まるちゃんの情報セキュリティ気まぐれ日記: December 2020

June 2025
Sun	Mon	Tue	Wed	Thu	Fri	Sat
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

December 2020

2020.12.31

自民党デジタル社会推進本部デジタル庁創設に向けた中間提言 at 2020.12.22 （小林史明議員公式サイト）

こんにちは、丸山満彦です。

2020.12.25に「デジタル社会の実現に向けた改革の基本方針」と「デジタル・ガバメント実行計画」が閣議決定されましたが、その３日前の2020.12.22に自民党デジタル社会推進本部から菅総理大臣に「デジタル庁創設に向けた中間提言」が出されていましたがその情報は、小林史明議員の公式サイトにありますね。。。

● 小林史明議員公式サイト

・2020.12.22 自民党デジタル社会推進本部菅総理にデジタル庁創設に向けた中間提言を申し入れました。

今回の提言の主なポイントは、

①行政こそが最大のデータ保有者であるということを自覚し、行政サービスだけでなく民間サービスにおいても活用できるよう、行政のデジタル化とデータの整理を行う。

②これまでの、国民からの申請を待つ行政から、一人ひとりにプッシュ型でサービスを届ける行政へ転換する。

③個人・企業の大きな負担となっている行政手続きを大幅に簡素化するとともに、標準APIを提供することで、民間サービスと行政データベースを連携させ圧倒的な生産性向上を実現する。

ということです。

年明けには、成長戦略に向けて議論を開始するので、提言を読んで是非意見をくださいとのことです。特に、

テクノロジーの社会実装を妨げている規制の見直し
行政の保有するデータを活用した新たな取り組み
民間企業同士でデータ連携を行う場合に必要な標準化すべき領域

についての意見を求めたいとのことです。

↓↓↓

提言に関するご意見: LINE@からお願いします。

提言は↓↓↓

・2020.12.22 デジタル庁創設に向けた中間提言

目次のようなもの・・・

デジタル庁創設に向けた第一次提言 (2020.11.17)

I．基本的考え方
Ⅱ．社会全体のデジタル化に向けた施策
（システム）
（マイナンバー・データ）
（個人情報/セキュリティ）
Ⅲ．デジタル庁
（機能）
（組織）
（予算）

デジタル社会推進本部第二次提言 (2020.12.22)
（短期的視点）
（中長期的視点）
取組の推進にあたり、

I　国民、住民（在留外国人含む）
（教育分野）
（医療・介護・福祉）
（防災・減災）
Ⅱ 企業・個人事業主
Ⅲ 政府・地方公共団体
Ⅳ　サイバーセキュリティ
1-1．統一基準の見直し
1-2．政府機関等のサイバーセキュリティ対策の抜本的強化
1-3．政府機関情報システムのクラウド化と情報セキュリティのあり方
1-4．政府機関におけるセキュリティ・IT人材の確保等

[HTML] 目次付きのHTMLにしてみました・・・

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.25 官邸「デジタル社会の実現に向けた改革の基本方針」と「デジタル・ガバメント実行計画」が閣議決定

・2020.11.19 自民党デジタル社会推進本部がデジタル庁についての第一次提言を平井卓也デジタル改革担当相に手交

・2020.07.07 自民党サイバーセキュリティ対策推進議員連盟の提言

・2012.02.27 自民党情報セキュリティに関する提言

・2011.12.31 自民党が構想するサイバーセキュリティ対策

2020.12.31 06:52 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 監査 / 認証, in 危機管理 / 事業継続, in クラウド, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

2020.12.30

US OIG によるFBIのダークウェブの利用に関する監査 at 2020.12.17

こんにちは、丸山満彦です。

米国連邦政府司法省監察官室による連邦捜査局（FBI）のダークウェブ戦略の実施状況の評価結果を公表していますね。

● U.S. The Department of Justice Office of the Inspector General (OIG)

・2020.12.17 Audit of the Federal Bureau of Investigation’s Strategy and Efforts to Disrupt Illegal Dark Web Activities

ニュースリリースは↓

・[PDF] 2020-12-17 DOJ OIG Releases Report on the FBI’s Strategy and Efforts to Disrupt Illegal Dark Web Activities

監査報告書は↓

・[PDF] 21-014 Audit of the Federal Bureau of Investigation’s Strategy and Efforts to Disrupt Illegal Dark Web

５つの勧告事項は、

1. FBIのダークウェブ戦略
- FBIが正式な局全体のダークウェブ戦略を策定または維持するという要件はないが、現在はFBIの運用部隊が個々のダークウェブ戦略を実行している。しかし、このような重複したアプローチは、冗長性、非効率性、またはスキル、能力、ツール、およびリソースと適切に整合していない調査の割り当てを引き起こす可能性がある。

2. ツールの開発と入手に関する懸念事項
- 過去2年間で、予算の減少と国家安全保障調査のためのツールの優先順位が高まったため、ダークウェブ調査の役割が低下した。その結果、運用部隊はその成果物を共有する仕組みがないまま、独自にダークウェブ調査に役立つツールを模索することになった。このような分散化は、非効率性をもたらしたと考えている。FBI全体で協調したダークウェブのアプローチを確立することで、捜査ツールの開発と取得の努力を強化・統合し、より費用対効果の高い方法でFBIのニーズに対応できるようになる可能性がある。

3. ダークウェブ関連のトレーニングリソースの一元化
- FBIは、すべての部署や現場職員に有益なダークウェブ関連のトレーニング資料を相当量保持していることがわかった。しかし、FBI職員は、利用可能なダークウェブ・トレーニングの選択肢を必ずしも知っているわけではなかった。これはFBIのダークウェブ関連のトレーニングが分散化・細分化されていることが原因であり、FBI全体で調整されたダークウェブ・アプローチを確立することで、FBIはトレーニング資料を集中化し、その利用可能性とアクセスの容易さを改善できる。

4. ダークウェブの暗号通貨支援
- FBIの資産没収基金が共同で資金を提供している別個の仮想通貨チームを介して、ダークウェブ捜査を含む運営支援を提供している2つのFBI部門がある。コストの上昇と資産没収基金からの資金調達が固定化されていることから、2つの仮想通貨チーム間でリソースの優先順位について意見の相違が生じており、冗長な作業を行っている懸念がある。FBI全体のダーク・ウェブ・アプローチの協調的な開発と並行して行われるべきだと考えています。

5. 捜査データの不一致の解消
- 捜査官の安全を確保し、進行中の捜査の完全性を維持し、共通の関心を持つ捜査対象を特定するためには、法執行機関間での捜査データの不一致の解消が不可欠で、匿名性が一般的なダーク・ウェブのような運用環境では、特に重要である。同省は、すべての法執行部門が捜査データの照合を解除し、その情報をDeconfliction and Information Coordination Endeavorシステムに入力することを要求している。我々がテストしたデータ項目のうち、運用部隊がこのデコンフリクション・システムに入力したのは47％に過ぎないことが分かった。これは、捜査努力の非効率化や、他の政府機関の活動を犯罪者と誤認することにもつながりかねない。

ダークウェブは、次の４つの部署で使われているようですね。。。

1	ダーク・ウェブ上で売買された麻薬性鎮痛薬やその他の麻薬を対象とするハイテク組織犯罪ユニット	Hi-Tech Organized Crime Unit: Hi-Tech OC Unit
2	ダーク・ウェブ上での児童の性的搾取を取り締まる児童搾取オペレーションユニット	Child Exploitation Operational Unit
3	ダーク・ウェブ上での大量破壊兵器の売買を対象とする大量破壊兵器総局捜査ユニット	Weapons of Mass Destruction Directorate, Investigative Unit
4	ダークウェブ上での違法なハッキングツールの流通に対抗するための「重大サイバー犯罪対策本部」

報告書の目次

INTRODUCTION
FBI Dark Web Responsibilities
OIG Audit Approach

AUDIT RESULTS
FBI’s Dark Web Approach
Hi-Tech OC Unit’s Formalized Dark Web Strategy
Three Operational Units did not Maintain Formalized Dark Web Strategies
Ambiguous Investigative Responsibilities
Summary of the Benefits of Developing a Coordinated FBI-wide Dark Web Approach
Tool Development and Acquisition Concerns
Operational Technology Division’s Diminishing Role Developing Tools Useful to Dark Web Investigations
Decentralized Tool Development and Acquisition
Improved Coordination of the Use of Existing Investigative Tools
Enhanced Process to More Efficiently Use ******
Centralization of Dark Web Training Resources
Dark Web Cryptocurrency Support
Deconfliction of Investigative Data

CONCLUSION AND RECOMMENDATIONS

APPENDIX 1: OBJECTIVE, SCOPE, AND METHODOLOGY
APPENDIX 2: ACRONYMS
APPENDIX 3: GLOSSARY
APPENDIX 4: FEDERAL BUREAU OF INVESTIGATION RESPONSE TO THE DRAFT REPORT
APPENDIX 5: OFFICE OF THE INSPECTOR GENERAL ANALYSIS AND SUMMARY OF ACTIONS NECESSARY TO CLOSE THE REPORT

2020.12.30 10:00 in 情報セキュリティ / サイバーセキュリティ, in フォレンジック, in ウイルス, in 法律 / 犯罪, in 監査 / 認証, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

2020.12.29

ドイツのITセキュリティ法案が閣議決定されている at 2020.12.16

こんにちは、丸山満彦です。

ドイツのITセキュリティー法2.0案が2020.12.16に閣議決定されたが、特定企業の排除は明示せれていない。

● TeleTrusT

ITセキュリティ法のページ

・IT-Sicherheitsgesetz

ITセキュリティ法 (IT-SIG2.0)案

・[PDF] Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0)

・[HTML] にしてみました・・・

BSIにより強力な権限を与えるようですね。。。

・参考（現行法）

・[PDF] IT-Sicherheitsgesetz_2015

・[PDF] Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSIGesetz (BSI-Kritisverordnung – BSI-KritisV) BSI法に基づく重要インフラの指定に関する規則

・Guideline "State of the art" - Technical and organizational measures 2020

■ 参考(報道等)

● JETRO

・ 2020.12.25 ITセキュリティー法2.0を閣議決定、特定企業の排除は明示せず（ドイツ）

Continue reading "ドイツのITセキュリティ法案が閣議決定されている at 2020.12.16"

2020.12.29 04:53 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in ウイルス, in 法律 / 犯罪, in クラウド, in IoT | Permalink | Comments (0)
Tweet

総務省　「地方公共団体における情報セキュリティポリシーに関するガイドライン」と「地方公共団体における情報セキュリティ監査に関するガイドライン」の公表及び意見募集の結果

こんにちは、丸山満彦です。

2021.12.09 から2021.12.22まで意見募集をしていた「地方公共団体における情報セキュリティポリシーに関するガイドライン」と「地方公共団体における情報セキュリティ監査に関するガイドライン」が確定していますね。。。

短い期間中に50項目の意見が寄せられております。「ご指摘を踏まえ、記載を修正いたします。」として修正したところもありますが、多くは「今後の検討の参考にさせていただきます。」となっており、先送りをしている部分もあるかもしれませんね。。。

● 総務省

・2020.12.28 「地方公共団体における情報セキュリティポリシーに関するガイドライン」等の公表及び意見募集の結果

別添3 [PDF] 「地方公共団体における情報セキュリティ監査に関するガイドライン」

別添4 [PDF] 「地方公共団体における情報セキュリティポリシーに関するガイドライン」（改定案）等に対する意見募集結果について

●まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.25 官邸「デジタル社会の実現に向けた改革の基本方針」と「デジタル・ガバメント実行計画」が閣議決定

・2020.12.13 総務省意見募集「地方公共団体における情報セキュリティポリシーに関するガイドライン」（改定案）、「地方公共団体における情報セキュリティ監査に関するガイドライン」（改定案）

・2020.05.23 総務省「自治体情報セキュリティ対策の見直しについて」の公表

昔の話

・2010.11.16 総務省確定地方公共団体における情報セキュリティポリシーに関するガイドラインと地方公共団体における情報セキュリティ監査に関するガイドライン

・2010.09.17 総務省パブコメ　地方公共団体における情報セキュリティポリシーに関するガイドライン（案）と地方公共団体における情報セキュリティ監査に関するガイドライン（案）

・2010.08.06 総務省　電子自治体　情報セキュリティ対策の推進

・2010.05.01 内閣府地方公共団体の業務継続ガイドライン

・2010.04.02 総務省確定地方公共団体におけるASP･SaaS導入活用ガイドライン

・2010.03.09 総務省自治体クラウドポータルサイトの開設

・2010.02.20 総務省パブコメ「地方公共団体におけるASP・SaaS導入活用ガイドライン（案）」

・2009.03.28 総務省　電子自治体の推進に関する懇談会（セキュリティワーキング　グループ）検討結果

・2008.08.23 総務省確定「地方公共団体におけるＩＣＴ部門の業務継続計画（ＢＣＰ）策定に関するガイドライン」

・2008.06.28 総務省パブコメ「地方公共団体におけるＩＣＴ部門の業務継続計画（ＢＣＰ）策定に関するガイドライン」（案）

・2008.04.26 総務省地方自治情報管理概要

・2007.07.14 総務省「地方公共団体におけるITガバナンスの強化ガイド」を公表

・2007.07.09 総務省確定「地方公共団体における情報セキュリティ監査に関するガイドライン」

・2007.06.09 総務省パブコメ「地方公共団体における情報セキュリティ監査に関するガイドライン」

・2007.04.02 総務省自治体ＩＳＡＣ（仮称）実証実験の実施結果

・2006.09.30 総務省地方公共団体における情報セキュリティポリシーに関するガイドラインを公表

・2006.08.21 総務省パブコメ「地方公共団体における情報セキュリティポリシーに関するガイドライン」（案）

・2006.06.01 地方公共団体セキュリティ対策支援フォーラム「情報セキュリティ監査実施状況および推進課題に関する検討」報告書

・2006.04.06 総務省「地方公共団体の情報セキュリティレベルの評価に係る制度の在り方に関する調査研究報告書」の公表

・2006.01.24 総務省住民基本台帳ネットワークシステム及びそれに接続している既設ネットワークに関する調査票による点検状況

・2005.07.19 総務省　平成１７年度電子自治体関連施策　セキュリティ認定制度

・2005.07.17 「地方公共団体における情報セキュリティ内部アセスメント（監査）の進め方」

・2005.02.15 住民基本台帳ネットワークシステム　政府と国民の信頼がポイントではないのだろうか？

2020.12.29 00:00 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証 | Permalink | Comments (0)
Tweet

2020.12.28

川崎重工社内のシステム監査で高度なサイバー攻撃を発見

こんにちは、丸山満彦です。

川崎重工が2020.12.28に「当社グループへの不正アクセスについて」を公表しています。「今回の不正アクセスは痕跡を残さない高度な手口」だったようですが、「社内で実施しているシステム監査において、本来発生しないはずの海外拠点（タイ）から日本国内のサーバへの接続を発見し」、不正アクセスに気づき対応ができたようです。

「本来発生しないはずの」とありますので、この高度な手口による不正アクセスを発見したシステム監査人は内部の方だったのだろうと思います。事業を理解していることが重要であるということを示していると思います。

その後の調査では、より第三者的な目線や、高度な技術的な技量も必要となるため外部専門家が参画していますが、システム監査人がこのような不正アクセスを見つけるというのは、心強い感じですね。

● 川崎重工

・2020.12.28 [PDF] 当社グループへの不正アクセスについて

　川崎重工は、下記のとおり、社外から不正アクセスを受け、詳細な調査の結果、一部の情報が海外拠点から外部に流出した可能性があることを確認しましたのでご報告します。
　現時点では、社内からの情報流出に関して特定できた事実はありませんが、不正アクセスの範囲が複数の国内・海外拠点であるため公表までに時間を要したこと、ならびにお客様をはじめ関係先にご迷惑とご心配をお掛けしますことを深くお詫び申し上げます。

１．概要

2020年6月11日、社内で実施しているシステム監査において、本来発生しないはずの海外拠点（タイ）から日本国内のサーバへの接続を発見し、同日中に不正アクセスとして同拠点と国内拠点との通信を遮断しました。しかし、続いて断続的に他の海外拠点（インドネシア、フィリピン、米国）を経由した国内のサーバへの不正アクセスが確認されたため、海外拠点からのアクセス監視強化とアクセス制限の厳格化を進め、不正アクセスを遮断しました。...

・[Downloaded]

報道では、システム監査人の活躍が書かれていませんね。。。

あと、気になるのは、攻撃者の意図ですよね。。。何をするために不正アクセスをしたのか？？？

■ 参考

● IT Media
・2020.12.28 川崎重工に不正アクセス、一部情報流出の恐れ　「痕跡がなく、高度な手口によるもの」

川崎重工業は12月28日、同社の海外拠点から日本国内のデータセンターへ不正アクセスがあり、一部の情報が外部に流出した可能性があると発表した。

● Yahoo! News 共同通信
・2020.12.28 川崎重工に不正アクセス　個人情報流出の可能性

　川崎重工業は28日、タイなど海外の複数拠点のネットワークがマルウエア（悪意のあるソフト）に感染し、国内のデータセンターが不正アクセスを受けたと発表した。個人情報や取引先のデータが流出した可能性もあるという。被害は広範囲に及んでおり、現在も状況を調査している。

● 日本経済新聞
・2020.12.28 川崎重工業に不正アクセス、情報流出の可能性

　川崎重工業は28日、国内拠点のサーバーが第三者による不正アクセスを受け、顧客情報なども含めた一部の情報が海外拠点から外部に流出した可能性があると発表した。情報流出の可能性がある不正アクセスは同社で初めて。6月に発覚したが、「不正アクセスの範囲が国内外の複数拠点で公表に時間を要した」（広報）としている。

● NHK
・2020.12.28 川崎重工業で不正アクセス一部の情報が外部流出したおそれ

大手機械メーカーの川崎重工業は、海外の拠点を経由して顧客情報を管理している国内のデータセンターなどに不正なアクセスがあったと明らかにしました。一部の情報が外部に流出したおそれがあるということです。

2020.12.28 20:26 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

クラウドを利用する際の設定ミスにより第三者に迷惑をかける場合

こんにちは、丸山満彦です。

クラウドサービス等を利用する際にも当然に、誰が、何に対してどういうアクションができるのか？という設定が必要となってきます。アクセス方針について適切に決めていたとしても、設定を誤ると期待した効果が生じません。なので、適切に設定されていることは、クラウドサービスを利用する際にユーザが当然に確認すべき事項となります。この設定ミスにより第三者に迷惑をかけた場合は、ユーザの責任となるでしょうね。。。

ただ、設定が非常に複雑であったり、システムの理解が浅い利用者を想定している場合は、それ相応の対応（つまり、想定利用者の能力に応じて簡単に安全な設定ができるようにする機能や、説明ページ、場合によっては担当営業やカスタマーセンターによる対応）等を準備することはサービス提供者には必要となるでしょうね。。。この辺りの法律的な話は弁護士等の法律家の方がうまく説明してくれると助かりますね。。。

と、色々と最近の事件をみて思いました・・・

● PayPay

・2020.12.07 当社管理サーバーのアクセス履歴について

● 楽天

・2020.12.25 クラウド型営業管理システムへの社外の第三者によるアクセスについて

● piyolog

・2020.12.28 Salesforceの設定不備に起因した外部からのアクセス事案についてまとめてみた

● Salesforce

・2020.12.25 【お知らせ】当社一部製品をご利用のお客様におけるゲストユーザに対する共有に関する設定について

※ 2020.12.28に追記があります。

2020.12.29追記

高橋郁夫先生のブログ

● IT Research Art

・2020.12.29 「責任共有モデル」という前に

2020.12.28 16:51 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 脆弱性, in 法律 / 犯罪, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

欧州委員会サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂（NIS2指令）提案 at 2020.12.16

こんにちは、丸山満彦です。

欧州委員会が新しいサイバーセキュリティ戦略 (The EU's Cybersecurity Strategy for the Digital Decade) を公表し、「Directive on Security of Network and Information Systems（ネットワークおよび情報システムのセキュリティに関する指令）の改訂（NIS2 Derective）を提案していますね。。。

● EU Commission

・2020.12.16 (Press) New EU Cybersecurity Strategy and new rules to make physical and digital critical entities more resilient

・[PDF]

サイバーセキュリティ戦略

・2020.12.16 The EU’s Cybersecurity Strategy for the Digital Decade

・・The Cybersecurity Strategy

戦略の本文は次のPDFです。

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - The EU's Cybersecurity Strategy for the Digital Decade

目次は、

原文	仮訳
I. INTRODUCTION: A CYBERSECURE DIGITAL TRANSFORMATION IN A COMPLEX THREAT ENVIRONMENT	I. 序文：複雑な脅威環境下でのサイバースセキュア・デジタル・トランスフォーメーション
II. THINKING GLOBAL, ACTING EUROPEAN	II. グローバルに考え、ヨーロッパに行動する
1. RESILIENCE, TECHNOLOGICAL SOVEREIGNTY AND LEADERSHIP	1. 回復力、技術的地位およびリーダーシップ
1.1 Resilient infrastructure and critical services	1.1 回復力のあるインフラと重要なサービス
1.2 Building a European Cyber Shield	1.2 欧州のサイバー盾の構築
1.3 An ultra-secure communication infrastructure	1.3 超セキュアな通信インフラ
1.4 Securing the next generation of broadband mobile networks	1.4 次世代のブロードバンドモバイルネットワークの確保
1.5 An Internet of Secure Things	1.5 セキュアなIoT
1.6 Greater global Internet security	1.6 世界的なインターネットセキュリティの拡大
1.7 A reinforced presence on the technology supply chain	1.7 技術サプライチェーンにおける存在感の強化
1.8 A Cyber-skilled EU workforce	1.8 サイバースキルを持ったEUの労働力
2. BUILDING OPERATIONAL CAPACITY TO PREVENT, DETER AND RESPOND	2. 防止、抑止、対応するための運用能力の構築
2.1 A Joint Cyber Unit	2.1 共同サイバーユニット
2.2 Tackling cybercrime	2.2 サイバー犯罪への取り組み
2.3 EU cyber diplomacy toolbox	2.3 EUのサイバー外交ツールボックス
2.4 Boosting cyber defence capabilities	2.4 サイバー防衛力の強化
3. ADVANCING A GLOBAL AND OPEN CYBERSPACE	3. グローバルでオープンなサイバー空間の推進
3.1 EU leadership on standards, norms and frameworks in cyberspace	3.1 サイバー空間における基準、規範、枠組みに関するEUのリーダーシップ
Stepping up on international standardisation	国際標準化のステップアップ
Advance Responsible State Behaviour in Cyberspace	サイバー空間における責任ある国家行動の推進
The Budapest Convention on Cybercrime	サイバー犯罪に関するブダペスト条約
3.2 Cooperation with partners and the multi-stakeholder community	3.2 パートナーやマルチステークホルダー・コミュニティとの連携
3.3 Strengthening global capacities to increase global resilience	3.3 世界的な回復力を高めるためのグローバルなキャパシティの強化
III. CYBERSECURITY IN THE EU INSTITUTIONS, BODIES AND AGENCIES	III. EU の機関・機関・機関におけるサイバーセキュリティ
IV. CONCLUSIONS	IV. 結論
Appendix: Next steps on cybersecurity of 5G networks	付録 5Gネットワークのサイバーセキュリティに関する次のステップ

・（関連）

NIC2指令案

・2020.12.16 Proposal for directive on measures for high common level of cybersecurity across the Union

指令案とその付属書

指令文書

原文	仮訳
1. CONTEXT OF THE PROPOSAL	1. 提案の文脈
• Reasons for and objectives of the proposal	• 提案の理由と目的
• Consistency with existing policy provisions in the policy area	• 政策エリア内の既存の政策規定との整合性
• Consistency with other Union policies	• 他の組合方針との整合性
2. LEGAL BASIS, SUBSIDIARITY AND PROPORTIONALITY	2. 法的根拠、サブシディアリティ、プロポーショナルリティ
• Legal basis	• 法的根拠
• Subsidiarity (for non-exclusive competence)	• 補完性（非独占的能力の場合）
• Proportionality	• 比例性
• Choice of the instrument	• 文書の選択
3. RESULTS OF EX-POST EVALUATIONS, STAKEHOLDER CONSULTATIONS AND IMPACT ASSESSMENTS	3. 事後評価、ステークホルダー協議、影響評価の結果
• Ex-post evaluations/fitness checks of existing legislation	• 既存法の事後評価・適合性チェック
• Stakeholder consultations	• ステークホルダー協議
• Collection and use of expertise	• 専門知識の収集と活用
• Impact assessment	• 影響評価
• Regulatory fitness and simplification	• 規制の適合性と簡素化
• Fundamental rights	• 基本的な権利
4. BUDGETARY IMPLICATIONS	4. 予算面での影響
5. OTHER ELEMENTS	5. その他の要素
• Implementation plans and monitoring, evaluation and reporting arrangements	• 実施計画とモニタリング、評価、報告の取り決め
• Detailed explanation of the specific provisions of the proposal	• 提案の具体的な規定の詳細な説明

指令案

#	原文	#	仮訳
CHAPTER I	General provisions	第1章	総則
Article 1	Subject matter	第1条	対象
Article 2	Scope	第2条	範囲
Article 3	Minimum harmonisation	第3条	最小限の調和
Article 4	Definitions	第4条	定義
CHAPTER II	Coordinated cybersecurity regulatory frameworks	第2章	調整されたサイバーセキュリティ規制の枠組み
Article 5	National cybersecurity strategy	第5条	国家のサイバーセキュリティ戦略
Article 6	Coordinated vulnerability disclosure and a European vulnerability registry	第6条	協調的な脆弱性開示と欧州の脆弱性レジストリ
Article 7	National cybersecurity crisis management frameworks	第7条	国家的なサイバーセキュリティ危機管理の枠組み
Article 8	National competent authorities and single points of contact	第8条	国内の所管官庁と単一窓口
Article 9	Computer security incident response teams (CSIRTs)	第9条	コンピュータセキュリティインシデント対応チーム（CSIRT
Article 10	Requirements and tasks of CSIRTs	第10条	CSIRTの要件と業務
Article 11	Cooperation at national level	第11条	国家レベルでの協力
CHAPTER III	Cooperation	第3章	協力
Article 12	Cooperation Group	第12条	協力グループ
Article 13	CSIRTs network	第13条	CSIRTネットワーク
Article 14	The European cyber crises liaison organisation network (EU - CyCLONe)	第14条	欧州サイバー危機連絡組織ネットワーク (EU - CyCLONe)
Article 15	Report on the state of cybersecurity in the Union	第15条	連邦におけるサイバーセキュリティのあり方についての報告
Article 16	Peer-reviews	第16条	ピアレビュー
CHAPTER IV	Cybersecurity risk management and reporting obligations	第4章	サイバーセキュリティのリスク管理と報告義務
SECTION I	Cybersecurity risk management and reporting	第1節	サイバーセキュリティのリスク管理と報告
Article 17	Governance	第17条	ガバナンス
Article 18	Cybersecurity risk management measures	第18条	サイバーセキュリティのリスクマネジメント対策
Article 19	EU coordinated risk assessments of critical supply chains	第19条	EUが協調して実施した重要サプライチェーンのリスク評価
Article 20	Reporting obligations	第20条	報告義務
Article 21	Use of European cybersecurity certification schemes	第21条	欧州のサイバーセキュリティ認証スキームの利用
Article 22	Standardisation	第22条	標準化
Article 23	Databases of domain names and registration data	第23条	ドメイン名と登録データのデータベース
Section II	Jurisdiction and Registration	第2節	管轄と登録
Article 24	Jurisdiction and territoriality	第24条	管轄権と領土
Article 25	Registry for essential and important entities	第25条	必須事業体、重要事業体の登録
CHAPTER V	Information sharing	第5章	情報共有
Article 26	Cybersecurity information-sharing arrangements	第26条	サイバーセキュリティの情報共有の取り決め
Article 27	Voluntary notification of relevant information	第27条	関連情報の自主的な通知
CHAPTER VI	Supervision and enforcement	第6章	監督と執行
Article 28	General aspects concerning supervision and enforcement	第28条	監督及び執行に関する一般的な側面
Article 29	Supervision and enforcement for essential entities	第29条	必須事業体の監督と執行
Article 30	Supervision and enforcement for important entities	第30条	重要事業体の監督と執行
Article 31	General conditions for imposing administrative fines on essential and important entities	第31条	必須事業体、重要事業体に行政罰金を課すための一般的な条件
Article 32	Infringements entailing a personal data breach	第32条	個人情報の漏洩を伴う侵害
Article 33	Penalties	第33条	罰則
Article 34	Mutual assistance	第34条	相互扶助
CHAPTER VII	Transitional and final provisions	第7章	経過規定と最終規定
Article 35	Review	第35条	レビュー
Article 36	Exercise of the delegation	第36条	委任の行使
Article 37	Committee procedure	第37条	委員会手続き
Article 38	Transposition	第38条	転置
Article 39	Amendment of Regulation (EU) No 910/2014	第39条	規則(EU)第910/2014号の改正について
Article 40	Amendment of Directive (EU) 2018/1972	第40条	指令（EU）2018/1972の改正
Article 41	Repeal	第41条	廃止
Article 42	Entry into force	第42条	適用
Article 43	Addressees	第43条	連絡先

必須事業体と重要事業体は

↓↓↓

Continue reading "欧州委員会サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂（NIS2指令）提案 at 2020.12.16"

2020.12.28 14:26 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in IoT, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2020.12.27

U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます

こんにちは、丸山満彦です。

U.S. GAO 国防省の15のシステム開発を監査した結果を公表しています。。。参考になりますね。。。報告書は63ページあります・・・

● U.S. GAO

・2020.12.23 DOD Software Development Approaches and Cybersecurity Practices May Impact Cost and Schedule

・[PDF] Highlights Page

・[PDF] Full Report

It requested about $36.1 billion for IT for fiscal year 2020.

とありますから、国防省はIT予算として361億ドル、約4兆円の予算を要求しているんですね。。。日本の防衛予算は約５兆円ちょっと（2020.12.21 我が国の防衛と予算（案）-令和３年度予算の概要- ）ですから、すごい金額ですね。。。まぁ、国防省の予算[wikipedia]が7,000億ドル弱（77兆円）のようですから。。。（ちなみに、人件費・福利厚生費が40％弱を占めるみたいです）

Cost estimates decreased for 11 programs (ranging from .03% to 33.8%) and 10 programs experienced schedule delays (ranging from 1 month to 5 years).

とありますから、15のプログラムのうち11で開発コストが下がっているんですね。でも10のプログラムで遅延が発生していると・・・

10 of the 15 programs reported using commercial off-the-shelf software, which is consistent with DOD guidance to use this software to the extent practicable. Such software can help reduce software development time, allow for faster delivery, and lower life-cycle costs.

とあるので、10/15が市販ソフトを活用しているようですね。。。これはDODの方針にあっていると・・・

In addition, 14 of the 15 programs reported using an iterative software development approach which, according to leading practices, may help reduce cost growth and deliver better results to the customer. However, programs also reported using an older approach to software development, known as waterfall, which could introduce risk for program cost growth because of its linear and sequential phases of development that may be implemented over a longer period of time. Specifically, two programs reported using a waterfall approach in conjunction with an iterative approach, while one was solely using a waterfall approach.

ということは、ウォータフォールの開発手法だけではダメで、うまくアジャイルと組み合わせなさいという感じですかね。。。

In contrast, only eight of the 15 programs reported conducting cybersecurity vulnerability assessments—systematic examinations of an information system or product intended to, among other things, determine the adequacy of security measures and identify security deficiencies. These eight programs experienced fewer increases in planned program costs and fewer schedule delays relative to the programs that did not report using cybersecurity vulnerability assessments.

脆弱性のテストをしているプロジェクトが8/15あって、脆弱性テストをしているプロジェクトの方が、開発遅延やコスト増が少ない感じみたいですね。。。

GAOのこの強力な監査能力が結果的に政府の力を強めているのかもしれないと思うようになってきました。。。

2020.12.27 02:35 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

2020.12.26

JNSAの2020年セキュリティ十大ニュース

こんにちは、丸山満彦です。

日本ネットワークセキュリティ協会が2020年セキュリティ十大ニュースを発表していますね。

● 日本ネットワークセキュリティ協会 (JNSA)

・2020.12.25 セキュリティのプロが選ぶ！　JNSA 2020 セキュリティ十大ニュース　〜コロナが見せつけた大変革時代の幕開け〜

#	Date	タイトル	サブタイトル
1	2020.04.07	新型コロナウイルス感染症　七都府県に緊急事態宣言	問われるテレワークのセキュリティと働き方
2	2020.09.08	ドコモ口座サービスで不正利用発覚	信頼されてきた銀行でも甘かった認証、ドコモ利用者以外にも不安を引き起こす。
3	2020.09.18	「デジタル庁」21年に設置へ	デジタル庁　みんなの期待　ショウキアリ？
4	2020.10.01	東証システム障害で終日売買停止	危機対応の評価分かれる、IT装置産業のレジリエンスに問題提起
5	2020.09.04	進化を続けるマルウェア「Emotet」の感染急増	EmotetはEメールコミュニケーションを死にいたらしめるか？
6	2020.02.12	防衛関連企業、不正アクセス事案の調査結果を公開	周到に計画された「国家が支援するサイバー攻撃」の衝撃
7	2020.10.29	GoTo利用し無断キャンセル千葉のホテル、被害63万円分	急ごしらえでも不正はフセイでいこう！
8	2020.06.12	期待のISMAP運用開始	クラウドサービス選定に新たなスタンダード
9	2020.11.16	カプコン、標的型ランサムウェアで最大35万人の個人情報流出か	サイバー攻撃対策も新型コロナ対策も、的確な判断のための計画づくりが重要
10	2020.11.05	経産省、IoTセキュリティ・セーフティ・フレームワーク（IoT-SSF）を策定	フィジカルとサイバーをつなぐIoTのセキュリティ対策が動きだす

2020.12.26 22:18 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in ウイルス, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in IoT, in (temp)COVID-19 | Permalink | Comments (0)
Tweet

日本公認会計士協会がTrust規準以外の情報セキュリティ監査ができるように基準を変えるようですよ（公開草案を公表しています）

こんにちは、丸山満彦です。

日本公認会計士協会が、「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びＩＴ委員会研究報告「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るＱ＆Ａ」」（公開草案）を公表していますね。。。

これは従来のTrust Service Criteriaの適用を前提とした保証業務実務指針3852「受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の保証報告書」（2019年11月６日最終改正）及びIT委員会実務指針第2号「Trustサービスに係る実務指針（中間報告）」に代わる実務指針及びそのＱ＆Ａと言う位置付けで、Trust Service Criteria以外の規準を適用した場合に限らず、広く情報セキュリティ等に関する受託業務のTrustに係る内部統制を対象とした保証業務を行うための実務指針及び研究報告と言うことですね。。。

● 日本公認会計士協会

・2020.12.25「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びＩＴ委員会研究報告「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るＱ＆Ａ」」（公開草案）の公表について

「付録５受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の評価のための Trust サービス規準」だけ別れているので読むときは注意してくださいね。。

また、今回の実務指針は、「合理的な保証を提供する主題情報の提示を受ける保証業務に関する実務上の指針のみを取り扱っている。（第 11 項及び第 51 項(13)参照）とのことです。簡単に言うと、内部統制の監査（J-SOX）と同じ枠組みということです

Criteria＝規準を従前のTrusu Sercice Criteria以外にも認めると言うことですから、付録５に記載されている従前の規準であるＩＴ委員会研究資料第10号「セキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに関するTrustサービス規準」（以下「ＩＴ研資10号」という。）に示された米国公認会計士協会（American Institute of Certified Public Accountants）「受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の評価のためのTrustサービス規準」は例示であって、これ以外のCriteriaも認めるということになりますね。。。

これは実は大きな変更なんです。。。論点は2つです。

何を保証して欲しいか？保証するか？（主題・主題情報の問題）
その保証のためにはどのような規準が使えるか？（規準の問題）

従前は何を保証して欲しいか？とその保証のための規準の組み合わせが「Trust Serviceという枠組み」の中で固定されていました。

しかし、規準をTrust Serviceに限らないとすると「主題・主題情報」と「規準」の組み合わせが自由になるということです。しかし、なんでも良いというわけにはいかないので、「主題・主題情報」と「規準」についてなんらかの要件が必要となりますね。。。

そこを注意してほしいと思います！

例えて言うと、「違法建築ではない」と言うことを知りたいのに、「建物の色は住民に受け入れられているか？」と言う「主題」を立ててもダメだし、「建物の設計は法律に準拠していて、施工は設計通りに実施したという経営者の記述」と言う主題情報を評価するのに、「建築物の高さについての規制」だけを規準としてもダメだと言うことですね。。。

この辺りについては、

Q＆AのQ6が参考になります。

Ｑ６「付録５の規準」以外の主題情報を追加する際に留意すべき事項を教えてください。また、「付録５の規準」以外の規準に基づいて主題情報を評価する際に留意すべき事項を教えてください。

Ａ６受託会社監査人は、受託会社からの要請に基づいて、「付録５の規準」に追加して、状況によっては、「付録５の規準」以外の規準に基づいて、例えば、規制当局の要求事項や業界団体の自主規制等の遵守に関して、保証実 3850 に準拠して業務を実施することができます。

(1) 「付録５の規準」以外の主題情報を追加する際の留意事項この場合、受託会社監査人は、「付録５の規準」と、受託会社から追加された主
題情報に関する説明、受託会社のシステムに関する記述書の記述の追加及び関連する内部統制等に関する受託会社監査人の業務の遂行上必要な情報を入手する必要があります（保証実 3850 付録５第２項参照）。

当該情報には以下のものが含まれます。

① 追加した主題情報に関する受託会社のシステムに関する記述書の補足
② 追加した主題情報の評価又は測定と表示に利用する規準の説明
③ 規準が内部統制に関係する場合、当該規準に対応する内部統制の説明
④ 追加した主題情報に対する経営者の確認書

また、受託会社監査人は、追加された主題情報に対して、保証実 3850 に準拠して当該事項を検証する必要があります。さらに、保証報告書には、範囲及び意見に関する記述は区分して記載し、タイプ２の報告書の場合、追加された主題情報について受託会社監査人が実施した追加の検証手続及びその結果についても報告書に区分して記載します。

(2) 「付録５の規準」以外の規準に基づいて主題情報を評価する際の留意事項保証実 3850 は、「付録５の規準」以外の規準に基づいて主題を評価する場合も想定しています。なお、情報セキュリティ等のＩＴ関連の保証業務に関わる個別指針であるため、一般指針の監査・保証実務委員会実務指針第 93 号「保証業務実務指針 3000「監査及びレビュー業務以外の保証業務に関する実務指針」」（以下
「保証実 3000」という。）と同時に適用されます。

情報セキュリティ等に関する主題について、「付録５の規準」以外の規準に基づいて評価するに際しては、保証業務の実施者は、主題を評価するための規準が、保証実 3000 第 24 項に基づいて、保証業務の前提条件が満たされているかどうか、主題の適切性や規準の適合性及び利用可能性などを判断する必要があります。

参考

監査・保証実務委員会実務指針：第 93 号 保証業務実務指針 3000 監査及びレビュー業務以外の保証業務に関する実務指針 (2017.12.19)

≪(1) 保証業務の前提条件≫
24．業務実施者は、保証業務の前提条件が満たされているかどうかを明確にするため、業務の状況に関する予備知識及び適切な当事者との協議に基づき、以下の事項について判断しなければならない（A35 項参照）。

(1) 適切な当事者の負うべき役割と責任が、状況に応じて適切に分担されているかどうか（A36 項から A38 項まで参照）。

(2) 業務が以下の全ての特徴を有しているかどうか。
① 主題が適切である（A39 項から A43 項まで参照）。

② 主題情報の作成に適用されると業務実施者が想定する規準が以下の特性を示しており、業務の状況に照らして適合している（A44 項から A49 項まで参照）。
　ア．目的適合性
　イ．完全性
　ウ．信頼性
　エ．中立性
　オ．理解可能性

③ 主題情報の作成に適用されると業務実施者が想定する規準が、想定利用者にとって利用可能である（A50 項及び A51 項参照）。

④ 業務実施者が、結論を裏付けるために必要な証拠を入手できることが見込まれている（A52 項から A54 項まで参照）。

⑤ 業務実施者の結論が、合理的保証業務又は限定的保証業務に適した様式で報告書に含まれる予定である。

⑥ 限定的保証業務の場合には、業務実施者が意味のある保証水準を得ることによってその達成を期待するような、業務の合理的な目的が存在する（A55 項参照）。

より詳細な情報は、

↓↓↓

Continue reading "日本公認会計士協会がTrust規準以外の情報セキュリティ監査ができるように基準を変えるようですよ（公開草案を公表しています）"

2020.12.26 07:12 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in パブコメ | Permalink | Comments (0)
Tweet

2020.12.25

官邸「デジタル社会の実現に向けた改革の基本方針」と「デジタル・ガバメント実行計画」が閣議決定

こんにちは、丸山満彦です。

電子政府（2000.11.27 ＩＴ基本戦略を決定）から20年。。。「デジタル社会の実現に向けた改革の基本方針」と「デジタル・ガバメント実行計画」が閣議決定されましたね。。。

● 首相官邸 - 政策会議 - 閣議決定 (2012年以前の決定事項等)

・2020.12.25 デジタル社会の実現に向けた改革の基本方針

・[PDF] （参考）概要

・[PDF] 本文

Ⅰ．はじめに

Ⅱ．デジタル社会の将来像
１．デジタル社会の目指すビジョン
２．デジタル社会を形成するための基本原則

Ⅲ．IT 基本法の見直しの考え方
１．IT 基本法に係るこれまでの経緯
２．IT 基本法の施行後の状況の変化・法整備の必要性
３．検討の方向性
（１）何のためのデジタル化か
（２）どのような社会を実現するか
（３）デジタル社会の形成に向けた取組事項
（４）役割分担
（５）国際的な協調と貢献
（６）重点計画の策定

Ⅳ．デジタル庁（仮称）設置の考え方
１．基本的考え方
２．デジタル庁の業務
（１）国の情報システム
（２）地方共通のデジタル基盤
（３）マイナンバー
（４）民間のデジタル化支援・準公共部門のデジタル化支援
（５）データ利活用
（６）サイバーセキュリティの実現
（７）デジタル人材の確保
３．デジタル庁の組織
（１）デジタル庁の機能及び位置づけ
（２）デジタル庁の体制
（３）円滑な業務遂行のための措置
（４）発足時期

別紙デジタル改革関連法案ワーキンググループ作業部会とりまとめ（令和２年11 月 20 日）

・[PDF] 別紙

Ⅰ．はじめに
１．現状と課題
２．目指す姿・トータル・デザイン
３．デジタル庁（仮称）の機能と業務
４．期待される効果

Ⅱ．デジタル化に向けた課題の検討状況
１．国の情報システム
（１）現状と課題
（２）見直しの方向性
（３）システムの監査
（４）実現される効果
（５）独立行政法人の情報システム
２．地方共通のデジタル基盤
（１）現状と課題
（２）見直しの方向性
（３）実現される効果
（４）補論
３．マイナンバー
（１）現状と課題
（２）見直しの方向性
（３）実現される効果
４．民間のデジタル化支援・準公共部門のデジタル化支援
（１）基本的な考え方
（２）準公共部門における重要政策の推進
（３）民間における業種を超えた相互連携が重要な分野（相互連携分野）における重要施策の推進
（４）デジタル化促進のための行政手続・規制の高度化における重要施策の推進
５．データ利活用
（１）基本的な考え方
（２）電子証明等（電子署名法）に係る整理について
（３）電子証明等（電子委任状法）に係る整理について
（４）電子証明等（商業登記電子証明書）に係る整理について
（５）ID 管理（法人番号）に係る整理について
（６）本人認証（ＧビズＩＤ）に係る整理について
（７）ベース・レジストリ
（８）実現される効果
６．サイバーセキュリティ
７．デジタル人材の確保と育成

Ⅲ．デジタル庁創設に向けたスケジュール

資料
１．デジタル社会実現に向けたＩＴ総合戦略本部の推進体制
２．デジタル改革関連法案ワーキンググループ作業部会の開催について
３．作業部会構成員・幹事会
４．デジタル庁が関与するシステムの範囲
５．住民基本台帳・マイナンバー・公的個人認証関係事務の概要
６．地方公共団体の情報システムと方針の射程
７．マイナンバー以外の ID・認証署名関係の制度・監督・予算の概要
８．個人・法人に係る ID・認証・電子署名等のスキーム
９. デジタル庁と NISC の役割分担について（案）

・2020.12.25 デジタル・ガバメント実行計画

・[PDF] （参考）概要

・[PDF] 全体

・[PDF] 本文

１はじめに
1.1 本計画の趣旨
1.2 計画期間等

２利用者中心の行政サービス改革
2.1 「サービス設計 12 箇条」に基づくサービスデザイン思考の導入・展開
（1）「サービス設計 12 箇条」
（2）「サービス設計 12 箇条」の導入と普及（◎内閣官房、総務省、全府省）
2.2 業務改革（BPR）の徹底（◎内閣官房、◎総務省、全府省）
2.3 サービスデザインの実践及び民間サービスとの連携による、利用者中心サービスの更なる推進に向けた環境の整備（◎内閣官房）

３国・地方デジタル化指針

４デジタル・ガバメントの実現のための基盤の整備
4.1 デジタル・ガバメントの実現のためのグランドデザイン（◎内閣官房、◎総務省、全府省）
4.2 デジタルインフラの整備と利用、情報システムの共用の推進（◎内閣官房、◎総務省、全府省）
4.3 マイナンバーカードの普及（◎内閣官房、◎総務省、◎内閣府、関係省庁）
4.4 行政機関におけるクラウドサービス利用の徹底
（1）クラウド・バイ・デフォルト原則を踏まえた政府情報システムの整備（◎内閣官房、◎総務省、全府省）
（2）クラウドサービスの安全性評価（◎内閣官房、◎総務省、◎経済産業省、全府省）
4.5 情報セキュリティ対策・個人情報保護等（◎全府省、◎内閣官房）
4.6 情報システムに関する技術トレンドへの対応（◎内閣官房）
4.7 新たなデータ戦略の推進（◎内閣官房、全府省）
4.8 行政保有データのオープン化、行政データ連携の推進
4.8.1 ベース・レジストリ整備の推進（◎内閣官房、全府省）
4.8.2 その他基盤データの整備の推進（◎内閣官房、全府省）
4.8.3 オープンデータの推進（◎内閣官房、全府省）
4.8.4 包括的なデータマネジメントの推進（◎内閣官房、全府省）
4.8.5 プラットフォームとしての行政の構築（◎内閣官房、全府省）
4.8.6 行政保有データの 100％オープン化
4.8.7 行政データ連携の推進
4.9 行政手続等の棚卸しの継続・改善（◎内閣官房、総務省、全府省）

５価値を生み出すガバナンス
5.1 一元的なプロジェクト管理（◎内閣官房、◎総務省、財務省、全府省）
5.1.1 デジタルインフラの整備及び運用に係る予算の一括要求（◎内閣官房、関係府省）
5.1.2 政府 CIO レビューの実施
（1）政府 CIO レビューの実施（◎内閣官房、関係府省）
（2）政府重点プロジェクト（◎内閣官房、関係府省）
（3）政府横断施策や投資額の大きいプロジェクトのガバナンスの徹底（◎内閣官房、総務省、関係府省）
5.1.3 各府省ガバナンスの強化（◎全府省、◎内閣官房、◎総務省）
（1）各府省中長期計画（◎全府省、◎内閣官房、◎総務省）
（2）府省重点プロジェクト（◎全府省、内閣官房、総務省）
（3）PMO、PJMO によるプロジェクト管理（◎全府省、内閣官房、総務省）
5.1.4 技術的対話を取り入れた新たな調達・契約方法の試行運用の実施（◎内閣官房、総務省、経済産業省、関係府省）
5.2 政府情報システム改革の着実な推進（◎内閣官房、◎総務省、◎全府省）
5.3 標準ガイドライン群の充実・拡充・定着（◎内閣官房、総務省、全府省）
5.4 人材確保・育成
（1）政府におけるセキュリティ・IT 人材の確保・育成（◎内閣官房、総務省、◎全府省）
（2）情報システム統一研修に係る継続的な修了者の輩出と体系、実施内容等の見直し（◎内閣官房、◎総務省）

６行政手続のデジタル化
6.1 情報システムの整備に関する基本的な方針（◎内閣官房、全府省）
6.2 情報システムの整備（◎内閣官房、全府省）
6.2.1 行政手続のオンライン化実施の原則に係る情報システム整備
6.2.2 添付書類の省略に係る情報システム整備
6.2.3 行政手続の更なる利便性の向上に係る情報システム整備
6.3 情報システムの整備に当たり講ずべき施策（◎内閣官房、全府省）

７ワンストップサービスの推進
7.1 子育てワンストップサービス等の推進（◎内閣官房、内閣府、総務省、文部科学省、厚生労働省）
7.2 介護ワンストップサービスの推進（◎厚生労働省、内閣官房、内閣府）
7.3 引越しワンストップサービスの推進（◎内閣官房、内閣府、金融庁、国家公安委員会・警察庁、総務省、法務省、文部科学省、厚生労働省、経済産業省、国土交通省、関係府省）
7.4 死亡・相続ワンストップサービスの推進（◎内閣官房、内閣府、金融庁、総務省、法務省、財務省、厚生労働省、経済産業省、国土交通省、環境省、関係府省）
7.5 企業が行う従業員の社会保険・税手続ワンストップ化・ワンスオンリー化の推進（◎内閣官房、総務省、財務省、厚生労働省、経済産業省）
7.6 法人向けワンストップサービスの実現（◎内閣官房、内閣府、法務省、総務省、財務省、厚生労働省、経済産業省）

８行政サービス連携の推進
8.1 マイナポータルの API 提供によるサービス連携の拡大（◎内閣府）
8.2 申請受付システム等の一元化に向けたの継続的改善（◎総務省）
8.3 法人デジタルプラットフォームの整備（◎経済産業省、内閣官房、関係府省）
8.4 事業者のバックオフィス業務の効率化のための請求データ標準化（◎内閣官房、総務省、財務省、文部科学省、経済産業省、国土交通省、防衛省）

９業務におけるデジタル技術の活用
9.1 AI・RPA 等のデジタル技術の活用（◎全府省、◎内閣官房、総務省）
9.2 デジタル・ワークスタイルの実現のための環境の整備
（1）ペーパーレス化の推進（◎全府省、◎内閣官房）
（2）テレワークの推進（◎全府省、◎内閣官房、総務省）
（3）その他の取組（◎全府省、◎内閣官房、総務省）
9.3 電子的な公文書管理等（◎内閣府、◎総務省、全府省）

10 デジタルデバイド対策（◎全府省）

11 広報等及び国際展開
（1）デジタル・ガバメント推進のためのサービス利用者への広報（◎内閣官房、◎総務省、◎全府省）
（2）戦略的な国際対応（◎内閣官房、◎総務省、◎経済産業省、関係府省）

12 地方公共団体におけるデジタル・ガバメントの推進
12.1 地方公共団体の行政手続のオンライン化の推進（◎内閣官房、◎総務省、◎内閣府、関係省庁）
12.2 地方公共団体における情報システム等の共同利用の推進
（1）地方公共団体における業務プロセス・情報システムの標準化の推進（◎内閣官房、◎総務省、内閣府、文部科学省、厚生労働省、関係省庁）
（2）地方公共団体におけるデジタル・トランスフォーメーションの推進（◎総務省）
（3）地方公共団体における地域情報プラットフォーム準拠製品の導入及び中間標準レイアウトの利用の推進（◎総務省）
（4）地方公共団体における適正な情報セキュリティ対策（◎総務省）
12.3 地方公共団体における AI・RPA 等による業務効率化の推進（◎総務省、◎内閣官房）
12.4 地方公共団体におけるオープンデータの推進（◎内閣官房、関係府省）
12.5 地方公共団体のガバナンス強化と人材確保・育成（◎総務省、内閣官房）
12.6 地方公共団体のデジタル・ガバメントの構築に向けた地方公共団体の官民データ活用推進計画策定の推進（◎内閣官房、総務省、関係府省）

13 民間手続デジタル化の推進のフォローアップ（◎内閣官房、関係府省）

14 フォローアップと見直し

改定履歴

別紙１オンライン化等を実施する行政手続等
別紙２添付書類の省略を実施する行政手続
別紙３更なる利便性の向上を図る行政手続等
別紙４地方公共団体が優先的にオンライン化を推進すべき手続
別添１マイナンバー制度及び国と地方のデジタル基盤の抜本的な改善に向けて（国・地方デジタル化指針）
別添２マイナンバーカードを活用した各種カード等のデジタル化等に向けた工程表

・[PDF] 別紙

別紙１オンライン化等を実施する行政手続等

Ⅰ 国民等、民間事業者等と国等との間の手続
1. 金融機関に対する預貯金等の照会・回答（◎内閣官房、内閣府、警察庁、金融庁、総務省、法務省、財務省、厚生労働省、関係省庁）
2. 独占禁止法等に基づく手続（◎公正取引委員会）
3. 所管金融機関等による国への申請・届出等（◎金融庁）
4. 適格消費者団体等の認定の申請に係る事項の変更の届出等（◎消費者庁）
5. 電気通信サービスを取り扱う販売代理店による報告（◎総務省）
6. 特定技能所属機関等による届出（◎法務省）
7. 日本語教育機関の告示基準に基づく報告（◎法務省）
8. 法人設立登記関係手続（◎法務省、財務省）
9. 旅券の発給申請等（◎外務省）
10. APEC・ビジネス・トラベル・カード申請交付等（◎外務省）
11. 国税関係手続等の申請等（◎財務省）
12. 医薬品等製造業等の許可申請等（◎厚生労働省）
13. 医薬品等輸入確認の申請（◎厚生労働省）
14. 解体・改修工事の届出（◎厚生労働省）
15. 技能検定の受検の申請及び合格通知等（◎厚生労働省）
16. 国民年金保険料免除・納付猶予の申請（◎厚生労働省、内閣府）
17. 食品衛生営業許可申請等（◎厚生労働省）
18. 新型コロナウイルス感染症に対するワクチン接種円滑化に係る手続（◎厚生労働省）
19. ハローワークの求人・求職の申込み等（◎厚生労働省）
20. 保険医療機関等の指定変更申請等（◎厚生労働省）
21. 予防接種後副反応疑い報告（◎厚生労働省）
22. 漁獲成績報告書の提出（◎農林水産省）
23. 農林漁業者等に係る農林水産省関係手続（◎農林水産省）
24. 肥料登録申請等（◎農林水産省）
25. 輸出証明書の発行申請（◎農林水産省、厚生労働省、財務省）
26. 化学兵器禁止法に基づく届出（◎経済産業省）
27. 揮発油販売業者の登録申請等（◎経済産業省）
28. 事業継続力強化計画認定申請（◎経済産業省）
29. 地熱等に係る発電設備の定期報告（◎経済産業省）
30. 電気・ガス事業者による申請・届出等（◎経済産業省）.
31. 建設関連業者の登録申請（◎国土交通省）
32. 建設業許可、経営事項審査関係手続（◎国土交通省）
33. 航空従事者技能証明の申請等（◎国土交通省）
34. 自動車保有関係手続等（◎国土交通省）
35. 住宅建設瑕疵担保保証金等の供託等の届出（◎国土交通省）.
36. 船舶の電子証書の交付（◎国土交通省）
37. 賃貸住宅管理業登録関係手続（◎国土交通省）
38. 特定改造等の許可の申請（◎国土交通省）
39. 汎用受付システムで実施する国土交通省関係手続（◎国土交通省）.
40. PS カード申請手続（◎国土交通省）
41. 無人航空機の登録関係手続（◎国土交通省）
42. 犬猫へのマイクロチップ装着義務化に係る情報登録（◎環境省）.
43. Ｊ－クレジット制度における手続（◎環境省）
44. 石綿健康被害救済法に基づく医学的判定業務（◎環境省）.
45. 防衛施設建設工事申請（◎防衛省）
46. 陸海空自衛隊で実施する調達の入札に係る手続（◎防衛省）.
47. 在留資格に関する手続（◎法務省）
48. 在留資格認定証明書の電磁的記録による交付（◎法務省）.
49. 在外公館等における証明申請（◎外務省）
50. 在外公館における査証申請・交付（◎外務省）
51. 中学校卒業程度認定試験及び高等学校卒業程度認定試験関係手続（◎文部科学省）
52. 医師法等に基づく氏名等の届出（◎厚生労働省）
53. 家畜伝染病予防法等に基づく報告、通報等（◎農林水産省）
54. アルコール製造事業の許可申請等（◎経済産業省）
55. 船員職業安定窓口の求人・求職の申込み（◎国土交通省）
56. 宅地建物取引業免許等関係手続（◎国土交通省）
57. 地方運輸局における交通行政（鉄道、海事等）に関連した申請・届出等（◎国土交通省）
58. 特定車両停留施設における停留許可関係手続（◎国土交通省）
59. 環境法令に基づく各種届出等（◎環境省）
60. 中央調達業務の総合評価落札方式に係る手続（◎防衛省）

Ⅱ 国民等、民間事業者等と地方公共団体等との間の手続
61. 特定非営利活動促進法関係手続（◎内閣府）
62. 遺失物関係手続（◎警察庁）
63. 警察における行政手続（◎警察庁）
64. 消防法令における申請・届出等（◎総務省）
65. 家畜人工授精所の運営状況報告手続（◎農林水産省）
66. 建築物等の解体等工事に伴う事前調査結果の報告等（◎環境省）
67. 指定難病等の医療費支給認定の申請（◎厚生労働省）
68. 建築設備及び昇降機等の定期検査の報告（◎国土交通省）

≪以下、Ⅰに掲載されたものの再掲≫
1. 金融機関に対する預貯金等の照会・回答（◎内閣官房、内閣府、警察庁、金融庁、総務省、法務省、財務省、厚生労働省、関係省庁）
9. 旅券の発給申請等（◎外務省）
12. 医薬品等製造業等の許可申請等（◎厚生労働省）
15. 技能検定の受検の申請及び合格通知等（◎厚生労働省）
17. 食品衛生営業許可申請等（◎厚生労働省）
18. 新型コロナウイルス感染症に対するワクチン接種円滑化に係る手続（◎厚生労働省）
23. 農林漁業者等に係る農林水産省関係手続（◎農林水産省）
24. 肥料登録申請等（◎農林水産省）
25. 輸出証明書の発行申請（◎農林水産省、厚生労働省、財務省）
32. 建設業許可、経営事項審査関係手続（◎国土交通省）
35. 住宅建設瑕疵担保保証金等の供託等の届出（◎国土交通省）
42. 犬猫へのマイクロチップ装着義務化に係る情報登録（◎環境省）
53. 家畜伝染病予防法等に基づく報告、通報等（◎農林水産省）
56. 宅地建物取引業免許等関係手続（◎国土交通省）
58. 特定車両停留施設における停留許可関係手続（◎国土交通省）
59. 環境法令に基づく各種届出等（◎環境省）

Ⅲ その他
69. 外国人雇用状況届出情報と在留管理情報の連携（◎法務省、◎厚生労働省）
70. 国民生活基礎調査の調査票の提出（◎厚生労働省）
71. 特定健康診査等に関する記録の提供等（◎厚生労働省）
72. 地方自治体・在外公館間のマイナンバーカード申請・交付等情報の共有（◎外務省）
73. 死亡等に関する事項の税務署長への通知（◎財務省、法務省）
74. 技術検定試験受検申請（◎国土交通省）

別紙２添付書類の省略を実施する行政手続

Ⅰ 登記事項証明書の添付省略
（１）法人及び不動産の登記情報に係る情報連携の仕組みの構築（◎法務省）
（２）登記事項証明書（商業法人）の添付を省略する手続
1. 物品・役務に係る競争入札参加資格申請（◎総務省）
2. 農林水産省共通申請サービスを活用する手続（◎農林水産省）
3. 公益社団法人及び公益財団法人に係る認定手続等（◎内閣府）
4. 電気通信事業者による申請・届出（◎総務省）
5. 食品衛生営業許可申請等（◎厚生労働省）
6. 経営革新等支援機関等の認定等申請手続（◎経済産業省）
7. 建設関連業者の登録申請（◎国土交通省）
8. 建設業許可関係手続（◎国土交通省）

Ⅱ 戸籍謄本等の添付省略
（１）情報連携等の仕組みの構築（◎法務省）

Ⅲ 納税証明書の添付省略
9. 物品・役務に係る競争入札参加資格申請（◎総務省）
10. 建設業許可、経営事項審査関係手続（◎国土交通省）

Ⅳ その他の書類の添付省略
11. 輸出証明書の発行申請（◎農林水産省、厚生労働省）

別紙３更なる利便性の向上を図る行政手続等

Ⅰ オンライン化の共通基盤
1. マイナポータルの機能の拡充（◎内閣府）
2. e-Gov を活用した行政手続オンライン化への対応（◎総務省）
3. 法人向けの行政手続のデジタル化（◎経済産業省）
Ⅱ 国民等、民間事業者等と国等との間の手続
4. 府省共通研究開発管理システム(e-Rad)の機能強化（◎内閣府）
5. 拉致被害者等に対する支援関係手続の利便性向上
6. 家計調査のオンライン回答の入力簡易化（◎総務省）
7. 自動車安全運転センターによる各種証明書発行サービスの利便性向上（◎警察庁）
8. 政府調達におけるオンラインによる競争参加資格申請等のマルチブラウザ対応等（◎総務省）
9. 無線局開設手続等に係る行政サービスの更なるデジタル化（◎総務省）
10. 政治資金関係申請等の利便性向上（◎総務省）
11. 供託のオンライン申請等の入力簡易化（◎法務省）
12. 登記・供託オンライン申請システムを利用した申請等手続の利便性向上法務省）
13. 揮発油税等の申告（◎財務省）
14. 国税の電子申告におけるマルチブラウザ対応について（◎財務省）
15. 高等学校等就学支援金の受給資格認定申請等（◎文部科学省）
16. 日本年金機構から事業者への処分通知等の電子的な送付（◎厚生労働省）
17. 「新型コロナウイルス感染者等情報把握・管理支援システム」を利用した手続の利便性の向上（◎厚生労働省）
18. 「新型コロナウイルス感染症医療機関等情報支援システム」を利用した手続の利便性の向上（◎厚生労働省）
19. 品種登録のオンライン出願の利便性向上等（◎農林水産省）
20. 確認を受けた新規化学物質に係る報告（◎経済産業省）
21. 外為法に基づく許可承認等申請のユーザビリティ向上（◎経済産業省）
22. 産業保安・製品安全法令に基づく手続の利用率向上（◎経済産業省）
23. 中小企業等経営強化法に基づく申請の利便性向上（◎経済産業省）
24. 特許情報提供サービスの迅速化（◎経済産業省）
25. 建設関連業者の登録申請における利便性向上（◎国土交通省）
26. 構造方法等の認定申請の利便性向上（◎国土交通省）
27. 道路占用許可申請手続の利便性向上（◎国土交通省）
28. 特殊車両通行手続の利便性向上（◎国土交通省）
29. 温室効果ガス排出者の温室効果ガス排出量の一元的な管理の実現（◎環境省）

Ⅲ 国民等、民間事業者等と地方公共団体等との間の手続
30. 住民税の特別徴収税額通知の電子化等（◎総務省）

≪以下、Ⅱに掲載されたものの再掲≫
10. 政治資金関係申請等の利便性向上（◎総務省） .
17. 「新型コロナウイルス感染者等情報把握・管理支援システム」を利用した手続の利便性の向上（◎厚生労働省）
18. 「新型コロナウイルス感染症医療機関等情報支援システム」を利用した手続の利便性の向上（◎厚生労働省）
27. 道路占用許可申請手続の利便性向上（◎国土交通省）
28. 特殊車両通行手続の利便性向上（◎国土交通省）

Ⅳ その他
31. 国家公務員への給与支払の支出官払に係る事務処理の効率化（◎人事院）
32. 独自利用事務の情報連携に係る届出に関する事務処理の効率化（◎個人情保護委員会）
33. 国家公務員等への旅費の支給等（◎経済産業省）
34. 特別休暇・年次休暇等の請求、承認等に係る経済産業省内部手続（◎経済産業省）

・[PDF] 別添

Ⅰ はじめに

Ⅱ 目標とするデジタル政府・デジタル社会の姿

Ⅲ 33 の課題を解決するための取組方針
１. マイナンバー関連システム整備
１.１マイナンバー関連システム（マイナンバー管理システム、マイナポータル等）、住基ネット、自治体システム群の政府関係システムを含めたトータルデザイン
１.２民間との相互連携の強化（API 利用の促進）・官民接続基盤の整備（携帯電話会社、会計ソフトウェア、金融機関等）・民間の顧客サービスにマイナンバー制度が活用しやすいシステムの構築
１.３マイナンバーカードの発行・運営体制の抜本的強化（J-LIS の体制強化、専門性向上、国の関与等）
１.４マイナンバーカード取得者の増加に伴うマイナポータル認証機能やカード生産・管理体制の強化
１.５ 24 時間 365 日安定稼働できる仕組み
１.６オンラインによる手続の完結、即日給付、オンライン手続における「世帯」の扱い、多様な住民サービス等に対応したシステム環境整備
１.７海外でも利用可能となるようにマイナンバーカードへの「日本国政府」、西暦、ローマ字の表記

２. マイナンバーの利活用の促進
２.１マイナポータルをハブとしたデジタル・セーフティネット構築（民間情報と電子申請等の連携、税（所得情報）と社会保障の連携等）の検討
２.２多様なセーフティネット：児童手当、生活保護等の情報連携等の改善の検討
２.３金融：公金受取口座、複数口座の管理や相続等の利便向上、ATM による口座振込（マネー・ローンダリング対策、特殊詐欺対策）、預貯金付番の在り方の検討
２.４教育：学校健康診断データの活用、GIGA スクールにおける認証手段等の検討
２.５固定資産課税台帳とその他の土地に関する各種台帳等の情報連携等の検討

３. マイナンバーカードの機能強化
３.１マイナポータルなどの UI（ユーザー・インターフェース）・UX（ユーザー・エクスペリエンス）の最適化
３.２カード機能（公的個人認証サービス）の抜本的改善（スマートフォンへの搭載、クラウド利用、レベルに応じた認証、民間 ID との紐づけ等）
３.３生体認証などの暗証番号に依存しない認証の仕組みの検討
３.４本人同意に基づく基本４情報等の提供の検討
３.５各種免許・国家資格等：運転免許証その他の国家資格証のデジタル化、在留カードとの一体化、クラウドを活用した共通基盤等の検討 .

４. カードの発行促進と地方公共団体における業務システム整備
４.１未取得者への二次元コード付きのマイナンバーカード申請書の送付とオンライン申請の勧奨
４.２市町村国保や後期高齢者医療制度等の健康保険証更新時のカード申請書の同時送付等
４.３カードの発行・更新等が可能な場所（申請サポートを含む。）の充実（郵便局・金融機関、コンビニエンスストア、病院、学校、運転免許センター、携帯電話会社等
４.４マイナポイント、行政手続の優先処理などインセンティブとの有効な組み合わせ
４.５国と地方の申請受付システム等の一元化や国と地方の役割分担の見直しの検討
４.６地方公共団体の業務システムの統一・標準化の加速策
４.７デジタル・ガバメントに係る新規施策の先進自治体等を通じた実証と段階的な展開

５. デジタル化に関する制度
５.１国・地方のデジタル基盤構築と IT 戦略推進体制の強化・IT 人材採用の増強
５.２国の情報システム関係予算・調達等の一元化の加速化、地方を含めた検討
５.３情報セキュリティや個人情報保護の強化・ルールの標準化
５.４読み仮名の法制化の検討
５.５システムリスク管理の強化（リリースプロセスの確立、品質管理の強化等）
５.６国民のデジタル活用度に応じた多様な手段（地域の支援体制、オンライン処理等）の確保
５.７民間利用の拡大（マイナポイントの官民連携、民間サービスとの連結等）

６. データの利活用とコスト管理
６.１クラウドやオープン・イノベーションの活用、システムの内製化等によるコストパフォーマンスの実現
６.２マイナンバーカードを活用した地方公共団体と住民による情報の相互活用（健診等情報、電力使用量等）
６.３病床管理、感染症情報、災害情報等の全国のリアルタイムの情報基盤の整備と公的な数量データの FAX 等の利用の見直し

Ⅳ マイナンバー制度及び国と地方のデジタル基盤の抜本的な改善に向けて
－工程表－

Continue reading "官邸「デジタル社会の実現に向けた改革の基本方針」と「デジタル・ガバメント実行計画」が閣議決定"

2020.12.25 15:09 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 危機管理 / 事業継続, in クラウド | Permalink | Comments (0)
Tweet

組織に対するランサムウェア攻撃の実証研究：脆弱性に影響を与える重大性と顕著な要因の評価 Oxford Academic - Journal of Cybersecurity

こんにちは、丸山満彦です。

ランサムウェア攻撃について実証研究論文が発表されていましたので、参考まで。。。

この研究では、ランサムウェア攻撃の犠牲になった組織（英国、北米の50組織）から選定した55件のランサムウェア事例の定量的および定性的データを使用し、ランサムウェア攻撃の深刻度を評価し、どのような要因が被害の深刻度に影響を与えているかどうかを評価したようですね。

で、判明したこと

組織の規模は攻撃の深刻度に影響を与えない
民間セクターの組織は公共セクターの組織よりもはるかに深刻な痛みを感じている
組織のセキュリティに向かい合う姿勢がランサムウェア攻撃の深刻度に影響を与えている
攻撃対象（人間や機械など）は、結果の重大性に大きな影響を与えない
暗号ランサムウェアの伝播クラスは、結果の重大性に大きな影響を与えない
特定の被害者を意図的に狙った攻撃の方が、日和見的な攻撃よりも大きな被害をもたらした

● Oxford Academic - Journal of Cybersecurity

・2020.12.24 An empirical study of ransomware attacks on organizations: an assessment of severity and salient factors affecting vulnerability

・[PDF]

Abstract	概要
Introduction	序章
Review of prior work	先行作業の見直し
Hypotheses development	仮説開発
Organization characteristics: size and sector	組織の特徴：規模とセクター
Security posture	セキュリティに対する姿勢
Crypto-ransomware propagation class	暗号ランサムウェア伝播クラス
Attack type and target	攻撃タイプとターゲット
Research method and analysis of findings	調査方法と所見の分析
Interpretation and discussion	解釈と議論
Conclusions	結論
Acknowledgements	謝辞
References	参考文献
Appendix 1: Profile of participant organizations and corresponding attacks characteristics	付録1：参加組織のプロフィールと対応する攻撃特性
Appendix 2: Sample interview questions (Phase 1)	付録2：面接の質問例（フェーズ1）
Appendix 3: Impact assessment exercise exemplar	付録3：影響評価演習の例
Appendix 4: Sample interview questions (Phase 2)	付録4：面接の質問例（フェーズ2）
Appendix 5: Criteria used to assess the security posture of organizations	付録5：組織のセキュリティ姿勢を評価するために使用される基準
Appendix 6: Security posture exemplars	付録6：セキュリティ姿勢の例
Appendix 7: Profile of organizations	付録7：組織のプロフィール

2020.12.25 08:01 in 情報セキュリティ / サイバーセキュリティ, in ウイルス, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2020.12.24

カーネギーメロン大学潜在的なサイバー損失の規模を推定する手法についてのテクニカルレポート at 2020.12.14

こんにちは、丸山満彦です。

カーネギーメロン大学潜在的なサイバー損失の規模を推定する手法についてのテクニカルレポートを2020.12.14に公開していますね。

そんなに目新しいわけでは無いように感じましたが、一定の整理がされているので紹介しておきます。

● Carnegie Mellon University - Software Engineering Institute

・2020.12.14 Loss Magnitude Estimation in Support of Business Impact Analysis

CISA Office of the Chief Economist の事業影響分析(BIA) の手法を改良しましたとなっていますね。。。

Abstract

This report describes the initial results of a research project to develop a transparent estimation method. This method leads to greater confidence in and improved ranges for estimates of potential cyber loss magnitude. The project team refined the Cybersecurity & Infrastructure Security Agency, Office of the Chief Economist (CISA OCE) Business Impact Analysis (BIA) method to support this estimation approach, including identifying factors and forming questions to ask stakeholders to elicit input for the loss magnitude estimation process. The project team also characterized the context for using factor tree analysis to produce an executable model in support of the refined BIA method since it can be applied to future cybersecurity assessments.

原文	仮訳
Acknowledgments	謝辞
Abstract	概要
1 Introduction	1 はじめに
2 Method Design and Application Overview	2 設計方法と適用の概要
3 Method Design Approach	3 設計方法の考え方
3.1 Factor Tree Method	3.1 因子ツリー法
3.2 Mapping Factors to Loss Magnitude Estimates	3.2 損失規模推定についてのマッピング要因
4 Top-Level Loss Magnitude Estimation Factors	4 損失規模推定係数の概要
4.1 Cost of Consultation	4.1 相談費用
4.2 Cost of Regulatory Fees, Fines, and Penalties	4.2 規制費用、罰金、違約金の費用
Time-Based Factors for Loss of Integrity/Availability	5 完全性・可用性の喪失の時間的要因
5.1 Time to Detect Loss of Integrity/Availability	5.1 完全性・可用性の喪失を検出するまでの時間
5.2 Time to Restore Integrity/Availability Once Loss Detected	5.2 損失検出後に完全性・可用性を回復するまでの時間
6 Cost Rate Factors for Loss of Integrity/Availability	6 完全性・可用性の喪失の費用率要因
6.1 Internal Cost Rate Due to a Loss of Integrity/Availability	6.1 完全性・可用性の喪失による内部費用率
6.2 External Cost Rate Due to a Loss of Integrity/Availability	6.2 完全性・可用性の喪失による外部費用率
6.3 Cost Due to Loss of Confidentiality	6.3 守秘義務の喪失に伴う費用
7 Conclusion	7 結論
Appendix: Potential Loss Magnitude Factor Tree	付録潜在的な損失の大きさの要因ツリー
References/Bibliography	参考文献/文献目録

なお、リスクアセスメント手法についてはISO、IECやJISにもありますよね。。。

ISO.IEC 31010:2009 – Risk management – Risk assessment techniques （因みに最新版は、IEC 21010-2019）、JIS Q 31010:2012
リスクマネジメント−リスクアセスメント技法によれば下記のようになります。リンクは [wikipedia] です。

#	ISO.IEC 31010:2009 – Risk management – Risk assessment techniques	JIS Q 31010:2012 リスクマネジメント−リスクアセスメント技法
1	Brainstorming	ブレーンストーミング
2	Structured or semi-structured interviews	構造化又は半構造化インタビュー
3	Delphi method	デルファイ法
4	Checklist	チェックリスト
5	Preliminary hazard analysis (PHA)	予備的ハザード分析(PHA)
6	Hazard and operability study (HAZOP)	HAZOP スタディーズ
7	Hazard analysis and critical control points (HACCP)	ハザード分析及び必須管理点(HACCP)
8	Toxicity assessment	環境リスクアセスメント
9	Structured What If Technique (SWIFT)	構造化What-if 技法(SWIFT)
10	Scenario analysis	シナリオ分析
11	Business impact analysis	事業影響度分析(BIA)
12	Root cause analysis	根本原因分析(RCA)
13	Failure mode and effects analysis (FMEA)	故障モード・影響解析(FMEA)
14	Fault tree analysis	故障の木解析(FTA)
15	Event tree analysis	事象の木解析(ETA)
16	Cause and consequence analysis	原因・結果分析
17	Cause-and-effect analysis	原因影響分析
18	Layer protection analysis (LOPA)	防護層解析(LOPA)
19	Decision tree	決定木解析
20	Human reliability analysis (HRA)	人間信頼性分析(HRA)
21	Bow tie analysis	蝶ネクタイ分析
22	Reliability centered maintenance	信頼性重視保全(RCM)
23	Sneak circuit analysis	スニーク回路解析(SCA)
24	Markov analysis	マルコフ解析
25	Monte Carlo simulation	モンテカルロシミュレーション
26	Bayesian statistics and Bayes nets	ベイズ統計及ひベイズネット
27	FN curve	FN 曲線
28	Risk index	リスク指標
29	Consequence/probability matrix	リスクマトリックス
30	Cost/benefit analysis	費用/便益分析(CBA)
31	Multi-criteria decision analysis (MCDA)	多基準意思決定分析(MCDA)

2020.12.24 14:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

ENISA EUCS - クラウドサービススキーム）

こんにちは、丸山満彦です。

ENISAが、EUCS candidate scheme (European Cybersecurity Certification Scheme for Cloud Services)を公表していますね。。。ドラフト版です。。。サイバーセキュリティ法（EUCSA）の第48.2条に基づく欧州サイバーセキュリティ認証フレームワークの一部という位置付けですね。。。

保証水準は、

Basic
Substantial
High

の3つがありますね。。。

● ENISA

・2020.12.22 EUCS – Cloud Services Scheme

EUCS – Cloud Services Scheme

EUCS - クラウドサービススキーム

This publication is a draft version of the EUCS candidate scheme (European Cybersecurity Certification Scheme for Cloud Services), which looks into the certification of the cybersecurity of cloud services. In accordance with Article 48.2 of the Cybersecurity Act1 (EUCSA), ENISA has set up an Ad Hoc Working Group (AHWG) to work on the preparation of the candidate scheme on cloud services, as part of the European Cybersecurity Certification Framework. This is a draft version to be used as basis for an external review. The objective of the review is to validate the principles and general organization of the proposed scheme, and to gather feedback on the proposed wording of the sections and annexes.

本書は、クラウドサービスのサイバーセキュリティの認証を検討したEUCS候補スキーム（European Cybersecurity Certification Scheme for Cloud Services）のドラフト版です。サイバーセキュリティ法1（EUCSA）の第48.2条に従い、ENISAは欧州サイバーセキュリティ認証フレームワークの一部として、クラウドサービスに関する候補スキームの作成に取り組むアドホック・ワーキンググループ（AHWG）を設置した。これは、外部レビューの基礎となるドラフト版です。レビューの目的は、提案されたスキームの原則と一般的な構成を検証し、セクションとアネックスの提案された文言に関するフィードバックを収集することである。

・[PDF]

目次...

1. A SCHEME FOR CLOUD SERVICES	1. クラウドサービスのためのスキーム
2. SUBJECT MATTER AND SCOPE	2. 主題と範囲
3. PURPOSE OF THE SCHEME	3. スキームの目的
4. USE OF STANDARDS	4. 引用標準
5. ASSURANCE LEVELS	5. 保証レベル
6. SELF-ASSESSMENT	6. 自己評価
7. SPECIFIC REQUIREMENTS APPLICABLE TO A CAB	7. CABに適用される特定の要求事項
8. EVALUATION METHODS AND CRITERIA	8. 評価方法および規準
9. NECESSARY INFORMATION FOR CERTIFICATION	9. 認証に必要な情報
10. MARKS AND LABELS	10. マークとラベル
11. COMPLIANCE MONITORING	11. コンプライアンス・モニタリング
12. CERTIFICATE MANAGEMENT	12. 証明書管理
13. NON-COMPLIANCE	13. ノンコンプライアンス
14. NEW VULNERABILITIES	14. 新たな脆弱性
15. RECORD RETENTION	15. 記録保持
16. RELATED SCHEMES	16. 関連スキーム
17. CERTIFICATE FORMAT	17. 証明書のフォーマット
18. AVAILABILITY OF INFORMATION	18. 情報の利用可能性
19. CERTIFICATE VALIDITY	19. 証明書の有効性
20. DISCLOSURE POLICY	20. 開示方針
21. MUTUAL RECOGNITION	21. 相互認証
22. PEER ASSESSMENT	22. ピア・アセスメント
23. SUPPLEMENTARY INFORMATION	23. 補足情報
24. ADDITIONAL TOPICS	24. 追加トピック
25. FURTHER RECOMMENDATIONS	25. さらなる推奨事項
26. REFERENCES	26. 参考文献
ANNEX A: SECURITY OBJECTIVES AND REQUIREMENTS FOR CLOUD SERVICES	附属書A：クラウドサービスのセキュリティ目的と要件
ANNEX B: META-APPROACH FOR THE ASSESSMENT OF CLOUD SERVICES	附属書B：クラウドサービスの評価のためのメタアプローチ
ANNEX C: ASSESSMENT FOR LEVELS SUBSTANTIAL AND HIGH	附属書C：実質的レベルと高レベルの評価
ANNEX D: ASSESSMENT FOR LEVEL BASIC	附属書D：基本レベルの評価
ANNEX E: COMPETENCE REQUIREMENTS FOR CABS	附属書E：CABのコンピテンス要件
ANNEX F: SCHEME DOCUMENT CONTENT REQUIREMENTS	附属書F：スキーム文書のコンテンツ要件
ANNEX G: CERTIFICATION LIFECYCLE AND CONTINUED ASSURANCE	附属書G：認証のライフサイクル及び継続的保証
ANNEX H: PEER ASSESSMENT	附属書H：ピア・アセスメント
ANNEX I: TERMINOLOGY	附属書I：用語集

とりあえずに機械翻訳...

・[DOCX]

2020.12.24 00:00 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド | Permalink | Comments (0)
Tweet

2020.12.23

NIST SP 1800-24 画像のアーカイブ及び通信システムの保護：医療セクターのサイバーセキュリティ

こんにちは、丸山満彦です。

NISTがSP 1800-24 Securing Picture Archiving and Communication System (PACS): Cybersecurity for the Healthcare Sector（画像のアーカイブ及び通信システムの保護：医療セクターのサイバーセキュリティ）を公表していますね。。。

● NIST - ITL

・202012.21 (publication) SP 1800-24 Securing Picture Archiving and Communication System (PACS): Cybersecurity for the Healthcare Sector

・[PDF] SP 1800-24

・[HTML] SP 1800-24

Supplemental Material:
・ SP 1800-24 volumes and Project Homepage

Picture Archiving and Communication System (PACS) （画像のアーカイブ及び通信システム）の概要は図3−1にありますね。

目次は

↓↓↓
　

Continue reading "NIST SP 1800-24 画像のアーカイブ及び通信システムの保護：医療セクターのサイバーセキュリティ"

2020.12.23 03:31 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

総務省「発信者情報開示の在り方に関する研究会　最終とりまとめ」及び意見募集の結果の公表

こんにちは、丸山満彦です。

総務省が「発信者情報開示の在り方に関する研究会　最終とりまとめ」及び意見募集の結果を公表していますね。。。この研究会が始まった背景というか制度における課題は、研究会の第1回での資料や、最終報告書にも書かれていますが、

発信者を特定できない場面の増加
発信者特定のための裁判手続の負担

ということですね。。。

● 総務省

・2020.12.22 「発信者情報開示の在り方に関する研究会　最終とりまとめ」及び意見募集の結果の公表

・・[PDF] 別紙２発信者情報開示の在り方に関する研究会最終とりまとめ

・・[PDF] 別紙１「発信者情報開示の在り方に関する研究会」最終とりまとめ（案）に対する意見募集結果

課題を検討する際に、制度の法益をちゃんと考えようと報告書には書かれていて良いですね。。。

まず、発信者情報開示請求に係る制度の見直しに当たっては、発信者情報開示請求権によって確保を図ろうとする法益は何か、を確認した上で、その実現のための具体的な方策の在り方について検討を深めることが適当である。

具体的には、発信者情報開示請求に係る制度の趣旨は、裁判を受ける権利の保障という重要な目的を達成するために、発信者の表現の自由、プライバシー及び通信の秘密を制約する上で、当該制約を必要最小限度のものにとどめる必要性があるという前提を踏まえ、権利侵害を受けたとする者（「被害者」）の救済がいかに円滑に図られるようにするか、という点（被害者救済という法益）と、適法な情報発信を行っている者の表現の自由、プライバシー及び通信の秘密をいかに確保するか、という点（表現の自由等の確保という法益）との調和を適切に確保することにあると考えられる。

したがって、具体的な制度設計に当たっては、常にこの観点に留意しながら検討を深めることが適当である ⁹。

⁹ その他、プロバイダの負担という観点にも留意が必要である。

つまり、法益としては、

被害者救済

表現の自由党の確保という法益

の調和を図ることが重要であるということですね。。。

で、脚注９があるのですが、これは、意見募集で楽天株式会社から

被害者救済という法益と、表現の自由等の確保という法益だけでなく、中間とりまとめと同様、プロバイダの手続負担の軽減という要素も本とりまとめに明記すべきである。
（理由）
プロバイダが関与することを前提とした制度とする以上、手続に関与する主体としてのプロバイダに対し、負担を課すような制度設計を行ってはならない。発信者と契約関係にあるとはいえ自ら表現行為を行うものではないプロバイダに過度の負担を課すことは、産業の発展を阻害する。本とりまとめにおいては、発信者の表現の自由と、被害者の救済という利益のみがとりあげられ、プロバイダの手続負担の軽減という要素が欠落しているが、当該要素も制度設計にあたって当然に考慮されなければならないと考えるため。
【楽天株式会社】

意見が出されたためですね。

法益ではないけれども、制度として社会に実装する際には、利害関係者総和のコストは避けられない観点ですから、脚注として記載しておくくらいは良いのだろうと思います。

世の中では「規制はなんでも悪」的な見方をする人もいるかもしれませんが、完全競争市場が実現していれば確かに規制は必要ないですが、完全競争市場が実現していない以上、規制は必要ですよね。外部不経済になっている部分を補正するという意味で。。。ただし、そうなっていない規制は改善する必要があると思います。

つまり、規制があることが悪いのはなく、悪い規制を放置していることが悪いということですね。。。

報告書の目次

第１章発信者情報開示に関する検討の背景及び基本的な考え方について
１．検討の背景等
２．発信者情報開示の概要
（１）プロバイダ責任制限法における発信者情報開示制度の概要
（２）発信者情報開示の実務の現状
（３）現状の発信者情報開示の実務における課題
３．検討に当たっての基本的な考え方

第２章発信者情報の開示対象の拡大
１．概要
２．ログイン時情報
（１）発信者の同一性
（２）開示の対象とすべきログイン時情報の範囲
（３）開示請求を受けるプロバイダの範囲
３．まとめ

第３章新たな裁判手続の創設及び特定の通信ログの早期保全
１．非訟手続の創設の利点と課題の整理
２．実体法上の開示請求権と非訟手続の関係について
３．新たな裁判手続（非訟手続）について
（１）裁判所による命令の創設（ログの保存に関する取扱いを含む。）
（２）新たな手続における当事者構造
（３）発信者の権利利益の保護
（４）開示要件
（５）手続の濫用の防止
（６）海外事業者への対応
４．まとめ

第４章裁判外（任意）開示の促進

● 総務省 - 発信者情報開示の在り方に関する研究会

● まるちゃんの情報セキュリティ気まぐれ日記

・2007.03.01 テレサ協「プロバイダ責任制限法　発信者情報開示関係ガイドライン」を公開

・2007.01.12 テレコムサービス協会パブコメプロバイダ責任制限法　発信者情報開示関係ガイドライン（案）

・2006.07.01 総務省パブコメインターネット上の違法・有害情報への対応に関する研究会最終報告書案

2020.12.23 01:52 in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

IPA 「情報システム・モデル取引・契約書」第二版を公開

こんにちは、丸山満彦です。

IPAが「情報システム・モデル取引・契約書」第二版を公開していますね。。。

私も「セキュリティ検討PT 」のメンバーとして関与しました。。。夜遅くまでオンラインで会議を重ねました(^^)

活用されると良いと思っています。。。何か気になることがあれば、こっそり教えてくださいませ・・・（問題があれば次の改訂に組み入れますので・・・）

● IPA

・社会実装推進委員会 モデル取引・契約書見直し検討部会

・2020.12.22 プレス発表　DX時代のユーザー企業とITベンダーへ、「情報システム・モデル取引・契約書」第二版を公開

・2020.12.22「情報システム・モデル取引・契約書」第二版を公開

経済産業省が2007年に公開した「情報システム・モデル取引・契約書」、およびIPAが2011年に公開した「非ウォーターフォール型開発用モデル契約書」についての見直しの検討を2019年5月から行い

...

2020年4月に施行された改正民法に直接関係する論点を見直した「情報システム・モデル取引・契約書」の民法改正を踏まえた見直し整理反映版 （以下、「民法改正整理反映版」）を、2019年12月に公開し

...

「民法改正整理反映版」に民法改正に直接かかわらない論点の見直しを加えた「情報システム・モデル取引・契約書」第二版（以下、「第二版」）を、2020年12月22日に公開しました。

また、「第二版」から参照されるセキュリティ基準等公表情報の一例として「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」と「セキュリティ仕様策定プロセス」（以下、「セキュリティ仕様関連文書」）を同時に公開しました。

・民法改正に直接かかわらない論点は、

セキュリティ
プロジェクトマネジメント義務及び協力義務
契約における「重大な過失」の明確化
システム開発における複数契約の関係
再構築対応

の5つとなっています。

・「第二版」の構成

・・全体の解説

[PDF] 第二版公表にあたって

・・情報システム・モデル取引・契約書（受託開発（一部企画を含む）、保守運用）

[Word] 第二版
[Word] 第二版（ひな型）

・・情報システム・モデル取引・契約書（パッケージ、SaaS/ASP活用、保守・運用）

[Word] 第二版追補版
[Word] 重要事項説明書（第二版追補版付属）

2020.12.22

米国連邦取引委員会 (FTC) がSNS事業者等に個人情報の収集、使用、提示の方法、広告およびユーザ関与の慣行、およびその慣行が子供や10代にどのような影響を与えるかに関するデータを提供するよう要求 at 2020.12.14

こんにちは、丸山満彦です。

米国連邦取引委員会 (Federal Trade Commission: FTC) [wikipedia] がSNS事業者等に個人情報の収集、使用、提示の方法、広告およびユーザ関与の慣行、およびその慣行が子供や10代にどのような影響を与えるかに関するデータを提供するよう要求していますね。。。

日本では、まだこの辺りの議論が深くされている感じはないですね。。

要求先

Amazon.com, Inc.
ByteDance Ltd., TikTok,
Discord Inc.,
Facebook, Inc.,
Reddit, Inc.,
Snap Inc.,
Twitter, Inc.,
WhatsApp Inc.,
YouTube LLC.

● Federal Trade Commission: FTC

・2020.12.14 FTC Issues Orders to Nine Social Media and Video Streaming Services Seeking Data About How They Collect, Use, and Present Information

・2020.12.14 6(b) Orders to File Special Reports to Social Media and Video Streaming Service Providers

2020.12.22 01:26 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in クラウド | Permalink | Comments (0)
Tweet

内閣官房個人情報保護制度の見直しに関する最終報告案

こんにちは、丸山満彦です。

内閣官房の個人情報保護制度の見直しに関するタスクフォースから、個人情報保護制度の見直しに関する最終報告案、最終報告案概要が公表されていますね。

ざっと見たところ、あるべき姿と多くの人が思うところに仕上がっているように思います。かなり理想的な形にまとめ上げられたような気がします。。。

●内閣官房 - 個人情報保護制度の見直しに関するタスクフォース

・2020.12.17 [PDF] 個人情報保護制度の見直しに関する最終報告案

・2020.12.17 [PDF] 個人情報保護制度の見直しに関する最終報告案概要

報告書案の目次

はじめに

１．総論的事項

１－１法の形式及び法の所管
１－２医療分野・学術分野における規制の統一
１－３学術研究に係る適用除外規定の見直し（精緻化）

２．個人情報の定義等の統一等

２－１個人情報の定義等の統一
２－２行政機関等における匿名加工情報の取扱い

３．監視監督・事務処理体制

３－１行政機関等に対する監視監督の在り方
３－２行政機関等の開示決定等への不服申立ての扱い（情報公開・個人情報保護審査会の在り方）

４．地方公共団体等の個人情報保護制度の在り方

４－１法律による全国的な共通ルールの設定
４－２規律の具体的内容

５．個人情報保護法令和２年改正の公的部門への反映の在り方

（参考）委員名簿

■ 参考

●まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.01 内閣官房「第10回個人情報保護制度の見直しに関する検討会」　地方自治体関係

2020.12.22 00:12 in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2020.12.21

Europolと欧州委員会が法執行機関のための復号プラットフォームを立ち上げたようですね。。。

こんにちは、丸山満彦です。

Europol [wikipedia] と欧州委員会が法執行機関のための復号プラットフォームを立ち上げたようですね。。。

技術的にどのようにするのかはよくわかりませんが、このプラットフォームは、欧州委員会の合同調査センター (European Commission's Joint Research Centre )と開発したようですね。これにより、犯罪捜査で合法的に取得された情報を復号する機能が大幅に向上するということのようですね。

Europolの欧州サイバー犯罪センター（Europian Cybercrime Centre; EC3） が運用をするみたいですね。

基本的人権を守りながら、テロ等を含む犯罪組織に立ち向かうということのようです。運用が適切に行われていることを第三者が監査するような制度があると安心できますよね。この辺りはどうなっているんでしょうね。。。

Euorpolは欧州委員会の一部になっていて、EU会計検査院 (Europian Court of Auditors) の監査を受け、プライバシー関係については、European Data Protection Supervisor (EDPS) の監督を受けるとともに、内部監査も一応あることにはなっていますけどね。。。

● Europol

・2020.12.18 (press) EUROPOL AND THE EUROPEAN COMMISSION INAUGURATE NEW DECRYPTION PLATFORM TO TACKLE THE CHALLENGE OF ENCRYPTED MATERIAL FOR LAW ENFORCEMENT INVESTIGATIONS

2020.12.21 10:50 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in フォレンジック, in 法律 / 犯罪, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

U.S. NSA　認証メカニズムを悪用してクラウド上のリソースに攻撃者がアクセスすることについての注意喚起

こんにちは、丸山満彦です。

今回のSolar Windsの件は影響が大きいようですね。。。

米国の国家安全保障局 (National Security Agency: NSA) [wikipedia] が攻撃者が認証メカニズムを悪用してクラウド上のリソースにアクセスしているケースがあることを注意喚起していますね。。。

● National Security Agency: NSA

・2020.12.17 NSA Cybersecurity Advisory: Malicious Actors Abuse Authentication Mechanisms to Access Cloud Resources

・[JPG] インフォグラフィック

・[PDF] 要約版

・[PDF] 全文

■ 参考

● U.K. National Cyber Security Cnetre: NCSC

・2020.12.18 NCSC statement on the SolarWinds compromise

The latest statement from the NCSC following the reported SolarWinds compromise.

● GOVINFO Security

・2020.12.19 NSA Warns of Hacking Tactics That Target Cloud Resources by Akshaya Asokan

Alert Follows Week's Worth of Revelations About SolarWinds Breach

Continue reading "U.S. NSA　認証メカニズムを悪用してクラウド上のリソースに攻撃者がアクセスすることについての注意喚起"

2020.12.21 03:23 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド | Permalink | Comments (0)
Tweet

え〜っ！！！　「東証、統治及ばず「引責」システム障害で辞任、「必要なし」から一転　官邸の空気察し自ら決断」

こんにちは、丸山満彦です。

東証のシステム障害で東証の宮原幸一郎前社長が引責辞任（11月30日）したわけですが、当初からそこまでの責任は不要ではないかと言われていたのですが、指名委員会も辞任は不要と考えていたようですね。日経の記事によると本人が首相の意向を気にして自ら辞任したようなのですが、もし本当なら（日経なんで、、、）、自由主義国家、民主主義国家、資本主義国家としてこの先心配ですよね。。。

● 日経新聞

・2020.12.16 東証、統治及ばず「引責」 - システム障害で辞任、「必要なし」から一転　官邸の空気察し自ら決断

「指名委は宮原さんの退任の必要はないと判断していることは、きちんと対外的に説明してほしい」。11月30日午前に東京・日本橋兜町のJPX本社で開いた取締役会で、一部の取締役が清田CEOに迫った。取締役会では宮原氏の辞意が明かされたが、詳しい経緯などの説明はなかった。

・・・

指名委は、取引再開の手順に不備があっても事後的に重い責任を負うのは不適切で、少なくとも当日の東証の判断には問題がないとの考えだった。海外の事例と照らし合わせても、清田氏や宮原氏が責任をとって辞任する必要があると考える人は皆無だった。

・・・

「首相は事態を重くみている」。菅義偉政権は日本に世界の金融ハブをつくる「国際金融都市構想」を掲げる。金融庁の氷見野良三長官は障害発生の数日後、首相官邸に入った。

・・・

官邸・当局の言動から重い責任を取らざるを得ない向きを感じたJPXは難しい選択を迫られた。東証を通じて上場企業を指導する立場にある以上、ガバナンスでも手本を見せなければならない。指名委をないがしろにして宮原氏に辞任は迫れず、「清田さんはずっと悩んでいた」とJPXの関係者は明かす。

・・・

それは永田町や霞が関と親交が深くJPX内で「政治通」とされた宮原氏も同じだった。結果、宮原氏は自ら身を引かざるをえなかった。一橋大学大学院のクリスティーナ・アメージャン教授など、辞意を11月30日の取締役会で初めて知った複数の社外取締役からは疑問の声も出た。

まぁ、桜をみる会、森友、学術会議等、前政権からも含めて数々の疑問に対して国民をはぐらかせている人が厳しくいうとは思えないし、金融庁が政治的に動いたんですかね。。。知らんけど。。。

（これが本当のことであれば。。。）まぁ、斜陽していくわけですね。。。

(´･_･`)

フランス革命によってナポレオンが生まれたかもしれないので美化するつもりはないですが・・・

2020.12.21 01:56 in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2020.12.20

UK ICO 雇用決定にアルゴリズムを使用する際に考慮すべき6つのこと

こんにちは、丸山満彦です。

UK ICO [wikipedia] が雇用決定にアルゴリズムを使用する際に考慮すべき6つのことを公表していますね。。。

● UK Information Commissioner's Office (ICO)

・2020.12.18 Six things to consider when using algorithms for employment decisions

#	原文	仮訳
1	Bias and discrimination are a problem in human decision-making, so it is a problem in AI decision making	偏見や差別は人間の意思決定で問題になるので、AIの意思決定でも問題になる
2	It is hard to build fairness into an algorithm	公平性をアルゴリズムに組み込むのは難しい
3	The advancement of big data and machine learning algorithms is making it harder to detect bias and discrimination	ビッグデータや機械学習アルゴリズムの進歩により、偏見や差別の検出が難しくなっている
4	You must consider data protection law AND equalities law when developing AI systems.	AIシステムを開発する際には、データ保護法と平等法を考慮する必要があります。
5	Using solely automated decisions for private sector hiring purposes is likely to be illegal under the GDPR	民間企業の採用目的で自動化された意思決定のみを使用することは、GDPRの下で違法となる可能性があります。
6	Algorithms and automation can also be used to address the problems of bias and discrimination	アルゴリズムや自動化は、偏見や差別の問題にも対応できる

参考となるICOのウェブ

・[html] Guidance on AI and data protection（AIとデータ保護に関するガイダンス）

・[PDF]

原文	仮訳
Information Commissioner's foreword	情報長官の序文
Executive Summary	概要
About this guidance	本ガイダンスについて
What are the accountability and governance implications of AI?	AIの説明責任（アカウンタビリティ）とガバナンスは何を意味するのか？
What do we need to do to ensure lawfulness, fairness, and transparency in AI systems?	AIシステムの合法性、公平性、透明性を確保するために何をすべきか？
How should we assess security and data minimisation in AI?	AIにおけるセキュリティとデータの最小化をどのように評価すべきか？
How do we ensure individual rights in our AI systems?	AIシステムにおける個人の権利をどのように確保すべきか？
Glossary	用語集

・[html] Explaining decisions made with AI （AIが決定したことを説明する）

・[PDF]

原文	仮訳
Introduction	序章
Part 1 The basics of explaining AI	第1章：AIを説明する上での基本
Definitions	定義
Legal framework	法的枠組み
Benefits and risks	メリットとリスク
What goes into an explanation?	説明には何が入るのか？
What are the contextual factors?	文脈的要因とは何か？
The principles to follow	従うべき原則
Part 2: Explaining AI in practice	第2章：AIを実際に解説
Summary of the tasks to undertake	引き受ける業務の概要
Task 1: Select priority explanations by considering the domain, use case and impact on the individual	タスク1：ドメイン、ユースケース、個別への影響を考慮して優先的な説明を選択する
Task 2: Collect and pre-process your data in an explanation-aware manner	タスク2：説明を意識した方法でデータを収集し、前処理を行う
Task 3: Build your system to ensure you are able to extract relevant information for a range of explanation types	タスク3：様々な説明タイプの関連情報を確実に抽出できるようにシステムを構築する
Task 4: Translate the rationale of your system’s results into useable and easily understandable reasons	タスク4：システムの結果の根拠を、使用可能で理解しやすい理由に翻訳する
Task 5: Prepare implementers to deploy your AI system	タスク5：AIシステムをデプロイする実装者を準備する
Task 6: Consider how to build and present your explanation	タスク6：説明の組み立て方と提示の仕方を考える
Part 3: What explaining AI means for your organisation	第3章：AIを説明することが組織にとって何を意味するのか
Organisational roles and functions for explaining AI	AIを説明するための組織的な役割と機能
Policies and procedures	方針と手続き
Documentation	ドキュメント
Annexe 1: Example of building and presenting an explanation of a cancer diagnosis	付録1：がん診断の説明の構築と提示例
Annexe 2: Algorithmic techniques	付録2. アルゴリズム技術
Annexe 3: Supplementary models	付録3：補足モデル
Annexe 4: Further reading	付録4：更なる理解のために
Annexe 5: Argument-based assurance cases	付録5：論証に基づく保証のケース

2020.12.20 03:51 in 個人情報保護 / プライバシー, in AI/Deep Learning | Permalink | Comments (0)
Tweet

UK ICO 新しいデータ共有実践規範 (Data sharing code of practice)を発表し、データ共有情報ハブを開設

こんにちは、丸山満彦です。

UK ICO [wikipedia] が新しいデータ共有実践規範 (Data sharing code of practice)を発表し、データ共有情報ハブを開設しましたね。。。

データ共有実践規範は2011年に最初に発表されたようなので、時代に合わせて変更したということなんでしょうね。PDFファイルでは表紙も入れて88ページになっています。。。

網羅的で参考になる点も多いと思います。。。

また、各章毎に３パラグラフほどのat α glanceをつけているので読みやすいです。

そして、Data sharing information hub（データ共有情報ハブ）のウェブページも開設していますね。。。

● UK Information Commissioner's Office (ICO)

・2020.12.17 ICO publishes new Data Sharing Code of Practice

・[html] Data sharing: a code of practice

・[PDF] Data sharing: a code of practice

原文	仮訳
Information Commissioner’s foreword	情報長官の序文
Summary	概要
Navigating the data sharing code	データ共有規範のナビゲート
About this code	この規範について
Data sharing covered by the code	規範でカバーされているデータ共有
Deciding to share data	データの共有化を決定
Data sharing agreements	データ共有契約
Data protection principles	データ保護の原則
Accountability	説明責任（アカウンタビリティ）
Fairness and transparency in data sharing	データ共有の公正性と透明性
Lawfulness	合法性
Lawful basis for sharing personal data	個人データの共同利用の適法な根拠
Security	セキュリティ
The rights of individuals	個人の権利
Law enforcement processing	法執行機関の処理
Due diligence	デューデリジェンス
Sharing personal data in databases and lists	データベースやリストでの個人データの共有
Data sharing and children	データ共有と子供
Data sharing in an urgent situation or in an emergency	緊急事態や非常時のデータ共有について
Data sharing across the public sector: the Digital Economy Act codes	公共部門におけるデータ共有：デジタル経済法の規範
Enforcement of this code	この規範の施行
Glossary	用語集
Annex A: data sharing checklist	付録A：データ共有チェックリスト
Annex B: Data sharing request form template	付録B：データ共有要求書のテンプレート
Data sharing decision form template	データ共有決定書テンプレート
Annex C: case studies	付録C：ケーススタディ

・Data sharing information hub

2020.12.20 03:07 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in (temp)COVID-19 | Permalink | Comments (0)
Tweet

2020.12.19

米国国土安全保障省緊急指令21-01 関連。。。SolarWinds Orion Code Compromise

こんにちは、丸山満彦です。

多くの民間企業のみならず米国や英国政府、NATOで利用されていたSolarWinds社[wikipedia][NYSE:SWI]のOrionプラットフォームの脆弱性があり、米国財務省等の政府機関、Fire Eyeといったセキュリティ企業もこの脆弱性をつかれて侵入を許してしまっていたようで、米国では緊急指令21-01が出されて、緊急の対応が行われましたね。。。

私もNISCの立ち上げに関わっているので完全な外部者ではないということを前提として、こういうことがこのスピード感で日本政府でできるのかとか、考えてしまいました・・・

製品ベンダーは、PSIRTの構築も合わせて検討すべきですね。。。

--- 2020.12.24 追記 ---

● 2020.12.23

・UK ICO : UK organisations using SolarWinds Orion platform should check whether personal data has been affected

● 2020.12.20

・piyolog : SolarWindsのサプライチェーン攻撃についてまとめてみた

--- 追記終わり ---

● 2020.12.18

・SolarWinds : SolarWinds Security Advisory (更新されていくようです・・・)

● 2020.12.17

・Microsoft - blog : A moment of reckoning: the need for a strong and global cybersecurity response by Brad Smith - President

・CISA - Alert (AA20-352A) Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations

● 2020.12.16

・CISA, FBI, ODNI : JOINT STATEMENT BY THE FEDERAL BUREAU OF INVESTIGATION (FBI), THE CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY (CISA), AND THE OFFICE OF THE DIRECTOR OF NATIONAL INTELLIGENCE (ODNI)

大統領指令（PPD）41に従い、CISA、FBI、国家情報長官室 (ODNI) は、今回の重大なサイバー事件の対応を政府全体で調整するために、サイバー統合調整グループ（UCG）を結成したようですね。

● 2020.12.13

・CISA : CISA ISSUES EMERGENCY DIRECTIVE TO MITIGATE THE COMPROMISE OF SOLARWINDS ORION NETWORK MANAGEMENT PRODUCTS

・DHS : Emergency Directive 21-01 : Mitigate SolarWinds Orion Code Compromise

・Microsoft Security Responce Center : Customer Guidance on Recent Nation-State Cyber Attacks (MSRC / By msrc )

・Fire Eye : Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.14 外国政府の支援を受けた攻撃者が米国財務省のネットワークに侵入し、情報を盗んだ？

・2020.12.10 Fire Eye のレッドチームツールが盗まれた・・・

2020.12.19 00:19 in 情報セキュリティ / サイバーセキュリティ, in ウイルス, in 法律 / 犯罪, in 危機管理 / 事業継続, in クラウド, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2020.12.18

CNIL 音声アシスタントに関するホワイトペーパーを公開

こんにちは、丸山満彦です。

CNILが音声アシスタントに関するホワイトペーパーを公開していますね。。。

音声アシスタント技術により、障害をもつ人がより活躍しやすくなるという意味で普及が進んでほしいですよね。。。

ただ、音声は個人の生体認証ができるという特性もあるので特別な注意を払う必要があるということにも注意を向けるべきですよね。。。

音声アシスタントを設計、開発、導入、利用しようと考えている人全てに向けたガイドとなっています。。。

● CNIL

・2020.12.16 "On the record": CNIL publishes a white paper on voice assistants

・・[PDF] White paper - Voice assistants

原文	翻訳
EDITORIAL	編集者より
WHAT'S THE STORY BEHIND VOICE ASSISTANTS?	音声アシスタントの背景にあるストーリーとは？
What's so special with the voice?	音声の何が特別なの？
Voice assistant, who are you?	音声アシスタント、あなたは何者？
What are the various uses of voice assistants?	音声アシスタントの様々な使い方とは？
What strategies for voice assistant designers?	音声アシスタント設計者のための戦略とは？
TAPPING THE VOICE: MYTHS AND ISSUES ABOUT VOICE ASSISTANTS	盗聴: 音声アシスタントについての神話と問題点
Myths and realities of voice assistants	音声アシスタントの神話と現実
What issues for voice assistants?	音声アシスタントの課題とは？
Interview with... Emmanuel Vincent	インタビュー... エマニュエル・ヴィンセント
USE CASES: GDPR IN PRACTICE	事例：GDPRの実際
The key concepts of the GDPR	GDPRの主要なコンセプト
USE CASE NO.1: Using the basic functions of a voice assistant	事例1 : 音声アシスタントの基本機能を使う
USE CASE NO. 2: Using a banking application via a voice assistant	事例2：音声アシスタントを使って銀行のアプリケーションを利用する
USE CASE NO.3: Re-using the data collected by the voice assistant for service improvement purposes	事例3：音声アシスタントで収集したデータをサービス向上のために再利用する
VOICE ASSISTANTS, DOING THINGS RIGHT	音声アシスタント正しく使う
For voice assistant designers	音声アシスタント設計者向け
For application developers	アプリケーション開発者向け
For voice assistant integrators	音声アシスタント導入者向け
For organisations wishing to deploy voice assistants	音声アシスタントを実装して利用しようと思っている組織の方向け

2020.12.18 11:53 in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

CNIL Googleに1億ユーロ、Amazonに3500万ユーロの制裁金 @2020.12.10

こんにちは、丸山満彦です。

少し古い話ですが、CNILがGoogleに1億ユーロ、Amazonに4000万ユーロの制裁金を課したというのは、やはり記載しておこうと思いました・・・

Google関係

● CNIL

・2020.12.10 Cookies: financial penalties of 60 million euros against the company GOOGLE LLC and of 40 million euros against the company GOOGLE IRELAND LIMITED

● Legifrance

・2020.12.07 Délibération SAN-2020-012 du 7 décembre 2020

Amazon関係

● CNIL

・2020.12.10 Cookies: financial penalty of 35 million euros imposed on the company AMAZON EUROPE CORE

● Legifrance

・2020.12.07 Délibération SAN-2020-013 du 7 décembre 2020

-----

●JETRO

・2020.12.18 個人情報保護法違反でグーグルに1億ユーロの罰金

Google関係

CNILは以下の3点において、グーグルが、フランスの個人情報保護に関する国内法である「情報処理、情報ファイルおよび自由に関する法律」第82条に違反するとした。

ユーザーがgoogle.frにアクセスすると広告目的の「クッキー」がユーザーの事前の同意なしに自動的に設定される。

アクセス時に設定されたクッキーに関する情報提供の欠如。

クッキーを無効化しても一部の広告目的の「クッキー」が保存、情報を読み続けており、「拒否」のメカニズムに部分的な欠陥がある。

また、約5,000万人のユーザーに影響を与える違反は重大なことと、「クッキー」により収集されたデータによる広告の収入から間接的に多額の利益を得ていることにも言及した。

さらに、3カ月以内に「情報処理、情報ファイルおよび自由に関する法律」第82条に適切に対応した情報提供をしない場合、１日につき10万ユーロの罰金という延滞金も両社に科した。

Amzon関係

amazon.frにアクセスすると同時にユーザーの事前同意なしに「クッキー」が設定されることと利用者への通知が明確でなくかつ完全でないとし、同様に同法同条に違反するとした。アマゾンがｅコマースにおける中心的存在で１日に何百万人ものユーザーが閲覧していることに鑑み、2020年9月に改善がみられたものの、アマゾンの「クッキー」に関する新たなバナーも情報提供が十分でないとした。

さらに、3カ月以内に「情報処理、情報ファイルおよび自由に関する法律」第82条に適切に対応した情報提供をしない場合、１日につき10万ユーロの罰金という延滞金も両社に科した。

2020.12.18 02:34 in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

ENISA AI サイバーセキュリティのチャレンジ - AI脅威状況報告を公表していますね。

こんにちは、丸山満彦です。

ENISAがAI サイバーセキュリティのチャレンジ - AI脅威状況報告 (AI Threat Landscape Report ) を公表していますね。

概要としては、

「AIが攻撃方法等に新たな道を開き、プライバシーやデータ保護に新たな課題をもたらす可能性がある」として、AIサイバーセキュリティ・エコシステムとその脅威状況のマッピングを紹介している。

報告書のポイント

ライフサイクル・アプローチに沿ったサイバーセキュリティの文脈でのAIの範囲の定義
要件分析から展開までのAIライフサイクルのさまざまな段階を考慮に入れ、AIシステムとアプリケーションのエコシステムを定義している。
AIエコシステムの資産の特定
AIエコシステムのセキュリティの観点から、何を保護する必要があるのか、何がうまくいかない可能性があるのかを特定するための基本的なステップである。
詳細な分類法による AI脅威状況のマッピング
潜在的な脆弱性や特定のユースケースに対する攻撃シナリオを特定するためのベースラインとしての役割を果たす。
異なる資産に対する脅威の分類と、多様なAIライフサイクルの段階に応じた文脈での脅威の分類と、関連する脅威に対する攻撃者のリスト化。また、さまざまなセキュリティ資産に対する脅威の影響を強調する。

ENISAのAI脅威状況は、今後のサイバーセキュリティ政策や技術ガイドラインの基礎を築くだけでなく、関連する課題を強調している。特に重要な分野の一つは、「AIに関連するサプライチェーン」であり、AIサプライチェーンのすべての要素を含む、安全で信頼できるAIのためのEUエコシステムの必要性を強調することが重要という認識のようですね。。。

AIとセキュリティの関係を次の3つにしていますね。これは私が今年のコンピュータ犯罪に関する白浜シンポジウムで「[PDF] スマートサイバー　AI活用時代のサイバーリスク管理」として話をした分け方と同じですね。順番は違うけど。。。

Cybersecurity for AI
AI to support cybersecurity
Malicious use of AI

● ENISA

・2020.12.15 (press) ENISA AI Threat Landscape Report Unveils Major Cybersecurity Challenges

New report maps the assets and threats of Artificial Intelligence (AI), and sets a baseline for securing the AI ecosystem across Europe.

・2020.12.15 Artificial Intelligence Cybersecurity Challenges

・・[PDF] Artificial Intelligence Cybersecurity Challenges

・2020.12.15 (You tube) Artificial Intelligence Threat Landscape

原文	仮訳
1. INTRODUCTION	1. 序論
1.1 POLICY CONTEXT	1.1 方針の文脈
1.1.1 AI security under the Data Protection Prism	1.1.1 データ保護プリズム下でのAIセキュリティ
1.2 SCOPE & OBJECTIVES	1.2 範囲と目的
1.3 METHODOLOGY	1.3 方法論
1.4 TARGET AUDIENCE	1.4 想定読者
1.5 STRUCTURE OF THE REPORT	1.5 報告書の構成
2. AI LIFECYCLE	2. AIライフサイクル
2.1 AI LIFECYCLE	2.1 AIライフサイクル
2.2 AI LIFECYCLE ACTORS	2.2 AIライフサイクルのアクター
2.3 AI LIFECYCLE PHASES	2.3 AIライフサイクルのフェーズ
2.3.1 Business Goal Definition	2.3.1 事業目標の定義
2.3.2 Data Ingestion	2.3.2 データの取り込み
2.3.3 Data Exploration	2.3.3 データ探査
2.3.4 Data Pre-processing	2.3.4 データの前処理
2.3.5 Feature Selection	2.3.5 特徴の選択
2.3.6 Model Selection / Building	2.3.6 モデルの選択・構築
2.3.7 Model Training	2.3.7 モデルトレーニング
2.3.8 Model Tuning	2.3.8 モデルチューニング
2.3.9 Transfer Learning	2.3.9 学習の移転
2.3.10 Model Deployment	2.3.10 モデル展開
2.3.11 Model Maintenance	2.3.11 モデルの保守
2.3.12 Business Understanding	2.3.12 ビジネス理解
3. AI ASSETS	3. AIの資産
3.1 METHODOLOGICAL CONVENTIONS	3.1 方法論
3.2 ASSET TAXONOMY	3.2 資産分類
4. AI THREATS	4. AIの脅威
4.1 THREAT ACTORS	4.1 脅威のアクター
4.2 THREAT MODELLING METHODOLOGY	4.2 脅威モデリング手法
4.3 THREAT TAXONOMY	4.3 脅威分類
5. CONCLUSIONS	5. 結論

ANNEX A - ASSET TAXONOMY DESCRIPTION	附属書A - 資産分類の説明
ANNEX B – THREAT TAXONOMY DESCRIPTION	附属書B - 脅威分類の説明
ANNEX C – MAPPING OF ASSETS TO AI LIFECYCLE	附属書C - AIライフサイクルへの資産のマッピング
ANNEX D – MAPPING OF THREATS TO AI LIFECYCLE	附属書D - AIライフサイクルへの脅威のマッピング

■ 参考情報

● ENISA

・2020.10.01 (press) Artificial Intelligence: Cybersecurity Essential for Security & Trust

MEP Kaili teams up with the EU Agency for Cybersecurity to explore the cybersecurity challenges of AI at one-day virtual workshop.

・ENISA Threat Landscape - 2020

・Ad-Hoc Working Group on Artificial Intelligence Cybersecurity

On this page you can find the ongoing work of the Ad-hoc Working Group, supporting ENISA in the process of building knowledge on Artificial Intelligence Cybersecurity.

● Europian Commission

・2020.02.19 [PDF] White Paper on Artificial Intelligence: a European approach to excellence and trust

・2018.12.07 Coordinated Plan on Artificial Intelligence

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回コンピュータ犯罪に関する白浜シンポジウムの発表資料

・・[PDF] スマートサイバー　AI活用時代のサイバーリスク管理（配布用）

2020.12.18 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2020.12.17

NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

こんにちは、丸山満彦です。

NISTがSP 800-213 連邦政府向け IoTデバイスサイバーセキュリティ要件の確立、及び、NIST NISTIR 8259B、8259C、8259Dの合計４つの文書のドラフトを発表し、意見募集をしていますね。。。

● NIST - ITL

・2020.12.15 SP 800-213 (Draft) IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements

概要

連邦政府が導入しようとしている IoT デバイスが連邦政府の情報システムにどのように統合できるかを検討するために役立つ背景と推奨事項を示している。
IoT デバイスとそのセキュリティ管理への対応は、組織およびシステムのリスク管理の視点から示している。
システム・セキュリティを検討するためのガイダンスは、デバイスの観点から示されている。

よって、デバイスのサイバーセキュリティ要件（つまり、連邦政府が IoT デバイスとその製造者、その委託事業者にそれぞれ期待する能力と行動）を特定することが可能になる。

NISTIR 8259シリーズがIoT関連の文書としてあります。今回、8259B、8259C、8259Dの3つも意見募集しています。。。

・2020.05.29 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers

「IoTデバイス製造事業者向け基本的なサイバーセキュリティ活動」

IoTデバイスを顧客に販売する前に製造事業者が検討すべき事項であるサイバーセキュリティに関連した推奨活動について説明している。

・・[PDF] NISTIR 8259 (DOI)

・・Supplemental Material:
・・・ Blog post (web)
・・・ Video overview of NIST recommendations (web)

・2020.05.29 NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

「IoTデバイスのサイバーセキュリティ機能のコアベースライン」

IoTデバイスのサイバーセキュリティ能力のコアベースライン（組織のデバイスやデバイスデータ、システム、エコシステムを保護する一般的なサイバーセキュリティ管理をサポートするために一般的に必要とされるデバイス能力のセット）を定義している。

・・[PDF] NISTIR 8259A (DOI)

・・Supplemental Material:
・・・ Federal Profile of NISTIR 8259A (other)
・・・ NIST Cybersecurity for IoT Program (web)

・2020.12.15 NISTIR 8259B (Draft) IoT Non-Technical Supporting Capability Core Baseline

「IoT非技術的サポート機能のコアベースライン」

製造業者及びその委託事業者から一般的に必要とされる追加の非技術的な支援活動を詳述することにより、「NISTIR 8259A IoTデバイスのサイバーセキュリティ機能のコアベースライン」を補完する。この非技術的ベースラインは、文書化、トレーニング、顧客からのフィードバックなどの支援能力を収集し、明示する。

・・[PDF] NISTIR 8259B (Draft)

・・Supplemental Material:
・・・ IoT Device Cybersecurity Requirement Catalogs (web)

・2020.12.15 NISTIR 8259C (Draft) Creating a Profile Using the IoT Core Baseline and Non-Technical Baseline

NISTIR 8259A と 8259B で提供されているコア・ベースラインから始まり、特定の IoT デバイスの顧客やアプリケーションに適した IoT サイバーセキュリティ・プロファイルを開発するために、それらのベースラインを組織やアプリケーション固有の要件（業界標準、規制ガイダンスなど）と統合する方法を説明する、どのような組織でも利用可能なプロセスを記述している。

・・[PDF] NISTIR 8259C (Draft)

・2020.12.15 NISTIR 8259D (Draft) Profile Using the IoT Core Baseline and Non-Technical Baseline for the Federal Government

「連邦政府向け IoTコアベースラインと非技術ベースラインを使用したプロファイル」

FISMAのプロセスの要件と SP 800-53 セキュリティとプライバシーの制御カタログが本質的なガイダンスである連邦政府の顧客に焦点を当てた NISTIR 8259C プロセスを適用した結果の実例を提供する。

NISTIR 8259Dは、連邦政府のユースケースのための最小限の安全性の基準の例としてNIST SP 800-53Bに記載されているFISMAの低ベースラインに対して校正されたNISTIR 8259Aと8259Bのコアベースラインのデバイス中心のサイバーセキュリティ指向のプロファイルを提供する。

・・[PDF] NISTIR 8259D (Draft)

NISTのブログが全体像を理解するのにはわかりやすいですね！！！

●NIST- Cybersecurity Insight

・2020.12.15 Rounding Up Your IoT Security Requirements: Draft NIST Guidance for Federal Agencies

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.10 米国 2020年IoTサイバーセキュリティ改善法に大統領が署名し成立した

・2020.11.19 米国 2020年IoTサイバーセキュリティ改善法が上院を通過

・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている？

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト（Ver.2）を公開していますね。。。

Continue reading "NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D"

2020.12.17 07:36 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in パブコメ, in IoT | Permalink | Comments (0)
Tweet

中国セキュリティ評価に合格したクラウドプラットフォーム

こんにちは、丸山満彦です。

セキュリティ評価に合格したクラウドプラットフォーム（2020.12.15 18:55現在）が中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China) のウェブページに公開されています。。。

2019年に合格した28事業者、2020年に合格した13事業者合わせて41事業者がリストされていますね。ほとんどが、IaaSです。。。

● 中央网络安全和信息化委员会办公室 Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China

・通过云计算服务安全评估的云平台（クラウドサービスのセキュリティ評価に合格したクラウドプラットフォーム）

認証するのはここ。。。

● 中国网络安全审查技术与认证中心（中国サイバーセキュリティ検閲技術と認証センター）

・网络安全审查（サイバーセキュリティレビュー）

・・云计算服务安全评估（クラウドコンピューティングサービスのセキュリティ評価）

2020.06.24 关于加强党政部门云计算服务网络安全管理的意见 (政党・官界におけるクラウドコンピューティングサービスのサイバーセキュリティ管理強化に関する意見)
2019.08.29 云计算服务安全评估办法 (クラウドコンピューティングサービスにおけるセキュリティ評価の考え方)
2019.08.29 信息安全技术云计算服务安全能力要求 (クラウドサービスに求められる情報セキュリティ技術のセキュリティ能力要件)
2020.06.24 信息安全技术云计算服务安全指南 (クラウドコンピューティングサービスにおける情報セキュリティ技術セキュリティガイドライン)
2020.06.24 信息安全技术云计算服务安全能力评估方法 (情報セキュリティ技術クラウドコンピューティングサービスセキュリティ能力評価手法)

2020.06.24 申报云评估流程说明 (クラウドアセスメントプロセス記述宣言)
2020.06.29 云计算服务安全评估申报书（模板） (クラウドコンピューティングサービスのセキュリティ評価宣言（テンプレート）)
2020.06.24 云计算服务安全评估相关国家标准 (クラウドコンピューティングサービスのセキュリティ評価に関する国内基準)

・・移动互联网应用程序（App）安全认证（モバイルインターネットアプリケーション（App）セキュリティ認定）

2019.03.19 移动互联网应用程序（App）安全认证实施规则
2019.07.18 移动互联网应用程序（App）安全认证实施细则

・・数据安全评估（データセキュリティ評価）

2020.11.09 中华人民共和国网络安全法

・信息安全认证（情報セキュリティ認証）

・・产品认证 （製品認証）

・・・网络关键设备和网络安全专用产品安全认证（ネットワーク重要機器およびネットワークセキュリティに特化した製品のセキュリティ認証

2018.07.14

网络关键设备和网络安全专用产品安全认证实施规则

（ネットワークセキュリティのためのネットワーク重要機器及び特殊製品のセキュリティ認証の実施規定）

・・国家信息安全产品认证（国家情報セキュリティ製品認証）

2009.04.28 防火墙产品强制性认证实施规则（ファイアウォール製品必須認証実施ルール）
2009.04.28 网络安全隔离卡与线路选择器产品强制性认证实施规则（ネットワークセキュリティ分離カードとラインセレクター製品の必須認証と実装ルール）
2009.04.28 安全隔离与信息交换产品强制性认证实施规则（セキュリティ分離・情報交換製品の強制認証・実施規定）
2009.04.28 智能卡cos产品强制性认证实施规则（スマートカードCOS製品の実装ルールの必須認証）
2009.04.28 安全路由器产品强制性认证实施规则（セキュリティルータ製品の必須認証と実装ルール）
2009.04.28 数据备份与恢复产品强制认证实施规则（データバックアップ・リカバリー製品の必須認証と実施ルール）
2009.04.28 安全操作系统产品强制性认证实施规则（セキュリティOS製品の必須認証と実装ルール）
2009.04.28 安全数据库系统产品强制性认证实施规则（セキュリティデータベースシステム製品の必須認証と実施規定）
2009.04.28 反垃圾邮件产品强制性认证实施规则（スパム対策製品の認証義務化と実施ルール）
2009.04.28 入侵检测系统产品强制性认证实施规则（侵入検知システム製品の強制認証と実施規定
2009.04.28 网络脆弱性扫描产品强制性认证实施规则（ネットワーク脆弱性スキャン製品の認証義務化と実装ルール
2009.04.28 安全审计产品强制性认证实施规则（セキュリティ監査製品の必須認証の実装ルール
2009.04.28 网站恢复产品强制性认证实施规则（Webサイト復旧製品の必須認定と実施規定

ここら先はまたいつか・・・

2020.12.17 00:00 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in クラウド | Permalink | Comments (0)
Tweet

2020.12.16

欧州委員会デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

こんにちは、丸山満彦です。

欧州委員会が、デジタルプラットフォーマを規制するためのデジタルサービス法 (Digital Services Act (DSA)) とデジタル市場法 (Digital Market Act (DSA)の最終提案を公表していますね。

2020.12.03に発表された、European Democracy Action Plan（欧州民主主義行動計画）を補完するものという位置付けのようですから、民主主義を守るという大義のもとでの一連の動きですね。。。

基本的な考え方として、一部の非常に大規模なプレーヤーが、情報共有とオンライン取引のための準公共スペースとなっていて、利用者の権利、情報の流れ等に特定のリスクをもたらすことになっているということで規制が必要という感じです。

● European Commission

・2020.12.15 Europe fit for the Digital Age: Commission proposes new rules for digital platforms

デジタルサービス法は、消費者を商品、サービス、コンテンツに接続するすべてのデジタルサービスに、違法コンテンツの迅速な除去やオンライン上での利用者の基本的権利の包括的な保護のための新たな手続きを含む、EU全体の拘束力のある義務が適用されることになるとなっていますね。

具体的には、

オンラインでの違法な商品、サービス、コンテンツの削除に関する規則
プラットフォームによって誤ってコンテンツが削除された利用者に対するセーフガード
非常に大規模なプラットフォームに対する、システムの悪用を防ぐためにリスクに応じた行動をとるという義務
オンライン広告や、利用者にコンテンツを推奨するために使用されるアルゴリズムを含む、広範囲の透明性対策
研究者によるプラットフォームの主要データへのアクセスを容易にするなど、プラットフォームの仕組みを精査するための新たな権限
違法な商品やサービスの販売者を追跡するのに役立つ、オンラインマーケットプレイスにおけるビジネス利用者のトレーサビリティに関する規則
単一市場全体で効果的な執行を確保するための公的機関間の協力プロセス

デジタル市場法は、ゲートキーパーによる不公正な行為を定義し、禁止する調和のとれた規則を定め、市場調査に基づく執行メカニズムを提供している。

具体的には、

検索エンジン、ソーシャルネットワーク、オンライン仲介サービス等、不公正な行為を起こしやすいコアプラットフォームサービスの主要プロバイダーにのみ適用され、ゲートキーパーとして指定される客観的な立法基準を満たす。
ゲートキーパーを特定するための基準として、定量的なしきい値を定義し、欧州委員会が市場調査後にゲートキーパーを指定する権限を持つ。
利用者によるプレインストールされたソフトウェアやアプリの削除をブロックする等の明らかに不公正な行為を禁止する
ゲートキーパーに対し、サードパーティのソフトウェアが適切に機能し、自社サービスと相互運用できるようにするための措置等を積極的に講じることを要求する。
新規則の有効性を確保するために、ゲートキーパーの全世界の売上高の10%までの罰金を含む、遵守違反に対する制裁措置を課す。また、繰り返す違反者に対しては、これらの制裁措置は、構造的な措置をとる義務を伴う可能性があり、コンプライアンスを確保するための同等の効果的な代替措置が他にない場合には、特定の事業の売却を要求する可能性もある。
新しいゲートキーパー規則がデジタル市場の速いペースに追いつけるようにするために、新しいゲートキーパーの慣行やサービスがこれらの規則に追加される必要があるかどうかを評価するために、欧州委員会が対象を絞った市場調査を実施することを認める。

・2020.12.15 Digital Services Act – Questions and Answers

General information on the Digital Services Act
Impact of the Digital Services Act on users
Impact of the Digital Services Act on businesses
Impact of the Digital Services Act on Member States

・・法案 [PDF]

・2020.12.15 Digital Markets Act: Ensuring fair and open digital markets

・・法案 [PDF]

2020.12.16 14:16 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in クラウド | Permalink | Comments (0)
Tweet

NATO CCDCOEがタリンマニュアル3.0の開発を進めるとアナウンスしていますね。。。

こんにちは、丸山満彦です。

CCDCOE[wikipedia]がタリンマニュアル[wikipedia]3.0の開発を進めるとアナウンスしていますね。。。

● The NATO Cooperative Cyber Defence Centre of Excellence: CCDCOE

・2020.12.14 CCDCOE to Host the Tallinn Manual 3.0 Process

The CCDCOE has committed to host a project to revise and expand the influential Tallinn Manual 2.0 on International Law Applicable to Cyber Operations. The comprehensive 2017 edition will be updated in the light of emerging State practice.

プロジェクトディレクターは、1.0、2.0と同じくUniversity or ReadingのProfessor Michael N. Schmitt（マイケル・シュミット教授）[wikipedia]が努めるようですね。従来の開発手法を踏襲するものの、全ての章について見直しをするようです。。。5年のプロジェクトなんですかね。。。

2.0は、ケンブリッジ大学出版局から販売されています。。。

・Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations - 2nd Edition

目次概要です

Part I. General International Law and Cyberspace:
1. Sovereignty
2. Due diligence
3. Jurisdiction
4. Law of international responsibility
5. Cyber operations not per se regulated by international law

Part II Specialised regimes of international law and cyberspace
6. International human rights law
7. Diplomatic and consular law
8. Law of the sea
9. Air law
10. Space law
11. International telecommunication law

Part III International Peace and Security and Cyber Activities:
12. Peaceful settlement
13. Prohibition of intervention
14. The use of force
15. Collective security

Part IV The Law of Cyber Armed Conflict:
16. The law of armed conflict generally
17. Conduct of hostilities
18. Certain persons, objects and activities
19. Occupation
20. Neutrality

Continue reading "NATO CCDCOEがタリンマニュアル3.0の開発を進めるとアナウンスしていますね。。。"

2020.12.16 02:14 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in IoT | Permalink | Comments (0)
Tweet

2020.12.15

ENISA 5Gネットワークの脅威状況報告書のアップデート

こんにちは、丸山満彦です。

ENISAが2019年11月に公開した、5Gネットワークの脅威状況報告書がアップデートされていますね。。。

● ENISA

・2020.12.14 (press) Updated ENISA 5G Threat Landscape Report to Enhance 5G Security

ENISA releases updated 5G threat assessment report to enhance cybersecurity of 5G by identifying vulnerabilities and proposing corresponding technical 5G security controls.

・2020.12.14 ENISA Threat Landscape for 5G Networks Report

・・[PDF]

原文	仮訳
1. INTRODUCTION	1. 序論
1.1 POLICY CONTEXT	1.1 方針の文脈
1.2 SCOPE AND METHODOLOGY	1.2 範囲と方法論
1.3 TARGET AUDIENCE	1.3 想定読者
1.4 STRUCTURE OF THE REPORT	1.4 報告書の構成
2. 5G STAKEHOLDERS	2. 5Gステークホルダー
2.1 STAKEHOLDERS MAPPING	2.1 ステークホルダーマッピング
3. 5G NETWORK DESIGN AND ARCHITECTURE	3. 5Gネットワークの設計と構造
3.1 5G USE CASES	3.1 5Gのユースケース
3.2 GENERIC 5G ARCHITECTURE	3.2 5Gの構造
3.3 CORE NETWORK ARCHITECTURE (ZOOM-IN)	3.3 コアネットワークの構造（ズームイン）
3.4 NETWORK SLICING (NS) (ZOOM-IN)	3.4 ネットワークスライシング（NS）（ズームイン）
3.5 MANAGEMENT AND NETWORK ORCHESTRATOR (MANO) (ZOOM-IN)	3.5 管理・ネットワーク・オーケストラ（MANO）（ズームイン）
3.6 RADIO ACCESS NETWORK (RAN) (ZOOM-IN)	3.6 ラジオアクセスネットワーク（RAN）（ズームイン）
3.7 NETWORK FUNCTION VIRTUALISATION (NFV) – MANO (ZOOM-IN)	3.7 ネットワーク機能仮想化(NFV) - MANO (ズームイン)
3.8 SOFTWARE DEFINED NETWORK (SDN) (ZOOM-IN)	3.8 ソフトウェア定義ネットワーク（SDN）（ズームイン）
3.9 MULTI-ACCESS EDGE COMPUTING (MEC) (ZOOM-IN)	3.9 マルチアクセスエッジコンピューティング（MEC）（ズームイン）
3.10 SECURITY ARCHITECTURE (SA) (ZOOM-IN)	3.10 セキュリティ構造（SA）（ズームイン）
3.11 5G PHYSICAL INFRASTRUCTURE (ZOOM-IN)	3.11 5G物理インフラストラクチャー（ズームイン）
3.12 IMPLEMENTATION OPTIONS / MIGRATION PATHS ZOOM IN	3.12 実装オプション／移動経路のズームイン
3.13 PROCESS MAP	3.13 プロセスマップ
4. 5G VULNERABILITIES	4. 5Gの脆弱性
4.1 VULNERABILITY ASSESSMENT METHOD AND SCOPE	4.1 脆弱性の評価方法と範囲
4.2 VULNERABILITY GROUPS FOR CORE NETWORK	4.2 コアネットワークの脆弱性グループ
4.3 VULNERABILITY GROUPS FOR NETWORK SLICING	4.3 ネットワークスライシングの脆弱性グループ
4.4 VULNERABILITY GROUPS FOR RADIO ACCESS NETWORK	4.4 ラジオアクセスネットワークの脆弱性グループ
4.5 VULNERABILITY GROUPS FOR NETWORK FUNCTION VIRTUALIZATION - MANO	4.5 ネットワーク機能仮想化のための脆弱性グループ - MANO
4.6 VULNERABILITY GROUPS FOR SOFTWARE DEFINED NETWORKS	4.6 ソフトウェア定義ネットワークの脆弱性グループ
4.7 VULNERABILITY GROUPS FOR MULTI-ACCESS EDGE COMPUTING	4.7 マルチアクセスエッジコンピューティングの脆弱性グループ
4.8 VULNERABILITY GROUPS FOR SECURITY ARCHITECTURE	4.8 セキュリティ構造の脆弱性グループ
4.9 VULNERABILITY GROUPS FOR PHYSICAL INFRASTRUCTURE	4.9 物理的インフラストラクチャーの脆弱性グループ
4.10 VULNERABILITY GROUPS FOR IMPLEMENTATION OPTIONS	4.10 実施オプションの脆弱性グループ
4.11 VULNERABILITY GROUPS FOR PROCESSES	4.11 プロセスの脆弱性グループ
5. ASSETS	5. 資産
5.1 ASSET CLASSIFICATION AND MAPPING	5.1 資産の格付けとマッピング
5.2 NEW ASSET CATEGORIES	5.2 新しい資産区分
5.3 ASSET CLASSIFICATION AND THE CIA TRIAD	5.3 資産の格付けとCIA TRIAD
5.4 THE RELEVANCE OF ASSETS THROUGHOUT THE LIFECYCLE	5.4 ライフサイクルを通じた資産の流動性
6. 5G THREATS	6. 5Gの脅威
6.1 TAXONOMY OF THREATS	6.1 脅威の分類
6.2 THREAT MAP	6.2 脅威マップ
7. THREAT AGENTS	7. 脅威のエージェント
8. RECOMMENDATIONS/ CONCLUSIONS	8. 推奨事項・結論
8.1 RECOMMENDATIONS	8.1 推奨事項
8.2 CONCLUSIONS	8.2 結論
A ANNEX: ASSETS MAP	別紙A：資産マップ
B ANNEX: THREAT TAXONOMY	別紙B：脅威の用語
C ANNEX: DETAILED VULNERABILITIES IN THE CORE NETWORK	別紙C：コアネットワークにおける詳細な脆弱性
D ANNEX: DETAILED VULNERABILITIES IN NETWORK SLICING	別紙D：ネットワークスライシングにおける詳細な脆弱性
E ANNEX: DETAILED VULNERABILITIES IN THE RADIO ACCESS NETWORK	別紙E：ラジオアクセスネットワークにおける詳細な脆弱性
F ANNEX: DETAILED VULNERABILITIES IN NETWORK FUNCTION VIRTUALIZATION – MANO	別紙F：ネットワーク機能仮想化における脆弱性の詳細 - MANO
G ANNEX: DETAILED VULNERABILITIES IN SOFTWARE DEFINED NETWORKS	別紙G：ソフトウェア定義ネットワークにおける詳細な脆弱性
H ANNEX: DETAILED VULNERABILITIES IN MULTIACCESS EDGE COMPUTING	別紙H：マルチアクセスエッジコンピューティングにおける詳細な脆弱性
I ANNEX: DETAILED VULNERABILITIES IN THE PHYSICAL INFRASTRUCTURE	別紙I：物理的インフラストラクチャーにおける詳細な脆弱性
J ANNEX: DETAILED VULNERABILITIES IN IMPLEMENTATION OPTIONS	別紙J：実装オプションの詳細な脆弱性
K ANNEX: DETAILED VULNERABILITIES IN MNO PROCESSES	別紙K：MNO プロセスにおける詳細な脆弱性
L ANNEX: DETAILED VULNERABILITIES IN VENDOR PROCESSES	別紙L：ベンダープロセスにおける詳細な脆弱性
M ANNEX: DETAILED VULNERABILITIES IN SECURITY ASSURANCE PROCESSES	別紙M：セキュリティ保証プロセスにおける詳細な脆弱性

こちらは、初版の情報です・・・

・2019.12.01 ENISA threat landscape for 5G Networks

・2019.11.21 ENISA threat landscape for 5G Networks

・・[PDF]

2020.12.15 14:29 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

CSA 「クラウドベースのインテリジェントエコシステム - インテリジェンスを再定義し、自律的なセキュリティ運用を推進」を公表していますね。。。

こんにちは、丸山満彦です。

クラウドセキュリティアライアンス (Cloud Security Alliance: CSA)が「クラウドベースのインテリジェントエコシステム - インテリジェンスを再定義し、自律的なセキュリティ運用を推進」を公表していますね。。。

新たな攻撃に対して、新たなツールを追加して対応していき、セキュリティ対策を複雑化させるよりも、セキュリティツールから作られるデータを機械学習等を活用して、検知の精度をあげていくという方法をもっと採用した方が良いよ、そのためにはデータ活用の自動化が重要で、クラウドを活用したエコシステムが作れれば、自社だけでなく他社のデータもうまく取り込んでより精度高く、対応できるということですかね。。。前職のSOCのリーダがセンター設立当初から同じことを話していたので流れとしてはそういうことなんでしょうね。。。

攻撃者との防御者との関係は軍事的な感じで捉えられくるという流れも避けられない状況ですよね、、、「ソラリウム報告書」の話が冒頭のExective Overviewで出てきますね。。。

● Cloud Security Alliance: CSA

・2020.12.10 Cloud Security Alliance Releases Cloud-Based, Intelligent Ecosystems - Redefining Intelligence & Driving to Autonomous Security Operations

報告書は、簡単なアンケートに答えると、報告書のダウンロードができますね。

at least five unique cybersecurity challenges surfaced	サイバーセキュリティの気になる5つの課題
1. Security technology and adversaries are changing fast. Keeping pace with new and emerging problems has made it difficult to examine the situation as a whole and the underlying issues that develop into more pronounced threats.	1. セキュリティ技術と敵対者は急速に変化している。新しく、喫緊の課題に追いついていくことは、状況全体や、より顕著な脅威に発展する根本的な問題を検討することを困難にしている。
2. The vendor community has focused on a “single pane of glass” that visually represents event data. This good idea is limited by the fact that the wealth and diversity of event data are hard to represent, along with the pace of malicious activity. Moreover, buyers are reluctant to commit to a single pane, given the significant investment in training on major security products.	2. ベンダーのコミュニティは、イベントデータを視覚的に表現することに焦点を当ててきた。ただ、この素晴らしい考え方は、イベントデータの豊富さと多様性が、悪意のある活動のペースとともに表現しにくいという現実のため限定的である。さらに、主要なセキュリティ製品のトレーニングに多額の投資が必要であることを考えると、利用者は単一の問題だけににコミットすることに消極的である。
3. The absence of a readily implementable exchange protocol and data-labeling ontology has slowed progress.	3. 容易に実装可能な交換プロトコルとデータラベリングオントロジーが存在しないことが、進歩を遅らせている。
4. Normalization and transformation of disparate data sets from security tools and intel sources have represented the “valley of death” for integration and automation until recently.	4. セキュリティツールやインテルソースからの異種データセットの正規化と変換は、最近まで統合と自動化の「死の谷」の象徴であった。
5. A shift from a singular focus on software and products to secure systems to focusing on the data generated by security systems.	5. ソフトウェアや製品のセキュリティシステムへの単一の焦点から、セキュリティシステムによって生成されたデータに焦点を当てることへのシフト。

目次は、

原文	仮訳
Executive Overview	概要
Section I. Redefining “Intelligence”	第一章「インテリジェンス」の再定義
How did we get here?	私たちはどのようにしてここに辿りついたか
Traversing the Valley of Death - The Road to Integration and Automation	死の谷をたどる - 統合と自動化への道
Section II. Sense, Understand, Act	第二章感じる・理解する・行動する
What is the difference between process workflow and data workflow?	プロセスワークフローとデータワークフローの違いは何か
Section III. Building a Cloud-based Secure, Intelligent Ecosystem	第三章クラウドベースのセキュアでインテリジェントなエコシステムの構築
Enabling Machine Learning	機械学習を活用する
Key elements of a secure intelligence ecosystem	セキュアなインテリジェンスエコシステムの主な要素
Ecosystem Maturity Model	エコシステム成熟度モデル
Section IV. Security Business Analytics	第四章セキュリティ・ビジネス・アナリティクス
Section V. Areas for Further Research	第五章今後の検討課題
Conclusion	結論

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.04 サイバースペース・ソラリウム委員会

● Cyberspace Solarium Commissio - Report

・2020.03.11 [PDF] Official Report

・2020.03.11 [PDF] Exective Summary

・2020.07.20 [PDF] Legislative Proposals

2020.12.15 02:12 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続, in クラウド, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2020.12.14

PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

こんにちは、丸山満彦です。

PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

日本でもバズワードとならずに適切に普及して欲しいという思いから、日本語訳をしたということだと思います（第三者風・・・）。SP800-207の筆頭執筆者であるScott Rose氏に執筆にかける想いをインタビューで聞いているので、それも参考に・・・

彼の意見も、共通言語（まさに標準化でメリットです）として様々な関係者が使うことで適切に普及をするということだと思います。。。

日本の読者へのメッセージ・・・

ゼロトラストに関して最初に覚えておくべきは「ゼロトラストは完全に新しい概念ではなく、長年にわたるサイバーセキュリティの考え方とアイデアが進化したもの」ということです。また、ゼロトラストは概念とアイデアの集合体であり、組織によってシステム構成が異なることから、単一のアーキテクチャにはなり得ません。ユーザーやシステムから学んだフィードバックに基づく絶え間ない改善も求められます。ゼロトラストに関連する概念や機能の役割を説明する際に本書を多くの方がご参照され、ご活用いただけることを願っています。

せっかくですから、是非広く使っていただけると良いと思います。で、問題がある箇所があれば、みんなでよくしていければと思います！！！

● PwC Japan

・NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳

● NIST - ITL

・SP 800-207 Zero Trust Architecture

NISTのページにも、Japanese translation (unofficial--from PwC Consulting LLC for IPA, Japan) (web)として紹介されていますね。。。

標準って本当に多くの人に活用されてなんぼですからね。。。是非、活用してほしいです！！！

2020.12.14 17:18 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

外国政府の支援を受けた攻撃者が米国財務省のネットワークに侵入し、情報を盗んだ？

こんにちは、丸山満彦です。

外国政府（ロシア？）の支援を受けた攻撃者が米国財務省のネットワークに侵入し、情報を盗んだ？のではないかという情報が流れていますね。。。

● REUTEERS

・2020.12.14 EXCLUSIVE-Hackers spied on U.S. Treasury emails for a foreign government - sources by Christopher Bing

外国政府の支援を受けたハッカーが、米国財務省とインターネットや通信政策を決定する機関の内部メールのトラフィックを数ヶ月に渡り監視していることに気づき、土曜日に国家安全保障会議がホワイトハウスで開かれることになったかも。。。だそうです。。。

2020.12.14 16:33 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド | Permalink | Comments (0)
Tweet

2020.12.13

総務省意見募集「地方公共団体における情報セキュリティポリシーに関するガイドライン」（改定案）、「地方公共団体における情報セキュリティ監査に関するガイドライン」（改定案）

こんにちは、丸山満彦です。

総務省が、「地方公共団体における情報セキュリティポリシーに関するガイドライン」（改定案）、「地方公共団体における情報セキュリティ監査に関するガイドライン」（改定案）についてのパブコメ募集中です。

2020.05.22に「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」（座長：佐々木良一東京電機大学研究推進社会連携センター顧問客員教授）においてとりまとめられた「自治体情報セキュリティ対策の見直しについて」を踏まえて、「地方公共団体における情報セキュリティポリシーに関するガイドライン」（改定案）及び「地方公共団体における情報セキュリティ監査に関するガイドライン」（改定案）を作成し、意見募集を行なっているということですね。。。。

● 総務省

・2020.12.09 「地方公共団体における情報セキュリティポリシーに関するガイドライン」（改定案）等に対する意見募集

・[PDF] 「地方公共団体における情報セキュリティポリシーに関するガイドライン」（改定案）

・[PDF] 「地方公共団体における情報セキュリティ監査に関するガイドライン」（改定案）

■ 参考

● 総務省

・2020.05.22「自治体情報セキュリティ対策の見直しについて」の公表

・・[PDF] 「自治体情報セキュリティ対策の見直しのポイント」

・・[PDF] 「自治体情報セキュリティ対策の見直しについて」

(2)具体的施策
　自治体の効率性・利便性の向上とセキュリティ確保の両立を図る観点から以下を実施

1.「三層の対策」の見直し
　・マイナンバー利用事務系の分離の見直し
　住民情報の流出を徹底して防止する観点から他の領域との分離は維持しつつ、国が認めた特定通信（例：eLTAX、ぴったりサービス）に限り、インターネット経由の申請等のデータの電子的移送を可能とし、ユーザビリティの向上や行政手続のオンライン化に対応
　・LGWAN接続系とインターネット接続系の分割の見直し
　従来の「三層の対策」の基本的な枠組みを維持しつつ、効率性・利便性の高いモデルとして、インターネット接続系に業務端末・システムを配置した新たなモデル（βモデル）を提示（ただし、採用には人的セキュリティ対策の実施が条件）

2.業務の効率性・利便性向上
　自治体内部環境からパブリッククラウドへの接続、自治体の内部環境へのリモートアクセス、庁内無線LANについて、安全な実施方法を検討・整理

3.次期「自治体情報セキュリティクラウド」の在り方
　・国が最低限満たすべき事項（標準要件）を提示し、民間のベンダがクラウドサービスを開発・提供することにより、セキュリティ水準の確保とコスト抑制を実現
　・引き続き、都道府県が主体となって調達・運営（複数の都道府県の共同調達・運営も可）し、市区町村のセキュリティ対策を支援
　・セキュリティ専門人材による監視機能（SOC）の強化、負荷分散機能（CDN）の追加を検討

4.昨今の自治体における重大インシデントを踏まえた対策の強化
　・神奈川県におけるHDD流出事案を踏まえ、情報システム機器の廃棄等について、情報の機密性に応じた適切な手法等を整理
　・昨年発生したクラウドサービスの大規模障害事案を踏まえ、システムに求められる可用性等のレベルに応じたクラウドサービスの選択や適切な契約等の締結を推進

5.各自治体の情報セキュリティ体制・インシデント即応体制の強化
　実践的サイバー防御演習（CYDER）の確実な受講、インシデント対応チーム（CSIRT）の設置及び役割の明確化等を推進

6.ガイドラインの適時の改定

これまでの検討会の開催の経過

● 地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会

■ 参考

●まるちゃんの情報セキュリティ気まぐれ日記

・2020.05.23 総務省「自治体情報セキュリティ対策の見直しについて」の公表

2020.12.13 04:44 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in パブコメ | Permalink | Comments (0)
Tweet

NISTIR 8320A　マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

こんにちは、丸山満彦です。

NISTがマルチテナントクラウド環境におけるコンテナ展開を保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書である、NISTIR 8320A (Draft) Hardware-Enabled Security: Container Platform Security Prototypeについて意見募集を行っていますね。。。

対象読者は、

セキュリティエンジニアやアーキテクトなどのセキュリティ専門家
クラウドサービスプロバイダのシステム管理者やその他の情報技術（IT）専門家
マルチテナント型クラウド環境におけるコンテナ展開のためのプラットフォームセキュリティを向上させるためにハードウェア対応のセキュリティ技術や技術を活用できる可能性のあるハードウェア、ファームウェア、ソフトウェアの開発者

ということです。。。

● NIST

・2020.12.07 (Update) Safeguarding Containers in Multi-Tenant Cloud Environments: Draft NISTIR 8320A is Available for Comment

・2020.12.07 (Publication) NISTIR 8320A (Draft) Hardware-Enabled Security: Container Platform Security Prototype

・・[PDF] NISTIR 8320A (Draft)

Supplemental Material:

・・(web) Trusted Cloud projects

Announcement

This report explains an approach based on hardware-enabled security techniques and technologies for safeguarding container deployments in multi-tenant cloud environments. It also describes a proof-of-concept implementation of the approach—a prototype—that is intended to be a blueprint or template for the general security community.

...

Abstract

In today’s cloud data centers and edge computing, attack surfaces have significantly increased, hacking has become industrialized, and most security control implementations are not coherent or consistent. The foundation of any data center or edge computing security strategy should be securing the platform on which data and workloads will be executed and accessed. The physical platform represents the first layer for any layered security approach and provides the initial protections to help ensure that higher-layer security controls can be trusted. This report explains an approach based on hardware-enabled security techniques and technologies for safeguarding container deployments in multi-tenant cloud environments. It also describes a proof-of-concept implementation of the approach—a prototype—that is intended to be a blueprint or template for the general security community.

ちなみに、コンテナセキュリティについては、Paloaltoのブログの次の記事が分かりやすいかもしれません・・・

● Paloalto

・2019.06.13 コンテナの分離レベルを強化する: サンドボックス化コンテナテクノロジの概要

原文は、Paloalto UNIT-42のブログです。。。

・2019.06.06 Making Containers More Isolated: An Overview of Sandboxed Container Technologies

Continue reading "NISTIR 8320A　マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集"

2020.12.13 03:52 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in パブコメ, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

Interpolによって調整されたFirst Light作戦2020により電話・インターネット詐欺犯を２万人以上を逮捕し、約160億円を押収したようですね。

こんにちは、丸山満彦です。

Interpolniによって調整されたFirst Light作戦2020により電話・インターネット詐欺犯を２万人以上を逮捕し、約160億円を押収したようですね。

● Interpol

・2020.12.09 More than 20,000 arrests in year-long global crackdown on phone and Internet scams

Targeting rising trends in telephone and online scams, Operation First Light intercepted over 150 million dollars in illicit funds.

First Light作戦は9月1日に開始され11月30日に終了し、

10,380カ所に踏み込む
21,549人のオペレーター、詐欺師、マネーロンダリング犯を逮捕
310の銀行口座を凍結
153,973,709米ドル相当の違法資金を押収

ということのようです。。。

この作戦は中国公安部が積極的に関与（例えば資金提供）しているんでしょうかね。。。2014年から行われているようです。。。シンガポールでなく、フランスのリヨンの本部（金融犯罪ユニット）ですね。。。

・過去のインターポールの記事

・2020.09.02 Phone scams targeted in INTERPOL-coordinated operation

Criminal network dismantled under ongoing Operation First Light

Operation First Light, first held in 2014, targets telecom fraud and other types of social engineering scams, as well as money laundering of the illicit proceeds. Launched in September 2019, some 37 countries and territories are participating in the latest edition to identify and locate illicit call centres engaged in the fraud scams.

...

Organized by INTERPOL’s Financial Crime unit with support from regional policing bodies Europol and ASEANAPOL, the current wave of Operation First Light began in September 2019 and has been extended through March 2021 due to the COVID-19 crisis, to allow the participating countries sufficient time to exchange information, follow up on new intelligence and identify suspects.

・2016.12.30 INTERPOL operation targeting phone scams nets 1,500 arrests

More than 1,500 people have been arrested in an INTERPOL-coordinated operation targeting multi-million euro telephone and e-mail scams across Asia.

...

Countries participating in Operation First Light 2016 included: Austria, China, Hong Kong (China), Japan, Korea, Philippines, Thailand, Timor-Leste and the United States.

・2015.12.17 More than 500 arrested in INTERPOL operation targeting phone and email scams

More than 500 people have been arrested and 15 call centres shut down in an INTERPOL-coordinated operation targeting multi-million dollar phone and email scams across the Asia Pacific region.

...

Involving 23 countries, Operation First Light 2015 resulted in a series of raids across the region with the largest in Indonesia where police arrested 245 Chinese and Taiwanese individuals, and in Cambodia where 168 Chinese nationals were taken into custody.

Korean, Nigerian, Filipino, Russian and Taiwanese nationals were also among those arrested in China, Hong Kong (China), Korea, Thailand and Vietnam during the two-month long operation during which more than 30 suspicious call centres were identified.

...

INTERPOL’s Operation First Light 2014 which involved six countries resulted in the arrest in Thailand of more than 20 individuals and the identification of several syndicate heads who had been generating tens of millions of dollars in illicit profits. Chinese police indicated a reduction of 40 per cent in telecom fraud as a result of the operation.

2020.12.13 01:52 in フォレンジック, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2020.12.12

ENISA テレコムのセキュリティガイドラインと5G関連の補足版の公表

こんにちは、丸山満彦です。

ENISAがテレコムのセキュリティガイドライン（2014年の第2版からの改訂）と5G関連の補足版の公表を行っていますね。。。

テレコムのセキュリティガイドラインは、 EU各国の電気通信事業監督当局が、European Electronic Communications Code（欧州電子通信法指令）のTITLE V SECURITY（第V款安全性）Article 40 Security of networks and services（第40条ネットワーク及びサービスの安全性）、Article 41 Implementation and enforcement（第41条実装及び執行）に基づくセキュリティ監督を行う際に参考となる（法的拘束力のない）技術的ガイダンスということになります。

5Gの補足版は、5Gネットワークのサイバーセキュリティに焦点を当てたものとして新規に開発されたものです。

● ENISA

・2020.12.10 (press) New Guidelines for Telecom and 5G Security

■ 参考情報

・European Electronic Communications Code [HTML][PDF]

・[PDF] EECCの夏井先生による参考訳（法と情報雑誌第 4 巻第 2 号（2019 年 2 月））

● EECC対応用セキュリティ対策に関するガイドライン

・2020.12.10 (pubulications) Guideline on Security Measures under the EECC

・・[PDF]

このガイドラインには、8つのセキュリティ領域に分類された29のハイレベルなセキュリティ目標が記載されていますね。

原文	仮訳
D1: GOVERNANCE AND RISK MANAGEMENT	D1：ガバナンスとリスク管理
SO1: Information security policy	SO1：情報セキュリティポリシー
SO2: Governance and risk management	SO2：ガバナンスとリスク管理
SO3: Security roles and responsibilities	SO3：セキュリティの役割と責任
SO4: Security of third party assets	SO4：第三者の資産のセキュリティ
D2: HUMAN RESOURCES SECURITY	D2：人的資源のセキュリティ
SO5: Background checks	SO5：身元調査
SO6: Security knowledge and training	SO6：セキュリティの知識とトレーニング
SO7: Personnel changes	SO7：人事異動
SO8: Handling violations	SO8：違反行為への対応
D3: SECURITY OF SYSTEMS AND FACILITIES	D3：システムと施設のセキュリティ
SO9: Physical and environmental security	SO9：物理的・環境的セキュリティ
SO10: Security of supplies	SO10：サービス提供に関するセキュリティ
SO11: Access control to network and information systems	SO11：ネットワークと情報システムのアクセス制御
SO12: Integrity of network and information systems	SO12：ネットワークと情報システムの完全性
SO13: Use of encryption	SO13：暗号の使用
SO14: Protection of security critical data	SO14：セキュリティ上重要なデータの保護
D4: OPERATIONS MANAGEMENT	D4：運用管理
SO15: Operational procedures	SO15：運用手順
SO16: Change management	SO16：変更管理
SO17: Asset management	SO17：資産管理
D5: INCIDENT MANAGEMENT	D5：インシデント管理
SO18: Incident management procedures	SO18：インシデント管理手順
SO19: Incident detection capability	SO19：インシデント検知能力
SO20: Incident reporting and communication	SO20：インシデントの報告とコミュニケーション
D6: BUSINESS CONTINUITY MANAGEMENT	D6：事業継続管理
SO21: Service continuity strategy and contingency plans	SO21：サービス継続戦略と緊急時対応計画
SO22: Disaster recovery capabilities	SO22：災害復旧能力
D7: MONITORING, AUDITING AND TESTING	D7：モニタリング、監査、テスト
SO23: Monitoring and logging policies	SO23：モニタリングとログ収集ポリシー
SO24: Exercise contingency plans	SO24：緊急時対応計画の演習
SO25: Network and information systems testing	SO25：ネットワークと情報システムのテスト
SO26: Security assessments	SO26：セキュリティ評価
SO27: Compliance monitoring	SO27：遵守状況のモニタリング
D8: THREAT AWARENESS	D8：脅威に対する知見
SO28: Threat intelligence	SO28：脅威インテリジェンス
SO29: Informing users about threats	SO29：ユーザへの脅威情報の提供

さらに対策については、basic（基本）、industry standard（業界標準）、state-of-the-art （最先端）の3つのランクが示されていますね。。。

また、各セキュリティ対策には、対策が実施されているかどうかを評価するのに役立つ証拠の例が含まれていて、監督当局が確認する際に役立ちそうですね。。。

目次ですが、

原文	仮訳
1. INTRODUCTION	1. 序論
1.1 TARGET AUDIENCE	1.1 想定読者
1.2 GOAL	1.2 目標
1.3 VERSIONS AND CHANGES	1.3 バージョンと変更
2. BACKGROUND	2. 背景
2.1 EU POLICY CONTEXT	2.1 EU政策の文脈
2.2 ENISA’S ROLE	2.2 ENISAの役割
3. EECC DEFINITIONS AND TERMINOLOGY	3. EECCの定義と用語集
3.1 EECC DEFINITIONS AND TERMINOLOGY	3.1 EECCの定義と用語集
3.1.1 EECC: Articles 40 and 41 and relevant recitals	3.1.1 EECC. 第40条及び第41条並びに関連規定
3.2 TERMINOLOGY	3.2 T用語集
3.2.1 Security of networks and services	3.2.1 ネットワークとサービスのセキュリティ
3.2.2 Security incidents	3.2.2 セキュリティ事故
3.2.3 Competent authorities	3.2.3 監督当局
3.2.4 Security measures	3.2.4 セキュリティ対策
3.2.5 NI-ICS	3.2.5 NI-ICS
4. SECURITY MEASURES	4. セキュリティ対策
4.1 ASSETS IN SCOPE AND RISK ASSESSMENT	4.1 対象の資産とリスク評価
4.1.1 Primary and secondary assets	4.1.1 一次および二次資産
4.2 CRITICAL ASSETS	4.2 重要な資産
4.2.1 Personnel and key personnel	4.2.1 人員と主要人員
4.2.2 Third parties and outsourcing	4.2.2 サードパーティとアウトソーシング
4.3 STRUCTURE OF THE SECURITY MEASURES	4.3 セキュリティ評価の構造
4.4 SECURITY OBJECTIVES AND SECURITY MEASURES	4.4 セキュリティ目標とセキュリティ評価
4.4.1 D1: Governance and risk management	4.4.1 D1: ガバナンスとリスク管理
4.4.2 D2: Human resources security	4.4.2 D2：人的資源のセキュリティ
4.4.3 Security of systems and facilities	4.4.3 D3：システムと施設のセキュリティ
4.4.4 D4: Operations management	4.4.4 D4：運用管理
4.4.5 D5: Incident management	4.4.5 D5：インシデント管理
4.4.6 D6: Business continuity management	4.4.6 D6：事業継続管理
4.4.7 D7: Monitoring, auditing and testing	4.4.7 D7：モニタリング、監査、テスト
4.4.8 D8: Threat awareness	4.4.8 D8：脅威に対する知見
5. TECHNICAL SUPERVISION OF SECURITY MEASURES	5. セキュリティ対策の技術的監督
5.1 MANDATING OR RECOMMENDING A SECURITY STANDARD	5.1 セキュリティ基準の強制または推奨
5.1.1 Mandating versus recommending a security standard	5.1.1 セキュリティ標準の義務化と推奨
5.1.2 Using the ENISA guideline as a recommendation	5.1.2 勧告としてのENISAガイドラインの利用
5.1.3 Using the ENISA guideline as a mapping	5.1.3 マッピングとしてのENISAガイドラインの利用
5.1.4 Using existing national or international standards or best practices	5.1.4 既存の国内または国際的な標準またはベストプラクティスの使用
5.2 ASSESSING COMPLIANCE ACROSS THE MARKET	5.2 市場におけるコンプライアンスの評価
5.3 SUPERVISION REGIME FOR NI-ICS PROVIDERS	5.3 NI-ICS プロバイダに対する監視体制
5.4 TECHNOLOGY PROFILES	5.4 技術プロフィール
5.5 TAKING A STAGED APPROACH	5.5 段階的アプローチの実施
5.6 AUDITING PROVIDERS	5.6 監査業者
5.6.1 Assessment types	5.6.1 評価の種類
5.6.2 Auditor types	5.6.2 監査人の種類
5.6.3 Audit timing and objectives	5.6.3 監査の時期と目的
5.7 AUTHORISATIONS CONDITIONS	5.7 認可条件
5.7.1 Authorisations	5.7.1 認可
5.7.2 Conditions	5.7.2 条件
6 MAPPING TO INTERNATIONAL STANDARDS	6 国際基準へのマッピング
5.8 MAPPING SECURITY DOMAINS	5.8 セキュリティドメインのマッピング
5.9 MAPPING SECURITY OBJECTIVES	5.9 セキュリティ目標のマッピング
6. REFERENCES	6. 参考文献

となっています。。。

● EECC対応用セキュリティ対策に関するガイドライン 5G補足版

・2020.12.10 (publications) 5G Supplement - to the Guideline on Security Measures under the EECC

・・[PDF]

EUの5Gツールボックスに関連する政策レベル、仮想化、スライシング、エッジコンピューティングなどの5Gネットワーク関連のサイバーセキュリティに焦点を当てていますね。。。

29のハイレベルのコントロールに関連して5G用に70の追加確認項目が記載されています。。。

原文	仮訳
1. INTRODUCTION	1. 序論
1.1 OBJECTIVES AND SCOPE	1.1 目的と範囲
1.2 POLICY CONTEXT	1.2 政策の文脈
1.3 STRUCTURE OF THIS DOCUMENT	1.3 この文書の構造
2. BACKGROUND: 5G RISKS AND MEASURES	2. 背景：5G のリスクと評価
2.1 COORDINATED EU APPROACH TO CYBERSECURITY OF 5G	2.1 5Gのサイバーセキュリティに対するEUの協調的アプローチ
2.2 TERMINOLOGY AND DEFINITIONS	2.2 用語と定義
2.3 5G ASSETS	2.3 5G資産
2.4 5G RISKS	2.4 5Gのリスク
2.5 MITIGATING MEASURES IN THE 5G CYBERSECURITY TOOLBOX	2.5 5G サイバセキュリテイ・ツールボックスによる対策の低減
2.6 TECHNICAL GUIDELINE ON SECURITY MEASURES UNDER THE EECC	2.6 EECC対応用セキュリティ対策に関する技術ガイドライン
3. 5G TECHNOLOGY PROFILE	3. 5G技術プロフィール
3.1 DOMAIN D1: GOVERNANCE AND RISK MANAGEMENT	3.1 領域 D1. ガバナンスとリスク管理
3.2 DOMAIN D2: HUMAN RESOURCES SECURITY	3.2 領域 D2: 人的資源のセキュリティ
3.3 DOMAIN D3: SECURITY OF SYSTEMS AND FACILITIES	3.3 領域 D3：システムと施設のセキュリティ
3.4 DOMAIN D4: OPERATIONS MANAGEMENT	3.4 領域 D4：運用管理
3.5 DOMAIN D5: INCIDENT MANAGEMENT	3.5 領域 D5: インシデント管理
3.6 DOMAIN D6: BUSINESS CONTINUITY MANAGEMENT	3.6 領域 D6：事業継続管理
3.7 DOMAIN D7: MONITORING, AUDITING AND TESTING	3.7 領域 D7: モニタリング、監査、テスト
3.8 DOMAIN D8: THREAT AWARENESS	3.8 領域 D8: 脅威に対する知見
4. SECURITY OF SPECIFIC 5G TECHNOLOGIES	4. 特定の5G技術の安全性
4.1 NETWORK VIRTUALISATION SECURITY	4.1 ネットワーク仮想化のセキュリティ
4.2 NETWORK SLICING SECURITY	4.2 ネットワークスライシングのセキュリティ
4.3 EDGE COMPUTING SECURITY	4.3 エッジコンピューティングのセキュリティ
ANNEX I: LIST OF ACRONYMS	付録 I. 略語リスト
ANNEX II: 3GPP SECURITY REFERENCE LIST	付録 II: 3GPP セキュリティ参照リスト
ANNEX III: TOOLBOX MAPPING	付録 III: ツールボックスのマッピング

Continue reading "ENISA テレコムのセキュリティガイドラインと5G関連の補足版の公表"

2020.12.12 05:07 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT | Permalink | Comments (0)
Tweet

2020.12.11

ENISA 「CSIRTとSOCをいかに構築するか - グッドプラクティスガイド」、「分野別CSIRTの能力 - エネルギー・航空輸送分野における現状と発展」を公表していますね。。。

こんにちは、丸山満彦です。

12月7日、8日に開催された「第12回CSIRTsネットワーク会合」に合わせて、ENISAがインシデント対応チームの業務改善に焦点を当てた「CSIRTとSOCをいかに構築するか - グッドプラクティスガイド」と「分野別CSIRTの能力 - エネルギー・航空輸送分野における現状と発展」というふたつのガイドを公表していますね。。。

● ENISA

・2020.12.10 (news) Driving the Global Ecosystem of Incident Response Capabilities: New Studies Now Available

The European Union Agency for Cybersecurity releases two studies to develop and support incident response teams, during the 12th meeting of the CSIRTs Network.

・2020.12.10 (publications) How to set up CSIRT and SOC - Good Practice Guide

CSIRTやSOCの設立に関心のある方を対象に、結果を重視したガイダンスと、現在存在するさまざまなタイプのCSIRTやSOCの改善の可能性についてのガイダンスを提供しているとのことです。CSIRTとSOCの設立と改善の各段階で何に重点を置くべきかについての実践的なガイダンスとなっているとのことです・・・

・・[PDF]

・2020.12.10 (publications) Sectoral CSIRT capabilities - Status and Development in the Energy and the Air Transport sector

2019.11.27の「EU加盟国インシデントレスポンス開発状況報告書」の公表を受けて、欧州レベルでのセクター別IRCに関する作業で、エネルギー・航空輸送事故対応（IR）の能力、手順、プロセス、ツールの傾向に関するものですね。IRコミュニティが直面している現在の課題とギャップについての洞察も提供しているとのことです。航空輸送とエネルギー部門の現在のIRC、Covid-19パンデミック禍での最近の変化、NIS指令の直近想定されている改訂、IRコミュニティへの実践的な提言を盛り込んでいますね。。。

・・[PDF]

● CSIRTとSOCをいかに構築するか - グッドプラクティスガイド

原文	仮訳
1. INTRODUCTION	1. 序論
1.1 CONTEXT OF THE WORK	1.1 本研究の文脈
1.2 OBJECTIVES OF THE WORK	1.2 本研究の目的
1.3 OVERVIEW OF THE METHODOLOGY	1.3 方法論の概要
1.4 DEFINITIONS OF CSIRT AND SOC	1.4 CSIRTと SOC の定義
1.4.1 Computer security incident response teams	1.4.1 コンピュータセキュリティインシデント対応チーム
1.4.2 Security operations centres	1.4.2 セキュリティオペレーションセンター
1.5 PREVIOUS ENISA WORK ON THE TOPIC OF CSIRTS	1.5 CSIRTSに関するENISAのこれまでの取り組み
2. GUIDELINES FOR ESTABLISHING CSIRTS	2. CSIRTS設立のためのガイドライン
2.1 ORGANIZATION OF THE GUIDELINES	2.1 ガイドラインの構成
2.2 ASSESSMENT FOR READINESS	2.2 準備状況の評価
2.2.1 Preliminary mandate	2.2.1 予備的な指令
2.2.2 Governance structure	2.2.2 ガバナンス体制
2.2.3 Identification of the CSIRT hosting organisation	2.2.3 CSIRT ホスト組織の特定
2.2.4 High-level roadmap and budget	2.2.4 ハイレベルなロードマップと予算
2.2.5 Detailed requirements for the design stage	2.2.5 設計段階の詳細な要件
2.3 DESIGN	2.3 設計
2.3.1 Approved detailed mandate	2.3.1 承認された詳細任務
2.3.2 CSIRT services plan	2.3.2 CSIRTサービス計画
2.3.3 CSIRT processes and workflows plan	2.3.3 CSIRTのプロセスとワークフローの計画
2.3.4 CSIRT organisation, skills and training structure plan	2.3.4 CSIRTの組織・スキル・研修体制計画
2.3.5 CSIRT facilities plan	2.3.5 CSIRT施設計画
2.3.6 CSIRT technologies and processes automation plan	2.3.6 CSIRTの技術とプロセスの自動化計画
2.3.7 CSIRT cooperation plan	2.3.7 CSIRT協力計画
2.3.8 CSIRT IT and information security management plan	2.3.8 CSIRTのIT・情報セキュリティ管理計画
2.3.9 Detailed requirements for the implementation stage	2.3.9 実施段階の詳細な要件
2.4 IMPLEMENTATION	2.4 実装
2.4.1 Approval and implementation of the organisational structure	2.4.1 組織体制の承認と実施
2.4.2 Hiring and appointing of staff	2.4.2 スタッフの採用と任命
2.4.3 Execution of a training plan for different staff roles	2.4.3 スタッフの役割別研修計画の実施
2.4.4 Preparation of facilities	2.4.4 設備の準備
2.4.5 Development and implementation of detailed processes and procedures	2.4.5 詳細なプロセスと手順の開発と実施
2.4.6 Implementation of technology for the automation of processes	2.4.6 プロセス自動化のための技術の導入
2.4.7 Implementation of IT and information security management procedures	2.4.7 IT・情報セキュリティ管理手順の実施
2.4.8 Training of staff for CSIRT operations	2.4.8 CSIRT 運営スタッフの研修
2.4.9 Signing of relevant agreements with the constituency, stakeholders and partners	2.4.9 関係団体への参加、利害関係者、パートナーとの関連協定の締結
2.4.10 Test run of CSIRT services and tuning of results	2.4.10 CSIRT サービスのテスト実行と結果の調整
2.4.11 Launch of CSIRT communications and celebrations	2.4.11 CSIRTコミュニケーションの開始、設立式典の実施
2.5 OPERATIONS	2.5 運用
2.5.1 Measurement of key performance indicators	2.5.1 主要パフォーマンス指標の測定
2.5.2 Annual operations performance review	2.5.2 年次業務実績レビュー
2.5.3 Annual stakeholder needs review	2.5.3 年次の利害関係者の要望の検討
2.5.4 Approval of the annual budget	2.5.4 年次予算の承認
2.5.5 Collection of improvement initiatives	2.5.5 改善の取り組みの収集
2.6 IMPROVEMENT	2.6 改善
2.6.1 List of improvement initiatives	2.6.1 改善の取り組み一覧
2.6.2 Detailed plans for improvement initiatives for the design stage	2.6.2 設計段階での改善取り組みの詳細計画
2.6.3 Preliminary budget for improvement initiatives	2.6.3 改善の取り組みのための予備予算
3. CONCLUSIONS	3. 結論
4. GLOSSARY AND ACRONYMS	4. 用語集と略語
5. BIBLIOGRAPHY	5. 参考文献
A ANNEX: QUESTIONNAIRE	別紙A：質問項目
6. B ANNEX: METHODOLOGY MAPPING	6. 別紙B：方法論のマッピング

● 分野別CSIRTの能力 - エネルギー・航空輸送分野における現状と発展

原文	仮訳
EXECUTIVE SUMMARY	エグゼクティブ・サマリー
1. OVERVIEW AND SCOPE OF THE STUDY	1. 研究の概要と範囲
1.1 CONTEXT	1.1 文脈
1.2 OBJECTIVE OF THE STUDY	1.2 本研究の目的
1.3 SCOPE OF THE WORK AND DEFINITIONS	1.3 作業の範囲と定義
2. METHODOLOGY AND DATA COLLECTION	2. 方法論とデータ収集
2.1 OVERVIEW OF THE METHODOLOGY	2.1 方法論の概要
2.2 A SEVEN-STEP APPROACH	2.2 ７ステップアプローチ
2.2.1 Step 1 – Definition of the research focus for the data collection	2.2.1 ステップ１- データ収集のための研究焦点の定義
2.2.2 Step 2 – Desktop research in open source on air transport and energy Sectors IRC	2.2.2 ステップ２ - 航空輸送とエネルギーのIRCに関する公開情報の文献研究
2.2.3 Step 3 – Designing and validating the survey	2.2.3 ステップ３ - 調査の設計と検証
2.2.4 Step 4 – Conducting the survey and complementary interviews	2.2.4 ステップ４ - 調査の実施と補完インタビュー
2.2.5 Step 5 – Collation of raw data	2.2.5 ステップ５ - オリジナルデータの照合
2.2.6 Step 6 – Analysis and identification of trends	2.2.6 ステップ６ - トレンドの分析と特定
2.2.7 Step 7 – Final report	2.2.7 ステップ７ - 最終報告書
2.3 OVERALL ASSESSMENT OF THE DATA & INFORMATION AVAILABILITY	2.3 データ・情報の利用可能性の全体的な評価
2.3.1 Desktop research – Data collection assessment	2.3.1 文献研究 - データ収集の評価
2.3.2 Survey – data collection assessment	2.3.2 調査 - データ収集の評価
2.3.3 Interviews – data collection assessment	2.3.3 インタビュー - データ収集の評価
3. KEY FINDINGS	3. 重要な発見事項
3.1 KEY FINDING #1- IRC SET-UP AND LANDSCAPE	3.1 重要な発見事項＃1 - IRCのセットアップとランドスケープ
3.2 KEY FINDING #2 – CREATION OF SECTORAL CSIRTS	3.2 重要な発見事項＃2 - セクターCSIRTSの創出
3.3 KEY FINDING #3 – SECTORAL CSIRTS SERVICES	3.3 重要な発見事項＃3 - 部門別 CSIRTS サービス
3.4 KEY FINDING #4 – SECTORAL IR PROCESSES AND TOOLS	3.4 重要な発見事項＃4 - 分野別のIRプロセスとツール
3.5 KEY FINDING #5 – SECTORAL IR MATURITY DEVELOPMENT	3.5 重要な発見事項＃5 - セクター別の IR 成熟度開発
3.6 KEY FINDING #6 – SECTORAL CSIRTS CHALLENGES AND GAPS 1/2	3.6 重要な発見事項＃6 - セクター別 CSIRTS の課題とギャップ 1/2
3.7 KEY FINDING #7 – SECTORAL CSIRTS CHALLENGES AND GAPS 2/2	3.7 重要な発見事項＃7 - 分野別 CSIRTS の課題とギャップ 2/2
3.8 KEY FINDING #8 – SECTORAL CSIRTS LESSONS LEARNT	3.8 重要な発見事項＃8 - 学んだセクトラル・セキュリティの教訓
4. RECOMMENDATIONS	4. 推奨事項
5. BIBLIOGRAPHY	5. 参考文献
A ANNEX: PRESENTATION OF THE RAW DATA	付録A：オリジナルデータ
B ANNEX: SURVEY – QUESTIONNAIRE	付録B：調査 - 質問項目
C ANNEX: FIGURES AND TABLES	付録C：図表

2020.12.11 04:15 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第４版の更新分析、ISO／IEC27001とのマッピング表等の追加

こんにちは、丸山満彦です。

SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミス等の修正が行われ、第5版と第４版の更新分析、ISO／IEC27001とのマッピング表等が追加されています。。。

● NIST - ITL

・2020.12.10 (publications) SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations

・2020.12.10 (publications) SP 800-53B Control Baselines for Information Systems and Organizations

・・[PDF] SP 800-53B（2020.12.10修正版）

修正箇所はほとんどが”Editorial”ですが、一部”Substantive”ですね。。。

2020.12.11 02:54 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2020.12.10

米国 2020年IoTサイバーセキュリティ改善法に大統領が署名し成立した

こんにちは、丸山満彦です。

米国で、2020.12.04にIoTサイバーセキュリティ改善法 (IoT Cybersecurity Improvement Act of 2020)に大統領が署名をし、成立しましたね。。。

● Congress

概要については、

・Summary: H.R.1668 — 116th Congress (2019-2020)

この法案は、米国標準技術研究所（NIST）に政府機関が所有または管理する情報システムに接続されたIoTデバイスの適切な使用と管理に関する連邦政府の標準とガイドラインを作成するよう指示していますね。その他、制定から180日以内に、情報システムに関連するセキュリティの脆弱性の開示プロセスに関連する基準とガイドラインを確立するように要求していますね。。。

・[PDF] 法文 (H. R. 1668)

・[DOCX]にしてみました・・・

・[HTML]にもしてみました・・・

スポンサー

・Robin Kelly

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.11.19 米国 2020年IoTサイバーセキュリティ改善法が上院を通過

・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている？

2020.12.10 03:41 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT | Permalink | Comments (0)
Tweet

Fire Eye のレッドチームツールが盗まれた・・・

こんにちは、丸山満彦です。

Fire Eyeのレッドチームツールが盗まれたとFire Eyeのブログで書いていますね。。。

● Fire Eye Blog - Threat Research

・2020.12.08 Unauthorized Access of FireEye Red Team Tools

Overview

A highly sophisticated state-sponsored adversary stole FireEye Red Team tools. Because we believe that an adversary possesses these tools, and we do not know whether the attacker intends to use the stolen tools themselves or publicly disclose them, FireEye is releasing hundreds of countermeasures with this blog post to enable the broader security community to protect themselves against these tools. We have incorporated the countermeasures in our FireEye products—and shared these countermeasures with partners, government agencies—to significantly limit the ability of the bad actor to exploit the Red Team tools.

You can find a list of the countermeasures on the FireEye GitHub repository found HERE.

概要

国の支援を受けた高度に洗練された敵対者が、FireEye Red Teamのツールを盗用しました。私たちは、敵対者がこれらのツールを保有していると考えており、攻撃者が盗んだツールを自ら使用するつもりなのか、あるいは公開するつもりなのかがわからないため、FireEyeはこのブログ記事で数百の対策を公開し、より広範なセキュリティコミュニティがこれらのツールから身を守ることができるようにしています。私たちは、これらの対策をFireEye製品に組み込み、パートナーや政府機関と共有することで、悪質な行為者がRed Teamツールを悪用する能力を大幅に制限しています。

対策の一覧は、こちらのFireEye GitHubリポジトリでご覧いただけます。

マンディアンさんのコメントです。上場企業ですので適時開示との関係にも配慮されているという感じですね。

● Fire Eye Blog - Stories

・2020.12.08 FireEye Shares Details of Recent Cyber Attack, Actions to Protect Community by Kevin Mandia

簡単にまとめてみると・・・

FBI、マイクロソフト等主要なパートナーと協力して、調査を行っている。
国家が資金提供した高度に洗練された攻撃者によるものである。
攻撃は斬新な技術が利用されている。
攻撃者は、当社が顧客のセキュリティテストに使用している特定のレッドチームの評価ツールを標的にしてアクセスしたことがわかった。
これらのツールは、多くのサイバー脅威行為者の行動を模倣している。
これらのツールには、ゼロデイエクスプロイトが含まれていない。
コミュニティを保護するという当社の目標に沿って、盗まれたツールの使用を検出するための方法や手段を積極的に公開している。
攻撃者が盗んだツールを利用するつもりなのか、それとも公開するつもりなのかはわからない。
Fire Eyeは、これらのツールが盗まれた場合の潜在的な影響を最小限に抑えるために、顧客やコミュニティ全体が使用できる300以上の対策を開発してきた。
これまでのところ、攻撃者が盗んだツールを使用したという証拠はない。
Fire Eyeは、セキュリティ・コミュニティの他の人々と同様に、盗んだツールを利用した活動がないかどうかを監視していく。
盗まれたツールの使用を検出したり、ブロックしたりできる対策を用意している。具体的には、
- 当社のセキュリティ製品に対策を施している。
- セキュリティ・コミュニティがセキュリティ・ツールを更新できるように、これらの対策を共有している。
- 対策は、ブログ記事「Unauthorized Access of FireEye Red Team Tools 」で公開している。
- レッドチームツールの追加的な緩和策については、今後も、公開されたものと直接セキュリティパートナーとの間で共有し、改善していく。
攻撃者は国家レベルでのサイバースパイ活動の一環として、主に特定の政府機関の顧客に関連する情報を求めていた。
攻撃者はFire Eyeの内部システムの一部にアクセスすることができたが、攻撃者がFire Eyeのインシデント対応やコンサルティング業務から得た顧客情報を保存している主要システムや、ダイナミック脅威インテリジェンスシステムで製品が収集したメタデータからデータを持ち出したという証拠はない。
顧客情報が持ち出されたことが判明した場合は、直接顧客に連絡する。

サイバーセキュリティの領域は、人々の生命、財産にも繋がっている問題ですので、ライバルと切磋琢磨することも重要ですが、全体の危機に際しては協力して対応することが重要ですよね。。。

かつてマンディアントさんが来日された際に、お話をしたことがありますが、とても真摯な技術者というイメージでした。。。被害が拡大しないように祈念します。。。

2020.12.10 02:18 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

デジタル時代のニュース消費の測定 - Pew Research Center

こんにちは、丸山満彦です。

偽情報が気になっていまして、偽情報とは直接関係ないかもしれませんが、こう言うことも見ておいた方が良いのかもと思いながら、備忘録です。。。

● Pew Research Center

・2020.12.08 Measuring News Consumption in a Digital Era

As news outlets morph and multiply, both surveys and passive data collection tools face challenges

目次です。。。

原文	仮訳
How we did this	どのようにして調査を行ったか
Terminology	用語
Measuring News Consumption in a Digital Era	デジタル時代のニュース消費の測定
Data sources and methods	データソースと方法
1. The American public shows mixed familiarity with new and evolving forms of news	1. 米国の一般市民は、新しい、そして進化するニュースの形に混ざった親しみやすさを示している。
The public is broadly aware of some newer forms of news consumption, but most Americans do not often use them	一般の人々は、いくつかの新しい形のニュース消費を広く認識しているが、ほとんどのアメリカ人は、これらのニュースを使用することはあまりない。
Little public confidence in identifying original reporting – and little success	元の報告書を特定することに対する世間の自信は低い - そして成功はほとんどない
Full scope of financial support for news organizations not captured with simple ‘paying for news’ question	報道機関への財政支援の全容単純な「報道にお金を払う」質問では捉えられない
Understanding how use of new digital platforms overlaps with use of analog and digital platforms for news consumption	新しいデジタルプラットフォームの利用と、ニュース消費のためのアナログとデジタルプラットフォームの利用がどのように重なっているかを理解する
2. Assessing different survey measurement approaches for news consumption	2. ニュース消費のための異なる調査測定アプローチの評価
Are the terms researchers use to ask about news consumption generally understandable among respondents?	研究者がニュース消費について質問する際に使用する用語は、回答者の間で一般的に理解できるものであるか？
Can examples improve respondents’ understanding of news providers?	回答者のニュース提供者に対する理解を、例えによって向上させることができるか？
Does a specific response scale improve measurement of news consumption?	特定の回答尺度はニュース消費の測定を改善するか？
Does providing a reference period affect news consumption measurement?	基準期間を提供することは、ニュース消費の測定に影響を与えるか？
3. The promise and pitfalls of using passive data to measure online news consumption	3. オンラインのニュース消費を測定するために受動的なデータを使用することの期待と落とし穴
Respondents self-report online activities at far higher rates than what passive data shows, but it is unclear which is more accurate	回答者は受動的なデータよりもはるかに高い割合でオンライン活動を自己報告しているが、どちらがより正確かは不明である。
Accounting for differences between survey and passive data	調査データとパッシブデータの違いを会計処理する
Appendix: Additional guidance on using surveys to measure news consumption	付録ニュース消費の測定にアンケートを使用する際の追加ガイダンス
Top-of-mind elicitation on news use	ニュース利用に関するトップオブマインドの喚起
Defining ‘news’	ニュースの定義
Longer response scales	より長い応答スケール
Other tests and refinements	その他のテストとリファイン
Detailed tables	詳細表
Acknowledgments	謝辞
Methodology	方法論
Cognitive interviews	認知面接
Recruitment and Participants’ Profile	募集と参加者のプロフィール
Survey experiments	調査実験
Recruitment	採用情報
Weighting	重み付け
The News Consumption survey	ニュース消費調査
Passive data	パッシブデータ
Recruitment and data collection	採用とデータ収集
Matching events to behaviors asked in survey	アンケートで尋ねられた行動とイベントのマッチング
Comparing survey responses to passive data	アンケート回答と受動的データの比較
Comparison to traffic data	トラフィックデータとの比較

2020.12.10 01:24 in 案内（講演 / 書籍等） | Permalink | Comments (0)
Tweet

2020.12.09

SP 1800-25 Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events

こんにちは、丸山満彦です。

NISTがSP 1800-25を公開していますね。

マルウェア等の破壊的な事象に対する資産の特定と保護に関するガイダンスですね。

● NIST - ITL

・2020.12.08 SP 1800-25 Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events

・[PDF] SP 1800-25

・Related NIST Publications:

SP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructive Events
SP 1800-26 Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events

Abstract

Ransomware, destructive malware, insider threats, and even honest user mistakes present ongoing threats to organizations. Organizations’ data, such as database records, system files, configurations, user files, applications, and customer data, are all potential targets of data corruption, modification, and destruction. Formulating a defense against these threats requires two things: a thorough knowledge of the assets within the enterprise, and the protection of these assets against the threat of data corruption and destruction. The NCCoE, in collaboration with members of the business community and vendors of cybersecurity solutions, has built an example solution to address these data integrity challenges.

Multiple systems need to work together to identify and protect an organization’s assets against the threat of corruption, modification, and destruction. This project explores methods to effectively identify assets (devices, data, and applications) that may become targets of data integrity attacks, as well as the vulnerabilities in the organization’s system that facilitate these attacks. It also explores methods to protect these assets against data integrity attacks using backups, secure storage, integrity checking mechanisms, audit logs, vulnerability management, maintenance, and other potential solutions.

この NIST サイバースセキュリティ実践ガイドの目標は、組織が自信を持って次のことを行えるようにすることである。

ネットワーク上のシステム、ユーザ、データ、アプリケーション、およびエンティティを特定する
企業のコンポーネントやクライアントの脆弱性を特定する
攻撃に備えて、企業システムの完全性とアクティビティのベースラインを設定する
攻撃に備えて企業データのバックアップを作成する
これらのバックアップやその他の潜在的に重要なデータを改ざんから保護する
マシンの姿勢を評価して企業の健全性を管理する

ランサムウェア等の破壊的な事象からデータベースレコード、システムファイル、設定、ユーザーファイル、アプリケーション、顧客データなどの組織のデータを守るためには、

企業内の資産を熟知していること
データの破損や破壊の脅威からこれらの資産を保護すること

が必要となるということですね。。。

・2020.12.08 Cybersecurity Practice Guides for Securing Data Integrity Against Ransomware Attacks

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.01.29 NIST SP 1800-25(Draft) Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events

・2020.12.09 SP 1800-26 Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events
・2020.01.29 NIST SP 1800-26(Draft) Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events

・2020.09.23 NIST SP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructive Events　ランサムウェア等の破壊的なイベントからの復旧

Continue reading "SP 1800-25 Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events"

2020.12.09 03:56 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

SP 1800-26 Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events

こんにちは、丸山満彦です。

NISTがSP 1800-26を公開していますね。

マルウェア等の破壊的な事象に対する検知と対応に関するガイダンスですね。

● NIST - ITL

・[PDF] SP 1800-26

Related NIST Publications:
SP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructive Events
SP 1800-25 Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events

Abstract

Ransomware, destructive malware, insider threats, and even honest mistakes present an ongoing threat to organizations that manage data in various forms. Database records and structure, system files, configurations, user files, application code, and customer data are all potential targets of data corruption and destruction.

A timely, accurate, and thorough detection and response to a loss of data integrity can save an organization time, money, and headaches. While human knowledge and expertise is an essential component of these tasks, the right tools and preparation are essential to minimizing downtime and losses due to data integrity events. The NCCoE, in collaboration with members of the business community and vendors of cybersecurity solutions, has built an example solution to address these data integrity challenges. This project details methods and potential tool sets that can detect, mitigate, and contain data integrity events in the components of an enterprise network. It also identifies tools and strategies to aid in a security team’s response to such an event.

・2020.12.08 Cybersecurity Practice Guides for Securing Data Integrity Against Ransomware Attacks

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.01.29 NIST SP 1800-26(Draft) Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events

・2020.12.09 SP 1800-25 Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events
・2020.01.29 NIST SP 1800-25(Draft) Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events

・2020.09.23 NIST SP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructive Events　ランサムウェア等の破壊的なイベントからの復旧

Continue reading "SP 1800-26 Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events"

2020.12.09 03:32 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

G7 Cyber Expert Group サイバー演習計画に関するG７の基礎的要素 at 2020.11.24

こんにちは、丸山満彦です。

G-7 Fundamental Elements of Cyber Exercise Programmesが米国財務省のウェブページに2020.11.24付で公表されたのですが、その日本語仮訳が、金融庁、財務省、日本銀行のウェブページで公開されていました。。。

● U.S. Department of the Treasury

・2020.11.24 (press) [PDF] G-7 Fundamental Elements of Cyber Exercise Programmes

・2020.11.24 [PDF] G-7 Fundamental Elements of Cyber Exercise Programmes

日本語仮訳については、金融庁、財務省、日本銀行のページで公表されています。。。

・2020.11.30「サイバー演習計画に関するG７の基礎的要素」（の公表）について [金融庁] [財務省] [日本銀行]

・[PDF] サイバー演習計画に関する G7 の基礎的要素（プレスステートメント） [金融庁] [財務省] [日本銀行]

・[PDF] サイバー演習計画に関する G7 の基礎的要素 [金融庁] [財務省] [日本銀行]

で、まず背景ですが・・・

業界の状況について、

金融セクターで提供されるほとんどのサービスは、IT サービスの相互依存により左右されるようになっている。その原因が故意・悪意のものであるかどうかにかかわらず、IT の停止は、重要サービスを提供する組織に重大な影響を及ぼす。

という認識の上で、

G7 サイバー・エキスパート・グループ（以下「CEG」）では、こうした依存性やインシデントに対する組織の対応力・インシデントからの復旧能力をより良く理解するために、金融セクターの官・民ともにこれらの点について定期的にサイバー演習を実施することが重要であると認識している。

ということで、法的拘束力がないガイダンスとして示したものということのようです。まぁ、法的拘束力がないとはいえ、実質的には無視をするわけにはいかないということにはなるとは思いますが・・・

で、肝心の内容ですが、二部構成になっています。

Part A - 組織のインシデント対応と復旧の態勢・能力を向上させるために、複数の演習の種類・形式の組合せで構成される複数年に亘る演習計画を策定するための基礎的要素を概説する。
Part B - サイバー演習計画の中で個々の演習を構築、実施、評価するための基礎的要素を概説する。

ということですね。。。（A)演習の中期全体計画と（B)個別演習ということですかね。。。

より抜くと・・・

Part A：演習計画の基礎的要素	演習計画は、演習の実施、評価、改善、再実施のサイクルからなり、組織における継続的な改善を可能にする。演習計画は、サイバーインシデントにおける対応と復旧対応策に関する理解を促す。
1：利害関係者の関与	まず、利害関係者の関与、特に組織内の重要人物の賛同があることは、良好な演習計画の立案・維持に資するものである。
2：複数年態勢における優先事項	複数年に亘る演習計画は、改善したことを経過観察できるため法域や組織にとって大きな利益となる。複数年に亘る演習計画を成功させる鍵は、演習から学んだ教訓を演習計画や行動計画に採り込むことである。
3：改善計画	参加者のサイバーインシデントへの対応力・復旧力を向上すべき領域を特定することは、演習を実施する主な理由の一つである。事後報告書（AAR=After Action Report）は、演習の評価結果を文書化したもので、評価に基づき改善に向けた具体的な提言を行うために活用することができる。
Part B：演習の基礎的要素	演習はインシデント対応における計画、作業、手順に習熟し評価するための機会であるとともに、失敗をしても責任を問われないリスクの低い機会である。
1：演習の計画と進行	演習の計画段階においては、演習の種類、参加者とその役割、趣旨目的、複数年に亘る演習計画との整合性、シナリオの説明を概説し、準備・実施・評価を行うチームを特定する。
2：演習の実施	演習の実施内容（参加者数やそれぞれの役割）は演習の種類によって様々である。全ての演習において、場所、技術、連絡手段、参加者の安全を確保するために、適切な工程管理ができていることが重要である。抜打ちで実施する演習ではない限り、資料の事前配布やブリーフィングミーティングは適宜実施されるべきである。これら考慮事項は、複数の法域が演習に参画するときはより重要である。
3：演習の評価	演習を評価する目的は、方針、手順、運用、システムの潜在的な改善点を特定すること、また、今後の演習の練度を高めることである。評価では演習結果をあらかじめ定めた目標・目的と比較し、演習中に記録した一連の出来事から弱点を分析する。

なお、Appendixは仮訳されていませんが、演習を綺麗に分類しているので参考になると思い簡単に訳してみました・・・

付録：用語

演習は、特定の演習の目的に応じて様々な形態をとることができるが、演習は一般的に次の2つに分類できる。(1)ディスカッションベースの演習と(2)オペレーションベースの演習である。

ディスカッションベースの演習：このタイプの演習は、既存の計画、方針、手順、合意事項などに慣れる（または新たに作成する）ことができる。ディスカッションベースの演習では、戦略的、政策的な問題に焦点を当て、ファシリテーターやプレゼンテーターが議論をリードし、参加者が演習の目標達成に向けて動き出すようにする。¹

トレーニングと意識向上（セミナー／ワークショップ）：参加者を対象に、権限、戦略、計画、方針、手順、プロトコル、リソース、概念、アイデアの概要を説明したり、提供したりする演習。²

机上演習：職員が教室または分科会グループに集まり、緊急時の役割と特定の緊急事態への対応について話し合う演習。進行役がシナリオを提示し、演習参加者にシナリオに関連した質問をすることで、参加者の間で役割、責任、調整、意思決定についての議論が始まる。机上演習は、話し合いのみをベースにした演習であり、機器やその他のリソースを配備する必要はない。³

ゲーム：競争環境または非競争環境において、個人またはチームのために設計された、構造化された対話的な遊びの形態の演習。プレイヤーが参加するイベントで、明確なルール、データ、実行のための手順が示されている。ゲームは、参加者が意思決定を行い、もっともらしい行動をとることを確実にするために、実際の状況または仮定の状況を描写するように設計されている。⁴

オペレーションベースの演習：このタイプの演習は、計画、方針、手順、合意を検証し、役割と責任を明確にし、リソースのギャップを特定することができる。オペレーションベースの演習には、通信の開始や人員・リソースの動員などのリアルタイムの対応が含まれる。⁵

機能訓練：シミュレーションされた作戦環境の中で、緊急事態に対する作戦準備を検証するための訓練。機能訓練は、1つまたは複数の機能的側面（通信、緊急通知、IT機器の設定など）に関与する特定のチームメンバー、手順、および資産の役割と責任を訓練するように設計されている。機能演習は、計画の特定の側面を検証するものから、システムやオペレーションのタイムリーな復旧を含むすべての計画要素に対応する本格的な演習まで、その複雑さと範囲は様々である。機能訓練では、スタッフが実際の緊急時と同じように役割と責任を果たすことができるが、シミュレートされた方法で実施される。

コミュニケーションとロジスティクスの演習：利用可能な通信技術の簡単な調査から、危機管理チームの会議室に危機管理チームを集める演習まで、その範囲は多岐にわたる。この演習では、計画書に記載されている責任と電話番号、手順、エスカレーション戦略、対応する人との連絡能力、代替者のルールなどを演習する。また、利用可能な計画が最新のものであるか、理解しやすく、管理しやすいものであるか、手順が実用的であるか、使用する技術（警報システム、緊急電話、インターネット、無線、衛星通信装置など）が効果的で、適切で、運用可能なものであるかを確認する。⁶

フルスケール演習 (FSE)：現実的な状況に基づいた演習で、経営者から個々の従業員に至るまでの階層のすべてのレベルが演習に参加する。準備、実行、評価に必要な時間と費用は過小評価されるべきではない。にもかかわらず、組織が事業継続管理に高い要求を課している場合には、本格的な演習を実施すべきである。本格的な演習は、定期的に実施されるべきであるが、各事業継続演習の間には、より長い間隔を空けて実施すべきである。⁷

Derived from: U.S. Department of Homeland Security. (2020). Exercise and Evaluation Program (HSEEP) (Section 2-6). Retrieved from https://www.fema.gov/media-library-data/1582669862650-94efb02c8373e28cadf57413ef293ac6/Homeland-Security-Exercise-and-Evaluation-Program-Doctrine-2020-Revision-2-2-25.pdf,
S. Department of Homeland Security. (2020). Exercise and Evaluation Program (HSEEP) (Section 2-6). Retrieved from https://www.fema.gov/media-library-data/1582669862650-94efb02c8373e28cadf57413ef293ac6/Homeland-Security-Exercise-and-Evaluation-Program-Doctrine-2020-Revision-2-2-25.pdf,
National Institute of Standards and Technology (NIST) (2020). NIST Special Publication 800-84, (Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities). Retrieved from https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-84.pdf
Derived from: U.S. Department of Homeland Security. (2020). Exercise and Evaluation Program (HSEEP) (Section 2-8). Retrieved from https://www.fema.gov/media-library-data/1582669862650-94efb02c8373e28cadf57413ef293ac6/Homeland-Security-Exercise-and-Evaluation-Program-Doctrine-2020-Revision-2-2-25.pdf,
Derived from: U.S. Department of Homeland Security. (2020). Exercise and Evaluation Program (HSEEP) (Section 2-9). Retrieved from https://www.fema.gov/media-library-data/1582669862650-94efb02c8373e28cadf57413ef293ac6/Homeland-Security-Exercise-and-Evaluation-Program-Doctrine-2020-Revision-2-2-25.pdf,
Derived from: Federal Office for Information Security (BSI) (2009). BSI-Standard 100-4. Retrieved from https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/BSIStandards/standard_100-pdf?__blob=publicationFile&v=1
Derived from: Federal Office for Information Security (BSI) (2009). BSI-Standard 100-4. Retrieved from https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/BSIStandards/standard_100-pdf?__blob=publicationFile&v=1

2020.12.09 01:12 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2020.12.08

ENISA 自国のサイバーセキュリティ能力の成熟度を自己評価するための「国家能力評価フレームワーク（NCAF）」を発行

こんにちは、丸山満彦です。

ENISAが自国のサイバーセキュリティ能力の成熟度を自己評価するための「国家能力評価フレームワーク（NCAF）」を発行してますね。。。

● ENISA

・2020.12.07 (news) Focus on National Cybersecurity Capabilities: New Self-Assessment Framework to Empower EU Member States

The EU Agency for Cybersecurity issues a National Capabilities Assessment Framework (NCAF) to help EU Member States self-measure the level of maturity of their national cybersecurity capabilities.

・2020.12.07 National Capabilities Assessment Framework

・・[PDF] NATIONAL CAPABILITIES ASSESSMENT FRAMEWORK

*	TABLE OF CONTENTS	*	目次
*	GLOSSARY OF TERMS	*	用語解説
*	EXECUTIVE SUMMARY	*	エグゼクティブ・サマリー
1	INTRODUCTION	1	序論
1.1	STUDY SCOPE AND OBJECTIVES	1.1	研究の範囲と目的
1.2	METHODOLOGICAL APPROACH	1.2	方法論的アプローチ
1.3	TARGET AUDIENCE	1.3	想定読者
2	BACKGROUND	2	背景
2.1	PREVIOUS WORK ON NCSS LIFECYCLE	2.1	NCSSのライフサイクルに関する前の業務
2.2	COMMON OBJECTIVES IDENTIFIED WITHIN THE EUROPEAN NCSS	2.2	ヨーロッパNCSSで特定された共通の目的
2.3	KEY TAKEAWAYS FROM THE BENCHMARK EXERCISE	2.3	ベンチマークエクササイズからの主な収穫
2.4	CHALLENGES OF NCSS EVALUATION	2.4	NCSS評価の課題
2.5	BENEFITS OF A NATIONAL CAPABILITIES ASSESSMENT	2.5	国家能力評価のメリット
3	METHODOLOGY OF THE NATIONAL CAPABILITIES ASSESSMENT FRAMEWORK	3	国家能力評価フレームワークの方法論
3.1	GENERAL PURPOSE	3.1	一般的な目的
3.2	MATURITY LEVELS	3.2	成熟レベル
3.3	CLUSTERS & OVERARCHING STRUCTURE OF THE SELF-ASSESSMENT FRAMEWORK	3.3	自己評価フレームワークのクラスターとオーバレイキング構造
3.4	SCORING MECHANISM	3.4	スコアリングメカニズム
3.5	REQUIREMENTS FOR THE SELF-ASSESSMENT FRAMEWORK	3.5	自己評価フレームワークの必要条件
4	NCAF INDICATORS	4	NCAF INDICATORS
4.1	FRAMEWORK INDICATORS	4.1	フレームワーク指標
4.2	GUIDELINES TO USE THE FRAMEWORK	4.2	フレームワークを使用するためのガイドライン
5	NEXT STEPS	5	次のステップ
5.1	FUTURE IMPROVEMENTS	5.1	今後の改善
ANNEX A	DESK RESEARCH RESULTS OVERVIEW	ANNEX A	机上調査結果の概要
ANNEX B	DESK RESEARCH BIBLIOGRAPHY	ANNEX B	DESK RESEARCH BIBLIOGRAPHY
ANNEX C	OTHER OBJECTIVES STUDIED	ANNEX C	研究した他の目的

Continue reading "ENISA 自国のサイバーセキュリティ能力の成熟度を自己評価するための「国家能力評価フレームワーク（NCAF）」を発行"

2020.12.08 01:28 in 情報セキュリティ / サイバーセキュリティ | Permalink | Comments (0)
Tweet

米国サイバーコマンドとオーストラリア国防軍情報戦部門がサイバー訓練プラットフォームの共同開発契約を締結

こんにちは、丸山満彦です。

米国サイバーコマンド（USCYBERCOM）とオーストラリア国防軍情報戦部門（IWD）がサイバー訓練プラットフォームを共同開発し、共有するための二国間協定を締結したようですね。。。

● U.S. Department of Defense

・2020.12.04 U.S., Australia Sign Agreement to Develop Virtual Training Range

● U.S. Cyber Command

・2020.12.04 US and Australia sign first-ever cyber agreement to develop virtual training range

■ 参考 (報道等)

● Bleeping Copmuter

・2020.12.04 US and Australia to develop shared cyberattack training platform by Sergiu Gatlan

● Twitter - U.S. Cyber Command

・2020.12.04 11:36

First-ever #cyber agreement between U.S. & Australia means we can both evolve our virtual cyber training range. Persistent Cyber Training Environment allows U.S. & allied cyber forces to train for real-world missions.

@DeptDefence

@DeptofDefense

@USArmy

2020.12.08 00:42 in 情報セキュリティ / サイバーセキュリティ, in ウイルス, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

Egregor ransomware

こんにちは、丸山満彦です。

Egregor ransomwareによる被害が増えていますかね。。。

■ Translink (Vancouver)
● Tripwire
・2020.12.07 Egregor Ransomware Strikes Metro Vancouver’s TransLink by DAVID BISSON

■ Randstad
● Infosecurity
・2020.12.07 Egregor Ransomware Steals Data from Recruiter Randstad by Phil Muncaster

■ K-mart
● Bleeping Computer
・2020.12.03 Kmart nationwide retailer suffers a ransomware attack by Lawrence Abrams

■ Barnes＆Noble
● Infosecurity
・2020.10.15 Cyber-Attack on Major US Bookseller by Sarah Coble

■ Ubisoft
● ZD Net
・2020.10.15 Ubisoft, Crytek data posted on ransomware gang's site

Egregorに関する情報

● Tripwire
・2020.12.04 Egregor Ransomware Strikes Metro Vancouver’s TransLink

● Recorded Future
・2020.12.03 Egregor Ransomware, Used in a String of High-Profile Attacks, Shows Connections to QakBot

● Cybereason - Blog
・2020.11.26 Cybereason vs. Egregor Ransomware

● Trend Micro
・2020.11.18 Ransom.Win32.EGREGOR.A

● McAfee
・2020.10.20 Egregor - Ransomware

2020.12.08 00:00 in ウイルス, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2020.12.07

米国上院インテリジェンス特別委員会中国がもたらす国家安全保障上の脅威に関する委員長代理(R)、副委員長 (D) の共同声明

こんにちは、丸山満彦です。

米国上院インテリジェンス特別委員会が、「中国がもたらす国家安全保障上の脅威に関する委員長代理(R)、副委員長 (D) の共同声明」を出していますね。。。

● Senate Select Committee on Intelligence [wikipedia]

・2020.12.04 Rubio, Warner Joint Statement on National Security Threat Posed by China

声明の概要は次のような感じ・・・

米国にとって中国が最大の国家安全保障上の脅威となっている。中国共産党は何をしても世界的な支配力を発揮するために止まらないだろう。

北京の米国社会への潜入は意図的かつ陰湿なもので、中国は米国を踏み台にしてさらに台頭していくためにあらゆる影響力を利用している。

私たちの民主主義的価値観は、米国の指導力に取って代わり、国際社会を自分たちのイメージに作り変えようとする中国の試みによって脅かされている。中国共産党の権威主義的指導者たちは、私たちの言論の自由、政治、技術、経済、軍事、そしてCOVID-19パンデミックに対抗するための活動さえも脅かそうとしている。

残念なことに、北京は私たちの同盟国を含む世界中の他の国に潜入して、堕落させようとしているので、米国の中国への挑戦は特別なものではあない。

今はまさに私たちの分水嶺となる瞬間であり、私たちは地に足をつけなければならない。国際的な法的規範を無視し、中国の目標を達成するために卑劣な人権侵害を行い、支配権を行使しようとする北京の探求を米国は受け入れてはならない。

米中関係のバランスを調整し、今後の米国の政策に明確な指針を示す上でかなりの進展を遂げてきた。

北京と世界へのメッセージは、中国の行動を容認せず、同盟国やパートナーとの緊密な協力関係の下、民主的価値観で争うということだ。

2020.12.07 02:21 in 法律 / 犯罪, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

民主主義を守るための偽情報との戦い

こんにちは、丸山満彦です。

適切な情報に基づいて民衆が判断し、その総和的な結論で国を動かそうとしている考えの中、民衆へのインプット情報を操作することにより、民衆の判断の総和を変え、敵対する国家にとって都合の良い方向に導こうとすることが考えられますよね。。。民主主義にとって偽情報 (disinformation) はできる限り排除すべき課題となりますよね。。。

深層学習によるFake動画・画像・文書が本物との区別がつきにくくなりつつあり、また、ソーシャルネットワーク等を使った個人単位の情報発信できる環境が、情報の信憑性の確認スピード以上での情報拡散を招き、真偽入り混じった情報が拡散されることにより、民主主義に対する偽情報の課題はますます解決困難性を増してきているように思います。

そんな中、興味深い文書を見つけましたので、紹介です・・・

ただ、読みながらふと思いましたが、敵対的国からの技情報だけでなく、戦前の大本営発表的な政府や政治家が国民に偽情報を使うということも大いにあり得るので、個人個人にとっての重要な問題なのかもしれませんね。。。

● Center for European Policy Analysis (CEPA) 欧州政策分析センター [wikipedia]

・2020.12.04 Countering Russian and Chinese Cyber-Aggression by Franklin Holcomb

エグゼクティブサマリーを抜き出して超訳をすると

ロシアや中国などの敵対的なサイバーアクターは、欧米の政策対応では抑止力が利いておらず、欧米はサイバー攻撃に対する対応・回復力を高めることに注力しなければならない。
国家が支援するサイバー活動は、ハッキングと偽情報の両方で、ますます相乗的に強化されている。
東欧諸国は、ロシアの恒常的なサイバー攻撃に対する防御を強化するために、革新的な政策措置を講じている。
米国政府と米国市民社会は、政府や社会への働きかけを拡大し、パートナーを支援し、パートナーから学び、それによってサイバー防衛力を向上させるべきである。

という感じですね。。。

・2020.12.02 Democratic Offense Against Disinformation by Alina Polyakova and Daniel Fried

エグゼクティブサマリーの抜き出しの超訳・・・

偽情報に対する防衛を攻撃で補うことを推奨する。外国の偽情報活動を特定し、混乱させるためのサイバーツールを構築することを意味する。米国サイバー司令部（USCYBERCOM）はすでにこの手法を始めている。これには即時性と直接性があるため魅力的でがあるが、無力化という選択肢は慎重に実施する必要がある。
制裁手段の影響は決定的というより中程度であり、粘り強く継続的に、米国、EU、英国等が並行して実施すればより効果的である。

同じ著者で・・・

● Atrantic Council

・2019.06.13 Democratic defense against disinformation 2.0 by Daniel Fried and Alina Polyakova

・2018.02 [PDF] Democratic defense against disinformation by Daniel Fried and Alina Polyakova

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.11.24 フェイク画像はここまで来たのか・・・ (The New York Times)＋IDF辻井先生のコラム

・2020.11.23 Europol, UNICRI, Trendmicro 犯罪者もAIを活用！（ディープフェイクだけではない）

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回コンピュータ犯罪に関する白浜シンポジウムの発表資料

・2020.10.12 欧州議会は「人工知能、ロボットおよび関連技術の倫理的側面の枠組み」を採択しましたね。。。

・2020.09.04 マイクロソフトがDeepfake検出ツールを発表してました。。。

・2020.08.10 ディープフェイク作のNATO、CSET、パートナーシップ・オン・AI、GAOの報告書（展開前ですが・・・）

・2020.04.20 別人になりきってオンラインビデオ会議に参加できるオープンソースのディープフェイクツール「Avatarify」...

・2020.01.27 Deepfake

2020.12.07 01:50 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 危機管理 / 事業継続, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2020.12.06

ENISA 第19条専門家グループ第16回会合：eIDAS監督機関等の53名の専門家が信託サービスのセキュリティとインシデント報告に関する情報を交換

こんにちは、丸山満彦です。

2020.12.01-12.02にENISA第19条専門家グループの第16回会合があり、eIDAS監督機関、欧州委員会、EUサイバーセキュリティ庁 (ENISA) [wikipedia] の53名の専門家が最近のセキュリティインシデントについて話し合い、信託サービスのセキュリティとインシデント報告に関する情報を交換したようですね。

● ENISA

・2020.12.04 (News) 16th Meeting of Article 19 Expert Group: Strengthening Security for e-Trust Services

インシデントレポートのウェブページ

・Incident Reporting

第19条専門家グループポータル

・Article19 Expert Group workspace

・・[PDF] eIDAS regulation

・・2017.03.17 Article 19 Incident reporting

・・・[PDF] 2016.12 Article 19 Incident reporting Incident reporting framework for eIDAS Article 19

・・Relevant ENISA papers (related to EIDAS, TSPs, etc)

・・Trust Services - a key to increase citizens confidence in the online world

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.11.26 ENISA 認証をサポートする規格

・2020.11.13 JIPDEC 第98回JIPDECセミナー「eシールとは？ —内外での活用状況からJIPDECの取組みまで」資料公開

・2020.04.16 ENISA eIDと信託サービスにおけるENISAの役割

・2020.03.17 ENISA eIDAS準拠のeIDソリューションに関する報告書

● eIDAS規制

Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC

・[HTML] [PDF]

● eIDAS (https://www.eid.as/)

2020.12.06 22:23 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2020.12.05

ニュージーランド政府がサイバー空間における国際法の適用に関する声明を発表していますね。。。

こんにちは、丸山満彦です。

ニュージーランド政府がサイバー空間における国際法の適用に関する声明を発表していますね。。。

● New Zealand - The Department of the Prime Minister and Cabinet: DPMC

・2020.12.01 (Media Statment) The Application of International Law to State Activity in Cyberspace

New Zealand issued a position statement on how international law applies to state activity in cyberspace.

・The Application of International Law to State Activity in Cyberspace

・[PDF] The Application of International Law to State Activity in Cyberspace

これは、高橋郁夫先生や湯浅先生に教えてもらいたいところですね。。。

私なりの浅知恵で感じたこと・・・

国際法はサイバー空間にも適用される。
ただし、サイバー空間に対してどのように適用されるかはまだ十分なコンセンサスが得られていない。
従来の国際法が領土や物理的な概念に基づいて形作られてきたため、サイバー空間での国際法の適用には注意が必要である。
サイバー活動も、物理的武力攻撃と同等の規模と性質の影響をもたらす場合には、国連憲章第51条の目的のための武力攻撃に該当する。
例えば、原子炉の冷却プロセスを不能にし、深刻な損害と人命の損失をもたらすサイバー活動は、武力攻撃に該当する。
他国を支配しようとする意図を持って、政治、経済、社会、文化制度を自由に選択する権利、課税、国家安全保障、警察、国境管理、外交政策の立案等に重大な影響を及ぼすサイバー活動は内政不干渉の規則に反する。
例えば、選挙の投票数を意図的に操作したり、有権者のかなりの部分から投票権を奪ったりするサイバー活動、パンデミック時に州の公衆衛生活動を大幅に損なうような長期的かつ協調的なサイバー情報操作、医療システム、金融システム、電力や通信ネットワークなどの重要インフラに意図的に大きな損害を与えたり、機能を喪失させたりするサイバー活動は、内政不干渉の規則に反する。
サイバー空間における領土主権の規則の適用は、サイバー空間を物理的な領域と区別する重要な特徴を考慮に入れなければならない。
特に、i) サイバースペースには明確な領土的リンクを持たない仮想的な要素が含まれていること、ii) サイバー活動には、複数の領土や拡散した管轄区域で同時に動作するサイバーインフラが含まれている可能性があること、iii) サイバースペースには物理的な距離がないため、悪意のある行為者は警告なしに標的に瞬時に影響を与えることができること。
国家は常に悪意のある国家のサイバー活動に対して政治的責任を負うことができ、国際法と矛盾しない非友好的な行為（報復）により対応することができる。
国家が国際的に不当な行為に相当するサイバー活動の対象となっている場合、国家は国際的な法的責任を行使することができる。
被害国家が、国際法に違反して行動している国家に比例した対抗措置を適用する際に、他の国家に援助を要請することができる。
武力攻撃に相当する悪意のあるサイバー活動を受けた国家は、国連憲章第51条に基づき、個別的自衛権や集団的自衛権を行使することができる。自衛権は、サイバー手段を含む武力攻撃が差し迫っている場合にも生じる。
その権利の行使は、サイバー活動を含むがこれに限定されない。

簡単な仮訳・・・

・[DOC] サイバー空間における国家活動への国際法の適用

2020.12.05 02:30 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2020.12.04

防衛省防衛研究所「一帯一路構想と国際秩序の行方」（安全保障国際シンポジウム報告書）

こんにちは、丸山満彦です。

防衛省防衛研究所の令和元年度（第21回）安全保障国際シンポジウム「一帯一路構想と国際秩序の行方」の報告書が公開されていますね。。。

色々な立場の方の意見となっていて大変参考になりました（全部読んだわけではないですが・・・）

● 防衛省防衛研究所

・2020.12.03 令和元年度安全保障国際シンポジウム報告書「一帯一路構想と国際秩序の行方」を掲載しました

[PDF] まえがき・目次

第1部一帯一路構想をどう見るか

第1章 [PDF] 世界的連結性、世界の変容、一帯一路構想の国際関係 蘇　長和
第2章 [PDF] ロシアおよび拡大ユーラシアにおける一帯一路構想の意義 ヴィクトリア・パノヴァ
第3章 [PDF] 中国の一帯一路構想における事業と課題 クリスティン・リー
第4章 [PDF] 一帯一路構想における習近平政権の狙い 飯田　将史

第2部一帯一路構想をめぐる経済と安全保障

第5章 [PDF] オーストラリアのインド太平洋インフラストラクチャー外交 ジェフリー・ウィルソン
第6章 [PDF] 一帯一路構想が欧州貿易に与える影響 アレッシア・アミギーニ
第7章 [PDF] 経済と安全保障の収斂を目指す中国：ユーラシアにおける機能的協力の出現 増田　雅之
第8章 [PDF] 中国の一帯一路構想の戦略地政学的・軍事的動因：大陸から海上領域へと拡大する世界展開 由　冀
[PDF] 執筆者紹介

過去分も・・・

回	西暦	和暦	テーマ
第21回	2018年度	令和元年度	一帯一路構想と国際秩序の行方
第20回	2017年度	平成29年度	アジア太平洋における海洋秩序の維持
第19回	2016年度	平成28年度	北朝鮮をめぐる将来の安全保障環境
第18回	2015年度	平成27年度	宇宙安全保障：諸外国の動向と日本の取組み
第17回	2014年度	平成26年度	平和維持活動の新潮流―新たな方向性の模索―
第16回	2013年度	平成25年度	アジア太平洋地域の多国間協力の可能性
第15回	2012年度	平成24年度	防衛力の戦略的マネージメント―防衛力の変革の方向性と課題
第14回	2011年度	平成23年度	大規模災害における軍事組織の役割
第13回	2010年度	平成22年度	抑止と対話－哨戒艦事件後の朝鮮半島－
第12回	2009年度	平成21年度	主要国の核政策と21世紀の国際秩序
第11回	2008年度	平成20年度	平和構築と軍事組織－21世紀の紛争処理のあり方を求めて
第10回	2007年度	平成19年度	北朝鮮の核問題－平和と安定に向けて
第09回	2006年度	平成18年度	台頭する中国とその限界－岐路に立つ中国－
第08回	2005年度	平成17年度	21世紀の安全保障環境における軍の変革
第07回	2004年度	平成16年度	ブッシュ第2期政権の安全保障戦略と世界
第06回	2003年度	平成15年度	21世紀の安全保障環境と軍事力の再編
第05回	2002年度	平成14年度	軍事力の非伝統的役割と東アジアの安全保障
第04回	2001年度	平成13年度	軍事力の本質 21世紀を迎えて
第03回	2000年度	平成12年度	21世紀の国際秩序と東アジアの安全保障
第02回	1999年度	平成11年度	21世紀の戦争と平和－20世紀を振り返って－
第01回	1998年度	平成10年度	21世紀初頭における北東アジアの戦略環境－抑止と協調的安全保障－

2020.12.04 02:07 in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

米軍とエストニアが共同作戦を通じてサイバー領域でのパートナーシップを強化

こんにちは、丸山満彦です。

米軍とエストニアがサイバー領域で9月23日から11月6日に共同作戦を実施し、パートナーシップを強化していっているようですね。

米軍のHunt Forward teamsがエストニアに攻撃をしてみたんでしょうかね。。。

● U.S. Cyber Command

・2020.12.03 Hunt Forward Estonia: Estonia, US strengthen partnership in cyber domain with joint operation

2020.12.04 01:15 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続, in IoT | Permalink | Comments (0)
Tweet

米国国防情報システム局戦略計画 FY19-22の改訂版を公開

こんにちは、丸山満彦です。

米国の国防情報システム局 (U.S. Defense Information Systems Agency: DISA) [wikipedia] が戦略計画の改訂版を公開していますね。

● U.S. DISA

・2019.07.10 DISA’s new strategic plan sets agency’s course through 2022 by Noreen Costello

・2020.12.01 [PDF] STRATEGIC PLAN FY19-22 Version 2

原文	仮訳
A Letter from the Director	局長から
Table of Contents	目次
Introduction	序章
Strategic Framework	戦略的フレームワーク
1.0 OPERATE AND DEFEND	1.0 運用と防御
1.1 Modernize the Infrastructure	1.1 インフラの近代化
1.2 End User Support	1.2 エンドユーザの支援
1.3 Computing	1.3 コンピューティング
1.4 Defensive Cyber Operations –Internal Defensive Measures	1.4 防御型サイバーオペレーション -内部防御策
1.5 Readiness	1.5 準備
2.0 ADOPT BEFORE WE BUY,AND BUY BEFORE WE CREATE	2.0 購入前に適用し、作成前に購入する
2.1 Optimize for the Enterprise	2.1 組織最適化
2.2 Strengthen Cybersecurity	2.2 サイバーセキュリティの強化
2.3 Drive Innovation	2.3 イノベーションの推進
Technology Roadmap	技術ロードマップ
3.0 ENABLE PEOPLE AND REFORM THE AGENCY	3.0 人材開発と省内改革
3.1 Enable People	3.1 人材開発
3.2 Reform the Agency	3.2 省内改革
Conclusion	結論

色々なニュースソースを参考にすると、

cyber defense
cloud computing
Defense Enterprise Office Solutions

の3つの分野の重要性が強調されている感じですね。

また、クラウドサービスの利用の促進に加えてCOVID-19で在宅勤務も増えているので、ゼロトラストアーキテクチャを推進していく感じですね。。。

国防総省情報ネットワーク合同軍本部司令官ナンシーA.ノートン海軍副提督が、陸軍通信電子協会主催のTechNetCyber2020カンファレンスの基調講演での発表でそういっていますね。。。

● U.S. DISA

・THE DRUMBEAT

・2019.07.10 DISA’s new strategic plan sets agency’s course through 2022 by Noreen Costello

● Department of Defense

・2020.12.01 (News) COVID-Related Telework Accelerates DISA's Zero-Trust Adoption

・2020.12.01 (Video) Defense Information Systems Agency Director Delivers Keynote Address for Armed Forces Communications and Electronics Association TechNet Cyber 2020

■ 参考（報道等）

● C4ISRNET

・2020.11.30 DISA pinpoints three technology areas in revised strategic plan by Andrew Eversden

● Deffence Systems

・2020.12.02 DISA refreshes strategic plan for 2022 By LAUREN C. WILLIAMS

● Breaking Deffense

・2020.12.02 DISA Puts Trust in Zero Trust With New Strategy, Testing Lab By KELSEY ATHERTON

“Zero Trust [is] where we see a lot of departmental capabilities moving over the next 12 to 18 months,” said John Hale, chief of cloud services at DISA

・2020.12.01 DISA Unveils New Strategic Plan By KELSEY ATHERTON

This updated strategic plan focuses on cyber defense, the cloud, and enterprise solutions

● AFCEA

・2020.12.01 DISA, JAIC Developing AI-Enabled Cybersecurity Tool by George I. Seffers

● NextGov - Cyber

・2020.12.01 The defense agency adjusted its long-term cybersecurity and cloud plans to take into account progress and pivots made for the COVID-19 pandemic.

2020.12.04 00:00 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2020.12.03

接続性に関するEU-ASEAN共同閣僚声明

こんにちは、丸山満彦です。

EUとASEAN10カ国の閣僚で会合が開かれ、「接続性に関するEU-ASEAN共同閣僚声明」が出されましたね。EUの27カ国とASEAN10カ国（ブルネイ、カンボジア、インドネシア、ラオス、マレーシア、ミャンマー、フィリピン、シンガポール、タイ、ベトナム）の外相が出席したようですね。

両地域及び世界の政治・社会・経済・安全保障のアジェンダを形成する上でASEANとEUが果たす重要な役割を再確認しEU-ASEAN関係を戦略的パートナーシップに格上げした

とのことです。地政学的な問題が底辺にはありますね。。。

この接続性については、サイバーセキュリティ、プライバシーも含まれていますね。。。

● EU

・2020.12.01 Video conference of ASEAN-EU foreign ministers

Main results

The 23rd ASEAN-EU ministerial video conference brought together foreign ministers of the European Union and their counterparts from the 10 member states of the Association of Southeast Asian Nations (ASEAN).

They reaffirmed the significant role played by ASEAN and the European Union in shaping the political, socio-economic, and security agenda for both regions and globally, and upgraded EU-ASEAN relations to a Strategic Partnership.

・[PDF] EU-ASEAN strategic partnership (factsheet)

Economic cooperation
- circular economy
- fiscal and financial stability
- sustainable financing
- free and fair trade based on cross-border rules and regulations
- labour rights
- creating jobs in an interconnected world
Security cooperation
- preserving peace and stability
- fighting against transnational crime and counter terrorism
- cybersecurity
- maritime security
Sustainable connectivity
- diversifying and simplifying transport linkages
- promoting renewable energy and security of supply
- cooperation in the field of education
- research
- innovation
- culture and tourism
Sustainable development
- human rights
- climate change and biodiversity
- clean energy transition
- smart cities
- healthy oceans
- environmental protection

・2020.12.01 Co-chairs' press release of the 23rd ASEAN-EU ministerial meeting

・2020.12.01 EU-ASEAN joint ministerial statement on connectivity

We recognised digital connectivity with a focus on our people as a key enabler to inclusive growth and sustainable development through cooperation in the areas of digital innovation, digital infrastructure and logistics, digitalisation of manufacturing and services, ICT security, the adoption of technology by MSMEs, and increasing access to digital services, ensuring protection of personal and consumers' data and privacy.

簡単に訳すと・・・

我々は、以下の分野での協力を通じ、包括的な成長と持続可能な開発のための重要なイネーブラーとして、我々の国民に焦点を当てたデジタル・コネクティビティを認識した。

デジタル・イノベーション
デジタル・インフラとロジスティクス
製造とサービスのデジタル化
ICTセキュリティ
中小企業による技術の採用
デジタル・サービスへのアクセスの増加
個人と消費者のデータとプライバシーの保護を確保したデジタル・サービスへのアクセスの増加

参考

・[PDF] EU-ASEAN relations (factsheet)

・[PDF] EU and ASEAN partners in connectivity (factsheet)

・2020.12.01 Team Europe COVID-19 response: EU announces €20 million to support health systems in ASEAN

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.01 防衛省防衛研究所米大統領選後の安全保障の展望 ASEAN, 中国, 南アジア

・2020.12.01 インド太平洋地域における米中競争 by RAND研究所 2020.11.12

2020.12.03 02:25 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in IoT | Permalink | Comments (0)
Tweet

2020.12.02

U.S. GAO 医療における人工知能：患者ケアを強化する技術の利点と課題

こんにちは、丸山満彦です。

米国のGAOが医療における人工知能の活用の利点と課題についてまとめていますね。。。

人工知能ツールは、健康状態の予測、治療法の推奨、管理業務の自動化などを支援することができ、医療の改善に貢献できる反面、これらのツールに関連する課題として、次のような課題があるとしていますね。

透明性：医療提供者が人工知能ツールがどのように機能するかを知らない場合、人工知能ツールの利用について信頼性が低下する可能性がある。
バイアス：データの制限や偏りがあると、人工知能ツールの安全性や有効性が低下する可能性がある。
データ：効果的な人工知能ツールを作成するために必要な高品質のデータを入手することは困難である可能性がある。

● U.S. GAO

・2020.11.30 ARTIFICIAL INTELLIGENCE IN HEALTH CARE: Benefits and Challenges of Technologies to Augment Patient Care

・・[PDF] Full Report

2020.12.02 01:20 in 監査 / 認証, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

U.S. GAO 5Gネットワークの機能と課題 @2020.11.19

こんにちは、丸山満彦です。

米国のGAOが5Gネットワークの機能と課題についての報告書を公表していますね。

報告書では、

米国の5G無線ネットワークの性能目標と期待される用途をどのように実現するか、
米国の5G無線ネットワークの性能や利用に影響を与える可能性のある課題、
これらの課題に対処するための政策オプション

について論じていますね。

GAOの調査によると、現在は（１）速度の向上と（２）より多くのデバイスを接続することに重点を置いた取り組みが行われている状態で、まだ初期段階にあるという判断のようです。5Gの可能性を完全に引き出す技術は、今後10年以内に期待されています。

今後の課題と課題への政策オプションの提示もしていますね。。。

● U.S. GAO

・2020.11.19 5G WIRELESS: Capabilities and Challenges for an Evolving Network

・・[PDF] Full Report

・・[Youtube]

Continue reading "U.S. GAO 5Gネットワークの機能と課題 @2020.11.19"

2020.12.02 01:03 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

2020.12.01

防衛省防衛研究所米大統領選後の安全保障の展望 ASEAN, 中国, 南アジア

こんにちは、丸山満彦です。

防衛研究所が大統領戦後の安全保証の展望を公表しています。今のところ

ASEAN
中国
南アジア

が公表されていますね。。。

米国のRAND研究所の報告書も紹介しましたが、日本の報告書も参考になると思います。。。

● 防衛省防衛研究所

2020.11.24 [PDF] NIDS Commentary 米大統領選後の安全保障の展望③　米新政権の南アジア政策――アフガン対テロ戦争の幕引きと米中競争激化の間で
2020.11.19 [PDF] NIDS Commentary 米大統領選挙後の安全保障の展望② 中国の見方
2020.11.12 [PDF] NIDS Commentary 米大統領選挙後の安全保障の展望① 米大統領選挙後の米 ASEAN関係――「ASEAN 回帰」への期待

・ 米大統領選挙後の安全保障の展望① 米大統領選挙後の米 ASEAN関係――「ASEAN 回帰」への期待

一方、対中政策については、中国に厳しく対応していくという姿勢は超党派の合意事項ともいわれており、トランプ政権時同様、米中の緊張関係は続くと考えられる。今後も南シナ海や台湾をめぐって米中間の緊張が高まることは十分に考えられよう。ASEAN としては、米中対立が構造的な問題である以上、米政権の交代によってこうした対立構造が根本的に変化することは期待できず、ASEAN にとって「居心地の良い」米中関係は出現しない、との悲観的観測がある。そこで ASEAN が最も恐れる事態は、米国ないしは中国によってどちらの側につくかの選択を迫られることである⁸。「米中 2 者択一」の難題は、ASEAN 内に亀裂を生み、その中心性の維持を困難にするという意味で、ASEAN 各国の対米・対中 2 国間関係の問題にとどまらず、ASEAN自体の存立にかかわる問題となる。バイデン政権になっても、ASEAN は単にオバマ時代の再来を楽観することはできず、深まる米中対立の中での自律性を模索する課題に直面するであろう。

・米大統領選挙後の安全保障の展望② 中国の見方

中国は今のところ様子見という段階にあり、明確な動きを見せていない。。。。

バイデン政権になっても中国の対外戦略が根本的に転換するとは考えにくい。仮にバイデン政権がより協調的な関係を求めたとしても、諸問題についての双方の妥協可能なラインには隔たりがあり、またそのこと自体についての共通認識もない。現状では米中の相互不信は取り除くことが難しいだろう。

またバイデン政権で同盟関係がさらに強化される可能性があることから、中国にとっては相手陣営の分断が重要となるだろう。東南アジアや韓国に対する態度は穏健化する可能性があるし、また日本に対しても穏健な政策を継続するかもしれない。米中関係のみならず、中国の周辺国に対する政策動向にも注目が必要だろう。

・米大統領選後の安全保障の展望③　米新政権の南アジア政策――アフガン対テロ戦争の幕引きと米中競争激化の間で

米国にとっての政策的焦点は恐らく 3 つある。第 1 に、冷戦終結以降、米国が着実に協力を深化させてきたインドとの関係。第 2 に、来年には開始から 20 年を数えることになる、アフガニスタンでの対テロ戦争。そして第 3 に、アフガンに加え、中国との戦略的競争の観点からも南アジア域内で重要な位置を占めるパキスタンとの関係である。

・・・

南アジアに関しては、直近のトランプ政権だけでなく、オバマ政権、ブッシュ政権も含め、米国の政策は大筋で内外の構造的なファクターに規定される方向へ流れてきた印象が強い。バイデン政権がそこから外れることを示唆する強いエヴィデンスは見当たらず、同政権の対南アジア政策は総じて、20 年に及ぶアフガン対テロ戦争の縮小・幕引きと、グローバルに激化する中国との戦略的競争への対応という 2 つの大きなトレンドに規定される形で展開されていくものと予想される。

2020.12.01 15:52 in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

インド太平洋地域における米中競争 by RAND研究所 2020.11.12

こんにちは、丸山満彦です。

米国大統領選挙も結果が見え、政権移行という状況ですね。。。

さて、RAND研究所からインド太平洋地域における米中競争についての報告書が出ておりました。（2020.11.12）

なかなか興味深い内容となっています。

インド太平洋地域における米国と中国の影響力を把握し、継続的に米国が優位に立つためにどうすべきかということを検討してみたという感じです。

今のところ、この地域においても軍事力的には米国の優位ではあるが、東南アジア諸国はやはり中国市場の大きさに代表されるように経済的には中国の影響というものを強く意識している。このため、中国からの恩恵が大きいと考えると、米国からより中国へ接近した対応が行われる可能性が強くなる。特に、インドネシア、マレーシア、タイ、ベトナムといった地域ではその可能性が高いという感じですね。米国に対して面従腹背という状況になる可能性がどんどん高まってきている（すでにそうかもしれない）ということですね。。。

どの国も米国と中国のどちらかを選べという選択を突きつけられるのを避けたいわけで、是々非々で個々の対応を続けたいわけですが、そういう状況が許されなくなるようなタイミングも近く来るのかもしれません。。。

● RAND

・2020.11.12 (Research Briefs) U.S.-China Competition in the Indo-Pacific

・2020.11.12 (Research Reports) Regional Responses to U.S.-China Competition in the Indo-Pacific - Study Overview and Conclusions

・・[PDF] (156 pages)

・・Key Findings

The United States and China have different strengths and approaches to competition
The United States could work more effectively with allies and partners

・・Recomendations

・2020.11.12 U.S. Versus Chinese Powers of Persuasion - Does the United States or China Have More Influence in the Indo-Pacific Region?

・・[PDF]

中国の影響力は経済的であり、米国の影響力は外交と防衛となりますね。。。

・2020.11.12 Regional Responses to U.S.-China Competition in the Indo-Pacific - Japan

・・[PDF]

「東南アジアにおける日本との防衛および安全保障協力の強化を検討すべきである」「東南アジアの危機への対応に焦点を当てた人道支援と災害救援活動の計画と実行に日本と協力する」ということを米国政府に推奨していますね。。。

・2020.11.12 Regional Responses to U.S.-China Competition in the Indo-Pacific - Singapore

・・[PDF]

シンガポールをハブとして、豪州、インド、東南アジア諸国との協力関係を強化し、中国の政治的介入や影響力行使に対抗し、シンガポール政府と協力して中国の問題ある行動に抗議していくことが重要。

・2020.11.12 Regional Responses to U.S.-China Competition in the Indo-Pacific - Vietnam

・・[PDF]

米国政府は、量よりも質を重視したコミュニケーションをはかり、一帯一路に対抗するイニシアティブを立ち上げるべきだ、、、ということなのでしょうかね。

時間があれば引用文献も含めて読むべきなんでしょうかね。。。

2020.12.01 11:33 in 危機管理 / 事業継続, in IoT | Permalink | Comments (0)
Tweet

内閣官房「第10回個人情報保護制度の見直しに関する検討会」　地方自治体関係

こんにちは、丸山満彦です。

2020.11.27に開催された「第10回個人情報保護制度の見直しに関する検討会」の資料等が公開されていますね。。。

方向性としては、政府及び関連団体、地方自治体、民間と別れていた法制度を一元化しようということで、個人情報保護に関連する事項は、政府期間を含む全ての団体が個人情報保護委員会の実質的な監督下に入り、用語が統一され、適用される最低限が決まれば個人情報の保護も利活用も効率的にできるようになりそうですね。

条例にある程度の上乗せ規定は容認するようですが、これも民間での現状を踏まえると各会社ごとに個人情報保護規程などがあり、契約で特定の事項が入れられるケースもあることから、同じように考えれば実務的な負担はそれほどないのかもしれませんね。

ただ、現状からの移行については、2000個の移行問題ということがありますが、いっときのことですから、効率的な移行方法を検討して、実行していくのでしょうね。。。

戦後、政府がなかなか個人情報保護法を制定できなかったところ、欧州や米国の動きを睨みながら、個人情報の電算処理に伴う個人情報保護を自治体が先んじて取り組んできた歴史も約50年？で節目を迎えることになりそうですね。。。

● 内閣官房 - 個人情報保護制度の見直しに関する検討会

・2020.11.27 第１０回　個人情報保護制度の見直しに関する検討会　議事次第

[PDF] 資料１地方公共団体の個人情報保護制度に関する法制化について（素案）
[PDF] 資料２地方公共団体の個人情報保護制度の在り方（とりまとめ案イメージ）
[PDF] 資料３地方公共団体の個人情報保護制度の在り方検討に関する調査結果
[PDF] 資料４地方ヒアリング提出資料（全国知事会）

資料４地方ヒアリング提出資料（全国知事会）のP2は興味深いですね。。。

１．「地方公共団体の個人情報保護制度に関する法制化について（素案）」に対する各都道府県の意見集約結果

法律による共通ルールの規定及び「素案」の方向性については、概ね「支障なし」との評価
- 個人情報保護水準確保とデータ利活用促進の両立の必要性を理解
- 地方による独自の保護措置を一定程度容認することを評価

個別事項について「支障あり」とした都道府県からの意見や懸念
- 「定義の一元化」「個人情報の取扱い」：地方におけるこれまでの取扱いとの齟齬や後退が生じないよう対応
- 「開示、訂正及び利用停止の請求」：地方のこれまでの取組との整合や行政サービスの低下・切り下げとならないよう配慮
- 「非識別加工情報の提供制度の導入」：ノウハウ、人材確保、事務負担増等あらゆる観点から多数の懸念
- 「地方公共団体が条例で定める独自の保護措置」：地方での先行した取組やきめ細かなサービス水準の容認

など

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2005.09.13　総務省地方公共団体の個人情報保護条例制定状況

所管が総務省から個人情報保護委員会に移行したことによりリンクが切れていますので、、、近しい文書等へのリンクです。。。

　↓

● 国立国会図書館

・個人情報保護条例策定状況（総務省）

● 地方自治研究機構

・個人情報の保護に関する条例

〇　個人情報保護条例については、自治体が国の法令に先駆けて制定してきた歴史がある。

まずは、電子計算機処理に係る個人情報の保護に関する条例として、昭和５０年３月に全国で初めて東京都国立市で「国立市電子計算組織の運営に関する条例」が制定された（なお、昭和４８年６月に徳島市で「電子計算組織運営審議会条例」が制定されており、それを全国最初とする見方もある）。その後、こうした電算処理に係る個人情報保護に関する条例が全国で制定されるようになった（昭和５９年４月１日現在で１７９団体　自治省調べ）。

そして、昭和５９年7月に、電算処理に係るものだけではなく個人情報全般を保護する条例として、全国最初に、福岡県春日市で「春日市個人情報保護条例」が制定された。同条例は、情報公開条例とプライバシー保護条例の制定を求める住民からの請願が契機となって制定されたものであるが、国際水準のプライバシー保護策を随所で具体化し、また、規制対象分野を民間部門まで広げているなど、「我が国におけるプライバシー保護策の歴史の中で、画期的なものであると評価できる」（堀部政男「自治体情報法」（学陽書房１９９４年１０月）２９０頁）とされている。続いて、昭和60年3月に大阪府島本町で「島本町個人情報保護条例」が，同年6月に神奈川県川崎市で「川崎市個人情報保護条例」が制定され、その後多くの自治体で制定されるようになった。なお、平成２年３月に制定された「神奈川県個人情報保護条例」が、都道府県における最初の個人情報全般を保護する条例となる。

〇　法律は、昭和63年12月に行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律（昭和63年法律第95号）が制定されたが、行政機関の保有する個人情報のうち電子計算機処理に係るものに限定されていた。個人情報全般にわたる個人情報保護法制については、平成１１年に成立した住民基本台帳法一部改正法の附則第１条第２項に、「法律の施行に当たって、政府は、個人情報の保護に万全を期するため、速やかに、所要の措置を講ずるものとする」との規定が追加されたことを受け、政府において検討が始められ、平成15年5月に、個人情報の保護に関する法律(平成１５年法律第５７号　個人情報保護法)及び行政機関の保有する個人情報の保護に関する法律(平成１５年法律第５８号　行政機関個人情報保護法)が制定され、平成１７年４月に全面施行された。

個人情報保護法は、「地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する。」（５条）及び「地方公共団体は、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。」（１１条１項）とし、自治体が保有する個人情報保護についてはそれぞれの条例よる自主的な対応に委ねられた。

〇　平成１１年の政府における個人情報保護法制検討開始時では、都道府県では４８．９％が、市区町村では４６．１％が、既に個人情報保護条例を制定しており、平成１５年の個人情報保護法成立時では、都道府県では100％、市区町村では73.6％が制定、平成17年の法全面施行時には、都道府県では100％、市区町村では98.0％が制定していた。市区町村においては、平成１８年度以降１００％の団体が制定している。

2020.12.01 06:28 in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

サイト内検索

Recent Posts

Recent Comments

Recent Trackbacks

連載 (ITmedia)

ウェブページ

December 2020

2020.12.31

2020.12.30

2020.12.29

2020.12.28

2020.12.27

2020.12.26

2020.12.25

2020.12.24

2020.12.23

2020.12.22

2020.12.21

2020.12.20

2020.12.19

2020.12.18

2020.12.17

2020.12.16

2020.12.15

2020.12.14

2020.12.13

2020.12.12

2020.12.11

2020.12.10

2020.12.09

2020.12.08

2020.12.07

2020.12.06

2020.12.05

2020.12.04

2020.12.03

2020.12.02

2020.12.01

ココログ

まるちゃん

関連団体

情報法関連Blog

情報法 Web

セキュリティ Blog

セキュリティ web

内部統制