善するための提言を行う。これでは、大規模なソーシャルメディア企業のサイ バーセキュリティの回復力に焦点を当てた規制と規制機関の必要性を取り上げている。
  Conclusion 結論    

私の考え方とは大きく違わないように思いました。。。

 


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

2020.08.04 FBIがTwitterのアカウントを乗っ取った被疑者3名を起訴したと発表していましたね。。。

・2020.07.24 Twitterアカウントが乗っ取られた件(2)

2020.07.18 Twitterアカウントが乗っ取られた件

 

 

 

| | Comments (0)

2020.11.09

経済産業省が「IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)」を策定しましたね。。。

こんにちは、丸山満彦です。

経済産業省が、「IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)」を策定しましたね。。。2020.03.31に意見募集をした結果を反映したものになりますね。。。

 「サイバー空間とフィジカル空間をつなぐ新たな仕組みによってもたらされる新たなリスクに着目し、リスク形態及びそうしたリスクに対応するセキュリティ・セーフティ対策の類型化の手法を提示する」のが目的の一つですかね。。。

発生したインシデントの影響の回復困難性の度合い」X 「発生したインシデントの経済的影響の度合い(金銭的価値への換算)」の2軸での整理が新しいですね。

その上で求められるセキュリティ・セーフティ要求の観点、つまり「セキュリティ・セーフティを確保するための手法」を第3の軸として設定する。その内容は、

  1. 運用前(設計・製造段階等)におけるフィジカル・サイバー間をつなぐ機器・システムの確認要求
  2. 運用中のフィジカル・サイバー間をつなぐ機器・システムの確認要求
  3. 機器・システムの運用・管理を行う者の能力に関する確認要求
  4. その他、社会的なサポート等の仕組みの要求

となるということのようです。。。

海外のウェブでも紹介されていますが、”only available in Japaneseと書かれています。パブコメ版の時は英語によるリリースと文書があったので、今回のVer1.0についても早く英語版が公表できると良いですね。。。

 

● 経済産業省

・2020.11.05 IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)を策定しました

・・[PDF] IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)Ver1.0


1.背景・趣旨

...

サイバー空間とフィジカル空間が高度に融合した「Society5.0」、「Connected Industries」では、サイバー空間とフィジカル空間の境界において、情報が正確に変換されること、つまり転写機能の正確性を確保することが極めて重要となります。

フィジカル空間とサイバー空間をつなぐ機器・システム、つまりIoT機器・システムに対するセキュリティ対策は、IoT機器・システムに関連する課題の多様性だけでなく、その利用される環境の多様性も踏まえた対応が必要となります。

そのため、第2層TFでは、サイバー空間とフィジカル空間をつなぐ新たな仕組みによってもたらされる新たなリスクに着目し、リスク形態及びそうしたリスクに対応するセキュリティ・セーフティ対策の類型化の手法を提示する「IoTセキュリティ・セーフティ・フレームワーク」(以下、「IoT-SSF」という。)の策定を進めてきました。

...

この度、上記WG1及びSWG、第2層TFでの議論を踏まえ、IoT-SSFを策定しました。IoT-SSFを活用することにより、フィジカル・サイバー間をつなぐ機器・システムに潜むリスクを踏まえて、機器・システムのカテゴライズを行い、カテゴリ毎に求められるセキュリティ・セーフティ要求の観点を把握し、カテゴリ間で比較することが可能となります。これにより、別々のプロセスで検討した場合であっても、新たな仕組み・サービスに対応したそれぞれの機器・システムに求めるセキュリティ・セーフティ対策の観点・内容の整合性を一定程度確保することができると考えております。

...

3.参考



参考(報道等)

● Data Guidance

・2020.11.05 Japan: METI releases IoT security and safety framework

Gov base

・2020.11.05 IoT Security Safety Framework (IoT-SSF) has been formulated

 

コメント

● BSA

・2020.05.29 Japan: BSA Comments on the Draft of IoT Security Safety Framework

・・[PDF] BSA Comments on the Draft of IoT Security Safety Framework

 

パブリックコメント時

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.01 経済産業省 パブコメ 「IoTセキュリティ・セーフティ・フレームワーク(案)]

 

Continue reading "経済産業省が「IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)」を策定しましたね。。。"

| | Comments (0)

U.K. The NCSC Annual Review 2020 英国サイバーセキュリティセンターの2020年報告書

こんにちは、丸山満彦です。

英国のサイバーセキュリティセンター (National Cyber Security Centre: NCSC) の2020年報告書が公表されていますね。2019.09.01 - 2020.08.31が対象となります。

● NCSC

・2020.11.03 (news) The NCSC Annual Review 2020

Highlights from the last twelve months at the NCSC.

・・ (speach) Lindy Cameron on the NCSC's fourth Annual Review - The NCSC's new CEO introduces the Annual Review 2020.

・・[PDF] Annual Review 2020 

・・[web] The Digital Annual Review 2020. <- お勧め

・2020.11.03 (news) NCSC defends UK from more than 700 cyber attacks while supporting national pandemic response

The NCSC's fourth Annual Review reveals its ongoing work against cyber attacks, support for the UK during the coronavirus pandemic.


過去分
2019年
・2019.10.23 (news) The NCSC Annual Review 2019
Developments and highlights from the last twelve months at the NCSC.

2018年
・2018.10.15 Annual Review 2018
The Annual Review 2018 - the story of the second year of operations at the National Cyber Security Centre.
・・[PDF] Annual Review 2018

2017年
The 2017 Annual Review sets out the progress made within the first year of operations at the National Cyber Security Centre.
・・[PDF] 2017 Annual Review


Continue reading "U.K. The NCSC Annual Review 2020 英国サイバーセキュリティセンターの2020年報告書"

| | Comments (0)

2020.11.08

米国 10億US$以上の価値のある暗号通貨を没収するための民事訴訟を提起

こんにちは、丸山満彦です。

シルクロードが潰されてそのBitcoinがどこにいったのか、、、当時押収した分はオークションにかけられて現金化されましたが、それ以外にもあったので、それがどこにいったのかという話です。

2020.11.03に69,369 BTC(約1000億円)の移動があり、それがどこに移ったのか?という話ですが、米国政府が管理する口座に移されたようですね。

訴訟で所有権を米国政府に移そうということですね。。。

 

Department of Justice - Northern District of Californi

・2020.11.05 (news) United States Files A Civil Action To Forfeit Cryptocurrency Valued At Over One Billion U.S. Dollars

Seizure Of Bitcoins Represents The Largest Cryptocurrency Seizure To Date

・[PDF] Case 3:20-cv-07811-VC Document 1


 


■ 参考(報道等)

COINPOST

・2020.11.06 米政府、1000億円相当のビットコインを押収

・2020.11.04 1000億円相当のビットコインが移動 by 菊谷ルイス

● CNBC

・2020.11.05 Record $1 billion worth of bitcoin linked to the Silk Road seized by U.S. government by Kate Rooney


  • Thousands of bitcoins -- worth $1 billion -- were seized by law enforcement this week in what the Justice Department said was the largest seizure of cryptocurrency in the history of agency.
  • The cryptocurrency is linked to sales of illicit drugs and goods on Silk Road, a dark web marketplace that shut down in 2013.
  • “Silk Road was the most notorious online criminal marketplace of its day,” says U.S. Attorney David Anderson of the Northern District of California. “The successful prosecution of Silk Road’s founder in 2015 left open a billion-dollar question. Where did the money go?”

● BBC

・2020.11.06 Bitcoin: $1bn seized from Silk Road account by US government

More than $1bn (£772m) in Bitcoin linked to the notorious Silk Road website has been seized by the US Department of Justice (DoJ).

● The VICE

・2020.11.06 U.S. Feds Seized Nearly $1 Billion in Bitcoin from Wallet Linked to Silk Road by Lorenzo Franceschi-Bicchierai

Speculation kicked off after someone moved the huge sum on Tuesday, and now we know who it was: the U.S. government.

● The VERGE

・2020.11.06 The US government seized $1 billion in bitcoin from dark web marketplace Silk Road b

Feds grabbed the money with the help of an unknown hacker

● WIRED

・2020.11.05 The Feds Seized $1 Billion in Stolen Silk Road Bitcoins


A hacker identified only as Individual X had been sitting on a cryptocurrency gold mine for seven years before the IRS came knocking.

| | Comments (0)

2020.11.07

民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

こんにちは、丸山満彦です。

民間刑務所施設、更生施設を経営しているGEO Group Inc. (Florida) [wikipedia] が8月19日にランサムウェアに感染していることを発見したと11月3日にウェブページで公表していますね。そして、カナダ政府の監査組織(Office of the Auditor General of Canada)に、関係者への通知文の雛形を挙げていますね。そして、上場企業なので、日本の臨時報告書に該当するForm 8-Kを提出していますね。

米国企業のこのような開示は日本企業においても参考になりますね。。。

GEO Group Inc.

・2020.11.03 The GEO Group Statement on Recent Ransomware Incident [downloaded]

Office of the Auditor General of Canada

・2020.11.03 [PDF] Re: Notice of Data Security Incident

SEC - Edgar

GEO GROUP INC CIK#: 0000923796 (see all company filings)

・2020.11.03 8-K Current report, item 7.01 Acc-no: 0001193125-20-284748 (34 Act) - d39807d8k.htm

 

原文 仮訳
Item 7.01

Regulation FD Disclosure

On November 3, 2020, The GEO Group, Inc. (“GEO” or the “Company”) began the process of notifying current and former employees and will provide additional notifications as required by applicable state and federal law regarding a ransomware attack that impacted a portion of GEO’s information technology systems and a limited amount of data that contained personally identifiable information and protected health information. GEO promptly launched an investigation, engaged legal counsel and other incident response professionals, and notified its customers and law enforcement in response to the incident. GEO implemented a number of containment and remediation measures to address the incident, restore its systems and reinforce the security of its networks and information technology systems. The Company recovered its critical operating data and the incident has not had a significant impact on the Company’s business operations or its ability to perform the services required under GEO’s contracts with its government customers to care for the individuals entrusted to GEO’s facilities and programs. At this time, the Company is not aware of any fraud or misuse of information as a result of the incident. Based on its assessment and on the information currently known and obtained through the investigation of the incident, the Company does not believe the incident will have a material impact on its business, operations or financial results. The Company carries insurance, including cyber insurance, commensurate with its size and the nature of its operations.

項目7.01

レギュレーションによる開示

2020年11月3日、The GEO Group, Inc. (以下「GEO」または「当社」という)は、GEOの情報技術システムの一部に影響を与えたランサムウェア攻撃と、個人を特定できる情報と保護された健康情報を含む限定的な量のデータの漏えいに関して、現在と過去の従業員に通知するプロセスを開始し、適用される州法および連邦法で要求される追加の通知を行う予定である。GEOは、速やかに調査を開始し、法律顧問やその他のインシデント対応の専門家と契約し、インシデントに応じて顧客や法執行機関に通知した。GEOは、インシデントに対処し、システムを復旧させ、ネットワークおよび情報技術システムのセキュリティを強化するために、多くの封じ込めおよび修復措置を実施した。当社は、重要な運用データを復旧した結果、今回のインシデントが当社の事業運営や政府の顧客との契約に基づき、GEOの施設やプログラムに預けられた個人をケアするために必要とされるサービスを実行する能力に大きな影響を与えることはなかった。現時点では、本件による不正行為や情報の悪用は認識していない。当社の評価、および現在判明している情報、調査を通じて得られた情報に基づいて検討した結果、当社は、本件が当社の事業、経営、財務状況に重大な影響を与えるものではないと考えている。当社は、サイバー保険を含む保険に加入しており、その規模と業務内容に見合った保険に加入している。

 

合わせて、2019.12.31決算のForm 10-Kのリスク情報も。。。

・2020.02.26 10-K Annual report [Section 13 and 15(d), not S-K Item 405] Acc-no: 0001193125-20-049748 (34 Act) - d841729d10k.htm

Item 1A.

 

原文 仮訳
The interruption, delay or failure of the provision of our services or information systems could adversely affect our business.

Certain segments of our business depend significantly on effective information systems. As with all companies that utilize information technology, we are vulnerable to negative impacts if information is inadvertently interrupted, delayed, compromised or lost. We routinely process, store and transmit large amounts of data for our clients. We continually work to update and maintain effective information systems. Despite the security measures we have in place and any additional measures we may implement in the future, our facilities and systems, and those of our third-party service providers, could be vulnerable to security breaches, computer viruses, lost or misplaced data, programming errors, human errors, acts of vandalism, or other events. For example, several well-known companies have over the last several years disclosed high-profile security breaches, involving sophisticated and highly targeted attacks on their company’s infrastructure or their customers’ data, which were not recognized or detected until after such companies had been affected notwithstanding the preventative measures they had in place. Any security breach or event resulting in the interruption, delay or failure of our services or information systems, or the misappropriation, loss, or other unauthorized disclosure of client data or confidential information, whether by us directly or our third-party service providers, could damage our reputation, expose us to the risks of litigation and liability, disrupt our business, result in lost business or otherwise adversely affect our results of operations.

当社のサービスや情報システムの提供の中断、遅延、障害は、当社の事業に悪影響を及ぼす可能性がある。

当社事業の一部のセグメントは、効果的な情報システムに大きく依存している。情報技術を利用する他の企業と同様に、情報が不用意に中断、遅延、危殆化、紛失した場合、当社は悪影響を受ける。当社は、顧客のために大量のデータを日常的に処理し、保存し、送信している。当社は、効果的な情報システムの更新と維持に継続的に取り組んでいる。当社が実施している、または将来的に実施する追加的なセキュリティ対策を実施しても、当社の施設やシステム、および第三者サービスプロバイダーの施設やシステムは、セキュリティ侵害、コンピュータウイルス、データの紛失や放置、プログラムエラー、ヒューマンエラー、破壊行為、またはその他の事象に対して脆弱である可能性がある。例えば、ここ数年の間に、いくつかの有名企業が、自社のインフラや顧客のデータに対する高度な標的型攻撃を含む、注目度の高いセキュリティ侵害を開示しているが、これらの企業が被害を受けた後でないと気付かなかったり、発見されなかったりしている。当社のサービスや情報システムの中断、遅延、障害、または顧客データや機密情報の不正流用、損失、その他の不正開示につながるセキュリティ侵害や事象が発生した場合、当社が直接、または第三者のサービスプロバイダーによって行われたかどうかにかかわらず、当社の評判が損なわれ、訴訟や責任のリスクにさらされ、当社の事業が中断され、事業が失われ、またはその他の方法で当社の業績に悪影響を及ぼす可能性がある。

 

ここまできたら、10-Qも、、、インシデントの公表後に開示された2020年3QのForm 10-Q

・2020.11.06 10-Q (3Q) Quarterly report [Sections 13 or 15(d)] Acc-no: 0001564590-20-051585 (34 Act) - geo-10q_20200930.htm

・・ITEM 1A. RISK FACTORS

・2020.08.06 10-Q (2Q) Quarterly report [Sections 13 or 15(d)] Acc-no: 0001564590-20-037855 (34 Act) - geo-10q_20200630.htm

・・ITEM 1A. RISK FACTORS

・2020.05.06 10-Q (1Q) Quarterly report [Sections 13 or 15(d)] Acc-no: 0001564590-20-021968 (34 Act) - geo-10q_20200331.htm

・・ITEM 1A. RISK FACTORS

はいずれもパンデミックのことが追加されていますが、サイバー関係の追加はないですね。

他のリスクに比べたらそれほどのことでも無いような感じでしょうね。。。

 

肝心の株価(Yahoo!)(2020.11.08追加)

3日は9.76$から8.38$まで15%程度落ちたようですが。。。

5日 


 Fig1


1年

 Fig2

 


 

直接関係ないですが、”electronic monitoring”というのは気になりますね。。。

● GEO Group

Electronic Monitoring

ふむふむ。。。

| | Comments (0)

2020.11.06

日本の監査基準改訂内容がほぼ決まったようですね。。。企業会計審議会総会・第7回会計部会 議事次第

こんにちは、丸山満彦です。

本日開催される金融庁の「企業会計審議会総会・第7回会計部会 議事次第」が公開されています。2020.09.29の企業会計審議会監査部会(第48回)で承認された監査基準の改訂案も資料としてありますから、おそらく確定するのでしょうね。。。

今回の資料の中で興味深いのが[PDF]「資料3最近の国際監査基準の策定動向」ですね。。。。

「国際監査基準における主な改訂」を読めば、今回の改訂の背景とか分かりやすいですね。。。ISQC, ISQM関連の資料を見ればこれからどのようにしようとしているのかがなんとなく見えてきますかね。。。

参考1を鑑みると、監査基準の設定主体をどのようにすべきかを検討していくのでしょうかね。。。参考2は、英国、ドイツでの監査の失敗とその対応事例ですが、監査法人への規制の強化について、日本でも検討されていくのでしょうかね。

# 表題
1   最近の国際監査基準の策定動向
2 1 国際監査基準における主な改訂
3 2 ISQC1及びISA220の改訂の経緯
4 3 ISQM1の主な改訂内容
5 4 ISQM2、ISA220の主な改訂内容
6 5 日本の品質管理を巡る状況(公認会計士・監査審査会検査)
7 6 日本における品質管理基準の策定の経緯
8 7 監査に関する品質管理基準のポイント(平成17(2005)年10月28日企業会計審議会総会資料)
9 8 ISQC1と日本の品質管理基準等
10 9 (参考)日本の監査に係る基準と国際監査基準
11   (参考1)監査に係る国際的な基準設定主体のガバナンス改革
12 1 監査に係る国際的な基準設定主体のガバナンス改革
13 2 監査に係る国際的な基準設定主体のガバナンス改革の概要
14   (参考2)会計・監査を巡る諸外国における動向
15 1 英・カリリオン社事案とその後の議論の経緯
16 2 監査の信頼性確保に向けた英国の取組み
17 3 英・FRC による「大手会計事務所に監査業務部門の分離」要求
18 4 独・ワイヤーカード社の破産について
19 5 独・ワイヤーカード社を巡る動向
20 6 独財務省による会計監査等に関するアクションプランの概要

 


金融庁

・2020.11.06 企業会計審議会総会・第7回会計部会 議事次第

日時:令和2年11月6日(金)14時30分~16時30分
場所:中央合同庁舎第7号館 9階 共用会議室3
1.開会
2.監査基準の改訂等
3.最近の会計監査・会計基準を巡る主な動向
4.閉会

配布資料

資料4-2新型コロナウイルス感染症の影響を踏まえた企業決算・監査等への対応に係る連絡協議会について【別紙】

資料5  会計基準を巡る変遷と最近の状況

資料6  企業会計基準委員会(ASBJ)の活動(企業会計基準委員会)

資料7  国際会計人材の育成の取組み(公益財団法人財務会計基準機構)

資料8  IFRS適用状況(東京証券取引所)

 

| | Comments (0)

ブラジルの裁判所のシステムがランサムウェアの攻撃を受けて停止中のようですね。

こんにちは、丸山満彦です。

ブラジルの裁判所が2020.11.03火曜日午後の判決のセッションを実施中にランサムウェアの攻撃を受けて中断されたようですね。現在システムを止めて拡散の防止をしながら、復旧中のようですね。したがって、システムを使った業務は止まっているようです。連邦警察に調査を依頼中とのことですから、きっと今頃調査しているんでしょうね。。。

身代金を要求されても払いづらいですよね。。。そういう意味では、金銭目的で攻撃する相手としてはよくないかもですね。。。

 

BRAZIL Supremo Tribunal Federal ブラジル連邦司法裁判所 - Notícias STF ニュース

・2020.11.04 Comunicado 公表

 


NOTA OFICIAL

O Superior Tribunal de Justiça (STJ) comunica que a rede de tecnologia da informação do tribunal sofreu um ataque hacker, nessa terça-feira (3), durante o período da tarde, quando aconteciam as sessões de julgamento dos colegiados das seis turmas. A presidência do tribunal já acionou a Polícia Federal para a investigação do ataque cibernético.

A Secretaria de Tecnologia da Informação e Comunicação (STI) está trabalhando na recuperação dos sistemas dos serviços oferecidos pela Corte.

Por precaução, os prazos processuais seguem suspensos até a próxima segunda-feira (9). As demandas que importem em perecimento de direito (demandas urgentes, como liminares em habeas corpus) estarão centralizadas na presidência do STJ por igual prazo. As petições podem ser encaminhadas ao e-mail protocolo.emergencial@stj.jus.br.

Todas as sessões de julgamento, virtuais e/ou por videoconferência, estão suspensas ou canceladas até restabelecida a segurança do tráfego de dados nos nossos sistemas.

A área de TI do STJ recomendou aos usuários – ministros, servidores, estagiários e terceirizados - que não utilizem computadores, ainda que os pessoais, que estejam conectados com algum dos sistemas informatizados da Corte, até que seja garantida a segurança do procedimento.

Ministro Humberto Martins
Presidente do STJ/CJF"


 

Bleeping Computer

・2020.11.05 Brazil's court system under massive RansomExx ransomware attack by

 

O bastidor by Diego Escosteguy

・2020.11.04 17:03 Por que o STJ não consegue ser transparente sobre o ataque hacker 裁判所がハッカーの攻撃に関して透明性を欠く理由

・2020.11.05 16:47 Peritos da PF analisam computadores do STJ 連邦警察が裁判所のコンピュータを調査している

データをリストアする安全な環境の構築に時間がかかっているようですね。。。

・2020.11.05 14:01 Hacker cobra resgate de dados sequestrados do STJ ハッカーのコブラは身代金を要求している 

・2020.11.05 13:57 CNJ, Governo de Brasília e SUS sofrem ataque semelhante ao do STJ ブラジル政府、司法評議会、保健省も高等裁判所と同じ攻撃を受けた

・2020.11.05 13:22 Hacker do STJ deixou hashtag "estupro culposo" no sistema do tribunal STJハッカーはハッシュタグ「過激なレイプ」を残した

・2020.11.05 13:22 Hacker criptografou todos os processos e emails do STJ ハッカーはSTJの全プロセスとメールを暗号化した

・2020.11.05 13:15 Ministros do STJ ainda não foram informados sobre a gravidade do ataque ao tribunal 裁判所の閣僚は攻撃の重大性についての説明をまだ受けていない

・2020.11.05 11:54 Hacker usou técnica simples para invadir STJ 

攻撃は高度ではないが、仮想環境の暗号化に成功した、身代金の要求はなかったという記述がありますね。。。

・2020.11.04 16:00 STJ demorou seis horas para perceber ataque de hackers 裁判所は攻撃に気づくのに6時間かかった

 

後日、第三者委員会型の調査委員会とかが立ち上がって、報告書で顛末が明らかになるのでしょうかね。。。。

 

| | Comments (0)

2020.11.05

NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証(PIV)について

こんにちは、丸山満彦です。

連邦政府職員および委託業者の個人認証について、現在はFIPS 201-2で規定されているわけですが、その改訂に関するドラフトが公開されていますね。

日本政府もDXという前にインフラの整備をきっちりした方が良いかもですね。国ごとの特徴なんてカードの見た目以外はほとんど不要なので、まんまコピーで良いのではないでしょうかね。。。

● NIST- ITL

・2020.11.02 FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors

Publication:[PDF]FIPS 201-3 (Draft)


Abstract

Authentication of an individual’s identity is a fundamental component of physical and logical access control. An access control decision must be made when an individual attempts to access security-sensitive buildings, information systems, and applications. An accurate determination of an individual’s identity supports making sound access control decisions.

This document establishes a standard for a Personal Identity Verification (PIV) system that meets the control and security objectives of Homeland Security Presidential Directive-12 [HSPD-12]. It is based on secure and reliable forms of identity credentials issued by the Federal Government to its employees and contractors. These credentials are used by mechanisms that authenticate individuals who require access to federally controlled facilities, information systems, and applications. This Standard addresses requirements for initial identity proofing, infrastructure to support interoperability of identity credentials, and accreditation of organizations and processes issuing PIV credentials.


Supplemental Material:
[web] Web-based publication
[web] GitHub: review and comment
[xlsx] Comment template
[web] Posted comments
[web] Federal Register Notice

主要な変更点が記述されていますね。。。

# 原文 仮訳
1 Alignment with SP 800-63-3 language and terms. SP 800-63-3 の記述、用語への整合
2 Updated OMB policy guidelines references from rescinded OMB memorandum M-04-04 to new guidelines in OMB memorandum M-19-17. 廃止されたOMB 覚書 M-04-04 から 新ガイドラインのOMB 覚書 M-19-17への OMB ポリシー・ガイドラインの参照を更新
3 Updated process for binding and termination of derived PIV credentials with PIV account. PIV アカウントで派生した PIV クレデンシャルのバインドおよび終了プロセスの更新
4 Updated credentialing requirements for issuance of PIV Cards based on OPM guidance. OPM ガイダンスに基づく PIV カード発行のためのクレデンシャル要件の更新
5 Added requirements for supervised remote identity proofing and PIV Card maintenance. 監督下の遠隔ID 証明および PIV カードの保守に関する要件の追加
6 Modified identity proofing requirements to reflect updated list of accepted documents. 受け入れ可能な文書の更新されたリストを反映するためのID 証明要件の変更
7 Updated guidance on validation of identity proofing documents. ID 証明文書の妥当性確認に関するガイダンスの更新
8 Updated guidance on collection of biometric data for credentialing. クレデンシャルのための生体データの収集に関するガイダンスの更新
9 Clarified multi-session proofing and enrollment. 複数セッションの証明および登録の明確化
10 Clarified biometric modalities for proofing and authentication. 証明および認証のためのバ生体様式の明確化
11 Provided clarification on grace periods. 猶予期間の明確化
12 Deprecated PIV National Agency Check with Written Inquiries (NACI) indicator (background investigation indicator). 廃止されたPIV全国庁の照会書付きチェック (NACI)インジケータ(背景調査インジケータ)の非推奨化
13 Updated system description and associated diagrams. システムの説明と関連図の更新
14 It generalized chain of trust records to enrollment records and made these records required. 信頼の連鎖の記録の登録記録への一般化、これらの記録の必須化
15 Deprecated the use of magnetic stripes and bar codes on PIV Cards. PIVカードの磁気ストライプとバーコードの使用廃止
16 Linked expiration of content signing certificate with card authentication certificate. コンテンツ署名証明書の有効期限とカード認証証明書との関連付け
17 Revised PIN requirements based on SP 800-63B guidelines. SP 800-63Bガイドラインに基づくPIN要件の改訂
18 Removed requirement for support of legacy PKIs. レガシーPKIのサポート要件の削除
19 Expressed authentication assurance levels in terms of Physical Assurance Level (PAL) and Authenticator Assurance Level (AAL). 認証保証レベルを物理保証レベル(PAL)と認証者保証レベル(AAL)で記述
20 Removed previously deprecated Cardholder Unique Identifier (CHUID) authentication mechanisms. The CHUID data element has not been deprecated and continues to be mandatory. 従来から非推奨とされていた カード所有者の一意識別子 (CHUID) 認証メカニズムの削除。CHUID データ要素は非推奨ではなく、引き続き必須
21 Deprecated symmetric card authentication key and associated authentication mechanism (SYM-CAK). 対称カード認証キーおよび関連する認証メカニズム (SYM-CAK)の非推奨化
22 Added support for secure messaging authentication mechanism (SM-AUTH). セキュアメッセージング認証メカニズム (SM-AUTH) のサポートの追加
23 Deprecated visual authentication mechanism (VIS). 視覚認証メカニズム(VIS)の非推奨化
24 Added section discussing federation in relationship to PIV credentials. PIVクレデンシャルとの関係しフェデレーションについて議論するセクションを追加

 

 

[web] FIPS 201-3 Virtual Workshop (Dec. 9)

TOPICS

 

 

Continue reading "NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証(PIV)について"

| | Comments (0)

2020.11.04

カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

こんにちは、丸山満彦です。

カナダプライバシー委員会 (Office of the Privacy Commissioner of Canada) が、 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書を2020.10.28に公開していましたね。。。

話は遡ること2018年7月になります。連邦、アルバータ州、ブリティッシュコランビア州のプライバシー委員会が、北米最大級の商業用不動産会社であるCadillac Fairview社[wikipedia]がカナダの12のショッピングモールの情報キオスクにカメラを設置し、顧客の同意なしに顔認証技術を使用していたことを明らかにしました。

Cadillac Fairview社は、

  1. カメラによる顔認証技術の使用目的は買い物客の年齢や性別を分析することであり、個人を特定することではない
  2. 買い物客は、顔認証技術の使用目的はショッピングモールの入口ドアに貼り付けられていたステッカーを介して認識された
  3. カメラで撮影した画像は簡易な分析後に削除しているので個人情報を収集していない

と主張したが、「有意義な同意 (meaningful consent)」が取られていなかった等の理由で退けられてたようですね。

 

Office of the Privacy Commissioner of Canada

・2020.10.29 (release) Cadillac Fairview collected 5 million shoppers’ images - Customers not aware that their sensitive biometrics information was gathered

このリリースからは報告書「有意義な同意 (meaningful consent)」についてのガイドラインがリンクされています。

・2020.10.28 (report) Joint investigation of the Cadillac Fairview Corporation Limited by the Privacy Commissioner of Canada, the Information and Privacy Commissioner of Alberta, and the Information and Privacy Commissioner for British Columbia

Guidelines for obtaining meaningful consent (2018.05)


Joint investigation of the Cadillac Fairview Corporation Limited by the Privacy Commissioner of Canada, the Information and Privacy Commissioner of Alberta, and the Information and Privacy Commissioner for British Columbia

が報告書になるのですが、詳細で大変参考になると思います。

今回の事案の課題として、2つを挙げています。

課題 1. Cadillac Fairview社がモール内で匿名によるビデオ分析 (Anonymous Video Analytics: AVA) 技術を使用し個人情報を収集、利用、開示をしたかどうか、その場合
 (1) 収集、利用、開示について適切な同意を得たかどうか、
 (2) 必要以上に情報を保持していたかどうか

課題 2. Cadillac Fairview社がモバイル端末の位置情報技術を使用し、個人情報を収集、使用、開示したかどうか、その場合
その収集、利用、開示について適切な同意を得たかどうか

ということですかね。。。

課題 1.についての結論としては、

(1) AVA 技術の利用について個人情報に関する識別、同意、通知が不十分なまま個人情報の収集、利用を行った
(2) AVA 技術の利用により収集した顔の数値化された個人情報および関連情報を適時に廃棄することができていなかった

ということで違反した(ただし是正されている)と判断していますね。(段落106 - 110)

課題 2.についての結論としては、

「匿名状態での買い物客」としては個人情報を収集しておらず、また、「ログインした状態での買い物客」としてはwi-fi三角測量による位置情報を収集していないと判断し、この問題には違反とするには明確な根拠がないと結論付けているようですね。(段落171,172)


Guidelines for obtaining meaningful consent (2018.05)

は、法体系や文化の違いはあるでしょうが、それでも参考になると思います。

要は、「有意義な同意」つまり、実態的に意味をなす同意とは何かということについて7つの原則を示しているからです。

Seven guiding principles for meaningful  有意義についての7つの指針 
1 Emphasize key elements 重要な部分を強調する
2 Allow individuals to control the level of detail they get and when いつ、どの程度の詳細な情報を取得されるかを個人が選択できるようにする
3 Provide individuals with clear options to say ‘yes’ or ‘no’ 個人に「はい」か「いいえ」かの明確な選択肢を提供する
4 Be innovative and creative 革新的で創造的であること
> “Just-in-time” notices 適時の通知
> Interactive tools 対話形式のツール
> Customized mobile interfaces モバイル用のインターフェース
5 Consider the consumer’s perspective 消費者目線で考える
6 Make consent a dynamic and ongoing process 同意を動的で継続的なプロセスにする
7 Be accountable: Stand ready to demonstrate compliance 説明責任を果たす:遵守していることを示すための準備をする

| | Comments (0)

情報ネットワーク法学会 第20回第20回研究大会

こんにちは、丸山満彦です。

情報ネットワーク法学会が11月28日、29日に 第20回研究大会を開催します。

今年は、COVID-19の影響でオンライン開催です。

以下、プログラムの要約です。各発表の日時、発表者はプログラムのページで確認してくださいませ。。。

個別報告

  1. プロバイダ責任法4条3項(発信者情報をみだりに用いることの禁止)に関する検討
  2. 本人の知らない個人情報の流通に対する政策の日米欧比較
  3. 閲覧制限情報と非公開情報の交錯
  4. 大学の個人情報保護関連規程の事例比較―日本と韓国の国立・私立大学の当該規程に表れた利活用に係る規定の態様と国家機関との関係を中心に―
  5. 青少年のネット利用対策(コロナ禍下でのSNS相談を通じての考察)
  6. 信認義務に依拠したプライバシーの再構築―専門家責任に基づく義務論として
  7. 構造上の問題」に挑む―デジタルプラットフォーム規制の欧州アプローチ
  8. デジタルプラットフォームにおける外国会社登記義務及び国内代表者・代理人指定義務についての考察
  9. 顔認証技術の適正な利用の促進に向けた法的課題 ―ポートランド市顔認証技術禁止条例の検討を通じて―
  10. SNSを介した世論操作と国際法上の不干渉原則に関する一考察―COVID-19パンデミックにおけるディスインフォメーション戦略の適法性を中心に―
  11. スマートシティのデータガバナンス:Sidewalk Labsによるトロントスマートシティプロジェクトからの一考察
  12. 選挙に関するフェイクニュース・ディスインフォメーションの法的規制
  13. 航空法2020年改正と今後のドローンの利活用に係る法制度設計の課題

研究会報告は、

1 インターネット投票研究会 インターネット投票実現に向けた最新展望
2 ビジネス法務研究会 最近のシステム開発取引の実務の変化(改正債権法施行の影響等)
3 ビジネス法務研究会 ウィズコロナを念頭に医療情報の課題整理
4 ソーシャルメディア研究会  キャンセルカルチャーとソーシャルメディア
5 個人情報保護研究会  組織間の協創・協業によるデータ活用とコミュニケーション~企業の立場から~
6 ネット社会法務研究会  コンピューター・ウイルス罪がはらむ諸問題―コインハイブ事件控訴審判決と最高裁への上告をめぐって―
7 プロバイダ責任制限法研究会 2020年発信者情報開示制度改正の最前線
8   サイバー攻撃被害情報の共有と公表に係る諸課題について(仮)
9 個人情報保護研究会 官民一元化・COVID-19対応を踏まえた2000個問題の再定位
10 ロボット法研究会 対話知能システムの研究開発及び社会実装のための法社会規範の研究

となっています。。。

 

情報ネットワーク法学会は2002年5月に設立されたので、いま18年目です。私も、この学会の発起人の一人として名前を連ねております。

当時、法律面の勉強をするために色々なセミナーを探して参加し、積極的に大学の先生や弁護士の方に質問等をしておりました。当時から弁護士では岡村先生は経験も豊富でしたね。。。高橋郁夫弁護士、小松弁護士(不慮の事故でなくなってしまいました)はプログラムもかける弁護士でした。当初学会に事務所を提供してくれていたのは藤田先生でした。お世話になりました。落合先生は当時ヤフーでしたね。。。丸橋さん、鈴木正朝さん、当時パナソニックの金子さんが同じく実務界では積極的に活動されていたように思います。大学の先生では、夏井先生(元裁判官)、指宿先生、笠原先生、町村先生、水谷先生(京大の情報倫理)、藤本先生、米丸先生の活躍が記憶にあります。プライバシーからロボット法に中心をうつされた新保先生は当時は助手でしたかね。。。役所からは総務省の阪本和男さん(その後内閣官房で一緒に働くことになりました)、法務省の早貸さん(経済産業省に出向し、その後JPCERT/CCで一緒に働くことになりました)、警察庁の坂明さん(今の東京オリンピック委員会のCISOですね)。もちろん、発起人代表でISO/IEC13335, SC27で活躍されていた苗村先生も。。。名簿をみると当時の方の一人一人が思い出されますね。。。確か、私は第一期の監事になったような気がします。違うかも(^^;;

米国から帰って2年ほど立っていた当時の私は、ある企業へのコンサルティングがきっかけでセキュリティの仕事もするようになったのですが、その際に、セキュリティはマネジメント、技術、法律の三位一体で進めないといけないということに気付き、色々と考えていました。

たまたま、日本公認会計士協会のJICPAジャーナル(現在の「会計・監査ジャーナル
」)の編集に関わっていた和田頼知さん(現在は日本触媒の監査役で、長く米国アトランタ事務所に駐在していた方)から「丸山、今どんなことしてんねん!」と言われて、「情報セキュリティをしている」と答えたら、これからは「セキュリティが重要となるから、会計士のみんなにも広く知ってもらわないといけないな。お前記事かけ」と言われて、特集の段取りをして2001年3月号の特集記事として書きました。当時、情報セキュリティマネジメントに関する英国の標準(BS7799)を国際標準にしようとか、経済産業省の「情報処理サービス業情報システム安全対策実施事業所認定制度」 を廃止して民間の認証制度(JIPDECによるISMS適合性評価制度)に変えようとしていた時でした。国際的調和を考えてISO化が見えていたBS7799をベースにした制度を私は推奨し、そうなりました。。。

 

● 日本公認会計士協会

・[PDF] JICPAジャーナル年間総目次 2001年(平成13年1月号-12月号)

3月号の特集でした。。。

●特集:情報セキュリティマネジメント

  • 情報セキュリティマネジメントについての政府の方向性 山本 文土
  • BS7799の概要とISO化 高橋 圭二
  • 先進企業における情報セキュリティマネジメントの実際と公認会計士の役割 丸山 満彦
  • 法律面から見た情報セキュリティマネジメントの重要性 牧野 二郎

20年前から基本のところは変わっていないのだろうと思います。。。まぁ、概ねすべてのことが、マネジメント、技術、法律(制度)から考えることが必要ということなのかもしれませんが。。。

ちなみに山本文土さんは外務省からの出向の方で、頭脳明晰で決断もできる優秀な方でしたね。。。2019.09.09の異動で現在は、アジア大洋州局地域政策参事官となられているようですね。。。

| | Comments (0)

2020.11.03

英国 Information Commissioner's Office (ICO)による罰金

こんにちは、丸山満彦です。

英国 Information Commissioner's Office (ICO)から、ブリティッシュエアウェイ、マリオットグループに対する罰金が発表されましたが、両者とも当初の罰金案から大幅に減額されていましたね。。。

負担能力が著しく減少したという感じでしょうかね。。。

    確定 減額率
British Airways 百万£ 183.39 20.00 89%
英国航空 億円 249.4 27.2  
  日付 2019.07.08 2020.10.16  
         
Marriott International 百万£ 99.00 18.40 81%
マリオット 億円 134.6 25.0  
  日付 2019.07.09 2020.10.30  

罰金というのは、ICOのルールにしたがって決定されることになっているのですが、ロジックは決まっているものの、アナログ的な要素も多くなっていますよね。量刑ガイドライン的な感じですね。。。

● Information Commissioner’s Office (ICO)

Regulatory Action Policy

違約金を払わせるべきか、払わせるとした場合はどのように決めるかについては、次のように決めるようですね。


Our decision whether to impose a penalty at all; and the decision as to the amount of the penalty in a case will involve consideration of the following factors:


原文 仮訳
1 the nature, gravity and duration of the failure; 過ちの性質、重大さ、および期間
2 The intentional character of the failure or the extent of negligence involved; 過ちが故意かどうか、または過失の程度
3 any action taken by the controller or processor to mitigate the damage or distress suffered by the data subjects; データ主体の受ける損害をや苦痛を軽減させるために管理者または処理者がとった行動
の4 the degree of responsibility of the controller or processor, taking into account technical and organisational measures implemented by the controller or processor in accordance with the GDPR and sections 57, 66, 103 and 107 of the DPA; 管理者または処理者の責任の程度。GDPR および DPA 第 57 条、66 条、103 条、107 条による管理者または処理者によって実施された技術的対策、組織的対策を考慮する
5 any relevant previous failures by the controller or processor; 管理者または処理者による関連する過去のあらゆる過ち
6 the degree of co-operation with the Commissioner, in order to remedy the failure and mitigate the possible adverse risks of the failure; 過ちの是正および誤りにより起こりうるリスクを軽減するため、委員会との協力の程度
7 the categories of personal data affected by the failure; 過ちによって影響を受ける個人データの種類
8 the manner in which the infringement became known to the Commissioner, including whether, and if so to what extent, the controller or processor notified the Commissioner of the failure; 委員会への違反通知措置。管理者または処理者が違反を通知したか否か、もし通知したのならその程度
9 the extent to which the controller or processor has complied with previous enforcement notices or penalty notices; 管理者または処理者が、過去の執行通知または罰則通知を遵守した程度
10 adherence to approved codes of conduct or certification mechanisms; 承認された行動規範または認証メカニズムの固守
11 any other aggravating or cc factor applicable to the case, including financial benefits gained, or losses avoided, as a result of the failure (whether directly or indirectly); 本件に適用されるその他の加重要素または軽減要素。これには、(直接的または間接的であるかどうかにかかわらず)過ちの結果として得られた金銭的利益、または回避された損失が含まれる
12 whether the penalty would be effective, proportionate and dissuasive. 罰則が有効であるか、比例しているか、説得力があるか

 

具体的な違約金の算定手順は、

Step 原文 仮訳
1 An ‘initial element’ removing any financial gain from the breach. 違反から金銭的な利益を取り除く「初期要素」
2 Adding in an element to censure the breach based on its scale and severity, taking into account the considerations identified at
section 155(2)-(4) of the DPA.
DPA 155 条(2)-(4)項で特定された考慮事項を考慮して、その規模と重大性に基づいて違反を問責する要素を追加する
3 Adding in an element to reflect any aggravating factors. あらゆる加重要因を反映するために要素を追加します
4 Adding in an amount for deterrent effect to others. 他者への抑止効果のための量を加える
5 Reducing the amount (save that in the initial element) to reflect any mitigating factors, including ability to pay (financial hardship). 支払能力(財政的苦難)などの軽減要因を反映させるために、金額を減らす(初期要素ではそれを抑える)

 

となっていて、次の場合は一般的に金額が多くなると説明しています。

# 原文 仮訳
1 vulnerable individuals or critical national infrastructure are affected; 脆弱な個人や重要な国家インフラが影響を受ける
2 there has been deliberate action for financial or personal gain; 金銭的または個人的な利益のために意図的に行動したことがある
3 advice, guidance, recommendations or warnings (including those from a data protection officer or the ICO) have been ignored or not acted upon; アドバイス、ガイダンス、勧告または警告(データ保護担当者または ICO からのものを含む)が無視されているか、または行動に移されていない場合
4 there has been a high degree of intrusion into the privacy of a data subject; データ主体のプライバシーへの高度な侵入があった
5 there has been a failure to cooperate with an ICO investigation or enforcement notice; and ICOの調査または執行通知に協力しなかったことがある
6 there is a pattern of poor regulatory history by the target of the investigation. 調査対象者に規制を軽視する傾向がある

 

なお、加重要素と軽減要素については、次のような説明がありますね。。。

加重要素

# 原文 仮訳
1 whether the attitude and conduct of the individual or organisation concerned suggests an intentional, wilful or negligent approach to compliance or unlawful business or operating model; 関係する個人や組織の態度や行動が、コンプライアンスや違法なビジネスや運営モデルに対する故意、故意、または過失のあるアプローチを示唆しているかどうか
2 whether relevant advice, warnings, consultation feedback, conditions or guidance from the ICO and/or the Data Protection Officer (for data protection cases) has not been followed; ICO および/またはデータ保護責任者(データ保護の場合)からの関連する助言、警告、相談のフィードバック、条件、またはガイダンスが守られていないかどうか
3 in data protection cases, whether the relevant individual or organisation is certified by a body that has been accredited under Article 43 of the GDPR or has failed to follow an approved or statutory code of conduct; データ保護のケースでは、関連する個人または組織が GDPR 第 43 条の下で認定された機関によって認定されているか、または承認されたまたは法定の行動規範に従わなかったかどうか
4 the relevant individual or organisation’s prior regulatory history, including pattern, number and type of complaints about the issue; 問題に関する苦情のパターン、件数、種類など、関連する個人または組織の過去の規制履歴
5 the vulnerability, if any, of the individuals affected, in particular by virtue of their age or other protected characteristic under the Equality Act 2010; 影響を受ける個人の脆弱性(もしあれば)、特に 2010 年の平等法に基づく年齢またはその他の保護された特性を理由としたもの
6 the state and nature of any protective or preventative measures and technology available, including by design; 設計上のものを含め、利用可能な保護または予防措置および技術の状態と性質
7 the manner in which the breach or issue became known to the ICO and, if relevant, failure or delay by the relevant individual or organisation to notify the ICO of the breach or issue; and 違反または問題が ICO に知られるようになった方法、および関連する場合は、違反または問題を ICO に通知するために関連する個人または組織が失敗または遅延したこと
8 any financial (including budgetary) benefits gained or financial losses avoided by the relevant individual or organisation, directly or indirectly. 直接的または間接的に、関連する個人または組織が得た財務上の(予算上の)利益または回避された財務上の損失

 

軽減要素

# 原文 仮訳
1 any action taken by a relevant individual or organisation to mitigate or minimise any damage (including delay) suffered by individuals; 個人が被る損害(遅延を含む)を軽減または最小化するために、関連する個人または組織がとった措置
2 in data protection cases, whether the relevant individual or organisation has followed an approved or statutory code of conduct データ保護の場合、関連する個人または組織が承認されたまたは法定の行動規範に従っているかどうか
3 the state and nature of any protective or preventative measures and technology available; and 利用可能な保護または予防措置および技術の状態と性質。
4 early notification by the relevant individual or organisation to the ICO of the breach or issue. 関連する個人または組織による違反または問題の ICO への早期通知。

 


さて、このガイドの目次を載せておきます。。。

Contents 目次(仮訳)
1 Commissioner’s foreword 委員会序文
2 Overview 概要
3 Aims of this policy 本ポリシーの目的
4 Objectives of regulatory action 規制措置の目的
5 Legislative basis underpinning the ICO’s regulatory activity ICO の規制活動を支える立法基盤
6 Our regulatory activity 当委員会の規制活動
7 Selecting the appropriate regulatory activity for breaches of information rights obligations 情報権利侵害に対する適切な規制活動の選択義務
8 A hierarchy of regulatory action 規制行為の階層
9 International regulatory action 国際的な規制措置
10 Working with others to take effective regulatory action 他者と協力して効果的な規制措置をとる
11 Statutory guidance in relation to how we will serve Assessment or Enforcement Notices and apply fines 査定通知や施行通知の通知方法や罰金の適用に関する法的ガイダンス
12 Effectiveness of regulatory action 規制措置の有効性
13 Evaluation and next steps 評価と次のステップ

法的ガイダンスの章も記載しておきますね。

原文 仮訳
1 When we will issue Information Notices 情報通知書の発行時期
2 When we will issue Assessment Notices 評価通知書の発行時期
3 Assessments of documents, including handling of health and social care records 健康とソーシャルケアの記録の取り扱いを含む文書の評価
4 Inspection and examinations during assessments 評価時の検査・試験
5 Interviews carried out during assessments 評価時のインタビュー
6 Publication of assessment reports 評価報告書の発行
7 Privileged communications 秘匿特権
8 When we will issue Enforcement Notices 施行通知の発行時期
9 Penalty Notices ペナルティのお知らせ
10 When a Penalty Notice will be appropriate ペナルティ通知が適切な場合
11 When oral representations will be appropriate 口頭での表明が適切な場合
12 What will be the amount of any penalty 違約金の額はどうなるのか
13 Fixed penalties 固定罰則
14 Cost recovery コスト回収

 


British AirwaysとMarriott International Incに対する、罰則案と罰則についてのICOからの発表

● U.K. Information Commissioner's Office (ICO)

[確定]

・2020.10.30 ICO fines Marriott International Inc £18.4million for failing to keep customers’ personal data secure

・2020.10.16 ICO fines British Airways £20m for data breach affecting more than 400,000 customers

[案]

・.2019.07.09 Statement: Intention to fine Marriott International, Inc more than £99 million under GDPR for data breach

・2019.07.08 Intention to fine British Airways £183.39m under GDPR for data breach

 

■ 参考

● HUNTON

[マリオット]

・2020.10.30 ICO Fines Marriott International £18.4 Million for Security Breach

・2020.07.09 ICO Announces $124 Million Fine for Marriott International following Data Breach

[英国航空]

・2020.10.16 ICO Fines British Airways £20 Million for Security Breach

・2019.07.08 ICO Announces $230 Million Fine for British Airways following Data Breach

 

[2020.11.06 追加]

● JDSPURA

・2020.11.05 ICO and CNIL Levy Landmark Fines Against British Airways and Marriott for 2018 Data Breaches

 


■ 参考

日本政府 個人情報保護委員会

GDPR(General Data Protection Regulation:一般データ保護規則)

 仮訳がありますね・・・

 



| | Comments (0)

2020.11.02

オーストラリア 個人情報保護法の改正に向けて公開協議を開始

こんにちは、丸山満彦です。

オーストラリアが個人情報保護法の改正に向けて動き出しましたね。。。

● Australia Government

・2020.10.30 (release) Privacy Act review - terms of reference and issues paper

“Australians are spending more and more of their time online and more of their personal information is being collected, handled and stored,” Attorney-General Christian Porter said.

“Technology is also rapidly evolving in areas such as artificial intelligence and data analytics, which is why it is crucial that we have a privacy regime that is fit for purpose, can grow trust, empower consumers and support the growing digital economy.”

「IDも個人情報に含めることも含まれる」との記載もありますね。

● Attorney-General's Department

・2020.10.30 Review of the Privacy Act 1988

 

Review of the Privacy Act 1988 – Terms of Reference

・・Review of the Privacy Act 1988 – Terms of Reference [PDF] [DOCX]

 

Review of the Privacy Act 1988 (Cth) – Issues paper

・・Review of the Privacy Act 1988 (Cth) – Issues paper [PDF]  [DOCX]

主な検討事項は、


  • 個人情報保護法の範囲と適用について。
    • 個人情報の定義
    • 適用除外
    • 個人情報の収集、利用および開示について、一般的に許可されている状況。

  • 個人情報保護法が個人情報を効果的に保護し、個人情報保護に関連しても含めて良好なプライバシー慣行を促進するための実用的かつ比例した枠組みを提供しているかどうか。
    • 通知要件
    • デフォルトのプライバシー設定を含む同意要件
    • 海外のデータフロー
    • 個人情報の消去

  • 個人が個人情報保護法に基づく個人情報保護義務を行使するための直接的な行動権を持つべきかどうか。

  • 重大なプライバシー侵害に対する法定不法行為をオーストラリア法に導入すべきかどうか。

  • 届出可能なデータ侵害スキームの影響とその目的を達成するための効果。

  • 個人情報保護法の下での強制力とメカニズムの有効性、および他の連邦規制の枠組みとの相互作用。

  • オーストラリアの個人情報保護法へのコンプライアンスを監視し、実証するための独立した認証スキームの望ましさと実現可能性。

となっていますね。。。

 

Table of Contents 目次
Terms of Reference 利用条件
Foreword 序文
Complete list of questions for consideration 検討のための質問の完全なリスト
Privacy in Australia オーストラリアのプライバシー
Objects of the Act 法の目的
Scope and Application of the Privacy Act 個人情報保護法の範囲と適用
Definition of personal information 個人情報の定義
Flexibility of the APPs in regulating and protecting privacy プライバシーの規制と保護におけるAPPの柔軟性
Exemptions from the Privacy Act 個人情報保護法の適用除外
Small business exemption 小規模事業者の適用除外
Employee records exemption 従業員記録の適用除外
Political exemption 政治に関する適用除外
Journalism exemption 報道に関する適用除外
Protections 保護
Notice of collection of personal information 個人情報の収集についての通知
Consent to collection and use and disclosure of personal information 個人情報の収集・利用・開示についての同意
Control and security of personal information 個人情報の管理・安全性について
Overseas data flows 海外のデータフロー
Regulation and enforcement 規制と執行
Enforcement powers under the Privacy Act and role of the OAIC 個人情報保護法の施行権限とOAICの役割
A Direct Right of Action 直接的な行動権
A Statutory Tort of Privacy プライバシーの不法行為
Notifiable Data Breaches Scheme – impact and effectiveness 通知可能なデータ侵害対策 - 影響と有効性
Interaction between the Act and other regulatory schemes 法と他の規制制度との相互作用
Appendix A – Overview of the Australian Privacy Principles 付録 A - オーストラリアの個人情報保護原則の概要
Appendix B - Privacy Act timeline 付録 B - 個人情報保護法のタイムライン

 

| | Comments (0)

2020.11.01

米国 CISAとFBIがイランのAPT攻撃者が有権者登録データを取得していたと公表していますね。。。

こんにちは、丸山満彦です。

米国 CISAとFBIがイランのAPT攻撃者が有権者登録データを取得していたと公表していますね。。。

大統領選が近づいてきて、色々とあるのでしょうね。。。

● CISA

・2020.10.30 Alert (AA20-304A) Iranian Advanced Persistent Threat Actor Identified Obtaining Voter Registration Data

Technical Detailsに


CISA and the FBI can confirm that the actor successfully obtained voter registration data in at least one state. The access of voter registration data appeared to involve the abuse of website misconfigurations and a scripted process using the cURL tool to iterate through voter records. A review of the records that were copied and obtained reveals the information was used in the propaganda video. 


とあるので、データが取得されたと認めているようですね。。。どこの州かは言及されていませんが。。。

いずれにしても大統領選を前にサイバー空間も含めて色々な意図を持った活動が行われているようですね。。。

 


■ 報道等

● Bloomberg

・2020.10.31 Iran Accused of Hacking U.S. Voter Data Before Election Day by 

The FBI and the Cybersecurity Infrastructure Security Agency -- a unit of the Department of Homeland Security -- revealed Friday that the attack was an effort to “influence and interfere” in the 2020 presidential election. The agencies said the attack was executed by the same group of Iranians that sent faked, threatening emails targeting Democratic voters earlier this month.

The agencies didn’t disclose which state was breached.

 

● NBC news

・2020.10.31 Iran targeting U.S. state voter rolls and spreading election propaganda, officials say

At least one state's voter registration data was obtained, but there is no indication that any voter registration databases have been manipulated or any votes have been changed.

● FOX 

・2020.10.30 Iranian hackers who posed as the Proud Boys accessed voter data in one state, feds say by Donie O'Sullivan and Alex Marquardt, CNN

● Voice of America

・2020.10.30 US Confirms Iran Hacked Voter Registration Data in 1 State by Jeff Seldin

● Cyberscoop

・2020.10.30 Iranian hackers probed election-related websites in 10 states, US officials say by 

● Bleeping Computer

・2020.10.30 FBI: How Iranian hackers stole voter info from state election sites by

DHS CISA and the FBI today shared more info on how an Iranian state-sponsored hacking group was able to harvest voter registration info from U.S. state websites, including election sites.

The harvested data was later used fake Proud Boys voter intimidation emails that targeted Democratic voters attempting to convince them to vote for President Trump.


■ その他参考

● FBI

・2020.10.22 [PDF] Iranian State-Sponsored Advanced Persistent Threat Actors Threaten Election-Related Systems


SUMMARY

The Cybersecurity and Infrastructure Security Agency (CISA) and the Federal Bureau of Investigation (FBI) are warning that Iranian advanced persistent threat (APT) actors are likely intent on influencing and interfering with the U.S. elections to sow discord among voters and undermine public confidence in the U.S. electoral process.

The APT actors are creating fictitious media sites and spoofing legitimate media sites to spread obtained U.S. voter-registration data, anti-American propaganda, and misinformation about voter suppression, voter fraud, and ballot fraud.

The APT actors have historically exploited critical vulnerabilities to conduct distributed denial-of-service (DDoS) attacks, structured query language (SQL) injections attacks, spear-phishing campaigns, website defacements, and disinformation campaigns.


イランのAPT工作員が、有権者の間に不和を生み出し、選挙プロセスに対する国民の信頼を損なうために、米国の選挙に影響を与え、妨害することを意図して活動しているとCISAとFBIは考えているようですね。

彼らは、架空のメディアサイトを作成したり、正規のメディアサイトになりすましたりして、入手した米国の有権者登録データ、反米プロパガンダ、有権者弾圧、有権者詐欺、投票詐欺に関する誤報を広めているようですね。

● The New York Times

・2020.10.21 Iran and Russia Seek to Influence Election in Final Days, U.S. Officials Warn

Iran is behind threatening, spoofed emails sent to voters, the officials said, but there was no indication that any votes themselves had been altered.

| | Comments (0)

« October 2020 | Main