« December 2020 | Main

January 2021

2021.01.19

欧州データ保護委員会 パブコメ データ漏えいの通知に関する事例ガイドライン

こんにちは、丸山満彦です。

欧州データ保護委員会が「データ漏えいの通知に関する事例ガイドライン (Guidelines 01/2021 on Examples regarding Data Breach Notification) 」の意見募集をしていますね。2021.03.02までです。。。

[PDF] Guidelines on Personal data breach notification under Regulation 2016/679, WP 250を補足するガイドラインという感じですね。。。

Europian Data Protection Board

・2021.01.18 (news) EDPB adopts Guidelines on examples regarding data breach notification

・(public consultation) Guidelines 01/2021 on Examples regarding Data Breach Notification

ガイドラインはこちら・・・

・[PDF] Guidelines 01/2021 on Examples regarding Data Breach Notification Adopted on 14 January 2021 Version 1.0


ガイドライン案目次です。。。

1 Introduction 1 はじめに
2 RANSOMWARE 2 ランサムウェア
2.1 CASE No. 01: Ransomware with proper backup and without exfiltration 2.1 CASE No.01: 適切なバックアップがあるが、駆除していないランサムウェアの場合
2.2 CASE No. 02: Ransomware without proper backup 2.2 CASE No.02:適切なバックアップがないランサムウェアの場合
2.3 CASE No. 03: Ransomware with backup and without exfiltration in a hospital 2.3 CASE No.03:バックアップがあるが、病院内での駆除をしていないランサムウェアの場合
2.4 CASE No. 04: Ransomware without backup and with exfiltration 2.4 CASE No.04: バックアップがないが、駆除したランサムウェアの場合
2.5 Organizational and technical measures for preventing / mitigating the impacts of ransomware attacks 2.5 ランサムウェア攻撃の防止・影響軽減のための組織的・技術的対策
3 Data Exfiltration ATTACKS 3 データ流出攻撃
3.1 CASE No. 05: Exfiltration of job application data from a website 3.1 CASE No.05:Webサイトからの求人応募データの流出
3.2 CASE No. 06: Exfiltration of hashed password from a website 3.2 CASE No.06: Webサイトからのハッシュ化されたパスワードの漏えい
3.3 CASE No. 07: Credential stuffing attack on a banking website 3.3 CASE No.07: 銀行Webサイトのクレデンシャルスタッフィング攻撃
3.4 Organizational and technical measures for preventing / mitigating the impacts of hacker attacks. 3.4 ハッカー攻撃の影響を防止・軽減するための組織的・技術的対策
4 INTERNAL HUMAN RISK SOURCE 4 内部人的リスク
4.1 CASE No. 08: Exfiltration of business data by a former employee 4.1 CASE No.08:元従業員による業務データの漏えい
4.2 CASE No. 09: Accidental transmission of data to a trusted third party 4.2 CASE No.09:信頼できる第三者へのデータ送信事故
4.3 Organizational and technical measures for preventing / mitigating the impacts of internal human risk sources 4.3 内部の人的リスク源の影響を防止・軽減するための組織的・技術的対策
5 LOST OR STOLEN DEVICES AND PAPER DOCUMENTS 5 機器、紙の文書の紛失または盗難
5.1 CASE No. 10: Stolen material storing encrypted personal data 5.1 CASE No.10:暗号化された個人データを保存している機器等の盗難
5.2 CASE No. 11: Stolen material storing non-encrypted personal data 5.2 CASE No.11:暗号化されていない個人データが保存されている機器等の盗難
5.3 CASE No. 12: Stolen paper files with sensitive data 5.3 CASE No.12:機密データの入った紙ファイルの盗難
5.4 Organizational and technical measures for preventing / mitigating the impacts of loss or theft of devices 5.4 機器の紛失・盗難による影響を防止・軽減するための組織的・技術的対策
6 MISPOSTAL 6 郵送ミス
6.1 CASE No. 13: Snail mail mistake 6.1 CASE No.13:郵送ミス
6.2 CASE No. 14: Sensitive personal data sent by mail by mistake 6.2 CASE No.14:機密性の高い個人情報を誤って郵送してしまった場合
6.3 CASE No. 15: Personal data sent by mail by mistake 6.3 CASE No.15:個人情報を誤って郵送してした場合
6.4 CASE No. 16: Snail mail mistake 6.4 CASE No.16:郵送ミス
6.5 Organizational and technical measures for preventing / mitigating the impacts of mispostal 6.5 郵送ミスの影響を防止・緩和するための組織的・技術的対策
7 Other Cases – Social Engineering 7 その他事例 - ソーシャルエンジニアリング
7.1 CASE No. 17: Identity theft 7.1 CASE No.17:ID窃盗
7.2 CASE No. 18: Email exfiltration 7.2 CASE No.18:電子メールの流出

 

■ 参考

Europian Data Protection Board

・2018.08.20 Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)

・[PDF] Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)

Edpb

| | Comments (0)

2021.01.18

新聞紙学的(平和博さんのブログ) - ディープフェイクスにどれだけ騙される? 意外な実験結果とは

こんにちは、丸山満彦です。

「新聞紙学的(平和博さんのブログ) - ディープフェイクスにどれだけ騙される? 意外な実験結果とは」の内容が興味深い。。。まぁ、考えてみれば取り立てて変わった話ではないように思えるのですが、深く考えてみると面白いかもしれません。。。おすすめです。

桜美林大学教授の平教授とは、情報ネットワーク法学会が知り合いました。知り合った当時は朝日新聞の編集者だったと思います。最近は、ファイくニュース等についての著書もあり、この分野で精力的に研究をされていますね。。。

新聞紙学的(平和博さんのブログ)

・2021.01.18 ディープフェイクスにどれだけ騙される? 意外な実験結果とは

詳細は先生のブログで・・・

 

■ 参考

Political Deepfake Videos Misinform the Public, But No More than Other Fake Media by Soubhik Barari, Christopher LucasKevin Munger

 

| | Comments (0)

2021.01.17

NTFS $ I30インデックス属性に関わるリスクの件

こんにちは、丸山満彦です。

NTFS $ I30インデックス属性に関わるリスクの件は、私もBleepingComputerの記事で初めて知ったのですが、2020年8月、10月にすでにJonas L [twitter] さんが指摘していたようですね。。。今回も彼のTwitterがきっかけです。。。

理解している利用者が意図してその作業をすることによって不都合が起こる場合は、仕方がないとしても、十分な理解がない人が利用したり、また利用者が意図していないところで不都合が起こる場合は、なんらかの対策をしないと製造者としては一般的にはよくないでしょうね。。。

今回の問題は、$ I30インデックス属性のファイルにアクセスしようとするとハードディスクに障害が出るという問題のようで、利用者が意図しないところでも生じるところに問題がありますよね。。。

この問題に対応する方法が現在はまだないため、サイバー攻撃で利用される可能性もあるわけですが、広く知られるようになれば対応方法も考えられるようになり、長期的には良いことだったのだろうと思います。

BleepingComputer

・2021.01.14 Windows 10 bug corrupts your hard drive on seeing this file's icon by

An unpatched zero-day in Microsoft Windows 10 allows attackers to corrupt an NTFS-formatted hard drive with a one-line command.

In multiple tests by BleepingComputer, this one-liner can be delivered hidden inside a Windows shortcut file, a ZIP archive, batch files, or various other vectors to trigger hard drive errors that corrupt the filesystem index instantly.

The Vergeの記事では、マイクロソフトはこの脆弱性に対応するという話になっていますね。。。

The Verge

・2021.01.15 Microsoft to fix Windows 10 bug that can corrupt a hard drive just by looking at an icon - A bizarre Windows bug for 2021 b

Jonas L @jonasLyk

 ・2021.01.09 NTFS VULNERABILITY CRITICALITY UNDERESTIMATED

Tom Warren @tomwarren

 


 

| | Comments (0)

2021.01.16

スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」に記載されている統制目標と統制活動(144項目)をとりあえず日本語にしてみた。。。

こんにちは、丸山満彦です。

以下の部分の統制活動 (Controles) が全部で144項目ありますね。。。

まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.15 スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」というガイダンスを公表していますね。

の続きにようなものです。。。

Agencia Española de Protección de Datos: AEPD

・2021.01.12 La AEPD publica una guía sobre requisitos en auditorías de tratamientos que incluyen Inteligencia Artificial(AEPDはAIを含むデータ処理監査の要件に関するガイダンスを公表した)

・[PDF] Guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial

まずは目次の該当部分を再掲・・・

III. OBJETIVOS DE CONTROL Y CONTROLES  III.統制目標と統制活動 
A. Identificación y transparencia del componente  A. 構成要素の識別と透明性 
Objetivo: Inventario del componente IA auditado  目的:監査対象となるAI構成要素の棚卸し 
Objetivo: Identificación de responsabilidades  目的:責任の明確化 
Objetivo: Transparencia  目的:透明性 
B. Propósito del componente IA  B. AI構成要素の目的 
Objetivo: Identificación de las finalidades y usos previstos  目的:目的と用途の特定 
Objetivo: Identificación del contexto de uso del componente IA  目的:AI構成要素の利用文脈の特定 
Objetivo: Análisis de la proporcionalidad y necesidad  目的:比例性と必要性の分析 
Objetivo: Determinación de los destinatarios de los datos  目的:データ受信者の決定 
Objetivo: Limitación de la conservación de datos  目的:データ保持の制限 
Objetivo: Análisis de las categorías de interesados  目的:ステークホルダーのカテゴリー分析 
C. Fundamentos del componente IA  C. AI構成要素の基礎 
Objetivo: Identificación de la política de desarrollo del componente IA  目的:AI開発方針の洗い出し 
Objetivo: Implicación del DPD  目的:データ保護代理人の関与 
Objetivo: Adecuación de los modelos teóricos base  目的:理論的基礎モデルの妥当性 
Objetivo: Adecuación del marco metodológico  目的:方法論的枠組みの妥当性 
Objetivo: Identificación de la arquitectura básica del componente  目的:構成要素の基本的なアーキテクチャの特定 
D. Gestión de los datos  D. データ管理 
Objetivo: Aseguramiento de la calidad de los datos  目的:データ品質保証 
Objetivo: Determinación del origen de las fuentes de datos  目的:データソースの出所の特定 
Objetivo: Preparación de los datos personales  目的:個人データの作成 
Objetivo: Control del sesgo  目的:偏りコントロール 
E. Verificación y validación  E. 検証と妥当性確認
Objetivo: Adecuación del proceso de verificación y validación del componente IA  目的:AI構成要素の検証・妥当性確認プロセスの適切性
Objetivo: Verificación y Validación del componente IA  目的:AI構成要素の検証と妥当性確認
Objetivo: Rendimiento  目的:パフォーマンス 
Objetivo: Coherencia  目的:干渉
Objetivo: Estabilidad y robustez  目的:安定性とロバスト性 
Objetivo: Trazabilidad  目的:トレーサビリティ 
Objetivo: Seguridad  目的:セキュリティ 

144の詳細はこちら。訳は機械翻訳を使っているので間違いがあるとは思いますが、概要をつかむということで・・・

↓↓↓↓↓

Continue reading "スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」に記載されている統制目標と統制活動(144項目)をとりあえず日本語にしてみた。。。"

| | Comments (0)

2021.01.15

スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」というガイダンスを公表していますね。

こんにちは、丸山満彦です。

スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD)が「人工知能が関与する個人データ処理の監査のための要件」というガイダンスを公表していますね。。。

スペインの個人データ保護庁は、かなり精力的に仕事をしているイメージがあります。文書がスペイン語なので私にはなかなかとっつきにくいのですが、、、そして今度の文書もスペイン語です...(なので、複数の翻訳ソフトと辞書を使いながらの訳です・・・)

Agencia Española de Protección de Datos: AEPD

・2021.01.12 La AEPD publica una guía sobre requisitos en auditorías de tratamientos que incluyen Inteligencia Artificial(AEPDはAIを含むデータ処理監査の要件に関するガイダンスを公表した)

El documento ofrece orientaciones y criterios objetivos, desde una perspectiva de protección de datos, que deberían incorporarse a las auditorías de tratamientos que incluyen componentes basados en Inteligencia Artificial この文書は、データ保護の観点から、AIを用いた構成要素を含む処理業務の監査に組み込むべき客観的な指針と基準を提供している。
El impacto que los tratamientos basados en IA podrían tener en los derechos y libertades de los ciudadanos pone de manifiesto la necesidad de establecer modelos de desarrollo maduros en los sistemas y tratamientos en los que se utilicen AIを用いた処理が市民の権利と自由に与える影響は、それらが使用されるシステムと処理において成熟した開発モデルを確立する必要性を浮き彫りにしている。
La Guía está orientada a responsables y encargados que han de auditar tratamientos que incluyan IA, a desarrolladores que quieran ofrecer garantías sobre sus productos y soluciones, a Delegados de Protección de Datos y a los equipos de auditores encargados de evaluar dichos tratamientos このガイドは、AIを含む処理業務を監査しなければならない管理者や監督者、製品やソリューションの保証を提供したいと考えている開発者、データ保護責任者、処理業務の評価を担当する監査チームを対象としている。

ガイダンスはこちら・・・

・[PDF] Guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial

ざっとウェブページの内容を意訳すると。。。

ーーーーー

分析や推論に人工知能(AI)を用いた個人データの処理業務を行うためには、品質とプライバシーを保証する成熟した開発モデルを適用する必要があります。AIを用いた処理が市民の権利と自由に与える影響は、AIを用いたシステムや処理業務について、効果的な管理、正確性、責任、説明責任、リスク管理、透明性などの対策を講じる必要があることを浮き彫りにしている。

一般データ保護規則(GDPR)の第24条では、データを処理する者は、「本規則に従って取扱いが遂行されることを確保し、かつ、そのことを説明できるようにするための適切な技術上及び組織上の措置を実装する」(個人情報保護委員会の訳)ことが義務づけられている。これらの措置は、「取扱いの性質、範囲、過程及び目的並びに自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮して」選択されなければならず、GDPRの遵守を「確保し、そのことを説明できる」ための手段の一つとして監査の実施がある。そのためには、データ保護の観点からAI構成要素の監査を行うために設計された客観的な基準を持つ必要がある。

この文書には、監査されたアルゴリズムのインベントリの作成、責任の明確化、透明性の原則の遵守、目的の明確化、処理の比例性と必要性の分析、データ保存の限界、データの品質の確保、バイアスの可能性の管理、GDPR の積極的責任の原則に準拠して行われた行動と得られた結果の検証と検証などの目的が含まれている。

この文書は主に、AIを用いた構成要素を含む処理業務を監査する必要があるデータ管理者や監督者、対象となるデータ保護義務と原則の遵守を保証し実証できるようにするや必要があるデータ管理者や監督者、製品とソリューションの保証を提供したい開発者、処理業務の監督とデータ管理者への助言の両方を担当するデータ保護責任者、そのような処理業務の評価を担当する監査チームを対象としている。

この文書は、AIを用いた処理における個人データ保護の原則の効果的な遵守に対処した、「Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial (AIを用いた処理のためのGDPR適応ガイド)」を補完するものである。その中で、監査の章が設けられ、監査は可能な評価ツールの一つとして、また、説明可能で、予測可能で、制御可能な製品を実現するための手段として提案されている。

監査の対象となる統制の選択、分析の範囲、及びその実施に必要な形式は、他の監査と同様に、監査のために定義された目的と範囲、及び実施されたリスク分析に依存する。監査人は、特定の監査に適した統制を選択し、適切と思われる統制を追加しなければならない。

文書の目次です。

I. INTRODUCCIÓN  I. 序論 
II. METODOLOGÍA DE AUDITORÍA Y TRATAMIENTOS QUE INCORPORAN COMPONENTES DE IA  II.監査の方法論及びAI構成要素を組み込んだ治療法 
A. Objetivos generales de la auditoría de un componente IA en PD  A.データ保護におけるAI構成要素の監査の一般的な目的 
B. Características singulares de la metodología de la auditoría de un componente IA en PD  B. データ保護におけるAI構成要素の監査方法の特徴 
III. OBJETIVOS DE CONTROL Y CONTROLES  III.統制目標と統制活動 
A. Identificación y transparencia del componente  A. 構成要素の識別と透明性 
Objetivo: Inventario del componente IA auditado  目的:監査対象となるAI構成要素の棚卸し 
Objetivo: Identificación de responsabilidades  目的:責任の明確化 
Objetivo: Transparencia  目的:透明性 
B. Propósito del componente IA  B. AI構成要素の目的 
Objetivo: Identificación de las finalidades y usos previstos  目的:目的と用途の特定 
Objetivo: Identificación del contexto de uso del componente IA  目的:AI構成要素の利用文脈の特定 
Objetivo: Análisis de la proporcionalidad y necesidad  目的:比例性と必要性の分析 
Objetivo: Determinación de los destinatarios de los datos  目的:データ受信者の決定 
Objetivo: Limitación de la conservación de datos  目的:データ保持の制限 
Objetivo: Análisis de las categorías de interesados  目的:ステークホルダーのカテゴリー分析 
C. Fundamentos del componente IA  C. AI構成要素の基礎 
Objetivo: Identificación de la política de desarrollo del componente IA  目的:AI開発方針の洗い出し 
Objetivo: Implicación del DPD  目的:データ保護代理人の関与 
Objetivo: Adecuación de los modelos teóricos base  目的:理論的基礎モデルの妥当性 
Objetivo: Adecuación del marco metodológico  目的:方法論的枠組みの妥当性 
Objetivo: Identificación de la arquitectura básica del componente  目的:構成要素の基本的なアーキテクチャの特定 
D. Gestión de los datos  D. データ管理 
Objetivo: Aseguramiento de la calidad de los datos  目的:データ品質保証 
Objetivo: Determinación del origen de las fuentes de datos  目的:データソースの出所の特定 
Objetivo: Preparación de los datos personales  目的:個人データの作成 
Objetivo: Control del sesgo  目的:偏りコントロール 
E. Verificación y validación  E. 検証と妥当性確認
Objetivo: Adecuación del proceso de verificación y validación del componente IA  目的:AI構成要素の検証・妥当性確認プロセスの適切性
Objetivo: Verificación y Validación del componente IA  目的:AI構成要素の検証と妥当性確認
Objetivo: Rendimiento  目的:パフォーマンス 
Objetivo: Coherencia  目的:干渉
Objetivo: Estabilidad y robustez  目的:安定性とロバスト性 
Objetivo: Trazabilidad  目的:トレーサビリティ 
Objetivo: Seguridad  目的:セキュリティ 
IV. CONCLUSIONES  IV.結論 
V. ANEXO I: DEFINICIONES  V. 附属書 I: 定義 
Anonimización  匿名化 
Aprendizaje de componentes IA  AI構成要素学習 
Auditoria  監査 
Auditoría de protección de datos de componentes IA  AI構成要素データ保護監査 
Componente IA  AI構成要素
Datos de entrada, datos de salida y datos etiquetados  入力データ、出力データ、タグ付きデータ 
Datos personales  個人データ
Ciclo de vida de un componente IA  AI構成要素のライフサイクル 
Discriminación algorítmica  アルゴリズムによる差別 
Discriminación grupal  集団差別 
Discriminación estadística  統計的差別 
IA-débil  弱いAI
Metodología de auditoría  監査の方法論 
Objetivos de control y controles  統制目的と統制活動
Perfilado  プロファイリング 
Riesgo de reidentificación  再識別のリスク 
Sesgo algorítmico  アルゴリズムのバイアス 
Variables proxy  プロキシ変数 

 

 



 

Continue reading "スペイン個人データ保護庁 (Agencia Española de Protección de Datos: AEPD) が「人工知能が関与する個人データ処理の監査のための要件」というガイダンスを公表していますね。"

| | Comments (0)

2021.01.14

重要な情報の棚卸しは必要だが、そのリストをどのように伝達する?

こんにちは、丸山満彦です。

U.S. GAOが国防省を監査し、国防省の重要な調達プログラム、技術、製造能力、および研究分野のリストの作成を開始したものの、作成さえたリストを内部および他の機関に伝達する方法を決定してないやん、、、と言う報告書を公開していますね。。。

The John S. McCain National Defense Authorization Act for Fiscal Year 2019 が国防長官に、米国の国家安全保障上の利点を維持するために重要な調達プログラム、技術、製造能力、および研究分野のリストを作成および維持することを義務付けているので、リストを作らないといけないことになっているようです(条文が長くて確認できていない・・・)。もっとも、リストがなければ管理はできないので、管理する以上、リストは必要となりますね。。。

どういう方法で伝達することにするのでしょうかね。。。

 

● U.S. GAO

・2021.01.12 DOD CRITICAL TECHNOLOGIES: Plans for Communicating, Assessing, and Overseeing Protection Efforts Should Be Completed

 

 

 

推奨事項は、

The Secretary of Defense should direct the Deputy Secretary of Defense in conjunction with the Protecting Critical Technology Task Force to determine a process for formally communicating future critical acquisition programs and technologies lists to all relevant DOD organizations and federal agencies. 国防長官は、重要技術保護タスクフォースと連携して、国防副長官に指示し、将来の重要獲得プログラムおよび技術リストをすべての関連する国防総省組織および連邦機関に正式に伝達するプロセスを決定するべきである。
The Secretary of Defense should direct the Deputy Secretary of Defense in conjunction with the Protecting Critical Technology Task Force to identify, develop, and periodically review appropriate metrics to assess the implementation and sufficiency of the assigned protection measures. 国防長官は、重要技術保護タスクフォースと連携して、割り当てられた保護手段の実施と充足性を評価するため の適切な指標を特定し、開発し、定期的にレビューするよう、国防副長官に指示すべきである。
The Secretary of Defense should direct the Deputy Secretary of Defense in conjunction with the Protecting Critical Technology Task Force to finalize the decision as to which DOD organization will oversee protection efforts beyond 2020.  国防長官は、重要技術保護タスクフォースと連携して、2020 年以降の保護努力をどの DOD 組織が監督するかについて最終決定を下すよう、国防副長官に指示すべきである。

 

| | Comments (0)

英国 政府がスポーツ団体に対してサイバーセキュリティ犯罪者から身を守るための会議を主催したようですね。。。

こんにちは、丸山満彦です。

U.K. National Cyber Security Centre: NCSC がスポーツ団体に対してサイバーセキュリティ犯罪者から身を守るための会議を2021.01.13に主催し、180名が参加したようですね。。。

日本で言うと、内閣官房サイバーセキュリティセンターが日本野球機構や各プロ野球球団、日本サッカー協会や各サッカーチーム、相撲協会や各相撲部屋、日本中央競馬会等を集めてサイバーセキュリティの会議を開催する感じですかね。。。

英国ではスポーツ団体の少なくとも70%が12か月ごとにサイバーインシデントにあっている(英国企業平均の2倍以上)とのことですから、すでに影響が出ていると言うことなんでしょうね。日本の状況はよくわかりませんが、少し違うのかもしれませんね。。。

日本でもオリンピックやラグビーの大会についてはイベントと言うことで対策をしていますね。。。また、さらにこれからeSportsも活発になってくると思うので、eSportsに対するサイバーセキュリティは重要でしょうね。。。

 

U.K. National Cyber Security Centre: NCSC

・2021.01.13 (news) Sports clubs gather for summit on the cyber threat

The NCSC is hosting a cyber security meeting to help professional sports clubs and organisations protect themselves against cyber criminals.

興味深いのは、2020.07.23に「The Cyber Threat to Sports Organisations - Ensuring fair play online」と言う報告書をNSCSが出していることですね。。。(私は見逃していましたが・・・)

The NCSC report highlights the cyber threats faced by the sports sector and suggests how to stop or lessen their impact on organisations.

 

スポーツ組織が見直すべき重要な分野として、次の3つをあげていますね。。。

1. メールセキュリティ

電子メールについての先進的な技術的コントロールは、スポーツ分野では日常的には適用されていない。なりすまし対策や多要素認証などの対策を導入することで、サイバーリスクを大幅に減らすことができる。

2. 要員のエンパワーメント

要員にトレーニングを実施している組織は半数以下である。要員は重要な防衛ラインであり、不審な行動を発見した場合には報告を促すことが不可欠である。

3. サイバーリスク管理

スポーツ組織は複雑である。組織は、コンプライアンスだけでなく(例:GDPRだけでなく)、IT資産全体ですべてのサイバーリスクが考慮されていることを保証するために、リスク管理に対する全体的なアプローチを採用することが有益である。

 

Forewords 序文
Executive summary エグゼクティブサマリー
Introduction 序章
Source of statistics 統計の出典
How digitally reliant is sport? スポーツのデジタル依存度は?
Threat overview 脅威の概要
Nature of the threat 脅威の性質
Nation-state involvement 国家の関与
Major events 主なイベント
Attack trends 攻撃の傾向
Trend 1: Business Email Compromise (BEC) トレンド1:ビジネスメール詐欺 (BEC)
Trend 2: Cyber-enabled fraud トレンド2:サイバーを利用した不正
Trend 3: Ransomware トレンド3:ランサムウェア
Venue security 会場のセキュリティ
Attack opportunities 攻撃機会
Implementation of key technical controls 主要な技術的コントロールの実施
Venue security: mitigation 会場のセキュリティ:緩和
Risk management & industry trends リスクマネジメントと業界動向
How important is cyber security and who provides leadership? サイバーセキュリティの重要性、リーダーシップを発揮するのは誰か?
What is driving cyber risk management? サイバーリスクマネジメントを推進しているのは何か?
Risk management guidance リスクマネジメントの手引き

Continue reading "英国 政府がスポーツ団体に対してサイバーセキュリティ犯罪者から身を守るための会議を主催したようですね。。。"

| | Comments (0)

2021.01.13

Europol 世界最大の違法ダークウェブマーケットプレイスを削除

こんにちは、丸山満彦です。

Europolが世界最大の違法なダークウェブマーケットプレイスの運営者とされるオーストラリア人を逮捕し、ダークウェブマーケットプレイスを削除したと公表していますね。。。

● Europol

・2021.01.12 DARKMARKET: WORLD'S LARGEST ILLEGAL DARK WEB MARKETPLACE TAKEN DOWN

数字で見るDarkMarket...

  • 約50万人のユーザ
  • 2,400人以上の売り手
  • 320,000以上の取引
  • 4,650ビットコイン+12,800モネロ+α(1.4億ユーロ=177億円)の送金

ユーロポールの欧州サイバー犯罪センター(EC3)は専用のダーク・ウェブ・チームを設立して逮捕にこぎつけたようですね。。。

 

| | Comments (0)

米国 ポンペオ国務長官がサイバー空間安全保障・新興技術局(CSET)の創設を国務省に指示

こんにちは、丸山満彦です。

トランプ政権から、バイデン政権への移行が予定されている中ですが、ポンペオ国務長官がサイバー空間安全保障・新興技術局(Cyberspace Security and Emerging Technologies Bureau: CSET)の創設を国務省に指示していますね。。。

U.S. Department of State

・2021.01.07 Secretary Pompeo Approves New Cyberspace Security and Emerging Technologies Bureau

The CSET bureau will lead U.S. government diplomatic efforts on a wide range of international cyberspace security and emerging technology policy issues that affect U.S. foreign policy and national security, including securing cyberspace and critical technologies, reducing the likelihood of cyber conflict, and prevailing in strategic cyber competition. The Secretary’s decision to establish CSET will permit the Department to posture itself appropriately and engage as effectively as possible with partners and allies on these pressing national security concerns.

とありますので、

サイバー空間と重要技術の確保、サイバー紛争の可能性の低減、戦略的サイバー競争での優位性の確保等、米国の外交政策や国家安全保障に影響を与える国際的なサイバー空間の安全保障と新興技術政策の幅広い問題について、米国政府の外交をCSETが主導する。

国防省は、これらの緊急の国家安全保障上の懸念事項について、適切な態勢を整え、パートナーや同盟国と可能な限り効果的に関与することができるようになる。

ということのようですが、後半部分はどういうことでしょうかね。。。

 

1_20210113003301


■ 報道等

The Hill

・2021.01.07 State Department sets up new bureau for cybersecurity and emerging technologies by MAGGIE MILLER 

Secretary of State Mike Pompeo on Thursday approved the creation of a new office at the State Department to address cybersecurity and emerging technologies.

Govinfosecurity

・2021.01.08 State Department Plans to Create Cybersecurity Office by

But Will the Move Be Carried Out Under Biden Administration?

● Infosecurity Magazine

・2021.01.11 US Announces Controversial State Department Cyber-Bureau by  

The US government has announced the creation of a new cybersecurity agency to align with the country’s diplomatic efforts.

The Bureau of Cyberspace Security and Emerging Technologies (CSET) was finally approved by outgoing secretary of state, Mike Pompeo — over a year-and-a-half after Congress was first notified of the plans.

 

昨年9月のGAOの報告

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.09.24 U.S. GAO サイバー空間安全保証・新興技術局の設立計画の策定に関連する連邦機関を関与させていない

 

CSETの導入計画を国務省が議会に送致したという記事

● Cyber Scoop

・2019.06.05 State Department proposes new $20.8 million cybersecurity bureau by

The State Department has sent to Congress a long-awaited plan to reestablish a cybersecurity-focused bureau it says is key to supporting U.S. diplomatic efforts in cyberspace.

The State Department’s new plan, obtained by CyberScoop, would create the Bureau of Cyberspace Security and Emerging Technologies (CSET) to “lead U.S. government diplomatic efforts to secure cyberspace and its technologies, reduce the likelihood of cyber conflict, and prevail in strategic cyber competition.”

The new bureau, with a proposed staff of 80 and projected budget of $20.8 million, would be led by a Senate-confirmed coordinator and “ambassador-at-large” with the equivalent status of an assistant secretary of State, who would report to the Undersecretary of State for Arms Control and International Security. The idea comes nearly two years after then-Secretary of State Rex Tillerson announced he would abolish the department’s cybersecurity coordinator position and put its support staff under the department’s economic bureau.

 

| | Comments (0)

2021.01.12

欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

こんにちは、丸山満彦です。

米国では、ニューヨーク州知事が学校での顔認識技術の使用を一時停止をする動きがありました[このブログ]が、欧米では生体認証を政府等が大々的に使うことについては一定の懸念があるようにも感じます。。。

欧州では「生体認証による大量監視慣行の禁止」が市民イニシアティブとして登録されたと公表されています。市民イニシアティブに登録されると、一定期間以内に100万人以上の署名を集める等の条件をクリアすれば立法等を検討することになります。。。今回の動きが法律になるかどうかはこれからの活動にかかってくるわけですが、欧州全体の大きな動きにしなければ立法は難しいようではあり、そう簡単ではなさそうではあります。。。

Europe Commission

プレス↓

・2021.01.07 (Press) European Citizens' Initiative: Commission decides to register an initiative for ‘a ban on biometric mass surveillance practices'

イニシアティブの登録情報のページ↓

・2021.01.07 Civil society initiative for a ban on biometric mass surveillance practices

・Additional information

・・[PDF] Annex - Civil society initiative for a ban on biometric mass surveillance practices_v2

・Draft legal act

・・[PDF] Draft legal act - Civil society initiative for a ban on biometric mass surveillance practices v2

 

イニシアティブのページ↓

RECLAIM YOUR FACE

2021.01.11現在、運動に参加している人数は12,829名と表示されていました。ウェブページによると2月には活動を開始し、開始から1年以内に7カ国から100万人の署名を集めていくようですね。。。

 

欧州委員会の市民イニシアティブ制度についての説明

Europe Commission

EUROPEAN CITIZENS' INITIATIVE

・・How it works


1_20210112004301


■ 参考

● Teiss

・2021.01.08 EU citizens’ initiative to ban biometric surveillance gets nod from EC by Jay Jay

The European Commission has decided to register a European Citizens' Initiative to ban biometric mass surveillance practices which contends that uses of biometric surveillance in EU states violate EU data protection law and restrict citizens' right to free speech and expression.

・2020 EU Parliament adopts centralised biometric database to monitor migrants by Jay Jay

The European Parliament recently voted in favour of creating a centralised biometric database that will be used by law enforcement authorities in every country in the Schengen area to better detect security threats and identity fraud and to prevent and combat irregular migration.

・2020 Why is the debate on biometrics and surveillance important now? by Anna Delaney

| | Comments (0)

2021.01.11

U.S. Twitterがトランプ大統領のアカウントを凍結した後の下院国土安全保障委員会委員長ベニーG.トンプソン議員の声明

こんにちは、丸山満彦です。

米国民の一部が米国国会議事堂に乱入した事件は、ショッキングな出来事でした。その後、TwitterやFacebookが彼のアカウントを凍結したようです。

この凍結については、一企業が言論の自由をどのように制限できるのか?という問題も提起しつつ、一方、他のSNSについても凍結すべきという考え方もあるようで、民主主義国の間でいろいと議論が必要な分野かもしれませんね。。。

The Committee on Homeland Security of the U.S. House of Representatives

・2020.01.08  CHAIRMAN THOMPSON STATEMENT AFTER TWITTER FINALLY BANS PRESIDENT TRUMP

(WASHINGTON) – Today, Rep. Bennie G. Thompson (D-MS), Chairman of the Committee on Homeland Security, released the following statement after Twitter permanently banned President Trump:

この中で、

“Facebook and YouTube must also commit to removing him from their platforms permanently. Even without his Twitter account, the President remains a direct threat to national security every minute he remains in power. Congress must still remove him immediately.”

というコメントが紹介されていますね。。。

 


2021.01.12 追記

米国通信品位法 第230条について、、、条文↓↓↓

Legal Information Insight(Cornell大学)

47 U.S. Code § 230 - Protection for private blocking and screening of offensive material

(c) Protection for “Good Samaritan” blocking and screening of offensive material

(1) Treatment of publisher or speaker

No provider or user of an interactive computer service shall be treated as the publisher or speaker of any information provided by another information content provider.

インタラクティブ・コンピュータ・サービスのプロバイダーまたはユーザは、他のコンテンツ・プロバイダーが提供する情報の発行者または発言者として扱われることはない。

(2) Civil liability

No provider or user of an interactive computer service shall be held liable on account of—

(A) any action voluntarily taken in good faith to restrict access to or availability of material that the provider or user considers to be obscene, lewd, lascivious, filthy, excessively violent, harassing, or otherwise objectionable, whether or not such material is constitutionally protected; or

インタラクティブ・コンピュータ・サービスのプロバイダーまたはユーザは、以下の事項について責任を負うことはない。

(A)プロバイダまたは利用者がわいせつ、淫乱等、不潔、過度に暴力的、嫌がらせ、その他好ましくないと判断した素材へのアクセスまたは利用可能性を制限するために善意で自発的に行った行為(その素材が憲法で保護されているかどうかに関わらず)

(B) any action taken to enable or make available to information content providers or others the technical means to restrict access to material described in paragraph (1).



ーーーーー

メルケル独首相は、法律に基づかずに企業が言論の自由を制限するのは問題があるとしていますね。

● AP News

・2021.01.11 Germany’s Merkel: Trump’s Twitter eviction ‘problematic’

But Seibert also said that the freedom of opinion is a fundamental right of “elementary significance.”

“This fundamental right can be intervened in, but according to the law and within the framework defined by legislators — not according to a decision by the management of social media platforms,” he told reporters in Berlin. “Seen from this angle, the chancellor considers it problematic that the accounts of the U.S. president have now been permanently blocked.”

 

● Politico

・2021.01.11 Merkel among EU leaders questioning Twitter’s Trump ban

European leaders said governments should regulate social media platforms, not the companies themselves.

 

● Financial Times

・2021.01.11 Angela Merkel attacks Twitter over Trump ban

The intervention highlights a key area of disagreement between the US and Europe on how to regulate social media platforms. The EU wants to give regulators more powers to force internet platforms such as Facebook or Twitter to remove illegal content.

In the US, technology companies have traditionally been left to themselves to police their own sites, though momentum is gathering behind political moves to curtail their regulatory freedoms. Several members of Congress are working on bills which would limit the legal protections social media companies have from being sued for third-party content posted on their sites. Others are pushing for a new federal data privacy bill that could mirror the EU’s General Data Protection Regulation. 



今回の行為は米国法に基づけば、法律に基づいていないとはいえないのではないかという気もします。。。それで良いかどうかは議論のあるところとしても・・・

ーーーーー

全体的な問題提起

● CNBC

・2021.01.11 Trump’s social media bans are raising new questions on tech regulation

| | Comments (0)

オーストラリア サイバーセキュリティセンター (ACSC) がサプライチェーンに関連する「サイバーセキュリティ・リスク管理ガイダンス」と「サイバーセキュリティ・リスク特定ガイダンス」を公表していますね。。。

こんにちは、丸山満彦です。

オーストラリアのサイバーセキュリティセンター (Australian Cyber Security Centre: ACSC) がサプライチェーンに関連する「サイバーセキュリティ・リスク管理ガイダンス (Cyber Supply Chain Risk Management) 」と「サイバーセキュリティ・リスク特定ガイダンス (Identifying Cyber Supply Chain Risks) 」を公表していますね。。。

サプライチェーンのリスクには地政学上のリスクの比重がより重くなってきているのでしょうかね。。。

 

Australian Cyber Security Centre: ACSC

・2021.01.07 [HTML] Cyber Supply Chain Risk Management [PDF] [DOCX]

Introduction 序章
Managing the cyber supply chain サイバーサプライチェーンの管理
Identify the cyber supply chain サイバーサプライチェーンの特定
Understand cyber supply chain risk サイバーサプライチェーンのリスクの理解
Set cyber security expectations サイバーセキュリティの期待値の設定
Audit for compliance コンプライアンスのための監査
Monitor and improve cyber supply chain security practices サイバーサプライチェーンのセキュリティ慣行の監視と改善
Further information その他の情報

 

・2021.01.07 [HTML] Identifying Cyber Supply Chain Risks [PDF] [DOCX]

Introduction 序章
Foreign control, influence and interference 外国の支配・影響力・干渉
Nationality considerations 国籍に関する考察
Foreign control 外国の規制
Foreign influence and interference 外国の影響力と干渉
Identifying cyber supply chain risks サイバーサプライチェーンのリスクの特定
Risks due to foreign control or interference 外国の支配や干渉によるリスク
Risks due to poor security practices セキュリティ対策の不備によるリスク
Risks due to lack of transparency 透明性の欠如によるリスク
Risks due to access and privileges アクセスや権限によるリスク
Further information その他の情報

 

・2021.01.07 Australian Government Information Security Manual (ISM) [PDF] [DOCX]

・・変更点 [PDF] [DOCX]

 

■ 参考

Australia Department of Home Affairs

Security of Critical Infrastructure Act 2018

 

ACSC

・2017.02 Strategies to Mitigate Cyber Security Incidents

・2020.06 The cyber security principles

・2020.06 Essential Eight Maturity Model

・2020.06 Questions to ask Managed Service Providers

・2020.06 How to Manage Your Security When Engaging a Managed Service Provider

・2020.07 Cloud Computing Security Considerations

・2020.07 Cloud Computing Security for Tenants

・[HTML] 6 Security governance for contracted goods and service providers [PDF] [DOCX]

 

 

● U.K. NCSC

Supply chain security guidance

Proposing a series of 12 principles, designed to help you establish effective control and oversight of your supply chain.

| | Comments (0)

2021.01.10

CISA アラート Microsoftクラウド環境下での侵害後の脅威アクティビティの検出

こんにちは、丸山満彦です。

SolarWinds Orion関係についてCISAから追加のアラート(AA21-008A)が出ていますね。 2020.12.17にでたアラート (AA20-352A) の補足という位置付けのようですね。

CISA

・2021.01.08 Alert (AA21-008A) Detecting Post-Compromise Threat Activity in Microsoft Cloud Environments

「Microsoftクラウド環境下での侵害後の脅威アクティビティの検出」という感じですね。かなり詳細な記述となっています。。。

・2020.12.17 Alert (AA20-352A) Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations

「政府機関、重要インフラ、民間セクターへの高度な持続的脅威の侵害」の補足という位置付けのようですね。。。

Summaryの仮訳です。。。


概要

このアラートは、「AA20-352A: 政府機関、重要インフラ、および民間セクター組織の高度な永続的脅威の侵害」に付随するアラートです。AA20-352Aは、米国政府機関、重要インフラ、および民間セクター組織のネットワークへの最初のアクセスベクターとして、APTアクターがSolarWinds Orion製品を侵害したことに主に焦点を当てています。AA20-352Aに記載されているように、CISAは、侵害されたSolarWinds Orion製品に加えて、初期アクセスベクターの証拠を持っています。

一方、このアラートでは、CISAがAPTアクターと判断した最初のアクセス・ベクターとは関係なく、アクティビティにも対応しています。具体的には、被害者のMicrosoft 365 (M365)/Azure環境で、APTアクターが侵害されたアプリケーションを使用していることを確認しています。また、このAPTアクターが、追加の資格情報とAPIを利用して、民間および公共機関のクラウド・リソースへのアクセスを行っていることも確認しています。これらの戦術、技術、手順(TTP)は、3つの重要な要素を特徴としています。

  • 連携した ID ソリューションを危うくしたり、迂回したりする。
  • 偽造された認証トークンを使用して、Microsoft のクラウド環境に横方向に移動する。
  • 被害者のクラウド環境への特権アクセスを使用して、検出が困難なAPIベースのアクセスのための永続化メカニズムを確立する。

このアラートでは、これらの TTP について説明し、ネットワーク防御者が Microsoft Azure Active Directory (AD)、Office 365 (O365)、および M365 環境を分析して潜在的な悪意のある活動を検出するための CISA 開発ツール Sparrow など、利用可能なオープンソースのツールの概要とガイダンスを提供しています。


 


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.07 米国 FBI,、CISA,、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。

・2021.01.01 U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用しているとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。

・2020.12.19 米国国土安全保障省 緊急指令21-01 関連。。。SolarWinds Orion Code Compromise

| | Comments (0)

2021.01.09

中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

こんにちは、丸山満彦です。

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China) が互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中です。2月7日までです。。。

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

・2021.01.08 关于《互联网信息服务管理办法(修订草案征求意见稿)》公开征求意见的通知(インターネット情報サービスの運営に関する措置)の改訂案について意見募集)

インターネット情報サービスの健全かつ秩序ある発展を促進し、国民、法人その他の団体の正当な権利利益を保護し、国の安全と公共の利益を守るために、当局では、産業情報技術部及び公安部と共同で、「インターネット情報サービスの運営に関する措置(パブリックコメントのための改正案)」を作成し、意見募集をしているということのようですね。。。

現在のものは2020.09.25に施行されたものですから、20年ぶりの改訂ということになります。

ちなみに現在のものは、ここです。

・2020.09.25 中华人民共和国国务院令 第292号 互联网信息服务管理办法

条文がぐっと増えてます。。。

 


 

● REUTERS

・2021.01.08 中国規制当局、電子決済・商取引サービスへの監督強化を検討

[上海/北京 8日 ロイター] - 中国の国家インターネット情報弁公室は8日、オンラインサービスに関する規則を約20年ぶりに更新し、監視対象を電子決済、ネットショッピング、ライブ配信などのサービスを提供する企業に広げる案について、意見公募を開始した。

インターネット情報弁公室は「ネット情報サービス」を初めて定義し、これらのサービスのほかニュース配信や検索エンジンが含まれるとした。


 


 

Continue reading "中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中"

| | Comments (0)

2021.01.08

米国 海事サイバーセキュリティ計画の公表

こんにちは、丸山満彦です。

米国が国家海事サイバーセキュリティ計画を公表していますね。。。

米国において海上輸送システム(MTS)
は、米国の国内総生産の4分の1(約5.4兆ドル)に貢献しているということで 米国では2017年の国家安全保障戦略において、海上輸送システム(MTS)のサイバーセキュリティを国防、国土安全保障、および経済競争力の最優先事項として指定していますね。日本ではあまり話題に上がることが少ないかもしれませんが、日本でも海事関係のサイバーセキュリティの取組は進んでいますね。。。

White House

・2020.01.05 (press) Statement from National Security Advisor Robert C. O’Brien Regarding the National Maritime Cybersecurity Plan

・2020.12 [PDF] NATIONAL MARITIME CYBERSECURITY PLAN - TO THE NATIONAL STRATEGY FOR MARITIME SECURITY

RISKS AND STANDARDS リスクと基準
Priority Action 1: The United States will de-conflict government roles and responsibilities. 優先行動 1:米国は、政府の役割と責任の不一致を解消する。
The NSC staff, through the policy coordination process, will identify gaps in legal authorities and identify efficiencies to de-conflict roles and responsibilities for MTS cybersecurity standards. NSC のスタッフは、政策調整プロセスを通じて、法的権限のギャップを特定し、MTS サイバーセキュリティ基準の役割と責任の不一致を解消するための効率性を特定する。
Priority Action 2: The United States will develop risk modeling to inform maritime cybersecurity standards and best practices. 優先行動 2:米国は、海上サイバーセキュリティ基準とベストプラクティスに情報を提供す るためのリスクモデルを開発する。
The United States Coast Guard will analyze and clarify the 2016 and 2020 cybersecurity reporting guidance for maritime stakeholders and collect maritime cyber incident reports to identify trends and attack vectors to increase maritime sector situational awareness and decrease maritime cyber risk. 米国沿岸警備隊は、海事関係者向けの 2016 年と 2020 年のサイバーセキュリティ報告ガイダンスを分析・明確化し、海事サイバーインシデント報告書を収集して傾向と攻撃ベクトルを特定し、海事部門の状況認識を高め、海事サイバーリスクを低減する。
The United States will create an international port OT risk framework based on the input from domestic and international partners and promote the framework internationally. 米国は、国内外のパートナーからのインプットに基づき、国際的な港湾OTリスクフレームワークを作成し、国際的に推進する。
Priority Action 3: The United States will strengthen cybersecurity requirements in port services contracts and leasing. 優先行動3:米国は、港湾サービス契約及びリースにおけるサイバーセキュリティ要件を強化する。
United States Federal agencies will work with the GSA to develop and implement mandatory contractual cybersecurity language for maritime critical infrastructure owned, leased, or regulated by the United States government to decrease cybersecurity risk to the Nation. 米国の連邦機関はGSAと協力して、米国政府が所有、リース、または規制する海上重要インフラのための強制的な契約上のサイバーセキュリティ言語を開発し、実施することで、国家へのサイバーセキュリティリスクを減少させる。
Priority Action 4: The United States will develop procedures to identify, prioritize, mitigate, and investigate cybersecurity risks in critical ship and port systems. 優先行動4:米国は、重要な船舶および港湾システムにおけるサイバーセキュリティリスクを特定し、優先順位をつけ、緩和し、調査するための手順を策定する。
DHS will promote cybersecurity grants and initiatives to protect maritime critical infrastructure. DHSは、海上の重要インフラを保護するためのサイバーセキュリティ補助金とイニシアチブを推進する。
The United States will establish a cyber-forensics process for maritime investigations. 米国は、海事調査のためのサイバーフォレンジックプロセスを確立する。
   
INFORMATION AND INTELLIGENCE SHARING 情報と情報の共有
Priority Action 1: Exchange United States government information with the maritime industry. 優先行動 1:米国政府と海事産業間で情報を共有する。
The United States will promote domestic and international engagement to facilitate information sharing and best practices to build a coalition of maritime cybersecurity advocates. 米国は、情報共有とベストプラクティスを促進し、海事サイバーセキュリティ擁護者の連合を構築するために、国内および国際的な関与を促進する。
The United States will establish procedures and policies that govern the receipt and processing of maritime reports of industry cybersecurity incidents to build a coalition of maritime cybersecurity advocates. 米国は、海事サイバーセキュリティ擁護者の連合を構築するために、業界のサイバーセキュリティ事故に関する海事報告書の受領と処理を管理する手順と方針を確立する。
Priority Action 2: Share cybersecurity intelligence with appropriate non-government entities. 優先行動 2: サイバーセキュリティに関する情報を適切な非政府機関と共有する。
DHS will extend domestic successes to identify avenues to share maritime cybersecurity information and intelligence, as applicable, with the international community. DHSは、国内の成功例を拡大して、必要に応じて国際社会と海事サイバーセキュリティ情報や情報を共有する手段を特定する。
Priority Action 3: Prioritize maritime cybersecurity intelligence collection. 優先行動 3:海上サイバーセキュリティ情報収集に優先順位をつける。
The United States will develop and prioritize maritime cyber intelligence requirements, including assessments of partners’ cybersecurity needs and capabilities, broadly sharing with MTS stakeholders, to the extent allowable, to guide risk modeling and adversary cyber risk assessments. 米国は、パートナーのサイバーセキュリティのニーズと能力の評価を含む海上サイバー情報の要件を開発し、 優先順位を付け、許容される範囲で MTS の利害関係者と広く共有し、リスクモデルと敵対者のサイバーリスク評価の指針とする。
   
CREATE A MARITIME CYBERSECURITY WORKFORCE 海事サイバーセキュリティ作業部会の創設
Priority Action 1: The United States will produce cybersecurity specialists in port and vessel systems. 優先行動 1:米国政府は、港湾・船舶システムのサイバーセキュリティ専門家を育成する。
DHS, through the United States Coast Guard, in coordination with other applicable departments and agencies, will develop cybersecurity career paths, incentives, continuing education requirements, and retention incentives to build a competent maritime cyber workforce. DHSは、米国沿岸警備隊を通じて、他の該当する省庁と連携して、サイバーセキュリティのキャリアパス、インセンティブ、継続教育の要件、定着のためのインセンティブを開発し、有能な海上サイバー人材を育成する。
Priority Action 2: The United States will collaborate with the private sector to increase maritime cybersecurity expertise. 優先行動 2:米国政府は民間部門と協力して、海上サイバーセキュリティの専門知識を高める。
The Department of Defense and DHS, through the United States Navy and United States Coast Guard will pursue and encourage cybersecurity personnel exchanges with industry and national laboratories, with an approach towards port and vessel cybersecurity research and application. 国防総省と DHS は、米国海軍と米国沿岸警備隊を通じて、港湾・船舶のサイバーセキュリティの研究と応用に向けたアプロー チを中心に、産業界や国立研究所とのサイバーセキュリティ人材の交流を追求し、奨励する。
Priority Action 3: Develop and deploy a capable maritime cybersecurity workforce. 優先行動 3: 有能な海上サイバーセキュリティ要員を開発し、配備する。
The United States Coast Guard will field cyber protection teams to support federal maritime security coordination of MTSA-regulated facilities and aid in marine investigations, as required. 米国沿岸警備隊は、必要に応じて、サイバー保護チームを派遣し、MTSA が規制する施設の 連邦政府の海上保安調整を支援し、必要に応じて海洋調査を支援する。

 


■ 参考

International Maritime Oranization (IMO)

Security - Maritime cyber risk

・2017.07.05 MSC-FAL.1/Circ.3 GUIDELINES ON MARITIME CYBER RISK MANAGEMENT

・2017.06.16  [PDF] ANNEX 10 RESOLUTION MSC.428(98) - MARITIME CYBER RISK MANAGEMENT IN SAFETY MANAGEMENT SYSTEMS

Baltic and International Maritime Council (BIMCO)

・ (Publication) The Guidelines on Cyber Security Onboard Ships(船内のサイバーセキュリティガイドライン)

・[PDF] The Guidelines on Cyber Security onboard Ships - Version 4

 

日本船舶海洋工学会 日本船舶海洋工学会誌 KANRIN(咸臨)

第91号 2020年7月

  海事産業におけるサイバーセキュリティ対策        
1 特集にあたって   編集委員会    
2 海事サイバーセキュリティ検討プロジェクト   稗方 和夫    
3 海事産業におけるサイバーセキュリティ対策 IMO, BIMCO, 船級協会の動向 斎藤 直樹    
4 船舶運航とサイバーセキュリティ対策 SMSにおけるサイバーリスク管理とは 柴田 隼吾 牧山 宅矢 安藤 英幸
5 海事産業におけるサイバーセキュリティ対策 最近の主な脅威と対策を中心に 中尾 康二    
6 制御セキュリティの動向   桑名 利幸 辻 宏郷 木下 仁
7 サイバーセキュリティ教育   宮本 大輔    
8 船上機器システムにおけるサイバーセキュリティ対策の取り組み 船舶OTペネトレーションテストの実施 橋口 展明 松尾 俊彦  

 

株式会社 MTI

・2019.12.04「Monohakobi Techno Forum 2019」開催レポート

・[PDF] 船舶におけるサイバーセキュリティ対応の現状とこれから 船舶IoTチーム チーム長 柴田 隼吾

 

| | Comments (0)

2021.01.07

米国 FBI,、CISA,、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。

こんにちは、丸山満彦です。

米国の連邦捜査局(FBI)、サイバーセキュリティおよびインフラストラクチャセキュリティ局(CISA)、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。


CISA

・2020.01.05 JOINT STATEMENT BY THE FEDERAL BUREAU OF INVESTIGATION (FBI), THE CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY (CISA), THE OFFICE OF THE DIRECTOR OF NATIONAL INTELLIGENCE (ODNI), AND THE NATIONAL SECURITY AGENCY (NSA)

国家安全保障会議のスタッフは、連邦政府のネットワークに関わるこの重大なサイバーインシデントの調査と修復を調整するために、NSAの支援を受けて、FBI、CISA、ODNI で構成されるサイバー統合調整グループ (UCG) と呼ばれるタスクフォースを立ち上げていますね。UCGは、インシデントの範囲を把握するための調査を続けていて、その結果、最近発見された政府・非政府のネットワークへのサイバー侵害が、ロシアを起源とする可能性の高い、APT攻撃者の犯行であることが明らかになったということのようです。。。

この公表文を読んでいるとこの4つの機関の役割分担がわかりますね。。。。

FBI:脅威への対応。具体的には次の4つをしているようですね。

  1. 被害者の特定
  2. 証拠の収集
  3. 証拠の分析による更なる原因究明
  4. 政府および民間部門のパートナーとの結果の共有で、作戦、情報の把握、ネットワーク防御に情報を提供

CISA:資産対応

  1. 政府、民間部門のパートナーと情報を共有し、このキャンペーンの範囲や搾取のレベルを把握する
  2. このインシデントに関連する異常な活動や潜在的に悪意のある活動を検出するための無料ツールを作成した。
  3. CISAは12月14日に発表した緊急指令で、影響を受けたSolarWinds Orion製品を連邦政府のネットワークから速やかに切断または電源を切るよう指示した。
  4. 技術的な詳細と緩和戦略を提供するテクニカルアラートを発行し、ネットワーク防御者が早急に対応できるようにした。
  5. 今後も詳細が判明した場合には、引き続き情報を提供する。

ODNI:情報支援等

  1. 情報コミュニティを調整し、UCG が米国政府の緩和および対応活動を推進するための最新の情報を確実に入手できるようする。
  2. 情報共有の任務の一環として、主要な利害関係者に状況認識を提供し、知識のギャップに対処するための情報収集活動を調整している。

NSA:技術的な緩和策の提供

  • UCG のパートナー、国家安全保障システム、国防総省、防衛産業基地のシステム所有者に、情報、サイバースセキュリティの専門知識、および実行可能なガイダンスを提供することで、UCG を支援。
  • UCG と産業界のパートナーの両方との関わりの中で、インシデントの規模と範囲を評価し、技術的な緩和策を提供する

 

1_20210106205401


■ 参考(報道等)

● CNet

・2021.01.05  Russia blamed for SolarWinds hack in joint FBI, NSA and CISA statement by , 

The US intelligence agencies investigating the widespread compromise say it was "likely" orchestrated from Russia

● Informa

・2021.01.05 FBI, CISA, NSA & ODNI Cite Russia in Joint Statement on 'Serious' SolarWinds Attacks by Kelly Jackson Higgins

The attacks appear to be an "intelligence-gathering" mission, the agencies said. by Kelly Jackson Higgins

● ZDNet

・2021.01.05 US government formally blames Russia for SolarWinds hack bfor Zero Day

Joint statement from the FBI, CISA, ODNI, and NSA says SolarWinds hack was "likely Russian in origin."


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.01 U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用しているとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。




 

| | Comments (0)

2021.01.06

米国 2021年度 National Defense Authorization Act (NDAA) (国防権限法)成立 サイバー関係も・・・

こんにちは、丸山満彦です。

トランプ大統領に一度拒否された2021年度 National Defense Authorization Act (NDAA)(国防権限法)[wikipedia] が2021.01.02に上院の投票により復活し、成立しましたね。。。

この国防権限法には、サイバーセキュリティに関係する項目が77項目あって、 Cyberspace Solarium Commission(サイバースペース・ソラリウム委員会)の推奨事項が25含まれているようですね。。。

サイバースペースソラリウム委員会の共同議長であるAngus King上院議員(メイン州)のブログに記載があります。

● Angus King

・2020.01.02 NDAA Enacts 25 Recommendations from the Bipartisan Cyberspace Solarium Commission

This year’s NDAA provides the most comprehensive and forward-looking piece of national cybersecurity legislation in the nation’s history.

WASHINGTON, D.C. - U.S. Senator Angus King (I-Maine) and Congressman Mike Gallagher (R-Wis.), co-chairs of the Cyberspace Solarium Commission (CSC), today announced that 27 provisions in the National Defense Authorization Act directly draw from 25 CSC recommendations for improving U.S. cybersecurity posture have been codified into law with the Senate’s 81-13 override vote on New Year's Day.

・2020.01.01 King Votes to Override Presidential Veto, Enact Defense Bill Containing Key Provisions to Ensure National Security, Increase Cybersecurity, and Support Maine Jobs

WASHINGTON, D.C. – Today, U.S. Senator Angus King (I-Maine), a member of the Senate Armed Services Committee and Co-Chair of the Cyberspace Solarium Commission (CSC), voted to override President Trump’s veto of the Mac Thornberry National Defense Authorization Act (NDAA) for Fiscal Year 2021, so that it can become law. The legislation includes important provisions to ensure America’s national defense and supports jobs for Maine manufacturers at facilities like Bath Iron Works and Portsmouth Naval Shipyard. In addition, this year’s NDAA reflects the most comprehensive cybersecurity legislation ever passed by Congress, as it includes 27 provisions based on recommendations from the CSC. The Senate voted to override the President’s December 23rd veto by a vote of 81 - 13;  the veto was overridden by the House of Representatives earlier this week by an overwhelming vote of 322 - 87. Following these votes, the veto has been overridden and the legislation is now law.

 

NDAAの条文は

Congress

H.R.6395 - National Defense Authorization Act for Fiscal Year 2021 - text

にあります。。。Cyber Securityに関する条項は主に、

TITLE XVII--CYBERSPACE-RELATED MATTERS

に52項目

TITLE XCIV--SCIENCE, SPACE, AND TECHNOLOGY MATTERS Subtitle A--Cybersecurity Matters

記載されていますね。。。(それ以外にもいくつかの条文に記載があります。。。)

TITLE XVII--CYBERSPACE-RELATED MATTERS タイトル XVII--サイバースペース関連事条
Sec. 1701. Modification of mission of Cyber Command and assignment of cyber operations forces. 第1701条 サイバー司令部の任務の変更およびサイバー作戦部隊の配置。
Sec. 1702. Modification of scope of notification requirements for sensitive military cyber operations. 第1702条 機密性の高い軍事サイバー作戦のための通知要件の範囲の変更。
Sec. 1703. Modification of requirements for quarterly Department of Defense cyber operations briefings for Congress. 第1703条 国防省のサイバー作戦に関する四半期ごとの議会向けブリーフィング要件の変更。
Sec. 1704. Clarification relating to protection from liability of operationally critical contractors. 第1704条 運用上重要な請負業者の責任からの保護に関する明確化。
Sec. 1705. Strengthening Federal networks; CISA cybersecurity support to agencies. 第1705条 連邦ネットワークの強化、機関への CISA サイバーセキュリティ支援。
Sec. 1706. Improvements relating to the quadrennial cyber posture review. 第1706条 4 年ごとのサイバー態勢レビューに関する改善。
Sec. 1707. Modification of authority to use operation and maintenance funds for cyber operations-peculiar capability development projects. 第1707条 サイバー運用-特殊能力開発プロジェクトのための運用維持資金の使用権限の変更。
Sec. 1708. Personnel management authority for Commander of United States Cyber Command and development program for offensive cyber operations. 第1708条 米国サイバー司令部司令官の人事管理権限と、攻撃的サイバー作戦のための開発プログラム。
Sec. 1709. Applicability of reorientation of Big Data Platform program to Department of Navy. 第1709条 ビッグデータ・プラットフォーム・プログラムの海軍省への再配置の適用性。
Sec. 1710. Report on Cyber Institutes program. 第1710条 サイバー研究所プログラムに関する報告書
Sec. 1711. Modification of acquisition authority of Commander of United States Cyber Command. 第1711条 合衆国サイバー司令部司令官の購買権限の変更。
Sec. 1712. Modification of requirements relating to the Strategic Cybersecurity Program and the evaluation of cyber vulnerabilities of major weapon systems of the Department of Defense. 第1712条 戦略的サイバーセキュリティプログラムおよび国防省の主要兵器システムのサイバー脆弱性の評価に関する要件の変更。
Sec. 1713. Modification of position of Principal Cyber Advisor. 第1713条 主任サイバー・アドバイザーの地位の変更。
Sec. 1714. Cyberspace Solarium Commission. 第1714条 サイバースペース・ソラリウム委員会
Sec. 1715. Establishment in Department of Homeland Security of joint cyber planning office. 第1715条 国土安全保障省における共同サイバー計画事務所の設立
Sec. 1716. Subpoena authority. 第1716条 召喚権
Sec. 1717. Cybersecurity State Coordinator. 第1717条 サイバーセキュリティ国家コーディネーター
Sec. 1718. Cybersecurity Advisory Committee. 第1718条 サイバーセキュリティ諮問委員会
Sec. 1719. Cybersecurity education and training assistance program. 第1719条 サイバースセキュリティ教育・訓練支援プログラム。
Sec. 1720. Framework for cyber hunt forward operations. 第1720条 サイバーハント・フォワード活動のためのフレームワーク
Sec. 1721. Rationalization and integration of parallel cybersecurity architectures and operations. 第1721条 並列的なサイバーセキュリティアーキテクチャと運用の合理化と統合。
Sec. 1722. Assessing risk to national security of quantum computing. 第1722条 量子コンピューティングの国家安全保障に対するリスクの評価
Sec. 1723. Tailored cyberspace operations organizations. 第1723条 カスタマイズされたサイバー空間の運用組織。
Sec. 1724. Responsibility for cybersecurity and critical infrastructure protection of the defense industrial base. 第1724条 防衛産業基盤のサイバーセキュリティと重要インフラ保護の責任。
Sec. 1725. Pilot program on remote provision by National Guard to National Guards of other States of cybersecurity technical assistance in training, preparation, and response to cyber incidents. 第1725条 訓練、準備、およびサイバー事件への対応におけるサイバーセキュリティ技術支援に関する国家警備隊による他国の国家警備隊への遠隔提供に関するパイロット・プログラム。
Sec. 1726. Department of Defense cyber workforce efforts. 第1726条 国防省のサイバー人材の取り組み。
Sec. 1727. Reporting requirements for cross domain incidents and exemptions to policies for information technology. 第1727条 クロスドメインのインシデントに対する報告要件および情報技術に関する方針の適用除外。
Sec. 1728. Assessing private-public collaboration in cybersecurity. 第1728条 サイバーセキュリティにおける官民協力の評価。
Sec. 1729. Cyber capabilities and interoperability of the National Guard. 第1729条 州兵のサイバー能力と相互運用性。
Sec. 1730. Evaluation of non-traditional cyber support to the Department of Defense. 第1730条 国防省に対する従来とは異なるサイバー支援の評価。
Sec. 1731. Integrated cybersecurity center plan. 第1731条 統合サイバーセキュリティセンター計画。
Sec. 1732. Assessment of cyber operational planning and deconfliction policies and processes. 第1732条 サイバー運用計画と連携解除の方針とプロセスの評価。
Sec. 1733. Pilot program on cybersecurity capability metrics. 第1733条 サイバーセキュリティ能力指標に関するパイロットプログラム。
Sec. 1734. Assessment of effect of inconsistent timing and use of Network Address Translation in Department of Defense networks. 第1734条 国防省ネットワークにおけるネットワークアドレス変換のタイミングと使用の一貫性のない影響の評価。
Sec. 1735. Integration of Department of Defense user activity monitoring and cybersecurity. 第1735条 国防省のユーザ活動監視とサイバーセキュリティの統合。
Sec. 1736. Defense industrial base cybersecurity sensor architecture plan. 第1736条 国防産業基地のサイバーセキュリティ・センサ・アーキテクチャ計画。
Sec. 1737. Assessment on defense industrial base participation in a threat information sharing program. 第1737条 脅威情報共有プログラムへの防衛産業基地の参加に関する評価。
Sec. 1738. Assistance for small manufacturers in the defense industrial supply chain on matters relating to cybersecurity. 第1738条 サイバーセキュリティに関連する事条について、防衛産業のサプライチェーンにおける小規模製造業者の支援。
Sec. 1739. Assessment on defense industrial base cybersecurity threat hunting program. 第1739条 防衛産業拠点のサイバーセキュリティ脅威ハンティングプログラムに対する評価。
Sec. 1740. Defense Digital Service. 第1740条 防衛デジタルサービス
Sec. 1741. Matters concerning the College of Information and Cyberspace and limitation of funding for National Defense University. 第1741条 情報・サイバースペース大学に関する事項および国防大学への資金提供の制限。
Sec. 1742. Department of Defense cyber hygiene and Cybersecurity Maturity Model Certification framework. 第1742条 国防省のサイバー衛生およびサイバーセキュリティ成熟度モデル認証の枠組み。
Sec. 1743. Extension of sunset for pilot program on regional cybersecurity training center for the Army National Guard. 第1743条 陸軍警備隊のための地域サイバーセキュリティ訓練センターに関するパイロットプログラムの期限延長。
Sec. 1744. National cyber exercises. 第1744条 全国サイバー演習。
Sec. 1745. Cybersecurity and Infrastructure Security Agency review. 第1745条 サイバーセキュリティおよびインフラストラクチャ・セキュリティ機関のレビュー。
Sec. 1746. Report on enabling United States Cyber Command resource allocation. 第1746条 米国サイバー司令部のリソース配分を可能にするための報告。
Sec. 1747. Ensuring cyber resiliency of nuclear command and control system. 第1747条 原子力指揮統制システムのサイバー回復力の確保。
Sec. 1748. Requirements for review of and limitations on the Joint Regional Security Stacks activity. 第1748条 統合地域セキュリティスタックス 活動の見直しの要件と制限。
Sec. 1749. Implementation of information operations matters. 第1749条 情報運用に関する事条の実施。
Sec. 1750. Report on use of encryption by Department of Defense national security systems. 第1750条 国防省の国家安全保障システムによる暗号化の使用に関する報告。
Sec. 1751. Guidance and direction on use of direct hiring processes for artificial intelligence professionals and other data science and software development personnel. 第1751条 人工知能専門家およびその他のデータ科学およびソフトウェア開発要員の直接雇用プロセスの使用に関する指導および指示。
Sec. 1752. National Cyber Director. 第1752条 国家サイバー長官
   
TITLE XCIV--SCIENCE, SPACE, AND TECHNOLOGY MATTERS - Subtitle A--Cybersecurity Matters タイトルXCIV--科学、宇宙、および技術の問題 - 副題A--サイバーセキュリティの問題
Sec. 9401. Improving national initiative for cybersecurity education. 第9401条 サイバーセキュリティ教育のための国家的イニシアチブの改善。
Sec. 9402. Development of standards and guidelines for improving cybersecurity workforce of Federal agencies. 第9402条 連邦政府機関のサイバーセキュリティ人材を向上させるための基準とガイドラインの策定。
Sec. 9403. Modifications to Federal cyber scholarship-for-service program. 第9403条 連邦サイバー奨学金サービスプログラムの変更
Sec. 9404. Additional modifications to Federal cyber scholarship-for-service program. 第9404条 連邦サイバー奨学金プログラムの修正 連邦サイバー奨学金サービスプログラムの追加修正
Sec. 9405. Cybersecurity in programs of the National Science Foundation. 第9405条 国立科学財団のプログラムにおけるサイバーセキュリティ
Sec. 9406. Cybersecurity in STEM programs of the National Aeronautics and Space Administration. 第9406条 米国航空宇宙局(National Aeronautics and Space Administration)の STEM プログラムにおけるサイバーセキュリティ。
Sec. 9407. National cybersecurity challenges. 第9407条 国家のサイバーセキュリティの課題。

 

Us-contress


■ 参考

Cyberspace Solarium CommissioReport

・2020.03.11 [PDF] Official Report

・2020.03.11 [PDF] Exective Summary

・2020.07.20 [PDF] Legislative Proposals

 

GovInfo Security

・2020.01.04 Defense Funding Measure Includes 77 Cybersecurity Provisions

Congressionally Approved Legislation Restores National Cyber Director Position

↓ 情報をまとめています。。。

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.04 サイバースペース・ソラリウム委員会

 

 

| | Comments (0)

2021.01.05

2020年のプライバシー・データセキュリティ法関係のコンパクトなまとめ

こんにちは、丸山満彦です。

2020年のプライバシー・データセキュリティ法関係のコンパクトなまとめがJDSPRAのウェブページに掲載されていて参考になります。。。

記載されているのは、

米国:

・2020.01 カリフォルニア州消費者プライバシー法(CCPA)の施行

・2020.03 ニューヨーク州ストップハック・電子データセキュリティ改善法(SHIELD法9)の一部施行

・2020.11 カリフォルニア州プライバシー権利法(CPRA)の成立

EU:

・2020.07 シュレムスII判決

・2020.11 EUから第三国へのデータ転送に関する追加ガイダンスの公表

その他:

・2020.09 ブラジル 一般データ保護法(LeiGeraldeProteçãodeDadosPessoais)(GDPL)

・2020.10 中国 個人データ保護法(PDPL)案

・2020.11 カナダ 消費者プライバシー保護法(CPPA)

その他、判例等の解説も記載されていて参考になります。。。

 

JDSPRA

・2021.01.04 Privacy and Data Security Worldwide: 2020 and Beyond by Kramer Levin Naftalis & Frankel LLP

 

 

| | Comments (0)

2021.01.04

100冊以上の機械学習に関する無料本リスト!!

こんにちは、丸山満彦です。

機械学習に関する無料本リストが公開されていましたので、共有しますね。。。

insane

・2021.01.02 Free eBooks: 100+ Free Machine Learning Books

目次とかカテゴリー分があれば助かると思いながら、、、

 

| | Comments (0)

ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

こんにちは、丸山満彦です。

ニューヨーク州知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名をしていますね。。。

顔認証技術は多くの恩恵をもたらす可能性がある反面、その使用により、特に学校では、深刻なプライバシーの懸念(例えば、有色人種の誤認率が高いのではないか等)があるということのようですね。

子供の安全とセキュリティは全ての親にとって大切なことであるが、顔認識技術を使うかどうかは、軽々しく決定されるべきではなく、一歩下がって専門家と議論する必要があるという判断のようですね。。。

New York State

・2020.12.22 (news) Governor Cuomo Signs Legislation Suspending Use and Directing Study of Facial Recognition Technology in Schools

Legislation (A6787-D/S5140-B) Directs the Study of Whether Facial Recognition and Other Kinds of Biometric Technology Should be Used in Schools; Suspends Their Use Until Properly Reviewed

 

New Yokr State Senate

・2020.12.22 Assembly Bill A6787D - Relates to the use of biometric identifying technology

・[PDF] BILL TEXT


・2020.12.22 Senate Bill S5140B - Relates to the use of biometric identifying technology

・[PDF] BILL TEXT

 

2000pxseal_of_new_yorksvg


 

■ 参考 

顔認識技術を利用した結果、黒人男性を誤認逮捕した事例

Threat Post

・2020.12.29 Lawsuit Claims Flawed Facial Recognition Led to Man’s Wrongful Arrest by

Black man sues police, saying he was falsely ID’d by facial recognition, joining other Black Americans falling victim to the technology’s racial bias.

Business Insider

・2020.12.29 A Black man spent 10 days in jail after he was misidentified by facial recognition, a new lawsuit says by  

  • A Black man is suing a New Jersey police department after he says he was misidentified by facial-recognition software and wrongly spent 10 days in jail.

  • The man, Nijeer Parks, said he had "never been" to the site of a shoplifting incident but was arrested after contacting the police to clear his name.

  • About a year after the incident, New Jersey's attorney general, Gurbir Grewal, ordered the police to stop using facial-recognition technology.

 

| | Comments (0)

2021.01.03

OECDが個人情報保護指針の見直しに向けた検討事項の一つとしてデータローカリゼーションの傾向と課題についての報告書を公開していますね。。。at 2020.12.22

こんにちは、丸山満彦です。

OECDが個人情報保護指針の見直しに向けた検討事項の一つとしてデータローカリゼーションの傾向と課題についての報告書を公開していますね。。。

基本はデータの自由流通が原則。ただし、プライバシーに配慮する必要があるので、例外的に個人データの第三国への移転については条件をつけた。しかし、プライバシーが理由なのか、安全保障が理由なのか、データの第三国移転を認めないことを原則的に取り扱うような風潮が出てきたので、一旦みんなで整理しようということなんでしょうかね。。。

 

OECD iLibrary - Papers - OECD Digital Economy Papers

・2020.12.22 Data localisation trends and challenges

報告書は、↓

・[PDF] 

この報告書は、

  • データプライバシーとグローバル化したデータフローのガバナンスの文脈におけるデータローカリゼーションに焦点を当てている

  • データローカリゼーションの定義を提案している

  • データローカリゼーションが国境を越えたデータフローを阻害しないようにするためのロードマップを概説している

  • そのような作業を支援するための提言を行っている

  • 特に、データの地域化対策を評価する上で、OECD プライバシーガイドラインに明記されている説明責任の原則と比例性テストの関連性を強調している

ということのようです。

「データローカリゼーション」の定義については、

‘Data localisation’ refers to a mandatory legal or administrative requirement directly or indirectly stipulating that data be stored or processed, exclusively or non-exclusively, within a specified jurisdiction. 特定の司法管轄区域内でデータが排他的または非排他的に保存または処理されることを直接または間接的に規定した強制的な法的または行政的要件を指す。

 

推奨事項が9つ書かれていますね。。。

1 It must be recognised that data localisation has the potential to directly and significantly impact cross- border data flows. データローカリゼーションは、国境を越えたデータの流れに直接かつ重大な影響を与える可能性があることを認識しなければならない。
2 In general, the requirements data privacy laws traditionally impose on transborder data transfers do not necessarily amount to data localisation. 一般的に、データ・プライバシー法が伝統的に国境を越えたデータ転送に課している要件は、必ずしも データローカリゼーションに該当するわけではない
3 Whether a specific requirement is classed as a data localisation measure is not, on its own, determinative for whether such a requirement is incompatible with the OECD Privacy Guidelines. 特定の要件がデータローカリゼーション措置として分類されるかどうかは、それ自体が、その要件が OECD プライバシーガイドラインと互換性がないかどうかを決定するものではない。
4 As data localisation may seek to protect data privacy in some cases, and undermine it in others, any assessment of the impact data localisation has on data privacy must be holistic and context-specific. データローカリゼーションは、データのプライバシーを保護しようとする場合もあれば、そうでない場合もあるので、 データローカリゼーションがデータのプライバシーに与える影響の評価は、全体的かつ文脈に特化したものでなければならない。
5 In the context of the OECD Privacy Guidelines, the proportionality test articulated in paragraph 18 should be considered a key mechanism for the evaluation of data localisation measures. OECD プライバシーガイドラインの文脈では、パラグラフ 18 に明示されている比例性テストが、データローカリゼーション対策の評価のための重要なメカニズムであると考えられるべきである。
6 Where a legal or administrative requirement is found to constitute a data localisation measure, and it amounts to a restriction to transborder flows of personal data under paragraph 18 of the OECD Privacy Guidelines, the assessment of whether it is proportionate (under that same paragraph) to the risks presented, ought to take into account multiple factors, such as: 法律上または行政上の要件がデータローカリゼーション措置を構成し、それが OECD プライバシーガイドラインの第 18 項に基づく個人データの国境を越えた流れの制限に相当すると判断された場合、それが提示されたリスクに 比例するかどうかの評価は、以下のような複数の要因を考慮に入れるべきである。
(a) the sensitivity of the data; データの感度
(b) the purpose and context of the processing; 処理の目的と文脈
(c) the extent to which it is demonstrated that the data localisation measure effectively achieves the goals for which it was introduced; データの局所化対策が導入された目的を効果的に達成していることが実証されているか。
(d) whether there are any less restrictive measure that could be enacted; 制定可能な制限の少ない措置があるかどうか。
(e) the direct and indirect, domestic and international, implications of the measures; 措置の直接的及び間接的、国内的及び国際的な意味合い。
(f) evidence of intent where it is possible to establish; and 意図を立証することが可能な場合には、その意図の証拠
(g)  the implications likely to arise if also other countries adopt the same measure (‘scalability’ as a consideration in the assessment of proportionality). 他の国が同じ手段を採用した場合に生じるであろう意味合い(比例性の評価における考慮事項としての「スケーラビリティ」)。
  The OECD should initiate work to map out what guidance, for the application of the proportionality test in paragraph 18 of the OECD Privacy Guidelines, that can be gained from sources such as national laws, in international law and e.g. in EU law, WTO jurisprudence, academic literature and various trade agreements. OECD は、OECD プライバシーガイドラインの第 18 項の比例性テストの適用について、国内法、国際法、および EU 法、WTO の法学、学術文献、様々な貿易協定などの情報源からどのような指針を得ることができるかをマップ化する作業を開始すべきである。
7 Data localisation laws, especially where they are combined with invasive data access regimes, may cause compliance issues for organisations since OECD Privacy Guidelines paragraph 16 mandates that “data controller remains accountable for personal data under its control without regard to the location of the data”. The OECD could usefully examine this issue further in the review of the OECD Privacy Guidelines. データローカリゼーションに関する法律は、特にそれらが侵襲的なデータアクセス規制と組み合わされている場合には、OECD プライバシーガイドラインの第 16 段落では、「データ管理者は、管理下にある個人データに対して、当該データの所在に関係なく責任を有し続ける 」と義務付けられているため、組織にとってコンプライアンス上の問題を引き起こす可能性があります。OECD は、OECD プライバシーガイドラインの見直しの中で、この問題をさらに検討することが有益であろう。
8 Either the Guidelines or the Explanatory Memorandum ought to directly address data localisation. ガイドラインまたは説明書のいずれかが、データローカリゼーションに直接対処すべきである。
9 Either the Guidelines or the Explanatory Memorandum ought to include a definition of data localisation, possibly as follows: ガイドラインまたは説明的覚書のいずれかは、データローカリゼーションの定義を含むべきである。

 

 


目次は次の通りです。

 

Foreword 序文
Table of contents 目次
Executive Summary エグゼクティブサマリー
I. Introduction I. 序章
II. Data localisation II. データのローカライズ
A. What is data localisation? A. データローカリゼーションとは?
B. Trends in, and attitudes towards, data localisation B. データローカリゼーションの傾向と態度
i. Amongst countries i. 国家間で
ii. Amongst experts from industry, civil society, academia and international organisations ii. 産業界、市民社会、学界、国際機関の専門家の間で
iii. Amongst consumers iii. 消費者間で
C. Why are data localisation requirements imposed? C. なぜデータのローカリゼーション要件が課されるのか?
i. Common motivations for data localisation i. データローカリゼーションの一般的な動機
ii. Data localisation and the territoriality of jurisdiction in the online environment ii. オンライン環境におけるデータローカライゼーションと司法権の領域性
iii. Data localisation as an aspect of data sovereignty iii. データ主権の側面としてのデータローカリゼーション
D. Concerns about data localisation D. データローカライゼーションに関する懸念
i. Concerns about economic and social impacts i. 経済的・社会的影響への懸念
ii. Concerns about feasibility ii. 実現可能性への懸念
III. Finding a way forward on data localisation III. データローカリゼーションの前進のための方法を見つける
A. Recommendations on data localisation for the OECD Privacy Guidelines A. OECDプライバシーガイドラインのデータローカリゼーションに関する勧告
i. Are data privacy driven restrictions on transborder data flows data localisation? i. 国境を越えたデータフローのデータローカリゼーションに対するデータプライバシー主導の制限はあるのか?
ii. Is data localisation ‘good’ or ‘bad’ for data privacy? ii. データローカライゼーションはデータプライバシーにとって「良い」のか「悪い」のか?
iii. A proportionality assessment for data localisation iii. データローカライゼーションに関する比例性の評価
iv. Transborder application of accountability obligations iv. 説明責任義務の国境を越えた適用
v. Guidelines or Explanatory Memorandum? v. ガイドラインか説明的覚書か?
VI. Conclusions VI. 結論
Annex 付属書
References 参考文献

 

[HTML]に変換してみました。一部崩れていますが・・・

 

 


■ 参考 現在のOECDのプライバシーガイドライン (2013)

● OECD

・[PDF] Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data

JIPDECによる日本語仮訳

JIPDEC

・2014.05.07 [PDF] 「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」(OECDプライバシーガイドライン)(仮訳)

 

データローカライゼーションに関係する部分

PART FOUR. BASIC PRINCIPLES OF INTERNATIONAL APPLICATION: FREE FLOW AND LEGITIMATE RESTRICTIONS 第 4 部 国際的適用における基本原則-自由な流通と合法的制限
16. A data controller remains accountable for personal data under its control without regard to the location of the data. 16. データ管理者は、管理下にある個人データに対して、当該データの所在に関係なく責任を有し続ける。
17. A Member country should refrain from restricting transborder flows of personal data between itself and another country where (a) the other country substantially observes these Guidelines or (b) sufficient safeguards exist, including effective enforcement mechanisms and appropriate measures put in place by the data controller, to ensure a continuing level of protection consistent with these Guidelines. 17. 加盟国は、自国と他の国との間における個人データの国際流通について、ガイドラインに一致する継続的な保護のレベルを保つために、(a) 他の国がガイドラインを実 質的に遵守している場合、又は (b) 効果的な執行メカニズム及びデータ管理者により導入される適切な措置を含め、十分な保護措置がある場合、この流通を制限することを控えるべきである。
18. Any restrictions to transborder flows of personal data should be proportionate to the risks presented, taking into account the sensitivity of the data, and the purpose and context of the processing. 18. 個人データの国際流通に対するいかなる制限も、顕在するリスクに比例した制限でなければならず、データのセンシティビティ並びに処理の目的及び情況を考慮すべきである。

Oecd


 

 

Continue reading "OECDが個人情報保護指針の見直しに向けた検討事項の一つとしてデータローカリゼーションの傾向と課題についての報告書を公開していますね。。。at 2020.12.22"

| | Comments (0)

2021.01.02

FBIがスマートデバイスを利用したスワット攻撃 (Swatting Attacks) についての警告を出していますね。

こんにちは、丸山満彦です。

FBIがカメラや音声対応のスマートデバイスを利用したスワット攻撃についての警告を出していますね。

Internet Crime Compliant Center (IC3)

・2020.12.29 Recent Swatting Attacks Targeting Residents With Camera and Voice-Capable Smart Devices

攻撃者は標的にしたスマートデバイス(ビデオ、オーディオが使用可能な家庭用監視装置など)を使用して、スワッティング攻撃をしているようですね。

攻撃者は、スマートデバイスにアクセスするために、メールパスワードを再利用しているユーザに対して、盗んだメールパスワードを使ってスマートデバイスにログインし、ライブストリームカメラやスピーカーなどの機能を乗っ取り、緊急サービスに電話して、乗っ取ったユーザの自宅で犯罪が起こったと報告する。その報告により、法執行機関が住宅に駆けつける。すると、攻撃者はライブストリームの映像を見て、カメラやスピーカーを通して対応する警察とやりとりし、場合によっては、犯罪者は、共有されたオンライン・コミュニティ・プラットフォーム上で事件の様子をライブストリームすることもある。。。愉快犯的なことですが、捜査機関等のリソースをさかれることにより、本当の犯罪等への対応が遅れる可能性もあり、看過できない話ですね。。。

パスワードの使い回しをやめたり、二要素認証を採用する等、スマートデバイス等のパスワードが推測されて乗っ取られないようにすることが重要ということですね。。。二要素認証は異なるメールアドレスで行うのではなく、携帯電話の番号を利用することを勧めていますね。

| | Comments (0)

2021.01.01

U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用しているとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。

こんにちは、丸山満彦です。

U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用していとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。

CISA - SUPPLY CHAIN COMPROMISE

ALERT: APT Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations

 

● 緊急指令とその更新情報 -DHS-

・2020.12.30 Emergency Directive 21-01 - Supplemental Guidance v2 - Mitigate SolarWinds Orion Code Compromise

・2020.12.18 Emergency Directive 21-01 - Supplemental Guidance v1 - Mitigate SolarWinds Orion Code Compromise

・2020.12.13 Emergency Directive 21-01 - Mitigate SolarWinds Orion Code Compromise

プレスリリース -CISA- 

・2020.12.16 Joint Statement by the Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), and the Office of the Director of National Intelligence (ODNI) 

・2020.12.13 CISA Press Release: CISA Issues Emergency Directive to Mitigate the Compromise of Solarwinds Orion Network Management Products

● 警告・ガイダンス

・2020.12.24 CISA Releases Free Detection Tool for Azure/M365 Environment 

・・(/Sparrow)

・2020.12.17 CISA Alert (AA20-352A): Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations

CISA Insights: What Every Leader Needs to Know About the Ongoing Cyber Incident

Partner Products


 

1_20210101122301

| | Comments (0)

あけましておめでとうございます 2021

こんにちは、丸山満彦です。

新年のあけましておめでとうございます。

旧年中はお世話になりました。今年もよろしくお願いします。

特に変わったこともなく、「信頼の構造」とかいくつかの本や報告書を読んでおります。。。

 

皆様にとって良い年となりますように。。。

 

2021

| | Comments (0)

« December 2020 | Main