« January 2021 | Main | March 2021 »

February 2021

2021.02.28

MITRE "Intelligence After Next"

こんにちは、丸山満彦です。

国のインテリジェンスをどうすべきかという課題提起の文書なんですかね。。。

インテリジェンス機能を持つ組織ってどの国も複数あって、お互いの連携がどれほどできているのかはよくわからないですね。。。3.11で明らかになり、その後改善されているのだろうが・・・

2月末現在で5つ公表されていますね。。。

 

● MITRE

Intelligen after next

Title タイトル
5 MISSION-BASED CHALLENGES FOR THE INTELLIGENCE COMMUNITY インテリジェンス・コミュニティのミッションベースの課題
4 BUILDING A COUNTERINTELLIGENCE ANALYTIC CADRE 防諜分析幹部の構築
3 DIVERSITY AND INCLUSION – A MISSION IMPERATIVE FOR THE INTELLIGENCE COMMUNITY 多様性と統合 - インテリジェンス・コミュニティにとって不可欠な使命
2 RADICAL TRANSPARENCY IN INTELLIGENCE OPERATIONS インテリジェンス運用のための根本的な透明性
1 THE FUTURE OF THE IC WORKPLACE インテリジェンス・コミュニティ・ワークプレイスの未来

 

 

# Issue Title Summary
5 2021.02.16 MISSION-BASED CHALLENGES FOR THE INTELLIGENCE COMMUNITY

5-20210227-232236
Former Director of National Intelligence Daniel Coats in the 2019 National Intelligence Strategy (NIS), wrote “we have to become much more agile, more innovative, more creative.” Given the dynamic nature of demands on the Intelligence Community (IC) and the rapid pace of emerging technology, it is hard to disagree with Director Coats’ statement. At the same time, it is hard to look at the IC one year later and see real movement toward this goal or impact from the 2019 NIS.  One could argue that it is not only the 2019 NIS that has failed in this way, but that the halls, safes, and hard drives of the National Capital Region are littered with failed strategies and initiatives to increase innovation or drive development of the favored technology of the day to support national security. For every document which has had lasting impact in shifting the focus of the problem set the IC addresses—there are dozens of others that have come and gone with no lasting and real impact.

As an alternative approach, this document proposes five mission-based challenges for the IC to take on in the next 3-5 years.  They include:
  • Countering adversary malign influence campaigns before they broadly impact our population.
  • Mitigating insider threats rapidly and effectively through detection and protection.
  • Enabling free flow of information and communication in ‘smart’ cities under authoritarian governments with exquisite surveillance capabilities.
  • Finding peer high value relocatable targets (HVRTs) within the window when they are exposed for critical operations, thereby enabling traditional kinetic or non-kinetic attacks against them.
  • Providing greater non-traditional and non-kinetic means for disabling critical targets.
Identifying measures of success and accompanying metrics for each of these will be key to achieving measurable progress in facing these challenges. Solving them, however, will not solve every problem the IC confronts today. No set of 5, 15, or even 50 challenges could do that. However, if the IC can solve even 2 or 3 of these challenges, it will have enhanced its impact while exercising its ability to identify the right emerging technologies needed for these specific challenges and the ability to adopt and adapt those technologies as needed for its problem set. Those behaviors will be critical enablers for addressing the other pressing problems the IC faces. 
4 2021.02.05 BUILDING A COUNTERINTELLIGENCE ANALYTIC CADRE

4-20210227-232448

The introduction of advanced cyber techniques, persistent, ubiquitous surveillance and advanced self- learning penetration technologies leveraging artificial intelligence has significantly altered and accelerated the counterintelligence (CI)  threat landscape. To address this new threat landscape, a counterintelligence analysis cadre should be established to integrate the full range of counterintelligence disciplines to effectively monitor, assess, and share foreign CI threat information. This includes traditional counterintelligence disciplines such as cyber, technical and security analysis, as well as a deeper focus on economic espionage and foreign influence. The counterintelligence community must adapt now to effectively respond to these complex threats.

The congressionally-mandated formation of the National Counterterrorism Center (NCTC) after the 9/11 attacks serves as a useful model for the counterintelligence community. Creating a cross-agency counterintelligence counterpart to the NCTC—with the authorities and capabilities to integrate and analyze all foreign counterintelligence threat information—will significantly improve the Intelligence Community’s (IC’s) ability to meet the counterintelligence challenges now and into the future. 
3 2021.01.25 DIVERSITY AND INCLUSION – A MISSION IMPERATIVE FOR THE INTELLIGENCE COMMUNITY

3-20210227-232509

The U.S. faces a future in which domestic and global demographics will rapidly shift and starkly contrast the current demographics. To remain effective in producing high quality intelligence, the Intelligence Community (IC) must comprehensively understand and correctly assess the dynamic environment in which the U.S. operates. This requires building and leveraging teams comprised of experts from socially and culturally diverse backgrounds to maximize analytic value.

Yet, despite a variety of diversity and inclusion initiatives, IC workforce diversity changes have been modest. Women, minorities, and people with disabilities remain underrepresented throughout the workforce, with the most extreme disparities in leadership positions. By sustaining a workforce that is disproportionately white and male, the IC misses important mission benefits derived from diversity, as data consistently show that organizations with diverse staff and leadership outperform their more homogeneous counterparts. The IC’s ongoing diversity and inclusion efforts will be most successful when they are widely accepted and understood as mission essential and the IC workforce itself is both driving the demand and shaping strategies for more diversity and inclusion.

Given changing domestic demographics, it will become increasingly difficult to build and maintain a healthy long-term IC workforce without building a lasting culture of diversity and inclusion. The IC can accelerate its efforts by:

  • Building recognition among IC staff that diversity and inclusion are essential to producing high-quality intelligence. If cultural blind spots and implicit biases are treated as natural, albeit dangerous, occurrences and are openly addressed, diversity and inclusion efforts can be seen as helpful enhancements to team effectiveness. Diversity and inclusion efforts must be recognized by the entire IC workforce as authentic and necessary, rather than abstract hiring mandates. 
  • Sustaining and expanding programs that increase voluntary engagement aimed at achieving mission success through diversity and inclusion; promote intergroup contacts; and promote leadership engagement and accountability. 
  • Expanding the collection of diversity and inclusion metrics to include more detailed data, such as diversity by mission area, disaggregation of gender data by race, and cultural competencies.
  • Developing new strategies based on this data, detailed barrier and implementation analyses, and recently released research on effective methods for achieving a diverse and inclusive workforce.
2 2021.01.14 RADICAL TRANSPARENCY IN INTELLIGENCE OPERATIONS

2-20210227-232639

Over the last decade, news organizations and citizen journalists using new technologies and data sources—including social media posts, commercial satellite imagery, and the digital exhaust of smart phones—have changed the definition of what is possible in uncovering malign activity by nation states and other actors. The powerful capability to observe and expose, previously centralized in state intelligence organizations, is now in the hands of citizens. These efforts change the behavior of global powers using an approach that the Intelligence Community (IC) doesn’t normally employ: radical transparency.

The IC has traditionally worked opaquely within secure compartmented information facilities (SCIF) using classified data sources not accessible to the general public. With the rise of publicly available information (PAI) and the democratization of commercial sensor capabilities, the IC risks being outpaced by commercial companies, non-governmental organizations, and other nation-states if it continues to operate only behind closed doors in disconnected environments. Meanwhile, the COVID-19 pandemic is forcing the IC to rethink its approach and the spaces where it works, providing the community a unique opportunity to reframe its paradigms of classification, intelligence analysis, and information sharing.

The IC can and should move beyond its myopic concern of exposing “sources and methods” and embrace radical transparency to help secure the global community. An open and non-traditional, partner-centric approach to intelligence will improve the scope and impact of the effects the U.S. is able to achieve against malign actors. Radical transparency in intelligence analysis would also be a visible and undeniable step toward collective global security and the rule of international law. The trust it would engender can be a key differentiator between America and other global powers.
1 2020.11.01 THE FUTURE OF THE IC WORKPLACE 

1-20210227-232710
Various pre-COVID-19 publications have forwarded suggestions for considering some degree of telework in the Inteligence Community (IC). Here, we dive deeper, providing a holistic view of the IC’s interoperability challenges and a roadmap for success. Two major benefits from this shift are achieving 21ST century operational resiliency and growing and sustaining the trusted workforce.

The IC must evolve to operate a secure infrastructure outside of sensitive compartmented information facilities (SCIFs). With the proper mechanisms in place, many job functions can be done in an unclassified environment. The need for operational resiliency mandates the IC pursue a flexible workplace, recruitment, and retention model across its entire workforce to ensure mission continuity and staff health.

The failure to aggressively pursue a more robust, resilient, and flexible workplace environment will result in a serious degradation in the viability of the IC. By affording a new generation of intelligence professionals with the most capable tools, resources and workplace options, the IC will be able to compete for the best talent available.

| | Comments (0)

2021.02.27

IPA 「情報セキュリティ10大脅威 2021」解説書を発表してますね。。。

こんにちは、丸山満彦です。

IPAが情報セキュリティ10大脅威 2021」解説書を発表してますね。。。

● IPA

・2021.02.26 「情報セキュリティ10大脅威 2021」の解説書を公開しました。

・[PDF] 「情報セキュリティ10大脅威 2021」解説書

20210227-64326

過去の発表資料等もまとめていたりするので、こちらも参考にしてくださいませ。。。

● まるちゃんの情報セキュリティ気まぐれ日記

2021.01.28 IPA 「情報セキュリティ10大脅威 2021」を発表してますね。。。

 

| | Comments (0)

2021.02.26

ENISA 5Gセキュリティ:3GPP (Third Generation Partnership Project) 仕様での制御

こんにちは、丸山満彦です。

ENISAが5Gについてのセキュリティの文書  (Security in 5G Specifications - Controls in 3GPP) を公表していますね。。。

● ENISA

・2021.02.24 (news) Cybersecurity for 5G: ENISA Releases Report on Security Controls in 3GPP

・2021.02.24 (Document) Security in 5G Specifications - Controls in 3GPP

・[PDF] SECURITY IN 5G SPECIFICATIONS - Controls in 3GPP Security Specifications (5G SA)

20210226-41229

この報告書の目的は、

  • 国や規制当局が、5Gセキュリティに関連する標準化環境、3GPPセキュリティ仕様を、
  • 事業者が 5Gネットワークのセキュリティを確保するために実装しなければならない主要なセキュリティ対策を

よりよく理解できるようにすることにあるとのことです...

具体的には、

  • 5Gネットワークのセキュリティに関する仕様と標準化の状況、および5G分野における様々な標準化団体や業界団体の主な活動のハイレベルな概要
  • 3GPP が策定した 5G ネットワークのセキュリティに関する技術仕様について、オプションのセキュリティ機能に焦点を当てた説明
  • 主要な調査結果と優れたセキュリティ慣行のまとめ

という構成になっています...

 

■ 関連文書

More informations

  1. 2021.02.24 ENISA Report - Security in 5G Specifications
  2. 2020.12.24 ENISA Report - Threat Landscape for 5G Networks
  3. 2020.12.10 ENISA Guideline on Security Measures under the EECC
  4. 2020.12.10 5G Supplement - to the ENISA Guideline on Security Measures under the EECC
  5. 2020.01.10 ENISA Report - Security Supervision under the EECC

 

詳細な目次は ↓↓↓↓↓↓↓↓↓↓↓

 

Continue reading "ENISA 5Gセキュリティ:3GPP (Third Generation Partnership Project) 仕様での制御"

| | Comments (0)

国際決済銀行 「中央銀行におけるビッグデータソースとアプリケーションの利用」by アービング・フィッシャー中央銀行統計委員会 at 2021.02.18

こんにちは、丸山満彦です。

国際決済銀行 (Bank for International Settlements) のアービング・フィッシャー中央銀行統計委員会 (the Irving Fisher Committee on Central Bank Statistics) から「中央銀行におけるビッグデータソースとアプリケーションの利用」(Use of big data sources and applications at central banks) という報告書が公表されていますね。。。

中央銀行のデータソース、銀行のビッグデータとの連携、および中央銀行によるビッグデータアプリケーションに関連する課題についての報告書のようです。。。

Bank for International Settlements: BIS - the Irving Fisher Committee on Central Bank Statistics: IFC

・2021.02.18 [PDF] Use of big data sources and applications at central banks

20210226-22643

 

 

目次

Executive summary エグゼクティブサマリー
1. Introduction 1. 序章
2. What is big data for central banks? 2. 中央銀行にとってのビッグデータとは?
3. Central banks’ interest in big data 3. 中央銀行のビッグデータへの関心
4. Central banks’ work with big data 4. 中央銀行のビッグデータへの取り組み
Data sources supporting main central bank functions    中央銀行の主要機能を支えるデータソース
Four major types of applications    主要な4つの用途
5. Challenges 5. 課題
6. Looking forward: the benefits of cooperation 6. 今後について:協力のメリット
Box 1: Big payments data ボックス1:ビッグペイメントデータ
References 参考文献
Annex 1: Survey on central banks’ use of big data 附属1:中央銀行のビッグデータ利用に関する調査
Annex 2: List of members that responded to the survey 附属2:アンケートに回答した会員一覧

 

Continue reading "国際決済銀行 「中央銀行におけるビッグデータソースとアプリケーションの利用」by アービング・フィッシャー中央銀行統計委員会 at 2021.02.18"

| | Comments (0)

オーストラリア オンライン安全法案を議会に提出

こんにちは、丸山満彦です。

オーストラリア政府がオンライン安全法案を議会に提出しましたね。

法案では、ネットいじめ、オンライン虐待、有害なコンテンツ、画像ベースの虐待等に対抗するeSafetyコミッショナーの権限を強化し、オンラインの安全性に関する最新の規制の枠組みを定めているということのようです。。。

Australia Government

・2021.02.25 (press) Keeping Australians safe online

法案

Online Safety Bill 2021

法案分

・[Word] [PDF] [HTML]

条文目次(仮訳)

・[HTML]

 

| | Comments (0)

IoT対応のスマートシティにおけるセキュリティとプライバシー:課題と将来の方向性 (IEEE Security & Privacy)

こんにちは、丸山満彦です。

 IEEE Security & Privacy ( Volume: 19, Issue: 1, Jan.-Feb. 2021)に"Security and Privacy in Internet of Things-Enabled Smart Cities: Challenges and Future Directions"(IoT対応のスマートシティにおけるセキュリティとプライバシー:課題と将来の方向性)が掲載されています。

論文自体は2020.08.12に発表されているものです。

EU Science Hub

・2020.02.24 Security and Privacy in Internet of Things-Enabled Smart Cities: Challenges and Future Directions

IEEE Security & Privacy - Issue 1 • Jan.-Feb.-2021

Security and Privacy in Internet of Things-Enabled Smart Cities: Challenges and Future Directions


Abstract:
The digitalization of current urban spaces is realizing the vision of so-called smart cities, where security and privacy concerns could affect citizens' safety. This work discusses potential solutions derived from European Union research efforts to be considered in the coming years.
・[PDF

20210225-231038
内容
Security and Privacy Requirements in IoT-Enabled Smart Cities IoT対応スマートシティにおけるセキュリティとプライバシーの要件
Secure Communications for Resource-Constrained Devices and Networks リソースに制約のあるデバイスとネットワークのためのセキュアな通信
Automated and Secure Deployment of IoT Devices IoTデバイスの自動化と安全な導入
Continuous Security Assessment 継続的なセキュリティ評価
Transparent and Decentralized Data Sharing 透過的で分散型のデータ共有
Access Control Management and Informed Consent アクセスコントロール管理とインフォームドコンセント
Anonymization of Personal Data 個人データの匿名化
Privacy-Preserving Data Analytics プライバシー保護のためのデータ分析
Interoperable and Secure Data Formats 相互運用可能で安全なデータ形式
Enforcement of Current Security and Privacy Regulations 現行のセキュリティおよびプライバシー規制の施行
Cybersecurity Awareness サイバーセキュリティの意識
A Reference Architecture for Secure and Privacy-Aware IoT-Enabled Smart Cities セキュアでプライバシーを意識したIoT対応スマートシティのためのリファレンスアーキテクチャ
The SynchroniCity Approach シンクロニシティのアプローチ
Instantiating SynchroniCity Components SynchroniCity コンポーネントのインスタンス化
Deploying Security and Privacy in Smart Cities: The Case of MiMurcia スマートシティにおけるセキュリティとプライバシーの展開:MiMurciaの事例
Analysis and Future Research Directions 分析と今後の研究の方向性



 

 

 

 

| | Comments (0)

2021.02.25

「規制します! キリッ」「そうですか... さようなら!」「えっ!...このあたりで...」「では...」

こんにちは、丸山満彦です。

個人的には、落ち着くべきところに落ち着いたように思います。

1_20210225014801

 

国が規制をかけにくくなるという面もありますが、よく考えると世論の落ち着く先に落ち着くということなのかもしれませんね。。。それとも、寡占利潤の是正が難しくなっていると考えるのか。。。

どうなんでしょうかね。。。


参考 オーストラリア政府とFacebook

Facebook

・2021.02.22更新 Changes to Sharing and Viewing News on Facebook in Australia

● 朝日新聞
・2021.02.23 FB、豪でのニュース閲覧制限を解除へ 対価法案に修正

● ITメディア
・2021.02.23 Facebook、オーストラリアでのニュース共有制限解除 法案修正で合意

● WIRED
・2021.02.24 ニュース記事を巡るフェイスブックとオーストラリアのメディア業界との闘いは、そもそも争点が間違っている

TechCranch Japan
・2021.02.24 Facebookがオーストラリア政府と合意、ニュースコンテンツ共有の再開を発表

● Wall Street Journal
・2021.02.24 Facebook’s Tussle With Australia Over News Is Just the Beginning

● BBC News
・2021.02.24 Facebook reverses ban on news pages in Australia

● REUTERS
・2021.02.24 Australia's antitrust chief claims victory after Facebook standoff
・2021.02.23 豪、記事対価巡る法案修正で合意 FBはニュース掲載再開へ

● The Gardian
・2021.02.24 Australia’s move to tame Facebook and Google is just the start of a global battle

● The Japan Times
・2021.02.23 Facebook to restore Australia news pages after deal on media law

● TechCranch
・2021.02.24 Daily Crunch: Facebook brings news sharing back to Australia
・2021.02.23 Facebook to restore news sharing in Australia after government amends proposed law

● AXIOS
・2021.02.23 Facebook strikes last-minute deal with Australia around news content

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.22 「規制します! キリッ」「そうですか... さようなら!」「えっ!...」

・2021.02.19 除草剤をまけば強い植物だけが生き残る

・2021.02.17 クラウドは竹 クラウド集中リスク

| | Comments (0)

英国政府 英国のサイバーセキュリティ業界の規模等に関する報告書2021年版

こんにちは、丸山満彦です。

英国政府(デジタル・文化・メディア・スポーツ省)が「サイバーセキュリティセクター分析2021」を公表していますね。。。

サイバーセキュリティセクターの市場規模は89億ポンド(1.3兆円)で、COVID-19パンデミックの状況で大きな成長を遂げたとありますね。。。

この調査は、英国政府のNational Cyber Security Strategy 2016-2021(国家サイバーセキュリティ戦略2016-2021)におけるデジタル・文化・メディア・スポーツ省の取り組みの一つで、2018年、2020年に実施しているものの2021年更新版という感じですかね。。。


U.K. Government

・2021.02.18 (press) Record year for UK’s £8.9bn cyber security sector

A new government report shows that the UK's growing cyber industry attracted record investment last year, despite the global pandemic.

  • 英国のサイバーセキュリティ業界の雇用は、昨年に比べて9%増加し、約46,700人分となった。
  • 英国のサイバーセキュリティ企業の数は、昨年に比べて21%増加し、1483社となった。
  • 英国のサイバーセキュリティセクターの市場規模は、昨年に比べて7%増加し、89億ポンド(1.3兆円)となった
  • 英国のサイバーセキュリティセクターに8億ポンド(1,100億円)の投資を呼び込んだ

こういう基礎的な調査は良いですね。。。日本はしていたかなぁ・・・

 

・2021.02.18 Cyber Security Sectoral Analysis 2021

・[PDF] Cyber Security Sectoral Analysis 2021

20210225-05122

 

 

Continue reading "英国政府 英国のサイバーセキュリティ業界の規模等に関する報告書2021年版"

| | Comments (0)

2021.02.24

EU委員会 EUにおける災害リスク管理のための国家リスクアセスメントのための提言

こんにちは、丸山満彦です。

EU委員会のEUサイエンスハブが「EUにおける災害リスク管理のための国家リスク評価のための勧告」を公表していますね。。。13のリスクをあげていますが、サイバーセキュリティもその中に入っていますね。。。表紙も含めて277ページになりますね。。。

 

● European Commission - EU Science Hub

・2021.02.22 (publication)  Recommendations for National Risk Assessment for Disaster Risk Management in EU

・[PDF] Recommendations for National Risk Assessment for Disaster Risk Management in EU - Where Science and Policy
Meet - Version 1

20210224-160428

[PDF] Union Civil Protection Mechanism Decision No 1313/2013/EU (EU市民保護メカニズム決定第1313/2013/EU)は、EU加盟国およびUCPM参加国に対し、各国のリスク管理政策を補完・強化するEUのリスク管理政策の策定を支援するため、災害リスク管理活動について欧州委員会に報告することを求めてい流とのことですが、この報告書は、“Reporting Guidelines on Disaster Risk Management, Art. 6(1)d of Decision No.1313/2013/EU,” (2019/C 428/07) (「災害リスク管理に関する報告ガイドライン」)を各国関係当局が利用することを支援することを目的としているとのことのようですね。

 “Recommendations for National Risk Assessment for Disaster Risk Management”(「災害リスク管理のための国家リスク評価のための提言」)シリーズの第2弾ということです。この報告書シリーズの目的は、国家リスク評価プロセスの様々な側面に関与する専門家のネットワークを構築することにあるようですね。

リスクの項目としては次の13ですね。。。

1 Floods 洪水
2 Droughts 干ばつ
3 Wildfires 山火事
4 Biodiversity loss 生物多様性の損失
5 Earthquakes 地震
6 Volcano eruptions 火山の噴火
7 Biological disasters 生物災害
8 Natech accidents 自然災害起因の産業事故
9 Chemical Accidents 化学事故
10 Nuclear accidents 原発事故
11 Terrorist attacks テロ攻撃
12 Critical infrastructure disruptions 重要なインフラの混乱
13 Cybersecurity threats サイバーセキュリティの脅威
14 Hybrid Threats ハイブリッドな脅威

 

Figure 9: The global risk landscape 202045 with the risk addressed in this V1 of Recommendation for NRA

1_20210224164701

Source: Authors after World Economic Forum Global Risks Perception Survey 2019-2020

 


■ 参考

● European Commission - EU Science Hub

・2019 Recommendations for National Risk Assessment for Disaster Risk Management in EU

・[PDF] Recommendations for National Risk Assessment for Disaster Risk Management in EU - Approaches for identifying, analysing and evaluating risks - Version 0 

20210224-162351

 

 World Economic Forum

・2021.01.19 The World Needs to Wake Up to Long-Term Risks

 ・[PDF] The Global Risks Report 2021 16th Edition INSIGHT REPORT

20210224-162932

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

 


 

報告書の目次は

↓↓↓↓↓↓↓↓↓↓

Continue reading "EU委員会 EUにおける災害リスク管理のための国家リスクアセスメントのための提言"

| | Comments (0)

JPCERT/CC Eyes マルウェアEmotetのテイクダウンと感染端末に対する通知

こんにちは、丸山満彦です。

JPCERT/CCのブログ(JPCERT/CC Eyes)で「マルウェアEmotetのテイクダウンと感染端末に対する通知」の記事が掲載されていますね。。。

Emotetは2019年10月移行感染例が日本でも多くありますね。なりを潜めたかと思えば、復活したりしながら長く活動が続いているように思いましたが、2021年1月にEuropolが欧米各国の共同作戦によるEmotetのテイクダウンを発表しましたね。。。各国のCERT組織を通じて被害者への通知を行うことが示されていますが、JPCERT/CCも被害者への通知を行っていますね。。。

JPCERT/CC Eyes

・2021.02.22 マルウェアEmotetのテイクダウンと感染端末に対する通知 by 佐條 研(Ken Sajo)

目次

  1. マルウェアEmotet(エモテット)とは
  2. Emotetのテイクダウン
  3. 日本国内のEmotet の感染状況
  4. Emotet感染端末の利用者への通知
  5. Emotetに感染していると通知された場合の対応

 

関連

● JPCERT/CC

・2019.12.10 マルウエア Emotet の感染に関する注意喚起

JPCERT/CC Eyes

・2019.12.02  マルウエアEmotetへの対応FAQ by 佐條 研(Ken Sajo)

Ratkwwyq_400x400

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.30 United States, Canada, France, Germany, the Netherlands, and the United Kingdomの捜査機関等が協力してEmotet Botnetを潰したようですね。。。

 

| | Comments (0)

経済産業省 小売電気事業者のためのサイバーセキュリティ対策ガイドラインVer.1.0を策定

こんにちは、丸山満彦です。

経済産業省が「小売電気事業者のためのサイバーセキュリティ対策ガイドラインVer.1.0」を策定し、公表しましたね。。。

小売電気事業の全面自由化に伴い、小売電気事業者数は約700事業者(2020年12月現在)、全販売電力量に占める新電力の割合は約20%(2020年9月時点)となっているようですね。。。

顧客の利用状況のデータといった個人情報もそうですが、むしろ電力需給情報をベースとした電力の安定供給体制に穴を開けないように、、、ということが重要なんでしょうかね。。。

● 経済産業省

・2021.02.22 小売電気事業者のためのサイバーセキュリティ対策ガイドラインVer.1.0を策定しました。

20210223-223729

目次は、、、



1.はじめに
1.1.小売電気事業へのサイバー脅威と本ガイドライン策定の背景
1.2.本ガイドラインの構成と活用方法

2.小売電気事業者のサイバーセキュリティ対策における特徴
2.1.小売電気事業者の事業環境とサイバーセキュリティリスク
2.2.小売電気事業者の情報システム構成と想定されるサイバー攻撃
2.3.サイバーセキュリティ対策における小売電気事業者の類型

3.小売電気事業者における重要10項目の実践規範
3.1.サイバーセキュリティリスクの管理体制構築
 指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定
 指示2 サイバーセキュリティリスク管理体制の構築
 指示3 サイバーセキュリティ対策のための資源(予算、人材等)確保

3.2.サイバーセキュリティリスクの特定と対策の実装
 指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
 指示5 サイバーセキュリティリスクに対応するための仕組みの構築
 指示6 サイバーセキュリティ対策における PDCA サイクルの実施

3.3.インシデント発生に備えた体制構築
 指示7 インシデント発生時の緊急対応体制の整備
 指示8 インシデントによる被害に備えた復旧体制の整備

3.4.サプライチェーンセキュリティ対策の推進
 指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握

3.5.ステークホルダーを含めた関係者とのコミュニケーションの推進
 指示10 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供

(付録)用語集

 

・関連リンク

| | Comments (0)

2021.02.23

日本銀行 金融研究 顧客情報の利活用に関する行為規範のあり方

こんにちは、丸山満彦です。

日本銀行の「金融研究 第40巻第1号」に「金融サービスにおける顧客情報の利用を巡る法律問題研究会」(神田秀樹先生が座長)による報告書:「顧客情報の利活用に関する行為規範のあり方」が公開されていますね。。。

情報銀行の話など、興味深い内容ですね。。。

 

日本銀行 - 調査・研究 - 金融研究所論文 - 金融研究 - 「金融研究」掲載論文(2021年収録分)

・2021.02.22 「金融サービスにおける顧客情報の利用を巡る法律問題研究会」報告書:顧客情報の利活用に関する行為規範のあり方


要旨

....

 近年、情報通信技術の飛躍的な発展等を背景に、業種・業態を問わず幅広い主体で情報を利用しようとする動きが進展している。こうした変化に対応していく環境を整備するため、2019年に銀行法が改正され、銀行は従前許容されていなかった顧客情報を第三者に提供することを目的とする業務を営むことが可能となった。
 改正銀行法のもとで、顧客の権利利益の保護や利便性の向上を図りつつ、情報の利活用を促進していくためには、銀行がこうした業務を営む際に遵守すべき行為規範を明らかにする必要があると考えられる。そうした行為規範としては、銀行の守秘義務や個人情報保護法に基づくものが想定されるが、改正銀行法における顧客情報の第三者提供業務において、それらがどのように機能するかは、現状、必ずしも明らかではない。この点に関する検討を深めることは、銀行が顧客情報の第三者への提供を行っていくうえでも、重要な視点を提供すると思われる。
 以上のような問題意識を踏まえ、本報告書では、認定情報銀行制度といった足許の顧客情報の第三者提供に関する動きも視野に入れつつ、顧客情報の第三者提供業務の銀行法上の位置付けや同業務における銀行の守秘義務および個人情報保護法の適用関係を整理したうえで、それらの行為規範の内容について検討するとともに、新たな行為規範の必要性およびそのあり方について論じている。


・[PDF

20210223-21326

目次です。。。

 

要旨

1. はじめに

2. 銀行による顧客情報の第三者提供業務
1)銀行法改正による第三者提供業務の可能化
   イ. 金融審議会「金融制度スタディ・グループ」による報告書
   ロ. 改正法の概要
   (イ) 付随業務としての第三者提供業務
   (ロ) 対象となる情報の範囲
   ハ. 想定される第三者提供業務のイメージ
   (イ) マーケティング目的
   (ロ) クレジット・スコアリング目的

2)銀行に課される情報管理規制

3. 個人情報保護法における個人情報の第三者提供等に関する行為規範
1)個人データの第三者提供に関する行為規範
   イ.  個人情報保護法
   ロ.  金融ガイドライン
   ハ. 「主要行等向けの総合的な監督指針」等

2)個人データの正確性確保に関する行為規範
3)認定情報銀行制度と個人情報保護法との関係
   イ. 経緯
   ロ. 認定指針の概要
   ハ. 個人情報保護法との関係

4. 銀行の守秘義務
1)守秘義務と個人情報保護法の関係
   イ.  規制対象の違い
   ロ.  規制内容の違い

2)守秘義務の定義
3)守秘義務の法的根拠(学説・判例)
   イ. 信義則説
   ロ. 商慣習説
   ハ. 契約説

4)守秘義務により保護されるべき利益(保護法益)
   イ. 個人顧客と法人顧客とで保護法益が異なるという考え方
   ロ. 個人顧客と法人顧客とで保護法益が同一であるという考え方

   (イ) 顧客の情報コントロール権
   (ロ) 顧客の信頼
   (ハ) 銀行の固有の利益

5)守秘義務の対象となる情報の内容
6)守秘義務の限界

5. 第三者提供業務にかかる守秘義務の解釈
1)総説
2)全銀協報告書が提示する判断基準
   イ. 判断アプローチロ. 5 つの判断要素
   ハ. 本報告書の検討対象との違い

3)個人顧客情報の場合
4)法人顧客情報の場合

6. 守秘義務とは異なる行為規範の必要性
1 銀行固有の守秘義務に関する議論の限界
2 情報の利活用に関する新たな行為規範の必要性
   イ. 情報の正確性を確保する行為規範
   ロ. 本人のコントローラビリティを高める行為規範

3 小括

7. おわりに

| | Comments (0)

2021年の国連の社会正義の日のテーマは「デジタル経済における社会正義の呼びかけ」で、世界経済フォーラムは「デジタル世界において社会正義を如何に実現するかについての4つの視点」を公表していますね。。。

こんにちは、丸山満彦です。

02.20は国連の社会正義の日 (World Day of Social Justice [wiki])となっていますが、2021年のテーマは”A Call for Social Justice in the Digital Economy”(デジタル経済における社会正義の呼びかけ)となっていますね。

United Nations

World Day of Social Justice 20 February

World Economic Forumでデジタル世界において社会正義を如何に実現するかについての4つの視点を公表していますね。。。

 

World Economic Forum

・2021.02.19 4 views on how to ensure social justice in a digital world

 

End the digital divide デジタル・デバイドを終わらせる
Christopher (Chris) Worman, Vice-President, Alliances and Programme Development, TechSoup, and Jochai Ben-Avie, CEO, Connect Humanity テックソープ・アライアンス・プログラム開発担当副社長 クリストファー(クリス)ワーマン氏、Connect Humanity CEO ジョカイ・ベンアビ氏
We must rally together now to build the communities and investment vehicles necessary to deliver meaningful access to all. すべての人に有意義なアクセスを提供するために必要なコミュニティと投資手段を構築するために、私たちは今、団結しなければならない。
—Chris Worman and Jochai Ben-Avie ・クリス・ワーマンとジョカイ・ベンアビ
Ensure an internet that reflects the multiplicities of being human 人間であることの多様性を反映したインターネットを確保する。
Wafa Ben Hassine, Principal, Responsible Technology, Omidyar Network, USA ワファ・ベン・ハッシン、責任ある技術担当代表、 Network、米国
Users must be involved in decision-making processes at every level so their realities and rights are accounted for. ユーザの現実と権利が説明されるように、ユーザはあらゆるレベルの意思決定プロセスに関与しなければならない。
—Wafa Ben Hassine ・ワファ・ベン・ハッシン
Fight disinformation and harmful content 偽情報や有害なコンテンツと戦う
Prof. Michael Posner, Jerome Kohlberg Professor of Ethics and Finance; Director, Center for Business and Human Rights, Stern School of Business マイケル・ポスナー教授、ジェローム・コールバーグ倫理・金融学教授、スターン・スクール・オブ・ビジネス・人権センター所長
Disinformation distorts the truth and accelerates racial, ethnic and political polarization. 誤報は真実を歪め、人種・民族・政治の二極化を加速させる。
—Michael Posner ・マイケル・ポスナー
Increase civic participation 市民参加を増やす
Renata Avila, Co-Founder <A+> Alliance for Inclusive Algorithms レナータ・アビラ共同創設者 <A+>  アライアンス・フォー・インクルーシブ・アルゴリズム
Design digital systems that are inclusive by design, feminist by default and publicly funded. 設計から多様で、デフォルトではフェミニストであり公的資金が提供されているデジタルシステムを設計しよう。
—Renata Avila, Founder and Chief Executive Officer, POLYLAT ・レナータ・アビラ,POLYLATの創設者兼最高経営責任者

 

 

1_20210223000401  

 

Continue reading "2021年の国連の社会正義の日のテーマは「デジタル経済における社会正義の呼びかけ」で、世界経済フォーラムは「デジタル世界において社会正義を如何に実現するかについての4つの視点」を公表していますね。。。"

| | Comments (0)

2021.02.22

U.S. GAOが技術評価ハンドブックを公表していますね

こんにちは、丸山満彦です。

U.S. GAOが技術評価ハンドブックを公表していますね。特定の技術についての話というよりも、技術評価をする場合の進め方についてのフレームワークを示したものですね。。。

社会、組織のイノベーションはテクノロジー起点であることが多いと思います。そういう意味で重要性はましますね。合わせて、その活用についてのAccountabilityも重要となりますね。。。

 

U.S. Government Accoutibility Office (GAO)

・2021.02.18 Technology Assessment Design Handbook

・[PDF] TECHNOLOGY ASSESSMENT DESIGN HANDBOOK - Handbook for Key Steps and Considerations in the Design of Technology Assessments

20210222-51819

 

技術評価 (TA) のステップ

Phase Steps フェーズ ステップ
Initiation • Discussion with congressional requesters, if applicable, regarding scope and focus of the engagementb 導入 ・ (必要に応じて)議会の要請者との業務の範囲と焦点についての議論
• Consideration of technology state, relevant stakeholder expertise, and potential policy implications ・ 技術状態、関連するステークホルダーの専門知識、政策への潜在的な影響の検討
• Consideration of whether policy options may be appropriate for inclusion ・ 政策の選択肢に含めることが適切かどうかの検討
Design • Performance of initial research 設計 ・ 初期調査の成果
• Consideration of relevant sections of GAO’s quality standards and GAO methodological and technical standards and guides ・ GAOの品質基準とGAOの方法論・技術基準とガイドの関連部分の検討
• Consultation with GAO subject matter experts and internal stakeholders, as needed ・(必要に応じて)GAOの主題専門家および内部の利害関係者との協議
• Discussion with agency officials and experts ・ 機関関係者や専門家との意見交換
• Identification of and consultation with external experts, such as science, policy, and industry experts, who may also serve as external reviewers ・ 科学、政策、産業界の専門家など外部の専門家の特定と、外部レビュアーとして機能する可能性のある専門家との協議
• Identification of possible policy options, if appropriate ・ (適切な場合)可能な政策の選択肢の特定
Message development • Collection and analysis of evidence メッセージ開発 ・ 証拠の収集と分析
• Assessment of evidence and research results ・ 証拠と研究成果の評価
• Development of draft findings ・ 所見書案の作成
• Ongoing engagement with external experts ・ 外部専門家との継続的な連携
• Conduct and discuss policy options assessment, if appropriated ・ (適切な場合)政策オプション評価の実施と議論
External review • Request views from relevant third parties, if applicable, and request comments from relevant federal agencies, as appropriate 外部レビュー ・ 関連する第三者に対する意見の徴収、(必要な場合)関連する連邦政府機関に対するコメントの徴収
• Request comments from external experts, and others as appropriate ・ 外部の専門家等への意見の徴収

 

報告書の目次

↓↓↓↓↓↓↓↓↓↓

Continue reading "U.S. GAOが技術評価ハンドブックを公表していますね"

| | Comments (0)

「規制します! キリッ」「そうですか... さようなら!」「えっ!...」

こんにちは、丸山満彦です。

ある国において、企業だけでなく、政府も含めて多くの組織が特定の事業者のビジネスに依存するようになると、政府による規制を有効に機能させるのが難しくなるかもしれませんね。。。

個々の企業や政府機関等が効率性を求めて、クラウド事業者のサービスを利用し始めると、自然と特定の大手のサービスに収斂していき、気づいたらその国の経済活動、安全保障がその企業に依存していくようになるでしょうね。。。そうなると、政府が規制をかけようとしても、その国の経済活動、安全保障を人質にとって抵抗等するでしょうね。。。

そうなると、政府による規制を有効に機能させるのが難しくなるかもしれませんね。。。


2_20210220023001

 

また、場合によっては、クラウド事業者等の都合によって、政府の政策が限定されたりする可能性もありますね。。。

政府が公衆衛生のために導入したアプリですが、OSを握っている会社の方針に従わざるを得なかったですよね。。。

国と企業の関係が、今後変わっていく感じがしますね。。。

 


参考 オーストラリアの法案に対するFacebookの対応

Facebook

・2021.02.17 Changes to Sharing and Viewing News on Facebook in Australia

Australian Competition & Consumer Commission: ACCS(オーストラリア競争消費者委員会)

Site内でのFacebookの検索

● NHK
・2021.02.18 フェイスブック 豪州メディアの記事投稿の制限を発表

● BBC Japan
・2021.02.18 フェイスブック、豪でニュース提供中止 報道機関への支払い法案に反発

TechCranch
・2021.02.18 フェイスブックが豪州ユーザーのニュースリンク共有・閲覧を禁止へ

● GigaZine
・2021.02.18 Facebookがオーストラリアで「いかなるニュース記事に対しても投稿&リンクできない」よう仕様変更

● IT Media
・2021.02.18 Facebook、オーストラリアでニュース共有制限へ メディアへの対価義務付け法案に抗議

 


まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.19 除草剤をまけば強い植物だけが生き残る

・2021.02.17 クラウドは竹 クラウド集中リスク

| | Comments (0)

2021.02.21

U.K. NSCS 2019年能動的サイバー防御についての実績報告書 (Active Cyber Defence (ACD) - The Third Year)

こんにちは、丸山満彦です。

英国の国立サイバーセキュリティセンター (National Cyber Security Centre: NCSC) が3年目になる2019年の能動的サイバー防御 (Active Cyber Defence) についての実績報告書を公開していますね。。。COVID-19の影響でしょうかね、、、2021年になってから2019年のデータが出てきてもって感じではありますが、公開するだけ誠実って言うことで...

 

● National Cyber Security Centre: NCSC

・2021.02.19 Active Cyber Defence (ACD) - The Third Year

The year three report covers 2019 and aims to highlight the achievements and efforts made by the Active Cyber Defence programe.

・[PDF] Active Cyber Defence (ACD) - The Third Year

20210406-63524

 

NCSCの能動的サイバー防御についての説明はこちら

● NCSC - Products & Services - Active Cyber Defence (ACD)

 

CURRENT ACD SERVICES 現在のACDサービス
1.Protective Domain Name Service (PDNS) 1.保護ドメイン名サービス (PDNS)
PDNS prevents users from accessing domains or IPs that are known to contain malicious content and stops malware already on a network from calling home. PDNSは、悪意のあるコンテンツを含むことが知られているドメインやIPにユーザーがアクセスすることを防ぎ、ネットワーク上にすでに存在するマルウェアがホームにコールをかけることを阻止します。
 Learn more about PDNS.  
2.Web Check 2.ウェブチェック
Web Check helps you find and fix common security vulnerabilities in the websites that you manage. Web Checkは、管理しているWebサイトの一般的なセキュリティ脆弱性を発見し、修正するのに役立ちます。
 Learn more about Web Check.  
3.Mail Check 3.メールチェック
Mail Check helps organisations assess their email security compliance and adopt secure email standards which prevent criminals from spoofing your email domains. Mail Checkは、企業が電子メールのセキュリティコンプライアンスを評価し、犯罪者が電子メールのドメインを偽装することを防ぐ、安全な電子メールの標準を採用することを支援します。
 Learn more about Mail Check.  
4.Host Based Capability (HBC) 4.Host Based Capability (HBC)
HBC is a software agent available for use on OFFICIAL devices in government. The NCSC conducts analysis to detect malicious activity on those endpoints. The service provides security baseline reports, and forewarns customers about their exposure to the most critical of vulnerabilities. HBCは、政府機関の公式端末で使用可能なソフトウェアエージェントです。NCSCは、これらのエンドポイントにおける悪意のある活動を検出するための分析を行います。このサービスは、セキュリティ・ベースライン・レポートを提供し、最も重要な脆弱性にさらされていることを利用者に警告します。
 Learn more about HBC.  
5.Logging Made Easy (LME) 5.Logging Made Easy (LME)
LME helps organisations to install a basic logging capability on their IT estate enabling routine end-to-end monitoring of Windows systems. Windowsシステムをエンド・ツー・エンドで日常的に監視するための基本的なログ機能をIT資産にインストールすることができます。
 Learn more about LME.  
6.Vulnerability Disclosure 6.脆弱性の公開
The NCSC is working to mature the UK's approach to vulnerability disclosure and remediation by providing the following:
+ Vulnerability Reporting Service (VRS)
+ Vulnerability Disclosure Pilot
+ Vulnerability Disclosure Toolkit
NCSCは、脆弱性の開示と修復に対する英国のアプローチを成熟させるために、以下のような取り組みを行っています。
+ 脆弱性報告サービス(VRS)
+ 脆弱性開示パイロット
+ 脆弱性開示ツールキット"
 Learn more about VRS  
 Learn more and download the toolkit.  
7.Exercise in a Box (EiaB) 7.エクササイズ・イン・ア・ボックス(EiaB)
EiaB is a toolkit of realistic scenarios that helps organisations practise and refine their response to cyber security incidents in a safe and private environment. EiaBは、現実的なシナリオで構成されたツールキットであり、組織が安全かつプライベートな環境でサイバーセキュリティインシデントへの対応を練習し、洗練させるのに役立ちます。
 Learn more about Exercise in a Box.  
8.Suspicious Email Reporting Service (SERS) 8.不審メール報告サービス (SERS)
SERS enables the public to report suspicious emails by sending them to report@phishing.gov.uk. The service analyses the emails and where found to contain links to malicious sites, seeks to remove those sites from the internet to prevent the harm from spreading.  SERSは、一般市民が不審な電子メールを report@phishing.gov.uk に送信して報告できるサービスです。このサービスでは、メールを分析し、悪意のあるサイトへのリンクが含まれていることが判明した場合には、そのサイトをインターネット上から削除し、被害の拡大を防ぎます。
 Learn more about SERS.  
9.The NCSC Takedown Service 9.NCSCテイクダウン・サービス
The NCSC Takedown Service finds malicious sites and sends notifications to the host or owner to get them removed from the internet before significant harm can be done. The NCSC centrally manages the service, so departments automatically benefit without having to sign up. NCSC Takedown Serviceは、悪意のあるサイトを発見し、ホストや所有者に通知を送ることで、重大な被害が発生する前にインターネット上から削除する。NCSCがこのサービスを一元管理しているため、各部門はサインアップしなくても自動的に恩恵を受けることができる。
 Learn more about the Takedown Service.  
10.MyNCSC 10.MyNCSC
The NCSC's digital platform that provides a single point of entry to Active Cyber Defence (ACD) and other NCSC services. アクティブ・サイバー・ディフェンス(ACD)をはじめとするNCSCのサービスへのシングル・ポイント・エントリーを提供するNCSCのデジタル・プラットフォーム。
 Learn more about MyNCSC  

 

関連記事はこちらから。。。

● NCSC - Advice & Guidance - All Topics - Active Cyber Defence

2年目はこちら...

・2019.07.16 (blog) Active Cyber Defence (ACD): The Second Year

The ACD's ecosystem of services continues to objectively and measurably make the UK safer from cyber attack.

・2019.07.16 (report) Active Cyber Defence (ACD) - The Second Year

The second report examining how the NCSC's ACD programme is improving the security of the UK public sector and the wider UK cyber ecosystem.

・2019.07.15 [PDF] Active Cyber Defence (ACD) - The Second Year

20210406-64550

 

| | Comments (0)

ニューヨーク州金融サービス局がFacebookのプライバシーに関する報告書を公表していますね。。。

こんにちは、丸山満彦です。

ニューヨーク州金融サービス局がFacebookのプライバシーに関する報告書を公表していますね。。。

ビッグデータを扱う事業者は読んでいた方が良いかもです。。。

 

New York Department of Financial Services (NYDFS)

・2021.02.18 (press) GOVERNOR CUOMO ACCEPTS REPORT FROM DFS ON FACEBOOK INVESTIGATION

Investigation Finds Facebook Did Little to Prevent Apps from Sharing Sensitive User Data

Although Facebook Has Taken Positive Steps to Remediate Problem in Response to DFS's Inquiry, Internal Controls Need Further Improvement

報告書は、

・[PDF] Report on Investigation of Facebook Inc. Data Privacy Concerns

20210220-73135


きっかけは、2019.02.22のThe Wall Street Journal紙がFacebookの少なくとも11のモバイルアプリから、機微な個人データを含む利用者データを受信していたと報じたことのようです。

● The Wall Street Journal

・2019.02.22 You Give Apps Sensitive Personal Information. Then They Tell Facebook.

Wall Street Journal testing reveals how the social-media giant collects a wide range of private data from developers; ‘This is a big mess’

Facebookなのに、金融サービス局が調査をしたのは、Facebookの子会社に金融関連子会社(Facebook Payments, Inc.)があるからですね。。。(しかし、調査をしてみると、Facebook Payments, Inc. は今回のプライバシー問題には無関係だったことがすぐにわかったみたいですが・・・)

調査をしてみると、色々と問題がやはりあったようですね。。。

簡単に翻訳して見ました。。。

・[word] Facebook Inc.の調査報告書 - データのプライバシーに関する懸念

巨大なIT企業についての規制については、目が離せないかもしれませんね。。。

 

About Facebook

* Facebookポリシー

コミュニティ基準

データに関するポリシー

プライバシー基本ガイド

Cookieおよびその他のストレージ技術

利用規約

 

wikipediaによると2020.08現在は次の通りです(円換算は105 ¥/$でしています)。多少の上下はあるものの、2021.02でもそれほど大きな変化はありません。。。(AmazonとMicrosoftが入れ替わり、ジョンソン&ジョンソンに代わりテスラが10位に入ってきている感じです。。。)

順位 企業名 国名 主な産業 10億$ 兆円
1 アップル アメリカ 電気機器 2,113 222
2 サウジアラムコ サウジアラビア 石油・ガス 1,684 177
3 マイクロソフト アメリカ 情報・通信 1,359 143
4 アマゾン・ドット・コム アメリカ 小売 1,232 129
5 アルファベット アメリカ コングロマリット 920 97
6 フェイスブック アメリカ インターネット 583 61
7 アリババグループ 中国 情報・通信 545 57
8 テンセント 中国 情報・通信 509 53
9 バークシャー・ハサウェイ アメリカ 保険 460 48
10 ジョンソン・エンド・ジョンソン アメリカ サービス 395 42

 

 

 

ちなみに、日本で一番時価総額が高いのはトヨタ自動車ですが、それでもアップルの約10分の1です。。。

 

| | Comments (0)

2021.02.20

Apple Platform Security February 2021

こんにちは、丸山満彦です。

Apple Platform Security February 2021が公表されていますね。。。

Appleがモバイル、デスクトップ、クラウドのエコシステム全体でセキュリティとプライバシーについて、どのように取り組んでいるかを説明したものです。やがて日本語になるとは思っていますが、英語版を・・・


● Apple

・2021.02.18 [PDF] Apple Platform Security February 2021

20210219-175917

 

2021年2月19日現在ですが、日本のサイトは2020年版が掲載されていますね。。。

Appleプラットフォームのセキュリティ 2020年春

  • ようこそ
  • 概要
  • ハードウェアセキュリティと生体認証
  • システムのセキュリティ
  • 暗号化とデータ保護
  • Appのセキュリティ
  • サービスのセキュリティ
  • ネットワークのセキュリティ
  • デベロッパキット
  • 安全なデバイス管理
  • Appleのセキュリティとプライバシーの認証
  • 用語集
  • 改訂履歴
  • Copyright

 

 






 

| | Comments (0)

2021.02.19

除草剤をまけば強い植物だけが生き残る

こんにちは、丸山満彦です。

除草剤をまけば強い植物だけが生き残る。

幅広く影響する規制の強化は大手クラウド事業者の寡占をさらに進める可能性があるように思います。

例えば、プライバシーに関する規制の強化は必要です。技術のシンポと共に、プライバシーに関する規制はより複雑になっていく可能性があります。複雑な規制に対応するためにはより高い技術力が求められます。そうすると、規制に適時に追従する技術を開発できる資金力、人的資源が揃ってきる企業がより生き残りやすくなります。

さまざまな観点から必要は規制をかけて、市場を適正化しようとしていった結果、気づくと生き残った企業というのは、強かった企業(例えば大手クラウド事業者等)ということになり、より寡占が進むかもしれませんね。

 

1_20210219141601

 

だからと言って、規制をするのが悪いというわけではありません。市場の外部性を緩和するための規制の導入は必要です。が、副作用があることを意識する必要があるということだと思います。

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.17 クラウドは竹 クラウド集中リスク

 

| | Comments (0)

U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

こんにちは、丸山満彦です。

日本のメディアでも報道されましたが、米国連邦政府司法省が北朝鮮軍のハッカーを起訴したというと発表しましたね。。。

● U.S. Department of Justice

・2021.02.17 Three North Korean Military Hackers Indicted in Wide-Ranging Scheme to Commit Cyberattacks and Financial Crimes Across the Globe

Indictment Expands 2018 Case that Detailed Attack on Sony Pictures and Creation of WannaCry Ransomware by Adding Two New Defendants and Recent Global Schemes to Steal Money and Cryptocurrency from Banks and Businesses while Operating in North Korea, China


”North Korea’s operatives, using keyboards rather than guns, stealing digital wallets of cryptocurrency instead of sacks of cash, are the world’s leading bank robbers.”

北朝鮮の工作員は銃ではなくキーボードを使い、現金袋の代わりに暗号通貨のデジタル財布を盗み、世界有数の銀行強盗である


これからの銀行強盗のスタイルですね。。。現金を運ぶよりもはるかに楽で、リスクも少ないですよね。。。


起訴状は、↓
指名手配書 (Wanted by FBI)は、↓
容疑は、

Cyberattacks on the Entertainment Industry: The destructive cyberattack on Sony Pictures Entertainment in November 2014 in retaliation for “The Interview,” a movie that depicted a fictional assassination of the DPRK’s leader; the December 2014 targeting of AMC Theatres, which was scheduled to show the film; and a 2015 intrusion into Mammoth Screen, which was producing a fictional series involving a British nuclear scientist taken prisoner in DPRK. エンタテインメント業界へのサイバー攻撃:2014年11月に起きた、北朝鮮の指導者暗殺を描いた架空の映画『ザ・インタビュー』への報復としてのソニー・ピクチャーズエンタテインメントへの破壊的なサイバー攻撃、2014年12月には同作の上映が予定されていたAMCシアターを標的にした事件、2015年には北朝鮮に囚われていた英国の核科学者を題材にした架空のシリーズを制作していたマンモススクリーンへの侵入事件が発生しています。
Cyber-Enabled Heists from Banks: Attempts from 2015 through 2019 to steal more than $1.2 billion from banks in Vietnam, Bangladesh, Taiwan, Mexico, Malta, and Africa by hacking the banks’ computer networks and sending fraudulent Society for Worldwide Interbank Financial Telecommunication (SWIFT) messages. サイバーを利用した銀行からの強盗:2015年から2019年にかけて、ベトナム、バングラデシュ、台湾、メキシコ、マルタ、アフリカの銀行のコンピュータネットワークをハッキングし、詐欺的なSWIFT(Society for Worldwide Interbank Financial Telecommunication)メッセージを送信することで、ベトナム、バングラデシュ、台湾、メキシコ、マルタ、アフリカの銀行から12億ドル以上を盗もうとする試みがありました。
Cyber-Enabled ATM Cash-Out Thefts: Thefts through ATM cash-out schemes – referred to by the U.S. government as “FASTCash” – including the October 2018 theft of $6.1 million from BankIslami Pakistan Limited (BankIslami). サイバーを利用したATMキャッシュアウトによる盗難:米国政府が「FASTCash」と呼ぶATMキャッシュアウトスキームを通じた窃盗事件 - 2018年10月に発生したBankIslami Pakistan Limited(BankIslami)からの610万ドルの窃盗事件を含め、米国政府が「FASTCash」と呼んでいます。
Ransomware and Cyber-Enabled Extortion: Creation of the destructive WannaCry 2.0 ransomware in May 2017, and the extortion and attempted extortion of victim companies from 2017 through 2020 involving the theft of sensitive data and deployment of other ransomware. ランサムウェアとサイバーを利用した恐喝:2017年5月に破壊的なランサムウェア「WannaCry 2.0」を作成し、2017年から2020年にかけて、機密データの窃盗やその他のランサムウェアの展開を含む被害企業への恐喝および恐喝未遂を行いました。
Creation and Deployment of Malicious Cryptocurrency Applications: Development of multiple malicious cryptocurrency applications from March 2018 through at least September 2020 – including Celas Trade Pro, WorldBit-Bot, iCryptoFx, Union Crypto Trader, Kupay Wallet, CoinGo Trade, Dorusio, CryptoNeuro Trader, and Ants2Whale – which would provide the North Korean hackers a backdoor into the victims’ computers. 悪質な暗号通貨アプリケーションの作成と展開:2018年3月から少なくとも2020年9月までに、Celas Trade Pro、WorldBit-Bot、iCryptoFx、Union Crypto Trader、Kupay Wallet、CoinGo Trade、Dorusio、CryptoNeuro Trader、Ants2Whaleを含む複数の悪質な暗号通貨アプリケーションを開発し、北朝鮮のハッカーに被害者のコンピュータへのバックドアを提供しました。
Targeting of Cryptocurrency Companies and Theft of Cryptocurrency: Targeting of hundreds of cryptocurrency companies and the theft of tens of millions of dollars’ worth of cryptocurrency, including $75 million from a Slovenian cryptocurrency company in December 2017; $24.9 million from an Indonesian cryptocurrency company in September 2018; and $11.8 million from a financial services company in New York in August 2020 in which the hackers used the malicious CryptoNeuro Trader application as a backdoor. 暗号通貨会社の標的化と暗号通貨の盗難:2017年12月にスロベニアの暗号通貨会社から7500万ドル、2018年9月にインドネシアの暗号通貨会社から2490万ドル、2020年8月にニューヨークの金融サービス会社から1180万ドルなど、数百社の暗号通貨会社を標的にし、数千万ドル分の暗号通貨が盗まれましたが、その中には、ハッカーたちが悪質なCryptoNeuro Traderアプリケーションをバックドアとして使用したものも含まれています。
Spear-Phishing Campaigns: Multiple spear-phishing campaigns from March 2016 through February 2020 that targeted employees of United States cleared defense contractors, energy companies, aerospace companies, technology companies, the U.S.Department of State, and the U.S. Department of Defense. スピアフィッシングキャンペーン:2016年3月から2020年2月にかけて、米国のクリアランスを持つ国防請負業者、エネルギー企業、航空宇宙企業、テクノロジー企業、米国国務省、米国国防総省の従業員を標的とした複数のスピアフィッシングキャンペーンが行われました。
Marine Chain Token and Initial Coin Offering: Development and marketing in 2017 and 2018 of the Marine Chain Token to enable investors to purchase fractional ownership interests in marine shipping vessels, supported by a blockchain, which would allow the DPRK to secretly obtain funds from investors, control interests in marine shipping vessels, and evade U.S. sanctions. マリンチェーン・トークンとイニシャルコインのオファリング:ブロックチェーンに支えられた海運船の端数所有権を投資家が購入できるようにする「マリンチェーン・トークン」を2017年と2018年に開発・販売することで、北朝鮮は投資家から密かに資金を得て、海運船の権益をコントロールし、米国の制裁を回避することができるようになります。

 

 

| | Comments (0)

2021.02.18

英国ICO データ分析ツールを公表

こんにちは、丸山満彦です。

英国のICOがデータ分析ツールを公表していますね。。。

ICOは個人データのデータ分析を検討している全ての組織がこの新しいツールキットに目を通すように期待しているようですね。データ分析をする場合には、プライバシー・バイ・デザインが重要となりますが、そのためのツールと考えて良いのでしょうかね。。。

ツールキットと合わせて、「AIで下された決定を説明する」ためのガイダンスと、「AIシステムで個人の権利を確保する」ためのガイダンスも紹介されていますね。。。

U.K. Information Commissioner's Office (ICO) 

・2021.02.17 (news) ICO launches data analytics toolkit

 

ツールキットはこちら、

Toolkit for organisations considering using data analytics

 ・・Which legal framework will my organisation be processing under?

 この後は、組織のタイプと、個人データを処理する理由に応じてそれに応じたツールキットでチェックできるようですね。。。

これで法的適合性を完全に保証するわけではないですが、大きなポイントを見逃さないという意味では良いでしょうね。企業側もこのツールキットで確認をしながら進めることができれば、手戻りも少なそうですし。。。

 

関連するガイダンスはです。。。

Explaining decisions made with AI     

How do we ensure individual rights in our AI systems?

 


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.20 UK ICO 雇用決定にアルゴリズムを使用する際に考慮すべき6つのこと

 

 

| | Comments (0)

デンマーク - データ保護局 Cookieを使用するためのクイックガイド

こんにちは、丸山満彦です。

デンマークのデータ保護局 (Datatilsynet) は、ビジネス省 (Erhvervsstyrelsen)デジタルセキュリティ評議会 (Radet for Digital Sikkerhed) とともに、Cookieの使用に関するクイックガイドを公表していますね。デンマーク語ですが・・・

● Denmark: Datatilsynet

・2021.02.12 Ny Quickguide til brugen af cookies(Cookieを使用するための新しいクイックガイド)

Rådet for Digital Sikkerhed, Erhvervsstyrelsen og Datatilsynet udgiver nu sammen en Quickguide til brugen af cookies. Quickguiden kan bruges som tjekliste til organisationer, som sætter cookies, eller som skal have dialog med deres samarbejdspartnere om betingelserne for at der sættes cookies.

・[PDFQuick-guide til at sætte cookies

 

■参考

Erhvervsstyrelsen

Cookie大統領令

 

111111

 

日本語に訳してみました・・・

↓↓↓↓↓↓↓↓↓↓↓

Continue reading "デンマーク - データ保護局 Cookieを使用するためのクイックガイド"

| | Comments (0)

2021.02.17

ENISA Remote ID Proofing(ヨーロッパ諸国の遠隔身元証明の現状)

こんにちは、丸山満彦です。

ENISAがヨーロッパ諸国の遠隔身元証明の現状をまとめた報告書、"Remote ID Proofing"を公表していますね。。。

eIDASをサポートする報告書という感じですかね。。。

● ENISA

・2021.02.16 (publication) Remote ID Proofing

・[PDF] REMOTE ID PROOFING - Analysis of Methods to carry out identity proofing remotely

20210217-113145

 

目次

1. INTRODUCTION 1. 序論
2. IDENTITY PROOFING METHODS 2. ID証明方法
2.1 IDENTITY PROOFING PROCESS 2.1 ID証明プロセス
2.2 GENERAL METHODS DESCRIPTION 2.2 一般的な方法の説明
2.3 CURRENT PRACTICE 2.3 現在の実務
3. LEGAL LANDSCAPE & STANDARDS 3. 法的なランドスケープと基準
3.1 OVERVIEW 3.1 概要
3.2 LEGISLATION AT THE INTERNATIONAL AND EU LEVEL 3.2 国際・EUレベルでの法制化
3.3 STANDARDIZATION AT THE INTERNATIONAL AND EU LEVEL 3.3 国際・EUレベルでの標準化
3.4 NATIONAL LEVEL LAWS, REGULATIONS AND GUIDELINES 3.4 各国レベルの法律、規制及びガイドライン
3.5 DATA PROTECTION 3.5 データ保護
3.6 SELF-SOVEREIGN SYSTEMS 3.6 自己防衛システム
4. RISK MANAGEMENT 4. リスク管理
4.1 INTRODUCTION 4.1 はじめに
4.2 RISK IDENTIFICATION 4.2 リスクの特定
4.3 RISK BASED SECURITY 4.3 リスクベースのセキュリティ
5. GAPS AND RECOMMENDATIONS 5. ギャップと推奨事項
5.1 OVERVIEW 5.1 概要
5.2 IDENTIFIED GAPS 5.2 識別されたギャップ
5.3 RECOMMENDATIONS 5.3 推奨事項
6. BIBLIOGRAPHY/REFERENCES 6. 参考/参照文献
A  ANNEX: DETAILED SITUATION IN DIFFERENT EU MEMBER STATES 附属書A:EU加盟国別の詳細な状況
B  ANNEX: THREATS AND VULNERABILITIES 附属書B:脅威と脆弱性
C  ANNEX: SECURITY CONTROLS 附属書C:セキュリティ管理

 

■ 参考 - eIDASについて

● EUR - Lex

・[HTML] [PDFRegulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC

 

Exective Summary

↓↓↓↓↓↓↓↓↓↓↓

Continue reading "ENISA Remote ID Proofing(ヨーロッパ諸国の遠隔身元証明の現状)"

| | Comments (0)

英国 デジタルID・属性のフレームワーク案の意見募集

こんにちは、丸山満彦です。

英国がデジタルID・属性のフレームワーク案の意見募集をしていますね。。。

U.K. Government

・2021.02.11 (Press) Government sets out new plans to help build trust in use of digital identities

The government has today published its draft rules of the road for governing the future use of digital identities.

・2021.02.11 (Policy paper)  The UK digital identity and attributes trust framework

The government is inviting feedback on new requirements for organisations wanting to provide or consume digital identity products and services.

本文がこれです↓

・2021.02.11 The UK digital identity and attributes trust framework

使うシーンの例示がわかりやすいです。。。

 

Ministerial foreword 大臣による序文
Background and context 背景と文脈
1.Introduction 1. 前書き
2.Rules for identity service providers 2. IDサービス提供者のルール
3.Rules for attribute service providers 3. 属性サービス提供者のルール
4.Rules for orchestration service providers and relying parties 4. オーケストレーションサービス提供者とそれに依拠する組織のルール
5.Rules for all trust framework participants 5. トラストフレームワーク参加者全員のルール
Glossary of terms and definitions 用語集と定義

 

| | Comments (0)

クラウドは竹 クラウド集中リスク

こんにちは、丸山満彦です。

いきなり竹です(^^)

竹はイネ科の植物で、日本には150種とも600種とも言われる竹が自生しています[wikipedia]。竹は日本では様々なところで竹細工として使われていますね。また、京都の嵯峨野の竹林は観光でも有名です。旬の朝掘りのタケノコはとても美味しいですね。。。

これほど身近な竹ですが、実は生態はよくわかっていません。例えば、開花。イネは毎年秋に開花しますが、竹は60年から120年に一度花をつけるようだ、というレベルでしかわかっていません。そして、一斉開花すると竹は枯れてしまいます。最近では部分開花をすることもあることが観察されています。

さて、そんな竹の性質と最近流行りのクラウドサービスの共通性を早期に見越して「クラウドは竹」ということを今から10年以上前にいったのが、明治大学の夏井先生です。まさにその通りだと私も思っています。

杉林はそれぞれが独立した木です。一本の木が枯れても他の木が枯れるとは限りません(もちろん、病気により一斉に杉林が枯れることはあります)。一方、竹は地面からニョキニョキ生えてきていますが、竹林と思っていも地下茎で繋がった一つの生命体という場合があります。なので、竹が枯れると、竹林全体が枯れるということになります。

11_20210217103601

 

AWSの上で色々なサービスが立ち上がっているという状況は、AWSという地下茎で繋がった竹林から色々なサービスが個々の竹のようにニョキニョキ伸びているのと同じですよね。AWSが倒れるとその上に立っているサービスは倒れてしまいます。

最近私が気にしているのがこのポイントです。社会全体から見ると「クラウド集中リスク」とでも呼べば良いのでしょうかね。。。

個々の企業や政府機関が効率を目指すとクラウドサービスの利用が進むことになる。さらにクラウドサービス同士もより効率の高いサービスに収斂していくようになり、最終的には片手くらいのクラウドサービス事業者の上で社会の多くのサービスが動いている状況になるのではないかと思います。

金融機関のリスク管理、例えば信用リスクの管理では特定の企業に偏った貸付をしていると、その企業がこけた時の影響が大きくなるので、それを管理することが求められます。信用集中リスクの管理、つまり、集中と分散を適度に保つということが求められます。

いつかどこかで、「クラウド集中リスク」を社会全体のリスクとして議論をしていく必要があるのかもしれませんね。。。

「クラウドは竹」

これは意識しておいた方が良いかもですね。。。

 

78975379_2384445371807705_37973354929790

京都 地蔵院のFacebook 2019.12.04から


農林水産省 - Aff

・2013.01号 特集1  竹のおはなし

 

私の高校、大学の同級生の藤井康代教授(京都先端大学)が学生時代、竹の研究をしていましたね。。。

■ 京都先端大学 - 藤井康代教授

・1991.12.20 [PDF] Distribution of Esterified Phenolic Acids in Cell Walls of Immature Bamboo(幼竹細抱盤におけるフェノール酸エステルの分布)



| | Comments (0)

2021.02.16

欧州委員会 健康データとGDPRに関する加盟国の規則についての調査結果を公開

こんにちは、丸山満彦です。

欧州委員会が健康データとGDPRに関する加盟国の規則についての調査結果を公開していますね。。。

European Commission - Health and Food Safety Directorate General

・2021.02.12 (news letter) Public Health - Commission publishes study on Assessment of the EU Member States’ rules on health data in the light of GDPR

[PDF] Assessment of the EU Member States’ rules on health data in the light of GDPR

20210216-111141 

・[PDF] Country fiches for all EU MS - Annex to the study ‘Assessment of the EU Member States’ rules on health data in the light of GDPR’

20210216-111124

 

これは大作...

 

目次です。。。専門用語に詳しくないので訳は参考程度で(^^;;

 

EXECUTIVE SUMMARY エグゼクティブ・サマリー
1. INTRODUCTION 1. 序論
1.1. Data for sustainable health care 1.1. 持続可能なヘルスケアのためのデータ
1.2. Context 1.2. コンテキスト
1.3. Scope of the study 1.3. 研究の範囲
1.3.1. GDPR as starting point 1.3.1. GDPRを出発点に
1.3.2. Types of health data use 1.3.2. 健康データ利用の種類
1.3.3. Legal aspects of different types of data 1.3.3. 異なるタイプのデータの法的側面
1.3.4. Reading guidance 1.3.4. 読み進め方
2. METHODOLOGY 2. 方法論
2.1. Introduction 2.1. はじめに
2.2. Literature review 2.2. 文献レビュー
2.3. Mapping and legal analysis at national level 2.3. 国家レベルでのマッピングと法的分析
2.4. In-depth case studies of governance models 2.4. ガバナンスモデルの詳細な事例研究
2.5. Workshops 2.5. ワークショップ
2.6. Stakeholder survey 2.6. ステークホルダー調査
2.6.1. Types of stakeholders approached 2.6.1. アプローチしたステークホルダーの種類
2.7. Guidance on how to read and interpret this report 2.7. 本報告書の読み方と解釈の手引き
3. LEGAL FRAMEWORK FOR PATIENT CARE 3. 患者ケアのための法的枠組み
3.1. Introduction 3.1. はじめに
3.1.2 The legal base for data processing for Function 1 3.1.2 機能1のデータ処理の法的根拠
3.1.3 Choosing legal bases 3.1.3 法的根拠の選択
3.2. Legal bases used to legitimate processing of health data for Function 1- care provision 3.2. 機能1-ケア提供のための健康データの正当な処理に使用される法的根拠
3.2.1. Health data processing by the data controller who is intending to provide care 3.2.1. ケアを提供しようとするデータ管理者による健康データ処理
3.2.2. Sharing health data for the purposes of providing care to the data subject 3.2.2. データ対象者にケアを提供するための健康データの共有
3.3. Data processing in the context of the use of digital health solutions 3.3. デジタルヘルスソリューションの利用に伴うデータ処理
3.4. Practical and organisational aspects of data use for care provision 3.4. ケア提供のためのデータ利用の実践的・組織的側面
3.5. Interoperability, security and data quality in the context of care provision 3.5. ケア提供の文脈における相互運用性、セキュリティ、データの品質
3.6. Concluding remarks 3.6. おわりに
4. FRAMEWORK FOR SECONDARY USE OF HEALTH DATA FOR PUBLIC HEALTH PURPOSES 4. 公衆衛生上の目的のための健康データの二次利用のための枠組み
4.1. Introduction 4.1. はじめに
4.2. Management of the health care system 4.2. 健康管理システムの管理
4.2.1. Health data sharing with public bodies 4.2.1. 公的機関との健康データの共有
4.2.2. Health data sharing with insurers 4.2.2. 保険者との健康データの共有
4.3. Market approval of medicines and devices 4.3. 医薬品・デバイスの市場承認
4.4. Pharmacovigilance and medical device safety monitoring 4.4. ファーマコビジランスと医療機器の安全性モニタリング
4.5. Public health threats 4.5. 公衆衛生上の脅威
4.6. Disease registries 4.6. 疾患登録
4.7. Stakeholder views concerning processing of health data for public health purposes 4.7. 公衆衛生目的のための健康データの処理に関する利害関係者の意見
4.8. Concluding remarks 4.8. おわりに
5. SECONDARY USE OF HEALTH DATA FOR SCIENTIFIC OR HISTORICAL RESEARCH 5. 科学的または時系列的研究のための健康データの二次利用
5.1. Introduction: defining function 3 and the legal basis for secondary use of health data for scientific research 5.1. はじめに:機能3の定義と科学研究のための健康データの二次利用の法的根拠
5.1.1. Legal basis for processing -function 3- research 5.1.1. 処理の法的根拠 -機能 3 調査
5.1.2. Lawful bases and safeguards 5.1.2. 合法的なベースとセーフガード
5.2. Survey findings: legal bases used to legitimate processing of health data for Function 3 - Research 5.2. 調査結果:機能3のための健康データの正当な処理に使用される法的根拠 - 調査
5.2.1. Introduction to findings 5.2.1. 所見の紹介
5.2.2. Findings - sectoral legislation or authoritative guidance further specifying the application of article 9(2)(j) in the context of health research 5.2.2. 所見 - 健康研究の文脈における第 9 条(2)項(j)の適用をさらに規定したセクター別の立法又は権威あるガイダンス。
5.2.3. Findings - specific legislation and legal bases used for research by third-party researchers in public and non-public organisations 5.2.3. 調査結果 - 公的機関および非公的機関における第三者研究者による研究に用いられる具体的な法律と法的根拠
5.2.4. Specific legislation and legal bases used for research on genetic data 5.2.4. 5.2.4. 遺伝子データに関する研究に用いられる具体的な法律と法的根拠
5.3. Consent 5.3. 同意
5.4. Stakeholder views concerning processing personal data for research purposes 5.4. 研究目的のための個人データの処理に関する利害関係者の意見
5.5. Concluding remarks 5.5. おわりに
6. DATA SUBJECTS’ RIGHTS 6. データ対象者の権利
6.1. Introduction 6.1. はじめに
6.2. Survey finding on patients’ and data subjects’ rights with respect to health-related data 6.2. 健康関連データに関する患者およびデータ対象者の権利に関する調査結果
6.2.1. Transparency and information 6.2.1. 透明性と情報
6.2.2. Access, rectification and erasure 6.2.2. アクセス、整流、消去
6.2.3. Data Portability 6.2.3. データのポータビリティ
6.3. Concluding remarks 6.3. おわりに
7. DATA GOVERNANCE STRATEGIES AND BODIES 7. データガバナンスの戦略と機関
7.1. Regulatory mechanisms which address the use of health data for research purposes 7.1. 研究目的のための健康データの使用に対処する規制メカニズム
7.1.1. Main types of application procedures for data access 7.1.1. データアクセスのための主な適用手順の種類
7.1.2. Access to data where no centralised national system exists 7.1.2. 国の中央集権システムが存在しない場合のデータへのアクセス
7.2. Access to data where some form of centralised national system exists 7.2. ある種の中央集権的な国家システムが存在する場合のデータへのアクセス
7.2.1. Main characteristics of data access bodies 7.2.1. データアクセス機関の主な特徴
7.3. Key characteristics of data access bodies 7.3. データアクセス機関の主な特徴
7.3.1. Detailed description of the components of Table 7.2 7.3.1. 表7.2の構成要素の詳細な説明
7.3.2. Data Access, including anonymisation and/or pseudonymisatio 7.3.2. 匿名化及び/又は仮名化を含むデータアクセス
7.4. Data altruism 7.4. データ利他主義
7.4.1. What the literature says 7.4.1. 文献に書かれていること
7.4.2. What is taking place in Member States? 7.4.2. 加盟国では何が行われているのか?
7.4.3. What the future may bring 7.4.3. 未来がもたらすかもしれないもの
7.5. Stakeholders views 7.5. 利害関係者の意見
7.6. Concluding remarks 7.6. おわりに
7.7. Within-chapter annex: detailed description of case studies 7.7. 付録:ケーススタディの詳細説明
8. POTENTIAL ACTIONS AT EU LEVEL 8. EU レベルでの潜在的なアクション
8.1. Introduction 8.1. はじめに
8.1.1. An EU level Code of Conduct 8.1.1. EU レベルの行動規範
8.1.2. New sector specific EU level law 8.1.2. 新たな分野別EUレベルの法律
8.1.3. Non-legislative measures including guidance and policy actions 8.1.3. ガイダンスや政策行動を含む非立法的措置
8.2. Exploring Support for Action at EU Level 8.2. EUレベルでの行動支援を探る
8.2.1. Anonymisation and pseudonymisation 8.2.1. 匿名化と仮名化
8.2.2. Security 8.2.2. セキュリティ
8.2.3. Data quality and minimal data sets 8.2.3. データ品質と最小データセット
8.2.4. Interoperability 8.2.4. 相互運用性
8.3. Views on a Code of Conduct 8.3. 行動規範に対する考え方
8.4. Views on future legislation 8.4. 今後の法制化についての見解
8.5. Addressing the practical needs of a European Health Data Space 8.5. 欧州の健康データ空間の実用的なニーズへの対応
8.6. Conclusions and next steps 8.6. 結論と次のステップ
REFERENCES 参考文献
ANNEX 1 TABLES LEGAL AND TECHNICAL SURVEY PER MEMBER STATE 別紙1 加盟国別の法律・技術調査表
ANNEX 2 RESULTS STAKEHOLDER ANALYSIS PER TYPE OF RESPONDENT 別紙2 回答者のタイプ別に見たステークホルダー分析の結果
ANNEX 3 LEGAL AND PRACTICAL SURVEY FOR COUNTRY CORRESPONDENTS 別添3 国別報告者のための法的・実務調査
ANNEX 4 EXPERT AND STAKEHOLDER SURVEY 別添4 エキスパート・ステークホルダー調査
ANNEX 5 ADDITIONAL LEGAL SURVEY 別紙5 追加の法的調査 

 

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.07 EDPB 健康研究を中心としたGDPRの一貫した適用に関する欧州委員会からの明確化要請に対する回答


| | Comments (0)

ニューヨーク州金融サービス局(NYDFS)サイバー保険リスクフレームワーク (保険通達2021年第2号)at 2021.02.04

こんにちは、丸山満彦です。

ニューヨーク州金融サービス局(NYDFS)サイバー保険リスクフレームワーク保険通達2021年第2号)を2021.02.04に公表していました。。。

New York Department of Financial Services (NYDFS)

・2021.02.04 Insurance Circular Letter No. 2 (2021) Cyber Insurance Risk Framework

サイバー保険リスクフレームワークは7つの実践?からなっていますね。。。

 

原文 仮訳
1. Establish a Formal Cyber Insurance Risk Strategy 1. 正式なサイバー保険リスク戦略の策定
Insurers that offer cyber insurance should have a formal strategy for measuring cyber insurance risk that is directed and approved by senior management and the board of directors, or the governing body if there is no board.[16]  The strategy should include clear qualitative and quantitative goals for risk, and progress against those goals should be reported to senior management and the board, or the governing body if there is no board, on a regular basis.  The strategy should incorporate the six key practices identified below. サイバー保険を提供する保険会社は、サイバー保険リスクを測定するための正式な戦略を持つべきである。 この戦略には、リスクの質的・量的な目標が明確に含まれているべきであり、目標に対する進捗状況は、定期的に上級管理職と取締役会、取締役会がない場合は運営機関に報告されるべきである。 戦略には、以下の6つの重要な実践方法を組み込むべきである。
2. Manage and Eliminate Exposure to Silent Cyber Insurance Risk 2. サイレントサイバー保険リスクの管理と排除
Insurers that offer cyber insurance should determine whether they are exposed to silent or non-affirmative cyber insurance risk, which is risk that an insurer must cover loss from a cyber incident under a policy that does not explicitly mention cyber.  Even property/casualty insurers that do not explicitly offer cyber insurance should evaluate their exposure to silent risk and take appropriate steps to reduce their exposure.  Silent risk can be found in a variety of combined coverage policies and stand-alone non-cyber policies, including errors and omissions, burglary and theft, general liability and product liability insurance. Cyber risk likely has not been quantified or priced into these policies, which exposes insurers to unexpected losses. サイバー保険を提供している保険会社は、サイレントリスクとは、明示的にはサイバーに言及していない保険契約の下で、保険会社がサイバー事故による損失をカバーしなければならないリスクである。 サイバー保険を明示的に提供していない損害保険会社であっても、サイレントリスクのエクスポージャーを評価し、エクスポージャーを低減するための適切な措置を講じるべきである。 サイレントリスクは、過失傷害、強盗・盗難、損害賠償責任保険、製造物責任保険など、さまざまな複合保険や単独のサイバー保険以外の保険に見られる。 サイバーリスクは、これらの保険には定量化されておらず、価格設定されていない可能性が高いため、保険会社は予期せぬ損失にさらされている。
Ultimately, insurers should eliminate silent risk by making clear in any policy that could be subject to a cyber claim whether that policy provides or excludes coverage for cyber-related losses. Elimination of this risk will take some time, given the many existing policies that can contain silent cyber risk.  Insurers should therefore also take steps to mitigate existing silent risk, such as by purchasing reinsurance. 最終的には、保険者はサイバークレームの対象となる可能性のある保険契約において、その保険契約がサイバー関連損害に対する補償を提供しているか否かを明確にすることで、サイレントリスクを排除すべきである。サイレントサイバーリスクを封じ込めることができる既存の保険が多数存在することを考えると、このリスクを排除するには時間がかかるだろう。 そのため、保険者は再保険を購入するなど、既存のサイレントリスクを軽減するための対策を講じるべきである。
3. Evaluate Systemic Risk 3. システミック・リスクの評価
As part of their cyber insurance risk strategy, insurers that offer cyber insurance should regularly evaluate systemic risk and plan for potential losses. Systemic risk has grown in part because institutions increasingly rely on third party vendors and those vendors are highly concentrated in key areas like cloud services and managed services providers.  Insurers should understand the critical third parties used by their insureds and model the effect of a catastrophic cyber event on such critical third parties that may cause simultaneous losses to many of their insureds.  Examples of such events could include a self-propagating malware, such as NotPetya, or a supply chain attack, such as the SolarWinds trojan, that infects many institutions at the same time, or a cyber event that disables a major cloud services provider.  A catastrophic cyber event could inflict tremendous losses on insurers that may jeopardize their financial solvency. サイバー保険のリスク戦略の一環として、サイバー保険を提供する保険会社は、システミックリスクを定期的に評価し、潜在的な損失に備えた計画を立てる必要があります。システミックリスクが拡大しているのは、金融機関がサードパーティのベンダーに依存するケースが増えていることと、それらのベンダーがクラウドサービスやマネージドサービスプロバイダーなどの重要な分野に集中していることが一因である。 保険会社は、被保険者が利用している重要なサードパーティを理解し、多くの被保険者に同時に損害をもたらす可能性のある重要なサードパーティに対する破局的なサイバー事象の影響をモデル化しなければならない。 このような事象の例としては、NotPetya のような自己増殖型のマルウェアや、SolarWinds トロイの木馬のようなサプライチェーン攻撃が多くの機関に同時に感染したり、大手クラウド・サービス・プロバイダを不能にするサイバー事象などが考えられる。 壊滅的なサイバーイベントは、保険会社に莫大な損失をもたらし、保険会社の財政的な支払能力を危うくする可能性がある。
Insurers also should conduct internal cybersecurity stress tests based on unlikely but realistic catastrophic cyber events.  Accurate stress testing requires accounting for both silent and affirmative risk.  Moreover, because exposure to catastrophic cyber events varies across business industries and by type and size of the insured, insurers should track the impact of stress test scenarios across the different kinds of insurance policies they offer as well as across the different industries of their insureds.  The cyber insurance risk strategy should account for possible losses identified in stress tests. また、保険会社は、起こりそうもないが現実的な破局的なサイバー事象に基づいて、内部的なサイ バーセキュリティのストレステストを実施すべきである。 正確なストレステストには、サイレントリスクとアファメーションリスクの両方を考慮する必要がある。 さらに、壊滅的なサイバー事象へのエクスポージャーは、業種や被保険者の種類や規模によって異なるため、保険会社は、提供する保険契約の種類や被保険者の業種の違いに応じて、ストレステストシナリオの影響を追跡する必要がある。 サイバー保険のリスク戦略は、ストレステストで特定される可能性のある損失を考慮しなければならない。
4. Rigorously Measure Insured Risk 4. 保険リスクの厳格な測定
Insurers that offer cyber insurance should have a data-driven, comprehensive plan for assessing the cyber risk of each insured and potential insured.  This commonly starts with gathering information regarding the institution’s cybersecurity program through surveys and interviews on topics including corporate governance and controls, vulnerability management, access controls, encryption, endpoint monitoring, boundary defenses, incident response planning and third-party security policies.  The information should be detailed enough for the insurer to make a rigorous assessment of potential gaps and vulnerabilities in the insured’s cybersecurity.  Third-party sources, such as external cyber risk evaluations, are also a valuable source of information.  This information should be compared with analysis of past claims data to identify the risk associated with specific gaps in cybersecurity controls. サイバー保険を提供する保険者は、各被保険者および潜在的な被保険者のサイバーリスクを評価するために、データに基づいた包括的な計画を策定しなければならない。 これは一般的に、企業統治と統制、脆弱性管理、アクセス制御、暗号化、エンドポイント監視、境界防御、インシデント対応計画、サードパーティのセキュリティポリシーなどのトピックについての調査やインタビューを通じて、その機関のサイバーセキュリティプログラムに関する情報を収集することから始まる。 これらの情報は、保険者が被保険者のサイバーセキュリティにおける潜在的なギャップや脆弱性を厳密に評価するのに十分な詳細なものでなければならない。 外部のサイバーリスク評価などの第三者の情報源も貴重な情報源である。 これらの情報は、過去の保険金請求データの分析と比較して、サイバーセキュリティ対策の特定のギャップに関連するリスクを特定すべきである。
5. Educate Insureds and Insurance Producers 5. 被保険者と保険生産者の教育
Insurers that offer cyber insurance have an important role to play in educating their insureds about cybersecurity and reducing the risk of cyber incidents.  Insurers should strive to offer more comprehensive information about the value of cybersecurity measures and facilitate the adoption of those measures.  Insurers should also incentivize the adoption of better cybersecurity measures by pricing policies based on the effectiveness of each insured’s cybersecurity program. サイバー保険を提供する保険者は、被保険者にサイバーセキュリティについて教育し、サイバーインシデントのリスクを軽減する上で重要な役割を担っている。 保険者は、サイバーセキュリティ対策の価値についてより包括的な情報を提供し、それらの対策の採用を促進するよう努力すべきである。 また、保険者は、各被保険者のサイバーセキュリティ・プログラムの有効性に基づいて保険料を設定することで、より優れたサイバーセキュリティ対策の採用を奨励すべきである。
Several leading insurers already offer their insureds guidance, discounted access to cybersecurity services, and even cybersecurity assessments and recommendations for improvement. We commend these initiatives, and insurers should continue to expand the type, scope and reach of such offerings. すでにいくつかの大手保険会社は、被保険者にガイダンス、サイバーセキュリティサービスへの割引アクセス、さらにはサイバーセキュリティ評価や改善のための推奨事項まで提供している。 我々はこれらの取り組みを称賛するとともに、保険会社はこのような提供の種類、範囲、範囲を拡大し続けるべきである。
Insurers should also encourage and assist with the education of insurance producers who should have a better understanding of potential cyber exposures, types and scope of cyber coverage offered, and monetary limits in cyber insurance policies. Ensuring that the need for, benefits of, and limitations to cyber insurance are well understood and conveyed to insureds and potential insureds will facilitate the growth of a robust cyber insurance market. 保険者はまた、潜在的なサイバー・エクスポージャ、提供されるサイバー保険の種類と範囲、サイバー保険の金額限度額をよりよく理解しておくべき保険会社の教育を奨励し、支援すべきである。 サイバー保険の必要性、メリット、制限が十分に理解され、被保険者や潜在的な被保険者に伝えられるようにすることは、強固なサイバー保険市場の成長を促進することになるだろう。
6. Obtain Cybersecurity Expertise 6. サイバーセキュリティの専門知識を得る
Insurers that offer cyber insurance need appropriate expertise to properly understand and evaluate cyber risk.  Insurers should recruit employees with cybersecurity experience and skills and commit to their training and development, supplemented as necessary with consultants or vendors. サイバー保険を提供する保険会社は、サイバーリスクを適切に理解し、評価するための適切な専門知識を必要とする。 保険者は、サイバーセキュリティの経験とスキルを持つ従業員を採用し、必要に応じてコンサルタントやベンダーを利用して補完しながら、彼らのトレーニングと開発に取り組むべきである。
7. Require Notice to Law Enforcement 7. 法執行機関への通知を義務付ける
Cyber insurance policies should include a requirement that victims notify law enforcement.  Some insurers that offer cyber insurance already engage in this best practice.  Notice to law enforcement may be beneficial both to the victim-insured and the public. Law enforcement often has valuable information that may not be available to private sources and can help victims of a cyber incident.  Law enforcement can help recover data and funds that were lost.  For instance, when funds are stolen through a business email compromise, law enforcement can sometimes block or reverse wire transfers if alerted of the incident promptly.  Notice to law enforcement also can enhance a victim’s reputation when its response to a cyber incident is evaluated by its shareholders, regulators, and the public.  Finally, information received by law enforcement can be used to prosecute the attackers, warn others of existing cybersecurity threats, and deter future cybercrime. サイバー保険には、被害者が法執行機関に通知することを義務付けるべきである。 サイバー保険を提供する保険会社の中には、すでにこのベストプラクティスを実施しているところもある。 法執行機関への通知は、被害者と被保険者の双方にとって有益な場合がある。 法執行機関は、民間の情報源では入手できない貴重な情報を持っていることが多く、サイバー事件の被害者を支援することができる。 法執行機関は、失われたデータや資金の回収を支援することができる。 例えば、企業の電子メールの漏洩によって資金が盗まれた場合、法執行機関は、事件が発生したことを速やかに通知すれば、電信送金をブロックしたり、逆送金したりすることができる場合がある。 また、法執行機関への通知は、サイバー事件への対応が株主、規制当局、および一般の人々に評価される際に、被害者の評判を高めることにもなる。 最後に、法執行機関が受け取った情報は、攻撃者を訴追し、既存のサイバーセキュリティの脅威を他の人に警告し、将来のサイバー犯罪を抑止するために使用することができる。

 

| | Comments (0)

Clubhouseの音声データは中国に流れているのか?

こんにちは、丸山満彦です。

急速に日本でもユーザ数を増やしているAlpha Exploration社のaudio-chat social networking application のClubhouseですが、その音声データが中国本土のサーバを経由している可能性があるとして、話題になりましたね。

● Stanford Internet Observatory Cyber Policy Center - blog

・2021.02.12 Clubhouse in China: Is the data safe?

● REUTERS

・2021.02.13 Clubhouse says reviewing data protection practices after report points to flaws by 

SHANGHAI (Reuters) - U.S. audio app Clubhouse said it is reviewing its data protection practices, after a report by the Stanford Internet Observatory said it contained security flaws that left users’ data vulnerable to access by the Chinese government.

.....

“Over the next 72 hours, we are rolling out changes to add additional encryption and blocks to prevent Clubhouse clients from ever transmitting pings to Chinese servers. We also plan to engage an external data security firm to review and validate these changes.”

その後、中国本土を通らないように設定を変更し、外部専門家に確認をしてもらうということになっているのですが、現在はどうなっているのでしょうかね。。。

音声は録音されているようですので、ちょっとした管理人付き談話室、管理人付き討論会場、管理人付きミニ放送局といった感じになるんでしょうかね。。。プライバシーの問題や、犯罪防止に関する問題もこれから出てくるかもしれませんね。。。

 

ちなみにこの発表より前に中国本土ではアクセスできないようになっています。

● AU ABC News 

・2021.02.10 China bans Clubhouse app as thousands share stories about Xinjiang and Tiananmen Square by Bang Xiao

● BBC

・2021.02.10 Clubhouse discussion app knocked offline in China

 


● Clubhouse [wiki]

Blog

Guidelines

Privacy

Terms



| | Comments (0)

IPA 2018年10月に発刊されたAI白書2019のPDF版を公開

こんにちは、丸山満彦です。

IPAが2018年10月に発刊されたAI白書2019のPDF版を公開しましたね。。。(紙3,600円・電子媒体2,800円の)書籍による提供だったのがPDF無料ということですかね。。。

3年前の情報ということになりますね。。。

3年前の情報であっても陳腐化していない部分も相当あると思います。また、3年前の答え合わせ的に読むというのもありですね。。。意地悪な見方というよりも、どの分野が想定外に伸びたか、伸びなかったか、ということをみてその原因等を考えるといった感じです。。。

あっ、私は電子書籍版をAmazonで買っていました(斜め読みくらいはしています...(^^;;)

 

● IPA

・2021.02.15 「AI白書2019」PDF版を公開

AI白書2019 ~企業を変えるAI 世界と日本の選択~

[PDF]

 

| | Comments (0)

2021.02.15

総務省 「テレワークセキュリティガイドライン(第5版)」(案)に対する意見募集

こんにちは、丸山満彦です。

総務省が、「テレワークセキュリティガイドライン(第5版)」(案)に対する意見募集をしていますね。。。

初版は2004年ですから、17年になりますかね。。。すごい歴史です。。。第4版は2018年4月なので、前版から3年。。。

今回の改訂は


【テレワーク環境・セキュリティ動向の変化】

  • テレワークは「一部の従業員」が利用するものから、Web会議を含め、一般的な業務・勤務形態に
  • クラウドサービスの普及やスマートフォン等の活用が進むなど、システム構成や利用形態が多様化
  • 標的型攻撃等の高度な攻撃が増え、従来型のセキュリティ対策では十分対応できない状況も発生

を受けた、改定のポイントは


【ガイドライン改定の主要なポイント】

  • テレワーク方式を再整理した上で、テレワークによって実現する業務の内容や、セキュリティ統制の容易性等から、適した方式を選定するフローチャートを掲載。
  • 経営者・システム管理者・勤務者の立場それぞれにおける役割を明確化。
  • 執るべきセキュリティ対策の分類や内容を全面的に見直し
  • テレワークセキュリティに関連するトラブルについて、具体的事例を含め全面見直し
    (事例紹介のほか、セキュリティ上留意すべき点や、採るべき対策についても明示)

ということのようですね。。。

● 総務省

・2021.02.15 「テレワークセキュリティガイドライン(第5版)」(案)に対する意見募集

・概要 [PDF] 別添1

改定案 [PDF] 別添2

 

 

ガイドラインの構成、目次

↓↓↓↓↓↓↓↓↓↓

Continue reading "総務省 「テレワークセキュリティガイドライン(第5版)」(案)に対する意見募集"

| | Comments (0)

経済産業省の「我が国のAIガバナンスの在り方 ver. 1.0(中間報告書)」に対する経団連等の意見

こんにちは、丸山満彦です。

経済産業省が2021.01.15に「我が国のAIガバナンスの在り方 ver. 1.0」のパブコメを2021.02.13まで募集していました(なので、終了しています。。。)が、経団連等が意見を提出していますね。。。

● 経済産業省

・2021.01.15 (news) 「我が国のAIガバナンスの在り方 ver. 1.0(AI社会実装アーキテクチャー検討会 中間報告書)」の意見公募手続(パブリックコメント)を開始しました


1.経緯・背景

人間中心のAIの開発・利用を実現するため、2019年にはOECDのAI原則やG20 AI原則のとりまとめが行われ、日本においても、「人間中心のAI社会原則」が取りまとめられました。これらの原則に基づき、AIを構成要素として含むAIシステム、AIシステムの機能を提供するAIサービス、その他付随的サービス、及び、これらを開発、利用、提供する者に関するガバナンスのあり方が、国内外で議論されています。これを受けて、国内ではAI戦略2019フォローアップや統合イノベーション戦略2020において、AI社会原則の実現に向けたAIガバナンスの在り方を検討することが盛り込まれ、国際的にも、2020年6月に設立されたAIに関するグローパル・パートナーシップ(GPAI)において、OECDのAI原則の実装に向けた検討がなされています。

上記の動きを踏まえ、経済産業省では、本年6月から、AIを利活用している企業・利用者・技術者・アカデミア・法律や監査の専門家に御参加いただき、「AI社会実装アーキテクチャー検討会」を開催しています。本検討会では、AIの社会実装を進めるために、AIガバナンスの在り方について、企業実務の観点から検討を行っているところです。

今般、本検討会にて「我が国のAIガバナンスの在り方 ver. 1.0(AI社会実装アーキテクチャー検討会 中間報告書)」を、取りまとめました。


 

● 一般社団法人 日本経済団体連合

・2021.02.12 AI社会実装アーキテクチャー検討会 中間報告書 「我が国のAIガバナンスの在り方 ver.1.0」に対する意見

 

● 一般社団法人 電子情報技術産業協会 (JEITA) - 個人データ保護専門委員会

・2021.02.12  [PDF]「我が国の AI ガバナンスの在り方 ver. 1.0 (AI 社会実装アーキテクチャー検討会 中間報告書)」に関する意見


私も法的拘束力のないガバナンスコードのようなものが良いとは思います。

そのためには、自律をしっかりしないといけないと思うので、

政府も経団連もそういうものを自ら作成し、実装に対して主導していくことが重要です。

その辺りの決意などが滲み出るようなコメントであればなお、よかったと思いました。。。

 

 

Continue reading "経済産業省の「我が国のAIガバナンスの在り方 ver. 1.0(中間報告書)」に対する経団連等の意見"

| | Comments (0)

ロシア プライバシー法に違反した場合の罰金を引き上げる法案を下院が承認したようですね。。。

こんにちは、丸山満彦です。

ロシアのプライバシー法に違反した場合の罰金を引き上げる法案を下院が承認したようですね。。。この後、上院が承認し、大統領が署名がですが。。。

Россия(ロシア) - законодательной деятельности (立法支援システム)

№ 1061159-7О внесении изменений в Кодекс Российской Федерации об административных правонарушениях(ロシア連邦行政犯罪法の改正案の導入について)

(об установлении административной ответственности за отдельные правонарушения в области связи и информации)(通信・情報分野における一定の違反行為に対する行政責任の設置)

下院を通過した法案↓

・2021.02.10 [RTF] Текст законопроекта к третьему чтению (Комитет Государственной Думы по государственному строительству и законодательству)

個人と法人で罰金額に差がつけられていますが、法人でも50万ルーブルですから、約70万円?となりますよね。。。欧州の罰金に慣れているので。。。

 

■ 報道

Morgan Lewis

・2021.02.12 RUSSIA APPROVES INCREASED FINES FOR VIOLATION OF DATA PROCESSING REQUIREMENTS

表を2021.02.11のレート(1RUB = 1.4222 yen)で円に換算しました。。。

第13.11条 違反の種類 改正 RUB Yen
第1項 不法な、データ収集の目的と矛盾する個人データの処理 2倍 60,000 100,000 85,332 142,220
第1.1項
(新規)
第13.11条第1項を繰り返した場合 新設 100,000 300,000 142,220 426,660
第2項 データ主体の書面による同意なしの個人データの処理(同意が必要な場合)、またはそのような書面による同意の内容に対する要件への違反 2倍 30,000 150,000 42,666 213,330
第2.1項
(新規)
第13.11条第2項を繰り返した場合 新設 300,000 500,000 426,660 711,100
第3項 プライバシーポリシーやその他のデータ処理に関する情報の非公表(またはアクセス不可) 2倍 30,000 60,000 42,666 85,332
第4項 個人データの処理についてデータ主体への非通知 2倍 40,000 80,000 56,888 113,776
第5項 個人データの修正、ブロック、または破棄についてデータ主体の要求への非対応 2倍 50,000 90,000 71,110 127,998
第5.1項
(新規)
第13.11条第5項を繰り返した場合 新設 300,000 500,000 426,660 711,100
第6項 個人データを含む物理メディアの保護と機密性の非確保 2倍 50,000 100,000 71,110 142,220

 

| | Comments (0)

2021.02.14

オーストラリア ACSC 2020年の医療セクターのサイバーセキュリティ脅威についてのスナップショット

こんにちは、丸山満彦です。

Australian Cyber Security Centre: ACSC が2020年の医療セクターのサイバーセキュリテ脅威についてのスナップショットを公表していますね。。。

金銭的な動機を持っている攻撃者は、パンデミック対応ですでに運用がギリギリになっているを医療ネットワークを標的にして攻撃をしていると冒頭で書いていますね。。。

そういえば、米国、欧州、豪州でも医療機関のサイバーセキュリティの被害がよく報じられ(多いのはランサムウェアのような気がしますが・・・)ているのですが、日本ではあまり聞きませんね。。。前から少し気になっています。。。誰か理由を知っていますでしょうかね。。。

Australian Cyber Security Centre: ACSC

・2021.02.10 (news) Health Sector Snapshot

・2021.02.10 (reports) 2020 Health Sector Snapshot

Executive Summary エグゼクティブサマリー
COVID-19 has fundamentally changed the cyber threat landscape for the health sector, with malicious actors increasingly targeting and compromising health networks, which are already under pressure in a pandemic operating environment. Malicious actors are primarily financially motivated and may seek to gain access to valuable data stores, use the branding from high-profile victims and incidents to bolster the legitimacy of the targeting activity, and/or cause disruption to business operations and continuity through methods such as ransomware. The ACSC assesses that ransomware is currently the most significant cybercrime threat to the Australian health sector. COVID-19は、保健分野のサイバー脅威の状況を根本的に変えた。悪意のある攻撃者は、パンデミックの運用環境ですでにプレッシャーを受けている保健ネットワークを標的にし、危険にさらすことが多くなっている。悪意のある攻撃者は、主に金銭的な動機を持っており、貴重なデータストアへのアクセスを得ようとしたり、知名度の高い被害者や事件から得たブランドを利用して標的化活動の正当性を高めたり、ランサムウェアのような方法で事業運営や継続性に混乱をもたらそうとしたりする場合がある。ACSCは現在、オーストラリアの医療部門にとって最も重要なサイバー犯罪の脅威はランサムウェアであると評価している。
During the reporting period, the ACSC received 166 cyber security incident reports relating to the health sector. This is an increase from the 90 reported incidents affecting the health sector during the 2019 calendar year and likely a result of increased targeting of the health sector due to COVID-19. Incidents reported by the health sector are primarily from health care providers, as well as customers falling victim to health-related scams or data breaches. 報告期間中、ACSC は医療部門に関連するサイバーセキュリティインシデントの報告を 166 件受けた。2019年暦年に医療部門に影響を及ぼすインシデントが報告された90件から増加している。これは、COVID-19による医療部門の標的化が進んだ結果であると考えている。医療部門から報告されたインシデントは、主に医療提供者からのものであり、健康関連の詐欺やデータ侵害の被害に遭った顧客からのものである。
Rates of health sector incidents in this reporting period are trending down towards pre‑COVID‑19 levels; however, we expect cyber incidents will fluctuate. Globally, COVID-19 themed scams occurred during the height of the pandemic last year, and will potentially increase throughout the vaccine’s research, manufacture, distribution and administration phases. While the ACSC has not yet observed this activity in Australia, international reporting suggests cybercriminals are attempting to scam the public in other countries by taking advantage of the COVID-19 vaccine rollout, and targeting companies involved in the vaccine supply chains. As such, the ACSC advises that organisations maintain a heightened state of awareness as malicious actors search for new vulnerabilities or seek to exploit existing ones. この報告期間における医療セクターのインシデントの発生率は、COVID-19以前のレベルに向かって減少傾向にある。しかしサイバーインシデントは変動するものである。世界的には、COVID-19をテーマにした詐欺が昨年のパンデミックの最盛期に発生しており、ワクチンの研究、製造、流通、投与の各段階で増加する可能性がある。ACSCは、オーストラリアでのこのような活動をまだ確認していませんが、国際的な報告によると、サイバー犯罪者がCOVID-19ワクチンの展開を利用し、ワクチンのサプライチェーンに関わる企業を標的にして、他の国でも一般の人々を騙そうとしていることが示唆されている。そのため、ACSCは、悪意のある攻撃者が新たな脆弱性を探したり、既存の脆弱性を悪用しようとしたりするため、組織は意識を高めた状態を維持するように助言している。
   
Key Takeaways 主な留意点
・Outside of government and individuals, the health sector reported the highest number of incidents to the ACSC during the period. ・政府や個人以外では、保健セクターがACSCに報告したインシデントの数が最も多かった。
・The health sector remains a valuable and vulnerable target for malicious cyber activity because of: ・医療部門は、悪意のあるサイバー活動の貴重で脆弱なターゲットであることに変わらない。
 - its highly sensitive personal data holdings  - 非常に機密性の高い個人データを保有しているため
 - its valuable intellectual property on technology and research, particularly those relating to COVID‑19 vaccine research and development  - 技術・研究に関する貴重な知的財産(特にCOVID-19ワクチンの研究開発に関連した)を保有しているため。
 - the criticality of services delivered by the health sector  - 医療部門が提供するサービスが重要なため
 - the pressure on health sector organisations to maintain and, if disrupted, rapidly restore business continuity  - 医療部門の組織が事業継続性を維持し、障害が発生した場合には迅速に復旧させるための圧力があるため
 - public trust in health sector organisations, particularly those linked to Government services.  - 健康部門の組織、特に政府のサービスに関連した組織に対する国民の信頼が必要なため
・COVID-19 has changed the threat landscape for the health sector: ・COVID-19は、保健セクターの脅威の状況を変えた。
 - there are numerous new health-related targets, as non-traditional entities enter the sector and targeting extends to medical transport and supply chains  - 従来型ではない組織がこのセクターに参入し、医療輸送やサプライチェーンにも標的が拡大しているため、多数の新たな健康関連の標的が存在している
 - existing organisations are under increased operational pressure and therefore more vulnerable to cyber security attacks and financial extortion  - 既存の組織は業務上のプレッシャーを受けているため、サイバーセキュリティ攻撃や金融恐喝に対してより脆弱になっている
 - changes to social and working environments, such as working from home, have increased ‘attack surfaces’ and exposed networks to new vulnerabilities  - 在宅勤務などの社会環境や職場環境の変化により、「攻撃対象」が増加し、ネットワークが新たな脆弱性にさらされている
 - malicious actors are seeking to capitalise on a pervasive environment of fear and uncertainty, and an influx of new entrants and stakeholders in the sector.  - 悪意のある攻撃者は、恐怖と不確実性が蔓延している環境を利用しようとしており、この分野への新規参入者や利害関係者の流入を狙っている
・Financially-motivated cybercriminals will continue to target the Australian health sector because of its access to sensitive data and increased reliance on telehealth and internet-enabled services. ・オーストラリアの医療部門は、機密データへのアクセスが可能であり、遠隔医療やインターネット対応サービスへの依存度が高まっているため、金銭的な動機を持ったサイバー犯罪者が今後も標的とすることが予想される。
・It is critical that health sector organisations ensure that their networks are protected from malicious cyber actors who may seek to disrupt essential services and/or compromise business-critical systems, such as to profit from ransom. Further advice outlining how organisations can protect themselves can be found on page 7 under Preventative Measures. ・医療部門の組織は、必要不可欠なサービスを中断させたり、身代金を得てビジネスに不可欠なシステムを危険にさらしたりしようとする悪意のあるサイバー犯罪者からネットワークを保護することが非常に重要である。組織が自らの身を守る方法についての詳細なアドバイスは、7ページの「予防措置」に記載されていまる。
・On 30 October 2020, the ACSC released an alert on the continued targeting of the Australian health sector by malicious cyber actors. ・2020年10月30日、ACSCは、悪意のあるサイバーアクターによるオーストラリアの医療部門の継続的な標的化に関する警告を発表した。

 

日本の医療機関のサイバーセキュリティについてはあまり情報が内容に思います。。。被害もあまり聞かないしね。。。

● 日本医師会

・2020.06.15 [PDF] 医療機関におけるサイバーセキュリティ実態調査

● 日本医療法人協会

・2021.02.10 医療におけるサイバーセキュリティに関するお知らせ

| | Comments (0)

2021.02.13

NIST NISTIR 8276 サイバーサプライチェーンのリスク管理における鍵となる実践:産業からの観察

こんにちは、丸山満彦です。

NISTがNISTIR 8276 Key Practices in Cyber Supply Chain Risk Management: Observations from Industryを公表していますね。。。日本語にすると、「サイバーサプライチェーンのリスク管理における鍵となる実践:産業からの観察」という感じですかね。。。

● NIST - ITL

・2021.02.11 PUBLICATIONS NISTIR 8276 Key Practices in Cyber Supply Chain Risk Management: Observations from Industry

・[PDF] NISTIR 8276

1212

 

・Supplemental Material:

 ・[web] Cyber SCRM Key Practices and Case Studies

 

重要な実践

1. Integrate C-SCRM Across the Organization 1. 組織全体でC-SCRMを統合する
2. Establish a Formal C-SCRM Program 2. 正式なC-SCRMプログラムを確立する
3. Know and Manage Critical Suppliers 3. 重大なサプライヤーを知り、管理する
4. Understand the Organization’s Supply Chain 4. 組織のサプライチェーンを理解する
5. Closely Collaborate with Key Suppliers 5. 鍵となるサプライヤーと緊密に連携する
6. Include Key Suppliers in Resilience and Improvement Activities 6. 回復と改善活動に鍵となるサプライヤーを含める
7. Assess and Monitor Throughout the Supplier Relationship 7. サプライヤーとの関係全体の評価と監視
8. Plan for the Full Life Cycle  8. ライフサイクル全体を計画する

主な推奨事項

Create explicit collaborative roles, structures, and processes for supply chain, cybersecurity, product security, and physical security (and other relevant) functions. サプライチェーン、サイバーセキュリティ、製品セキュリティ、および物理的セキュリティ(およびその他の関連する)機能のための明示的な連携のための役割、構造、およびプロセスの作成
Integrate cybersecurity considerations into the system and product lifecycle. サイバーセキュリティの考慮事項とシステムと製品のライフサイクルの統合
Determine supplier criticality by using industry standards and best practices. 業界標準とベストプラクティスを使用して、サプライヤーの重要度の決定
Mentor and coach suppliers to improve their cybersecurity practices. サイバーセキュリティの実践を改善するためのサプライヤーの指導。
Include key suppliers in contingency planning, incident response, and disaster recovery planning and testing. 緊急時の計画、インシデント対応、災害復旧の計画とテストへの主要なサプライヤーの組み込み
Use third-party assessments, site visits, and formal certification to assess critical suppliers. 重要なサプライヤーを評価するための第三者評価、サイト訪問、および正式な認証

 

目次

Executive Summary エグゼクティブサマリ
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Background 1.2 背景
2 Problem Definition 2 問題定義
3 Key Practices for C-SCRM 3 C-SCRMのための主要な実践
3.1 Integrate C-SCRM Across the Organization 3.1 組織全体でのC-SCRMの統合
3.2 Establish a Formal C-SCRM Program 3.2 正式なC-SCRMプログラムの確立
3.3 Know and Manage Critical Components and Suppliers 3.3 重要部品とサプライヤーの把握と管理
3.4 Understand the Organization’s Supply Chain 3.4 組織のサプライチェーンを理解する
3.5 Closely Collaborate with Key Suppliers 3.5 鍵となるサプライヤーとの緊密な連携
3.6 Include Key Suppliers in Resilience and Improvement Activities 3.6 レジリエンスと改善活動に鍵となるサプライヤを含める
3.7 Assess and Monitor Throughout the Supplier Relationship 3.7 サプライヤーとの関係を通じた評価と監視
3.8 Plan for the Full Life Cycle 3.8 ライフサイクル全体の計画
4 Recommendations 4つの推奨事項
References  参考文献
List of Appendices 付録一覧
Appendix A - Recommendations Mapped to Key Practices 付録 A - 主要な実践にマッピングされた提言
Appendix B - Government and Industry Resources 付録 B - 政府と産業界のリソース
Appendix C - Recommendations to Key Government and Industry Resources
付録 C - 主要な政府と産業界のリソースへの提言

 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.03.01 NISTに基づくSupply Chain Risk Managementについてのちょっとしたまとめ

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

| | Comments (0)

NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

こんにちは、丸山満彦です。

NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)を確定させ公表しましたね。。。

PNTに関連するサービスを提供している組織が提供するデータが中断したり、誤ったデータになっている大きな影響が出るからでしょうね。。。今年2月12日に出された大統領令13905「測位・航法・計時サービスの責任ある使用による国家のレジリエンスの強化」(Executive Order 13905 Strengthening National Resilience Through Responsible Use of Positioning, Navigation, and Timing Services)に対応したものです。

 

● NIST - ITL

・2021.02.11 (PUBLICATIONSNISTIR 8323 Foundational PNT Profile: Applying the Cybersecurity Framework for the Responsible Use of Positioning, Navigation, and Timing (PNT) Services


・[PDF] NISTIR 8323

1_20210213014401

・Supplemental Material:

 ・[PDF] PNT Profile Quick Guide

 ・[web] NIST news article

 ・[web] PNT homepage

 

Abstract 概要
The national and economic security of the United States (US) is dependent upon the reliable functioning of the nation’s critical infrastructure. Positioning, Navigation, and Timing (PNT) services are widely deployed throughout this infrastructure. In a government wide effort to mitigate the potential impacts of a PNT disruption or manipulation, Executive Order (EO) 13905, Strengthening National Resilience Through Responsible Use of Positioning, Navigation and Timing Services was issued on February 12, 2020. The National Institute of Standards and Technology (NIST) as part of the Department of Commerce (DoC), produced this voluntary PNT Profile in response to Sec.4 Implementation (a), as detailed in the EO. The PNT Profile was created by using the NIST Cybersecurity Framework and can be used as part of a risk management program to help organizations manage risks to systems, networks, and assets that use PNT services. The PNT Profile is intended to be broadly applicable and can serve as a foundation for the development of sector-specific guidance. This PNT Profile provides a flexible framework for users of PNT to manage risks when forming and using PNT signals and data, which are susceptible to disruptions and manipulations that can be natural, manufactured, intentional, or unintentional. 米国の国家および経済の安全保障は、国家の重要なインフラの信頼性の高い機能に依存している。測位・航法・計時(PNT)サービスは、このインフラ全体に広く展開されている。PNTの中断や操作による潜在的な影響を緩和するための政府全体の取り組みとして、2020年2月12日に、大統領令 (EO) 13905, 測位・航法・計時サービスの責任ある利用による国家のレジリエンスの強化が発行さた。商務省(DoC)の一部である国立標準技術研究所(NIST)は、EOに詳述されているように、Sec.4実施(a)に対応して、この自主的なPNTプロファイルを作成した。PNTプロファイルは、NISTサイバースセキュリティフレームワークを使用して作成され、組織がPNTサービスを使用するシステム、ネットワーク、および資産に対するリスクを管理するためのリスク管理プログラムの一部として使用することができる。PNTプロファイルは、広く適用できることを意図しており、セクター固有のガイダンスを開発するための基盤として機能することができる。このPNTプロファイルは、自然なもの、製造されたもの、意図的なもの、意図的でないものなど、混乱や操作の影響を受けやすいPNT信号やデータを形成し、使用する際のリスクを管理するために、PNTサービスの利用者に柔軟なフレームワークを提供している。
   
Executive Summary エグゼクティブサマリー
Executive Order 13905, Strengthening National Resilience Through Responsible Use of Positioning, Navigation, and Timing (PNT) Services, was issued on February 12, 2020 [EO 13905]. It seeks to protect the national and economic security of the United States from the disruption or manipulation of systems that form or use PNT data and information vital to the functioning of U.S. critical infrastructure and technology-based industries. The Executive Order (EO) directs the Department of Commerce to develop a PNT Profile that will address the four components of responsible use of PNT, as stated in the EO:  大統領令13905「測位・航法・計時サービスの責任ある利用による国家のレジリエンスの強化 」は、2020年2月12日に発令された[EO 13905]。これは、米国の重要インフラや技術ベースの産業の機能に不可欠なPNTデータや情報を形成または使用するシステムの破壊や操作から、米国の国家および経済の安全保障を守ることを目的としている。大統領令(EO)は、商務省に、EOに記載されているように、PNTの責任ある使用の4つの要素に対処するPNTプロファイルを開発するよう指示している。
1. Identify systems that use or form PNT data.2. Identify PNT data sources.3. Detect disruption and manipulation of the systems that form or use PNT services and data.4. Manage risk regarding responsible use of these systems. 1. PNTデータを使用または形成するシステムを特定する。
2. PNTデータのソースを特定する。
3. PNTのサービスやデータを形成・利用しているシステムの破壊や操作を検知する。
4. これらのシステムの責任ある使用に関するリスクを管理する。
The PNT Profile provides a flexible framework for users of PNT services to manage risks when forming and using PNT signals and data, which are susceptible to disruptions and manipulations that can be natural, manufactured, intentional, and unintentional. It was created by applying the NIST Cybersecurity Framework (CSF) [NIST CSF] and can be applied to all organizations that use PNT services, irrespective of the level of familiarity or knowledge that they have with the CSF. Organizations that have fully or partially adopted, or who have not adopted the CSF can benefit. PNTプロファイルは、自然なもの、製造されたもの、意図的なもの、意図的でないものなど、混乱や操作の影響を受けやすいPNT信号やデータを形成し、使用する際のリスクを管理するために、PNTサービスの利用者に柔軟なフレームワークを提供している。これは、NIST サイバーセキュリティフレームワーク (CSF) [NIST CSF]を適用して作成されたもので、PNTサービスを利用するすべての組織に適用することができ、CSFの精通度や知識のレベルに関係なく適用することができる。CSF を完全にまたは部分的に採用している組織も、CSF を採用していない組織も恩恵を受けることができる。
The PNT Profile is voluntary and does not: issue regulations, define mandatory practices, provide a checklist for compliance, or carry statutory authority. It is intended to be a foundational set of guidelines. Sector-specific agencies (SSAs) and entities may wish to augment or further develop their own PNT cybersecurity efforts via full or partial implementation of the recommended practices in this document. Any implementation of its recommendations will not necessarily protect organizations from all PNT disruption or manipulation. Each organization is encouraged to make their risk management decisions in the context of their own cyber ecosystem, architecture, and components. The PNT Profile’s strategic focus is to supplement preexisting resilience measures and elevate the postures of less mature initiatives. PNT プロファイルは自主的なものであり、規制を発行したり、強制的な慣行を定義したり、遵守のためのチェックリストを提供したり、法的な権限を与えたりするものではない。PNTプロファイルは、基礎となるガイドラインを提供することを意図している。セクター別の機関(SSA)や事業体は、本文書の推奨プラクティスの全面的または部分的な実施を通じて、独自の PNT サイバーセキュリティの取り組みを強化したり、さらに発展させたりすることを望むかもしれない。本文書の推奨事項を実施したからといって、すべての PNT の混乱や操作から組織を保護できるとは限らない。各組織は、独自のサイバーエコシステム、アーキテクチャ、およびコンポーネントの文脈の中でリスク管理の決定を行うことが推奨される。PNT プロファイルの戦略的な焦点は、既存のレジリエンス対策を補完し、あまり成熟していないイニシアティ ブの姿勢を向上させることである。

 

目次。。。パブコメ版にはあっと、5. Conclusionがなくなっています。。。

 

Executive Summary エグゼクティブサマリー
1 PNT Profile: Introduction 1 PNTプロフィールの紹介
1.1 Purpose and Objectives 1.1 目的と目標
1.2 Scope 1.2 範囲
1.3 Audience 1.3 対象者
2 PNT Profile: Intended Use
2 PNTプロファイル:使用目的
3 PNT Profile: Overview 3 PNTのプロフィール:概要
3.1 Risk Management Overview 3.1 リスクマネジメントの概要
3.2 Cybersecurity Framework Overview 3.2 サイバーセキュリティフレームワークの概要
4 The PNT Profile 4 PNTプロファイル
4.1 Identify Function 4.1 識別機能
4.1.1 Asset Management Category 4.1.1 資産管理カテゴリー
4.1.2 Business Environment Category 4.1.2 ビジネス環境カテゴリー
4.1.3 Governance Category 4.1.3 ガバナンスカテゴリー
4.1.4 Risk Assessment Category 4.1.4 リスクアセスメントカテゴリー
4.1.5 Supply Chain Risk Management Category 4.1.5 サプライチェーンリスクマネジメントカテゴリー
4.2 Protect Function 4.2 防御機能
4.2.1 Access Control Category 4.2.1 アクセス制御カテゴリー
4.2.2 Awareness and Training Category 4.2.2 意識向上およびトレーニングカテゴリー
4.2.3 Data Security Category 4.2.3 データセキュリティカテゴリー
4.2.4 Information Protection Processes and Procedures Category 4.2.4 情報を保護するためのプロセスおよび手順カテゴリー
4.2.5 Maintenance Category 4.2.5 保守カテゴリー
4.2.6 Protective Technology Category 4.2.6 保護技術カテゴリー
4.3 Detect Function 4.3 検知機能
4.3.1 Anomalies and Events Category 4.3.1 異常とイベントカテゴリー
4.3.2 Security Continuous Monitoring Category 4.3.2 セキュリティの継続的なモニタリングカテゴリー
4.3.3 Detection Processes Category 4.3.3 検出プロセスカテゴリー
4.4 Respond Function 4.4 対応機能
4.4.1 Response Planning Category 4.4.1 対応計画の作成カテゴリー
4.4.2 Communications Category 4.4.2 コミュニケーションカテゴリー
4.4.3 Analysis Category 4.4.3 分析カテゴリー
4.4.4 Mitigation Category 4.4.4 緩和カテゴリー
4.4.5 Improvements Category 4.4.5 改善カテゴリー
4.5 Recover Function 4.5 復旧機能
4.5.1 Recovery Planning Category 4.5.1 復旧計画カテゴリー
4.5.2 Improvements Category 4.5.2 改善カテゴリー
4.5.3 Communications Category 4.5.3 コミュニケーションカテゴリー
References 参考文献
List of Appendices 付録一覧
Appendix A— Acronyms and Abbreviations 付録 A- 略語と略語
Appendix B— Glossary 付録 B- 用語集
Appendix C— Additional Resources 付録 C- その他のリソース

 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

| | Comments (0)

2021.02.12

ENISA 人工知能を使った自律走行におけるサイバーセキュリティの課題

こんにちは、丸山満彦です。

ENISAが自動運転車の人工知能に関連するサイバーセキュリティリスクを調査し、それらを軽減するための推奨事項を示した報告書を公表していますね。。。

ENISA 

・2021.02.12 (PRESS) Cybersecurity Challenges in the Uptake of Artificial Intelligence in Autonomous Driving

A report by the European Union Agency for Cybersecurity (ENISA) and the Joint Research Centre (JRC) looks at cybersecurity risks connected to Artificial Intelligence (AI) in autonomous vehicles and provides recommendations for mitigating them.

・2021.02.11 (Publication) Cybersecurity Challenges in the Uptake of Artificial Intelligence in Autonomous Driving

・[PDF

 

EXECUTIVE SUMMARY エグゼクティブ・サマリー
1. INTRODUCTION 1. 序論
1.1  Definitions 1.1 定義
1.2  Scope 1.2 範囲
1.3  Target audience 1.3 想定読者
1.4  EU and international policy context 1.4 EUと国際政策の背景
2. AI TECHNIQUES IN AUTOMOTIVE FUNCTIONS 2. 自動化機能におけるAI技術
2.1  AI in autonomous vehicles 2.1 自律走行車におけるAI
2.1.1 High-level automotive functions 2.1.1 ハイレベルな自動車機能
2.2 Hardware and sensors 2.2 ハードウェアとセンサー
2.2.1 LIDARs and cameras for computer vision 2.2.1 コンピュータビジョン用のLIDARとカメラ
2.3 AI techniques 2.3 AI技術
2.3.1 Machine learning: paradigms and methodologies 2.3.1 機械学習:パラダイムと方法論
2.3.2 Relevant application fields in autonomous driving 2.3.2 自律走行の関連応用分野
2.4 AI software in automotive systems 2.4 自動車システムにおけるAIソフトウェア
2.4.1 Perception 2.4.1 認識
2.4.2 Planning 2.4.2 計画
2.4.3 Control 2.4.3 制御
2.4.4 Infotainment and vehicle interior monitoring 2.4.4 インフォテインメントと車内モニタリング
2.4.5 Current trends in AI research for autonomous driving 2.4.5 自律走行に向けたAI研究の現状の動向
2.5 Mapping between automotive functionalities, hardware and software  components and AI techniques 2.5 自動車の機能性、ハードウェアとソフトウェアのコンポーネントとAI技術のマッピング
3. CYBERSECURITY OF AI TECHNIQUES IN AUTONOMOUS DRIVING CONTEXTS 3. 自動運転コンテクストにおけるAI技術のサイバーセキュリティ
3.1 Vulnerabilities of AI for autonomous driving 3.1 自律走行のためのAIの脆弱性
3.1.1 Adversarial machine learning 3.1.1 敵対的機械学習
3.1.2 Adversarial examples in computer vision 3.1.2 コンピュータビジョンにおける敵対的な例
3.1.3 AI-based physical attacks against autonomous vehicles 3.1.3 自律走行車に対するAIによる物理攻撃
3.2 Attack scenarios related to AI in autonomous driving 3.2 自律走行におけるAIに関する攻撃シナリオ
3.2.1 Attack scenarios   3.2.1 攻撃シナリオ  
3.2.2 Illustration: Fooling a traffic sign recognition system 3.2.2 図解:交通標識認識システムを騙す
4. AI CYBERSECURITY CHALLENGES AND RECOMMENDATIONS FOR AUTONOMOUS DRIVING 4. 自動運転におけるAIサイバーセキュリティの課題と提言
4.1 Systematic security validation of AI models and data 4.1 AIモデルとデータの体系的なセキュリティ検証
4.2 Supply chain challenges related to AI cybersecurity   4.2 AIサイバーセキュリティに関連するサプライチェーンの課題  
4.3 End-to-end holistic approach for integrating AI cybersecurity with traditional  cybersecurity principles 4.3 AIサイバーセキュリティと従来のサイバーセキュリティ原則を統合するためのエンドツーエンドの全体的アプローチ
4.4 Incident handling and vulnerability discovery related to AI and lessons learned 4.4 AIに関するインシデント対応と脆弱性発見と教訓
4.5 Limited capacity and expertise on AI cybersecurity in the automotive industry 4.5 自動車産業におけるAIサイバーセキュリティに関する限られた能力と専門知識
References 参考文献

 

エグゼクティブ・サマリー

↓↓↓↓↓↓↓↓↓↓


















Continue reading "ENISA 人工知能を使った自律走行におけるサイバーセキュリティの課題"

| | Comments (0)

欧州連合理事会がePrivacyルールについて合意し、欧州議会に提出されることになったようですね。。。

こんにちは、丸山満彦です。

欧州連合理事会がePrivacy指令(2002年)の改正について合意し、欧州議会に提出されることになったようですね。。。サービスプロバイダーが電子通信データを処理したり、エンドユーザーのデバイスに保存されているデータにアクセスすることができる場合について定義されるようですね。。。

ePrivacyルールはエンドユーザがEUにいる場合に適用されます。EUにユーザがいないことを想定していないことは少ないので、影響は一定ありますね。。。EU官報に掲載されてから20日後に発効し、2年後に適用されることになるので、改訂部分の対応に約2年かけられるという感じですかね。。。

Council of the European Union

・2021.02.10 Confidentiality of electronic communications: Council agrees its position on ePrivacy rules

・[PDF] Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications) - Mandate for negotiations with EP

規制の概要...

Council mandate 理事会権限
Under the Council mandate, the regulation will cover electronic communications content transmitted using publicly available services and networks, and metadata related to the communication. Metadata includes, for example, information on location and the time and recipient of communication. It is considered potentially as sensitive as the content. 理事会による規制の対象となるのは、一般に利用可能なサービスやネットワークを利用して送信される電子通信コンテンツと、その通信に関連するメタデータである。メタデータには、例えば、位置情報、通信の時間や受信者に関する情報などが含まれる。これは、コンテンツと同様に潜在的にセンシティブな情報であると考えられる。
To ensure full protection of privacy rights and to promote a trusted and secure Internet of Things, the rules will also cover machine-to-machine data transmitted via a public network. プライバシー権の完全な保護を確保し、信頼性と安全性の高いモノのインターネットを推進するために、この規則は、公共ネットワークを介して送信される機械と機械の間の通信データも対象とする。
The rules will apply when end-users are in the EU. This also covers cases where the processing takes place outside the EU or the service provider is established or located outside the EU. このルールは、エンドユーザがEU内にいる場合に適用される。処理がEU域外で行われる場合や、サービス提供者がEU域外に設立または所在する場合も対象となる。
As a main rule, electronic communications data will be confidential. Any interference, including listening to, monitoring and processing of data by anyone other than the end-user will be prohibited, except when permitted by the ePrivacy regulation. 原則として、電子通信データは機密扱いとなる。エンドユーザ以外の者によるデータの盗聴、監視、処理などの妨害は、eプライバシー規制で許可されている場合を除き禁止される。
Permitted processing of electronic communications data without the consent of the user includes, for example, ensuring the integrity of communications services, checking for the presence of malware or viruses, or cases where the service provider is bound by EU or member states’ law for the prosecution of criminal offences or prevention of threats to public security. ユーザの同意なしに許可された電子通信データの処理には、例えば、通信サービスの完全性を確保するため、マルウェアやウイルスの存在を確認するため、またはサービス提供者が刑事犯罪の訴追や公共の安全に対する脅威の防止のためにEUや加盟国の法律に拘束されている場合などが含まれる。
Metadata may be processed for instance for billing, or for detecting or stopping fraudulent use. With the user’s consent, service providers could, for example, use metadata to display traffic movements to help public authorities and transport operators to develop new infrastructure where it is most needed. Metadata may also be processed to protect users’ vital interests, including for monitoring epidemics and their spread or in humanitarian emergencies, in particular natural and man-made disasters. メタデータは、例えば請求書の発行や不正使用の検出や停止のために処理されることがあります。ユーザの同意があれば、サービスプロバイダは、例えば、公共機関や交通事業者が最も必要とされる場所で新しいインフラを開発するのに役立つように、交通の動きを表示するためにメタデータを使用することができます。メタデータはまた、伝染病とその蔓延を監視するため、あるいは人道的緊急事態、特に自然災害と人災を含む、ユーザの重要な利益を保護するために処理されることもある。
In certain cases, providers of electronic communications networks and services may process metadata for a purpose other than that for which it was collected, even when this is not based on the user’s consent or certain provisions on legislative measures under EU or member state law. This  processing for another purpose must be compatible with the initial purpose, and strong specific safeguards apply to it. 場合によっては、電子通信ネットワークやサービスの提供者は、メタデータを収集した目的以外の目的のために処理することがありますが、それがユーザの同意やEUや加盟国法に基づく立法措置に関する一定の規定に基づいていない場合でも、そのような処理が行われることがあります。別の目的のためのこの処理は、最初の目的と互換性がなければならず、それには強力な特定のセーフガードが適用される。
As the user’s terminal equipment, including both hardware and software, may store highly personal information, such as photos and contact lists, the use of processing and storage capabilities and the collection of information from the device will only be allowed with the user’s consent or for other specific transparent purposes laid down in the regulation. ハードウェアとソフトウェアの両方を含むユーザの端末機器は、写真や連絡先リストなどの高度に個人的な情報を保存している可能性があるため、処理・保存機能の使用や端末からの情報収集は、ユーザーの同意がある場合、または規則に定められたその他の特定の透明性のある目的のためにのみ許可される。
The end-user should have a genuine choice on whether to accept cookies or similar identifiers. Making access to a website dependent on consent to the use of cookies for additional purposes as an alternative to a paywall will be allowed if the user is able to choose between that offer and an equivalent offer by the same provider that does not involve consenting to cookies. エンドユーザは、cookiesや類似の識別子を受け入れるかどうかについて、真の選択肢を持つべきである。ペイウォールの代わりに追加の目的でcookiesを使用することへの同意に依存したウェブサイトへのアクセスは、ユーザーがその申し出と、cookiesへの同意を伴わない同じプロバイダーによる同等の申し出との間で選択できる場合に許可される。
To avoid cookie consent fatigue, an end-user will be able to give consent to the use of certain types of cookies by whitelisting one or several providers in their browser settings. Software providers will be encouraged to make it easy for users to set up and amend whitelists on their browsers and withdraw consent at any moment. cookiesへの同意の疲労を避けるために、エンドユーザは、ブラウザの設定で1つまたは複数のプロバイダをホワイトリストに登録することで、特定の種類のcookiesの使用に同意することができるようになる。ソフトウェア・プロバイダは、ユーザがブラウザ上でホワイトリストを簡単に設定・修正し、いつでも同意を撤回できるようにすることが奨励される。
The text also includes rules on line identification, public directories, and unsolicited and direct marketing. 本文中には、ライン識別、公開ディレクトリ、未承諾およびダイレクトマーケティングに関する規則も含まれている。

HTMLにしました。。。

・[HTML]

 

(参考)訳語の整理

英語 訳語 ロゴ等
European Council [wiki] 欧州理事会 [wiki] 340pxcouncil_of_the_eu_and_european_coun
Council of the European Union [wiki] 欧州連合理事会 [wiki] 340pxcouncil_of_the_eu_and_european_coun
Council of Europe [wiki] 欧州評議会 [wiki] 320pxcouncil_of_europe_logo_2013_revised
European Parliament [wiki] 欧州議会 [wiki] 340pxeuropean_parliament_logosvg
European Commission [wiki] 欧州委員会 [wiki] European_commissionsvg

 

 

Continue reading "欧州連合理事会がePrivacyルールについて合意し、欧州議会に提出されることになったようですね。。。"

| | Comments (0)

2021.02.11

NIST NISTIR 8301 Blockchain Networks: Token Design and Management Overview(ブロックチェーンネットワーク:トークンのデザインと管理の概要)


こんにちは、丸山満彦です。

NISTがNISTIR 8301 Blockchain Networks: Token Design and Management Overviewを公表していますね。。。日本語にすると「ブロックチェーンネットワーク:トークンのデザインと管理の概要」という感じですかね。。。

● NIST - ITL

・2021.02.09 NISTIR 8301 Blockchain Networks: Token Design and Management Overview

・[PDF] NISTIR 8301

 

Abstract 概要
Blockchain technology has enabled a new software paradigm for managing digital ownership in partial- or zero-trust environments. It uses tokens to conduct transactions, exchange verifiable data, and achieve coordination across organizations and on the web. Fundamental to this representation is that users can independently control token custody in digital wallets through public-key cryptography and interact with one another in a peer-to-peer manner. Blockchain networks provide secure transaction reconciliation, linkage, and storage in consolidated, integrity-protected distributed ledgers forming mutually operated record-keeping execution environments. Data models with varied capabilities and scopes have been defined to issue tokens, which additional protocols can help manage while enabling separation of concerns. Security and recovery mechanisms allow users to set up self-hosted, externally hosted, and hybrid account custody models. Scaling schemes have been developed to accommodate transactions off-chain with deferred on-chain settlement, as well as deposit contracts with built-in, self-enforceable conditions to exchange tokens without intermediaries, transaction submission rules to fit in with different deployment scenarios, and privacy-enhancing techniques to protect user confidentiality. Software design patterns and infrastructure tools can also make it easier to integrate blockchain networks, wallets, and external resources in user interfaces. This document provides a high-level technical overview and conceptual framework of token designs and management methods. It is built around five views: the token view, wallet view, transaction view, user interface view, and protocol view. The purpose is to lower the barriers to study, prototype, and integrate token-related standards and protocols by helping readers understand the building blocks involved both on-chain and off-chain. ブロックチェーン技術は、部分的またはゼロトラスト環境でデジタル所有権を管理するための新しいソフトウェアパラダイムを可能にした。ブロックチェーン技術は、トークンを使用して取引を行い、検証可能なデータを交換し、組織間やウェブ上での調整を実現する。この表現 (representatio) の基本となるのは、ユーザが公開鍵暗号を使ってデジタルウォレット内のトークンの保管を独立して制御し、ピアツーピアの方法で相互にやりとりすることができるということである。ブロックチェーン・ネットワークは、安全なトランザクションの照合、リンク、統合された完全性で保護された分散型台帳への保存を提供し、相互に運用される記録保持の実行環境を提供する。さまざまな機能とスコープを持つデータモデルがトークンを発行するために定義されている。セキュリティとリカバリのメカニズムにより、ユーザは自己ホスト型、外部ホスト型、ハイブリッド型の口座管理モデルを設定することができる。スケーリング・スキームは、繰延オンチェーン決済によるオフチェーン取引に対応するために開発されてきた。また、仲介者なしでトークンを交換するためのビルトインの自己強制可能な条件を備えた預金契約、さまざまな展開シナリオに適合するための取引実行ルール、ユーザの機密を保護するためのプライバシー強化技術などもある。また、ソフトウェアの設計パターンやインフラストラクチャツールは、ブロックチェーンネットワーク、ウォレット、外部リソースをユーザインターフェースに統合することを容易にする。この文書では、トークンの設計と管理方法について、ハイレベルな技術的概要と概念的なフレームワークを提供しており、トークンビュー、ウォレットビュー、トランザクションビュー、ユーザインターフェースビュー、プロトコルビューの5つのビューを中心に構成している。それは、読者がオンチェーンとオフチェーンの両方に関与するビルディングブロックを理解するのを助けるためであり、トークン関連の標準やプロトコルを研究、プロトタイプ化、統合するための障壁を下げるためです。

 

Executive Summary エグゼクティブサマリー
Traditional data and operations management across organizations and on the web can involve inefficient transaction reconciliation between siloed databases, password fatigue, and single points of failure. This can lead to massive data leaks and abusive data collection for users and businesses. 組織やウェブ上での従来のデータおよび運用管理では、サイロ化されたデータベース間の非効率なトランザクション照合、パスワードの疲労、単一障害点が発生する可能性がある。これは、ユーザや企業にとって大規模なデータ漏洩や悪用されたデータ収集につながる可能性がある。
Blockchain technology has enabled a new software paradigm for managing digital ownership in partial- or zero-trust environments. It uses tokens to conduct transactions, exchange verifiable data, and achieve coordination across organizations and on the web. Fundamental to this representation is that users can independently control token custody in digital wallets through public-key cryptography and interact with one another in a peer-to-peer manner. Blockchain networks provide secure transaction reconciliation, linkage, and storage in consolidated, integrity-protected distributed ledgers. They form mutually operated record-keeping execution environments, or virtual machines, for smart contracts, which are built with application-specific instruction sets or general-purpose programming languages. ブロックチェーン技術は、部分的またはゼロトラスト環境でデジタル所有権を管理するための新しいソフトウェアパラダイムを可能にした。ブロックチェーン技術は、トークンを使用して取引を行い、検証可能なデータを交換し、組織間やウェブ上での調整を実現する。この表現の基本となるのは、ユーザが公開鍵暗号を使ってデジタルウォレット内のトークンの保管を独立して制御し、ピアツーピアの方法で相互にやりとりすることができるということである。ブロックチェーンネットワークは、安全なトランザクションの照合、リンク、統合された完全性で保護された分散型台帳への保存を提供する。ブロックチェーンネットワークは、相互に運用される記録保持実行環境、つまりスマートコントラクトのための仮想マシンを形成し、アプリケーション固有の命令セットや汎用プログラミング言語で構築される。
These environments make it possible to issue programmable digital assets or tokens, the ownership of which is cryptographically verifiable, and to develop services to help manage them. Tokens are either native to a blockchain protocol or deployed on top of an existing blockchain protocol via user-generated logic at the smart contract layer. Fungible tokens are meant to be completely interchangeable, serving as digital coins and enabling payment systems. They are primarily used to build incentive and governance models for permissionless peer-to-peer networks, represent existing fungible assets, or derive financial instruments. On the other hand, tokens associated with unique identifiers are meant to uniquely identify things or data. They can be implemented on-chain (i.e., nonfungible tokens) or as self-contained tokens that use blockchain-based storage for status updates. Self-contained tokens enable authentication and authorization methods that can provide additional features for blockchain-based tokens or help build identity or supply chain management systems. These two types of uniquely identifiable tokens can either be native to a blockchain-based protocol or represent existing assets (e.g., physical objects). これらの環境では、所有権を暗号化して検証可能なプログラム可能なデジタル資産やトークンを発行したり、それらを管理するためのサービスを開発したりすることができる。トークンはブロックチェーンプロトコルにネイティブであるか、既存のブロックチェーンプロトコルの上にスマートコントラクト層でユーザが生成したロジックを介して展開される。交換可能トークンは完全に交換可能で、デジタルコインとして機能し、支払いシステムを可能にすることを目的としている。このトークンは主に、許可のないピアツーピアネットワークのためのインセンティブやガバナンスモデルを構築したり、既存の交換可能資産を表現したり、金融商品を派生させたりするために使用される。一方、ユニークな識別子に関連付けられたトークンは、モノやデータを一意に識別することを目的としている。これらのトークンは、オンチェーンで実装することもでき(つまり、交換不能トークン)、ブロックチェーンベースのストレージを使用してステータスの更新を行う自己完結型トークンとして実装することもできる。自己完結型トークンは、ブロックチェーンベースのトークンに追加機能を提供したり、IDやサプライチェーン管理システムの構築を支援したりできる真正確認および認可を可能にする。これら2つのタイプの一意に識別可能なトークンは、ブロックチェーンベースのプロトコルにネイティブであるか、既存の資産(物理的なオブジェクトなど)を表すかのどちらかである。
Open standards for token data models have been developed that specify operations at the protocol level for token creation and supply/lifecycle management and at the account level for individual token transfers. These models have different capabilities and scopes, which additional token management protocols can complement while allowing for separation of concerns. トークンデータモデルのための公開標準が開発されており、トークンの生成と提供/ライフサイクル管理のためのプロトコルレベルでの操作と、個々のトークンの転送のためのアカウントレベルでの操作を規定している。これらのモデルは異なる機能とスコープを持っており、追加のトークン管理プロトコルは、懸念事項の分離を可能にしながら補完することができる。
Users can securely store the private keys associated with the accounts that hold their tokens in their own wallets or entrust key storage to third-party custodians independent of token issuers. Smart contract vaults can serve as proxies and enable tailored account management models with additional security and recovery features while externally maintaining persistent blockchain addresses. ユーザは、トークンを保持するアカウントに紐づいた秘密鍵を自分のウォレットに安全に保管したり、トークン発行者から独立したサードパーティのカストディアンに鍵の保管を委託したりすることができる。スマートコントラクト保管庫はプロキシとして機能し、外部的に永続的なブロックチェーンアドレスを維持しながら、追加のセキュリティとリカバリー機能を備えたアカウント管理モデルをカスタマイズすることができる。
Operations modify the ledger’s state by way of transactions submitted to the blockchain, which provides reconciliation but requires making trade-offs between decentralization, scalability, and security. Parallel transaction processing and off-chain scaling schemes have been developed to increase transaction throughput. State channels, commit-chains, and rollups allow transaction processing to be offloaded away from the root blockchain without relinquishing token custody. By attaching agreed-upon and self-enforceable conditions to deposit contracts, tokens can be exchanged with one another while users still remain in control of the private keys at all times. 操作はブロックチェーンに提出された取引の方法で元帳の状態を修正します。これは和解を提供しますが、分散化、スケーラビリティ、セキュリティの間でトレードオフを行う必要がある。トランザクションのスループットを向上させるために、並列トランザクション処理とオフチェーン・スケーリング・スキームが開発されてきた。ステートチャネル、コミットチェーン、ロールアップにより、トークンの保管を放棄することなく、トランザクション処理をルートブロックチェーンからオフロードすることができる。デポジット契約に合意された自己強制可能な条件を付けることで、ユーザが常に秘密鍵を管理している間に、トークンを相互に交換することができる。
Blockchain bridging schemes allow token and data portability across blockchains as well as hub-and-spoke architectures using different types of intermediary systems. Permissions and viewability restrictions may be put into place to help build narrowly defined environments, though privacy-enhancing technologies or separate private transaction execution are still needed to protect the confidentiality of user data. ブロックチェーン・ブリッジング・スキームは、異なるタイプの仲介システムを使用したハブアンドスポーク・アーキテクチャと同様に、ブロックチェーン間でのトークンとデータのポータビリティを可能にする。ユーザデータの機密性を保護するためには、プライバシー強化技術や別個のプライベートトランザクションの実行が必要であるが、狭く定義された環境を構築するために許可や閲覧性の制限を設けることもできる。
Additionally, software design patterns and infrastructure tools make it easier to integrate blockchain networks, wallets, and external resources (e.g., user account data, external data feeds) with user interfaces and facilitate token interactions. The unbundling of user interfaces, application data, and logic results in a user-centric system architecture and requires re-examining approaches to break down and evaluate the security risks entailed by individual configurations. さらに、ソフトウェアの設計パターンやインフラストラクチャツールによって、ブロックチェーンネットワーク、ウォレット、外部リソース(ユーザーアカウントデータ、外部データフィードなど)をユーザインターフェースに統合し、トークンのインタラクションを容易にすることが可能になる。ユーザインターフェース、アプリケーションデータ、ロジックのアンバンドリングは、ユーザ中心のシステムアーキテクチャになり、個々の構成がもたらすセキュリティリスクを分解して評価するために、アプローチを再検討する必要がある。
While token-based protocols can integrate and transform existing organizations and web services with efficiency and interoperability gains, the parties involved must establish common purposes and rules to form secure and sustainable governance models. More generally, blockchain networks face multi-dimensional challenges that range from scalability and privacy obstacles to educational and regulatory needs (e.g., understanding of cryptoeconomics, assimilation of legal infrastructures) as well as standard- and product-related requirements (e.g., data format interoperability). The literature that has emerged on these challenges is rich, and substantial efforts are being made to address them publicly and across organizations. トークンベースのプロトコルは、既存の組織やウェブサービスを効率化と相互運用性の向上で統合し、変革することができるが、関係者は、安全で持続可能なガバナンスモデルを形成するために、共通の目的とルールを確立しなければならない。一般的には、ブロックチェーンネットワークは、スケーラビリティやプライバシーの障害から、教育や規制上のニーズ(例:暗号経済学の理解、法的インフラの同化)、標準や製品関連の要件(例:データ形式の相互運用性)に至るまで、多面的な課題に直面している。これらの課題について出てきた文献は豊富であり、公に、そして組織全体でこれらの課題に取り組むための実質的な努力がなされている。
In that way, blockchain-enabled tokens can be integrated into web and mobile applications to provide different types of embedded services, especially related to finance, identity, authentication, payments, and supply chains. A key driver is that tokens can act as tools with built-in usage and governance features to facilitate business-making online with increased efficiency and transparency, benefiting both users and businesses. このようにして、ブロックチェーン対応のトークンは、特に金融、アイデンティティ、認証、支払い、サプライチェーンに関連した様々なタイプの組み込みサービスを提供するために、ウェブやモバイルアプリケーションに統合することができる。主な推進要因は、トークンが利用法とガバナンス機能を内蔵したツールとして機能し、効率性と透明性を高めてオンラインでのビジネスメイキングを容易にし、ユーザーと企業の両方に利益をもたらすことである。
This document provides a high-level technical overview and conceptual framework of token designs and management methods. It is built around five views: the token view, wallet view, transaction view, user interface view, and protocol view. The purpose is to lower the barriers to study, prototype, and integrate token-related standards and protocols by helping readers understand the building blocks involved both on-chain and off-chain. 本文書は、トークンの設計と管理方法について、ハイレベルな技術的概要と概念的な枠組みを提供する。トークンビュー、ウォレットビュー、トランザクションビュー、ユーザーインターフェースビュー、プロトコルビューの5つのビューを中心に構築されている。そレは、読者がオンチェーンとオフチェーンの両方に関わるビルディングブロックを理解するのを助けるためであり、トークン関連の標準やプロトコルを研究、プロトタイプ化、統合するための障壁を下げることためである。

 

1_20210211030201

 


まるちゃんの情報セキュリティ気まぐれ日記

・2020.09.30 NIST NISTIR 8301 (Draft) Blockchain Networks: Token Design and Management Overview

・2021.02.10 ENISA 暗号に関する2つの報告書 「ポスト量子暗号:現状と量子緩和」と「暗号資産:デジタル通貨と分散型台帳技術の概要」

・2021.01.27 中国 TC260 パブコメ ブロックチェーン情報サービスのセキュリティ仕様他

・2021.02.04 日本公認会計士協会 (JICPA) 保証業務実務指針「非パブリック型のブロックチェーンを活用した受託業務に係る内部統制の保証報告書に関する実務指針」(公開草案)の公表について


 

目次は

↓↓↓↓↓↓↓↓↓↓

Continue reading "NIST NISTIR 8301 Blockchain Networks: Token Design and Management Overview(ブロックチェーンネットワーク:トークンのデザインと管理の概要)"

| | Comments (0)

NIST NISTIR 8344 (Draft) Ontology for Authentication(真正確認についての概念体系整理)

こんにちは、丸山満彦です。

NISTがNISTIR 8344 (Draft) Ontology for Authenticationを公開していますね。。。日本語にすると、「真正確認についての概念体系整理」という感じですかね。。。


● NIST -ITL

・2021.02.08 NISTIR 8344 (Draft) Ontology for Authentication

・[PDF] NISTIR 8344 (Draft)

 

理解を助けるために日本語にもしてみました(かえってわかりにくくなっている部分もあるかも。。。)。

※”Authentication”を「真正確認」と訳しています。普通は「認証」と訳していると思いますが、"Certifiction"も「認証」と訳されることが多いので、あえて日本語としては馴染みがないけど、実態に近い訳語にしています。。。

 

Announcement 発表
This draft document is the result of an effort to define authentication by examining mechanisms used to prove position or membership; analyzing existing methods, tools, and techniques; and developing an abstract representation of authentication features and services. Basic mechanisms used to accomplish authentication are identified and discussed in general terms. While most authentication mechanisms utilize cryptography, specific implementations of the cryptography are left to standards that address the authentication mechanism and are not included in this document. このドラフト文書は、位置やメンバーシップを証明するために使用されるメカニズムを調査し、既存の方法、ツール、および技術を分析し、真正確認機能とサービスの抽象的な表現を開発することにより、真正確認を定義するための努力の結果として作成されたものである。真正確認を達成するために使用される基本的なメカニズムを特定し、一般的な用語で説明する。ほとんどの真正確認メカニズムは暗号技術を利用しているが、暗号技術の具体的な実装は、真正確認メカニズムに対応する標準規格に委ねられており、この文書には含まれていない。
   
Abstract 概要
Authentication appears to be headed into crisis with the difficulties of passwords, the need for derived credentials, and the uncertainty of quantum processing, mobile platforms, and the Internet of Things. The establishment of an ontology of authentication can better manage the requirements placed upon both systems and users. This document includes a survey of authentication mechanisms, establishing the need and basis for authentication metrology, as well as key factors in determining strength and management requirements when assessing an authentication system in a given environment. 真正確認は、パスワードの複雑さ、派生した真正確認情報の必要性、量子化処理、モバイル・プラットフォーム、およびモノのインターネットの不確実性によって、危機に直面しているように見える。真正確認の概念体系整理を確立することで、システムとユーザの両方に課せられた要件をより適切に管理することができる。この文書には、真正確認メカニズムの調査、真正確認計測の必要性と基礎の確立、および特定の環境で真正確認システムを評価する際の強度と管理要件を決定する上での重要な要素が含まれている。
   
Executive Summary エグゼクティブサマリー
This document is intended for anyone who must implement or manage the authentication component of an identity management, authentication, and authorization (IAA) or attestation process. A better understanding of these general processes can improve future development of authorization components and interoperation with identity management and authentication. This document is not meant to replace authentication-related standards but to provide an understanding of authentication in general. Additionally, it may help future authentication standards development in using a common framework. 本文書は、ID 管理、真正確認、および認可(IAA)または真正確認プロセスの真正確認コンポーネントを実装または管理しなければならない人を対象としている。これらの一般的なプロセスをよりよく理解することで、真正確認コンポーネントの将来の開発や ID 管理および真正確認との相互運用を改善することができる。この文書は、真正確認関連の標準に取って代わるものではなく、一般的な真正確認の理解を提供することを意図している。さらに、共通のフレームワークを使用することで、将来の真正確認標準の開発に役立つ可能性がある。
This document recommends an authentication ontology—associations and relationships common to all methodologies meant to verify a construct previously associated with an entity or object. 本文書では、エンティティまたはオブジェクトに以前に関連付けられていた構成を検証することを意味するすべての方法論に共通する真正確認の概念体系整理の関連性と関係性を推奨する。
The document begins with how entity authentication fits into the IAA process and how it relates to the other components of that process. A taxonomy of authentication is presented for both entity- and object-focused authentications. Entity authentication is given the term confirmation and is broken into three areas: human-machine authentication, machine-machine authentication, and human-human authentication. The authentication of objects, given the term attestation, is then presented. Following the discussion of the taxonomy, authentication attributes are presented along with one of the most debated aspects of authentication—strength. Addressing the need to definitively measure authentication strength, four areas are identified: security, usability, deployability, and manageability. For each area, a set of environmental factors suitable for measurement are discussed. Figure 1 provides a concept map of the ontology. 本文書は、エンティティの真正確認が IAA プロセスにどのように適合するか、また、そのプロセスの他のコンポー ネントとどのように関係しているかから説明している。エンティティに焦点を当てた真正確認とオブジェクトに焦点を当てた真正確認の両方について、真正確認の分類法を示す。エンティティの真正確認には「確認(Confirmatation)」という用語が使用され、人間と機械の真正確認、機械と機械の真正確認、および人間と人間の真正確認の 3 つの領域に分けられている。オブジェクトの真正確認は、「証明(Attestation)」という用語が与えられ、その後、提示されます。タクソノミの議論に続いて、申請確認の属性が、最も議論されている真正確認の側面の1つである「強度」とともに提示される。真正確認の強度を明確に測定する必要性に対応するため、セキュリティ、ユーザビリティ、配備性、および管理性の 4 つの領域を特定している。各領域について、測定に適した一連の環境要因を議論している。図 1 に概念体系整理の概念図を示す。
Human-machine authentication takes up much of this document due to the number and complexities of this type of interface. Social environment and individuals’ limitations put severe constraints on human-machine authentication mechanisms. As such, much more work continues to be done to try and bridge the gap between security and usability. To state the issue another way, there appears to be a relation between how much is asked of the operator and how willing the operator is to support security rather than (mis)manage it. インターフェイスの数と複雑であるので、人-機械の真正確認が本書の大部分を占めている。社会環境や個人の限界が、人-機械の真正確認メカニズムに厳しい制約を与えている。このように、セキュリティとユーザビリティの間のギャップを埋めようとし、橋渡しをするために、多くの作業が続けられている。別の言い方をすれば、操作者にどれだけ求められるかと、操作者がセキュリティを管理する(又は管理しない)のではなくセキュリティをサポートしようとする意志をどれだけ持っているかの間には、関係があるだろう。

 

Fig1_20210211012001

 図1 - 真正確認の特性の概念図

 

 

Fig2_20210211012101

 

図2 - 真正確認の分類

 

 

表1 - IAA 確認と OA証明の比較

  Identity Management Authentication Authorization
Confirmation Validate entity docs
Manage entities
Affirm virtual identity Manage virtual identity rights to objects
確認 エンティティ文書の検証
エンティティの管理
仮想アイデンティティの確認 オブジェクトに対する仮想アイデンティティの権限の管理
       
Attestation Manage Objects
Manage IM and Object Credentials
Verify Object Goodness Authentication might gate object execution
証明 オブジェクトの管理
IMとオブジェクトのクリデンシャルの管理
オブジェクトの良し悪しの確認 認証はオブジェクトの実行をコントロールするかもしれない

 

目次は

↓↓↓↓↓↓↓↓↓↓

 

Continue reading "NIST NISTIR 8344 (Draft) Ontology for Authentication(真正確認についての概念体系整理)"

| | Comments (0)

2021.02.10

ハッカーがフロリダの水道処理設備に侵入し、水酸化ナトリウムの濃度を制御した?

こんにちは、丸山満彦です。

ハッカーがフロリダの水道処理設備に侵入し、水酸化ナトリウムの濃度を制御したみたいですね。。。結果的に市民に提供される水道の水質には影響が出ない段階で気づき、問題はなかったということのようです。。。YouTubeは15分ほどです。。。

YouTube - Pinellas Sheriff

・2021.02.08 Treatment Plant Intrusion Press Conference 

Sheriff Bob Gualtieri gave a press conference surrounding the unlawful intrusion to the City of Oldsmar's water treatment system. He was joined by Mayor Eric Seidel and City Manager Al Braithwaite.

---------- 2021.02.12 追記 ----------

■ CISA

2021.02.11 Alert (AA21-042A) Compromise of U.S. Water Treatment Facility

---------- 追記終わり ----------

 


■ 報道

Tampa Bay Times

・2021.02.08 Someone tried to poison Oldsmar’s water supply during hack, sheriff says by

Pinellas Sheriff Bob Gualtieri said the attacker tried to raise levels of sodium hydroxide, also known as lye, by a factor of more than 100.

 

The Washington Post

・2021.02.09 A hacker broke into a Florida town’s water supply and tried to poison it with lye, police said


Govinfo Security 

・2021.02.09 Hacker Breached Florida City's Water Treatment System by

Officials Halted Dangerous Change in Level of Lye in System, Set by Remote Intruder

・2021.02.09 5 Critical Questions Raised by Water Treatment Facility Hack by

Incident Highlights the Need to Enhance OT Security

検討ポイントとして次の5つをあげていますね。

  1. リモートアクセスの使用は適切だったか
  2. ハッカーは認証情報を取得したか
  3. 最も重要なセキュリティ手順は何か
  4. OTのセキュリティがおろそかになっていなかったか
  5. CISA(連邦政府)はもっと関与すべきか

BBC News

・2021.02.09 Hacker tries to poison water supply of Florida city

A computer hacker gained access to the water system of a city in Florida and tried to pump in a "dangerous" amount of a chemical, officials say.

The hacker briefly increased the amount of sodium hydroxide (lye) in Oldsmar's water treatment system, but a worker spotted it and reversed the action.

Lye is used in small amounts to control acidity but a large amount could have caused major problems in the water.

Oldsmar Mayor Eric Seidel said: "There's a bad actor out there."

No arrests have yet been made and it is not known if the hack was done from within the US or outside.

・2021.02.09 米フロリダ州の水道システムにハッカー侵入、有害物質を大量に加えようと

米フロリダ州オールズマーで5日、水道システムにハッカーが侵入し、人体に「有害な」濃度の化学物質を水に加えようとした。当局が8日に明らかにした。

ハッカーはオールズマーの水処理システムに遠隔操作で侵入し、水酸化ナトリウム濃度を一時的に高めたが、作業員が気付いて元に戻した。

地元紙タンパ・ベイ・タイムズによると、5日朝、施設のオペレーターがシステム内へ侵入しようとする動きに気付いたが、上司が行っているものだと思ったという。

しかし同日午後、ハッカーは再び侵入を試みた。この時は侵入に成功し、処理ソフトウェアにアクセスして水酸化ナトリウム濃度を通常の100ppmから100倍以上の1万1100ppmに引き上げた。オペレーターは直ちに通常値に戻した。

 

● CNN

・2021.02.09 Someone tried to poison a Florida city by hacking into the water treatment system, sheriff says by Amir VeraJamiel Lynch and Christina Carrega,

Florida Sen. Marco Rubio wants the hacking of the water treatment system handled as a national security measure, he tweeted Monday.
"I will be asking the @FBI to provide all assistance necessary in investigating an attempt to poison the water supply of a #Florida city," the tweet read. "This should be treated as a matter of national security."

・2021.02.09 浄水システムに不正侵入、苛性ソーダ濃度100倍に設定 米フロリダ州

事件についてはピネラス郡保安官事務所や米連邦捜査局(FBI)、シークレットサービスが捜査している。

● Reuters

・2021.02.09 Hackers try to contaminate Florida town's water supply through computer breach by 

Hackers broke into the computer system of a facility that treats water for about 15,000 people near Tampa, Florida and sought to add a dangerous level of additive to the water supply, the Pinellas County Sheriff said on Monday.

The New York Post

・2021.02.08 Hackers allegedly tried to poison Florida city’s water supply by Tamar Lapin

A hacker recently tried to poison a Florida city’s water supply, police announced Monday.

Pinellas County Sheriff Bob Gualtieri said someone remotely accessed a computer system that controls the City of Oldsmar’s water treatment facility on Friday.

The unidentified person increased the amount of sodium hydroxide being distributed into the city’s drinking water to a “dangerous” level, Gualtieri said at a press conference.

 

● NBC Montana

・2021.02.10 Hack of Florida water facility highlights critical infrastructure vulnerabilities by Leandra Bernstein

According to Gualtieri, a hacker (or hackers) gained remote access to a plant operator's computer Friday, Feb. 5 and within a few minutes had increased the levels of sodium hydroxide dramatically from about 100 parts per million to 1,100 parts per million. Sodium hydroxide, or lye, is used in small amounts to control acidity and remove metals from drinking water. Lye poisoning can cause burning, severe abdominal pain, vomiting, reduced blood pressure and heart rate.

Security InfoWatch

・2021.02.09 Catastrophe narrowly averted in Florida water plant hack by Joel Griffin

Experts say incident should serve as a 'wake-up call' in critical infrastructure cybersecurity

| | Comments (0)

内閣官房 IT総合戦略室が「デジタル社会形成基本法案」「デジタル庁設置法案」「デジタル社会の形成を図るための関係法律の整備に関する法律案」を国会に提出しましたね。。。

こんにちは、丸山満彦です。

内閣官房 IT総合戦略室が「デジタル社会形成基本法案」「デジタル庁設置法案」「デジタル社会の形成を図るための関係法律の整備に関する法律案」を国会に提出しましたね。。。

内閣官房 - 国会提出法案  - 国会提出法案(第204回 通常国会)


・2021.02.09 デジタル社会形成基本法案

[PDF] 概要

1.デジタル社会
「デジタル社会」を、インターネットその他の高度情報通信ネットワークを通じて自由かつ安全に多様な情報又は知識を世界的規模で入手し、共有し、又は発信するとともに、先端的な技術をはじめとする情報通信技術を用いて電磁的記録として記録された多様かつ大量の情報を適正かつ効果的に活用することにより、あらゆる分野における創造的かつ活力ある発展が可能となる社会と定義する。

2.基本理念
デジタル社会の形成に関し、ゆとりと豊かさを実感できる国民生活の実現、国民が安全で安心して暮らせる社会の実現、利用の機会等の格差の是正、個人及び法人の権利利益の保護等の基本理念を規定する。

3.国、地方公共団体及び事業者の責務
デジタル社会の形成に関し、国、地方公共団体及び事業者の責務等を規定する。

4.施策の策定に係る基本方針
デジタル社会の形成に関する施策の策定に当たっては、多様な主体による情報の円滑な流通の確保(データの標準化等)、アクセシビリティの確保、人材の育成、生産性や国民生活の利便性の向上、国民による国及び地方公共団体が保有する情報の活用、公的基礎情報データベース(ベース・レジストリ)の整備、サイバーセキュリティの確保、個人情報の保護等のために必要な措置が講じられるべき旨を規定する。

5.デジタル庁の設置等
別に法律で定めるところにより内閣にデジタル庁を設置し、政府がデジタル社会の形成に関する重点計画を作成する。

6.高度情報通信ネットワーク社会形成基本法の廃止等
高度情報通信ネットワーク社会形成基本法(IT基本法)を廃止するほか、関係法律の規定の整備を行う。

[PDF] 要綱
[PDF] 法律案・理由
[PDF] 新旧対照表
[PDF] 参照条文


・2021.02.09 デジタル庁設置法案

[PDF] 概要

1.内閣にデジタル庁を設置

2.デジタル庁の所掌事務

(1) 内閣補助事務
・デジタル社会の形成のための施策に関する基本的な方針に関する企画立案・総合調整

(2) 分担管理事務
・デジタル社会の形成に関する重点計画の作成及び推進
・個人を識別する番号に関する総合的・基本的な政策の企画立案等
・マイナンバー・マイナンバーカード・法人番号の利用に関すること並びに情報提供ネットワークシステムの設置及び管理
・情報通信技術を利用した本人確認に関する総合的・基本的な政策の企画立案等
・商業登記電子証明(情報通信技術を利用した本人確認の観点から行うもの)、電子署名、公的個人認証(検証者に関するこ
と)、電子委任状に関する事務
・データの標準化、外部連携機能、公的基礎情報データベース(ベース・レジストリ)に係る総合的・基本的な政策の企画立案等
・国・地方公共団体・準公共部門の民間事業者の情報システムの整備・管理に関する基本的な方針の作成及び推進
・国が行う情報システムの整備・管理に関する事業の統括監理、予算の一括計上及び当該事業の全部または一部を自ら執行すること

3.デジタル庁の組織
(1) デジタル庁の長及び主任の大臣は内閣総理大臣
(2)
内閣総理大臣を助け、デジタル庁の事務を統括するデジタル大臣を置き、2(1)の事務を円滑に遂行するため、関係行政機関の長に対する勧告権等を規定。
(3)
副大臣一人及び大臣政務官一人に加え、デジタル大臣に進言等を行い、かつ、庁務を整理し、各部局等の事務を監督する内閣任免の特別職として、デジタル監を置く
(4) 全国務大臣等を議員とする、
デジタル社会の形成のための施策の実施の推進等をつかさどるデジタル社会推進会議を設置

[PDF] 要綱
[PDF] 法律案・理由
[PDF] 新旧対照表
[PDF] 参照条文


・2021.02.09 デジタル社会の形成を図るための関係法律の整備に関する法律案

[PDF] 概要

個人情報保護制度の見直し(個人情報保護法の改正等)
1 個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を1本の法律に統合するとともに、地方公共団体の個人情報保護制度についても統合後の法律において全国的な共通ルールを規定し、全体の所管を個人情報保護委員会に一元化。
2 医療分野・学術分野の規制を統一するため、国公立の病院、大学等には原則として民間の病院、大学等と同等の規律を適用。
3 学術研究分野を含めたGDPR(EU一般データ保護規則)の十分性認定への対応を目指し、学術研究に係る適用除外規定について、一律の適用除外ではなく、義務ごとの例外規定として精緻化。
4 個人情報の定義等を国・民間・地方で統一するとともに、行政機関等での匿名加工情報の取扱いに関する規律を明確化。
施行日:公布から1年以内(地方公共団体関係は公布から2年以内)

マイナンバーを活用した情報連携の拡大等による行政手続の効率化(マイナンバー法等の改正)
1 国家資格に関する事務等におけるマイナンバーの利用及び情報連携を可能とする。
2 従業員本人の同意があった場合における転職時等の使用者間での特定個人情報の提供を可能とする。
施行日:公布日(1のうち国家資格関係事務以外(健康増進事業、高等学校等就学支援金、知的障害者など))、公布から4年以内(1のうち国家資格関係事務関連)、令和3年9月1日(2)

マイナンバーカードの利便性の抜本的向上、発行・運営体制の抜本的強化(郵便局事務取扱法、公的個人認証法、住民基本台帳法、マイナンバー法、J-LIS法等の改正)

<マイナンバーカードの利便性の抜本的向上>
1 住所地市区町村が指定した郵便局において、公的個人認証サービスの電子証明書の発行・更新等を可能とする。
2 公的個人認証サービスにおいて、本人同意に基づき、基本4情報(氏名、生年月日、性別及び住所)の提供を可能とする。
3 マイナンバーカード所持者について、電子証明書のスマートフォン(移動端末設備)への搭載を可能とする。
4 マイナンバーカード所持者の転出届に関する情報を、転入地に事前通知する制度を設ける。 等
施行日:公布日(1)、公布から2年以内(1以外)

<マイナンバーカードの発行・運営体制の抜本的強化>
1 地方公共団体情報システム機構(J-LIS)による個人番号カード関係事務について、国による目標設定、計画認可、財源措置等の規定を整備。
2
J-LISの代表者会議の委員に国の選定した者を追加するとともに、理事長及び監事の任免に国の認可を必要とする等、国によるガバナンスを強化。
3 電子証明書の発行に係る市町村の事務を法定受託事務化。 等
施行日:令和3年9月1日

押印・書面の交付等を求める手続の見直し(48法律の改正)
○ 押印を求める各種手続についてその押印を不要とするとともに、書面の交付等を求める手続について電磁的方法により行うことを可能とする。
施行日:令和3年9月1日(施行までに一定の準備期間が必要なものを除く。)


[PDF] 要綱
[PDF] 法律案・理由
[PDF] 新旧対照表
[PDF] 参照条文


Cas

Continue reading "内閣官房 IT総合戦略室が「デジタル社会形成基本法案」「デジタル庁設置法案」「デジタル社会の形成を図るための関係法律の整備に関する法律案」を国会に提出しましたね。。。"

| | Comments (0)

ENISA 暗号に関する2つの報告書 「ポスト量子暗号:現状と量子緩和」と「暗号資産:デジタル通貨と分散型台帳技術の概要」

こんにちは、丸山満彦です。

ENISAが暗号に関する2つの報告書(「ポスト量子暗号:現状と量子緩和」と「暗号資産:デジタル通貨と分散型台帳技術の概要」)を公表していますね。

● ENISA

プレス↓

・2021.02.09 (news) Solving the Cryptography Riddle: Post-quantum Computing & Crypto-assets Blockchain Puzzles

The European Union Agency for Cybersecurity releases two reports on cryptography: one on the progress of post-quantum cryptography standardisation, and the other on exploring the technologies under the hood of crypto-assets.

報告書↓

・2021.02.09 (publication) Post-Quantum Cryptography: Current state and quantum mitigation

Post-Quantum Cryptography (PQC). It presents the 5 main families of PQ algorithms; viz. code-based, isogeny-based, hash-based, lattice-based and multivariate-based. 

 ・[PDF] POST-QUANTUM CRYPTOGRAPHY: Current state and quantum mitigation



1 Introduction
2 Families of Post-Quantum Algorithms
2.1 Code-based
2.2 Isogeny-based
2.3 Hash-based
2.4 Lattice-based
2.5 Multivariate-system based
2.6 The NIST Round 3 Candidates
3 NIST Round 3 Finalists
3.1 Encryption Schemes
3.1.1 Classic McEliece
3.1.2 Crystals-Kyber
3.1.3 NTRU
3.1.4 Saber
3.2 Signature Schemes
3.2.1 Crystals-Dilithium
3.2.2 Falcon
3.2.3 Rainbow
4 Alternate Candidates
4.1 Encryption Schemes
4.2 Signature Schemes
5 Quantum Mitigation
5.1 Hybrid schemes
5.2 Protective measures for pre-quantum cryptography
6 Conclusions
Bibliography

 

 


・2021.02.09 (publication) Crypto Assets: Introduction to Digital Currencies and Distributed Ledger Technologies

This report aims to increase the understanding of blockchain technologies. It aims to explain the underlying technical concepts and how they relate to each other. The goal is to explain the components, and illustrate their use by pointing to deployed instances where the ideas are utilized.

 ・[PDF] CRYPTO ASSETS: An Introduction to Digital Currencies and Distributed Ledger Technologies



1 The Genesis Of Bitcoin
1.1 Hash Functions
1.2 Merkle Tree
1.3 Digital Signature
1.4 Secret Sharing
1.5 Byzantine Agreement
1.6 Electronic Cash
1.7 Zero-Knowledge
1.8 Time Stamps
1.9 Multi-Party Computation and Threshold Cryptography
1.10 Proof of Work
2 Distributed Ledger Technologies and Bitcoin
2.1 The Word ‘Ledger’
2.2 The Word ‘Distributed’
2.3 The Words ‘Distributed Ledger Technology’
2.4 Provisioned Blockchains
2.5 Non-Provisioned Blockchains
2.6 Rewarding Validators
3 Applications
4 Smart Contracts
5 Securing Secret Keys
6 Zero-Knowledge Proofs
6.1 Applications of Zero-Knowledge Proofs
6.2 Removing Trusted Setups
7 Conclusions
Bibliography

 

| | Comments (0)

2021.02.09

中国 国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。

こんにちは、丸山満彦です。

欧米や日本でプラットフォーム事業者に対して適正な競争環境が実現するような規制がかかり始めましたが、中国でも同様のようですね。。。発行は国務院です。日本で言うところの内閣に近い組織のようですね。。。

■ 発表のアナウンス

智慧普法平台

・2021.02.08 国务院发布《国务院反垄断委员会关于平台经济领域的反垄断指南》(国務院発行「国務院独占禁止委員会 プラットフォーム経済に関する独占禁止ガイドライン」)

■ ガイドライン全文

国务院 - 国家市场监督管理总局 (市場監督管理局)

・2021.02.07 国务院反垄断委员会关于平台经济领域的反垄断指南


■ ガイドラインの解釈

2021.02.07 促进平台经济规范有序创新健康发展 ——《国务院反垄断委员会关于平台经济领域的 反垄断指南》解读


■ 記者団の質問に対する回答

・2021.02.07 国务院反垄断委员会办公室负责同志就 《国务院反垄断委员会关于平台经济 领域的反垄断指南》答记者问

 


■ 参考 日本とヨーロッパ関係

まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.02 「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律」が施行された

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

↓↓↓↓↓↓↓↓↓↓↓↓

Continue reading "中国 国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。"

| | Comments (0)

2021.02.08

Ziggy Ransomwareの管理者が過去を反省して、サイトを閉じて被害者の復号鍵を公開?

こんにちは、丸山満彦です。

Ziggy Ransomwareの管理者が過去を反省して、サイトを閉じて復号鍵を公開することにしてようですね。。。

Bleeping Computer

・2021.02.07 Ziggy ransomware shuts down and releases victims' decryption keys by

The Ziggy ransomware operation has shut down and released the victims' decryption keys after concerns about recent law enforcement activity and guilt for encrypting victims.

Over the weekend, security researcher M. Shahpasandi told BleepingComputer that the Ziggy Ransomware admin announced on Telegram that they were shutting down their operation and would be releasing all of the decryption keys.









| | Comments (0)

経済産業省とOpenIDFoundationが法人向けeKYCとIDAに関するリエゾン協定を締結

こんにちは、丸山満彦です。

社会のデジタル化を進めるに当たっては、サイバー空間で接している人を明らかにし、それがその通りであることを保証することができることが重要となりますね。。。

ということで、経済産業省とOpenIDFoundationが法人向けeKYCとIDAに関するリエゾン協定を締結したようですね。。。

OpenID

・2021.02.06 Ministry of Economy, Trade and Industry and OpenID Foundation in Liaison Agreement on eKYC & IDA for Legal Entities 

合意事項は、

  • Provides a mechanism to collaborate “about Authentication and Identity Assurance for Legal Entity”, mutually approved white papers, workshops ,podcasts  and other outreach activities;
  • Allows participation of each party’s staff and members in the other party’s meetings, as mutually agreed;
  • Provides for direct  communications to communicate (without obligation and only to the extent each party chooses) about new work and upcoming meetings; 
  • Supports common goals, including where appropriate and mutually agreed, to Specifications of Authentication and Identity Assurance for Legal Entity. 

ということのようですね。。。

関係者が身近にいるような気もしますので、関係者のコメント等も期待したいですね(^^)

OpenID - Leadership

とか、

経済産業省側の窓口の方とか(^^)

 

 

| | Comments (0)

2021.02.07

EDPB 健康研究を中心としたGDPRの一貫した適用に関する欧州委員会からの明確化要請に対する回答

こんにちは、丸山満彦です。

European Data Protection Board: EDPBが「健康研究を中心としたGDPRの一貫した適用に関する欧州委員会からの明確化要請」に対する回答文書を公表していますね。。。

European Data Protection Board: EDPB

・2021.02.02 [PDF] EDPB Documenton response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research

質問項目については以下の通りです。。。Q8がないですね。。。

科学研究目的のための個人データの処理に関するガイドラインが2021年中に公開予定ですね。。。

重要なことは回答の部分なのですが、いくつか興味深いコメントがありますね、、、「遺伝子データの匿名化の可能性は未解決の問題である」という意見とか。。。

 

2 COMPLYING WITH DATA PROTECTION AND ETHICS OBLIGATIONS: LEGAL BASIS FOR PROCESSING OF HEALTH-RELATED DATA FOR SCIENTIFIC RESEARCH PURPOSES 2 データ保護及び倫理的義務を遵守する:科学研究目的のための健康関連データ処理の法的根拠
Q1. How to reconcile the ethical principle embedded in the Oviedo Convention and Declaration of Helsinki with the possibility to process health data based on legitimate interest or public interest? Q1. オビエド条約やヘルシンキ宣言に組み込まれた倫理原則と、正当な利益や公共の利益に基づいて健康データを処理する可能性をどのように両立させるのか。
Q2. What is the definition of participants not in good health conditions and does the explanation given in Opinion 3/2019 exclude the possibility for the data controller to rely on explicit consent as a legal basis for the processing of data from patients and people not hospitalised but diagnosed with certain health conditions? Q2. 「健康状態が良好でない参加者」の定義とは何か。また、意見書 3/2019 で示された説明は、データ管理者が、入院していないが特定の健康状態と診断された患者や人々からのデータを処理するための法的根拠として、明示的な同意に頼る可能性を排除するものか。
Q3. Would it be possible to have a heterogeneous/different legal basis for processing health data of different individuals in a single research project by one data controller in several Member States? How should the requirements for fairness (equal treatment of all individuals in one study) be fulfilled? Q3. 一人のデータ管理者が複数の加盟国にまたがる1つの研究プロジェクトで異なる個人の健康データを処理するための異種/異なる法的根拠を持つことは可能か?公平性(1つの研究におけるすべての個人の平等な扱い)の要件はどのように満たされるべきか。
Q4. What are the preconditions to consider when assessing if the personal data are manifestly made public by the data subject (art.9(2)(e)) in the case of genomic and other health related research? Q4. ゲノム及びその他の健康関連の研究の場合、個人データがデータ対象者によって明らかに公表されているかどうか(第 9 条(2)(e))を評価する際に考慮すべき前提条件は何か。
3 FURTHER PROCESSING OF PREVIOUSLY COLLECTED HEALTHDATA 3 過去に収集された健康データの更なる処理
Q5. To what extent could health data collected for one specific research project with the consent of the data subjects be re-used in different research projects of the same nature by another controller without the consent of data subjects? Q5. データ対象者の同意を得てある特定の研究プロジェクトで収集した健康データを、データ対象者の同意なしに、別の管理者が同じ性質の異なる研究プロジェクトで再利用することは、どの程度まで可能か。
Q6. What are the requirements for the lawfulness and transparency of processing of special categories of data in cases where the compatibility presumption in Article 5(1)(b) would apply? Furthermore to what extent can the initial legal basis be relied upon for the further processing in such cases? Q6. 第 5 条(1)項(b)の互換性の推定が適用される場合の、特別なカテゴリーのデータの処理の適法性と透明性に関する要件は何か。さらに、そのような場合の更なる処理について、最初の法的根拠はどの程度まで依拠できるか。
Q7. If a health care provider collected health data from patients and wishes to use those data for a scientific research project, to what extent would this be considered compatible further processing? Q7. 医療提供者が患者から健康データを収集し、そのデータを科学的研究プロジェクトのために使用することを希望する場合、これはどの程度まで互換性のある更なる処理とみなされるか。
Q9. In what circumstances can health data from social media platforms, activity trackers or publicly available databases (for example) be used for research purposes for creating profiles and what are the conditions to be met for such data processing when the data are not collected directly from the data subjects? Q9. どのような状況で、ソーシャルメディアのプラットフォーム、活動追跡者、または一般に利用可能なデータベースからの健康データを、(例えば)プロファイルを作成するための研究目的に使用することができるか。また、データ対象者からデータが直接収集されていない場合、データ処理のために必要となる条件は何か。
Q10. What would be a good example illustrating the new situation that enables the data controller to repurpose the data processing and use a legal basis different than the initial one (consent) as per Art. 29 WP Guidelines on consent? Q10. データ管理者がデータを再利用し、最初の同意とは異なる法的根拠を用いることを可能にする「新しい状況」を例示する良い例は何か?同意に関する 第 29 条作業部会ガイドラインに基づく最初の同意とは異なる法的根拠を使用することを可能にする「新しい状況」の例は何か。
4 THENOTIONOFBROADCONSENT 4 広義の同意の考え方
Q11. Does the concept of broad consent apply to the processing of special categories of data for scientific research purposes? Q11. 広義の同意の概念は、科学研究目的のための特別なカテゴリーのデータの処理に適用されるか。
Q12. Recital 33 GDPR provides that consent may be given to certain areas of scientific research. What should the formulation of these certain areas look like in the course of obtaining a participants/data subjects consent, in particular as concerns future research projects which cannot be determined at the point of collection of the data (e.g. consent for cancer research or consent for breast cancer research). Q12. GDPR のリサイタル 33 では、科学研究の「特定の分野」に同意を与えることができると規定されている。参加者/データ対象者の同意を得る過程で、特にデータ収集の時点では判断できない将来の研究プロジェクトに関しては、これらの「特定の分野」はどのように定義されるべきか(例:「がん研究」の同意や「乳がん研究」の同意)。
Q13. Can the concept of broad consent also be applied to further research projects of the same controller or to different controller as well? Q13. 広義の同意の概念は、同じ管理者の更なる研究プロジェクトにも、あるいは別の管理者の研究プロジェクトにも適用できるか。
5 TRANSPARENCY OF DATA PROCESSING: INFORMATION TO BE PROVIDED TO THE DATA SUBJECT AND STORAGE LIMITATION 5 データ処理の透明性:データ対象者に提供される情報と保存制限
Q14. When further processing personal data for research purposes, can the data controller who initially collected the data directly from the data subjects benefit from the exception provided in Article 14(5)(b), if the data subjects are no longer reachable, very difficult to reach and/or when this will require disproportionate effort? If not, what should be best practice examples to comply with Article 13? Q14. 研究目的で個人データをさらに処理する場合、最初にデータ対象者から直接データを収集したデータ管理者は、データ対象者がもはや到達できない場合、到達することが非常に困難な場合、及び/又はそれによって不釣り合いな努力を必要とする場合、第14条(5)(b)に規定されている例外の恩恵を受けることができるか。そうでない場合、第 13 条を遵守するためのベストプラクティスの例は何か。
Q15. In case of a change to the legal basis (e.g. withdrawal of consent and subsequent processing based on a law in the public interest/legitimate interest in conjunction with a law under Article 9(2)(j) GDPR), can the data controller enact the research derogation contained in Article 14(5)(b) and continue processing the health data based on a different legal basis without notifying the data subjects? How should the potential ethical implications of such a decision be reconciled with the provision? Q15. 法的根拠の変更(例えば、同意の撤回や、第 9 条(2)(j) GDPR 第 9 条(2)項(j)に基づく法律と連携した公共の利益/正当な利益の法律に基づくその後の処理)があった場合、データ管理者は、第 14 条(5)(b)に含まれる研究の除外を実施し、データ対象者に通知することなく、別の法的根拠に基づいて健康データの処理を継続することができるか。そのような決定の潜在的な倫理的意味合いは、どのように規定と調整すべきか。
Q.16 What could be the criteria used to determine the data retention time, in particular as concerns further processing of health data for scientific researchpurposes? Q.16 データ保持期間を決定するために用いられる基準、特に科学研究目的のための健康データの更なる処理に関しては、どのようなものが考えられるか。
6 ANONYMISATION, PSEUDONYMISATION AND OTHER SAFEGUARDS UNDER ARTICLE 89(1) GDPR 6 GDPR 第 89 条(1)項に基づく匿名化、児童虐待およびその他の安全保護
Q17. Should the data, which does not contain the key/code for re-identifying the individuals in the dataset, be considered anonymised or pseudonymised data (with the respective obligations for the data controllers) for the party which receives it? Q17. データセットに含まれる個人を再識別するためのキー/コードが含まれていないデータは、それを受け取る側にとって、匿名化されたデータとみなすべきか、あるいは仮名化されたデータとみなすべきか(データ管理者にそれぞれの義務を課す)。
Q18. To what extent, if at all, can genetic data be considered anonymised where the controller carries out reasonable efforts and uses technically available means in order to prevent re- identification of the individuals? Q18. 管理者が個人の再識別を防ぐために合理的な努力をし、技術的に利用可能な手段を用いている場合には、遺伝データはどの程度まで匿名化されていると考えらるか。
Q19. What types of measures/procedures shall be considered a good practice for setting up appropriate safeguards in relation to Article 89(1) of the GDPR? Examples of both technical and organisational measures will be highly appreciated. Q19. GDPR 第 89 条(1)に関連して、「適切な保護措置」を設定するためには、どのような種類の手段・手順がグッドプラク ティスとみなされるか。技術的、組織的な対策の例があるか。
7 GENERAL QUESTIONS: PROCESSING OF SPECIAL CATEGORIES OF DATA ON A LARGE SCALE AND INTERNATIONAL COOPERATION 7 一般的な質問:大規模での特殊な種類のデータの処理と国際協力
Q20. Which will be the determining factor(-s) for deciding whether special categories of data are processed on a large scale within a scientific research project? Q20. 科学研究プロジェクトの中で、特殊なカテゴリーのデータを大規模に処理するかどうかを決定する要因は何か。
Q21. In what situations can the data controller rely on the derogation of legitimate interest in Article 49(1)(g) GDPR in the context of scientific research when transferring special categories of data to third countries? Q21. 特殊なカテゴリーのデータを第三国に転送する場合、データ管理者はどのような状況で科学研究の文脈で GDPR 第 49 条(1)(g)項の正当な利益の逸脱に依拠することができるか。

 

文書を仮訳しました。。。

・[DOC] 仮訳

 

Edpb 

 

| | Comments (0)

2021.02.06

フランス CNIL (公共部門、民間部門とも)ウェブサイトやモバイルアプリケーションを監査することを奨励

こんにちは、丸山満彦です。

フランスのCNILが公共部門、民間部門の両方に対して、ウェブサイトやモバイルアプリケーションを監査することを奨励していますね。。。

CNIL

・2021.02.04 Cookies : la CNIL incite les organismes privés et publics à auditer leurs sites web et applications mobiles - CNILは、民間組織、公的組織ともWebサイトとモバイルアプリケーションを監査することを奨励している

ウェブサイトとモバイルアプリケーションを2021年03月31日までに新しいCookieルールに準拠させる必要がありますよね。

「お客様に提供されるサービスの効率を向上させるためにクッキーが使用されています」というような表現ではダメということですね。。。


参考

・2020.10.01 Cookies et autres traceurs : la CNIL publie des lignes directrices modificatives et sa recommandation - クッキーとその他のトレーサー:CNILはガイドラインの修正とその勧告を公表している。

 

Cnil_logolarge

 

| | Comments (0)

2021.02.05

厚生労働省 意見募集 プログラムの医療機器該当性に関するガイドライン

こんにちは、丸山満彦です。

厚生労働省が「プログラムの医療機器該当性に関するガイドライン」(案)についての意見募集をしていますね。。。

● e-Gov 厚生労働省

・2021.02.03「プログラムの医療機器該当性に関するガイドライン」(案)に関する御意見の募集について

根拠法令条項 医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第2条第4項に基づく任意の意見募集

・[PDF] プログラムの医療機器該当性に関するガイドライン (案)

ーーーーー

1 はじめに

近年、科学技術の発展により、様々な新しいプログラムが開発され、利用されるようになってきた。そのような新しい製品の中には、従来の医療機器と同 様に、疾病の診断、治療、予防を目的としたものも現れてきたことから、平成 25 年の医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(昭和 35 年法律第 145 号。以下「医薬品医療機器等法」という。)の改正により、単体プログラムについても医薬品医療機器等法の規制対象としている。医薬品医療機器等法に基づき規制される医療機器プログラムは、医療機器としての目的性を有しており、かつ、意図したとおりに機能しない場合に患者(又 は使用者)の生命及び健康に影響を与えるおそれがあるプログラム(ソフトウェア機能)(人の生命及び健康に影響を与えるおそれがほとんどないもの(一般医療機器に相当するもの)を除く。)であり、その基本的な考え方等は、「プログラムの医療機器への該当性に関する基本的な考え方について」(平成 26 11 14 日付け薬食監麻発 1114 第5号厚生労働省医薬食品局監視指導・麻薬対策課長通知)において示してきたところである。 本ガイドラインは、プログラムの開発者に対して、医薬品医療機器等法にお ける規制の基本的要素と判断の参考となる情報を提供することで、医療機器プ ログラム開発に係る事業の予見可能性を高めることを目的とするものである。なお、本ガイドラインは、発出時点での規制及び相談事例等に基づいて作成されたものであり、随時更新される可能性があることに留意する必要がある。

ーーーーー

目次的なもの...

1 はじめに

2 基本的考え方
(1)医療機器プログラムの範囲
(2)医療機器プログラムの基本的考え方
①インストール等することによってデスクトップパソコン等の汎用コンピュータ又はスマートフォン等の携帯情報端末(以下「汎用コンピュータ等」という。)に医療機器としての機能を与えるもの
②有体物である医療機器と組み合わせて使用するもの

3 該当性判断

4 除外基準
(1)患者説明を目的とするプログラム
①医療関係者が患者や家族に治療方法等を理解してもらうための患者説明用プログラム
(2)院内業務支援、メンテナンスを目的とするプログラム
①医療関係者が患者の健康記録等を閲覧等するプログラム
②診療予約や受付、会計業務など医療機関における一般事務作業の負担軽減などを目的とした院内業務支援プログラム
③医療機関に医療機器の保守点検や消耗品の交換の時期等を伝達するメンテナンス用プログラム
(3)使用者(患者や健常者)が自らの医療・健康情報を閲覧等することを目的とするプログラム
①個人の健康記録を保存、管理、表示するプログラム
②スポーツや健康維持を目的とするプログラム
(4)生命及び健康に影響を与えるリスクが低いと考えられるプログラム

5 該当性判断の手順
(1)判断に必要な項目
①個人・家庭向け
②医療機関向け(個人が医療関係者の管理下で使用するものを含む。)
(2)使用目的等の確認と一般的名称の検索
(3)フローチャートの活用

6 人の生命及び健康に影響を与えるリスクの程度の考え方

7 臨床研究等における取扱いについて

 

● プログラムの医療機器該当性判断事例

1 医療機器に該当しないもの
A) 個人での使用を目的としたプログラム
1)健康管理や運動管理を目的としたプログラム
ア 個人の健康記録を保存、管理し、アクセスするプログラム
イ スポーツや健康維持を目的としたプログラム
2)教育用プログラム
3)データの加工・処理を行わない(表示、保管、転送のみを行う)プログラム
4)診断、治療以外を目的としたデータの加工・処理を行うプログラム

B) 医療機関での使用を目的としたプログラム
1)教育用プログラム
2)院内業務支援、メンテナンス用プログラム
ア 医療関係者が患者の健康記録等を閲覧等するプログラム
イ 院内業務支援プログラム
ウ メンテナンス用プログラム
3)データの保管、転送のみを行うプログラム
4)診断、治療以外を目的とした、データのグラフ化・画像の表示のみを行うプログラム
5)診断、治療以外を目的とした、データの加工・処理を行うプログラム
6)診断・治療ガイドライン等に従った処理のみを行うプログラム

C) 一般医療機器(クラスⅠ医療機器)と同等の処理を行うプログラム

2 医療機器に該当するもの
1)入力情報を基に、疾病候補、罹患リスクを表示するプログラム
2)入力情報を基に、医療機関への受診勧奨を行うプログラム
3)疾病の診断・治療・予防を意図したプログラム
ア 医療機器で得られたデータ(画像を含む)を加工・処理し、診断又は治療に用いるための指標、画像、グラフ等を作成するプログラム
イ 治療計画・方法の決定を支援するためのプログラム(シミュレーションを含む)
ウ 医療機器の制御を行うプログラム、又は、医療機器データの分析を行うことを目的として、医療機器に接続して医療機器の機能を拡張するプログラム
4)有体物の医療機器とセットで使用するプログラム


● 判断フローチャートに係る Q&A

Ⅰ 使用者の判断
【個人で使用する目的】

Ⅱ 個人で使用するプログラム
【健康管理目的か】
【教育用か】
【データの表示、保管、転送のみか】
【診断、治療以外を目的としたデータの加工・処理か】
【入力情報を基に、疾病候補、罹患リスクを表示するものか】
【入力情報を基に、医療機関への受診勧奨をするか】
【診断・治療・予防を意図しているか】

Ⅲ 医療機関で使用するプログラム
【院内業務支援用か】
【データの保管、転送のみか】
【診断以外を目的としたデータの加工・処理を行うものか】
【診断・治療ガイドライン等に従った処理のみを行うものか】
【入力情報を基に、疾病候補・罹患リスクを表示するものか】
【診断・治療・予防を意図しているか】

Ⅳ 一般医療機器(クラスⅠ医療機器)と同等の処理を行うプログラム
【一般医療機器と同一の処理か】

Ⅴ その他
ーーーーー

 

 

20210305-222112

| | Comments (0)

カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

こんにちは、丸山満彦です。

カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

ClearViewAI [wikipedia] という会社ですが、CleraViewAI社のWebページ等の情報をまとめると、

インターネットの公開情報から顔のある画像データを集め(30億枚?)検索ツールとともに、法執行機関と一部のセキュリティ専門家に販売している企業のようですね。。。以前は民間企業にも販売していたようですが、今はしていないようですね。。。

-----

● The VERGE

・2020.05.07 Clearview AI to stop selling controversial facial recognition app to private companies b

The company is ending all non-law enforcement contracts

-----

このシステムのおかげで殺人、性的暴行、家庭内暴力、子供の性的搾取事件など、何千もの重大な犯罪を解決したということのようです。。。

一方、カナダのプライバシーコミッショナーは、

The investigation found that Clearview had collected highly sensitive biometric information without the knowledge or consent of individuals. Furthermore, Clearview collected, used and disclosed Canadians’ personal information for inappropriate purposes, which cannot be rendered appropriate via consent. 調査の結果、Clearview社は個人の知識や同意なしに非常に機密性の高い生体情報を収集していたことが判明した。さらに、同社はカナダ人の個人情報を収集、使用、開示した。

と主張していますね。。。

-----

なお、カナダのプライバシーコミッショナーは、以前Cadillac Fairview社[wikipedia]がショッピングモールで買い物客を撮影し、顔認識技術を使っていた件で報告書を出していましたね。。。

Joint investigation of the Cadillac Fairview Corporation Limited by the Privacy Commissioner of Canada, the Information and Privacy Commissioner of Alberta, and the Information and Privacy Commissioner for British Columbia

-----

一方、米国の国会議事堂にトランプ支持者が乱入した際には、容疑者の特定に使われて効果を発揮したようですね。。

-----

● The VERGE

・2021.01.10 Use of Clearview AI facial recognition tech spiked as law enforcement seeks to identify Capitol mob b

The company’s CEO said use of its tech was up 26 percent the day after the January 6th attack

社会の安全と個人のプライバシーのバランスをどうとるのか。。。抽象的には簡単に言えても、具体的な当てはめは難しいですね。。。

また、この線引きは国によっても違うでしょうし、ひょっとしたら時代(環境)とともに変わってくるのでしょうね。。。

もっと積極的に使おうとする国もあるでしょうしね。。。

他の国がどのような判断をするのか、気になりますね。。。

Office of the Privacy Commissioner of Canada

・2021.02.03 Statement by the Privacy Commissioner of Canada following an investigation into Clearview AI

・2021.02.03 (news) Clearview AI’s unlawful practices represented mass surveillance of Canadians, commissioners say

 

また、今回の議論とは別に、AIの誤りに関する論点もありますね。。。

 

 


■ 報道

● The New York Times

・2021.02.03 Clearview AI’s Facial Recognition App Called Illegal in Canada by

Canadian authorities declared that the company needed citizens’ consent to use their biometric information, and told the firm to delete facial images from its database.

Tech Crunch

・2021.02.04 Clearview AI ruled ‘illegal’ by Canadian privacy authorities by Zack Whittaker

Controversial facial recognition startup Clearview AI violated Canadian privacy laws when it collected photos of Canadians without their knowledge or permission, the country’s top privacy watchdog has ruled.

● Tech Crunch Japan

・2021.02 04 Clearview AIの顔認識技術はカナダでもプライバシー侵害で違法 by 

物議を醸し出している顔認識技術のClearview AIが、カナダ人の写真を断りなく無許可で収集したとして、同国政府直属のプライバシー監視団体から有罪を宣告された。

CBC

・ 2021.02.04 Clearview AI violated Canadian privacy law with facial recognition: report

Canadian privacy commissioners have found that American technology company Clearview AI violated Canadian law when it collected images of people without their knowledge or consent.

CTV News

・ 2021.02.03 Clearview AI broke Canadian privacy laws with facial recognition tool, watchdogs say by 

OTTAWA -- Privacy watchdogs say U.S. firm Clearview AI's facial-recognition technology resulted in mass surveillance of Canadians and violated federal and provincial laws governing personal information.

● HUFFPOST

・ 2021.02.03 Clearview AI’s Mass Surveillance Of Canadians A ‘Clear Violation’ Of Privacy Laws: Watchdog

The company had said consent wasn't needed because they don't have a "real and substantial" connection to Canada.

● National Post

・ 2021.02.03 Facial recognition tool used by RCMP deemed illegal mass surveillance of unwitting Canadians by Jim Bronskill

U.S.-based Clearview AI told investigators that Canadian privacy laws do not apply to it and has refused to delete the data

関連

● まるちゃんの情報セキュリティ気まぐれ日記

これは参考になります↓

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

Clearviewの設定ミスに関する話・・・↓

・2020.10.24 敵対的機械学習に対する脅威マトリックス (Adversarial ML Threat Matrix)

 

その他、カナダのプライバシー関連のガイドライン等

・2020.10.10 カナダ プライバシー法、個人データ保護と電子文書法に関する議会への報告書

・2020.08.29 カナダのプライバシーコミッショナーがIoTに関するプライバシーガイドラインを公表してました。。。

・2020.08.15 カナダのプライバシーコミッショナーが企業向けの新しいプライバシーガイドを公開

・2020.05.08 カナダ 連邦、州、地域のプライバシー委員会委員によるコンタクト・トレーシング・アプリに対するプライバシー原則についての共同声明

・2020.04.25 COVID-19 トラック・トレーシング・アプリについて米国・カナダ関連

 

| | Comments (0)

米国 National Cyber​​ Investigative Joint TaskForceがランサムウェアのファクトシートを発表していますね。。。

こんにちは、丸山満彦です。

米国の15を超える政府機関から専門家を集めたNational Cyber​​ Investigative Joint TaskForceがランサムウェアのファクトシートを作成し、公表していますね。。。

2013年から2019年の間に、少なくとも1億4,435万ドル(約152億円)のビットコインがランサムウェアの身代金として支払われたと推定されているようですね。。。2020年は被害も多かったので、この数字はさらにかなり上がっているように思います。

● FBI

・2021.02.04 The National Cyber Investigative Joint Task Force Releases Ransomware Fact Sheet

ファクトシートは↓

IC3

・[PDF] Ransomware - What it is & What to do about it



  

分かりやすい内容なので、簡単に日本語にしてみました・・・


ランサムウェアとは?

ランサムウェアは、コンピュータ上のデータを暗号化して使用不能にする悪質なソフトウェア、またはマルウェアの一種です。 悪意のあるサイバー犯罪者は、身代金が支払われるまでデータを人質にします。身代金が支払われない場合、被害者のデータは利用できなくなります。サイバー犯罪者は、被害者のデータを破壊したり、公開すると脅して身代金の支払いを迫ることもあります。

ランサムウェア対策のための政府の取り組み

ランサムウェア攻撃はあらゆる分野に影響を与えますが、連邦政府は、州、地方、部族、準州政府、自治体、警察や消防、病院、その他の重要なインフラストラクチャのネットワークへのランサムウェアの影響を特に懸念しています。これらのタイプの攻撃によって、警察や消防署の緊急時の対応を遅れたり、病院が救命設備にアクセスできなくなったりする可能性があります。この脅威に対抗するために、NCI JTFは、ランサムウェア攻撃を防ぐ方法について一般の人々を教育し、法執行機関との調整と対応を改善し、この悪質な活動に関与している犯罪者にその責任を課す政府全体の行動を可能にし、これらを秩序立てて実施するために、専門家からなる省庁間のグループを招集しました。サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)は、ランサムウェアのようなサイバー事件から身を守るための支援として、「CISAサイバーエッセンシャル」や「CISAインサイト」をはじめとする多くの取り組みを主導しています。これらの取り組みと CISA が提供するツールの詳細については、https://www.cisa.gov/ransomware を参照してください。FBl IC3.gov ウェブサイトには、ランサムウェアに焦点を当てた情報を追加しており、https://ic3.gov/Home/Ransomware で確認することができます。

一般的な感染媒介者

サイバー犯罪者は様々な手口で被害者をランサムウェアに感染させますが、最も一般的な感染手段は次のとおりです。

  • 電子メールのフィッシングキャンペーン:サイバー犯罪者は、悪意のあるファイルやリンクを含む電子メールを送信し、受信者がクリックするとマルウェアを展開します。サイバー犯罪者は昔から、マルウェアを展開するために一般的な広範囲のスパム戦略を使用してきましたが、最近のランサムウェア・キャンペーンはより標的を絞った洗練されたものになっています。また、犯罪者は前駆体(調査用)マルウェアを使用して被害者の電子メールアカウントを危険にさらすこともあります。

  • リモート デスクトップ プロトコル (RDP) の脆弱性RDP は、個人がインターネットを介してコンピュータのリソースやデータを制御できるようにする独自のネットワークプロトコルです。サイバー犯罪者は、試行錯誤しながらユーザーの資格情報を取得する総当たり手法と、ダークウェブ市場で購入した資格情報の両方を利用して、被害者システムへの不正なRDPアクセスを獲得してきました。RDPアクセスを取得すると、犯罪者は、ランサムウェアを含むさまざまなマルウェアを被害者のシステムに展開することができます。

  • ソフトウェアの脆弱性:サイバー犯罪者は、広く使われているソフトウェアプログラムのセキュリティ上の弱点を利用して、被害者システムを制御したり、ランサムウェアを配備したりすることができます。

ランサムウェアのリスクを最小限に抑えるためのベストプラクティス

  1. データ、システムイメージ、および構成をバックアップし、テストし、オフラインでバックアップを保持する
  2. 多要素認証を活用する
  3. アップデートとパッチシステム
  4. セキュリティソリューションが最新であることを確認する
  5. インシデント対応計画を見直し、実行する

ランサムウェアが公共部門に与えた影響

以下の例では、支払った身代金やサービスの復旧費用などで影響を示していますが、ランサムウェアに感染した場合の影響/費用をトータルで計算することは困難です。また、身代金を支払ったからといって、盗まれた機密データがダークウェブ上で販売されないことを保証するものではありません。

  • 米国のある郡がRyukに感染し、郡のシステムのほぼ全てがオフラインになりました。郡にはバックアップサーバーがありましたが、ネットワークから隔離されていなかったため、同様に感染してしまいました。郡は132000ドルの身代金を支払いました。

  • 米国のある都市のシステムが、13ビットコイン(76000ドル)の身代金を要求するロビンフッドに感染しました。攻撃者は、古くて時代遅れのハードウェアやソフトウェアを使ってネットワークに侵入しました。身代金を支払わなかったが、サービスの復旧には900万ドル以上の費用がかかると見積もられています。

  • 米国のある郡のコンピューターシステムがRyukに感染しました。攻撃者は復号鍵のためにビットコインで120万ドル以上を要求しました。当局は身代金を支払う代わりにシステムを再構築することにし、新しい機器や技術支援に100万ドルを費やしました。あるユーザが悪質なリンクや添付ファイルを開いて感染を引き起こしたとされています。

報告情報

FBIは、犯罪者に身代金を支払うことを奨励していません。身代金を支払うことで、敵対者が新たな組織を標的にしたり、他の犯罪行為者にランサムウェアの配布に関与させたり、不正な活動に資金を提供したりすることを助長する可能性があります。また、身代金を支払ったからといって、被害者のファイルが復旧することを保証するものではありません。あなたやあなたの組織が身代金の支払いを決定したかどうかにかかわらず、FBIは、ランサムウェア事件を最寄りの現地事務所またはFBIのインターネット犯罪苦情センター(IC3)に報告することを強くお勧めします。報告することで、捜査官はランサムウェア攻撃者を追跡し、米国法に基づいて責任を追及し、将来の攻撃を防ぐために必要な重要な情報を得ることができます。

ランサムウェアの被害者は、法執行機関に苦情を申し立てるか、以下の方法でインシデントを報告することができます:

  • Contacting your local federal law enforcement field office
  • Filing a complaint with the Internet Crime Complaint Center (IC3) https://ic3.gov/Home/Ransomware
  • Contacting NCIJTF CyWatch 24/7 support at 1-855-292-3937
  • Reporting incidents, phishing, malware or vulnerabilities with CISA https://us-cert.cisa.gov/report

 

 

| | Comments (0)

2021.02.04

サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

こんにちは、丸山満彦です。

NISTがサイバーセキュリティとプライバシーに関する 2021年の取り組みをブログに載せていますね。。。

9つの優先分野を紹介していますね。。。

Cybersecurity Frameworkの改訂もあるようですね。。。

 

● NIST - ITL - CYBERSECURITY INSIGHTS a NIST blog

・2021.02.02 2021: What’s Ahead from NIST in Cybersecurity and Privacy?

 

私なりにまとめてみました...

優先分野 仮訳 キーワード 関連する標準等
1 Enhancing risk management リスク管理の強化 フレームワークの整合性 Cybersecurity Framework
Privacy Framework
Risk Management Framework
ERM (Draft NISTIR 8286A)
サプライチェーンリスク管理 SP 800-161
取引先等の未格付情報の管理 SP 800-172
SP 800-171
SP 800-53A

SP 800-47
2 Privacy プライバシー PRIVACY FRAMEWORK Privacy Framework
3 Strengthening Cryptographic Standards and Validation 暗号標準と検証の強化 量子耐性暗号 Cryptographic Standards and Guidelines
4 Cybersecurity Awareness, Training, and Education and Workforce Development 意識づけとトレーニング、教育と能力開発   NICE
Training, Education, and Awareness
CYBERSECURITY EDUCATION & WORKFORCE DEVELOPMENT
5 Metrics and Measurements 指標と測定   SP 800-55
6 Identity and access management アイデンティティ管理とアクセス管理 ID管理、アクセス管理 FIPS 201-3(Draft)
7 Trustworthy Networks 信頼できるネットワーク IPV6
5G
NCCoE 5G Cybersecurity
8 Trustworthy Platforms 信頼できるプラットフォーム DevSecOps  
9 Securing Emerging Technologies 新技術に対するセキュリティ IoT SP 800-213(Draft)
NISTIR 8259
NCCoE Internet of Things (IoT)

 

| | Comments (0)

日本公認会計士協会 (JICPA) 保証業務実務指針「非パブリック型のブロックチェーンを活用した受託業務に係る内部統制の保証報告書に関する実務指針」(公開草案)の公表について

こんにちは、丸山満彦です。

日本公認会計士協会 (JICPA)から保証業務実務指針「非パブリック型のブロックチェーンを活用した受託業務に係る内部統制の保証報告書に関する実務指針」(公開草案)が公表され、意見募集が行われていますね。。。

ブロックチェーンを活用した受託業務に係る内部統制の保証業務に対する潜在的なニーズが存在すると考えられることから、[PDF] 保証業務実務指針3402「受託業務に係る内部統制の保証報告書に関する実務指針」を基礎とした保証業務実務指針として開発されたようですね。。。

ある意味当然ですが、非パブリック型(コンソーシアム型、プライベート型)のブロックチェーンが対象です。。。

日本公認会計士協会 (JICPA) 

・2021.02.03 保証業務実務指針「非パブリック型のブロックチェーンを活用した受託業務に係る内部統制の保証報告書に関する実務指針」(公開草案)の公表について

・[PDF] 非パブリック型のブロックチェーンを活用した受託業務に係る内部統制の保証報告書に関する実務指針

Jicpawebthumb

コンソーシアム型の場合は、複数の会社が関係していることがあるのですが、その一部の会社の内部統制を評価するということもできるので、保証業務の範囲を明確にすることが重要ですね。。。それについて、公開草案では、

ーーーー

≪(1) 保証業務の範囲≫

A4. コンソーシアム型ブロックチェーンにおいては、複数の会社によって共同でシステムが運営される特性上、コンソーシアムの参加者を垂直的な受託・再受託関係として識別するのではなく、並列的な関係として識別した方が合理的である場合も想定される。このような場合においては、参加者全体を受託会社として取り扱うことも考えられるが、ブロックチェーンを構成するシステムの管理対象・役割等に鑑みて一部の参加者のみを受託会社として取り扱う場合もある。ただし、受託会社は単独とは限らず、複数の参加者を受託会社として取り扱う場合があることに留意する。

ーーーー

で、付録4で類型例を示していますね。。。

  1. 実質的に単一会社の管理下にあるブロックチェーンであり、ノードの役割を分離していない場合
    1_20210204011801
  2. 実質的に単一会社の管理下にあるブロックチェーンであり、ノードの役割を分離している場合
    2_20210204011801

  3. 単一会社の管理下にあるブロックチェーンであり、ノードとシステムで管理会社を分けている場合
    3

  4. コンソーシアム型ブロックチェーンであり、ノードの機能又はシステムの機能性に応じて管理会社を分けている場合
    4

いずれにしても、利害関係者にどの部分が保証業務の範囲になっていて、どの部分が保証業務の範囲になっていないかを明確にすることが重要となりますね。。。

 

目次は、

Ⅰ 本実務指針の適用範囲
1.適用範囲
2.背景
3.本実務指針の目的

Ⅱ 要求事項
1.本実務指針の遵守

Ⅲ 適用指針
1.適用範囲
2.我が国における職業倫理に関する規定
3.保証業務契約の新規の締結及び更新
(1)
保証業務の範囲
(2) 保証業務を実施するための能力と適性
(3) 受託会社確認書

4.受託会社のシステムの理解
5.証拠の入手
(1)
記述書に関する証拠の入手
(2) 内部統制のデザインに関する証拠の入手
(3) 内部統制の運用状況の有効性に関する証拠の入手

6.経営者確認書
7.保証報告書
Ⅳ 適用
付録1 受託会社確認書の記載例
付録2 受託会社監査人の保証報告書の文例
付録3 経営者確認書の記載例
付録4 当事者関係の類型

 

 

 

| | Comments (0)

NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

こんにちは、丸山満彦です。

NISTから非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護を強化するためのSP 800-171を補完する文書であるNIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171 が公表されていますね。。。

まだ読んでいませんが、ざっと見たところ面白そうです。。。

● NIST - ITL

・2021.02.02 (news) NIST Offers Tools to Help Defend Against State-Sponsored Hackers

Special Publication 800-172 is designed to protect sensitive information in a variety of electronic systems.

・2021.02.03 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・[PDF] SP 800-172

 

172_20210203223801

 

CHAPTER ONE INTRODUCTION 第1章 序章
1.1 PURPOSE AND APPLICABILITY 1.1 目的と適用性
1.2 TARGET AUDIENCE 1.2 対象読者
1.3 ORGANIZATION OF THIS SPECIAL PUBLICATION 1.3 本出版物の構成
CHAPTER TWO THE FUNDAMENTALS 第2章 基本事項
2.1 DEVELOPMENT APPROACH 2.1 開発アプローチ
2.2 ORGANIZATION AND STRUCTURE 2.2 組織と構造
2.3 FLEXIBLE APPLICATION 2.3 柔軟なアプリケーション
CHAPTER THREE THE REQUIREMENTS 第3章 要求事項
3.1 ACCESS CONTROL 3.1 アクセス管理
3.2 AWARENESS AND TRAINING 3.2 意識向上と訓練
3.3 AUDIT AND ACCOUNTABILITY 3.3 監査と説明責任
3.4 CONFIGURATION MANAGEMENT 3.4 構成管理
3.5 IDENTIFICATION AND AUTHENTICATION 3.5 識別と認証
3.6 INCIDENT RESPONSE 3.6 インシデント対応
3.7 MAINTENANCE 3.7 メンテナンス
3.8 MEDIA PROTECTION 3.8 記憶媒体の保護
3.9 PERSONNEL SECURITY 3.9 要員のセキュリティ
3.10 PHYSICAL PROTECTION 3.10 物理的保護
3.11 RISK ASSESSMENT 3.11 リスク評価
3.12 SECURITY ASSESSMENT 3.12 セキュリティ評価
3.13 SYSTEM AND COMMUNICATIONS PROTECTION 3.13 システムと通信の保護
3.14 SYSTEM AND INFORMATION INTEGRITY 3.14 システムと情報の完全性
REFERENCES 参考文献
APPENDIX A GLOSSARY 付録A 索引
APPENDIX B ACRONYMS 付録B 頭字語
APPENDIX C MAPPING TABLES 付録C 対応表
APPENDIX D ADVERSARY EFFECTS 付録D 副作用

 

■ 関連文書

・2021.01.28 SP 800-171 Rev. 2  Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

・[PDF]  SP 800-171 Rev. 2

Supplemental Material:
・[DOC] CUI Plan of Action template
・[DOC] CUI SSP template **[see Planning Note]
・[XLS] Mapping: Cybersecurity Framework v.1.0 to SP 800-171 Rev. 2

Other Parts of this Publication:
・2018.06.13 SP 800-171A Assessing Security Requirements for Controlled Unclassified Information
 SP 800-171A

 SP 800-171 は2020.02にRev.2になったのですが、2021.01.28にEditorialな修正が入っています。。。なお、こちらは2020.02段階の文書についてEva Aviationが翻訳を出しています。

また、SP 800-171AはSP 800-171 Rev.1 に対応したものになっています。


Eva Aviation

・2020.12.28 NIST SP 800-171関連主要ドキュメント

・[PDF] NIST SP 800-171 Rev.1 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護
・[PDF] NIST SP 800-171 Rev.2 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護



● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.07.09 NIST SP 800-172 (Draft) Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171 (Final Public Draft)

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

| | Comments (0)

2021.02.03

日本公認会計士協会 (JICPA) IT委員会研究資料第11号「WebTrustの保証報告書等の記載例」+Trustサービス関連の情報

こんにちは、丸山満彦です。

日本公認会計士協会(IT委員会)が、IT委員会研究資料第11号「WebTrustの保証報告書等の記載例」を公表しましたね。。。

これは、本家のカナダ勅許職業会計士協会
(CPA Canada) が定めている国際保証基準 [PDF] I
SAE 3000 にしたがった場合の保証報告書及び経営者記述書の記載例[PDF] WebTrust - International reporting under ISAE 3000の日本語版を示したものという感じですね。。。

ちなみに、カナダ会計士協会では、カナダ基準、米国基準と国際基準にしたがった場合の記載例を示しています。

なお、従来、WebTrust保証業務については、カナダ勅許職業会計士協会(CPA Canada)と日本公認会計士協会のライセンス契約に基づき、日本公認会計士協会とサブライセンス契約を締結した監査法人・公認会計士によって実施される業務だったのが、2020年12月末でこのライセンス契約が終了したため、2021年1月以降にWebTrust保証業務を実施する監査法人等はCPA Canadaと個別にライセンス契約を締結する等の対応が必要となっていますね。。。

社会のデジタル化がますます進むので、WebTrustのような、デジタル社会の信頼を保証をする業務は重要になると思います。。。(ビジネスとして大きくなるかどうかは分かりませんが・・・)

 

日本公認会計士協会 (JICPA) 

・2021.02.02 IT委員会研究資料第11号「WebTrustの保証報告書等の記載例」の公表について

・[PDF] IT委員会研究資料第11号 WebTrust の保証報告書等の記載例


参考にCPA CanadaのWebTrustのページの紹介もしておきますね。。。

CPA Canada - WebTrust seal program

WebTrust関連の規準と保証業務を行う監査人のための基準は、
↓こちらですね。

Principles and criteria and practitioner guidance

エンゲージメント適用性マトリックス

 ・2020.11.01 [PDF] WebTrust for Certification Authority-Engagement Applicability Matrix

・認証機関に対するWebTrust原則と基準

・・認証局 (CA) が採用している管理の妥当性と有効性を評価するための第三者保証業務提供者のための枠組み

・・Extended Validation 証明書に関する第三者保証業務提供者のための枠組み

・・SSL 証明書に関する第三者保証業務提供者のための枠組み

・・コード署名に関する第三者保証業務提供者のための枠組み

・・登録機関のためのWebTrust の原則と基準

・報告書例


登録されているWebTrust監査人は
↓こちらです。

*Enrolled WebTrust practitioners: International

日本では、Deloitte(トーマツ)以外の4大法人(EY, KPMG, PwC)が登録されていますね。。。




■ 関連

● 日本公認会計士協会 - IT委員会

実務指針 2 2014.01.14 Trustサービスに係る実務指針(中間報告) [PDF]
実務指針 5 2013.07.24 ITに係る保証業務等の実務指針(一般指針) [PDF]
実務指針 7 2019.11.06 保証業務実務指針3852 受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の保証報告書に関する実務指針 [PDF]
[PDF]
実務指針 8 2018.01.12 専門業務実務指針4480 電子開示書類等のXBRL データに対する合意された手続業務に関する実務指針 [PDF]
         
研究報告 25 2004.06.15 Trustサービス業務に関する契約書文例 [PDF]
研究報告 29 2005.07.20 個人情報保護に係る内部統制の検証とプライバシーフレームワークの活用 [PDF]
研究報告 39 2010.05.18 情報セキュリティ検証業務 [PDF]
研究報告 45 2019.11.06 IT委員会実務指針第7号「受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の保証報告書」の実施上の留意点 [PDF]
研究報告 49 2019.08.02 給与計算システムの受託業務に係る内部統制の保証報告書の記載例 [PDF]
研究報告 51 2018.01.12 電子開示書類等のXBRL データに対する合意された手続業務に関するQ&A [PDF]
         
研究資料 3 2003.06.09
認証局のためのWebTrustプログラム
[PDF]
研究資料 5 2006.06.15 一般に公正妥当と認められたプライバシー原則(グローバルプライバシーフレームワーク)
[PDF]
研究資料 6 2013.12.20
Trustサービス原則、規準及びその例示(セキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る適合するTrustサービス原則、規準及びその例示の2006年版の更新)
[PDF]
研究資料 7 2016.04.18 Trustサービス原則、規準及びその例示(セキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る適合するTrustサービス原則、規準及びその例示の2009年版の更新)
[PDF]
研究資料 8 2016.10.31
情報インテグリティ [PDF]
研究資料 9 2017.11.08
Trust サービス原則、規準及びその例示(セキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る適合するTrust サービス原則、規準及びその例示の2014年版の更新)
[PDF]
研究資料 10 2018.09.18
セキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに関するTrustサービス規準 [PDF]
研究資料 11 2021.02.02 WebTrustの保証報告書等の記載例 [PDF]

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.26 日本公認会計士協会がTrust規準以外の情報セキュリティ監査ができるように基準を変えるようですよ(公開草案を公表しています

・2010.05.22 公認会計士協会 確定 IT委員会研究報告「情報セキュリティ検証業務」

2010.04.01 公認会計士協会 パブコメ IT委員会研究報告「情報セキュリティ検証業務」

 

| | Comments (0)

NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「データを科学的に分析する」

こんにちは、丸山満彦です。

デジタル・フォレンジック研究会にコラムを載せました。

 IDF - Column

・2021.02.01 第650号コラム:「データを科学的に分析する」

最終の最後の最後の判断に政治判断はあるとは思うのですが、それでも結論はできる限り定量データに基づいて科学的に分析して論理的に考えた結果を尊重して欲しいという思いを書きました。。。

日本は第二次世界大戦でさまざまなデータに基づく状況判断を無視した精神論で多くの命を失ったということを忘れてはならないと思っています。政治家や事業家のメンツ、私的利益等、色々とあるとは思うのですが、権力を預けてもらっている人、自由に使える資源を多く持っている人ほど、メンツや私的利益等を横に置いてデータを科学的に分析した結果を踏まえた判断をしてもらいたいと思っています。。。


私が書いた「NPO デジタル・フォレンジック研究会」の「コラム」の一覧

 

No Date Title
24 650 2021.02.01 データを科学的に分析する
23 627 2020.08.17 若者のサイバー犯罪を無くしたい。。。
22 600 2020.02.03 デジタルフォレンジックスと多様性
21 578 2019.08.26 未来を考えようと思うとき、人は過去を振り返る
20 551 2019.02.11 とらわれずに物事をみつめる
19 521 2018.07.09 AIは科学捜査を騙せるか?
18 493 2017.12.18 セキュリティ・デバイド?
17 474 2017.08.07 『デジタル・フォレンジック』という言葉を今更考える
16 451 2017.02.20 相手を知ることが重要
15 425 2016.08.15 本質を理解する
14 383 2015.10.12 名ばかりCSIRTで良いのか?
13 357 2015.04.13 IoT時代は明るいか暗いか
12 335 2014.11.03 頭を下げるのは社長です
11 308 2014.04.30 標的型攻撃には内部不正対応が重要?
10 286 2013.11.14 セキュリティガバナンスはできる範囲だけやればよいのか?
09 261 2013.05.23 セキュリティの基本はずっとかわっていない
08 240 2012.12.25 さらに組織化が進むサイバー攻撃集団
07 207 2012.05.10 外部から侵入されている想定で情報セキュリティを考える
06 173 2011.09.08 想定外に対応するのが危機管理ではないか
05 139 2011.01.13 データ分析を使った不正発見手法
04 131 2010.11.11 発見的統制の重要性
03 084 2009.12.10 クラウドコンピューティングがもたらす光と影
02 058 2009.06.11 不正をさせない
01 021 2008.09.25 ニーズとシーズ、目的と手段

| | Comments (0)

NIST SP 1800-33 (Draft) 5G Cybersecurity (Preliminary Draft) - 本当に初期ドラフトです(^^)

こんにちは、丸山満彦です。

NISTが5Gのセキュリティに関するガイダンスの暫定ドラフトを発表しています。が、本当に初期ドラフトです(^^)

NIST - ITL

・2021.02.01 SP 1800-33 (Draft) 5G Cybersecurity (Preliminary Draft)

・[PDF] Prelim. Draft SP 1800-33A

プロジェクトのページはこちら・・・

NIST -NCCoE

5G Cybersecurity

 

AnnouncementとAbstarct / Exectove Summaryの仮訳・・・

Announcement 発表
NIST’s National Cybersecurity Center of Excellence (NCCoE) has posted for comment a preliminary draft—the first of three volumes of an upcoming practice guide on 5G cybersecurity. This practice guide can benefit organizations operating or using 5G networks, as well as network operators and equipment vendors, and may be of particular interest to the telecommunications and public safety communities. By releasing each volume of the practice guide as a preliminary draft, we can share the progress made to date, use the feedback received to shape future volumes of the practice guide, and feature the latest 5G technologies and practices that organizations can use as they transition to 5G. NIST の National Cybersecurity Center of Excellence (NCCoE) は、近日公開予定の 5G サイバーセキュリティに関する実践ガイド 全3 巻のうち第 1 弾である初期ドラフトをコメント用に掲載しました。このプラクティス・ガイドは、5Gネットワークを運用または使用している組織だけでなく、ネットワークオペレータや機器ベンダーにとっても有益なものであり、電気通信および公共安全のコミュニティにとっても特に関心の高いものとなるでしょう。実践ガイドの各巻を暫定ドラフトとして公開することで、これまでの進捗状況を共有し、寄せられたフィードバックを活用して今後の実践ガイドを作成し、組織が5Gに移行する際に利用できる最新の5G技術と実践を特集することができます。
   
Abstract / Exextive Summary 概要
Fifth generation technology for broadband cellular networks – or 5G will significantly improve how humans and machines communicate, operate, and interact in the physical and virtual world. 5G brings with it increased bandwidth and capacity, and low latency, which will benefit organizations in all sectors as well as home consumers. As 5G rolls out, cybersecurity professionals are focused on safeguarding this new technology while 5G development, deployment, and usage are still evolving. ブロードバンド・セルラー・ネットワークの第5世代技術(5G)は、人間と機械が物理的・仮想的な世界で通信し、操作し、相互作用する方法を大幅に改善します。5Gは、帯域幅と容量の増加、低遅延をもたらし、家庭の消費者だけでなく、あらゆる部門の組織にも恩恵をもたらします。5Gが展開されるにつれ、サイバーセキュリティの専門家は、5Gの開発、展開、使用がまだ進化している中で、この新しい技術を保護することに注力しています。
This project, which is currently in an early stage of designing and building a solution, will demonstrate how operators and users of 5G networks can mitigate 5G cybersecurity risks. This is accomplished by strengthening the system’s architectural components, providing a secure cloud-based supporting infrastructure, and enabling the security features introduced in the 5G standards. These measures support common use cases and meet industry sectors’ recommended cybersecurity practices and compliance requirements. As the project progresses, this preliminary draft will be updated, and additional volumes will also be released for comment. 現在、ソリューションの設計と構築の初期段階にあるこのプロジェクトでは、5Gネットワークの事業者とユーザーが5Gサイバーセキュリティのリスクを軽減する方法を実証します。これは、システムのアーキテクチャ・コンポーネントを強化し、安全なクラウドベースのサポート・インフラストラクチャを提供し、5G規格で導入されているセキュリティ機能を有効にすることで達成されます。これらの対策は、一般的なユースケースをサポートし、業界セクターが推奨するサイバーセキュリティの実践とコンプライアンス要件を満たしています。プロジェクトの進捗に合わせて、この暫定ドラフトは更新され、追加版もコメント用に公開される予定です。

| | Comments (0)

2021.02.02

ISO/IEC TS 27570:2021 Privacy protection — Privacy guidelines for smart cities(プライバシー保護- スマートシティーのためのプライバシーガイドライン)

こんにちは、丸山満彦です。

スマートシティーのためのプライバシー保護のガイドラインがISO/IEC から Technical Specification:
TSとしてとして発行されてますね。。。

ISO

ISO/IEC TS 27570:2021 Privacy protection — Privacy guidelines for smart cities

構成は、

原文 仮訳
Introduction 序章
1 Scope 1 スコープ
2 Normative references 2 参照標準
3 Terms and definitions 3 用語と定義
4 Abbreviated terms 4 略語
5 Privacy in smart cities 5 スマートシティにおけるプライバシー
5.1 General 5.1 一般
5.2 Integration of privacy in the smart city reference framework 5.2 スマートシティ参照フレームワークにおけるプライバシーの統合
5.3 Actors 5.3 関係者
5.4 Challenges 5.4 課題
6 Guidance on smart city ecosystems privacy protection 6 スマートシティエコシステムのプライバシー保護に関するガイダンス
6.1 Ecosystem privacy plan 6.1 エコシステム・プライバシー計画
6.2 Governance 6.2 ガバナンス
6.3 Supply chain 6.3 サプライチェーン
6.4 Data management 6.4 データ管理
7 Guidance on standards for smart city ecosystems privacy protection 7 スマートシティ・エコシステムのプライバシー保護に関する基準のガイダンス
7.1 General 7.1 一般
7.2 Privacy governance 7.2 プライバシーガバナンス
7.3 Privacy risk management 7.3 プライバシーリスク管理
7.4 Privacy engineering 7.4 プライバシー工学
8 Guidance on processes for smart city ecosystem privacy protection 8 スマートシティエコシステムのプライバシー保護のためのプロセスに関するガイダンス
8.1 General 8.1 一般
8.2 Governance process 8.2 ガバナンスプロセス
8.3 Data management process 8.3 データ管理プロセス
8.4 Risk management process 8.4 リスク管理プロセス
8.5 Engineering process 8.5 エンジニアリングプロセス
8.6 Citizen engagement process 8.6 市民参加型プロセス
Annex A Example of ecosystem privacy plan structure 付属A エコシステム・プライバシー計画の構成例
Annex B Using video cameras in smart cities 付属B スマートシティでのビデオカメラの使用
B.1 Data flow treatment of video cameras B.1 ビデオカメラのデータフロー処理
B.2 Privacy concerns B.2 プライバシーへの配慮
B.3 Intended purpose B.3 意図された目的
B.4 Non-intended purposes B.4 意図的されていない目的

 



Figure 1  Examples of standards to reference

fig_1

Figure 2 summarizes privacy recommendations to smart cities ecosystems in this document, further numbered R6.1, R6.2, R6.3, and R6.4.

Figure 2  Ecosystem guidance for privacy

fig_2

Figure 3 summarizes privacy recommendations to smart cities processes in this document, further numbered R8.2, R8.3, R8.3, R8.4, and R8.5.

Figure 3  Process guidance for privacy

fig_3

 

 

 

| | Comments (0)

「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律」が施行された

こんにちは、丸山満彦です。

EUに遅れながらも議論を重ねてきていた、規模の大きいデジタルプラットフォーマを「規制」する法律が2月1日に施行されていますね。。。

● 経済産業省

・2021.01.26 「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律第四条第一項の事業の区分及び規模を定める政令」及び「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律の施行期日を定める政令」が閣議決定されました

 

特定デジタルプラットフォームの透明性及び公正性の向上に関する法律第四条第一項の事業の区分及び規模を定める政令」で、新法の規律対象となる「特定デジタルプラットフォーム提供者」を指定するための事業の区分及び規模として、以下のとおり定めていますね。。。

区分 国内売上額
物販総合
オンラインモール
3,000億円以上
アプリストア 2,000億円以上

 

■ 関連情報

● 法律

● 事業の区分及び規模を定める政令

● 施行期日を定める政令

● 関連リンク

● (官邸)デジタル市場競争本部



| | Comments (0)

Perl公式サイトのドメイン”perl.com”が乗っ取られランサムウェアを配布するサイトと同一のIPアドレスにホストされているようですね、、、

こんにちは、丸山満彦です。

Perl公式サイトのドメイン”perl.com”が乗っ取られランサムウェアを配布するサイトと同一のIPアドレスにホストされているようですね、、、

コミュニティはPerlの公式「org」ドメインの下にサイトを移動しつつ解決を図っているようです。。。

● The Perl NOC

・2021.01.27 perl.com hijacked

■ 報道等

Bleeping Computer

・2020.01.29 Perl.com domain stolen, now using IP address tied to malware by

The domain name perl.com was stolen and now points to an IP address associated with malware campaigns.

Perl.com is a site owned by Tom Christiansen and has been used since 1997 to post news and articles about the Perl programming language.

Technadu

・2021.01.30 The ‘Perl.com’ Domain Was Snatched by Malware Distributors byBill Toulas

  • Hackers stole a “com” Perl domain that now sits on a malware distribution IP address.
  • The domain was stolen a while back, then moved around to different registrars, and finally set to a blank HTML.
  • The community has moved the site under Perl’s official “org” domain and awaits a resolution.

Slashgear

・2021.02.01 Perl.com domain for programming language hijacked, tied to malware actors by JC Torres

GIGAZINE

・2021.02.01 プログラミング言語Perlが公式サイトのドメインをランサムウェア配布サイトに乗っ取られる

プログラミング言語Perlの公式サイトのドメイン「perl.com」が何者かに乗っ取られたことが明らかになりました。記事作成時点では、perl.comがランサムウェアを配布するサイトと同一のIPアドレスにホストされていることが確認されており、アクセスしないように注意が呼びかけられています。


| | Comments (0)

厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)

こんにちは、丸山満彦です。

厚生労働省が「医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)」を公表していますね。。。

 

● 厚生労働省

・2021.01.29 医療情報システムの安全管理に関するガイドライン 第5.1版(令和31月)

発表内容は、、、

・[PDF] 「「医療情報システムの安全管理に関するガイドライン 第5.1 版」の策定について」(医政発0129第1号)

・[PDF] 「「医療情報システムの安全管理に関するガイドライン 第5.1 版」に関するQ&Aについて」(事務連絡)

 

ガイドラインの内容については、、、

本文 ・[PDF] 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)
・医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)【しおり付】準備中
付表 [PDF] 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)付表
付録 ・[PDF] 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)付録 
別添 ・[PDF] 医療情報システムを安全に管理するために(第2.1版)
・[PDF] 医療情報システムの安全管理に関するガイドライン 別冊用語集 
Q&A ・[PDF] 「医療情報システムの安全管理に関するガイドライン 第5.1版」に関するQ&A

5.0からの変更点については、パブコメ募集時のウェブページに書かれていたのですが、今見たら、パブコメ募集のウェブページが削除されている?ようで、アクセスできないので、当時このブログ(2020.10.02 厚生労働省 医療情報システムの安全管理に関するガイドライン第5.1版(案)に関する御意見の募集について )に書いた内容を転記しておきますね。。。

 


改定の背景

サイバー攻撃の手法の多様化・巧妙化、地域医療連携や医療介護連携等の推進、「IoT(モノのインターネット)」と称される新技術やサービス等の普及、各種ガイドライン等の変更等、医療情報システムを取り巻く環境の変化に対応するため、「医療情報システムの安全管理に関するガイドライン」(以降、安全管理ガイドライン)の中で関連章を改定するとともに、第5版の公表以降に追加された標準規格等への対応等を行う。

改定概要

【4章】
• クラウドサービスを利用する場合の責任分界の考え方等について、追記する。

【5章】
• 新たに加わった厚生労働省標準規格の内容を更新する。

【6章】
• 「6.5 技術的安全対策」において、二要素認証の導入促進に関する対応、パスワード要件の明確化、サイバー攻撃に対する考え方、Bluetoothなどの近距離無線を利用した機器に関するセキュリティなどについて追記、更新を行う。

• 「6.10. 災害、サイバー攻撃等の非常時の対応」において、非常時に備えたセキュリティ体制の整備、医療情報システムに障害が発生した場合の医療機関等における報告等に関する責務について、追記、更新を行う。

• 「6.11 外部と個人情報を含む医療情報を交換する場合の安全管理」において、内部ネットワークの監視等、無害化対応についての考え方等について、追記更新を行う。また暗号鍵に関する対応について、「④ 暗号化を行うための適切な鍵管理」を新設し、その考え方を示す。また医療機関等がクラウドサービスを用いた場合についての対応についても、追記を行う。

【8章】
• 「8.1.2 外部保存を受託する事業者の選定基準及び情報の取扱いに関する基準」において、外部事業者の運営組織形態の違いによって定められていた要求事項等を、全ての運営組織形態で一本化した。また選定時において確認すべき事項について明示するほか、委託先となる外部事業者における国内法の適用等の確認を行う旨についても、明確化した。

上記の改定に加え、分かりやすさの観点から全般的に表現の修正を行い、本ガイドラインが参照している資料について、最新の版に合わせ名称等を更新する。


 

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.05 厚生労働省 医療情報システムの安全管理に関するガイドライン第5.1版(案)に関する御意見の募集について

・2020.08.23 総務省 経済産業省 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見募集の結果及び当該ガイドラインの公表

・2020.03.27 厚労省 医療情報システムの安全管理に関するガイドライン 改定素案(第 5.1 版)

・2020.03.10 厚労省の「医療情報システムの安全管理に関するガイドライン」の改訂作業が始まりましたね。。。

・2020.03.06 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見の募集

・2009.12.26 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン 第4.1版(案)」

・2009.11.22 パブコメ 厚生労働省 「診療録等の保存を行う場所について」の一部改正

・2009.07.17 総務省 確定 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」

・2009.05.23 総務省 パブコメ 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(案)」

・2009.04.09 厚生労働省 確定 医療情報システムの安全管理に関するガイドライン 第4版

・2008.03.08 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン第3版(案)」 & 経済産業省 パブコメ 「医療情報を受託管理する情報処理事業者向けガイドライン案」

・2007.04.14 厚生労働省 確定 「医療情報システムの安全管理に関するガイドライン 第2版」

・2005.04.09 医療情報システムの安全管理に関するガイドライン

・2005.03.05 医療情報システム パブコメ

| | Comments (0)

改めて小林弁護士の「人工知能が奪う職業と「洗練された奴隷制」」を読んでみた。。。

こんにちは、丸山満彦です。

少し訳があって、人工知能について考えています。友人と話をしているときに「人間はAIを使うのか、AIに使われるのか」という話をしたあと、ふと小林弁護士が昔書いた記事を思い出して、検索して見つけて読み直しました。。。

小林弁護士が記事を書いてから2年半ほど立っていますが、この議論はこれから重要となってくるでしょうね。。。

AIを使う側の人間と、AIに使われる側の人間の二層化が進んだ社会というものはどういう社会になるのか???ということを想定しながら、読んでみるのも良いかもですね。。。

 

RAD-IT21

・2018.07.17 人工知能が奪う職業と「洗練された奴隷制」 by 小林正啓弁護士

 

小林先生とは、情報ネットワーク法学会で10年くらい前に知り合いましたかね。。。ロボットや人工知能の話を少ししたことがありますね。。。

 

Hierarchy


 

関係ないですが、今日は節分。太陽暦で2月2日が節分になるのは124年とのことです。。。

| | Comments (0)

2021.02.01

ニューヨーク州 金融サービス局 (DFS) も「あなたの個人情報を保護するためのヒント」という個人及び家族向けのガイダンスを公表していますね。。。

こんにちは、丸山満彦です。

米国ニューヨーク州の金融サービス局 (The New York Department of Financial Services: DFS) 機密性の高い個人情報をオンラインおよび自宅で安全に保つためののガイダンスを公表していますね。。。プライバシーの日(1月28日)に因んだものですね。。。

The New York Department of Financial Services: DFS

・2021.01.28 (press) DON’T GET SCAMMED: TIPS TO SECURE YOUR PRIVATE INFORMATION

To Mark Data Privacy Day, Multiple NYS Agencies Offer Ways to Protect Yourself

 

Be wary of unsolicited emails and telephone calls asking for personal information. 
Never share personal information, such as your Social Security number, in response to an unsolicited email or telephone call. If the email or call claims to be from a company with which you do business, call it first to confirm the contact is legitimate. Scammers will also use scare tactics and threats related to tax debt to get you to share your personal and financial information.
迷惑メールや電話で個人情報を求められることがありますので、ご注意ください。 
迷惑メールや電話に応答して、社会保障番号などの個人情報を教えないようにしましょう。取引先の会社を装ったメールや電話があった場合は、まずその会社に電話をして、その連絡が正当なものであることを確認してください。詐欺師は、個人情報や金融情報を教えてもらうために、税金の借金に関連した脅しの手口や脅しを使うこともあります。
Secure your mobile devices. 
Apply software updates that patch known vulnerabilities as soon as they become available. Use security features built into your device, such as a passcode, and use programs that encrypt data and remotely wipe contents if the device is lost or stolen.
モバイル機器の安全を確保しましょう。 
既知の脆弱性にパッチを当てるソフトウェアのアップデートが利用可能になったらすぐにそれを適用してください。パスコードなどのデバイスに組み込まれたセキュリティ機能を使用し、データを暗号化したり、デバイスを紛失したり盗まれたりした場合にデータを遠隔操作で消去するプログラムを使用しましょう。
Be careful with Wi-Fi hotspots. 
Public wireless hotspots are not secure, which means that anyone could potentially see what you are doing on your mobile device while you are connected. Limit what you do on public Wi-Fi and avoid logging into sensitive accounts.
Wi-Fiホットスポットには注意しましょう。 
公衆無線ホットスポットは安全ではないため、接続中にモバイルデバイスで何をしているかを誰かに見られてしまう可能性があります。公衆Wi-Fiでの利用を制限し、機密性の高いアカウントへのログインを避けるようにしましょう。
Know your apps. 
Thoroughly review the details and specifications of an app before you download it. Review and understand the privacy policy of each mobile app. Be aware that the app may request access to your location and personal information.
アプリをよく知るようにしましょう。 
アプリをダウンロードする前に、アプリの詳細と仕様をよく確認しましょう。各モバイルアプリのプライバシーポリシーを確認し、理解しておきましょう。アプリから位置情報や個人情報へのアクセスを要求されることがあるので注意しましょう。
Be cautious about the information you share on social media. 
Avoid posting your birthdate, telephone number, home address, or images that identify your job or hobbies. This information may often reveal answers to security questions used to reset passwords, making you a possible target of scammers looking to access your accounts and personal information.
ソーシャルメディアで共有する情報には注意しましょう。 
生年月日、電話番号、自宅の住所、または仕事や趣味を特定する画像を投稿しないようにしてください。これらの情報から、パスワードのリセットに使用されるセキュリティ上の質問への回答が明らかになることが多く、アカウントや個人情報にアクセスしようとする詐欺師の標的になる可能性があります。
Use strong passwords. 
Create different passwords for all your accounts. Use 10 to 12 characters in a combination of letters (upper and lower case), numbers, and symbols. Regularly change your passwords.
強度の高いパスワードを使いましょう。 
すべてのアカウントに異なるパスワードを作成してください。文字(大文字と小文字)、数字、記号を組み合わせた10~12文字のパスワードを使用してください。パスワードは定期的に変更しましょう。
Vary your security questions. 
Don't use the same security questions on multiple accounts. Select security questions for which the answers cannot be guessed or found by searching social media or the internet.
セキュリティの質問は別々のものにしましょう。 
セキュリティの質問を複数のアカウントで利用しないようにしましょう。ソーシャルメディアやインターネットで検索しても答えが推測できない、または見つからないようなセキュリティの質問を選択するようにしましょう。
Use two-step verification to access accounts. 
To enhance the security of online accounts, whenever possible require a password and an extra security code to verify your identity when you sign in.
アカウントへのアクセスには、2段階認証を使いましょう。 
オンラインアカウントのセキュリティを強化するために、可能な限り、サインイン時にパスワードと追加のセキュリティコードを要求し、認証するようにしましょう。
Beware of phishing. 
Don’t click on links, download files, or open attachments in emails from unknown senders. Open attachments only when you are expecting them and know what they contain, even if you know the sender. Access more information on phishing from the Office of Information Technology Services YouTube page.
フィッシングに注意しましょう。 
リンクをクリックしたり、ファイルをダウンロードしたり、知らない送信者からのメールの添付ファイルを開かないようにしましょう。たとえ送信者を知っていても、添付ファイルを開くのは、期待していて中身が分かっている場合に限りましょう。フィッシングについての詳細は、情報サービス局のYouTubeページをご覧ください。

気になる書き振りもありますが、まぁ、個人向けとしては、このような表現になるのでしょうかね。。。

| | Comments (0)

NISC による重要インフラ事業者等に向けた注意喚起「Salesforceの製品の設定不備による意図しない情報が外部から参照される可能性について」

こんにちは、丸山満彦です。

NISCが重要インフラ事業者等に向けて「Salesforceの製品の設定不備による意図しない情報が外部から参照される可能性について」注意喚起を行っていますね。。。

● 内閣官房サイバーセキュリティセンター

・2021.01.29 [PDF] Salesforceの製品の設定不備による意図しない情報が外部から参照される可能性について


株式会社セールスフォース・ドットコムが提供する顧客関係管理ソリューション「Salesforce」には、データのアクセス権などの設定不備により、意図しない情報が外部から参照される可能性があります。サービスの利用状況や各種設定の確認・見直しを行うなど、以下の参考 URL を参照し、適切なセキュリティ対策を講ずることが必要です。

参考 URL
○ 【お知らせ】当社一部製品をご利用のお客様におけるゲストユーザに対する共有に関する設定に
ついて(セースルフォース・ドットコム)
https://www.salesforce.com/jp/company/news-press/press-releases/2020/12/201225/


○ Salesforce(サポート)への問い合わせ先まとめ(セースルフォース・ドットコム)
https://help.salesforce.com/articleView?id=000340173&type=1&mode=1

○ ゲストユーザセキュリティポリシーのベストプラクティス(セースルフォース・ドットコム)
https://help.salesforce.com/articleView?siteLang=ja&id=000355945&language=ja&mode=1&
type=1


 

| | Comments (0)

« January 2021 | Main | March 2021 »