« February 2021 | Main | April 2021 »

March 2021

2021.03.31

NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨

こんにちは、丸山満彦です。

NISTが消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨をNISTIRとして公表していますね。。。

● NIST - ITL

・2021.03.29 NISTIR 8333 - Workshop Summary Report for “Cybersecurity Risks in Consumer Home Internet of Things (IoT) Products” Virtual Worksho

・[PDF] NISTIR 8333

20210330-182620

 

Abstract 概要
This report provides a summary of the discussion and findings from the NIST Cybersecurity Risks in Consumer Home Internet of Things (IoT) Devices virtual workshop in October 2020. NIST Interagency Report (NISTIR) 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers, and NISTIR 8259A, IoT Device Cybersecurity Capability Core Baseline, provide general guidance on how manufacturers can approach their role of fulfilling their customers’ cybersecurity needs and capabilities. As discussed in those documents, particular sectors and use cases may require more specific guidance than what is included in NISTIR 8259A’s core baseline for Internet of Things (IoT) devices. To better understand the consumer home device sector, NIST collected observations on the cybersecurity device capabilities in a number of devices available in the first half of 2019. These observations were published in Draft NISTIR 8267, Security Review of Consumer Home Internet of Things (IoT) Products. The information in Draft NISTIR 8267 was foundational for the NIST Cybersecurity Risks in Consumer Home Internet of Things (IoT) Devices virtual workshop. The workshop gathered further community input on the concerns with consumer home IoT device cybersecurity. 本報告は、2020年10月に開催された「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」オンラインワークショップでの議論と結果をまとめたものです。NIST 統合報告(NISTIR)8259「IoT機器メーカーのための基礎的なサイバーセキュリティ活動」とNISTIR 8259A「IoTデバイスのサイバーセキュリティ能力のコア・ベースライン」は、顧客のサイバーセキュリティのニーズと能力を満たすという製造業者の役割にどのようにアプローチするかについての一般的なガイダンスを提供しています。これらの文書で議論されているように、特定のセクターやユースケースでは、NISTIR 8259Aのモノのインターネット(IoT)デバイスのコアベースラインに含まれているものよりも、より具体的なガイダンスが必要な場合があります。消費者向け家庭用機器セクターをより深く理解するために、NISTは2019年前半に発売される多数の機器におけるサイバーセキュリティ機器の機能に関する観測を収集しました。これらの観測結果は、ドラフトNISTIR 8267「消費者向け家庭用IoTのセキュリティレビュー 製品情報」に掲載されました。ドラフトNISTIR 8267の情報は、「NIST C消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」のオンラインワークショップの基礎となりました。このワークショップでは、消費者向け家庭用IoT機器のサイバーセキュリティに関する懸念について、コミュニティの意見がさらに集められました。

 

Takeawayです。。。

 1: Creating a more secure IoT ecosystem for consumer devices can benefit all manufacturers and the “common good.”  1: 消費者向けデバイスのためにより安全なIoTエコシステムを構築することは、すべてのメーカーに利益をもたらし、"共通の利益 "となります。
 2: Manufacturers are challenged by balancing the design and functionality of consumer IoT devices against maintaining a viable cost structure for their target market.  2:メーカーは、消費者向けIoTデバイスのデザインや機能性と、ターゲット市場で実行可能なコスト構造の維持とのバランスを取るという課題を抱えています。
 3: Manufacturers can benefit by having a recognized business model around a “connected device lifecycle” that covers the mechanical and information technology (IT) components of a home IoT device.  3:メーカーは、家庭用IoT機器の機械部品と情報技術(IT)部品をカバーする「コネクテッドデバイスのライフサイクル」を中心とした、認知されたビジネスモデルを持つことで利益を得ることができます。
 4: Consumers cannot bear the sole responsibility of maintaining cybersecurity on IoT devices.  4:消費者は、IoT機器のサイバーセキュリティを維持する責任を単独で負うことはできません。
 5: Software and patch updates are critical to maintaining security, but a consumer’s ability to deploy them is limited.  5:ソフトウェアとパッチの更新は、セキュリティを維持するために重要ですが、消費者がそれを展開する能力は限られています。
 6: Privacy plays a role in the manufacture and consumption of home IoT devices but is not well understood by consumers.  6:家庭用IoT機器の製造・消費において、プライバシーは役割を果たしているが、消費者には十分に理解されていない。
 7: Consumer education about home IoT cybersecurity should be an ongoing, shared responsibility among stakeholders.  7:家庭用IoTのサイバーセキュリティに関する消費者教育は、関係者の間で継続的に行われ、共有されるべきものである。

 

Next Stepです

The NIST Cybersecurity for IoT program has identified the following next steps taking into account the takeaways from the workshop, the feedback on draft NISTIR 8267, and ongoing efforts:  NIST Cybersecurity for IoTプログラムでは、ワークショップで得られた成果、NISTIR 8267草案へのフィードバック、継続的な取り組みを考慮して、次のステップを特定しました。
1. Survey the Options for Confidence Mechanisms for IoT
Devices. NIST should work with consumer groups, industry, standards bodies, and other stakeholders to survey options for confidence mechanisms that enable identification of cybersecurity device capabilities in consumer home IoT devices. 
1. IoTデバイスの信頼性メカニズムのオプションを調査する。
NISTは、消費者団体、産業界、標準化団体、その他の利害関係者と協力して、消費者の家庭用IoT機器におけるサイバーセキュリティ機器の能力の識別を可能にする信頼性メカニズムのオプションを調査するべきです。
2. Address Software Update and Patching Complexity.
NIST could explore ways to work with consumer groups, industry, academia, and other interested stakeholders to address the complexity of software updating/patching and the limits of consumers’ ability to manage updates/patches. 
2. ソフトウェアの更新とパッチ適用の複雑さに対処する。
NISTは、消費者団体、産業界、学界、その他の関心のあるステークホルダーと協力して、ソフトウェアの更新・パッチの複雑さや、消費者の更新・パッチ管理能力の限界に対処する方法を検討することができます。
3. Consider a Consumer Home IoT Device Profile.
NIST could consider how a consumer home IoT device profile of the core baseline might be structured to address the specific concerns of this market. 
3. 消費者の家庭用IoTデバイスプロファイルを検討する。
NISTは、この市場特有の懸念に対応するために、コアベースラインの消費者向け家庭用IoTデバイスプロファイルをどのように構成するかを検討することができます。
4. Perform an Analysis of the Available Guidance for Consumer IoT Cybersecurity.
NIST could conduct an analysis to identify the standards, guidance, and tools currently available; how the standards and guidance overlap and where any critical gaps exist; and what would best support consumer IoT device manufacturers in implementing better security in IoT devices. 
4. 消費者向けIoTサイバーセキュリティのための利用可能なガイダンスの分析を行う。
NISTは、現在利用可能な規格、ガイダンス、ツールを特定するための分析を行い、規格やガイダンスがどのように重複しているか、どこに重大なギャップが存在するか、消費者向けIoT機器メーカーがIoT機器に優れたセキュリティを実装するために何が最も適しているかを明らかにすることができます。
5. Determine appropriate revisions for the Product Security Survey.
NIST should consider revising NISTIR 8267, Security Survey of Consumer Home Internet of Things (IoT) Products with comments from the workshop. 
5. 製品セキュリティ調査の適切な改訂する。
NISTは、ワークショップで得られたコメントをもとに、NISTIR 8267「Security Survey of Consumer Home Internet of Things(IoT) Products」の改訂を検討すべきです。

 

■ 参考

・2020.05.29 NISTIR 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers

 ・[PDF] NISTIR 8259

 

・2020.05.29 NISTIR 8259A, IoT Device Cybersecurity Capability Core Baseline

 ・[PDF] NISTIR 8259A

 

・2019.10.01 Draft NISTIR 8267, Security Review of Consumer Home Internet of Things (IoT) Products

 ・[PDF] NISTIR 8267 (Draft)

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

2020.11.19 2020年IoTサイバーセキュリティ法が上院を通過

・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている?

2020.05.30 NISTIoT機械製造者ハラのセキュリティセキュリティNISTIR8259 IoTデバイスメーカー向けの基本的なサイバーセキュリティ活動、NISTIR 8259AIoTデバイスのサイバーセキュリティ機能コアベースライン

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

| | Comments (0)

米国 CSET AI安全性の主要概念:概要

こんにちは、丸山満彦です。

米国ジョージタウン大学のCenter for Security and Emerging Technology: CSET が、AI安全性の主要概念:概要という論文を公表していました。。。

  • Robustness: 堅牢性
  • Assurance:保証
  • Specification:要件

の3つが挙げられていますね。。。

 

Center for Security and Emerging Technology: CSET

・2021.03 Key Concepts in AI Safety: An Overview

Key Concepts in AI Safety: An Overview AI安全性の主要概念:概要
This paper is the first installment in a series on “AI safety,” an area of machine learning research that aims to identify causes of unintended behavior in machine learning systems and develop tools to ensure these systems work safely and reliably. In it, the authors introduce three categories of AI safety issues: problems of robustness, assurance, and specification. Other papers in this series elaborate on these and further key concepts. 本論文は、機械学習システムにおける意図しない動作の原因を特定し、これらのシステムが安全かつ確実に動作するためのツールを開発することを目的とした機械学習研究の分野である「AI安全性」に関するシリーズの第1回目です。このシリーズでは、AIの安全性に関する問題として、ロバスト性、保証、仕様の3つのカテゴリーを紹介しています。本シリーズの他の論文では、これらの問題やその他の重要な概念について詳しく説明しています。
Introduction はじめに
The past decade has seen the emergence of modern artificial intelligence and a variety of AI-powered technological innovations. This rapid transformation has predominantly been driven by machine learning, a subfield of AI in which computers learn patterns and form associations based on data. Machine learning has achieved success in application areas including image classification and generation, speech and text generation, and decision making in complex environments such as autonomous driving, video games, and strategy board games. この10年間で、現代の人工知能が登場し、AIを活用したさまざまな技術革新が起きています。このような急速な変化は、主に機械学習によってもたらされました。機械学習は、コンピュータがデータに基づいてパターンを学習し、関連性を形成するAIの一分野です。機械学習は、画像の分類や生成、音声やテキストの生成、自律走行やビデオゲーム、戦略ボードゲームなどの複雑な環境下での意思決定などの応用分野で成功を収めています。
However, unlike the mathematical and computational tools commonly used in engineering, modern machine learning methods do not come with safety guarantees. While advances in fields such as control theory have made it possible to build complex physical systems, like those found in various types of aircraft and automobiles, that are validated and guaranteed to have an extremely low chance of failure, we do not yet have ways to produce similar guarantees for modern machine learning systems. As a result, many machine learning systems cannot be deployed without risking the system encountering a previously unknown scenario that causes it to fail. しかし、現代の機械学習は、工学的に用いられる数学や計算機とは異なり、安全性が保証されているわけではありません。制御理論などの進歩により、航空機や自動車などの複雑な物理システムを構築する際には、故障の可能性が極めて低いことが検証・保証されていますが、現代の機械学習システムでは、同様の保証を行う方法がまだありません。そのため、多くの機械学習システムは、これまで知られていなかったシナリオに遭遇してシステムが故障するリスクを避けて導入することができません。
The risk of system failures causing significant harm increases as machine learning becomes more widely used, especially in areas where safety and security are critical. To mitigate this risk, research into “safe” machine learning seeks to identify potential causes of unintended behavior in machine learning systems and develop tools to reduce the likelihood of such behavior occurring. This area of research is referred to as “AI safety” and focuses on technical solutions to ensure that AI systems operate safely and reliably. Many other challenges related to the safe deployment of AI systems—such as how to integrate them into existing networks, how to train operators to work effectively with them, and so on—are worthy of substantial attention, but are not covered here. 機械学習が広く使われるようになると、特に安全性やセキュリティが重要な分野では、システムの故障が重大な被害をもたらすリスクが高まります。このようなリスクを軽減するために、「安全な」機械学習の研究では、機械学習システムにおける意図しない動作の潜在的な原因を特定し、そのような動作が発生する可能性を低減するためのツールを開発しています。この分野の研究は「AIの安全性」と呼ばれ、AIシステムを安全かつ確実に動作させるための技術的ソリューションに焦点を当てています。AIシステムを安全に展開するためには、既存のネットワークにどのように統合するか、オペレーターをどのように訓練して効果的に作業させるかなど、他にも多くの課題があり、注目に値しますが、ここでは取り上げません。
Problems in AI safety can be grouped into three categories: robustness, assurance, and specification. Robustness guarantees that a system continues to operate within safe limits even in unfamiliar settings; assurance seeks to establish that it can be analyzed and understood easily by human operators; and specification is concerned with ensuring that its behavior aligns with the system designer’s intentions. AIの安全性に関する問題は、ロバスト性、保証、仕様の3つのカテゴリーに分類されます。ロバスト性とは、不慣れな環境でもシステムが安全な範囲内で動作し続けることを保証すること、保証とは、人間のオペレータが容易に分析・理解できることを保証すること、そして仕様とは、システム設計者の意図に沿った動作を保証することです。

 

・[PDF] Key Concepts in AI Safety: An Overview

20210910-150743

内容はこちら↓↓↓

 

Continue reading "米国 CSET AI安全性の主要概念:概要"

| | Comments (0)

2021.03.30

NISTIR 8310 (Draft) サイバーセキュリティフレームワーク(CSF) 選挙インフラのプロファイル

こんにちは、丸山満彦です。

NISTがNISTIR 8310 (Draft) Cybersecurity Framework Election Infrastructure Profile(サイバーセキュリティフレームワーク 選挙インフラプロファイル)を公表していますね。。。

米国では選挙システムは重要インフラセクター政府施設セクター (Government Facilities Sector) の選挙インフラサブセクター (Election Infrastructure Subsector) に入っていますよね。。。電子投票が中心だしね。。。

● NIST - ITL

・2021.03.29 NISTIR 8310 (Draft) Cybersecurity Framework Election Infrastructure Profile

Announcement 発表
To help secure our elections, NIST has released Draft NISTIR 8310, Cybersecurity Framework Election Infrastructure Profile. This Profile provides a voluntary, risk-based approach for managing cybersecurity activities and reducing cyber risk to election infrastructure. The Profile is meant to supplement but not replace current cybersecurity standards and industry guidelines available to election officials. 選挙の安全を確保するため、NISTはドラフトNISTIR 8310「Cybersecurity Framework Election Infrastructure Profile」を発表しました。このプロファイルは、サイバーセキュリティ活動を管理し、選挙インフラへのサイバーリスクを低減するための、リスクベースの自主的なアプローチを提供するものです。本プロファイルは、選挙管理者が利用できる現行のサイバーセキュリティ基準や業界ガイドラインを補完することを目的としており、これに代わるものではありません。
This profile can be used in several ways, including the following:  このプロファイルは、以下のようないくつかの方法で使用することができます。 
・To highlight and communicate high priority security expectations, ・優先度の高いセキュリティ上の期待事項を強調して伝えるため
・To perform a self-assessment comparison of current risk management practices, or ・現在のリスク管理方法の自己評価比較を行うため
・As a baseline profile or example profile to reference when developing one’s own. ・独自のプロファイルを作成する際の基準となるプロファイルやサンプルプロファイルとして
We look forward to reviewing all of your comments. We’d also appreciate your feedback on the following: 皆様からいただいたご意見を参考にさせていただきたいと思います。また、以下の点についてもご意見をお聞かせください。
・Does this profile meet your needs? ・このプロファイルはあなたのニーズに合っていますか?
・Are there specific sections more/less helpful?  ・より役に立つ、あまり役に立たないセクションがありますか? 
・Share any thoughts about the separation of Mission Objective 1 into 1a and 1b (see Section 5). ・Mission Objective 1を1aと1bに分けたこと(セクション5参照)
Abstract 概要
This document is a Cybersecurity Framework (CSF) Profile developed for voting equipment and information systems supporting elections. This Election Infrastructure Profile can be utilized by election administrators and IT professionals managing election infrastructure to reduce the risks associated with these systems. This Profile provides a voluntary, risk-based approach for managing cybersecurity activities and reducing cyber risk to election infrastructure. The Profile is meant to supplement but not replace current cybersecurity standards and industry guidelines that the election administrators are already leveraging. 本文書は、選挙をサポートする投票機器および情報システムのために開発されたサイバーセキュリティフレームワーク(CSF)プロファイルです。この選挙インフラプロファイルは、選挙インフラを管理する選挙管理者およびIT専門家が、これらのシステムに関連するリスクを低減するために利用することができます。このプロファイルは、サイバーセキュリティ活動を管理し、選挙インフラへのサイバーリスクを低減するための、リスクベースの自主的なアプローチを提供します。本プロファイルは、選挙管理者がすでに活用している現行のサイバーセキュリティ基準や業界ガイドラインを補完するものであり、これに代わるものではありません。

 

・[PDF] NISTIR 8310 (Draft)

20210330-112526

 

Table of Contents 目次
1 Introduction 1 はじめに
1.1 Purpose 1.1 目的
1.2 Scope 1.2 対象範囲
1.3 Audience 1.3 想定読者
1.4 Document Structure 1.4 文書構造
2 Overview of Election Infrastructure 2 選挙インフラの概要
2.1 Exploring the Elections Infrastructure Subsector 2.1 選挙インフラストラクチャーサブセクターの概要
2.2 Relationship to the Voluntary Voting System Guidelines (VVSG) 2.2 VVSG(Voluntary Voting System Guidelines)との関係
3 Overview of the CSF 3 CSFの概要
3.1 The Framework Core 3.1 フレームワークのコア
3.1.1 Core Functions 3.1.1 コア機能
3.1.2 Core Categories and Subcategories 3.1.2 コアカテゴリーとサブカテゴリー
3.2 Applying the Cybersecurity Framework 3.2 サイバーセキュリティ・フレームワークの適用
4 Profile Development Methodology 4 プロファイル開発の方法論
4.1 Election Profile Workshop 4.1 選挙プロファイルワークショップ
4.2 Follow-on Working Sessions Profile Development 4.2 フォローオンワーキングセッションでのプロファイル作成
5 Election Infrastructure Mission Objectives 5 選挙インフラのミッション目標
6 Summary Framework Category Prioritization 6 要約フレームワークカテゴリーの優先順位付け
6.1 Priority Categories by Mission Objective 6.1 使命目標別の優先カテゴリー
6.2 Summary Table 6.2 まとめの表
7 Priority Subcategories by Mission Objective 7 ミッション目標別の優先サブカテゴリー
References 参考文献
List of Appendices 附属書リスト
Appendix A— Acronyms 附属書A - 頭字語
Appendix B— Workshop Attendees 附属書B - ワークショップの参加者
Appendix C— Informative References 附属書C - 参考文献

 


■ 参考

● NIST- ITL

・2018.04.16 [PDF] Cybersecurity Framework Version 1.1

20210330-115000

 

CISA - Infrastructure Security - Critical Infrastructure SectorsGovernment Facilities Sector - Election Infrastructure Subsector

・2020.07.28 [PDF] CRITICAL INFRASTRUCTURE SECURITY AND RESILIENCE NOTE - ELECTION INFRASTRUCTURE CYBER RISK ASSESSMENT

20210330-112640

20210330-120857

FIGURE 1—ELECTION SYSTEM FUNCTIONAL ECOSYSTEM

 

Department of Homeland Security - Topics - Election Security


U.S. Election Assistance CommissionVOLUNTARY VOTING SYSTEM GUIDELINES

・Approved Guidelines - Voluntary Voting System Guidelines Version 2.0

20210330-112939

 

20210330-113102

 

このブログでもドラフトを紹介していましたね。。。

まるちゃんの情報セキュリティ気まぐれ日記

・2020.03.16 アメリカ連邦選挙支援委員会(Election Assistance Commission)電子投票の仕様に関するガイドラインである任意的投票システムガイドライン(Voluntary Voting System Guideline = VVSG)バージョン2.0案

 


 

まるちゃんブログの電子投票関係...はこちら!!!

 

 

Continue reading "NISTIR 8310 (Draft) サイバーセキュリティフレームワーク(CSF) 選挙インフラのプロファイル"

| | Comments (0)

英国 意見募集 監査とコーポレートガバナンスに対する信頼の回復:改革に対する提案 at 2021.03.18

こんにちは、丸山満彦です。

英国政府のビジネス・エネルギー・産業戦略省 (Department for Business, Energy and Industrial Strategy) [wikipedia] が、「監査とコーポレートガバナンスに対する信頼の回復:改革に対する提案」(Restoring trust in audit and corporate governance: proposals on reforms) について意見募集をしていますね。

 

Consultation description 意見募集について
In this white paper we’re seeking views on proposals to strengthen the UK’s framework for major companies and the way they are audited. The proposals set out how: このホワイトペーパーでは、英国の大企業の枠組みとその監査のあり方を強化するための提案について意見を求めています。提案では、以下の方法を定めています。
・companies should report on their governance and finances ・企業は、そのガバナンスと財務について報告すべきである
・reports should be audited ・報告書は監査されるべきである
・audit and the audit market should change ・監査と監査市場は変化すべきである
・these should be overseen by a new regulator ・新たな規制当局による監督のあり方
The objectives of these reforms are to: この改革の目的は、以下のとおりです。
・restore public trust in the way that the UK’s largest companies are run and scrutinised ・英国の大企業の経営と監視の方法に対する国民の信頼を回復する。
・ensure that the UK’s most significant corporate entities are governed responsibly ・英国の最も重要な企業体が責任を持って統治されることを保証する。
・empower investors, creditors, workers, and other stakeholders by giving them access to reliable and meaningful information on a company’s performance ・投資家、債権者、労働者、その他の利害関係者が、企業の業績に関する信頼性の高い有意義な情報を入手できるようにする。
・keep the UK’s legal frameworks for major businesses at the forefront of international best practice ・大企業に対する英国の法的枠組みが、国際的なベストプラクティスの最前線であり続けること。
The proposals respond to recommendations made by 3 independent reviews commissioned by the government in 2018: 今回の提案は、2018年に政府が委託した3つの独立したレビューによる提言に対応するものです。
・Sir John Kingman’s Independent review of the Financial Reporting Council ・ジョン・キングマン卿による財務報告評議会の独立レビュー
・the Competition and Market Authority’s statutory audit market study ・競争・市場局による法定監査市場調査
・Sir Donald Brydon’s independent review of the quality and effectiveness of audit ・ドナルド・ブリドン卿の監査の質と有効性に関する独立したレビュー
The consultation is open to anyone with an interest in this area, but in particular we would like to hear from: このコンサルテーションは、この分野に関心のある方ならどなたでも参加できますが、特に以下の方からのご意見をお待ちしています。
・users of financial statements ・財務諸表の利用者
・investors ・投資家
・shareholders ・株主
・business stakeholders including creditors ・企業の利害関係者(債権者を含む)
・firms regulated by the Financial Reporting Council ・財務報告評議会の規制を受ける企業
・large public and private companies and their directors ・大規模な公開・非公開企業とその取締役
・other regulatory bodies such as professional associations that represent their members’ interests ・会員の利益を代表する専門家団体など、その他の規制機関
We have published a consultation stage impact assessment alongside this consultation. The supplementary publication on review recommendations provides further information on how each recommendation is being addressed. 我々は、この諮問と並行して、諮問段階での影響評価を発表しました。レビューの推奨事項に関する補足資料では、各推奨事項がどのように対処されているかについての詳細な情報を提供しています。
We have also published the summary of responses to an earlier consultation, Statutory audit services: initial consultation on the Competition and Markets Authority recommendations, which should be read together with this white paper. また、本白書と合わせてお読みいただきたいのが、先に行われたコンサルテーション「法定監査サービス:競争・市場機構の勧告に関する初期コンサルテーション」に対する回答の概要です。

 

20210329-73131 Restoring trust in audit and corporate governance: consultation on the government’s proposals 監査とコーポレート・ガバナンスに対する信頼の回復:政府の提案に関するコンサルテーション
20210329-74000 Impact assessment 影響評価
20210329-74839 Supplementary publication on review recommendations レビュー提言に関する補足資料

 

 Restoring trust in audit and corporate governance: consultation on the government’s proposals 監査とコーポレート・ガバナンスに対する信頼の回復:政府の提案に関するコンサルテーション
Contents 目次
Foreword  序文 
General information  一般情報 
Why we are consulting  なぜ意見募集を行うのか 
Consultation details  意見募集内容 
How to respond  回答方法 
Confidentiality and data protection  機密保持とデータ保護 
Quality assurance 品質保証
Executive Summary  エグゼクティブサマリー 
The need for reform  改革の必要性 
Summary of proposals  提案の概要 
Chapter summaries  各章の概要 
Government’s wider work to improve corporate frameworks  コーポレート・フレームワークの改善に向けた政府の幅広い取り組み 
1 The Government’s approach to reform  1 改革に対する政府のアプローチ 
1.1 The Government’s approach 1.1 政府のアプローチ
1.2 The timetable for change  1.2 改革のタイムテーブル 
1.3 Resetting the scope of regulation  1.3 規制の範囲の再設定 
2 Directors’ accountability for internal controls, dividends and capital maintenance  2 内部統制、配当、資本維持に関する取締役の説明責任 
2.1 Stronger internal company controls 2.1 会社の内部統制の強化
2.2 Dividends and capital maintenance 2.2 配当と資本の維持
3 New corporate reporting  3 新しい企業報告 
3.1 Resilience Statement  3.1 レジリエンス・ステートメント 
3.2 Audit and Assurance Policy  3.2 監査・保証方針 
3.3 Reporting on Payment Practices 3.3 支払い方法に関する報告
3.4 Public Interest Statement  3.4 パブリック・インタレスト・ステートメント 
4 Supervision of corporate reporting  4 コーポレート・レポーティングの監督 
4.1 Background 4.1 背景
4.2 Stronger powers for the regulator  4.2 規制当局の権限強化 
4.3 Measures to strengthen corporate reporting review activity  4.3 企業報告のレビュー活動を強化するための措置 
4.4 Influencing the corporate reporting framework  4.4 企業報告の枠組みへの影響 
5 Company directors  5 会社役員
5.1 Enforcement against company directors 5.1 会社役員に対する強制措置
5.2 Strengthening clawback and malus provisions in directors’ remuneration arrangements 5.2 取締役の報酬制度におけるクローバック及びマルス条項の強化
6 Audit purpose and scope  6 監査の目的と範囲 
6.1 The purpose of audit  6.1 監査の目的 
6.2 Scope of audit  6.2 監査の範囲 
6.3 Principles of corporate auditing 6.3 企業監査の原則
6.4 Tackling fraud  6.4 不正行為への対応 
6.5 Auditor reporting  6.5 監査人の報告 
6.6 True and fair view requirement  6.6 真実かつ公正な表示の要件 
6.7 Audit of Alternative Performance Measures and Key Performance Indicators linked to executive remuneration  6.7 役員報酬に関連する代替業績指標および主要業績指標の監査 
6.8 Auditor liability 6.8 監査人の責任
6.9 A new professional body for corporate auditors  6.9 監査役のための新しい専門機関 
7 Audit Committee Oversight and Engagement with Shareholders  7 監査委員会の監督と株主とのエンゲージメント 
7.1 Audit Committees – role and oversight  7.1 監査委員会-役割と監督 
7.2 Independent auditor appointment  7.2 独立監査人の任命 
7.3 Shareholder engagement with audit  7.3 株主の監査への関与 
8 Competition, choice and resilience in the audit market  8 監査市場における競争・選択・回復力 
8.1 Market opening measures 8.1 市場開放措置
8.2 Operational separation between audit and non-audit practices  8.2 監査業務と非監査業務の運営上の分離 
8.3 Resilience of audit firms and the audit market  8.3 監査事務所と監査市場の回復力 
8.4 Additional competition proposals from the CMA  8.4 CMAによる追加の競争提案 
9 Supervision of audit quality  9 監査品質の監督 
9.1 Approval and registration of statutory auditors of PIEs  9.1 PIEsの法定監査人の承認と登録 
9.2 Monitoring of audit quality  9.2 監査品質のモニタリング 
9.3 Regulating component audit work done outside the UK  9.3 英国外で行われるコンポーネント監査業務の規制 
9.4 The application of legal professional privilege in the regulation of statutory audit 9.4 法定監査の規制における職業上の秘匿特権の適用について
10 A strengthened regulator  10 強化された規制機関 
10.1 Establishing the regulator 10.1 規制機関の設立
10.2 Governance  10.2 ガバナンス 
10.3 Funding: a statutory levy  10.3 資金調達:法定賦課金 
11 Additional changes in the regulator’s responsibilities  11 規制当局の責任に関する追加的な変更 
11.1 Supervision: Accountants and their professional bodies  11.1 監督 会計士とその職業団体 
11.2 Oversight and regulation of the actuarial profession  11.2 保険数理人の職業に対する監督・規制 
11.3 Investor stewardship and relations 11.3 投資家のスチュワードシップと関係
11.4 Powers of the regulator in cases of serious concern  11.4 重大な懸念がある場合の規制当局の権限 
11.5 Local audit  11.5 地方監査 
11.6 Independent supervision of the Auditors General  11.6 監査役会の独立した監督 
11.7 Whistleblowing  11.7 内部告発
List of consultation questions  諮問事項の一覧 

 

■ 参考(詳細はこちらに・・・)

ジョン・キングマン卿による財務報告評議会の独立レビュー

・2018.04.17 Independent report: Financial Reporting Council: review 2018

 

競争・市場局による法定監査市場調査

・2019.07.18 Consultation outcome: Statutory audit services: initial consultation on the Competition and Markets Authority recommendations

 

ドナルド・ブリドン卿の監査の質と有効性に関する独立したレビュー

・2019.02.14 Independent report: The quality and effectiveness of audit: independent review

Independent review by Sir Donald Brydon into the quality and effectiveness of audit.

 


■ 参考

● JETRO
・2021.03.25 (英国)英政府、信頼回復へ監査体制や企業統治について見直しを提言

● Accountancy Age
・2021.03.18 ‘Once in a generation’ audit reforms published

Breaking news and reaction as BEIS publish consultation white paper outlining steps for audit and corporate governance reform

● BBC
・2021.03.18 Accountants: Government to break up dominance of Big Four firms

Proposals to reduce the dominance of the "Big Four" accountancy firms and scrap the industry regulator have been unveiled by the government.

● Deloitte UK
・2021.03.18 Newsflash – BEIS White Paper: Restoring Trust in Audit and Corporate Governance

・2021.03.18 BEIS White Paper: Restoring trust in audit and corporate governance

The proposed reforms in the paper set out how the Government plans to address the findings of each review and include a number of new measures in relation to directors, auditors and audit firms, the audit regulator and shareholders. The reforms are focused on the largest companies as this is where there is greatest public interest in ensuring that audit and corporate reporting are functioning effectively.  The Government wants its reforms to be effective and is therefore looking to make decisive changes. Previous attempts at incremental reform have not prevented the problems identified by the reviews. The proposals in the White Paper are therefore intended to be significant, targeted measures.

● EY UK
・2021.03.18 EY’s comments on the UK Government’s Corporate Governance & Audit Consultation

“Today’s consultation marks a significant step towards a stronger UK corporate governance and audit ecosystem. Overall, the consultation contains proposals that could ensure the UK economy remains internationally competitive and builds on its legacy of leading the world on accounting standards and governance. These reforms will help the UK remain an attractive place to do business. In the long-term, investors seek stable, well-regulated environments.

“The Government is right to progress the key recommendations of the Brydon review. For audit to serve a broader set of stakeholders and keep pace with changing expectations, the scope of audit needs to be expanded and clarified on areas such as Environmental, Social and Governance reporting, and fraud.

“The introduction of a new regulator alongside tighter accountability for directors as part of a UK equivalent of the US Sarbanes Oxley framework is essential. While reform needs to remain proportionate for businesses in the current challenging environment, the experience in the US shows these changes can build long-term value, improve trust and resilience, and ultimately reduce the cost of capital. This value increase far outweighs the cost of additional regulation.

● KPMG UK
・2021.03.18 How the white paper impacts UK internal controls

● PwC UK
・2021.03.18 PwC comments on BEIS consultation paper on audit and corporate governance

“The UK has an opportunity to lead the world on corporate governance. As the country recovers from the pandemic it's vital that any reform enhances the business environment, making the UK an even more attractive destination for foreign investment and world leading as a capital market. This consultation is a crucial step in driving trust and confidence in our reporting and regulatory frameworks. 


 

Continue reading "英国 意見募集 監査とコーポレートガバナンスに対する信頼の回復:改革に対する提案 at 2021.03.18"

| | Comments (0)

2021.03.29

三菱電機 不正アクセスによる情報流出について(調査結果)

こんにちは、丸山満彦です。

三菱電機が、2020 年 11 月 20 日に公表した第三者による不正アクセス事案について、行っていた調査を終え「不正アクセスによる情報流出について(調査結果)」を公表していますね。。。こう言うのって、金曜日に出すことが多いですよね。。。

三菱電機

・2021.03.26 [PDF] 不正アクセスによる情報流出について(調査結果) (Downloaded)

調査の過程で新たに当社子会社の国内お取引先の金融機関口座(子会社の支払先口座)に関する情報および同子会社の国内お取引先の連絡先に関する個人情報の流出と、当社の国内お取引先の一部に関する情報が流出したことが判明しました。

と言うことのようですね。しっかり調査をしているということですね。。。0にはできないリスクですが、許容できる範囲に収められるように日々努力ということなんでしょうね。。。

 

参考

・2020.11.20 [PDF] 不正アクセスによる情報流出について  (Downloaded)

 

1_20210327192501



 

| | Comments (0)

備忘録 ネットワンシステムズ調査報告書(最近分)

こんにちは、丸山満彦です。

ネットワンシステムズの調査報告書(最近分)です。単なる備忘録です。。。

 

発表日 概要 表題 *
2021.03.18 お知らせ 外部調査委員会 調査報告書 ~ガバナンス・企業文化の観点から~(開示版)  Downloaded
2021.03.18 適時開示 「外部調査委員会調査報告書 ~ガバナンス・企業文化の観点から~」の受領及び開示版の公表に関するお知らせ(2)  Downloaded
2021.03.18 適時開示 「外部調査委員会調査報告書 ~ガバナンス・企業文化の観点から~」の受領及び開示版の公表に関するお知らせ(1)  Downloaded
2020.12.16 適時開示 外部調査委員会調査報告書公表に関するお知らせ  Downloaded
2020.12.16 適時開示 社内調査チームによる調査結果に関するお知らせ  Downloaded
2020.02.13 適時開示 特別調査委員会の中間報告書受領及び公表に関するお知らせ  Downloaded

 

● Profession Journal

・2021.01.14〔会計不正調査報告書を読む〕【第109回】ネットワンシステムズ株式会社「外部調査委員会調査報告書(2020年12月14日付)」

・2020.04.02〔会計不正調査報告書を読む〕【第98回】ネットワンシステムズ株式会社「特別調査委員会最終報告書(2020年3月12日付)」

・2020.03.12〔会計不正調査報告書を読む〕【第97回】ネットワンシステムズ株式会社「特別調査委員会中間報告書(2020年2月13日付)」

・2013.03.28〔会計不正調査報告書を読む〕【第6回】ネットワンシステムズ株式会社・元社員による不正行為「特別調査委員会調査報告書」

 

第三者委員会ドットコム

 

1_20210328000801

| | Comments (0)

2021.03.28

中曽根平和財団 経済安全保障研究会 研究報告

こんにちは、丸山満彦です。

中曽根平和財団が2020年度に経済安全保障研究会を立ち上げ、研究報告書を公表していますね。。。

Date No. 表題 著者 役職 報告書
2021.01.25 No.7 強制技術移転問題に関する国際ルールの現状と課題 平見 健太 早稲田大学社会科学総合学術院講師 PDF
2020.12.24 No.6 DFFT(データフリーフロー・ウィズトラスト)と経済安全保障 板倉 陽一郎 弁護士・ひかり総合法律事務所 PDF
2020.12.24 No.5 GAのリスク拡大とその経済安全保障への影響 渡辺 翔太 株式会社野村総合研究所 主任研究員 PDF
2020.11.26 No.4 先端技術領域での国際的な知識伝播の現状の可視化 - 米中の技術的なデカップリングを検討する素材として- 吉岡(小林)徹 一橋大学イノベーション研究センター講師 PDF
2020.09.17 No.3 デジタル経済安全保障と「自由なデータ流通」の出口計画 横澤 誠 OECD経済産業諮問委員会デジタル経済政策共同委員長 PDF
2020.08.24 No.2 新型コロナと医薬特許 高倉 成男 明治大学教授 PDF
2020.07.21 No.1 データドリブンイノベーション時代の日本の産業競争力 元橋 一之 東京大学教授 PDF

 

Npi


■ 関連

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.03.28 EU-USプライバシーシールドを強化するための交渉を推進 - 米国商務長官と欧州司法長官による共同記者会見

・2021.03.27 日EU間の十分性相互認定と地球規模の自由な個人データ流通論 by 堀部 政男(一橋大学名誉教授・元個人情報保護委員会委員長

| | Comments (0)

EU-USプライバシーシールドを強化するための交渉を推進 - 米国商務長官と欧州司法長官による共同記者会見

こんにちは、丸山満彦です。

米国政府と欧州委員会は、シュレムスII事件における欧州連合司法裁判所の2020年7月16日の判決に準拠するために、EU-USプライバシーシールドを強化するための交渉を推進することにしたと、米国商務長官と欧州司法長官による共同記者会見をしたようですね。。。

EU Commission

・2020.03.25 Intensifying Negotiations on transatlantic Data Privacy Flows: A Joint Press Statement by European Commissioner for Justice Didier Reynders and U.S. Secretary of Commerce Gina Raimondo

 

Today, EU Commissioner for Justice, Didier Reynders, and U.S. Secretary of Commerce, Gina Raimondo, made the following statement regarding the negotiations on transatlantic data privacy flows: 本日、EUのディディエ・レインダース司法担当委員と米国のジーナ・ライモンド商務長官は、大西洋を越えたデータプライバシーの流れに関する交渉について、以下の声明を発表した。
“The U.S. Government and the European Commission have decided to intensify negotiations on an enhanced EU-U.S. Privacy Shield framework to comply with the July 16, 2020 judgment of the Court of Justice of the European Union in the Schrems II case. 米国政府と欧州委員会は、Schrems II事件における欧州連合(EU)司法裁判所の2020年7月16日の判決を遵守するため、強化されたEU-米国間のプライバシーシールドフレームワークに関する交渉を強化することを決定しました。
These negotiations underscore our shared commitment to privacy, data protection and the rule of law and our mutual recognition of the importance of transatlantic data flows to our respective citizens, economies, and societies. 今回の交渉は、プライバシー、データ保護、法の支配に対する我々の共通のコミットメントと、それぞれの国民、経済、社会にとっての大西洋を越えたデータの流れの重要性に対する我々の相互認識を強調するものです。
Our partnership on facilitating trusted data flows will support economic recovery after the global pandemic, to the benefit of citizens and businesses on both sides of the Atlantic.” 信頼できるデータの流れを促進するための我々のパートナーシップは、大西洋両岸の市民と企業の利益のために、世界的なパンデミック後の経済回復をサポートするでしょう」と述べています。
Background 背景
The EU-U.S. Privacy Shield was a mechanism for transfers of personal data from EU companies to companies in the U.S. that adhered to the mechanism. It was in place since 2016. EU-U.S.プライバシーシールドは、EU企業から同機構を遵守する米国企業への個人データの移転を可能にする仕組みでした。2016年から実施されていました。
On July 16, 2020, the European Court of Justice invalidated the EU-U.S. Privacy Shield while confirming the validity of the EU Standard Contractual Clauses for the transfer of personal data to processors outside the EU/EEA ("SCCs"). 2020年7月16日、欧州司法裁判所は、EU-U.S. Privacy Shieldを無効とする一方で、EU/EEA域外の処理者への個人データの移転に関するEU標準契約条項(以下、SCC)の有効性を確認しました。
In August 2020 the European Commission and the U.S. Department of Commerce have initiated discussions to evaluate the potential for an enhanced EU-U.S. Privacy Shield framework to comply with the judgement of the Court in the Schrems II case. 2020年8月、欧州委員会と米国商務省は、シュレムスII事件の裁判所の判決を遵守するために強化されたEU-U.S.プライバシーシールドの枠組みの可能性を評価するための協議を開始しました。

 

U.S. Department of Commerce

・2020.03.25 Intensifying Negotiations on Trans-Atlantic Data Privacy Flows: A Joint Press Statement by U.S. Secretary of Commerce Gina Raimondo and European Commissioner for Justice Didier Reynders

 

The U.S. Government and the European Commission have decided to intensify negotiations on an enhanced EU-U.S. Privacy Shield framework to comply with the July 16, 2020 judgment of the Court of Justice of the European Union in the Schrems II case. 米国政府と欧州委員会は、Schrems II事件における欧州連合(EU)司法裁判所の2020年7月16日の判決を遵守するため、EU-米国間のプライバシーシールドの枠組みを強化するための交渉を強化することを決定しました。
These negotiations underscore our shared commitment to privacy, data protection and the rule of law and our mutual recognition of the importance of transatlantic data flows to our respective citizens, economies, and societies. 今回の交渉は、プライバシー、データ保護、法の支配に対する我々の共通のコミットメントと、それぞれの国民、経済、社会にとっての大西洋を越えたデータの流れの重要性に対する我々の相互認識を強調するものです。
Our partnership on facilitating trusted data flows will support economic recovery after the global pandemic, to the benefit of citizens and businesses on both sides of the Atlantic. 信頼できるデータの流れを促進するための我々のパートナーシップは、大西洋両岸の市民と企業の利益のために、世界的なパンデミック後の経済回復をサポートするでしょう。 

 

1_20210327004501

 

Continue reading "EU-USプライバシーシールドを強化するための交渉を推進 - 米国商務長官と欧州司法長官による共同記者会見"

| | Comments (0)

2021.03.27

英国 国家サイバーセキュリティセンター (NCSC) の新しいCEOが今後のサイバーリスクについて説明し、自己満足にならないように警告

こんにちは、丸山満彦です。

国家サイバーセキュリティセンター (NCSC) の新しいCEO(リンディ・キャメロン)が今後のサイバーリスクについて説明し、自己満足にならないように警告したということのようですね。。。

U.K. National Cyber Seurity Centre 

・2021.03.26 (news) New NCSC CEO warns against complacency while outlining future cyber risks


Wide-ranging speech from Lindy Cameron outlines the NCSC’s key successes so far, as well as recognising new challenges and developing threats the organisation faces.

・2021.03.26 (speech) Lindy Cameron's speech to a virtual audience at Queen's University, Belfast


Lindy Cameron's first speech as CEO of the NCSC, as delivered, to a virtual audience at Queen's University, Belfast.

 

経営者に向けたメッセージとしては、このポイント重要なんじゃないでしょうかね。。。

 

During the speech, she suggested that basic cyber hygiene is as important a life skill as knowing how to wire a plug - and that digital literacy is as non-negotiable in boardrooms as financial literacy. 講演では、基本的なサイバー衛生は、プラグの配線方法を知っているのと同様に重要なライフスキルであり、デジタルリテラシーは財務リテラシーと同様に役員室での必須項目であることを示唆しました。

 

日本の場合は、ビジネス、財務、会計、法務についてそれなりにバランスよく理解している人が経営トップについていないケースも多いのでね。。。なんともですが、、、

スピーチ原文で言うと、、、

Cyber security is still not taken as seriously as it should be, and simply is not embedded into the UK’s boardroom thinking. サイバーセキュリティはいまだに必要以上に真剣に考えられておらず、英国の役員室の考え方に組み込まれていないのが現状です。
The pace of change is no excuse - in boardrooms, digital literacy is as non-negotiable as financial or legal literacy. 変化の速さを言い訳にすることはできません。役員室では、デジタルリテラシーは、財務や法律に関するリテラシーと同様に、必要不可欠なものです。
Our CEOs should be as close to their CISO - their Chief Information Security Officer - as their Finance Director or their General Counsel. CEOは、財務部長や法務部長と同様に、CISO(最高情報セキュリティ責任者)の近くにいるべきです。
And we want to help them to develop this knowledge, as we’re all too aware that cyber skills are not yet fundamental to our education - even though these are life skills like wiring a plug or changing a tyre, as well as skills for the future digital economy. デジタルリテラシーは、プラグの配線やタイヤ交換などのライフスキルや、将来のデジタル経済のためのスキルであるにもかかわらず、私たちの教育の中でサイバースキルがまだ基本的なものとして扱われていないことを、私たちは十分に認識しています。

 

多くの経営者は事故をして初めて実感すると言うことが多いように思います。。。

1_20210327120301

まるちゃんの情報セキュリティ気まぐれ日記

・2021.03.26 英国 デジタル・文化・メディア・スポーツ省 「サイバーセキュリティ侵害調査報告書2021」

 

 


さて、余談ですが、、、

今回4回目の不正があったIT系企業の外部調査委員会の調査報告書に役員の背景がどのような構成になっていたかを10年以上示した表があって、大変参考になりますね。。。調べたわけではないですが、多くの企業がそうなんではないでしょうかね。。。パッとみたらオレンジ色ですが、オレンジ色は営業系です。。。

● ネットワンシステムズ

・2021.03.18 [PDF] 外部調査委員会 調査報告書 ~ガバナンス・企業文化の観点から~(開示版)  [Downloaded]

 

20210327-113618

ちなみに、外資系[a]社は有価証券報告書を読めばすぐにわかるので書いてしまいますが、シスコですね。。。

| | Comments (0)

米国 連邦上院軍事委員会 公聴会 特殊作戦コマンドとサイバーコマンド

こんにちは、丸山満彦です。

米国連邦上院軍事委員会の公聴会で特殊作戦コマンド[wikipedia]とサイバーコマンド[wikipedia]について質疑が行われています。サイバーコマンドのGeneral Paul M. Nakasoneが証言に立っていますね。。。トータルで2時間以上あります。。。

Openingの発表はPDFで公開されています。

United States Senate Committee on Armed services

・2021.03.25 United States Special Operations Command and United States Cyber Command

Witnesses

  1. Mr. Christopher P. Maier
    Acting Assistant Secretary Of Defense For Special Operations And Low-Intensity Conflict

    [PDF] Testimony

  2. General Richard D. Clarke
    Commander, United States Special Operations Command

    [PDF] Testimony

  3. General Paul M. Nakasone 
    Commander, United States Cyber Command / Director, National Security Agency / Chief, Central Security Service

    [PDF] Testimony

仮訳してみました・・・

 

1_20210327075001

 

流石が上院ですね。。。議論というのはこういう感じですよね。。。

民間とも情報共有をし(もちろん関係する政府機関内も)、対応することが重要というのは日本でも同じですよね。。。


■ 参考

● NextGov
・2021.03.25 Director Says NSA’s Domestic Surveillance Authority ‘Rightly’ Limited

Gen. Paul Nakasone, who oversees both the intelligence agency and U.S. Cyber Command, stressed the need for greater visibility through private-sector information streams.

● ExectiveGov
・2021.03.26 Gen. Paul Nakasone: Cybercom-NSA Partnership Helped Counter Foreign Election Interference

Gen. Paul Nakasone, head of U.S. Cyber Command, director of the National Security Agency and 2021 Wash100 Award recipient, said Cybercom’s partnership with NSA plays a key role in protecting U.S. elections from foreign interference, DOD News reported Thursday.

● MeriTalk
・2021.03.25 Nakasone Says Federal Cyber Defenders Need Better Visibility Within U.S.

Currently, CYBERCOM and NSA operate outside of the United States as a matter of law that balances both privacy and security.

“The authorities within the United States reside with the [FBI] and others to do that type of surveillance” domestically, said Gen. Nakasone during a Senate Armed Services Committee hearing on U.S. Special Operations Command and Cyber Command.

“What I’m identifying right now, though, is our adversaries understand that they can come into the United States and rapidly utilize an internet service provider, come up and do their activities, and then take that down before a warrant can be issued [and] before we can actually have surveillance by a civilian authority here in the United States,” he said.

“That’s the challenge that we have right now,” he stated.

● Breaking Defence
・ 2021.03.25 CYBERCOM Plays ‘Key Role’ As SolarWinds Unfolds: Gen. Nakasone

As the government investigation continues, security firm FireEye published details of newly discovered backdoor, SUNSHUTTLE, which has "possible connection" to the SolarWinds hack.

● MSSP Alert
・2021.03.29 Pentagon’s Cyber Forces Conducted Dozens of Operations to Protect 2020 Elections, General Says


 


 

Continue reading "米国 連邦上院軍事委員会 公聴会 特殊作戦コマンドとサイバーコマンド"

| | Comments (0)

日EU間の十分性相互認定と地球規模の自由な個人データ流通論 by 堀部 政男(一橋大学名誉教授・元個人情報保護委員会委員長)

こんにちは、丸山満彦です。

総務省の発行する学術雑誌『情報通信政策研究』第4巻第2号に堀部先生の論文が掲載さsれていますね。。。

● 総務省 - 情報通信政策研究所 - 学術雑誌 - 学術雑誌『情報通信政策研究』第4巻第2号

・2021.03.25 [PDF] 日EU間の十分性相互認定と地球規模の自由な個人データ流通論 by 堀部 政男

過去の経緯も含めて非常に興味深いです。。。

今回は、堀部先生以外にも興味深い内容ですね。。。

000372150

 

| | Comments (0)

2021.03.26

IPA 「情報セキュリティ10大脅威 2021」簡易説明資料(組織編、個人編)揃いました。。。

こんにちは、丸山満彦です。

IPA が発表している「情報セキュリティ10大脅威 2021」についての簡易説明資料(個人編)が発表され(組織編)と合わせて揃いましたね。。。

● IPA

・2021.03.25 「情報セキュリティ10大脅威 2021」 簡易説明資料 [個人編] を公開しました。

20210326-65315

 

日本の政府関連の啓発資料って、予算の問題があるのかもしれませんが、レイアウト、絵、フォントってもう少しなんとかなりませんかね。。。

ビジネス上の資料で引用しにくいですよね。。。

まぁ、ひとりごとですけどね。。。


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.27 IPA 「情報セキュリティ10大脅威 2021」解説書を発表してますね。。。

過去の発表資料等もまとめていたりするので、こちらも参考にしてくださいませ。。。

2021.01.28 IPA 「情報セキュリティ10大脅威 2021」を発表してますね。。。

 

 

 

| | Comments (0)

U.S. GAO 電力網サイバーセキュリティ:エネルギー省は彼らの計画が配電システムのリスクに完全に対応していることを確認する必要がある at 2021.03.18

こんにちは、丸山満彦です。

U.S. GAOがエネルギー省に対して、彼らの進めていることが配電システムのリスクに完全に対応していることを確認する必要があると報告書を出していますね。。。

● U.S. GAO

・2021.03.18 Electricity Grid Cybersecurity:DOE Needs to Ensure Its Plans Fully Address Risks to Distribution Systems

 

Fast Facts 速報
The U.S. electricity grid's distribution systems—the parts of the grid that carry electricity to consumers—are becoming more vulnerable to cyberattacks, in part because of the introduction of and reliance on monitoring and control technologies. However, the scale of potential impacts from such attacks is not well understood. 米国の電力網における配電システム(電力を消費者に届ける部分)は、監視・制御技術の導入や依存度の高さもあって、サイバー攻撃に対して脆弱になっています。しかし、このような攻撃による潜在的な影響の規模は十分に把握されていません。
The Department of Energy is working on the energy sector portion of the national cybersecurity strategy, but it has focused its efforts more on risks facing the grid's generation and transmission systems. We recommended more fully addressing risks to distribution system エネルギー省は、国家サイバーセキュリティ戦略のエネルギー部門の部分に取り組んでいますが、グリッドの発電・送電システムが直面するリスクに重点的に取り組んでいます。私たちは、配電システムのリスクに、より全面的に取り組むことを提言しました。
Highlights ハイライト
What GAO Found GAOの調査結果
The U.S. grid's distribution systems—which carry electricity from transmission systems to consumers and are regulated primarily by states—are increasingly at risk from cyberattacks. Distribution systems are growing more vulnerable, in part because their industrial control systems increasingly allow remote access and connect to business networks. As a result, threat actors can use multiple techniques to access those systems and potentially disrupt operations. (See fig.) However, the scale of potential impacts from such attacks is not well understood. 米国では、送電システムから消費者に電力を供給する配電システムは、主に州によって規制されていますが、サイバー攻撃のリスクが高まっています。配電システムの脆弱性が高まっているのは、産業用制御システムがリモートアクセスやビジネスネットワークへの接続を可能にしていることが一因です。その結果、脅威となる人物は、複数の手法を用いてこれらのシステムにアクセスし、業務を妨害する可能性があります(図参照)。しかし、このような攻撃がもたらす潜在的な影響の規模は十分に把握されていません。
1_20210326010901
Distribution utilities included in GAO's review are generally not subject to mandatory federal cybersecurity standards, but they, and selected states, had taken actions intended to improve distribution systems' cybersecurity. These actions included incorporating cybersecurity into routine oversight processes and hiring dedicated cybersecurity personnel. Federal agencies have supported these actions by, for example, providing cybersecurity training and guidance. GAOの調査対象となった配電事業者は、一般的に連邦政府のサイバーセキュリティ基準の対象ではありませんが、配電事業者と一部の州は、配電システムのサイバーセキュリティを向上させるための行動をとっていました。これらの行動には、日常的な監視プロセスにサイバーセキュリティを組み込むことや、サイバーセキュリティ専門の人員を雇用することなどが含まれていました。連邦政府機関は、サイバーセキュリティに関するトレーニングやガイダンスを提供するなどして、これらの行動を支援してきました。
As the lead federal agency for the energy sector, the Department of Energy (DOE) has developed plans to implement the national cybersecurity strategy for the grid, but these plans do not fully address risks to the grid's distribution systems. For example, DOE's plans do not address distribution systems' vulnerabilities related to supply chains. According to officials, DOE has not fully addressed such risks in its plans because it has prioritized addressing risks to the grid's generation and transmission systems. Without doing so, however, DOE's plans will likely be of limited use in prioritizing federal support to states and industry to improve grid distribution systems' cybersecurity. エネルギー部門の主導的な連邦機関であるエネルギー省(DOE)は、送電網のための国家サイバーセキュリティ戦略を実施するための計画を策定しましたが、これらの計画は送電網の配電システムに対するリスクに十分に対応していません。例えば、DOEの計画では、サプライチェーンに関連する配電システムの脆弱性に対応していません。関係者によると、DOEはグリッドの発電・送電システムのリスクに対処することを優先しているため、計画においてこのようなリスクに十分に対処していないとのことです。しかし、DOEの計画は、配電網のサイバーセキュリティを向上させるために州や産業界に対する連邦政府の支援を優先させる上で、あまり役に立たない可能性が高いと思われます。
Why GAO Did This Study GAOがこの調査を行った理由
Protecting the reliability of the U.S. electricity grid, which delivers electricity essential for modern life, is a long-standing national interest. The grid comprises three functions: generation, transmission, and distribution. In August 2019, GAO reported that the generation and transmission systems—which are federally regulated for reliability—are increasingly vulnerable to cyberattacks. 現代の生活に欠かせない電力を供給する米国の電力網の信頼性を守ることは、長年の国益にかなっています。送電網は、発電、送電、配電の3つの機能で構成されています。2019年8月、GAOは、信頼性を高めるために連邦政府が規制している発電・送電システムが、サイバー攻撃に対してますます脆弱になっていると報告しました。
GAO was asked to review grid distribution systems' cybersecurity. This report (1) describes the extent to which grid distribution systems are at risk from cyberattacks and the scale of potential impacts from such attacks, (2) describes selected state and industry actions to improve distribution systems' cybersecurity and federal efforts to support those actions, and (3) examines the extent to which DOE has addressed risks to distribution systems in its plans for implementing the national cybersecurity strategy. To do so, GAO reviewed relevant federal and industry reports on grid cybersecurity risks and analyzed relevant DOE documents. GAO also interviewed a nongeneralizable sample of federal, state, and industry officials with a role in grid distribution systems' cybersecurity. GAOは、グリッド・ディストリビューション・システムのサイバーセキュリティの見直しを依頼された。本報告書は、(1)配電系統がサイバー攻撃のリスクにさらされている範囲と、そのような攻撃による潜在的な影響の規模を説明し、(2)配電系統のサイバーセキュリティを向上させるための州や業界の行動と、それらの行動を支援する連邦政府の取り組みを紹介し、(3)DOEが国家サイバーセキュリティ戦略の実施計画において配電系統のリスクにどの程度対処しているかを検証しています。そのためにGAOは、送電網のサイバーセキュリティリスクに関する連邦政府や業界の関連レポートをレビューし、DOEの関連文書を分析しました。また、GAOは配電網のサイバーセキュリティに関わる連邦政府、州政府、産業界の関係者に非代表サンプリングによりインタビューを行いました。
Recommendations 推奨事項
GAO recommends that DOE more fully address risks to the grid's distribution systems from cyberattacks—including their potential impact—in its plans to implement the national cybersecurity strategy. DOE agreed with GAO's recommendation. GAOは、DOEが国家サイバーセキュリティ戦略の実施計画において、サイバー攻撃による配電網へのリスク(その潜在的な影響を含む)をより完全に取り上げるよう勧告します。DOEはGAOの勧告に同意しました。
Recommendations for Executive Action 行政措置に関する提言
1. The Secretary of Energy, in coordination with DHS, states, and industry, should more fully address risks to the grid's distribution systems from cyberattacks—including the potential impact of such attacks—in DOE's plans to implement the national cybersecurity strategy for the grid.  1. エネルギー長官は、DHS、州、産業界と連携して、送電網の国家サイバーセキュリティ戦略を実施するDOEの計画において、サイバー攻撃による送電網の配電システムへのリスクについて、その潜在的な影響を含めて、より完全に取り組むべきである。

 

・[PDF] Highlights Page

20210326-11525

・[PDF] Full Report 

20210326-11629

・[PDF] Accessible Text 

20210326-11653

目次

Background  背景 
The Grid’s Distribution Systems Are Increasingly at Risk from Cyberattacks, but the Scale of Potential Impacts Is Unclear  送電網の配電システムはサイバー攻撃のリスクが高まっているが、潜在的な影響の規模は不明確 
Selected States and Industry Have Taken Varied Actions Aimed at Improving Grid Distribution Systems’ Cybersecurity  一部の国と産業界は、配電システムのサイバーセキュリティを向上させるために、さまざまな行動を起こしている。
DOE Has Not Fully Addressed Risks to Grid Distribution Systems from Cyberattacks in Its Plans  エネルギー省は、サイバー攻撃による配電システムへのリスクを計画の中で十分に考慮していない 
Conclusions  結論 
Recommendation for Executive Action  大統領の行動に対する提言 
Agency Comments  政府機関のコメント 
Appendix I: Objectives, Scope, and Methodology  附属書 I:目的、範囲、および方法論 
Appendix II: Comments from the Department of Energy  附属書 II:エネルギー省からのコメント 
Appendix III: GAO Contacts and Staff Acknowledgments  附属書 III:GAOの連絡先とスタッフの謝辞 
Appendix IV: Accessible Data  附属書 IV:アクセス可能なデータ 
Agency Comment Letter  エネルギー省のコメントレター 

| | Comments (0)

英国 デジタル・文化・メディア・スポーツ省 「サイバーセキュリティ侵害調査報告書2021」

こんにちは、丸山満彦です。

英国 デジタル・文化・メディア・スポーツ省 が「サイバーセキュリティ侵害調査報告書2021」を公表していますね。。。

 

● U.K. Department for Digital, Culture, Media & Sport

・2021.03.24 (press) Businesses urged to act as two in five UK firms experience cyber attacks in the last year


Two in five businesses (39 per cent) and a quarter of charities (26 per cent) report having cyber security breaches or attacks in the last 12 months.

・(Official Statistics) Cyber Security Breaches Survey 2021

・[html] Cyber Security Breaches Survey 2021

・[pdf] Cyber Security Breaches Survey 2021

20210325-171535

 

Summary 概要
This sixth survey in the annual series continues to show that cyber security breaches are a serious threat to all types of businesses and charities. Among those identifying breaches or attacks, their frequency is undiminished, and phishing remains the most common threat vector. 第6回目となる今回の調査では、あらゆる企業や慈善団体にとって、サイバーセキュリティ侵害が深刻な脅威であることが引き続き明らかになりました。侵害や攻撃を確認した企業では、その頻度は低下しておらず、脅威の手段としては依然としてフィッシングが最も一般的です。
Four in ten businesses (39%) and a quarter of charities (26%) report having cyber security breaches or attacks in the last 12 months. Like previous years, this is higher among medium businesses (65%), large businesses (64%) and high-income charities (51%)[footnote 1]. 企業の10社に4社(39%)、慈善団体の4分の1(26%)が、過去12ヶ月間にサイバーセキュリティ侵害や攻撃を受けたと回答しています。例年同様、中規模企業(65%)、大規模企業(64%)、高所得者向け慈善団体(51%)で高くなっています[脚注1]。
This year, fewer businesses are identifying breaches or attacks than in 2020 (when it was 46%), while the charity results are unchanged. This could be the result of a reduction in trading activity from businesses during the pandemic, which may have inadvertently made some businesses temporarily less detectable to attackers this year. 今年は、侵害や攻撃を特定している企業が2020年(46%)に比べて少なく、慈善団体の結果は同じです。これは、パンデミックの際に企業の取引活動が減少した結果、今年は一部の企業が攻撃者から一時的に検知されにくくなった可能性があります。
However, other quantitative and qualitative evidence from the study suggests that the risk level is potentially higher than ever under COVID-19, and that businesses are finding it harder to administer cyber security measures during the pandemic. For example, fewer businesses are now deploying security monitoring tools (35%, vs. 40% last year) or undertaking any form of user monitoring (32% vs. 38%). Therefore, this reduction among businesses possibly suggests that they are simply less aware than before of the breaches and attacks their staff are facing. しかし、今回の調査で得られたその他の定量的・定性的証拠は、COVID-19のリスクレベルがこれまで以上に高くなっている可能性を示唆しており、企業はパンデミックの間、サイバーセキュリティ対策を実施することが難しくなっていると考えられます。例えば、セキュリティ監視ツールを導入している企業は35%(昨年は40%)、何らかの形でユーザを監視している企業は32%(同38%)と、いずれも減少しています。このような減少は、従業員が直面している侵害や攻撃に対する認識が以前よりも低下していることを示唆していると考えられます。
Among those that have identified breaches or attacks, around a quarter (27% of these businesses and 23% of these charities) experience them at least once a week. The most common by far are phishing attacks (for 83% and 79% respectively), followed by impersonation (for 27% and 23%). Broadly, these patterns around frequency and threat vectors are in line with the 2020 and 2019 results. 侵入や攻撃を認識している企業のうち、約4分の1(企業の27%、慈善団体の23%)が少なくとも週に1回は侵入や攻撃を経験しています。最も多いのはフィッシング攻撃(それぞれ83%と79%)で、次いでなりすまし(27%と23%)となっています。これらの頻度と脅威のベクトルに関するパターンは、おおむね2020年と2019年の結果と一致しています。
A sizeable number of organisations that identify breaches report a specific negative outcome or impact. On average, for those that do, the costs are substantial. 違反行為を発見した組織のうち、かなりの数の組織が特定の悪い結果や影響を報告しています。報告された組織の平均的なコストは相当なものです。
Among the 39 per cent of businesses and 26 per cent of charities that identify breaches or attacks, one in five (21% and 18% respectively) end up losing money, data or other assets. One-third of businesses (35%) and four in ten charities (40%) report being negatively impacted regardless, for example because they require new post-breach measures, have staff time diverted or suffer wider business disruption. 侵害や攻撃を確認した企業の39%と慈善団体の26%のうち、5人に1人(それぞれ21%と18%)が、最終的に金銭、データ、その他の資産を失っています。また、3分の1の企業(35%)と10人に4人の慈善団体(40%)は、侵害後に新たな対策が必要になったり、職員の時間が流用されたり、より広範なビジネス上の混乱に見舞われたりするなど、悪影響を受けたと報告しています。
These figures have shifted gradually over time – the proportions experiencing negative outcomes or impacts in 2021 are significantly lower than in 2019 and preceding years. This is not due to breaches or attacks becoming less frequent, with no notable change in frequency this year. Instead, it may, in part, be due to more organisations implementing basic cyber security measures following the introduction of the General Data Protection Regulation (GDPR) in 2018. It could also reflect other trends such as the rising use of cloud storage and backups. これらの数字は、時間の経過とともに徐々に変化しており、2021年にマイナスの結果や影響を受けた割合は、2019年およびそれ以前の年に比べて大幅に減少しています。これは、侵害や攻撃の頻度が低くなったことによるものではなく、今年も頻度に目立った変化はありません。むしろ、2018年に一般データ保護規則(GDPR)が導入されたことで、基本的なサイバーセキュリティ対策を実施する組織が増えたことが一因と考えられます。また、クラウドストレージやバックアップの利用が増えていることなど、他のトレンドを反映している可能性もあります。
Nevertheless, where businesses have faced breaches with material outcomes, the average (mean) cost of all the cyber security breaches these businesses have experienced in the past 12 months is estimated to be £8,460. For medium and large firms combined, this average cost is higher, at £13,400. There are too few charities in the sample to report average costs in this way, but the overall costs recorded for businesses and charities follow a similar pattern. とはいえ、企業が重大な結果を伴う侵害に直面した場合、これらの企業が過去12カ月間に経験したすべてのサイバーセキュリティ侵害の平均(平均)コストは8,460ポンドと推定されます。中堅企業と大企業であれば、この平均コストはさらに高くなり、13,400ポンドとなります。サンプルに含まれる慈善団体の数が少なすぎるため、この方法で平均コストを報告することはできませんが、企業と慈善団体で記録された全体的なコストは同じ傾向を示しています。
Despite COVID-19 stretching many organisation’s cyber security teams to their limits, cyber security remains a priority for management boards. But it has not necessarily become a higher priority under the pandemic. COVID-19によって多くの組織のサイバーセキュリティチームが限界に達しているにもかかわらず、サイバーセキュリティは依然として経営陣の優先事項となっています。しかし、パンデミックの影響で、必ずしも優先順位が高くなったわけではありません。
Three-quarters (77%) of businesses say cyber security is a high priority for their directors or senior managers, while seven in ten charities (68%) say this of their trustees. While there have been minor fluctuations in these findings over the past three years, cyber security remains a higher priority compared to when we first surveyed each group (i.e. 69% in 2016 for businesses and 53% in 2018 for charities). 企業の4分の3(77%)は、取締役や上級管理職にとってサイバーセキュリティが最優先事項であると回答しており、慈善団体の7割(68%)は、評議員が同様の回答をしています。過去3年間でこれらの調査結果には若干の変動がありますが、それぞれのグループを最初に調査したときと比較すると、サイバーセキュリティは依然として高い優先度となっています(例:企業は2016年に69%、慈善団体は2018年に53%)。
Half of businesses (50%) and four in ten charities (40%) update their senior management teams about the actions taken on cyber security at least quarterly, in line with the 2020 results. However, the percentage of charities reporting that their senior managers are never updated on cyber security has increased since last year (to 23%, vs. 12% in 2020). 企業の半数(50%)と慈善団体の4割(40%)は、2020年の結果と同様に、少なくとも四半期ごとに、サイバーセキュリティに関する行動について上級管理チームに報告しています。しかし、上級管理職がサイバーセキュリティに関するアップデートを受けたことがないと回答した慈善団体の割合は、昨年より増加しています(23%、2020年は12%)。
Overwhelmingly, businesses (84%) and charities (80%) say COVID-19 has made no change to the importance they place on cyber security. The qualitative research suggests that some organisations have increased their investment in IT and cyber security in response to the pandemic. Many organisations adopted new security solutions, including cloud security and multi-factor authentication, or new rules requiring VPN connections to access files. 企業(84%)と慈善団体(80%)の圧倒的多数が、COVID-19によってサイバーセキュリティに置く重要性に変化はないと答えています。定性調査によると、パンデミックに対応して、ITやサイバーセキュリティへの投資を増やした組織もあるようです。多くの組織では、クラウドセキュリティや多要素認証などの新しいセキュリティソリューションを採用したり、ファイルにアクセスする際にVPN接続を必要とする新しいルールを導入したりしました。
These changes were often characterised as being about business and IT service continuity. However, in some cases, interviewees felt that management boards and end users did not fully appreciate the role of cyber security in facilitating long-term business continuity. In the immediacy of the pandemic, cyber security measures were sometimes viewed in the short term as being in conflict with business continuity, rather than complementing it. このような変化は、多くの場合、ビジネスとITサービスの継続性に関わるものとされています。しかし、経営陣やエンドユーザーが、長期的な事業継続を促進するためのサイバーセキュリティの役割を十分に理解していないと感じるケースもありました。パンデミックが発生した直後は、サイバーセキュリティ対策は短期的には事業継続を補完するものではなく、事業継続と相反するものとみなされることがありました。
The COVID-19 pandemic has led to significant changes in ways of working. This has made cyber security harder for many organisations. COVID-19のパンデミックは、仕事のやり方に大きな変化をもたらしました。このことが、多くの組織にとってサイバーセキュリティを難しくしています。
In qualitative interviews, many organisations explained that COVID-19 and the ensuing move to home working initiated substantial changes in their digital infrastructure. Many issued laptops or tablets to staff, set up Virtual Private Networks (VPNs) or expanded existing VPN capacity, started using cloud servers and had to quickly approve new software. In a new question this year, the survey finds that a third of businesses (34%) and a fifth of charities (20%) have a VPN. インタビューでは、多くの組織が、COVID-19とそれに伴う在宅勤務への移行によって、デジタルインフラの大幅な変更を余儀なくされたと説明しています。多くの企業は、職員にノートPCやタブレットを支給し、仮想プライベートネットワーク(VPN)を構築したり、既存のVPNの容量を拡大したり、クラウドサーバの使用を開始したり、新しいソフトウェアを迅速に承認しなければなりませんでした。今回の調査で新たに聞いた設問で、企業の3分の1(34%)、チャリティ団体の5分の1(20%)がVPNを導入していることがわかりました。
These changes have led to new challenges for organisations to contend with, as part of their cyber security management approaches: このような変化に伴い、組織はサイバーセキュリティ管理アプローチの一環として、新たな課題に取り組むことになりました。
・Direct security and user monitoring have become harder in organisations where staff are working remotely. As previously noted, fewer businesses are deploying security monitoring tools than in 2020 (down from 40% to 35%). Fewer businesses (32%, vs. 38% in 2020) and charities (29% vs. 38%) are now undertaking any form of user monitoring. ・職員がリモートで仕事をしている組織では、直接的なセキュリティとユーザの監視が難しくなっています。前述のとおり、セキュリティ監視ツールを導入している企業は、2020年に比べて減少しています(40%から35%に減少)。また、何らかの形でユーザー監視を行っている企業(32%、2020年は38%)や慈善団体(29%、38%)も少なくなっています。
・Upgrading hardware, software and systems has also become more difficult. With staff working at home, there are more endpoints for organisations to keep track of. Fewer businesses (83%, vs. 88% in 2020) and charities (69% vs. 78%) report having up-to-date malware protection. Fewer businesses (78% vs. 83%) and charities (57% vs. 72%) have set up network firewalls. In large businesses in particular, having laptops with unsupported versions of Windows is a significant security risk (affecting 32% of large businesses). ・また、ハードウェア、ソフトウェア、システムのアップグレードも難しくなっています。スタッフが自宅で仕事をするようになったことで、企業が管理すべきエンドポイントが増えています。最新のマルウェア対策を行っていると回答した企業(83%、2020年には88%)と慈善団体(69%、78%)は少ないです。ネットワークにファイアウォールを設置している企業(78%対83%)と慈善団体(57%対72%)は少ないです。特に大企業では、サポートされていないバージョンのWindowsを搭載したノートPCを使用していることが、重大なセキュリティリスクとなっています(大企業の32%が影響を受けています)。
・More generally, the pandemic had stretched resources and led to competing priorities in IT and cyber security teams. In some cases, there was a perceived conflict between prioritising IT service continuity and maintenance work, and aspects of cyber security such as patching software. ・さらに一般的には、パンデミックの影響でリソースが逼迫し、IT部門とサイバーセキュリティ部門の優先順位が競合することになりました。場合によっては、ITサービスの継続性や保守作業を優先することと、ソフトウェアへのパッチ適用などのサイバーセキュリティの側面との間に矛盾が生じていると感じられることもありました。
COVID-19 has been an unexpected and unprecedented challenge for organisations. But in terms of cyber security, the findings highlight that there is more they can do to plan for, and ensure they are resilient to, future uncertainties. COVID-19は、企業にとって想定外の未曾有の課題となりました。しかし、サイバーセキュリティの観点から見ると、将来の不確実性に備えて計画を立て、それに対する耐性を確保するためにできることがあることが、今回の調査結果で明らかになりました。
The survey findings highlight that a minority of organisations overall have taken actions in the following areas – although they are far more common among medium and large businesses: 今回の調査結果では、以下の分野で対策を講じている企業は全体の中で少数であることが明らかになりました。
・taking out some form of cyber insurance (43% of businesses and 29% of charities) – this is up from 32 per cent for businesses in 2020 ・何らかのサイバー保険に加入している(企業の43%、慈善団体の29%) - 2020年の企業の32%から増加している。
・undertaking cyber security risk assessments (34% and 32%) ・サイバーセキュリティのリスク評価を実施する(34%、32
・testing staff, such as through mock phishing exercises (20% and 14%) ・模擬フィッシング演習などによるスタッフのテスト(20%と14%)。
・carrying out cyber security vulnerability audits (15% and 12%) ・サイバーセキュリティの脆弱性監査の実施(15%と12
・reviewing cyber security risks posed by suppliers (12% and 8%). ・サプライヤーのサイバーセキュリティリスクを検討する(12%と8%)。
As the UK emerges from the COVID-19 pandemic, organisations might also consider what more they can do to manage cyber security risks in a “blended” working environment (i.e. where staff are regularly working both in offices and at home): 英国がCOVID-19の流行から脱却するにあたり、企業は、「混合型」の職場環境(職員がオフィスと自宅の両方で定期的に仕事をしているような環境)におけるサイバーセキュリティリスクを管理するために何ができるかを検討することもできるでしょう。
・Three in ten businesses (31%) and slightly fewer charities (27%) have a business continuity plan that covers cyber security. This was a new question for 2021. ・3割の企業と慈善団体(31%と27%)は、サイバーセキュリティをカバーする事業継続計画を策定しています。これは、2021年の新しい質問でした。
・A quarter of businesses and charities (23% of each) have cyber security policies that cover home working. A fifth of businesses (18%) and a quarter of charities (23%) have policies that cover the use of personal devices for work. The extent to which these areas feature in cyber security policies has not changed significantly since last year. *Over four in ten businesses (46%) and three in ten charities (30%) are using smart (i.e. network-connected) devices in workplaces. This was also a new question for 2021, and highlights a potential new area of cyber risk for organisations to address. ・企業と慈善団体の4分の1(各23%)は、在宅勤務をカバーするサイバーセキュリティポリシーを持っています。企業の5分の1(18%)、慈善団体の4分の1(23%)が、個人所有のデバイスを仕事で使用することをカバーするポリシーを持っています。これらの分野がサイバーセキュリティポリシーに盛り込まれている範囲は、昨年から大きな変化はありません。*10社のうち4社以上(46%)、10団体のうち3団体(30%)が職場でスマートデバイス(ネットワークに接続されたデバイス)を使用している。これは、2021年の新たな設問でもあり、組織が取り組むべきサイバーリスクの新たな領域となる可能性を示しています。
The qualitative research also highlights organisations’ cyber security ambitions for the future and the broader challenges they expect to face. Many expect to make continuous improvements in their cyber security, which includes, for example, rolling out multi-factor authentication, or tweaking policies and processes to cover Software as a Service (SaaS). Some also expect to move further away from an approach of locking down user activity, towards one that prioritises functionality and flexibility. Cyber security teams may therefore need to realign themselves to wider strategic business needs in some cases, emphasising how staff can use new technologies, software and platforms securely rather than banning them. 今回の定性調査では、企業が将来的に直面するであろうサイバーセキュリティ上の課題についても明らかになりました。例えば、多要素認証の導入や、SaaS(Software as a Service)を対象としたポリシーやプロセスの調整などが挙げられます。また、ユーザーの行動を制限するアプローチから、機能性と柔軟性を優先するアプローチへと移行することも予想されます。そのため、サイバーセキュリティチームは、新しいテクノロジーやソフトウェア、プラットフォームの使用を禁止するのではなく、スタッフがいかに安全に使用できるかを強調するなど、より広範な戦略的ビジネスニーズに対応する必要がある場合もあります。

 

今年分と過去分

2021 2021.03.24 html pdf 20210325-171535
2020 2020.03.26 html pdf 20210325-182059
2019 2019.04.03   pdf 20210325-184509
2018 2018.04.25   pdf 20210325-184628
2017 2017.04.19   pdf 20210325-184741
2016 2015.11.11   pdf 20210325-184921
2015 2015.06.04   pdf 20210325-185237
2014 2014.04.29   pdf 20210325-185420
2013 2013.04.23   pdf 20210325-185524

 

 




| | Comments (0)

2021.03.25

「個人情報の保護に関する法律施行令及び個人情報保護委員会事務局組織令の一部を改正する政令」及び「個人情報の保護に関する法律施行規則の一部を改正する規則」に関する意見募集結果について

こんにちは、丸山満彦です。

「個人情報の保護に関する法律施行令及び個人情報保護委員会事務局組織令の一部を改正する政令」及び「個人情報の保護に関する法律施行規則の一部を改正する規則」に関する意見募集結果が公開されていますね。。。

● e-Gov

・2021.03.24 「個人情報の保護に関する法律施行令及び個人情報保護委員会事務局組織令の一部を改正する政令」及び「個人情報の保護に関する法律施行規則の一部を改正する規則」に関する意見募集結果について

 

で、結果

 

63事業者から556件の質問項目が出されていて、一つ一つ答えていますね。。。(内容を分類してパターン化して回答しているとは思いますが・・・) AIに回答させることができるか???とかね。。。

で、その結果

意見募集結果がほぼ解釈書になっていますね。。。そして、ガイドライン等の作成のお約束に...

 

Ppc_logo_20210325120001 

 

 

| | Comments (0)

U.S. GAO High-Riskシリーズ:連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

こんにちは、丸山満彦です。

U.S. GAOが連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要があると報告していますね。。。

「主要なサイバーセキュリティの課題に対処するための重要な行動」は”Four Major Cybersecurity Challenges and 10 Associated Critical Actions”で、2018年の報告書で指摘されていた件ですね。。。

● U.S. GAO

・2021.03.24 High-Risk Series:Federal Government Needs to Urgently Pursue Critical Actions to Address Major Cybersecurity Challenges

・[PDF] Hilight

20210325-80609

 

・[PDF] Full Report

20210325-80620

 

What GAO Found GAOの見解
GAO reiterates the importance of addressing the four major cybersecurity challenges and the 10 associated critical actions listed below. GAOは、以下の4つの主要なサイバーセキュリティの課題と、それに関連する10の重要な行動に取り組むことの重要性を繰り返し述べています。
   
Four Major Cybersecurity Challenges and 10 Associated Critical Actions 4つの主要なサイバーセキュリティの課題と10の関連する重要な行動

 

Establishing a comprehensive cybersecurity strategy and performing effective oversight 包括的なサイバーセキュリティ戦略の確立と効果的な監視の実行
1. Develop and execute a more comprehensive federal strategy for national cybersecurity and global cyberspace. 1. 国家のサイバーセキュリティとグローバルなサイバースペースのための、より包括的な連邦戦略を策定し、実行する。
2. Mitigate global supply chain risks (e.g., installation of malicious software or hardware). 2. グローバルなサプライチェーンのリスク(悪意のあるソフトウェアやハードウェアのインストールなど)を軽減する。
3. Address cybersecurity workforce management challenges. 3. サイバーセキュリティ人材管理の課題に対処する。
4. Ensure the security of emerging technologies (e.g., artificial intelligence and Internet of Things). 4. 新興技術(例:人工知能やIoT)のセキュリティを確保する。
Securing federal systems and information 連邦政府のシステムと情報の保護
5. Improve implementation of government-wide cybersecurity initiatives. 5. 政府全体のサイバーセキュリティ・イニシアチブの実施を改善する。
6. Address weaknesses in federal agency information security programs. 6. 連邦政府機関の情報セキュリティプログラムの脆弱性に対処する。
7. Enhance the federal response to cyber incidents. 7. サイバーインシデントに対する連邦政府の対応を強化する。
Protecting cyber critical infrastructure サイバー重要インフラの保護
8. Strengthen the federal role in protecting the cybersecurity of critical infrastructure (e.g., electricity
grid and telecommunications networks).
8. 重要インフラ(電力網や通信ネットワークなど)のサイバーセキュリティを保護するための連邦政府の役割を強化する。
Protecting privacy and sensitive data プライバシーと機密データの保護
9. Improve federal efforts to protect privacy and sensitive data. 9. プライバシーとセンシティブなデータを保護するための連邦政府の取り組みを改善する。
10. Appropriately limit the collection and use of personal information and ensure that it is obtained with
appropriate knowledge or consent.
10. 個人情報の収集と使用を適切に制限し、適切な知識や同意を得た上で取得するようにする。

 

As described below, although the federal government has made selected improvements, it needs to move with a greater sense of urgency commensurate with the rapidly evolving and grave threats to the country. 以下のように、連邦政府はいくつかの改善を行ってきましたが、国に対する急速に進化する重大な脅威に見合った、より大きな緊急性を持って行動する必要があります。
Establishing a comprehensive cybersecurity strategy and performing effective oversight.
The prior administration's September 2018 national cybersecurity strategy and the June 2019 implementation plan detail the executive branch's approach to managing the nation's cybersecurity. In September 2020 GAO reported that the national strategy and implementation plan addressed some, but not all, of the desirable characteristics of national strategies, such as goals and resources needed. The new administration needs to either update the existing strategy and plan or develop a new comprehensive strategy that addresses those characteristics.
包括的なサイバーセキュリティ戦略の確立と効果的な監視の実行。
前政権が2018年9月に発表した国家サイバーセキュリティ戦略と2019年6月の実施計画は、国のサイバーセキュリティを管理するための行政府のアプローチを詳述しています。2020年9月にGAOは、国家戦略と実施計画は、目標や必要なリソースなど、国家戦略の望ましい特性のすべてではなく、一部に対応していると報告しました。新政権は、既存の戦略と計画を更新するか、それらの特性に対応した新しい包括的な戦略を策定する必要があります。
GAO also highlighted the urgent need to clearly define a central role for leading the implementation of the national strategy. Accordingly, it recommended that the Congress consider legislation to designate a position in the White House to lead such an effort. In January 2021, the Congress did so by establishing the Office of the National Cyber Director within the Executive Office of the President.
Once the position is filled, the federal government will be better situated to direct activities to overcome the nation's cyber threats and challenges, and to perform effective oversight.
GAOはまた、国家戦略の実施を主導する中心的な役割を明確に定義することが急務であると強調した。そこでGAOは、このような取り組みを主導するホワイトハウス内の役職を指定する法案を検討するよう、議会に提言しました。2021年1月、議会は大統領府内に国家サイバー長官室を設置しました。この役職が設置されれば、連邦政府は、国家のサイバー脅威や課題を克服するための活動を指揮し、効果的な監視を行う上で有利な立場となります。
Although establishing the Cyber Director position is an essential step forward, critical risks remain on supply chains, workforce management, and emerging technologies. For example, in December 2020, GAO reported that none of the 23 agencies in its review had fully implemented key foundational practices for managing information and communications technology supply chains. It made a total of 145 recommendations to the agencies to implement such practices in their approaches to supply chain management. 国家サイバー長官の設置は重要な前進ですが、サプライチェーン、人材管理、新技術については重大なリスクが残っています。例えば、2020年12月、GAOは、情報通信技術のサプライチェーンを管理するための重要な基礎的実践を実施した機関は、調査対象となった23機関の中にはなかったと報告しました。また、サプライチェーン管理へのアプローチにおいて、そのようなプラクティスを実施するよう、各省庁に対して合計145件の提言を行いました。
Securing federal systems and information.
The federal government has made some progress in securing systems. Nevertheless, federal agencies continue to have numerous cybersecurity weaknesses due in large part to ineffective information security programs. Further, cyber incidents are increasingly posing a threat to government and private sector entities. The seriousness of the threat was reinforced by the December 2020 discovery of a cyberattack that has had widespread impact on government agencies, critical infrastructures, and the private sector. In 2019 GAO reported that most of the 16 agencies reviewed had incident response processes with key shortcomings thereby limiting the ability to minimize damage from attacks.
連邦政府のシステムと情報の保護。
連邦政府は、システムの安全性確保において一定の成果を上げています。それにもかかわらず、連邦政府機関は、効果のない情報セキュリティプログラムが大きな原因となって、数多くのサイバーセキュリティ上の弱点を抱えています。さらに、サイバーインシデントは、政府機関や民間企業にとってますます脅威となっています。その脅威の深刻さは、2020年12月に、政府機関、重要インフラ、民間企業に広範な影響を与えるサイバー攻撃が発見されたことで、さらに強まりました。2019年にGAOは、調査した16機関のほとんどが重要な欠点を持つインシデント対応プロセスを持っており、それによって攻撃による被害を最小限に抑える能力が制限されていると報告しました。
Protecting cyber critical infrastructure.
The nation's critical infrastructure includes both public and private systems vital to national security and other efforts including providing the essential services that underpin American society. Since 2010, GAO has made nearly 80 recommendations to enhance infrastructure cybersecurity; for example, GAO recommended that agencies better measure the adoption of the National Institute of Standards and Technology framework of voluntary cyber standards and correct sector-specific weaknesses. However, most of these recommendations (nearly 50) have not been implemented. As a result, the risks of unprotected infrastructures being harmed are heightened.
サイバー重要インフラの保護。
米国の重要インフラストラクチャには、米国社会を支える基本的なサービスの提供など、国家安全保障やその他の取り組みに不可欠な公共および民間のシステムが含まれます。2010年以降、GAOはインフラのサイバーセキュリティを強化するために80件近くの提言を行っています。例えば、GAOは各機関に対し、米国標準技術研究所(National Institute of Standards and Technology)のフレームワークである自主的なサイバー標準の採用状況をより正確に測定し、セクターごとの弱点を修正するよう提言しました。しかし、これらの提言のほとんど(約50件)は実施されていません。その結果、保護されていないインフラが被害を受けるリスクが高まっています。
Protecting privacy and sensitive data.
The federal government and private sector have struggled to protect privacy and sensitive data. Advances in technology have made it easy to correlate information about individuals and ubiquitous internet connectivity has facilitated sophisticated tracking of individuals and their activities. The vast number of individuals affected by various data breaches has underscored concerns that personally identifiable information is not adequately being protected. GAO's reviews of agency practices to protect sensitive data have identified weaknesses and made numerous recommendations at agencies such as the Department of Housing and Urban Development, Department of Education, and Internal Revenue Service.
プライバシーと機密データの保護
連邦政府と民間企業は、プライバシーと機密データの保護に苦心してきました。技術の進歩により、個人に関する情報を簡単に相関させることができるようになり、ユビキタスなインターネット接続により、個人とその活動の高度な追跡が容易になりました。様々なデータ漏洩の影響を受けた膨大な数の個人は、個人を特定できる情報が適切に保護されていないという懸念を強めています。GAOは、機密データを保護するための機関の実践をレビューし、住宅都市開発省、教育省、内国歳入庁などの機関で弱点を指摘し、多くの提言を行ってきました。
In January 2019, GAO reported that the United States did not have a comprehensive internet privacy law governing the collection, use, and sale or other disclosure of consumers' personal information. Accordingly, GAO recommended that the Congress consider developing legislation on internet privacy that, among other things, would enhance consumer protections. 2019年1月、GAOは、米国には消費者の個人情報の収集、使用、販売またはその他の開示を規定する包括的なインターネットプライバシー法がないと報告しました。したがって、GAOは、消費者保護を強化することなどを目的としたインターネット・プライバシーに関する法律の策定を検討するよう、議会に勧告しました。
Why GAO Did This Study GAOがこの調査を行った理由
Federal agencies and the nation's critical infrastructures—such as energy, transportation systems, communications, and financial services—are dependent on information technology systems to carry out operations. The security of these systems and the data they use is vital to public confidence and national security, prosperity, and well-being. 連邦政府機関や、エネルギー、輸送システム、通信、金融サービスなどの国の重要なインフラは、業務を遂行するために情報技術システムに依存しています。これらのシステムとそれらが使用するデータのセキュリティは、国民の信頼と国家の安全、繁栄、幸福にとって不可欠です。
GAO first designated information security as a government-wide high-risk area in 1997. This was expanded to include protecting
(1) cyber critical infrastructure in 2003 and
(2) the privacy of personally identifiable information in 2015.
GAOは、1997年に初めて情報セキュリティを政府全体の高リスク分野に指定しました。これを拡大して、2003年には
(1)サイバー重要インフラストラクチャの保護、2015年には
(2)個人を特定できる情報のプライバシーの保護が含まれるようになりました。
In 2018, GAO reported that the federal government needed to address four major cybersecurity challenges:
(1) establishing a comprehensive cybersecurity strategy and performing effective oversight,
(2) securing federal systems and information,
(3) protecting cyber critical infrastructure, and
(4) protecting privacy and sensitive data.
Within these four challenges are 10 actions critical to successfully dealing
with the serious cybersecurity threats facing the nation (see the figure at right identifying the four challenges and 10 actions).
2018年、GAOは、連邦政府がサイバーセキュリティの4つの主要な課題に取り組む必要があると報告しました。
(1)包括的なサイバーセキュリティ戦略の確立と効果的な監視の実行、
(2)連邦政府のシステムと情報の保護、
(3)サイバー重要インフラの保護、
(4)プライバシーと機密データの保護。
これら4つの課題の中には、国が直面する深刻なサイバーセキュリティの脅威にうまく対処するために必要な10の行動が含まれています(4つの課題と10の行動を示す右図を参照)。
This report provides an update on the progress that the federal government has made in addressing GAO's recommendations for the four major cybersecurity challenges, as of December 2020.  本報告書は、2020年12月時点で、サイバーセキュリティの4つの主要な課題に対するGAOの提言に連邦政府が対応した進捗状況を示すものです。 
In performing its work, GAO generally reviewed the cybersecurity-related products it had issued since September 2018. It also assessed actions taken on prior GAO recommendations, and determined which recommendations had not yet been implemented. Further, GAO identified its relevant ongoing cybersecurity work. Finally, GAO reviewed cybersecurity findings from agency inspector general reports, and analyzed the recommendations of the U.S. Cyberspace Solarium Commission. 作業を行うにあたり、GAOは、2018年9月以降に発行したサイバーセキュリティ関連のプロダクトを全般的にレビューしました。また、過去のGAO勧告について実施された行動を評価し、どの勧告がまだ実施されていないかを判断しました。さらに、GAOは、関連する進行中のサイバーセキュリティ作業を特定しました。最後に、GAOは各省庁の監察官報告書からサイバーセキュリティに関する知見を確認し、米国サイバースペース・ソラリウム委員会の提言を分析しました。

 


■  参考

● U.S. GAO

HIGH RISK AREA Ensuring the Cybersecurity of the Nation

Cybersecurity Challenges Facing the Nation – High Risk Issue

・2020.09.22 Cybersecurity:Clarity of Leadership Urgently Needed to Fully Implement the National Strategy

2018年の報告書

・2018.07.25 High-Risk Series:Urgent Actions Are Needed to Address Cybersecurity Challenges Facing the Nation

 

まるちゃんの情報セキュリティ気まぐれ日記

特に関係がありそうなもの...

・2021.03.16 U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」

・2021.03.07U.S. GAO ハイリスクリスト 2021 (サイバーセキュリティはリスクが高まっているという評価のようです...)

・2021.03.16 U.S. GAO CISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。。。(CISAも同意済み)

・2021.03.08 U.S. GAO 国防省に兵器システムについてサイバーセキュリティ要件を購買プログラム契約で定義し、作業を承認または拒否するための基準と、要件が満たされていることを政府が確認する方法についての基準を確立する必要があると指摘

・2021.01.13 米国 ポンペオ国務長官がサイバー空間安全保障・新興技術局(CSET)の創設を国務省に指示

・2020.12.27 U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます

・2020.10.14 米国GAOは連邦航空局がアビオニクスのリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。

・2020.09.29 米国GAO が「国家サイバー戦略」の完全実施のためにリーダーシップを明確にするために議会がリーダーを指名するように提案していますね。

・2020.09.18 米国GAO 財務省は金融セクターのサイバーセキュリティリスク軽減の取り組みについての追跡調査を改善する必要がある

・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

・2020.08.06 US-GAO GAOがOMBにIT管理、サイバーセキュリティの監査結果を伝えていますが結構厳しい・・・

・2020.05.17 GAO 重要インフラ保護:国土安全保障省はリスクが高い化学施設のサイバーセキュリティにもっと注意を払え

・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ!という報告書

・2020.03.22 GAO CRITICAL INFRASTRUCTURE PROTECTION: Additional Actions Needed to Identify Framework Adoption and Resulting Improvements

 

ソラリウム委員会関係

・2021.01.06 米国 2021年度 National Defense Authorization Act (NDAA) (国防権限法)成立 サイバー関係も・・・

・2020.10.04 サイバースペース・ソラリウム委員会

| | Comments (0)

NISTIR 8360 (ドラフト) アクセス制御ポリシー検証のための機械学習

こんにちは、丸山満彦です。

NISTがNISTIR 8360 (Draft) Machine Learning for Access Control Policy Verification(アクセス制御ポリシー検証のための機械学習)を公表し、意見を募集していますね。

なかなか興味深いアプローチだと思いました。

● NIST -ITL

・2021.03.23 NISTIR 8360 (Draft) Machine Learning for Access Control Policy Verification

Announcement 発表内容
Access control policy verification ensures that there are no faults within the policy that leak or block access privileges. To answer the challenges of traditional verification methods, this report proposes an efficient and straightforward method for access control policy verification by applying a classification algorithm of machine learning. This method does not require comprehensive test cases, oracle, or system translation but rather checks the logic of policy rules directly, making it more efficient and feasible compared to traditional methods. This report also demonstrates an experiment for the proposed method with an example that uses current available machine learning tools to facilitate the random forest classification algorithm. The result illustrates its capabilities as well as parameter settings for performing the verification steps. アクセス制御ポリシーの検証では、アクセス権限を漏らしたり遮断したりするような欠陥がポリシー内にないことを確認します。本報告書では,従来の検証手法の課題に答えるため,機械学習の分類アルゴリズムを適用した,効率的でわかりやすいアクセス制御ポリシーの検証手法を提案しています。 この手法は,包括的なテストケースやオラクル,システム変換などを必要とせず,ポリシールールの論理を直接チェックするため,従来の手法に比べて効率的で実現性の高い手法となっています。また、本報告書では、現在入手可能な機械学習ツールを用いて、ランダムフォレスト分類アルゴリズムを促進する例を用いて、提案手法の実験を実証しています。その結果、検証ステップを実行するためのパラメータ設定だけでなく、その能力も明らかになりました。 
Abstract 概要
Access control policy verification ensures that there are no faults within the policy that leak or block access privileges. As a software test, access control policy verification relies on methods such as model proof, data structure, system simulation, and test oracle to verify that the policy logic functions as expected. However, these methods have capability and performance issues related to inaccuracy and complexity limited by applied technologies. For instance, model proof, test oracle, and data structure methods initially assume that the policy under verification is faultless unless the policy model cannot hold for test cases. Thus, the challenge of the method is to compose test cases that can comprehensively discover all faults. Alternatively, a system simulation method requires translating the policy to a simulated system. The translation between systems may be difficult or impractical to implement if the policy logic is complicated or the number of policy rules is large. To answer these challenges, this IR proposes an efficient and straightforward method for access control policy verification by applying a classification algorithm of machine learning, which does not require comprehensive test cases, oracle, or system translation but rather checks the logic of policy rules directly, making it more efficient and feasible compared to traditional methods. アクセス制御ポリシーの検証では、アクセス権限を漏らしたり遮断したりするような欠陥がポリシー内にないことを確認します。アクセス制御ポリシーの検証は,ソフトウェアテストとして,モデル証明,データ構造,システムシミュレーション,テストオラクルなどの手法を用いて,ポリシーの論理が期待通りに機能することを確認します。しかし、これらの手法には、不正確さや複雑さなど、応用技術によって制限される能力や性能の問題があります。例えば,モデル証明,テストオラクル,データ構造の手法は,テストケースに対してポリシーモデルが成立しない場合を除き,検証対象のポリシーが故障しないことを最初に仮定します。そのため、すべての欠陥を包括的に発見できるテストケースを構成することが、この手法の課題となります。あるいは、システムシミュレーション手法では、ポリシーをシミュレーションされたシステムに翻訳する必要があります。ポリシーの論理が複雑であったり、ポリシールールの数が多い場合には、システム間の変換が困難であったり、現実的でない場合があります。このような課題に応えるため、本IRでは、機械学習の分類アルゴリズムを適用することで、包括的なテストケースやオラクル、システムの翻訳を必要とせず、ポリシールールの論理を直接チェックすることで、従来の手法に比べて効率的で実現性の高いアクセス制御ポリシーの検証手法を提案しています。

 

20210325-01223

Executive Summary  エグゼクティブ・サマリー 
1 Introduction 1 はじめに
2 Machine Learning for Access Control Verification 2 アクセスコントロール検証のための機械学習
3 RFC verification approach 3 RFC検証のアプローチ
4 Applications 4 アプリケーション
5 Conclusion 5 まとめ
References 参考文献

| | Comments (0)

公安調査庁 サイバーパンフレット「サイバー空間における脅威の概況2021」at 2021.03.05

こんにちは、丸山満彦です。

公安調査庁が2021.03.05にサイバーパンフレット「サイバー空間における脅威の概況2021」を公表していましたね。

公安調査庁 - 公表資料について

・ [PDF] サイバーパンフレット「サイバー空間における脅威の概況2021

20210324-233750

 

Continue reading "公安調査庁 サイバーパンフレット「サイバー空間における脅威の概況2021」at 2021.03.05"

| | Comments (0)

2021.03.24

経済産業省 「経済産業分野のうち個人遺伝情報を用いた事業分野における個人情報保護ガイドライン」を改正

こんにちは、丸山満彦です。

経済産業省が「経済産業分野のうち個人遺伝情報を用いた事業分野における個人情報保護ガイドライン」を改正しました。

● 経済産業省

・2021.03.23 (news) 「経済産業分野のうち個人遺伝情報を用いた事業分野における個人情報保護ガイドライン」を改正しました

・[PDF] 経済産業分野のうち個人遺伝情報を用いた事業分野における 個人情報保護ガイドライン

20210324-14118

 


2.改正概要

(1)電磁的方法によるインフォームド・コンセント

現行本ガイドラインにおいてインフォームド・コンセントの方法は文書と規定されているところ、電磁的方法(デジタルデバイスやオンライン等)を用いることが可能である旨を加え、その際に留意すべき事項について規定を新設しました。

(2)その他

研究分野における倫理指針である「ヒトゲノム・遺伝子解析研究に関する倫理指針」(平成25年文部科学省・厚生労働省・経済産業省告示第1号)が「人を対象とする医学系研究に関する倫理指針」(平成26年文部科学省・厚生労働省告示第3号)と統合され、新たに「人を対象とする生命科学・医学系研究に関する倫理指針」(令和3年文部科学省・厚生労働省・経済産業省告示第54号)として制定されることや、個人遺伝情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる各種ガイドライン等の改訂状況を適宜反映しました。


 

| | Comments (0)

欧州理事会 EUサイバーセキュリティ戦略を採択

こんにちは、丸山満彦です。

欧州理事会は2020.12.16に公表されたEUサイバーセキュリティ戦略案を採択したようですね。

欧州理事会、欧州連合理事会

・2021.03.22 Cybersecurity: Council adopts conclusions on the EU's cybersecurity strategy

・2021.03.09 [PDF] Draft Council conclusions on the EU’s Cybersecurity Strategy for the Digital Decade

infograph20210324-12119


まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16

 

| | Comments (0)

ENISA Microsoft Exchangeの脆弱性に関するレポートを公開

こんにちは、丸山満彦です。

ENISAがMicrosoft Exchangeの脆弱性に関するレポートを公開していますね。。。

● ENISA

・2021.03.19 (news) Statement on Microsoft Exchange vulnerabilities

The EU Agency for Cybersecurity (ENISA) has provided a statement with an assessment and advice on Microsoft Exchange vulnerabilities.

 ・2021.03.19 Situational Report on Microsoft Exchange Vulnerabilities

・[PDF] Microsoft Exchange Vulnerabilities

 

Situational Report on Microsoft Exchange Vulnerabilities Microsoft Exchangeの脆弱性に関する状況報告書
This ENISA situation report provides an assessment as well as advice and mitigation measures for the MS Exchange vulnerabilities. The threat for the new updates has been assessed as severe and ENISA considers attacks probable and of high risk. The Agency calls on organisations using affected Microsoft Exchange versions to patch the flaws immediately and thoroughly investigate for potential signs of compromise. MS Exchange vulnerabilities once exploited may lead to network compromise, data exfiltration and ransomware attacks. Across the EU, an increasing number of MS Exchange installations have also been found to be the target of malicious attacks. このENISAの状況報告では、MS Exchangeの脆弱性に関する評価、アドバイス、緩和策を提供しています。新しい更新プログラムの脅威は深刻であると評価されており、ENISAは攻撃の可能性が高く、高リスクであると考えています。ENISAは、影響を受けるMicrosoft Exchangeのバージョンを使用している組織に対し、直ちに欠陥にパッチを適用し、侵害の可能性がある兆候を徹底的に調査するよう呼びかけています。MS Exchangeの脆弱性が悪用されると、ネットワークの侵害、データの流出、ランサムウェアの攻撃につながる可能性があります。EUでは、悪意のある攻撃の標的となるMS Exchangeの数が増加していることが判明しています。

 



 

20210324-04849   


まるちゃんの情報セキュリティ気まぐれ日記

・2021.03.19 米国 国家安全保障会議 (NSC) はMicrosoft Exchangeの脆弱性に対する政府全体の対応を推進するために、Unified Coordination Group(UCG)を設立したようですね。。。

・2021.03.04 米国国土安全保障省 緊急指令21-02 オンプレミス版Microsoft Exchangeの脆弱性の軽減

 

| | Comments (0)

2021.03.23

欧州委員会 研究報告書「フォレンジックスにおけるクラスタリングと教師なし分類」

こんにちは、丸山満彦です。

欧州委員会のEU Science Hubから「Clustering and Unsupervised Classification in Forensics(フォレンジックスにおけるクラスタリングと教師なし分類)」という報告書が公表されていますね。

報告書自体は2020年に作成されていたようですね。。。

 

● EU Commission - EU Science Hub - Publications

・2021.03.22 Clustering and Unsupervised Classification in Forensics

Abstract:  概要 
Nowadays, crime investigators collect an ever increasing amount of potential digital evidence from suspects, continuously increasing the need for techniques of digital forensics. Often, digital evidence will be in the form of mostly unstructured and unlabeled data and seemingly uncorrelated information. Manually sorting out and understanding this type of data constitutes a considerable challenge, sometimes even a psychological burden, or at least a prohibitively time consuming activity. Therefore, forensic research should explore and leverage the capabilities of cluster algorithms and unsupervised machine learning to-wards creating robust and autonomous analysis tools for criminal investigators faced with this situation. This report presents a first comprehensive study from theory to practice on the specific case of video forensics. 今日、犯罪捜査官が容疑者から収集する潜在的なデジタル証拠の量は増え続けており、デジタル・フォレンジックの技術の必要性が継続的に高まっている。多くの場合、デジタル証拠は、ほとんどが構造化されておらず、ラベル付けされていないデータや、一見すると相関性のない情報の形をしている。このようなデータを手作業で整理し、理解することは、かなりの困難を伴い、時には心理的負担にもなり、少なくとも法外に時間のかかる作業となる。そのため,フォレンジック研究では,このような状況に直面している犯罪捜査官のために,クラスター・アルゴリズムや教師なし機械学習の能力を探求し,活用して,ロバストで自律的な分析ツールを作成する必要がある。本レポートでは、ビデオ・フォレンジックという具体的なケースについて、理論から実践までの初めての包括的な研究を紹介する。

 

・[PDF] Clustering and Unsupervised Classification in Forensics

20210323-24729

 

Abstract 概要
1 Introduction 1 はじめに
1.1 Definition of Clustering. 1.1 クラスタリング(Clustering)の定義
1.2 Clustering and Classification. 1.2 クラスタリングと分類
2 Background: Methods and Algorithms 2 背景 方法とアルゴリズム
2.1 Clustering Problem Categories 2.1 クラスタリングの問題カテゴリ
2.2 Overview of algorithms and methods 2.2 アルゴリズムと手法の概要
2.2.1 Classical approaches 2.2.1 古典的アプローチ
2.2.1.1 K-Means based algorithms 2.2.1.1 K-Meansベースのアルゴリズム
2.2.1.2 Hierarchical algorithms 2.2.1.2 階層型アルゴリズム
2.2.2 Probabilistic Models for Clustering 2.2.2 クラスタリングのための確率的モデル
2.2.2.1 Gaussian Mixture Models with the EM algorithm. 2.2.2.1 EMアルゴリズムを用いたガウシアン混合モデル
2.2.2.2 Other Probabilistic Models 2.2.2.2 その他の確率論的モデル
2.2.3 Modern Machine learning models and stand alone developments. 2.2.3 最新の機械学習モデルと単独での開発
2.2.4 Dimensionality Reduction. 2.2.4 次元の削減
2.2.5 Cluster validity, model checking and hyperparameter optimization 2.2.5 クラスタの有効性、モデルチェック、ハイパーパラメータの最適化
2.2.5.1 Evaluating test data 2.2.5.1 テストデータの評価
2.3 Problems and Challenges 2.3 問題点と課題
3 Research Workshop at JRC 3 JRCでの研究ワークショップ
4 Forensic Application Case 4 フォレンジックアプリケーションケース
4.1 The data sets. 4.1 データセット
4.1.1 Controlled recordings. 4.1.1 コントロールされた録画
4.1.2 Live recordings 4.1.2 ライブレコーディング
4.2 Audio-based clustering of video recordings 4.2 映像記録の音声によるクラスタリング
4.2.1 Audio features 4.2.1 音声の特徴
4.2.1.1 GMM Training for Clean Speech 4.2.1.1 クリーンスピーチのためのGMMトレーニング
4.2.1.2 Blind microphone response estimation 4.2.1.2 ブラインドマイク応答推定
4.2.2 Experimental evaluation 4.2.2 実験的評価
4.2.2.1 Settings 4.2.2.1 設定
4.2.2.2 Test run protocol. 4.2.2.2 テスト実行プロトコル
4.2.2.3 Inter-model audio clustering 4.2.2.3 モデル間音声クラスタリング
4.2.2.4 All-model audio clustering. 4.2.2.4 全モデルの音声クラスタリング
4.3 Image-based clustering of video recordings. 4.3 ビデオ録画の画像ベースのクラスタリング
4.3.1 SPN Features Extraction. 4.3.1 SPN特徴量の抽出
4.3.1.1 Noise extraction in DWT domain. 4.3.1.1 DWT領域でのノイズ抽出。
4.3.1.2 Attenuation of saturated pixels. 4.3.1.2 飽和したピクセルの減光。
4.3.1.3 Estimate SPN using Maximum Likelihood Estimator. 4.3.1.3 最尤推定法によるSPNの推定。
4.3.1.4 SPN normalization. 4.3.1.4 SPNの正規化。
4.3.1.5 Convert SPN to grayscale. 4.3.1.5 SPNをグレースケールに変換する。
4.3.1.6 Wiener filtering for JPEG compression artifacts removal 4.3.1.6 JPEG圧縮アーチファクト除去のためのウィーナーフィルタリング
4.3.2 Experimental settings 4.3.2 実験設定
4.3.3 Results on still images 4.3.3 静止画での結果
4.3.4 Results on video frames 4.3.4 ビデオフレームでの結果
4.4 Explorative Case: Model based Clustering with unknown number of classes. 4.4 Explorative Case: クラスの数が不明なモデルベースのクラスタリング
4.4.1 Model Comparison Results 4.4.1 モデルの比較結果
4.5 Conclusions of the applications case 4.5 応用事例の結論
5 Outlook and Next Activities 5 展望と次の活動
References 参考文献
List of abbreviations and definitions 略語と定義の一覧

| | Comments (0)

欧州委員会 ホライゾン・ヨーロッパ 戦略計画2021-2024 持続可能な未来のための研究・イノベーションの優先事項を設定 at 2021.03.15

こんにちは、丸山満彦です。

欧州委員会が「ホライゾン・ヨーロッパ 戦略計画2021-2024」で持続可能な未来のための研究・イノベーションの優先事項を設定をし、公表していますね。。。

グリーン&デジタル改革を推進するということに焦点を当てているようですね。。。ということで、当然にCybersecurity, Cybercrime, Priavcyについても言及されていますね。。。

EU Commission

・2021.03.15 Horizon Europe's first strategic plan 2021-2024: Commission sets research and innovation priorities for a sustainable future

・[PDF] Horizon Europe - Strategic Plan 2021-2024

20210323-12104

 

中期計画 (2021-2027) の最初の4年間分の戦略計画になります。4つの戦略的方向性が示されていますね。。。

Promoting an open strategic autonomy by leading the development of key digital, enabling and emerging technologies, sectors and value chains; 主要なデジタル技術、実現技術、新興技術、セクター、バリューチェーンの開発を主導することで、開かれた戦略的自律性を促進する
Restoring Europe's ecosystems and biodiversity, and managing sustainably natural resources; 欧州の生態系と生物多様性を回復し、天然資源を持続的に管理する
Making Europe the first digitally enabled circular, climate-neutral and sustainable economy; 欧州を、デジタル技術を駆使した初の循環型、気候変動に左右されない持続可能な経済にする
Creating a more resilient, inclusive and democratic European society. より回復力があり、包括的で民主的な欧州社会を構築する

 

報告書目次

INTRODUCTION イントロダクション
CO-DESIGN AND CONTENT 共同デザインとコンテンツ
KEY STRATEGIC ORIENTATIONS 主な戦略的方向性
A.PROMOTING AN OPEN STRATEGIC AUTONOMY BY LEADING THE DEVELOPMENT OF KEY DIGITAL, ENABLING AND EMERGING TECHNOLOGIES, SECTORS AND VALUE CHAINS A. 主要なデジタル技術、実現技術、新興技術、セクター、バリューチェーンの開発を主導することで、開かれた戦略的自律性を促進する
B. RESTORING EUROPE’S ECOSYSTEMS AND BIODIVERSITY, AND MANAGING SUSTAINABLY NATURAL RESOURCES B. 欧州の生態系と生物多様性を回復し、天然資源を持続的に管理する
C. MAKING EUROPE THE FIRST DIGITALLY ENABLED CIRCULAR, CLIMATE-NEUTRAL AND SUSTAINABLE ECONOMY C. 欧州を、デジタル技術を駆使した初の循環型、気候変動に左右されない持続可能な経済にする
D. CREATING A MORE RESILIENT, INCLUSIVE AND DEMOCRATIC EUROPEAN SOCIETY D. より回復力があり、包括的で民主的な欧州社会を構築する
EUROPEAN PARTNERSHIPS 欧州のパートナーシップ
MISSIONS 使命
INTERNATIONAL COOPERATION 国際協力
BRIDGING BETWEEN THE THREE PILLARS OF HORIZON EUROPE ホライゾン・ヨーロッパの3つの柱の橋渡し
SPECIFIC ISSUES 具体的な課題
BACKGROUND AND FRAMEWORK 背景と枠組み
APPENDICES 附属書
CLUSTER IMPACT SUMMARY – CLUSTER 1 – HEALTH クラスター影響度概要- クラスター1 - 健康
CLUSTER IMPACT SUMMARY – CLUSTER 2 – CULTURE, CREATIVITY AND INCLUSIVE SOCIETY クラスター影響度概要- クラスター2 - 文化、創造性、包括的社会
CLUSTER IMPACT SUMMARY – CLUSTER 3 – CIVIL SECURITY FOR SOCIETY クラスター影響度概要- クラスター3 - 社会のための市民の安全保障
CLUSTER IMPACT SUMMARY – CLUSTER 4 – DIGITAL, INDUSTRY AND SPACE クラスター影響度概要- クラスター4 - デジタル、産業、宇宙
CLUSTER IMPACT SUMMARY – CLUSTER 5 – CLIMATE, ENERGY AND MOBILITY クラスター影響度概要- クラスター5 - 気候、エネルギー、モビリティ
CLUSTER IMPACT SUMMARY – CLUSTER 6 – FOOD, BIOECONOMY, NATURAL RESOURCES, AGRICULTURE AND ENVIRONMENT クラスター影響度概要- クラスター6 - 食糧、バイオエコノミー、天然資源、農業および環境

少ない軸に絞って、まとまっていると思いました。。。

 


さて、日本はどうでしょうか???

●  官邸

成長戦略ポータルサイト

 

網羅性が高い(^^)...

 

 

| | Comments (0)

SEC 気候変動に関する開示のあり方についての意見募集 at 2021.03.15

こんにちは、丸山満彦です。

米国証券取引委員会 (SEC) が、気候変動に関する開示のあり方についての意見募集をしていますね。。。

U.S. Securities and Exchange Commission: SEC

・2021.03.15 Public Input Welcomed on Climate Change Disclosures

SECは2010年に、既存の開示要件が気候変動問題にどのように適用されるかについてガイダンスを提供する解釈リリース ([PDF] Commission Guidance Regarding Disclosure Related to Climate Change, Release No. 33-9106 ) を発行していますが、任意基準であったことと、他に同様の基準がいくつか発行され整合性が取れていないことから、発行者にとっても利用者にとっても良い状況ではないということで、統合的な基準を作るべきかどうかについての意見募集をするということなのでしょうね。。。

質問事項として15項目があげられています。。。

例えば、

  • 開示は年次報告書に組み込むべきか、別に提供すべきか
  • 定量的な開示項目としてはどのようなものを含むべきか
  • 金融、エネルギー業界等、業種別の基準を作ることの長所と短所は
  • 既存の基準を利用すべきか、新しい基準を作るとしたら参考にすべき基準は何か
  • 世界中の企業に適用可能な単一のグローバル標準セットを開発することの長所と短所は
  • 開示を監査または別の形式の保証の対象にすることの長所と短所は
  • 気候変動について「遵守または説明」フレームワークを採用するとすればその長所と短所は

など。。。

 

Sec


 

JETRO

・2021.03.18 米SEC、企業の環境・社会・ガバナンス開示基準見直へ意見募集を開始

| | Comments (0)

2021.03.22

米国IT工業協議会 連邦政府がサプライチェーンセキュリティの戦略的見直しを行う際の指針となる原則を公表 (大統領令とかもちょっと含めて...)

こんにちは、丸山満彦です。

米国IT工業協議会 [wikipedia] が連邦政府がサプライチェーンセキュリティの戦略的見直しを行う際の指針となる原則を公表していますね。。。大統領の交代を機に政府の縦割りの中での規制乱立はやめて、どこかでリーダーシップをとって首尾一貫した規制にして欲しいということでしょうかね。。。

2021.02.24のバイデン大統領による大統領令「アメリカのサプライチェーン」では、ICTに関係するサプライチェーンについても触れられていますね。。。

 

Information Technology Industry Council (IT工業協議会)

・2021.03.18 (press) New ITI Principles Provide Streamlined, Strategic Approach to Supply Chain Security Policy

[PDF] Supply Chain Security: Principles for a Strategic Review

20210321-235048

 

報告書の仮訳はこちら...


■ 参考情報

Department of Commerce - ICT Supply Chaine

バイデン大統領令↓

・2021.02.24 Executive Order on America’s Supply Chains

トランプ元大統領令↓

・2019.05.15 Executive Order on Securing the Information and Communications Technology and Services Supply Chain

Federal Register

・2021.03.01 (Executive Order 14017) Executive Order on America’s Supply Chains

・2019.05.17 (Executive Order 13873) Securing the Information and Communications Technology and Services Supply Chain

-----

・2021.01.21 (Department of Commerce) Securing the Information and Communications Technology and Services Supply Chain

↑ 今日から有効です...

・2019.11.27 (Department of CommerceSecuring the Information and Communications Technology and Services Supply Chain

 

● CISA

・2020.04  [PDF] EXECUTIVE ORDER 13873 RESPONSE - CISA - METHODOLOGY FOR ASSESSING THE MOST CRITICAL INFORMATION AND COMMUNICATIONS TECHNOLOGIES AND SERVICES

 

 

Continue reading "米国IT工業協議会 連邦政府がサプライチェーンセキュリティの戦略的見直しを行う際の指針となる原則を公表 (大統領令とかもちょっと含めて...)"

| | Comments (0)

2021.03.21

金融活動作業部会 仮想資産および仮想資産サービスプロバイダーへのリスクベースアプローチに関するガイダンスの更新草案を公表

こんにちは、丸山満彦です。

マネーロンダリングおよびテロ資金供与の世界的な監視機関である金融活動作業部会 (The Financial Action Task Force: FATF) [wikipedia]が仮想資産および仮想資産サービスプロバイダーへのリスクベースアプローチに関するガイダンスの更新草案を公表し、意見を募集していますね。。。

The Financial Action Task Force: FATF

・2021.03.19 Public consultation on FATF draft guidance on a risk-based approach to virtual assets and virtual asset service providers

・[PDF] Draft updated Guidance for a risk-based approach to virtual assets and VASPs

Png-image

Table of contents 目次
Acronyms 頭字語
Executive summary エグゼクティブサマリー
Section I - Introduction セクション I - はじめに
Background 背景
Purpose of the Guidance ガイダンスの目的
Scope of the Guidance ガイダンスの範囲
Structure e 構造
Section II – Scope of FATF Standards セクション II - FATF基準の範囲
Initial Risk Assessment 初期リスクアセスメント
FATF Definitions and Features of the VASP Sector Relevant for AML/CFT FATFの定義およびAML/CFTに関連するVASPセクターの特徴
Section III – Application of FATF Standards to Countries and Compete Authorities セクション III - 国および競争当局へのFATF基準の適用
Application of the Recommendations in the Context of VAs and VASPs VAS及びVASPの文脈における勧告の適用
Risk-Based Approach to Supervision or Monitoring of VASPs VASPの監督又はモニタリングに対するリスク・ベース・アプローチ
Section IV – Application of FATF Standards to VASPs and other obliged entities that Engage in or Provide Covered VA Activities セクションⅣ - VASPおよび対象となるVA活動に従事または提供する他の義務づけられた事業体へのFATF基準の適用
Customer due diligence 顧客のデューディリジェンス
Politically exposed persons 政治的に露出した人物
Correspondent banking and other similar relationships コルレス銀行およびその他類似の関係
Internal controls and foreign branches and subsidiaries 内部統制と外国の支店・子会社
STR reporting and tipping-off STR報告とティッピングオフ
Section V – Country Examples of Risk-Based Approach to Virtual Asset and Virtual Asset Service Providers セクション V - 仮想資産および仮想資産サービス・プロバイダーに対するリスク・ベース・アプローチの各国事例
Summary of Jurisdictional Approaches to Regulating and Supervising VA Activities and VASPs 仮想通貨活動およびVASPの規制・監督に関する各国のアプローチの概要
Section VI – PRINCIPLES OF INFORMATION-SHARING AND COOPERATION AMONGST VASP SUPERVISORS セクション VI - VASP の監督者間の情報共有と協力の原則
Objectives 目的
Principles of Information-Sharing and Cooperation 情報共有と協力の原則
Annex A. Recommendation 15 and its Interpretive Note and FATF Definitions 附属書A 勧告 15 とその解釈ノートおよび FATF の定義
FATF Glossary FATF用語集
Annex B. Summary of changes to this Guidance in June 2021 附属書B 2021年6月の本ガイダンスの変更点の概要

 

参考

FATFの推奨事項

 


2021.03.22 追記

● 金融庁

・2021.03.22 FATFによる市中協議文書「暗号資産及び暗号資産交換業者に対するリスクベースアプローチに関するガイダンス改訂案」の公表について

Draft updated Guidance for a risk-based approach to virtual assets and VASPs ”を「仮想資産および仮想資産サービスプロバイダーへのリスクベースアプローチに関するガイダンスの更新草案」ではなく、「暗号資産及び暗号資産交換業者に対するリスクベースアプローチに関するガイダンス改訂案」と訳するんですね。。。

| | Comments (0)

2021.03.20

欧州司法裁判所 (CJEU) 個人データ保護に関する判例事例集

こんにちは、丸山満彦です。

欧州司法裁判所 (The Court of Justice of the European Union: CJEU)[wikipedia] が個人データ保護に関する判例事例集を公表していますね。。。文書自体は2020年7月に発行されているような感じですね。。。

The Court of Justice of the European Union: CJEU

・[PDF] Fact Sheet  - Protection on Personal Data

20210320-75049

 

 

I. The right to the protection of personal data recognised by the Charter of Fundamental Rights of the European Union I. 欧州連合基本権憲章で認められている個人情報保護の権利
1. Compatibility of secondary EU law with the right to the protection of personal data 1. EU二次法と個人データ保護の権利の適合性
2. Respect for the right to the protection of personal data in the implementation of EU law 2. EU法の実施における個人データ保護の権利の尊重
II. The processing of personal data within the meaning of Directive 95/46/EC II. 指令95/46/ECの意味における個人データの処理
1. Personal data-processing operations excluded from the scope of Directive 95/46/EC 1. 指令95/46/ECの範囲から除外される個人データ処理作業
2. Concept of 'personal data' 2. 「個人データ」の概念
3. Concept of 'processing of personal data’ 3. 「個人データの処理」の概念 
4. Concept of a 'personal data filing system' 4. 「個人データファイリングシステム」の概念
5. Concept of a 'controller of the processing of personal data’ 5. 「個人データ処理の管理者」の概念
6. Conditions for lawful processing of personal data in the light of Article 7 of Directive 95/46/EC 6. 指令95/46/ECの第7条に照らした個人データの合法的な処理の条件
III. The processing of personal data within the meaning of Directive 2002/58/EC III. 指令2002/58/ECの意味における個人データの処理
IV. Transfer of personal data to third countries IV. 個人データの第三国への転送
V. Protection of personal data on the internet V. インターネット上での個人データの保護
1. Right to object to the processing of personal data (‘right to be forgotten’) 1. 個人データの処理に異議を唱える権利(「忘れられる権利」)
2. Processing of personal data and intellectual property rights 2. 個人データの処理と知的財産権
3. De-referencing of personal data 3. 個人データの非参照化
4. Consent by a website user to the storage of or access to information in the form of cookies 4. クッキー形式での情報の保存またはアクセスに対するウェブサイト利用者の同意"
VI. National  supervisory authorities VI. 国内監督官庁
1. Scope of the requirement of independence 1. 独立性の要件の範囲
2. Determination of the applicable law and of the competent supervisory authority 2. 適用法および管轄監督官庁の決定
3. Powers of the national supervisory authorities 3. 各国監督官庁の権限
VII. Territorial application of EU legislation VII. EU法の地域的適用
VIII. Right of public access to documents of the institutions of the European Union and protection of personal data VIII. EU機関の文書に対する一般公開の権利と個人情報の保護

これは便利ですね。。。

欧州司法裁判所はフランス語だけの文書も多くあり、基本言語はフランス語なんでしょうかね。。。

 

1920pxemblem_of_the_court_of_justice_of_

| | Comments (0)

2021.03.19

NIST SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) BYODのセキュリティ

こんにちは、丸山満彦です。

NISTがBYODのセキュリティガイドのドラフトを公開し、意見募集をしていますね。

● NIST - ITL

・2021.03.18 SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD)

 

Announcement 発表内容
Many organizations now support their employees' use of personal mobile devices to remotely perform work-related activities. This increasingly common practice, known as BYOD (Bring Your Own Device), provides employees with increased flexibility to telework and access organizational information resources. Helping ensure that an organization's data is protected when it is accessed from personal devices, while ensuring employee privacy poses unique challenges and threats. 多くの企業では、従業員が個人所有のモバイル・デバイスを使用して、業務上の活動を遠隔地で行うことをサポートしています。BYOD(Bring Your Own Device)として知られるこの一般的な慣行により、従業員はテレワークや組織の情報リソースへのアクセスをより柔軟に行うことができます。個人所有のデバイスから組織のデータにアクセスする際に、組織のデータを確実に保護すると同時に、従業員のプライバシーを確保することは、独自の課題と脅威をもたらします。
The goal of the Mobile Device Security: Bring Your Own Device practice guide is to provide an example solution that helps organizations use both a standards-based approach and commercially available technologies to help meet their security and privacy needs when permitting personally-owned mobile devices to access enterprise resources.  この「モバイル・デバイス・セキュリティ」の目的は 実践ガイド「モバイル・デバイス・セキュリティ:個人所有のデバイスの持ち込み」の目的は、個人所有のモバイル・デバイスによる組織リソースへのアクセスを許可する際に、セキュリティとプライバシーのニーズを満たすために、標準ベースのアプローチと商業的に利用可能な技術の両方を使用するためのソリューション例を提供することです。 
We look forward to receiving your comments and any feedback on the following questions will be very helpful: 以下の質問に対する皆様のご意見をお待ちしております。
Does the guide meet your needs? このガイドはあなたのニーズを満たしていますか?
Can you put this solution to practice?  このソリューションを実践できますか? 
Are specific sections more/less helpful? 具体的にはどのような部分が参考になりますか?
Abstract 概要
Bring Your Own Device (BYOD) refers to the practice of performing work-related activities on personally owned devices. This practice guide provides an example solution demonstrating how to enhance security and privacy in Android and Apple smartphone BYOD deployments. BYOD(Bring Your Own Device)とは、個人所有のデバイスで仕事上の活動を行うことを指します。この実践ガイドでは、AndroidおよびAppleのスマートフォンのBYOD導入において、セキュリティとプライバシーを強化する方法を示すソリューション例を紹介します。
Incorporating BYOD capabilities into an organization can provide greater flexibility in how employees work and increase the opportunities and methods available to access organizational resources. For some organizations, the combination of traditional in-office processes with mobile device technologies enables portable communication approaches and adaptive workflows. For others, it fosters a mobile first approach in which their employees communicate and collaborate primarily using their mobile devices. 組織にBYOD機能を導入すると、従業員の働き方がより柔軟になり、組織のリソースにアクセスする機会や方法が増えます。ある組織では、従来のオフィス内のプロセスとモバイル・デバイス・テクノロジーを組み合わせることで、ポータブルなコミュニケーション・アプローチと適応性のあるワークフローが可能になります。また、従業員が主にモバイルデバイスを使ってコミュニケーションやコラボレーションを行う、モバイルファーストのアプローチを促進する企業もあります。
However, some of the features that make BYOD mobile devices increasingly flexible and functional also present unique security and privacy challenges to both work organizations and device owners. The unique nature of these challenges is driven by the diverse range of devices available that vary in type, age, operating system (OS), and the level of risk posed. しかし、BYODモバイル・デバイスの柔軟性と機能性を向上させる機能の一部は、企業とデバイスの所有者の両方に、セキュリティとプライバシーに関する独自の課題をもたらします。このような課題は、種類、年代、オペレーティングシステム(OS)、およびリスクのレベルが異なる多様なデバイスが存在することによって生じます。
Enabling BYOD capabilities in the enterprise introduces new cybersecurity risks to organizations. Solutions that are designed to secure corporate devices and on-premises data do not provide an effective cybersecurity solution for BYOD. Finding an effective solution can be challenging due to the unique risks that BYOD deployments impose. Additionally, enabling BYOD capabilities introduces new privacy risks to employees by providing their employer a degree of access to their personal devices, opening up the possibility of observation and control that would not otherwise exist. 企業内でBYOD機能を利用できるようになると、組織に新たなサイバーセキュリティ・リスクが生じます。企業のデバイスとオンプレミスのデータを保護するために設計されたソリューションは、BYOD のための効果的なサイバーセキュリティ・ソリューションを提供しません。BYOD の導入には固有のリスクが伴うため、効果的なソリューションを見つけることは困難です。さらに、BYOD 機能を有効にすると、雇用者が個人のデバイスにある程度アクセスできるようになるため、従業員に新たなプライバシー・リスクが発生し、従来は存在しなかった観察と管理の可能性が生じます。
To help organizations benefit from BYOD’s flexibility while protecting themselves from many of its critical security and privacy challenges, this Practice Guide provides an example solution using standards-based, commercially available products and step-by-step implementation guidance. このプラクティスガイドでは、企業がBYODの柔軟性を活かしつつ、セキュリティとプライバシーに関する重大な課題の多くから自社を守るために、標準規格に準拠した市販の製品を使用したソリューション例と、段階的な導入ガイダンスを提供します。


・[PDF] SP 1800-22 Mobile Device Security: Bring Your Own Device (BYOD)

20210319-63022

心してかかってください!、266ページあります (^^)...

分冊バージョン...

プロジェクトのウェブページ

● NIST - NCCoE

Nccoelogo800x800

Mobile Device Security: Bring Your Own Device

 

SP 1800-22B: Approach, Architecture, and Security Characteristics の目次の仮訳はここです。。。

 

Continue reading "NIST SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) BYODのセキュリティ"

| | Comments (0)

米国 国家安全保障会議 (NSC) はMicrosoft Exchangeの脆弱性に対する政府全体の対応を推進するために、Unified Coordination Group(UCG)を設立したようですね。。。

こんにちは、丸山満彦です。

米国 国家安全保障会議 (NSC) はMicrosoft Exchangeの脆弱性に対する政府全体の対応を推進するために、NSAの支援のもと、FBI、CISA、ODNIの代表者で構成されるタスクフォースであるUnified Coordination Group(UCG)を設立したようですね。。。

● White House

・2021.03.17 Statements by Press Secretary Jen Psaki & Deputy National Security Advisor for Cyber Anne Neuberger on Microsoft Exchange Vulnerabilities UCG

 

Statements by Press Secretary Jen Psaki & Deputy National Security Advisor for Cyber Anne Neuberger on Microsoft Exchange Vulnerabilities UCG Microsoft Exchangeの脆弱性に関するジェン・プサキ報道官とアン・ニューバーガーサイバー担当国家安全保障副顧問の声明 UCG
Statement by White House Press Secretary Jen Psaki: ホワイトハウスのジェン・プサキ報道官による声明。
Last week the National Security Council (NSC) established a Unified Coordination Group (UCG), a task force composed of representatives from the FBI, CISA, and ODNI, with support from the NSA, to drive a whole-of-government response to the Microsoft Exchange vulnerabilities. On Monday, the NSC convened a UCG leadership meeting, which included private sector members for the first time, coordinating our respective response efforts. We invited the private sector partners based on their specific insights to this incident, an approach the NSC will take going forward as appropriate. The UCG discussed the remaining number of unpatched systems, malicious exploitation, and ways to partner together on incident response, including the methodology partners could use for tracking the incident, going forward. 先週、国家安全保障会議(NSC)は、Microsoft Exchangeの脆弱性に対する政府全体の対応を推進するために、NSAの支援のもと、FBI、CISA、ODNIの代表者で構成されるタスクフォース、Unified Coordination Group(UCG)を設立しました。月曜日、NSCはUCGのリーダー会議を開催しました。この会議には初めて民間企業のメンバーも参加し、それぞれの対応策を調整しました。 この会議では、民間企業のメンバーを初めて招待し、それぞれの対応策を調整しました。民間企業のメンバーは、今回の事件に対する具体的な洞察力に基づいて招待しました。UCGでは、パッチが適用されていないシステムの残りの数、悪意のある搾取、インシデントの追跡にパートナーが使用できる方法など、インシデント対応で協力する方法について議論しました。 
The cost of cyber incident response weighs particularly heavily on small businesses. Hence, we requested that Microsoft help small businesses with a simple solution to this incident. In response, Microsoft has released a one-click mitigation tool. We encourage every business or organization that has not yet fully patched and scanned their Exchange Server to download and run this free tool.  サイバーインシデント対応のコストは、特に中小企業に重くのしかかります。そこで私たちは、マイクロソフトに、このインシデントに対する簡単な解決策で中小企業を支援するよう要請しました。これを受けて、マイクロソフトはワンクリックで操作できる緩和ツールをリリースしました。まだExchange Serverのパッチ適用とスキャンを完了していないすべての企業や組織に、この無料ツールをダウンロードして実行することをお勧めします。 
Statement by Deputy National Security Advisor for Cyber & Emerging Technology Anne Neuberger: アン・ニューバーガー副国家安全保障顧問(サイバー・新技術担当)の声明。
This Administration is committed to working with the private sector to build back better – including to modernize our cyber defenses and enhance the nation’s ability to respond rapidly to significant cybersecurity incidents. 本政権は、民間企業と協力して、サイバー防御の近代化や重大なサイバーセキュリティ事件への迅速な対応能力の強化など、より良い環境を構築することに取り組んでいます。

 

1_20210319020401

 

 


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.03.04 米国国土安全保障省 緊急指令21-02 オンプレミス版Microsoft Exchangeの脆弱性の軽減

| | Comments (0)

米国 下院エネルギー・商業委員会は、SolarWindsサイバー攻撃に関する情報を要求する超党派議員に関する声明を発表し、関係省庁に質問状を送付していますね。。。

こんにちは、丸山満彦です。

米国 下院エネルギー・商業委員会 (House committee on Energy & Commerce) は、SolarWindsサイバー攻撃に関する情報を要求する超党派議員に関する声明を発表し、関係省庁(U.S. Department of Commerce 商務省、U.S. Department of Energy エネルギー省、U.S. Environmental Protection Agency 環境保護庁、U.S. Department of Health and Human Services 保健社会福祉省等)に質問状を送付していますね。。。

U.S. House committee on Energy & Commerce

・2021.03.17 BIPARTISAN GROUP OF LAWMAKERS REQUEST INFORMATION ON SOLARWINDS CYBER ATTACK

Accordingly, please provide written answers and any necessary documentation to the following questions by March 29, 2021: よって、2021年3月29日までに、以下の質問に対する書面による回答と必要な書類を提出してください。
1. Has your department been impacted by the compromise? If yes, please explain the nature and extent of the compromise, including when your department was first compromised and when you detected such compromise, and your assessment of any actual or potential effects on your department and programs. 1. あなたの部署は、この侵害によって影響を受けましたか?はい」の場合、あなたの部署が最初に侵害された時期やそのような侵害を検知した時期を含む侵害の性質と程度、およびあなたの部署やプログラムに対する実際のまたは潜在的な影響についての評価を説明してください。
2. What actions is your department taking to investigate and respond to the compromise? Please identify your specific actions. 2. あなたの部署では、侵害を調査し対応するためにどのような行動をとっていますか?具体的な行動を示してください。
3. Is your department a sector-specific agency, as that term is defined in Presidential Policy Directive 21 (PPD-21), and does your department identify its most critical informational and operational infrastructure and take specific measures to protect that infrastructure? 3. あなたの部署は、大統領政策指令21(PPD-21)で定義されているような部門別機関ですか。また、あなたの部署では、最も重要な情報および運用インフラを特定し、そのインフラを保護するための具体的な対策を講じていますか。
4. What is your department’s schedule for mitigating the risks associated with the compromise? 4. 侵害に関連するリスクを軽減するための、あなたの部門のスケジュールを教えてください。
5. Once a cyber threat has been detected, does your department notify other agencies in real time? In this instance, please identify which agencies or departments were notified and which ones were not. 5. サイバー脅威が検出された場合、あなたの部署は他の機関にリアルタイムで通知していますか?この場合、どの機関や部門に通知され、どの機関や部門に通知されなかったかを明らかにしてください。
6. How does your department assess vendors for cybersecurity risks? Please explain. 6. あなたの部署では、サイバーセキュリティのリスクについてベンダーをどのように評価していますか。説明してください。
7. Does your department regularly audit vendors for cybersecurity risks? If so, please explain how often such audits take place. 7. あなたの部署では、サイバーセキュリティのリスクについてベンダーを定期的に監査していますか。ある場合は、そのような監査の頻度を説明してください。
8. Does your department have a specific plan to reduce the risks of future supply chain attacks? If so, please explain. 8. あなたの部署では、将来のサプライチェーン攻撃のリスクを軽減するための具体的な計画を持っていますか?そうであれば、説明してください。

 

各省庁へのレター


 

1_20210319013301

 


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.01 U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用しているとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。

| | Comments (0)

NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work

こんにちは、丸山満彦です。

NISTが、NISTIR 8355 NICE Framework Competencies: Assessing Learners for Cybersecurity Workについて草案を公開し、コメントを募集していますね。。。

● NIST - ITL

・2021.03.17 NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work

Announcement 発表内容
The National Initiative for Cybersecurity Education (NICE) has released draft supplemental content to the Workforce Framework for Cybersecurity (NICE Framework). Draft NISTIR 8355, NICE Framework Competencies: Assessing Learners for Cybersecurity Work, elaborates on Competencies, which were re-introduced to the NICE Framework in 2020. The NISTIR provides more detail on what NICE Framework Competencies are, including their evolution and development and example uses from various stakeholder perspectives.  サイバーセキュリティ教育のための国家イニシアティブ (NICE)は、サイバーセキュリティのための労働力フレームワーク (NICEフレームワーク)の補足コンテンツのドラフトを公開しました。NISTIR 8355「NICEフレームワークコンピテンシー:サイバーセキュリティ業務のための学習者の評価」ドラフトは、2020年にNICEフレームワークに再導入された「コンピテンシー」について詳しく説明しています。NISTIRでは、NICEフレームワークのコンピテンシーとは何かについて、その進化と発展、様々なステークホルダーの視点からの使用例などを詳しく説明しています。
Released in conjunction with NISTIR 8355 is a draft NICE Framework List of Competencies that provides a proposed list of 54 Competencies for the cybersecurity workforce.  また、NISTIR 8355と同時に発表されたNICEフレームワークコンピテンシーのドラフトでは、サイバーセキュリティ人材のための54のコンピテンシーのリスト案が示されています。
The public comment period for draft NISTIR 8355 and the draft Competencies list is open through May 3, 2021. Feedback will be used to inform the next stage of work on the NICE Competencies, including aligning Task, Knowledge, and Skill statements to associated Competencies. We value and welcome your input and look forward to your comments.  NISTIR 8355とコンピテンシーリストのドラフトに対するパブリックコメント期間は、2021年5月3日までとなっています。フィードバックは、タスク、知識、スキルの記述を関連するコンピテンシーに合わせるなど、NICEコンピテンシーの次の段階の作業に活用されます。皆様からのご意見をお待ちしています。
Abstract 概要
This publication from the National Initiative for Cybersecurity Education (NICE) describes Competencies as included in the Workforce Framework for Cybersecurity (NICE Framework), NIST Special Publication 800-181, Revision 1, a fundamental reference for describing and sharing information about cybersecurity work. The NICE Framework defines Task, Knowledge, and Skill (TKS) statement building blocks that provide a foundation for learners, including students, job seekers, and employees. Competencies are provided as a means to apply those core building blocks by grouping related TKS statements for form a higher-level statement of competency. This document shares more detail about what Competencies are, including their evolution and development. Additionally, the publication provides example uses from various stakeholder perspectives. Finally, the publication identifies where the NICE Framework Competencies list is published separate from this publication and provides the rationale for why they will be maintained as a more flexible and contemporary reference resource. サイバーセキュリティ教育のための国家イニシアティブ(NICE)が発行した本書は、サイバーセキュリティ業務に関する情報を記述・共有するための基本的な参考資料である「サイバーセキュリティのためのコンピテンシーフレームワーク(NICEフレームワーク)」(NIST Special Publication 800-181, Revision 1)に含まれるコンピテンシーについて解説しています。NICEフレームワークでは、学生、求職者、従業員などの学習者に基礎を提供するTKS(Task, Knowledge, Skill)ステートメントのビルディングブロックを定義しています。コンピテンシーは、関連するTKSステートメントをグループ化し、より高いレベルのコンピテンシーのステートメントを形成することで、これらのコアビルディングブロックを適用するための手段として提供されています。本書では、コンピテンシーの進化と発展を含め、コンピテンシーとは何かについて詳しく説明しています。また、様々なステークホルダーの視点から、コンピテンシーの使用例を紹介しています。最後に、NICEフレームワークのコンピテンシーリストが本書とは別に発行されていることを示し、より柔軟で現代的な参照リソースとして維持される理由を説明しています。

 

・[PDF] Draft NISTIR 8355 NICE Framework Competencies: Assessing Learners for Cybersecurity Work

 

20210318-164354

 

・[xlsx] List of Competencies (draft)

[xlsx] List of Competencies (draft) コンピテンシー部分を仮訳したもの

 

54のコンピテンシーのリスト案

Competency Title Competency Type コンピテンシータイトル コンピテンシータイプ
Asset and Inventory Management Organizational 資産・在庫管理 組織的
Business Acumen Organizational ビジネスアキュメン 組織的
Business Continuity Organizational ビジネスコンティニュイティ 組織的
Collection Operations Technical コレクションオペレーション 技術的
Communication  Professional コミュニケーション  プロフェッショナル
Computer Languages Technical コンピュータ言語 技術的
Conflict Management Professional コンフリクトマネジメント プロフェッショナル
Contracting and Procurement   Organizational 契約と調達   組織的
Critical Thinking  Professional クリティカルシンキング  プロフェッショナル
Data Analysis  Technical データ分析  技術的
Data Management  Organizational データマネジメント  組織的
Data Privacy Organizational データ・プライバシー 組織的
Data Security Technical データ・セキュリティ 技術的
Database Administration  Technical データベース管理  技術的
Digital Forensics  Technical デジタル・フォレンジック  技術的
Education and Training Delivery Organizational 教育とトレーニングの提供 組織的
Education and Training Curriculum Development  Organizational 教育およびトレーニングカリキュラムの開発  組織的
Encryption  Technical 暗号化  技術的
Enterprise Architecture Technical エンタープライズ・アーキテクチャー 技術的
Identity Management  Technical アイデンティティ管理  技術的
Incident Management  Technical インシデント管理  技術的
Information Systems and Network Security   Technical 情報システム・ネットワークセキュリティ   技術的
Information Technology Assessment Technical 情報技術評価 技術的
Infrastructure Design Technical インフラ設計 技術的
Intelligence Analysis  Technical インテリジェンス分析  技術的
Interpersonal Skills  Professional 対人関係スキル  プロフェッショナル
Knowledge Management  Organizational ナレッジマネジメント  組織的
Law, Policy, and Ethics  Organizational 法律・政策・倫理  組織的
Mathematical Reasoning Technical 数学的推論 技術的
Modeling and Simulation Technical モデリングとシミュレーション 技術的
Network  Management Technical ネットワークマネジメント 技術的
Operating Systems Technical オペレーティングシステム 技術的
Operations Support Technical オペレーションサポート 技術的
Organizational Awareness Organizational 組織的認識 組織的
Physical Device Security Technical 物理的デバイスセキュリティ 技術的
Policy Development Leadership ポリシー策定 リーダーシップ
Problem Solving Professional 問題解決 プロフェッショナル
Process Control Organizational プロセスコントロール 組織的
Project Management Organizational プロジェクトマネジメント 組織的
Requirements Analysis Technical 要求分析 技術的
Risk Management  Organizational リスクマネジメント  組織的
Software Development  Technical ソフトウェア開発  技術的
Software Testing and Evaluation  Technical ソフトウェアのテストと評価  技術的
Strategic Relationship Management Organizational 戦略的リレーションシップマネジメント リーダーシップ
Strategic Planning  Leadership 戦略的プランニング  リーダーシップ
Supply Chain Management Organizational サプライチェーンマネジメント リーダーシップ
System Administration  Technical システム管理  技術的
Systems Integration Technical システムインテグレーション 技術的
Systems Testing and Evaluation  Technical システムのテストと評価  技術的
Target Development Technical ターゲット開発 技術的
Technology Fluency Technical 技術力 技術的
Telecommunications Technical テレコミュニケーション 技術的
Threat Analysis  Technical 脅威の分析  技術的
Vulnerabilities Assessment Technical 脆弱性評価 技術的
Workforce Management  Leadership ワークフォースマネジメント  リーダーシップ

 

SP 800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework)

・[pdf] SP 800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework)

20210319-02132


 

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

2020.11.17 NIST SP 800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework)

2020.07.17 NIST SP 800-181 Rev. 1 (Draft) Workforce Framework for Cybersecurity (NICE Framework)

 

| | Comments (0)

2021.03.18

NIST SP 1800-34 (Draft) Validating the Integrity of Computing Devices (コンピューティングデバイスの完全性の検証)(Preliminary Draft)

こんにちは、丸山満彦です。

NISTがコンピューティングデバイスの完全性の検証についての初期ドラフト、SP 1800-34 (Draft) Validating the Integrity of Computing Devices (Preliminary Draft) を公表し、意見募集をしておりますね。。。

今後、これはますます重要になるでしょうね。。。

 

● NIST - ITL

・2021.03.17 SP 1800-34 (Draft) Validating the Integrity of Computing Devices (Preliminary Draft)

 

Announcement 発表
Organizations throughout the world face the challenge of identifying trustworthy computing devices to function daily. Cyber supply chains are constantly at risk of compromise, whether intentional or unintentional. Once a supply chain has been compromised, the security of that device may no longer be trusted. Some cyber supply chain risks include counterfeiting, unauthorized production, and tampering.  世界中の企業は、日々の業務を遂行する上で、信頼できるコンピュータデバイスを特定するという課題に直面しています。サイバーサプライチェーンは、意図的であるか否かにかかわらず、常に危険にさらされています。いったんサプライチェーンが危険にさらされると、そのデバイスのセキュリティはもはや信頼できないかもしれません。サイバーサプライチェーンのリスクには、偽造、不正生産、改ざんなどがあります。
NIST's National Cybersecurity Center of Excellence (NCCoE) is collaborating with industry to create an example cybersecurity solution that helps organizations verify that the internal components of their computing devices are genuine and have not been tampered with. This project will result in a publicly available practice guide to help organizations decrease the risk of compromise to products in their supply chain, and in turn reduce the risk for customers and end users. NISTのNational Cybersecurity Center of Excellence(NCCoE)は、産業界と協力して、組織がコンピューティングデバイスの内部コンポーネントが本物であり、改ざんされていないことを確認するためのサイバーセキュリティソリューションの例を作成しています。このプロジェクトでは、組織がサプライチェーン上の製品の危険性を低減し、ひいては顧客やエンドユーザのリスクを低減するための実践ガイドを作成し、公開する予定です。
Abstract 概要
Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Cyber supply chain risks include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the cyber supply chain and its products and services. This project will demonstrate how organizations can verify that the internal components of the computing devices they acquire are genuine and have not been unexpectedly altered during manufacturing or distribution processes. 組織は、意図的であるか否かにかかわらず、サイバーサプライチェーンの侵害リスクにますますさらされています。サイバーサプライチェーンのリスクには、偽造、不正生産、改ざん、盗難、予期せぬソフトウェアやハードウェアの挿入などがあります。これらのリスクを管理するには、サイバーサプライチェーンとその製品・サービスの完全性を確保する必要があります。このプロジェクトでは、組織が入手したコンピューティングデバイスの内部コンポーネントが本物であり、製造や流通の過程で予期せず変更されていないことを検証する方法を示します。

 

・[PDF] NIST SPECIAL PUBLICATION 1800-34A Validating the Integrity of Computing Devices

20210318-152841

 

 ・[html] Project homepage

 

エグゼクティブサマリーの仮訳については、こちら・・・

 

Continue reading "NIST SP 1800-34 (Draft) Validating the Integrity of Computing Devices (コンピューティングデバイスの完全性の検証)(Preliminary Draft)"

| | Comments (0)

NIST (プロジェクトの説明)信頼できるIoTデバイス ネットワーク層のオンボーディングとライフサイクル管理:IPベースのIoTデバイスとネットワークセキュリティの強化

こんにちは、丸山満彦です。

NISTから信頼できるIoTデバイス ネットワーク層のオンボーディングとライフサイクル管理:IPベースのIoTデバイスとネットワークセキュリティの強化に関するプロジェクトの説明文書(ドラフト)が公開されていますね。。。

NIST - ITL

・2021.03.16 White Paper (Draft) [Project Description] Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management: Enhancing Internet Protocol-Based IoT Device and Network Security

・[PDF] TRUSTED INTERNET OF THINGS (IOT) DEVICE NETWORKLAYER ONBOARDING AND LIFECYCLE MANAGEMENT - Enhancing Internet Protocol-Based IoT Device and Network Security

20210318-124103

1 Executive Summary 1 エグゼクティブサマリー
  Purpose   目的
  Scope   範囲
  Assumptions/Challenges   前提条件/課題
2 Scenarios 2 シナリオ
  Scenario 1: Trusted network-layer onboarding   シナリオ1:信頼できるネットワーク層でのオンボーディング
  Scenario 2: Validation of device authenticity and integrity   シナリオ2:デバイスの信頼性と完全性の検証
  Scenario 3: Trusted application-layer onboarding   シナリオ3:信頼できるアプリケーション層でのオンボーディング
  Scenario 4: Re-onboarding a wiped device   シナリオ4:削除されたデバイスの再オンボーディング
  Scenario 5: Onboarding with device intent enforcement   シナリオ5:デバイスの意図を強制するオンボーディング
3 High-Level Architecture 3 ハイレベル・アーキテクチャ
  Logical Architecture   論理的なアーキテクチャ
  High-Level Solution Architecture   ハイレベルソリューションアーキテクチャ
  Component List   部品一覧(コンポーネントリスト)
  Desired Capabilities   望ましい機能
4 Relevant Standards and Guidance 4 関連する規格とガイダンス
Appendix A References 附属書A 参考文献

 

PurposeとScopeの仮訳はこちら・・・

 

・[html]] Project homepage

 

Continue reading "NIST (プロジェクトの説明)信頼できるIoTデバイス ネットワーク層のオンボーディングとライフサイクル管理:IPベースのIoTデバイスとネットワークセキュリティの強化"

| | Comments (0)

欧州委員会 デジタル・コンパス2030 at 2020.03.09

こんにちは、丸山満彦です。

欧州委員会がデジタル・コンパス2030を 2021.03.09に発表していましたね。。。

● EU Commission

・2021.03.09 (press) Europe's Digital Decade: Commission sets the course towards a digitally empowered Europe by 2030

・2021.03.09 2030 Digital Compass: the European way for the Digital Decade

・[PDF] 2030 Digital Compass the European way for the Digital Decade

20210318-43610

 

 - Strategy - Priorities 2019-2024 - A Europe fit for the digital age 

Europe’s Digital Decade: digital targets for 2030

On 9 March 2021, the Commission presented a vision and avenues for Europe’s digital transformation by 2030. 

 

Digitaldecadecompass1

 

 

Strategy - Priorities 2019-2024 - A Europe fit for the digital age

Shaping Europe's digital future

The digital transition should work for all, putting people first and opening new opportunities for business. Digital solutions are also key to fighting climate change and achieving the green transition.

 

■ 参考

● JETRO

・2021.03.16 欧州産業界、欧州委の新デジタル目標への期待と注文を表明


「デジタル・コンパス2030」の4つの軸と数値目標

○デジタルリテラシーの向上と高度デジタル人材の育成

  • 成人(16~79歳)の80%が基礎的なデジタル技術を取得(現状は58.3%)
  • 情報通信技術(ICT)専門人材を2,000万人に拡大(現状は780万人)

○安全・高性能・持続可能なデジタルインフラの整備

  • 全家庭にギガビット通信を接続(現状は59%)、全ての居住地域で第5世代移動通信システム(5G)を提供(現状は14%)
  • 次世代半導体のEU域内生産の世界シェア20%以上(現状は10%)を目指すなど、域内生産の拡大
  • 気候中立に対応した高セキュリティーなエッジノード(注)を1万台配備し、域内のあらゆる地域のビジネスに対してデータサービスへの遅延のないアクセスを保証(現状は配備なし)
  • 2030年までに量子情報処理技術で世界をリードするために、2025年までにEU初となる量子コンピュータを導入

○ビジネスのデジタル技術活用

  • 域内企業の75%がクラウドサービス(現状は26%)、ビッグデータ(現状は14%)、人工知能(AI、現状は25%)などの技術を活用
  • 域内中小企業の90%以上が最低限の基礎的デジタル技術を活用(現状は61%)
  • EUのユニコーン企業(企業価値10億ドルを超えるスタートアップ企業)を250社に倍増(現状は122社)

○公的サービスのデジタル化

  • 全ての主要な公的サービスをオンラインで利用可能に
  • 全てのEU市民が電子医療記録にアクセス可能に
  • 80%のEU市民がデジタルIDを利用

 

・2021.03.12 欧州委、2030年までの官民のデジタル化目標提案

 

| | Comments (0)

2021.03.17

U.K. The Integrated Review 2021 今後10年間の世界における英国の役割に関する政府のビジョンと2025年までに取るべき行動

こんにちは、丸山満彦です。

一つ前のブログの記事の元の報告書の紹介です。

7つの海を支配した国が相対的な地位を下げながらもなおも世界に大きな影響力を持つ国のポジションを維持している英国は、これからの日本が見習うことの多い国の一つだろうと思います。

そういう国の今後の方向性の一面を示す報告書が出ましたね。。。

● U.K. Goverment

・2021.03.16 (Collection) The Integrated Review 2021

Global Britain in a Competitive Age, the Integrated Review of Security, Defence, Development and Foreign Policy, describes the government’s vision for the UK’s role in the world over the next decade and the action we will take to 2025.


The Integrated Review 2021 統合レビュー2021
Global Britain in a Competitive Age, the Integrated Review of Security, Defence, Development and Foreign Policy, describes the government’s vision for the UK’s role in the world over the next decade and the action we will take to 2025. 安全保障・防衛・開発・外交政策の統合的見直しである「競争時代のグローバル・ブリテン」は、今後10年間の世界における英国の役割に関する政府のビジョンと、2025年までに取るべき行動を説明しています。
The Integrated Review is a comprehensive articulation of the UK’s national security and international policy. It outlines three fundamental national interests that bind together the citizens of the UK – sovereignty, security and prosperity – alongside our values of democracy and a commitment to universal human rights, the rule of law, freedom of speech and faith, and equality. 統合レビューは、英国の国家安全保障と国際政策を包括的に表現したものです。統合レビューは、主権、安全保障、繁栄という英国市民を結びつける3つの基本的な国益に加え、民主主義、普遍的人権へのコミットメント、法の支配、言論と信仰の自由、平等といった英国の価値観を概説しています。
The Integrated Review concludes at an important moment for the United Kingdom. The world has changed considerably since the 2015 Strategic Defence and Security Review, as has the UK’s place within it. 統合レビューは、英国にとって重要な時期に終了します。2015年の戦略的防衛・安全保障レビュー以降、世界は大きく変化し、その中での英国の位置づけも大きく変わりました。
The document, which is the product of over a year of work across government and of consultation with a wide range of external organisations and thinkers, sets out a vision for Global Britain. This includes: この文書は、政府全体での1年以上の作業と、外部の幅広い組織や思想家との協議の成果であり、グローバルブリテンのビジョンを示しています。その内容は以下の通りです。
・an emphasis on openness as a source of prosperity ・繁栄の源である開放性を重視すること
・a more robust position on security and resilience ・セキュリティとレジリエンスに対するより強固な姿勢
・a renewed commitment to the UK as a force for good in the world ・世界のために力を発揮する英国への新たなコミットメント
・an increased determination to seek multilateral solutions to challenges like climate change ・気候変動などの課題に対する多国間での解決策を模索する決意を強めること
It also stresses the importance of deepening our relationships with allies and partners around the world, as well as moving more swiftly and with greater agility. また、世界中の同盟国やパートナーとの関係を深め、より迅速かつ俊敏に行動することの重要性も強調しています。
In this context, the Integrated Review sets out four overarching objectives: このような背景から、統合レビューでは4つの包括的な目標を掲げています。
Sustaining strategic advantage through science and technology, incorporating it as an integral element of national security and international policy to firmly establish the UK as a global S&T and responsible cyber power. This will be essential in gaining economic, political and security advantages. 科学技術による戦略的優位性を維持し、国家安全保障および国際政策の不可欠な要素として科学技術を取り入れ、世界的な科学技術および責任あるサイバーパワーとしての英国の地位を確固たるものにする。これは、経済的、政治的、安全保障的な優位性を獲得するために不可欠です。
Shaping the open international order of the future, working with partners to reinvigorate the international institutions, laws and norms that enable open societies and economies such as the UK to flourish. This will help our citizens and others around the world realise the full benefits of democracy, free trade and international cooperation – not least in the future frontiers of cyberspace and space. 未来の開かれた国際秩序を形成し、パートナーと協力して、英国のような開かれた社会と経済を繁栄させるための国際機関、法律、規範を再活性化する。これにより、英国の市民や世界中の人々が、民主主義、自由貿易、国際協力の恩恵を最大限に享受できるようになります。特に、サイバー空間や宇宙といった未来のフロンティアにおいても同様です。
Strengthening security and defence at home and overseas, working with allies and partners to help us to maximise the benefits of openness and protect our people, in the physical world and online, against a range of growing threats. These include state threats, radicalisation and terrorism, serious and organised crime, and weapons proliferation. 国内外の安全保障と防衛を強化し、同盟国やパートナーと協力して、開放性の恩恵を最大限に享受し、拡大する様々な脅威から国民を物理的な世界でもオンラインでも保護する。これらの脅威には、国家の脅威、過激化とテロリズム、重犯罪と組織犯罪、武器の拡散などがあります。
Building resilience at home and overseas, improving our ability to anticipate, prevent, prepare for and respond to risks ranging from extreme weather to cyber-attacks. This will also involve tackling risks at source – in particular climate change and biodiversity loss. 異常気象からサイバー攻撃まで、様々なリスクを予測し、予防し、準備し、対応する能力を向上させ、国内外でレジリエンスを高める。これには、特に気候変動や生物多様性の損失など、原因となるリスクへの対処も含まれます。
The Integrated Review sets out the government’s overarching national security and international policy objectives to 2025. These will inform future policy-making for all government departments. They will also inform future Spending Reviews, offering further opportunities to align resources with ambition over the long term. We will ensure all government’s instruments work together, coordinated by enhanced strategic capabilities at the centre, to achieve our objectives. 統合レビューは、2025年までの政府の包括的な国家安全保障および国際政策の目標を示しています。これらは、すべての政府省庁の今後の政策立案に反映されます。また、今後の支出レビューにも反映され、長期的な野心に資源を合わせるためのさらなる機会を提供します。私たちは、政府のすべての手段が連携し、中央で強化された戦略的能力によって調整されて、目標を達成できるようにします。

 

・2021.03.16 (Policy paper) Global Britain in a Competitive Age: the Integrated Review of Security, Defence, Development and Foreign Policy

・[PDF] Global Britain in a Competitive Age: the Integrated Review of Security, Defence, Development and Foreign Policy

20210316-234455

 

Continue reading "U.K. The Integrated Review 2021 今後10年間の世界における英国の役割に関する政府のビジョンと2025年までに取るべき行動"

| | Comments (0)

U.K. 安全保障の中心にCyberを置く?

こんにちは、丸山満彦です。

英国政府のプレスで首相が、安全保障の中心にCyberを置き、英国のサイバー能力に対する新たな全領域にわたるアプローチを約束すると、発表していますね。英国は、昨年National Cyber Fource: NCF を設立しましたが、今度イングランド北部にCyber Crridor' を開設すると発表していましたね。。。数千人の雇用を創出するとしていますね。。。(現在、英国北西部には、カンブリアのバロー周辺の海事設計を支援する10,000人、F-35ステルス機を製造しているランカシャーのプレストン周辺の航空宇宙分野の12,000人を含め35,000人の雇用があり、諜報機関のGCHQはマンチェスターの拠点もありますね

● U.K. Governance

・2021.03.14 International Policy Review Puts Cyber at the centre of the UK’s Security

This week’s Integrated Review will commit to a new, full spectrum approach to the UK’s cyber capability – keeping our people safe, staying ahead of our enemies and improving the lives of the British people.

Ncfweb

概要・・・

・This week’s Integrated Review will commit to a new, full spectrum approach to the UK’s cyber capability – keeping our people safe, staying ahead of our enemies and improving the lives of the British people ・今週の統合レビューでは、英国のサイバー能力に対する新たな全領域的アプローチを約束し、国民の安全を守り、敵の先を行き、英国民の生活を向上させる。
・The PM will announce the establishment of a ‘cyber corridor’ across the North of England, creating and sustaining thousands of jobs ・英国首相は、イングランド北部に「サイバー・コリドー」を設置し、数千人の雇用を創出・維持することを発表します。
・The National Cyber Force is transforming the UK’s ability to conduct targeted offensive cyber operations to impose real-world costs on our adversaries ・国家サイバー軍は、敵に現実的なコストを課すために、ターゲットを絞った攻撃的なサイバー作戦を実施する英国の能力を変革します。

 

ボリス首相のお言葉です...

Cyber power is revolutionising the way we live our lives and fight our wars, just as air power did 100 years ago. We need to build up our cyber capability so we can grasp the opportunities it presents while ensuring those who seek to use its powers to attack us and our way of life are thwarted at every turn. サイバーパワーは、100年前に空軍がそうであったように、私たちの生活や戦争のやり方に革命をもたらしています。私たちは、サイバーパワーがもたらす機会を把握しつつ、サイバーパワーを使って私たちや私たちの生活様式を攻撃しようとする者を、あらゆる場面で阻止できるよう、サイバー能力を強化する必要があります。
Our new, full-spectrum approach to cyber will transform our ability to protect our people, promote our interests around the world and make the lives of British people better every day. 私たちのサイバーに対する新しい全面的なアプローチは、国民を守り、世界中で国益を促進し、英国人の生活を日々向上させるための能力を一変させるでしょう」。

 


■ 参考

● U.K. Governance

・2020.11.19 (news) National Cyber Force transforms country's cyber capabilities to protect the UK

The GCHQ and Ministry of Defence partnership conducts cyber operations to protect the UK


■ 報道
● Govinfo Security
PM Boris Johnson Expected to Present National Security Review on Tuesday
● ITPro.
The centre aims to create a 'cyber corridor' that will sustain thousands of jobs in defence and intelligence services
● Computer Weekly.com
PM Boris Johnson expands on proposed National Cyber Force and plans to set up a north of England Cyber Corridor
● Prolific North
The government’s National Cyber Force (NCF) is to be permanently based in northern England, it has been announced. 

● The Guardian
・2021.03.15 Five areas of interest from UK defence and foreign policy review

Leaked document likely to disappoint Tory China hawks while the EU barely gets a look in

● Mail Online
・2021.03.14 'I'm not sure St George described his dragon as a competitor!': MP Tom Tugendhat blasts Britain's new foreign policy that treats China as commercial 'competitor' but not as a 'hostile state'

  • Review of country's future defence requirements is being launched on Tuesday
  • Boris Johnson tackling the North-South divide and increasing nation's security
  • Russia viewed as the 'biggest state-based threat' that the UK faces, review says

 

| | Comments (0)

2021.03.16

U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」

こんにちは、丸山満彦です。

U.S. GAOは、2022年度予算要求で「複雑なサイバー・セキュリティの開発をレビューする能力を高める」としていますね。。。

● U.S. GAO

・2021.03.10 GAO-21-407T Fiscal Year 2022 Budget Request:U.S. Government Accountability Office

・[PDF] Highlights Page
・[PDF] Full Report 

20210316-20349

2020会計年度(FY)において、GAOは、

691の報告書、1,459の推奨事項を発行し、

その結果、GAOの活動は

776億ドル (8.5兆円)の経済的利益をもたらし、

・GAOへの投資1ドルに対して約114ドルのリターンがあった

とのことのようです。。。

なので、こういうことなんでしょうかね。。。

20210316-71532

[EXEL] 上記の表のエクセル版

 

そして、たとえば、要求された資金で、次のことを行います。

  • 急速に進化する科学技術の問題に関する私たちの仕事を拡大する
  • 複雑なサイバーセキュリティの開発をレビューする能力を高める

ということのようです。。。

サイバーについては、

CyberSecurity. GAO will continue to expand our expertise and ability to assess the cybersecurity challenges facing the Nation, including assessments of the implementation of the National Cyber Strategy, government global cyberspace strategies, and government and private sector efforts to address the impact of the SolarWinds intrusion.

ということのようです。。。

概要、背景についてはこちら...

Continue reading "U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」"

| | Comments (0)

U.S. GAO CISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。。。(CISAも同意済み)

こんにちは、丸山満彦です。

GAOがCISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。これについては、CISAも同意済みのようです。。。

● GAO

・2021.03.10 GAO-21-236 Cybersecurity and Infrastructure Security Agency: Actions Needed to Ensure Organizational Changes Result in More Effective Cybersecurity for Our Nation

[PDF] Full Report

20210316-13615

[PDF] Highlights Page



A 2018 federal law established the Cybersecurity and Infrastructure Security Agency to help protect critical infrastructure from cyber and other threats—but it isn't fully up and running yet. 2018年に制定された連邦法により、重要インフラをサイバー攻撃などの脅威から守るための「Cybersecurity and Infrastructure Security Agency」が設立されましたが、まだ完全には稼働していません。
CISA completed 2 of 3 phases in its organization plan, including defining an organizational structure. It also completed about a third of the tasks planned for the final phase by its December 2020 milestone. CISAは、組織構造の策定など、組織計画の3段階のうち2段階を完了しました。また、2020年12月のマイルストーンまでに、最終フェーズで予定していたタスクの約3分の1を完了しました。
Until CISA updates its milestones and fully implements its plans, it may be difficult for it to identify and respond to cybersecurity incidents, such as the major cyberattack reported in December 2020 that affected both government and private industry. CISAがマイルストーンを更新し、計画を完全に実施するまでは、2020年12月に報告された政府と民間企業の両方に影響を与えた大規模なサイバー攻撃のような、サイバーセキュリティインシデントを特定して対応することが困難になる可能性があります。

 

発見事項、推奨事項はこちら...

 

Continue reading "U.S. GAO CISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。。。(CISAも同意済み)"

| | Comments (0)

NISC サイバーセキュリティ研究・産学官連携戦略 ワーキンググループ最終報告〜研究開発の国際競争力を躍進させる 産学官エコシステムの構築〜

こんにちは、丸山満彦です。

内閣官房サイバーセキュリティセンター(NISC) 「サイバーセキュリティ研究・産学官連携戦略 ワーキンググループ最終報告〜研究開発の国際競争力を躍進させる 産学官エコシステムの構築〜」が公表されていますね。。。

● NISC - 研究・産学官連携戦略ワーキンググループ

・2021.03.12

・[PDF] サイバーセキュリティ研究・産学官連携戦略ワーキンググループ最終報告(概要)

20210316-04925

・[PDF] サイバーセキュリティ研究・産学官連携戦略 ワーキンググループ最終報告〜研究開発の国際競争力を躍進させる 産学官エコシステムの構築〜

・[PDF] ワーキンググループ最終報告内容に係る将来のフォローアップに関して

・[PDF] 議事概要(第9回)

・[PDF] 中間報告からの最終報告の見え消し版

 

目次
第1章 はじめに
1.1
経緯及び背景
1.2
研究開発戦略や研究・技術開発取組方針との関係

第2章 我が国の研究コミュニティの状況を踏まえた推進方策
2.1
研究分野の国際動向と特徴
2.2
人に投資すべき
 2.2.1
博士課程学生
 2.2.2 リサーチアシスタント(RA)経費の有効活用と上限柔軟化
 2.2.3 社会人を含む博士課程進学の様々な形態
 2.2.4 次世代にとってのキャリアパスの魅力向上とキャリア形成支援

2.3
産学官連携の可能性
 2.3.1
研究費を人に投入する相応規模の産学共同研究
 2.3.2 ベンチャー起業
 2.3.3 共同研究強化のためのガイドライン

2.4
研究コミュニティ全体の発展
 2.4.1
ファンディングの活用
 2.4.2 科学的基礎の構築
 2.4.3 プロシーディング論文を含む柔軟な研究実績の評価
 2.4.4 国際交流・国際展開
 2.4.5 最先端の研究活動のための取組

第3章 我が国の強み・ポテンシャルと重点的な強化に向けて
3.1
我が国の強みとポテンシャル
3.2
重点的な研究領域
3.3
取り組むべき研究構想の具体例
3.4
取り組むべき産学共同研究構想の具体例

第4章 むすびと今後の展望

-----

 

 

-----

私は学生時代、基礎的な研究をしたいと思っていました(結局は大学院を中退するのですが・・・)。基礎的な研究の上に様々な応用研究が行われ、それが産業に発展していくことがあるが、基礎的な研究をしている段階ではどのような応用研究がこの先産まれていくかは、正確にはわからない。だから、基礎的な研究のほとんどは無駄に終わるだろう。しかし、そのような基礎的な研究の積み重ねがなければ応用研究は産まれない。。。また、どのような基礎的な研究がその後の応用研究に活用される可能性が高いかは、その道で研究を積みつつその他の分野にもある程度明るい人でなければわからない。つまり、他人から見たらほとんどは理解されないだろうということです。

そう考えて基礎的な研究をしたいと考えていたし、大学の先生がそういうスタンスだったので、それが当たり前の考え方だと思っていたのですが、社会に出るとそうでもないかもと思うようになり、事業仕分けとか、経済学者が研究分野に口を突っ込んでき始めた段階で、この国の研究活動の先は暗いなぁと感じました。

この報告書では危機感から始まっていますが、もう手遅れだと思います。暗号分野では日本人の活躍が一定あるようなことを書いていますが、次世代暗号技術について日本の提案は採用されなかったという話も聞きました。10年ほど前に終わった話なので、今から取り返すためには、他国の2倍以上の投資をしていかないといけないような気もしますが、そういう覚悟は聞こえてこないように感じます。

いつかのように、「竹槍でB29を撃ち落とせ」という感じで指揮官は安全な場所であぐらをかき、現場に発破をかけ、うまくいかなかったら、「努力がたらん。あいつらは何をしているんだ」みたいな感じで現場のせいにしていくのかもしれませんね。サイバーセキュリティ分野に止まらず、全体としてこの国の将来はどうなるのでしょうね。。。私もできるところで努力はしますが・・・

...

 

 

 

 

| | Comments (0)

2021.03.15

欧州データ保護委員会 (EDPB) コネクテッド・カーおよびモビリティ関連アプリケーションにおける個人データの処理に関するガイドラインの最終版を公表

こんにちは、丸山満彦です。

欧州データ保護委員会 (EDPB) が、コネクテッド・カーおよびモビリティ関連アプリケーションにおける個人データの処理に関するガイドラインの最終版を公表していますね。。。

● European Data Protection Board (EDPB)

・2021.03.10 European Data Protection Board - 46th Plenary session

The EDPB adopted a final version of the Guidelines on Connected Vehicles following public consultation. The Guidelines focus on the processing of personal data in relation to the non-professional use of connected vehicles by data subjects. The final version integrates updated wording, and further clarifications in order to address comments and feedback received during the public consultation.

・2021.03.09 [PDF] Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications - Version 2.0

20210314-213339

HTMLに落としてみました。。。

[html] edpb_guidelines_202001_connected_vehicles_v2.0_adopted_en.html

 

1 INTRODUCTION 1 イントロダクション
1.1 Related works 1.1 関連作業
1.1.1 European-level and international initiatives 1.1.1 欧州レベルおよび国際的な取り組み
1.1.2 National initiatives of European Data Protection Board (EDPB) members 1.1.2 欧州データ保護委員会(EDPB)メンバーの国内イニシアティブ
1.2 Applicable law 1.2 適用法
1.3 Scope 1.3 適用範囲
1.3.1 Out of scope of this document 1.3.1 本文書の適用範囲外
1.4 Definitions 1.4 用語の定義
1.5 Privacy and data protection risks 1.5 プライバシーおよびデータ保護のリスク
1.5.1 Lack of control and information asymmetry 1.5.1 管理能力の欠如および情報の非対称性
1.5.2 Quality of the user’s consent 1.5.2 利用者の同意の質
1.5.3 Further processing of personal data 1.5.3 個人データのさらなる処理
1.5.4 Excessive data collection 1.5.4 過剰なデータ収集
1.5.5 Security of personal data 1.5.5 個人データのセキュリティ
2 GENERAL RECOMMENDATIONS 2 一般的な推奨事項
2.1 Categories of data 2.1 データのカテゴリー
2.1.1 Location data 2.1.1 位置情報データ
2.1.2 Biometric data 2.1.2 バイオメトリックデータ
2.1.3 Data revealing criminal offenses or other infractions 2.1.3 犯罪行為またはその他の違反を明らかにするデータ
2.2 Purposes 2.2 目的
2.3 Relevance and data minimisation 2.3 関連性およびデータの最小化
2.4 Data protection by design and by default 2.4 デザインによるデータ保護とデフォルトによるデータ保護
2.4.1 Local processing of personal data 2.4.1 個人データのローカル処理
2.4.2 Anonymization and pseudonymisation 2.4.2 匿名化および仮名化
2.4.3 Data protection impact assessments 2.4.3 データ保護の影響評価
2.5 Information 2.5 情報
2.6 Rights of the data subject 2.6 データ対象者の権利
2.7 Security 2.7 セキュリティ
2.8 Transmitting personal data to third parties 2.8 個人データの第三者への送信
2.9 Transfer of personal data outside the EU/EEA 2.9 個人データのEU/EEA域外への移転
2.10 Use of in-vehicle Wi-Fi technologies 2.10 車載用Wi-Fi技術の利用
3 CASE STUDIES 3 ケーススタディ
3.1 Provision of a service by a third party 3.1 サードパーティによるサービスの提供
3.1.1 Usage-based insurance 3.1.1 使用量ベースの保険
3.1.2 Renting and booking a parking space 3.1.2 駐車場のレンタル・予約
3.2 eCall 3.2 eCall
3.2.1 Legal basis 3.2.1 法的根拠
3.2.2 Data collected 3.2.2 収集されたデータ
3.2.3 Retention period 3.2.3 保有期間
3.2.4 Information and rights of data subjects 3.2.4 データ対象者の情報と権利
3.2.5 Recipient: 3.2.5 受信者
3.2.6 Security 3.2.6 セキュリティ
3.3 Accidentology studies 3.3 事故学研究
3.3.1 Legal basis 3.3.1 法的根拠
3.3.2 Data collected 3.3.2 収集したデータ
3.3.3 Retention period 3.3.3 保存期間
3.3.4 Information and rights of data subjects 3.3.4 データ対象者の情報および権利
3.3.5 Recipient 3.3.5 送付先
3.3.6 Security 3.3.6 セキュリティ
3.4 Tackle auto theft 3.4 自動車盗難への対応
3.4.1 Legal basis 3.4.1 法的根拠
3.4.2 Data collected 3.4.2 収集したデータ
3.4.3 Retention period 3.4.3 保存期間
3.4.4 Information of the data subjects 3.4.4 データ対象者の情報
3.4.5 Recipients 3.4.5 送付先
3.4.6 Security 3.4.6 セキュリティ

 

■ 参考

My Car My Data (https://mycarmydata.eu/)

● ENISA

・2020.11.20 (NEWS) Deep Dive into the Connected and Automated Mobility (CAM) Ecosystem: New Report

・2020.11.20 Cybersecurity Stocktaking in the CAM

・・[PDF] CYBERSECURITY STOCKTAKING IN THE CAM

・・[PDF] CAM systems and infrastructures mapping

 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.11.27 ENISAがつながる&自動化された移動体 (CAM) のエコシステムにおけるセキュリティの報告書を公開していました・・・

 

 

| | Comments (0)

欧州データ保護監督官 (EDPS) が欧州のサイバーセキュリティ戦略とネットワークおよび情報システムのセキュリティに関する改訂された指令(NIS 2.0)を歓迎すると表明

こんにちは、丸山満彦です。

欧州データ保護監督官 (EDPS) が欧州のサイバーセキュリティ戦略とネットワークおよび情報システムのセキュリティに関する改訂された指令(NIS 2.0)を歓迎すると表明していますね。。。

European Data Protection Supervisor: EDPS 

・2021.03.12 EDPS welcomes EU Cybersecurity update

Wojciech Wiewiórowski, EDPS, said: EDPSのWojciech Wiewiórowski氏は、次のように述べています。
 “It is essential that privacy and data protection are embedded in the proposed Directive and in all future initiatives stemming from the EU’s Cybersecurity Strategy. This will allow a holistic approach when managing cybersecurity risks and protecting individuals’ personal data. In addition, to ensure that the Cybersecurity Strategy, and, by extension, the proposed Directive are effective, it is necessary to fully integrate the EU institutions, offices, bodies and agencies in the overall EU-wide cybersecurity framework to achieve a uniformed level of protection”.  「プライバシーとデータ保護を、提案されている指令や、EUのサイバーセキュリティ戦略に由来する今後のすべてのイニシアチブに組み込むことが不可欠です。これにより、サイバーセキュリティのリスクを管理し、個人個人それぞれの個人データを保護するための全体的なアプローチが可能になります。さらに、サイバーセキュリティ戦略、ひいては提案されている指令が効果的であることを確実にするためには、統一されたレベルの保護を実現するために、EUの機関、事務所、団体、行政機関をEU全体のサイバーセキュリティの枠組みに完全に統合することが必要です。」

 

・2021.03.11 EDPS Opinion on the Cybersecurity Strategy and the NIS 2.0 Directive

・[PDF

 

20210314-101851

Executive Summary エグゼクティブ・サマリー
On 16 December 2020, the European Commission has adopted a proposal for a Directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union, repealing Directive (EU) 2016/1148 (‘the Proposal’). In parallel, the European Commission and the High Representative of the Union for Foreign Affairs and Security Policy issued a Joint Communication to the European Parliament and the Council, titled ‘The EU's Cybersecurity Strategy for the Digital Decade’ (‘the Strategy’). 2020年12月16日、欧州委員会は、指令(EU)2016/1148を廃止し、EU全体で高い共通レベルのサイバーセキュリティのための措置に関する欧州議会および欧州理事会の指令の提案(以下、「本提案」)を採択した。これと並行して、欧州委員会と外務・安全保障政策担当上級代表は、欧州議会と理事会に向けて「デジタルの10年のためのEUのサイバーセキュリティ戦略」(以下、「戦略」)と題した共同コミュニケーションを発表した。
The EDPS fully supports the overall objective of the Strategy to ensure a global and open internet with strong safeguards for the risks to security and the fundamental rights, recognising the strategic value of the Internet and its governance and reinforcing the Union action therein, in a multi-stakeholders model. EDPSは、インターネットとそのガバナンスの戦略的価値を認識し、複数の利害関係者によるモデルで、安全保障と基本的権利に対する強力なセーフガードを備えたグローバルで開かれたインターネットを確保するという、本戦略の全体的な目的を全面的に支持する。
The EDPS therefore equally welcomes the aim of the Proposal to introduce systemic and structural changes to the current NIS Directive in order to cover a wider set of entities across the Union, with stronger security measures, including mandatory risk management, minimum standards and relevant supervision and enforcement provisions. In this regard, the EDPS considers that it is necessary to fully integrate Union institutions, offices, bodies and agencies in the overall EU-wide cybersecurity framework for achieving a uniform level of protection, by including Union institutions, offices, bodies and agencies explicitly in the scope of the Proposal. したがって、EDPSは、現行のNIS指令にシステム的・構造的な変更を導入して、義務的なリスク管理、最低基準、関連する監督・執行規定を含む、より強力なセキュリティ対策で、EU全体のより広範な事業体をカバーするという提案の目的を同様に歓迎する。これに関連して、EDPSは、提案の範囲に組合機関、事務所、団体、機関を明示的に含めることにより、均一の保護レベルを達成するために、組合機関、事務所、団体、機関をEU全体のサイバーセキュリティの枠組みに完全に統合することが必要であると考えている。
The EDPS further highlights the importance of integrating the privacy and data protection perspective in the cybersecurity measures stemming from the Proposal or from other cybersecurity initiatives of the Strategy in order to ensure a holistic approach and enable synergies when managing cybersecurity and protecting the personal information they process. It is equally important that that any potential limitation of the right to the protection of personal data and privacy entailed by such measures fulfil the criteria laid down in Article 52 of EU Charter of Fundamental Rights, and in particular that they be achieved by way of a legislative measure, and be both necessary and proportionate. EDPSはさらに、サイバーセキュリティを管理し、自らが処理する個人情報を保護する際に、全体的なアプローチを確保し、相乗効果を可能にするために、提案または戦略の他のサイバーセキュリティ・イニシアチブから生じるサイバーセキュリティ対策に、プライバシーとデータ保護の観点を統合することの重要性を強調している。同様に重要なのは、このような措置によって個人データとプライバシーの保護に対する権利が制限される可能性がある場合、EU基本権憲章第52条に定められた基準を満たすこと、特に立法措置によって達成されること、そして必要かつ比例的であることである。
It is the expectation of the EDPS that the Proposal does not seek to affect the application of existing EU laws governing the processing of personal data, including the tasks and powers of the independent supervisory authorities competent to monitor compliance with those instruments. This means that all cybersecurity systems and services involved in the prevention, detection, and response to cyber threats should be compliant with the current privacy and data protection framework. In this regard, the EDPS considers it important and necessary to establish a clear and unambiguous definition for the term “cybersecurity” for the purposes of the Proposal. EDPSは、本提案が、個人データの処理を規定する既存のEU法の適用に影響を与えようとしないことを期待する。これには、これらの法律の遵守を監視する権限を有する独立監督機関の任務と権限が含まれる。つまり、サイバー脅威の予防、検知、対応に関わるすべてのサイバーセキュリティシステムとサービスは、現行のプライバシーとデータ保護の枠組みに準拠する必要がある。これに関連して、EDPSは、本提案の目的上、「サイバーセキュリティ」という用語について明確かつ曖昧さのない定義を確立することが重要かつ必要であると考えている。
The EDPS issues specific recommendations to ensure that the Proposal correctly and effectively complements the existing Union legislation on personal data protection, in particular the GDPR and the ePrivacy Directive, also by involving the EDPS and the European Data Protection Board when necessary, and establishing clear mechanisms for the collaboration between competent authorities from the different regulatory areas. EDPSは、本提案が、個人データ保護に関する既存のEU法、特にGDPRとeプライバシー指令を正しく効果的に補完し、必要に応じてEDPSと欧州データ保護委員会を関与させ、異なる規制分野の管轄当局間の協力のための明確なメカニズムを確立するよう、具体的な提言を行っている。
Furthermore, the provisions on managing internet Top Level Domain registries should clearly define the relevant scope and conditions in law. The concept of the proactive scans of network and information systems by the CSIRTs equally requires further clarifications on the scope and the types of personal data processed. Attention is drawn to the risks for possible non-compliant data transfers related to the outsourcing of cybersecurity services or the acquisition of cybersecurity products and their supply chain. The EDPS welcomes the call for the promotion of the use of encryption, and in particular end-to-end encryption, and reiterates his position on encryption as a critical and irreplaceable technology for effective data protection and privacy, whose circumvention would deprive the mechanism of any protection capability due to their possible unlawful use and loss of trust in security controls. To this end, it should be clarified that nothing in the Proposal should be construed as an endorsement of weakening end-to-end encryption through “backdoors” or similar solutions. さらに、インターネットのトップレベルドメイン登録機関の管理に関する条項では、関連する範囲と条件を法律で明確に定義する必要がある。CSIRT によるネットワークと情報システムのプロアクティブなスキャンのコンセプトも、処理される個人データの範囲と種類についてさらに明確化する必要がある。サイバーセキュリティサービスの外注、サイバーセキュリティ製品の購入とそのサプライチェーンに関連して、コンプライアンスに反するデータ移転の可能性があることに注意が必要である。EDPSは、暗号化、特にエンド・ツー・エンドの暗号化の使用を促進する呼びかけを歓迎し、暗号化は効果的なデータ保護とプライバシーのための重要でかけがえのない技術であり、その回避は、違法な使用の可能性やセキュリティ管理の信頼性の喪失により、メカニズムから保護能力を奪うことになるという立場を改めて表明するものである。このため、本提案のいかなる内容も、「バックドア」や同様のソリューションによってエンド・ツー・エンドの暗号化を弱めることを推奨するものと解釈されるべきではないことを明確にしておく。
   
1. INTRODUCTION 1. イントロダクション
2. GENERAL COMMENTS 2. 総論
2.1. ON THE CYBERSECURITY STRATEGY 2.1. サイバーセキュリティ戦略について
2.2. ON THE PROPOSAL 2.2. 提案について
2.3. ON THE SCOPE OF THE STRATEGY AND OF THE PROPOSAL TO THE UNION INSTITUTIONS, OFFICES, BODIES AND AGENCIES 2.3. 戦略の範囲と、組合の機関、事務所、団体、機関への提案について
3. SPECIFIC RECOMMENDATIONS 3. 具体的な提案
3 1. RELATIONSHIP TO EXISTING UNION LEGISLATION ON PERSONAL DATA PROTECTION 3 1. 個人データ保護に関する既存の欧州法との関係
3.2. THE DEFINITION OF CYBERSECURITY 3.2. サイバーセキュリティ(cybersecurity)の定義
3.3. DOMAIN NAMES AND REGISTRATION DATA (‘WHOIS DATA’) 3.3. ドメイン名と登録データ(「Whoisデータ」) 
3.4. ‘PROACTIVE SCANNING OF NETWORK AND INFORMATION SYSTEMS’ BY CSIRTS 3.4. CSIRTによる「ネットワークおよび情報システムの積極的なスキャン」。
3.5. OUTSOURCING AND SUPPLY CHAIN 3.5. アウトソーシングとサプライチェーン
3.6. ENCRYPTION 3.6. 暗号化(ENCRYPTION
3.7. CYBERSECURITY RISK MANAGEMENT MEASURES 3.7. サイバーセキュリティのリスク管理対策
3.8. PERSONAL DATA BREACHES 3.8. 個人情報漏洩
3.9. COOPERATION GROUP 3.9. 協力団体
3.10. JURISDICTION AND TERRITORIALITY 3.10. 司法権と地域性
4. CONCLUSIONS 4. 最後に
Notes 備考

| | Comments (0)

2021.03.14

欧州データ保護委員会 (EDPB)・欧州データ保護監督官 (EDPS) データガバナンス法に関する共同意見を採択

こんにちは、丸山満彦です。

欧州データ保護委員会 (EDPB)・欧州データ保護監督官 (EDPS)がデータガバナンス法に関する共同意見を採択していますね。。。

EDPS

・2021.03.10 (press) EDPB & EDPS adopt joint opinion on the Data Governance Act (DGA)

基本的には、EUにおけるプライバシー保護の理念が折り込まれていればもちろんOKということなのだろうと思います。。。それで良いと思います。

・2021.03.09 (opinion)  EDPB-EDPS Joint Opinion on the Proposal for a regulation of the European Parliament and of the Council on European data governance (Data Governance Act)

・[PDF

20210314-70937

 

3.1 General remarks  3.1 総論
18. The EDPB and the EDPS acknowledge the legitimate objective of fostering the availability of data for use by increasing trust in data intermediaries and by strengthening data-sharing mechanisms across the EU, while highlighting that the protection of personal data is an essential and integral element of the trust individuals and organizations should have in the development of the digital economy. The proposal for a regulation on European Data Governance (Data Governance Act) is also to be considered in the light of the increased reliance of the digital economy on the processing of personal data and of the development of new technologies such as large data set analytics and artificial intelligence.  18. EDPBとEDPSは、データ仲介者への信頼を高め、EU全域でのデータ共有メカニズムを強化することで、データの利用可能性を促進するという正当な目的を認める一方で、個人データの保護が、デジタル経済の発展において個人や組織が持つべき信頼の本質的かつ不可欠な要素であることを強調するものである。また、欧州データガバナンスに関する規制(データガバナンス法)の提案は、個人データの処理に対するデジタル経済の依存度が高まっていることや、大規模データセットの分析や人工知能などの新技術の発展を踏まえて検討されることになっている。
19. The EDPB and the EDPS underline that, whereas the GDPR was built upon the need to reinforce the fundamental right to data protection, the Proposal clearly focuses on unleashing the economic potential of data re-use and sharing. Thus, the Proposal intends to “improve the conditions for data sharing in the internal market”, as stated in Recital (3). However, the EDPB and the EDPS note that the Proposal, also having regard to the Impact Assessment accompanying it, does not duly take into account the need to ensure and guarantee the level of protection of personal data provided under EU law. The EDPB and the EDPS consider that this policy trend toward a data-driven economy framework without a sufficient consideration of personal data protection aspects raises serious concerns from a fundamental rights viewpoint. In this regard, the EDPB and the EDPS emphasise that any proposal, including upcoming initiatives related to data, such as the European Data Act, that may have an impact on the processing of personal data, must ensure and uphold the respect and application of the EU acquis in the field of personal data protection.  19. EDPBとEDPSは、GDPRがデータ保護に対する基本的な権利を強化する必要性に基づいて構築されたのに対し、提案は明らかにデータの再利用と共有の経済的可能性を引き出すことに焦点を当てていることを強調している。このように、提案は、リサイタル(3)で述べられているように、「域内市場におけるデータ共有の条件を改善する」ことを意図しています。しかし、EDPBとEDPSは、提案に添付された影響評価を考慮しても、提案がEU法の下で提供される個人データの保護レベルを確保・保証する必要性を正当に考慮していないと指摘している。EDPBとEDPSは、個人データ保護の側面を十分に考慮することなく、データ駆動型経済の枠組みへと向かうこの政策傾向は、基本的権利の観点から深刻な懸念をもたらすと考えている。この点について、EDPBとEDPSは、欧州データ法などデータに関連する今後の取り組みを含め、個人データの処理に影響を与える可能性のある提案は、個人データ保護の分野におけるEU法体系の尊重と適用を確保し、支持しなければならないことを強調する。
20. The EDPB and the EDPS furthermore highlight that the European Union model relies on the mainstreaming of its values and fundamental rights within its policy developments, and that the GDPR must be considered as a foundation on which to build a European data governance model. As already stated in various policy contexts, such as the fight against the COVID-19 pandemic, the EU legal framework in the field of personal data protection shall be considered as an enabler, rather than an obstacle, to the development of a data economy that corresponds to the Union values and principles.  20. EDPBとEDPSはさらに、欧州連合のモデルは、その価値と基本的権利を政策展開の中で主流化することに依存しており、GDPRは欧州のデータガバナンスモデルを構築するための基盤として考慮されなければならないことを強調しています。COVID-19パンデミックとの戦いなど、様々な政策の文脈ですでに述べられているように、個人データ保護分野におけるEUの法的枠組みは、EUの価値観や原則に対応したデータ経済の発展を妨げるものではなく、むしろ実現するものと考えられます。
21. The EDPB and the EDPS trusts this Joint Opinion will inform the co-legislators in ensuring the adoption of a legislative instrument which is fully compliant with the EU acquis in the field of personal data protection and therefore increases trust by upholding the level of protection provided by EU law under the supervision of the independent Data Protection Authorities established under Article 16(2) TFEU. 21. EDPBとEDPSは、この共同意見が、個人データ保護の分野におけるEU法体系に完全に準拠し、TFEU第16条2項に基づいて設立された独立データ保護当局の監督の下、EU法が提供する保護レベルを維持することで信頼を高める立法文書の採択を確実にするために、共同立法者に役立つことを確信している。

 


 

参考

● Europian Commission(欧州委員会)

・2020.11.25 (press) A European Strategy for Data

・2020.11.25 Proposal for a Regulation on European data governance (Data Governance Act)

・2020.11.25 Regulation on data governance – Questions and Answers

 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.11.29 EU データガバナンス法案

Continue reading "欧州データ保護委員会 (EDPB)・欧州データ保護監督官 (EDPS) データガバナンス法に関する共同意見を採択"

| | Comments (0)

CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

こんにちは、丸山満彦です。

人と人の距離が短くなりがちな状況においてマスクを着用することは、感染症を他人に移すリスクを低減すると言われており、世界中で奨励されておりますが、フランスではそれが法制化されているようですね。そして、最近では、公共機関において乗客がマスクを着用していることを保証することをその事業者、運営者に義務を政令として課しているようです。で、そのことがプライバシー保護の観点から違法にならないかどうかの判定についてCNILに確認するように要請があり、その要請を受けてCNILがその内容を調査したようですね。

結論から先に言えば、個人を識別するようなデータ処理になっておらず(顔認識装置になっていない)、違法ではないということのようです。。。

1_20210314065501

● CNIL

・2021.03.12 La CNIL publie son avis sur le décret relatif à l’utilisation de la vidéo intelligente pour mesurer le port du masque dans les transports交通機関でのマスク着用率測定のためのインテリジェントビデオの使用に関する政令について、CNILが意見を発表)

Depuis le 10 mars 2021, les exploitants et gestionnaires de services de transport public peuvent recourir à des caméras intelligentes pour mesurer le taux de port du masque dans le contexte de la crise sanitaire. La CNIL, qui a rendu son avis le 17 décembre 2020, rappelle que le dispositif envisagé par le texte n’a pas vocation à traiter des données biométriques et ne constitue pas davantage un dispositif de reconnaissance faciale. 2021年3月10日以降、公共交通機関の運営者や管理者は、スマートカメラを使って、健康危機の状況下でのマスク着用率を測定することができます。2020年12月17日に意見を発表したCNILは、本文で想定されている装置は、生体データの処理を目的としたものではなく、顔認識装置にも該当しないことを想定している。

参考

◯ 政令

・輸送中のマスク着用率を測定するためのインテリジェントビデオの使用に関する2021年3月10日付政令第2021-269号

Décret n° 2021-269 du 10 mars 2021 relatif au recours à la vidéo intelligente pour mesurer le taux de port de masque dans les transports

 

◯ 2020.12.17の審議事項

・輸送中のマスク着用率を測定するためのインテリジェントビデオの使用に関する政令案に関する2020年12月17日付審議第2020-136号

・[PDF] Délibération n°2020-136 du 17 décembre 2020 portant avis sur un projet de décret relatif au recours à la vidéo intelligente pour mesurer le taux de port de masque dans les transports

 

 

1_20210314063901

| | Comments (0)

日本セキュリティ・マネジメント学会 学会誌第34巻第3号 三角さんの寄稿他

こんにちは、丸山満彦です。

日本セキュリティ・マネジメント学会 学会誌第34巻第3号が2020.03.12にJ -STAGEに公表されていますね。。。

セコムの甘利さんによる、安心の本質とは何か?は興味がありますね。。。山岸先生の信頼の構造が参考文献には挙がっていますね。。。

日本セキュリティ・マネジメント学会

● J-STAGE

・2021.03.12 日本セキュリティ・マネジメント学会誌 学会誌第34巻第3号

研究論文
解説
解説(特別企画)

 


20210314-00211

| | Comments (0)

IPA ISMAPクラウドサービスリスト

こんにちは、丸山満彦です。

IPAがISMAPクラウドサービスリストを公表していますね。。。

国内企業では、NTTデータ、富士通、NEC、KDDIの名前がありますね。。。海外企業といっても米国だけですが、GoogleとAmazonの名前がありますね。。。国内企業ではS社とか、海外企業では、M社、O社の名前がまだ上がっていないような感じですかね。。。

どの監査法人([PDF] ISMAP監査機関)がどのクラウドサービスを評価をしたかは公開されていませんね。。。

● IPA

・2021.03.12 ISMAP: ISMAPクラウドサービスリスト

ISMAPの制度については、、、

ISMAP

 

中国も似たような制度を行っていますね。。。

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.17 中国 セキュリティ評価に合格したクラウドプラットフォーム

 

米国の場合は、、、

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.09.18 FedRAMP認定クラウドサービスオファリング(CSO)が200を超えたようですね!

 

1_20210313233201

| | Comments (0)

2021.03.13

欧州委員会 Digitranscope デジタルトランスフォーメーションと人間社会のガバナンス 最終報告書

こんにちは、丸山満彦です。

社会のデジタル化をどう進めるべきかを喧喧諤諤議論している国を尻目に、欧州では社会がデジタル化した後の人間社会のガバナンスを考えているという...

絶望的な気持ちになりました。。。

デジタル化された社会では、デジタルデータが価値を持つ(データは石油みたいな話...)が、このデータに対して人間がどのようにガバナンスを効かせるかという視点で研究が進んでいるんですね。。。

European Commission - EU Science Hub

・2021.03.10 (news) Getting a grip on that data: why the EU must lead on data governance

Three years ago a group of scientists embarked on a journey to study the challenges and opportunities that digital transformation is posing for the governance of society.

このページだけでも読む価値がありますね。。。

The report describes four emerging models that allow to exert greater control over access and use of data, and to share more equitably in society the value that is extracted from data. 本報告書では、データへのアクセスと利用をより適切にコントロールし、データから得られる価値をより公平に社会で共有することを可能にする4つの新たなモデルを紹介しています。
The four models are data sharing pools, data co-operatives, public data trusts and personal data sovereignty. 4つのモデルとは、データ共有プール、データ協同体、公共データトラスト、個人データ主権です。
“The goal of our analysis was to investigate to what extent these models support different, more balanced, power-relations between actors, and how they redistribute more equitably the value generated from data”, JRC researcher Marina Micheli explains. 私たちの分析の目的は、これらのモデルが、アクター間の異なる、よりバランスのとれた力関係をどの程度サポートしているのか、また、データから得られる価値をどのようにしてより公平に再分配しているのかを調査することですと、JRCのMarina Micheli研究員は説明します。
The analysis emphasises that civic society and public bodies can play a key role in democratising data governance and redistributing value produced through data. データガバナンスを民主化し、データから生み出される価値を再分配する上で、市民社会や公共団体が重要な役割を果たすことができることを強調しています。
Of the four models, the researchers found that data co-operatives and civic data trusts are the most promising. 4つのモデルのうち、研究者たちは、データ協同体と市民データトラストが最も有望であると考えています。
Data co-operatives enable a de-centralised governance approach in which data subjects voluntarily pool their data together to create a common pool for mutual benefits. データ協同体は、データ主体が自発的に自分のデータをプールし、相互利益のために共通のプールを作るという、非中央集権的なガバナンスアプローチを可能にします。
In public data trusts, public actors assume the role of trustees that guarantee that citizens’ data is handled ethically, privately and securely. 公共データトラストでは、公共のアクターがトラスティーの役割を担い、市民のデータが倫理的に、非公開で、安全に取り扱われることを保証します。

今後の欧州でのデータ規制についての方向性を想像する上でも重要なプルジェクトなのかもしれませんね。。。

 

このプロジェクトについてのウェブページはこちらです。

Digitranscope - Digital Transformation and the Governance of Human Society

2021.03.10 News Getting a grip on that data: why the EU must lead on data governance データを掌握する:なぜEUはデータガバナンスをリードしなければならないのか
2021.03.10 News Digitranscope science for policy report published today (10/3/2021)! デジタルランスコープの「政策のための科学」レポートが本日(2021年10月3日)発行されました。

 

今回発行した要約版はこちら、、、

・2021.03.10 Digitranscope: Key findings

・[PDF]

20210313-02315

The project’s objectives were: このプロジェクトの目的は以下の通りです。
★ To explore the changing flows, ownership, quality and implications of digitised data and information. ★ 消化されたデータや情報の流れ、所有権、質、意味合いの変化を調査する。
★ To identify the key policy challenges relating to massive interconnection, such as the ‘Internet of Things’ (IoT) and the associated opportunities and risks. ★ モノのインターネット」(IoT)のような大規模な相互接続に関連する主要な政策課題を特定し、関連する機会とリスクを明らかにする。
★ To determine what skills are needed to live fulfilling and healthy lives in a digitally transformed society, and to explore how to offer all citizens the opportunity to develop these skills. ★ デジタル化された社会で充実した健康的な生活を送るためにはどのようなスキルが必要かを明らかにし、すべての国民にこれらのスキルを身につける機会を提供する方法を探る。
★ To explore innovative forms of governance for Europe, leveraging the char- acteristics of digital transformation. ★ デジタルトランスフォーメーションの特性を活かした、欧州の革新的なガバナンスのあり方を模索する。
At the early stages of the project, we recognised that the governance of digi- tally transformed societies revolves to a large extent around the governance of data: those who control the production, integration, use and dissemination of data have formidable levers of power in today’s digitised society. With this in mind, we decided to set the project on two main tracks.  このプロジェクトの初期段階で、私たちは、デジタルトランスフォーメーション社会のガバナンスは、データのガバナンスを中心に展開されることを認識していました。この点を考慮して、私たちはこのプロジェクトを2つの主要なトラックで構成することにしました。
The first track (Part A) investigated issues around the governance of digital data including the role of government in emerging models of data governance; citizen-gen- erated data for public policy; citizenship and data co-operatives, and the perspectives of city governments in accessing and using data held by the commercial sector. 第1のトラック(パートA)では、データガバナンスの新たなモデルにおける政府の役割、公共政策のための市民が作成したデータ、市民権とデータ協同組合、商業部門が保有するデータへのアクセスと使用における都市政府の視点など、デジタルデータのガバナンスに関する問題を調査しました。
The second track (Part B) investigated new forms of governance with digital data, including experimenting with the use of publicly available data for pro- filing, as well as the design of policies targeted to specific needs and used this in the context of energy transition and the risk of infection in the COVID-19 crisis. We have organized experiments to involve children in energy transition through digital twins in controlled gaming environments. We used the emerging lessons from the deployment of the Internet of Things and digital twins for “smart” cities to develop a City Operating System and used AI methods to extract knowledge from policy documents and apply it in the context of impact assessment. 第2トラック(パートB)では、デジタルデータを活用した新しいガバナンスのあり方を検討しました。一般に公開されているデータをプロファイリングのために利用する実験や、特定のニーズに的を絞った政策の設計などを行い、エネルギー転換やCOVID-19危機における感染症のリスクなどの文脈で活用しました。私たちは、制御されたゲーム環境の中で、デジタルツインを使って子どもたちをエネルギー転換に参加させる実験を行いました。また、モノのインターネットとデジタルツインを「スマート」な都市に導入することで得られた新たな教訓をもとに、都市運営システムを開発し、AIの手法を用いて政策文書から知識を抽出し、影響評価の文脈で応用しました。

全文は、

・2021.03.10 Digitranscope: The governance of digitally-transformed society

・[PDF]

20210313-02356

 

 

 

| | Comments (0)

一般社団法人次世代基盤政策研究所(NFI) 災害時情報共有に向けた NFI からの 5 つの提言(案)

こんにちは、丸山満彦です。

一般社団法人次世代基盤政策研究所(NFI)が東日本大震災から10年目の日に「災害時情報共有に向けた NFI からの 5 つの提言(案)」を公開していますね。。。

一般社団法人次世代基盤政策研究所(NFI) 

・2021.03.11 災害時情報共有に向けた NFI からの 5 つの提言(案)

5つの提言は

提言 1 マイナンバーを法的に使えるようにしよう 単一の ID に基づいた網羅的・悉皆的な情報管理
提言 2 個人情報が命を救う 個人情報の積極的な利用
提言 3 情報の信頼性確保のために本人確認を 本人確認の徹底と有効な連絡先の把握
提言 4 電子的な情報処理を 迅速な情報の共有・取扱い
提言 5 必要十分な安全管理措置 必要十分な安全管理措置の検討

 

どんな素晴らしい政策も国民からの政府の信頼がないと難しくなることがあるのだろうと思います。政府が国民に信頼されること、そのためには説明責任を果たすことが必要なのだろうと思います。国民を馬鹿にしたような答弁を国会やプレスでしているとその場をしのげても、より大きな政策をすることができなくなるのかもしれませんね。。。
1_20210312232001

| | Comments (0)

2021.03.12

ENISA eIDAS規制の導入を促進するために電子的な識別とトラストサービスに関する技術ガイダンスと勧告を公表

こんにちは、丸山満彦です。

ENISAがeIDAS規制の導入を促進するために電子的な識別とトラストサービスに関する技術ガイダンスと勧告を公表していますね。。。

● ENISA

・2021.03.11 (press) Building Trust in the Digital Era: ENISA boosts the uptake of the eIDAS regulation

The European Union Agency for Cybersecurity issues technical guidance and recommendations on Electronic Identification and Trust Services helping Member States to implement the eIDAS regulation.

 

2021.03.11 Remote ID Proofing リモートIDプルーフィング
20210312-173350 This report provides an overview of the most common methods for identity proofing with some examples received by stakeholders, presents the current legal / regulatory landscape and supporting standards at the international and EU level and provides the status quo in the European Countries of their remote identity proofing laws, regulations and practices. It provides a practical approach to risk management on the basis of examples. The report also discusses the input received though questionnaires from different stakeholders which use, offer or evaluate identity proofing solutions. Finally, it presents a preliminary gap analysis on existing standards and regulations, stresses the need for a harmonised adoption and cross-recognition of remote identity proofing and provides a number of legal and technical recommendations. 本レポートでは、IDプルーフィングの最も一般的な方法の概要を、関係者から寄せられたいくつかの例とともに紹介し、国際およびEUレベルでの現在の法的/規制の状況およびサポートする基準を示し、欧州諸国におけるリモートIDプルーフィングの法律、規制、および慣行の現状を提供している。また、事例に基づいてリスク管理のための実践的なアプローチを提供している。また、IDプルーフソリューションを使用、提供、評価するさまざまな関係者からのアンケートで得られた意見についても考察している。最後に、既存の標準および規制に関する予備的なギャップ分析を行い、リモート ID プルーフィングの調和的な採用および相互承認の必要性を強調し、多くの法的および技術的な提言を行っている。
2021.03.11 Security Framework for Trust Service Providers トラストサービス事業者のためのセキュリティフレームワーク
20210312-173405 This document proposes a security framework to achieve compliance with Article 19 of the eIDAS Regulation. As illustrated below, this security framework includes specific guidelines for TSP on:
1) Risk management related to the security of the eIDAS trust services and based on ISO/IEC 27005 general approach;
2) Security incident management by using the appropriate measures to efficiently detect, measure the impact, respond, report, and recover from security incidents as part of the eIDAS Regulation;
3) Security measures recommended to TSPs from “technical” standards and best practices to treat the risks and contribute to the security incident management.
The level of security of these measures is to be selected by the TSP to be commensurate to the degree of risk bound to the context of the TSP (determined during the “context establishment”).
本文書は、eIDAS 規則の第 19 条への準拠を達成するためのセキュリティ・フレームワークを 提案する。以下に示すように、このセキュリティ・フレームワークには、TSP 向けに以下の具体的なガイドラインが含まれている。
1) ISO/IEC 27005の一般的なアプローチに基づく、eIDASトラストサービスのセキュリティに関するリスク管理
2) eIDAS規則の一環として、セキュリティ・インシデントを効率的に検出し、影響を測定し、対応し、報告し、回復するための適切な手段を用いたセキュリティ・インシデント管理
3) リスクを処理し、セキュリティ・インシデント管理に貢献するために、「技術的」標準およびベストプラクティスからTSPに推奨されるセキュリティ対策。
これらの対策のセキュリティ・レベルは、TSPのコンテキストに結びついたリスクの度合い(「コンテキストの確立」の際に決定される)に見合ったものをTSPが選択することになっている。
2021.03.11 Recommendations for Qualified Trust Service Providers based on Standards 標準に基づく適格トラストサービス事業者のための推奨事項
20210312-173418 This document provides recommendations to help qualified trust service providers and auditors understand the expected mapping between these requirements/obligations and reference numbers of standards, as well as practical recommendations for their usage. The document is structured in two main sections:
1) A section on “Requirements common to all QTSPs” that includes recommendations on the requirements common to all TSPs and on the additional requirements common to all QTSPs;
2) A section on “Requirements for provision of specific QTS”, to be used in addition to the above, that includes specific recommendations for the provision of the qualified trust services defined in eIDAS.
本文書は、適格トラストサービス事業者及び監査人が、これらの要件/義務と規格の参照番号との間で予想される対応関係を理解するための推奨事項、及びその使用に関する実際的な推奨事項を提供する。本文書は2つの主要セクションで構成されている。
1) すべてのTSPに共通する要件およびすべてのQTSPに共通する追加要件に関する推奨事項を含む「すべてのQTSPに共通する要件」のセクション。
2) 上記に加えて使用される「特定のQTSの提供に関する要件」のセクションでは、eIDASで定義された適格トラストサービスの提供に関する具体的な推奨事項が含まれている。
2021.03.11 Security Framework for Qualified Trust Service Providers 適格トラストサービス事業者のためのセキュリティフレームワーク
20210312-173440 This document proposes a security framework to achieve compliance with Article 19 of the eIDAS Regulation, to which both non-QTSP and QTSP are subject. Nevertheless, Article 19.1 states that the security measures “shall ensure that the level of security is commensurate to the degree of risk”. to achieve compliance with Article 19 (valid for both, QTSPs and non-QTSPs), this series of documents recommend that the level of security implemented by non-QTSP, expected to follow ‘best practices’ when operating with due diligence, is equivalent to the one of QTSP. For this reason, the security practices applied by QTSPs are also relevant to – and can also be followed by – non-QTSPs. 本文書は、非QTSPとQTSPの両方が対象となるeIDAS規則の第19条への準拠を達成するためのセキュリティフレームワークを提案している。第19条第1項は、セキュリティ対策が「リスクの程度に見合ったセキュリティレベルを確保しなければならない」としている。第19条(QTSP と QTSP 以外の両方に有効)の遵守を達成するために、本シリーズの文書では、デューデリジェンスを実施する際に「ベストプラクティス」に従うことが期待される QTSP以外の QTSP が実施するセキュリティレベルがQTSPと同等であることを推奨している。このため、QTSP が適用したセキュリティ慣行は、非QTSPにも関連しており、また、非QTSP が従うことも可能である。
2021.03.11 Conformity Assessment of Qualified Trust Service Providers 適格トラストサービス事業者の適合性評価
20210312-173453 This document provides an overview of the conformity assessment framework for QTSPs as set out in the eIDAS Regulation, i.e. aiming to confirm that the assessed QTSP/QTS fulfils its requirements. This report discusses the typical process flow and the methodology used to perform conformity assessments. For each phase of the assessment, guidance is provided to QTSPs for the purpose of preparing and undertaking the conformity assessment, as required by the eIDAS Regulation, in the best possible conditions. 本文書は、eIDAS規則で定められたQTSPのための適合性評価フレームワークの概要を提供する。本報告書は、適合性評価を実施するために使用される典型的なプロセスフロー及び方法論を論じている。評価の各段階では、eIDAS 規則で要求されているように、可能な限り最良の条件で適合性評価を準備し、実施することを目的として、QTSP にガイダンスが提供されている。

 

 

Continue reading "ENISA eIDAS規制の導入を促進するために電子的な識別とトラストサービスに関する技術ガイダンスと勧告を公表"

| | Comments (0)

SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03

こんにちは、丸山満彦です。

バイデン政権に変わって、環境問題に取り組むことになったこともあり、SECの審査項目が気候変動リスク関連に焦点を移していくことになっていますが、COVID-19時代になってサイバー攻撃、例えばランサムウェアが増えていることもあり、引き続きサイバーセキュリティ・情報セキュリティ関係は含まれていますね。。。

● SEC

・2021.03.03 (press) SEC Division of Examinations Announces 2021 Examination Priorities

Enhanced Focus on Climate-Related Risks

・[PDF] 2021 EXAMINATION PRIORITIES - Division of Examinations

20210312-70150

Message from the Leadership Team リーダーシップチームからのメッセージ
Global Pandemic: Observations and Impacts 世界的なパンデミック。観察と影響
Regulation Best Interest and Form CRS ベスト・インタレスト規制とフォームCRS
Importance of Compliance コンプライアンスの重要性
FY2020 Results 2020年度実績
Impact of Examinations 審査の影響
Risk, Technology, and Industry Trends リスク、テクノロジー、業界の動向
Firm and Investor Outreach and Risk Alerts 企業と投資家への働きかけとリスクアラート
Informing Policy 政策への反映
The Division of Examinations is a Resource 審査部は資源である
THE DIVISION OF EXAMINATIONS FY2021 EXAMINATION PRIORITIES 審査部の2021年度審査優先事項
Introduction はじめに
Retail Investors, Including Seniors and Individuals Saving for Retirement 高齢者や老後のために貯蓄をしている個人を含む個人投資家
Standards of Conduct 行動基準
Fraud, Sales Practices, and Conflicts 詐欺、販売慣行、コンフリクト
Retail-Targeted Investments 個人投資家を対象とした投資
Information Security and Operational Resiliency 情報セキュリティと業務回復力
Financial Technology (FINTECH) and Innovation, Including Digital Assets デジタル資産を含む金融テクノロジー(FINTECH)とイノベーション
Anti-Money Laundering マネーロンダリング対策
The London Inter-Bank Offered Rate (LIBOR) Transition ロンドン銀行間取引金利(LIBOR)の移行
Additional Focus Areas Involving RIAS and Investment Companies RIASと投資会社に関連するその他の重点分野
RIA Compliance Programs RIAのコンプライアンスプログラム
Registered Funds, Including Mutual Funds and ETFs 投資信託とETFを含む登録ファンド
RIAs to Private Funds RIAとプライベートファンド
Additional Focus Areas Involving Broker-Dealers and Municipal Advisors ブローカー・ディーラーと地方自治体アドバイザーに関連する追加の重点分野
Broker-Dealer Financial Responsibility ブローカー・ディーラーの財務責任
Broker-Dealer Trading Practices ブローカー・ディーラーの取引慣行
Municipal Advisors 地方自治体アドバイザー
Market Infrastructure 市場インフラ
Clearing Agencies クリアリングエージェンシー
National Securities Exchanges 全国証券取引所
Regulation Systems Compliance and Integrity (SCI) レギュレーションシステムのコンプライアンスとインテグリティ(SCI)
Transfer Agents 証券代行会社
Focus on FINRA and MSRB 金融規制機関と地方債規則制定委員会を中心に
FINRA 金融規制機関
MSRB 地方債規則制定委員会
Conclusion 結論

 

セキュリティの部分はこちら、、、

 

過去分

2020年度 プレス [PDF]
2019年度 プレス [PDF]
2018年度 プレス [PDF]
2017年度 プレス [PDF]

 

Continue reading "SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03"

| | Comments (0)

全米商工会議所 「情報の透明性および個人データ管理法」への支持声明書を公表していますね。。。

こんにちは、丸山満彦です。

全米商工会議所 (US Chamber of Commerce) が「情報の透明性および個人データ管理法 (Information Transparency & Personal Data Control Act) 」への支持声明書を公表していますね。。。

 

US Chamber of Commerce

・2021.03.10 [PDF] U.S. Chamber Letter of Support for the Information Transparency & Personal Data Control Act - C_TEC American Innovation

20210311-170312

 

The U.S. Chamber of Commerce applauds your leadership in introducing the Information Transparency & Personal Data Control Act, and we support this important bill. 米国商工会議所は、「情報の透明性および個人データ管理法」を導入したあなたのリーダーシップを称賛し、この重要な法案を支持します。
Data is used for societally beneficial purposes such as research, fraud detection, financial inclusion, public safety, and improving health outcomes. The data-driven economy is helping keep the “digital lights” on for many businesses during the COVID-19 pandemic, and it is imperative that consumers trust that their privacy is respected. データは、研究、不正検出、金融包摂、公共の安全、健康状態の改善など、社会的に有益な目的で使用されています。データ駆動型経済は、COVID-19パンデミックの際に多くの企業の「デジタルライト」を点灯させるのに役立っており、消費者が自分のプライバシーが尊重されていると信頼することが不可欠です。
The Information Transparency & Personal Data Control Act is a much-needed step in the right direction toward protecting the privacy of all Americans equally. This bill would enhance certainty by offering consumers clear and meaningful rights and would enable the business community to continue innovating. The bill would ensure that consumers are afforded meaningful transparency that enables them to direct how personal information is used, collected, and shared. 情報の透明性と個人データの管理に関する法律は、すべてのアメリカ人のプライバシーを平等に保護するために必要な正しい方向への一歩となります。この法案は、消費者に明確で意味のある権利を提供することで確実性を高め、ビジネス界が革新を続けることを可能にします。この法案は、個人情報がどのように使用され、収集され、共有されるかを消費者が指示できるような、意味のある透明性を確保するものです。
We look forward to working with you and your colleagues to ensure the 21st century economy is inclusive and that all Americans can rest assured they have digital control over their privacy. 私たちは、21世紀の経済が包括的であり、すべてのアメリカ人が自分のプライバシーをデジタルでコントロールできることを保証するために、あなたとあなたの同僚と協力していきたいと思います。

 

 


法案は以下の通りですね。。。

U.S. Congress(米国連邦議会下院)

Information Transparency & Personal Data Control Act

法案条文

 

Continue reading "全米商工会議所 「情報の透明性および個人データ管理法」への支持声明書を公表していますね。。。"

| | Comments (0)

2021.03.11

「失敗を恐れると何もできない!」?

こんにちは、丸山満彦です。

よく大企業や政府のような大きな組織では、「ミスや失敗を恐れて思い切った改革ができない」、とか「ミスや失敗を恐れて新しい技術の活用が進まない」という話を聞くことも多いように思います。

一方、スタートアップベンチャーでは、「失うものはないので、思い切って新しい技術を活用して新しいことにチャレンジをしよう」という話も聞かれます。

ここでいう失敗ということは何かということをよく考えずに、単に「失敗を恐れると」ということにすると本質を見誤るような気がしています。大企業や政府とベンチャーとでは社会に与える影響とか違いますしね。。。

さて、ここで2つのことがあるように思います。

まずは、本質的な意味は次のようなことではないかと思います。

①「取り返しがきくような小さな失敗」を重ねて経験を積み、「取り返しのきかない大きな失敗をしない」で成功する

失敗せずに目的を達成するためには、そのプロセス上での取り返しがきく小さな失敗も経験の一つとして重要なこともある。なので、プロセス上での取り返しがきく小さな失敗を恐れるな、ということなのではないかと思います。

社会全体でみたら、小さな組織でする局所的な失敗は取り返しのきく失敗というケースが多いかもしれませんね。政府や巨大インフラ企業がする失敗は社会全体から見ると無視できずに取り返しが効かないようなケースも多いかもしれません。。。

さらにいうと、このように成功のために重ねてきた失敗を蓄積整理し、分析し、同じような失敗を繰り返さずに目的を効率的に実現するということも重要なのだろうと思います。

次は、失敗の仕方というような話です。

②成功確度を上げるために決められたプロセスを遵守しても生じた失敗と、そういうプロセスを遵守せずに生じた失敗は違うだろう

ということです。特に過去の成功の蓄積がある場合は、その成功確度を上げるための決められたプロセスというのがあることが多いと思います。そのようにして決められたプロセスを遵守せずに失敗するというのは、失敗を恐れるなという話とは違う話のような気がします。

ただ、この決められたプロセスというのは、過去の成功が前提にあるので、現在の状況が過去の成功とは違う前提であれば、そもそもそのプロセスの改善が必要かもしれません。前提が違うのに、過去の成功を前提としたプロセスを遵守しても目的を達成する(成功する)ということは難しいでしょうからね。

「失敗を恐れず、どんどんなんでもしろ!」と無邪気にいうのはよくないのかもしれません。

 

1_20210311103201

 


参考

● 失敗学 [wikipedia]

●NPO 失敗学会

失敗知識データベース
 ・失敗百選
 ・失敗まんだらとは

TechTarget Japan
・2013.08. 29 英省庁主導のITプロジェクトでアジャイル開発が失敗した理由

英国労働・年金省(DWP)が新給付制度のITプロジェクトでアジャイルソフトウェア開発を中止した原因は、DWPにその気がなかったからか、DWPの体制がアジャイル向きではなかったためか?

● Gigazine
人間の給与計算部門をまるごとクビにして入れ替えたIBMのシステムが820億円の損失を生み出す

カナダ政府は2008年、部門の人員コストを削減するために給与計算部門を廃止し、IBMから給与計算システム「Phoenix Pay System」を導入しました。しかし稼働したシステムは正常に職員たちの給与を計算せず問題となり、事態を終息させるために現カナダ政府が約10億カナダドル(約820億円)を投入する事態にまで発展しています。

CNet Japan
・2013.12.20 オバマケア--大失敗したITプロジェクト(前編)
・2013.12.27 オバマケア--大失敗したITプロジェクト(後編)


● 読売新聞
・2021.03.10 昭和六十六・海上保安長長官…つまずくデジタル関連法案、ミス45か所


● まるちゃんの情報セキュリティ気まぐれ日記

・2005.03.24 失敗知識データベース これはイイ

・2005.04.15 論よりRUN

・2011.03.29 これも仕分けられたん? 「失敗知識データベース」サービス終了

・2011.03.29 金融庁 みずほ銀の事故の根本原因を検査

・2020.02.26 高信頼性組織を思い出そう!

 

| | Comments (0)

欧州消費者団体 「EU消費者保護2.0-デジタル消費者市場における構造的非対称性」を公表していますね。。。

こんにちは、丸山満彦です。

The European Consumer Organisation (BEUC, from the French name Bureau Européen des Unions de Consommateurs
欧州消費者団体) が 「EU CONSUMER PROTECTION 2.0 - Structural asymmetries in digital consumer markets (EU消費者保護2.0-デジタル消費者市場における構造的非対称性) 」を公表していますね。。。

The European Consumer Organisation

・2021.03 [PDF] EU CONSUMER PROTECTION 2.0 - Structural asymmetries in digital consumer markets

20210310-232006

Project informationa プロジェクト情報
The European Union Consumer Protection 2.0 (EUCP2.0) project is a research and advocacy initiative launched by BEUC with support from the Adessium Foundation, aimed at addressing the issues that plague the digital consumers of today and undermine the digital society as a whole. Particular focus is put on behavioural manipulation, exploitation of vulnerabilities, omnipresent personalisation affecting freedom of choice, as well as the rise of the largest digital platforms which have become an essential element in the modern society, yet without any responsibilities that would reflect this position. EUCP2.0(European Union Consumer Protection 2.0)プロジェクトは、BEUCがAdessium Foundationの支援を受けて立ち上げた研究・提言活動であり、今日のデジタル消費者を苦しめ、デジタル社会全体を弱体化させる問題に取り組むことを目的としています。特に、行動の操作、脆弱性の利用、選択の自由に影響を与える遍在的なパーソナライゼーション、そして、現代社会において不可欠な要素となっているにもかかわらず、その立場を反映するような責任を負わない最大のデジタルプラットフォームの台頭に焦点を当てています。
This research will be used to formulate advocacy proposals and, following consultations with a variety of stakeholders, to power the forthcoming advocacy campaign. The primary aim is to advocate for changes to EU consumer law that would allow it to rise to the challenge of protecting the agency of modern-day digital consumers and, in consequence, their autonomy as citizens in a digital society. この調査は、提言をまとめるために使用され、さまざまな利害関係者との協議を経て、今後の提言キャンペーンの原動力となります。主な目的は、EUの消費者法に変更を加え、現代のデジタル消費者のエージェンシーを保護し、その結果、デジタル社会の市民としての自律性を守るという課題に立ち向かえるようにすることです。
The following three research areas were identified on the basis of BEUC’s mapping input: BEUCのマッピング・インプットに基づいて、以下の3つの研究領域が特定された。
   
Area I. Surveillance, consent and the vulnerable consumer. Regaining citizen agency in the information economy. 領域I. 監視、同意、脆弱な消費者。情報経済における市民の主体性の回復。
As the framing study under the project, its primary aim was to offer a fitness assessment of the fairness paradigm enshrined in the Unfair Commercial Practices Directive in the context of behavioural monitoring, data mining and nudging practices of surveillance capitalism. Departing from an evaluation of the shortcomings of the average / vulnerable / targeted consumer conceptual framework in light of the profiling and behavioural influence practices of online businesses, the study moves to discuss the feasibility of the information and consent paradigm of the GDPR in addressing real-world management of access to personal data and the capacity of the data subject to give valid informed consent. The study offers an overall assessment of the structural asymmetries in today’s digital consumer markets and proposes a new conceptual and regulatory approach to restore consumer agency and protect autonomous choice in the age of big data. このプロジェクトの枠組み研究として、その主な目的は、監視資本主義の行動監視、データマイニング、ナッジング行為の文脈において、不公正商業行為指令に明記されている公正性のパラダイムの適合性評価を提供することであった。本研究では、オンラインビジネスのプロファイリングや行動に影響を与える行為に照らして、平均的な消費者、脆弱な消費者、対象となる消費者という概念的枠組みの欠点を評価することから始めて、個人データへのアクセスの現実的な管理とデータ対象者が有効なインフォームドコンセントを与える能力に対処するためのGDPRの情報と同意のパラダイムの実現可能性について議論しています。本研究では、今日のデジタル消費者市場における構造的な非対称性の全体的な評価を行い、ビッグデータの時代に消費者の主体性を回復し、自律的な選択を保護するための新しい概念的・規制的アプローチを提案します。
   
Area II. Personalised pricing and individualized marketing under EU consumer law: fairness and discrimination 領域II EU消費者法における個人向け価格設定と個人向けマーケティング:公平性と差別性
Building upon the findings of the framing study, this research is centred on a consumer law analysis of market phenomena which arise in consequence of digital platforms holding personalized information on every user: personalized pricing and individualized marketing. Individualizing both price information and marketing message puts traders in control in what each individual consumer is allowed to know; thus placing them in the factual position of ownership of the information economy. Despite existing arguments of increasing economic efficiency, the near unanimous rejection of such practices by consumers, also those who could potentially stand to profit from them, adds fuel to the debate on fairness, trust and the societal and individual justice implications of traders being in control of the product and price information delivered individually to each user – and on the appropriate response that should be expected from data protection and consumer laws. 本研究では、フレームワーク研究の結果を踏まえ、デジタルプラットフォームがすべてのユーザーの個別情報を保持する結果として生じる市場現象、すなわち個別化された価格設定と個別化されたマーケティングの消費者法上の分析に焦点を当てています。価格情報とマーケティングメッセージの両方を個別化することで、個々の消費者が知ることを許される内容を取引業者がコントロールすることになり、情報経済の所有者としての事実上の立場に置かれることになります。経済効率を高めるという既存の議論にもかかわらず、消費者はほぼ満場一致でこのような慣行を拒否し、また、潜在的に利益を得る立場にある人々も拒否していることから、公平性、信頼性、取引業者が各ユーザーに個別に配信される製品および価格情報を管理することの社会的および個人的な正義への影響についての議論に拍車がかかり、データ保護法および消費者法に期待されるべき適切な対応についても議論されています。
   
Area III. Online platforms, special responsibilities and the universal service regime 領域III. オンライン・プラットフォーム、特別な責任とユニバーサル・サービス・レジーム
‘From a consumer perspective, do online platforms provide services that should be considered essential’? The unique position of the largest digital platforms as necessary intermediaries (gatekeepers) in modern societies has laid the ground for asking questions about the essential nature of the services they provide, the existing parallels to the conceptual and regulatory framework for services of general interest (SGI) and the implications of adopting such a perspective. The study looks at how the special obligations previously associated with the classification could be applied to such ‘gatekeeper’ platforms, how their application could help protect societal values and mitigate the asymmetries of the digital market. 消費者の観点から見て、オンライン・プラットフォームは必須とみなされるべきサービスを提供しているか」。現代社会において必要な仲介者(ゲートキーパー)としての最大のデジタル・プラットフォームのユニークな立場は、彼らが提供するサービスの本質的な性質、一般的な関心事のサービス(SGI)の概念的および規制的な枠組みとの既存の類似性、およびそのような観点を採用することの意味について質問するための基礎を築いた。本研究では、これまで分類に関連していた特別な義務が、このような「ゲートキーパー」プラットフォームにどのように適用されるか、また、その適用が社会的価値の保護やデジタル市場の非対称性の緩和にどのように役立つかを検討しています。
   
Part I: EU Consumer Protection 2.0: Surveillance, consent and the vulnerable consumer. 第一部:EUの消費者保護2.0。監視、同意、脆弱な消費者。
Regaining citizen agency in the information economy 情報経済における市民の主体性の回復
Part II: Personalised Pricing and Personalised Commercial Practices 第2部:個人向け価格設定と個人向け商慣行
Part III:  A Universal Service Framework for Powerful Online Platforms 第3部:強力なオンラインプラットフォームのためのユニバーサルサービスフレームワーク

 

| | Comments (0)

2021.03.10

Cloud Security Alliance Japanが「クラウドサービスの鍵管理」を翻訳していましたね。。。 at 2021.03.01

こんにちは、丸山満彦です。

Cloud Security Alliance Japanが「クラウドサービスの鍵管理」を翻訳していましたね。。。

● Cloud Security Alliance (CSA)

・2021.03.01 Key Management when using Cloud Services - Japanese Translation

20210310-65558

・・ファイルはウェブページから簡単な質問に答えて入手できます。。。

 

目次

1. はじめに
1.1
鍵管理の歴史
1.2
ゴール
1.3
対象読者

2. KMS 概念アーキテクチャ
2.1
定義
 2.1.1 BYOK
の意味
2.2
一般的なクラウド KMS パターン
 2.2.1
クラウドネイティブ鍵管理システム
 2.2.2 外部鍵作成
 2.2.3 外部鍵管理システムを使用したクラウドサービス
 2.2.4 マルチクラウド鍵管理システム
(MCKMS)

3. 暗号鍵管理とコントロール
3.1
鍵管理コントロール環境
3.2
鍵管理コントロール

4. プログラマティックライブラリインターフェイス
4.1 REST
推奨事項
4.2 SOAP
推奨事項

5. APIの実践的な考慮事項
5.1 API
のリレーションシップのプラクティス
 5.1.1
インターフェースのトライアングル
 5.1.2 リレーションシップ

5.2
実践的なAPIマネジメント

6. まとめ

References
Appendix A: Acronyms
Appendix B: Big 5 CSP KMS Comparison
Appendix C: Key State Lifecycle Layered View


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

2020.11.11 Cloud Security Allianceが「クラウドサービスにおける鍵管理」を公開していますね。。。

 

| | Comments (0)

防衛省 NIDS 防衛研究所 米大統領選後の安全保障の展望

こんにちは、丸山満彦です。

防衛省防衛研究所 「米大統領選後の安全保障の展望」①ー⑩が2020.11.24 - 2021.02.18で掲載されています。

⑩で終わりかどうかを見極めていたのですが、どうやら終わりな感じなので、まとめておこうと思いました。。。

20210309-205803

 

日付 米大統領選後の安全保障の展望
2020.11.12 ① 米大統領選挙後の米 ASEAN関係――「ASEAN 回帰」への期待 1. トランプ政権期の米 ASEAN 関係――総括と遺産
2. ASEAN にとって望ましい米国の関与
3. バイデン新政権への期待と不安――米中対立と南シナ海
2020.11.19 ② 中国の見方 1. 中国は大統領選挙の結果をどうみたか
2. 長期的な問題としての米中対立
2020.11.24 ③ 米新政権の南アジア政策――アフガン対テロ戦争の幕引きと米中競争激化の間で 対インド関係
アフガニスタン政策
対パキスタン関係
2020.12.08 ④ バイデン新政権における米国の対アフリカ政策の課題 1. アフリカの米国に対する信頼の低下とその修復
2. アフリカの平和と安定
3. アフリカにおける中国との関係
2020.12.15 ⑤ ロシアと「アジア太平洋」/「インド太平洋」 1. 「クリミア後」の戦略文書にみるアジア太平洋
2. 「インド太平洋」とロシア
2020.12.24 ⑥ 2010年代の米欧関係と今後の展望 1. オバマ政権下の米欧関係:アジア太平洋リバランスと欧州の懸念
2. トランプ政権下の米欧関係:同盟の不安定化と「戦略的自律」の多義化
3. バイデン次期政権下の米欧関係の展望:期待と課題
2021.01.05 ⑦ 朝鮮半島の政治化した核問題と大国間競争 司法と対外政策の政治化――バイデン政権発足前の韓国
核不拡散の後退と政治規範の進展
進展した中朝提携
韓国による対米自主
2021.02.02 ⑧ 選挙結果が示す都市と郊外の深刻な分断とその意味 1. 独特の戦略性が必要となる米国大統領選挙 
2. 2016 年を振り返る
3. 2020 年選挙戦
おわりに:民主党、共和党それぞれの今後の課題
2021.02.04 ⑨ 米国における政権移行を支える制度とトランプ=バイデン政権移行の混乱 1. 1963 年大統領政権移行法 (PTA)における政権移行プロセス
2. 2020 年大統領選挙における「明確な当選候補者」の「認定」の遅れ
3.  国防省における政権移行プロセスの混乱
4. 「ゴールドスタンダード」としてのブッシュ=オバマ政権移行(2008 年~2009 年)
2021.02.18 ⑩ バイデン新政権誕生後の中東情勢――データ分析による展望の考察―― 米国の軍事費削減の可能性――第二期オバマ政権の政策をバイデン政権は踏襲できるか
中東に駐留する米軍削減の可能性――アジア太平洋リバランスを新政権が実行できるか
米国のイラン核合意復帰の可能性――地域の勢力均衡に与える影響

 

 

 

| | Comments (0)

2021.03.09

ENISA 金融セクターにおけるEUサイバーセキュリティイニシアティブに関するレポートを公表

こんにちは、丸山満彦です。

ENISAが金融セクターにおけるEUサイバーセキュリティイニシアティブに関するレポートを公表していますね。。。

ENISA

・2021.03.05 Achieving Harmonisation and Cyber Resilience in the Finance Sector

The European Union Agency for Cybersecurity (ENISA) issues a report shedding light on European policy initiatives in the finance sector.

・[PDF] EU Cybersecurity Initiatives in the Finance Sector

20210309-05350

1. INTRODUCTION 1. 序論
1.1 SCOPE, TARGET AUDIENCE AND OBJECTIVES 1.1 対象範囲、対象読者、目的
1.2 METHODOLOGY 1.2 方法論
2. EU CYBER INITIATIVES IN THE FINANCE SECTOR 2. 金融分野におけるEUのサイバーイニシアティブ
2.1 DEVELOPMENT AND IMPLEMENTATION OF POLICY 2.1 方針の策定と実施
2.2 INFORMATION SHARING AND CAPACITY BUILDING 2.2 情報共有と能力開発
2.3 CYBER CRISIS MANAGEMENT 2.3 サイバー危機管理
2.4 AWARENESS RAISING AND TRAINING 2.4 意識向上と訓練
2.5 STANDARDIZATION AND CERTIFICATION 2.5 標準化と認証
2.6 RESEARCH AND INNOVATION 2.6 研究とイノベーション

 

サイバーセキュリティ法(ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act)
の条項に基づいて編成された以下のトピックをカバーしているということです。。。。。。

  1. 方針の策定と実施(サイバーセキュリティ法第5条)
  2. 情報共有と能力開発(第6条、第9条)
  3. サイバー危機管理と運用協力(第7条、第12条)
  4. 意識向上(第10条)
  5. 標準化と認証(第8条)
  6. 研究とイノベーション(第11条)

よくまとまっているので、きっちりと分析したいところです。。。


 

取り急ぎ、軽く翻訳はしてみた。。。

[DOC] 軽く翻訳

 

| | Comments (0)

2021.03.08

U.S. GAO 国防省に兵器システムについてサイバーセキュリティ要件を購買プログラム契約で定義し、作業を承認または拒否するための基準と、要件が満たされていることを政府が確認する方法についての基準を確立する必要があると指摘

こんにちは、丸山満彦です。

米国のGovernment Accountability Office: GAOが、国防省に兵器システムについてサイバーセキュリティ要件を購買プログラム契約で定義し、作業を承認または拒否するための基準と、要件が満たされていることを政府が確認する方法についての基準を確立する必要があると指摘していますね。。。

U.S. GAO

・2021.03.04 Weapon Systems Cybersecurity:Guidance Would Help DOD Programs Better Communicate Requirements to Contractors

[PDF]

20210308-61517

Agency Affected Recommendation
Department of the Army 1. The Secretary of the Army should develop guidance for acquisition programs on how to incorporate tailored weapon systems cybersecurity requirements, acceptance criteria, and verification processes into contracts.
(Recommendation 1)
Department of the Navy 2. The Secretary of the Navy should develop guidance for acquisition programs on how to incorporate tailored weapon systems cybersecurity requirements, acceptance criteria, and verification processes into contracts.
(Recommendation 2)
Department of the Navy 3. The Secretary of the Navy should take steps to ensure the Marine Corps develops guidance for acquisition programs on how to incorporate tailored weapon systems cybersecurity requirements, acceptance criteria, and verification processes into contracts.
(Recommendation 3)


| | Comments (0)

欧州委員会 ヨーロッパは6Gに向かって動き出す...

こんにちは、丸山満彦です。

欧州委員会のブログでShaping Europe’s digital futureのユニット長であるPeter Stuckmann氏が、記事を載せていますね。。。

 

● European Commission - Strategy - Shaping Europe’s digital future - Blog

・2021.03.04 Europe moves towards 6G by Peter Stuckmann

The Commission has adopted a legislative proposal for the upcoming European partnership on Smart Networks and Services (SNS) towards 6G.

欧州委員会が、6Gに向けたスマートネットワークとサービス(SNS)に関する今後の欧州パートナーシップに関する立法案を採択したようですね。。。

6Gの成功には5Gでの成功が重要な感じですかね。。。

 

文書中にリンクが貼られているウェブサイト

● The 5G infrastructure Public Private Partnership (5G-ppp)PHASE 3.6: 5G INNOVATIONS AND BEYOND 5G

Hexa-X

A flagship for 6G vision and intelligent fabric of technology enablers connecting human, physical, and digital worlds

The Next Generation Internet (NGI) INITIATIVE: AN INTERNET OF HUMANS - about

 

European_commissionsvg

| | Comments (0)

2021.03.07

U.S. GAO ハイリスクリスト 2021 (サイバーセキュリティはリスクが高まっているという評価のようです...)

こんにちは、丸山満彦です。

米国のGovernment Accountability Office: GAOが2021年のHigh Risk Listを公開していますね。。。

U.S. GAO

・2021.03.02 Dedicated Leadership Needed to Address Limited Progress in Most High-Risk Areas

・[PDF] Full Report (302 pages)

・[PDF] Highlights Page (2 pages)

・[PDF] Accessible Text (336 pages)

 

D21119spffimage_update

 

High Risk List

High-risk area ハイリスクエリア *
Strengthening the Foundation for Efficiency and Effectiveness 効率化・効果化のための基盤強化  
Strategic Human Capital Management 戦略的人的資本管理
Managing Federal Real Property a 連邦の不動産管理
Funding the Nation's Surface Transportation System bc 国の陸上・水上交通システムへの資金  n/a
Modernizing the U.S. Financial Regulatory System b 米国金融規制制度の近代化
Resolving the Federal Role in Housing Finance b 住宅金融における連邦政府の役割の解決
USPS Financial Viability b USPSの財務的生存力
Management of Federal Oil and Gas Resources a 連邦政府の石油・ガス資源の管理
Limiting the Federal Government's Fiscal Exposure by Better Managing Climate Change Risks b 気候変動リスクの管理を強化することで連邦政府の財政負担を制限する
Improving the Management of IT Acquisitions and Operations IT取得・運用管理の改善
Improving Federal Management of Programs That Serve Tribes and Their Members 先住民部族とその構成員に奉仕するプログラムの連邦管理の改善
Decennial Census 十年ごとの国勢調査
U.S. Government's Environmental Liability b 米国政府の環境責任
Emergency Loans for Small Businesses (new) c 小規模事業者向け緊急融資(新) n/a
Transforming DOD Program Management 国防総省のプログラム管理の変革  
DOD Weapon Systems Acquisition 国防省の兵器システムの購買
DOD Financial Management 国防省の財務管理
DOD Business Systems Modernization 国防省のビジネスシステムの近代化
DOD Approach to Business Transformation 国防省のビジネス変革へのアプローチ
DOD Support infrastarcture Management 国防省の支援基盤管理  
Ensuring Public Safety and Security 公共の安全と安心の確保  
Government-wide Personnel Security Clearance Process b 全庁的な人事のセキュリティ・クリアランス・プロセス
Ensuring the Cybersecurity of the Nation b 国家のサイバーセキュリティの確保
Strengthening Department of Homeland Security Management Functions 国土安全保障省の管理機能の強化
Ensuring the Effective Protection of Technologies Critical to U.S. National Security Interests 米国の国家安全保障上の利益に不可欠な技術の効果的な保護の確保
Improving Federal Oversight of Food Safety b 食品安全性に関する連邦政府の監視を改善する 
Protecting Public Health through Enhanced Oversight of Medical Products 医薬品の監視強化による公衆衛生の保護
Transforming EPA's Process for Assessing and Controlling Toxic Chemicals 有害化学物質の評価と管理のためのEPAのプロセスの変革
National Efforts to Prevent, Respond to, and Recover from Drug Misuse (new) c 薬物乱用防止・対応・回復に向けた全国的な取り組み(新) n/a
Managing Federal Contracting More Effectively 連邦契約をより効果的に管理する  
VA Acquisition Management d 退役軍人省の購買管理 n/a
DOE's Contract and Project Management for the National Nuclear Security Administration and Office of Environmental Management エネルギー省国家核安全管理局および環境管理局の契約およびプロジェクト管理
NASA Acquisition Management NASAの購買管理
DOD Contract Management a 国防省の契約管理
Assessing the Efficiency and Effectiveness of Tax Law Administration 税法行政の効率性と有効性の評価  
Enforcement of Tax Laws b 税法の施行
Modernizing and Safeguarding Insurance and Benefit Programs 保険・給付金制度の近代化と保護  
Medicare Program & Improper Payments e 公的医療制度と不適切な支払い
Strengthening Medicaid Program Integrity b メディケイドプログラムの整合性の強化
Improving and Modernizing Federal Disability Programs 連邦障害者プログラムの改善と近代化
Pension Benefit Guaranty Corporation Insurance Programs bc 年金給付保障機構の保険制度 n/a
National Flood Insurance Program b 全米洪水保険プログラム
Managing Risks and Improving VA Health Care b 退役軍人省のリスクの管理とヘルスケアの改善

* : 2019年以降の変化

↑:1つ以上の規準で進捗した
↓:1つ以上の規準で交代した
●:変化なし
n/a:該当なし

a:評価が十分に改善されたため削除
b:効果的に対処するためには、法律の制定が必要となる可能性が高い
c:高リスク領域が新たに追加されたため、または主に議会の決定を伴うため、評価されなかった
d:2019年にこの高リスク領域が新たに追加されたため、初めて評価された。
e:1つのセグメントについてのみ評価した。(公的医療制度の他の要素については評価しなかった。)


GAOがこの調査を行っているのは、2020年度で約6.6兆ドル(約720兆円)を支出した米国連邦政府の

  • 不正、浪費、乱用、不正管理に対する脆弱性を持つ、
  • 経済性、効率性、有効性の課題に対処するための変革を必要とする

政府の業務を行政府と議会が注意を払うべき高リスク分野として特定し、

  • その状況を説明し、
  • 更なる進展を確実にするために必要な措置を概説し、

また、新たな高リスク分野を特定し、

  • これらの高リスクの課題を解決し、
  • 数十億ドル(数兆円)を節約し、
  • 国民へのサービスを向上させ、
  • 政府のパフォーマンスと説明責任を強化

することにある、とのことのようですね。。。

この評価の規準

Leadership Commitment.
Demonstrated strong commitment and top leadership support.
リーダーシップのコミットメント
強いコミットメントを示し、トップのリーダーシップのサポート。
Capacity.
Agency has the capacity (i.e., people and resources) to resolve the risk(s).
能力
機関には、リスクを解決する能力(すなわち、人および資源)がある。
Action Plan.
A corrective action plan exists that defines the root cause, solutions, and provides for substantially completing corrective measures including steps necessary to implement solutions we recommended.
行動計画
根本原因、解決策を定義し、我々が推奨した解決策を実施するために必要なステップを含む是正措置を実質的に完了させるための措置を提供する是正措置計画が存在する。
Monitoring.
A program has been instituted to monitor and independently validate the effectiveness and sustainability of corrective measures.
モニタリング
是正措置の有効性と持続可能性を監視し、独自に検証するためのプログラムが設けられている。
Demonstrated Progress.
Ability to demonstrate progress in implementing corrective measures and resolving the high-risk area in implementing corrective measures and resolving the high-risk area.
実証された進捗状況
是正処置の実施および高リスク領域の解決において、是正処置の実施および高リスク領域の解決の進捗状況を実証する能力。

の5つの規準で行われているとのことです。

 

本文の付録が個別についてまとめたものですが、よくできていますよね。。。

 

| | Comments (0)

フランス CNIL - 重点分野は、(1)ウェブサイトのサイバーセキュリティ、(2)健康データのセキュリティ、(3)Cookie等のトレーサーに適用されるルールの遵守

こんにちは、丸山満彦です。

CNILが今後の重点領域を公表していますね。

● CNIL

・2021.03.02 Cybersécurité, données de santé, cookies : les thématiques prioritaires de contrôle en 2021(2021年の優先管理テーマ - サイバーセキュリティ、健康データ、Cookie)

En complément des contrôles faisant suite à des plaintes ou en lien avec l’actualité dans le contexte de la crise sanitaire, la CNIL orientera ses actions de contrôles autour de trois thématiques prioritaires en 2021 : la cybersécurité des sites web, la sécurité des données de santé et l’utilisation des cookies.

苦情や健康危機に関連した時事問題への対応に加えて、CNILは2021年には、ウェブサイトのサイバーセキュリティ、健康データのセキュリティ、クッキーの使用という3つの優先テーマに重点的に対応していきます。

ということで、日本でも今後は健康データのセキュリティや、Cookie等のトレーサーに適用されるルールの遵守状況というのは気にした方が良いかもですね。。。

 

Cnil_logolarge

| | Comments (0)

Australia 政府の情報セキュリティマニュアルは毎月更新されますね。。。

こんにちは、丸山満彦です。

主要国の政府は政府機関向けの情報セキュリティの基準やガイドを持っていると思います。日本政府も統一基準というのがありますよね。私も第一版に始まり2012年くらいまでは改訂に関わっていました。もっとも統一基準は各省庁が作るべきセキュリティ基準用の雛形のようなもので、各省庁は自ら統一基準に準拠した規程を各省庁で定めることになっています。さて、日本の場合は、その改訂は2年に1度くらい行われていますね。今の最新版は平成30年版になっていますね。

NISC - 政府機関総合対策グループ - 政府機関等の情報セキュリティ対策のための統一基準群

ところが、オーストラリアの場合は毎月少しずつ変更されているんですよね。。。

3月は前月から、

ACSC - Australian Government Information Security Manual (ISM)

ちなみに、今月は、”Guidelines for Communications Infrastructure”の部分の変更が多いですね。。。


それぞれのトピックス
This chapter of the ISM provides guidance on using the Australian Government Information Security Manual.

Follow the ACSC's cyber security principles to better understand how to protect systems and information.

The ISM is separated into a number of guidelines to assist organisations protect their information and systems from cyber threats.

This chapter of the ISM provides guidance on cyber security terminology.

過去分が2018.11から毎月ZIPで残されています。。。






 

Continue reading "Australia 政府の情報セキュリティマニュアルは毎月更新されますね。。。"

| | Comments (0)

2021.03.06

Atlantic Council : A primer on the proliferation of offensive cyber capabilities(攻撃的サイバー能力の拡散に関する入門書)

こんにちは、丸山満彦です。

Atlantic Counsilが興味深いレポートを出していました・・・

 

● Atlantic Council

・2021.03.01 A primer on the proliferation of offensive cyber capabilities(攻撃的サイバー能力の拡散に関する入門書)

 


20210306-12154

 

Table of contents 目次
Executive summary エグゼクティブサマリー
Introduction はじめに
Offensive cyber capabilities: Seeing the whole chain 攻撃的なサイバー能力:チェーン全体を見る
Semi- and self-regulated markets for OCC proliferation 攻撃的なサイバー能力の拡散のための半規制市場と自主規制市場
1. Vulnerability research and exploit development 1. 脆弱性調査と攻略手法開発
2. Malware payload development 2. マルウェアペイロード開発
3. Technical command and control 3. 技術的な指令・統制
4. Operational management 4. 運営管理
5. Training and support 5. 訓練と支援
Zeroing in on OCC counter-proliferation 攻撃なサイバー能力の不拡散をゼロにする
About the authors 著者について
   
Executive summary エグゼクティブサマリー
Offensive cyber capabilities run the gamut from sophisticated, long-term disruptions of physical infrastructure to malware used to target human rights journalists. As these capabilities continue to proliferate with increasing complexity and to new types of actors, the imperative to slow and counter their spread only strengthens. But to confront this growing menace, practitioners and policy makers must understand the processes and incentives behind it. The issue of cyber capability proliferation has often been presented as attempted export controls on intrusion software, creating a singular emphasis on malware components. This primer reframes the narrative of cyber capability proliferation to be more in line with the life cycle of cyber operations as a whole, presenting five pillars of offensive cyber capability: vulnerability research and exploit development, malware payload generation, technical command and control, operational management, and training and support. The primer describes how governments, criminal groups, industry, and Access-as-a-Service (AaaS) providers work within either self-regulated or semi-regulated markets to proliferate offensive cyber capabilities and suggests that the five pillars give policy makers a more granular framework within which to craft technically feasible counterproliferation policies without harming valuable elements of the cybersecurity industry. These recommended policies are developed in more detail, alongside three case studies of AaaS firms, in our companion report, Countering Cyber Proliferation: Zeroing in on Access as a Service. 攻撃的なサイバー能力は、洗練された長期的な物理的インフラの破壊から、人権ジャーナリストを標的にしたマルウェアまで多岐にわたっています。これらの能力は複雑さを増し、新しいタイプのアクターにまで増殖し続けているため、その拡散を遅らせ、対策を講じる必要性は強まるばかりです。この増大する脅威に立ち向かうために、実務家や政策立案者は、この背後にあるプロセスと動機を理解しなければなりません。サイバー能力の拡散という問題は、しばしば侵入ソフトウェアの輸出規制の試みとして提示されてきましたが、これはマルウェアの構成要素に焦点を当てたものでした。このプライマーでは、攻撃的サイバー能力の 5 つの柱である脆弱性研究と悪用開発、マルウェアのペイロード生成、技術的指揮統制、運用管理、訓練・支援を提示し、サイバー能力の拡散をよりサイバーオペレーション全体のライフサイクルに沿ったものにするために、サイバー能力の物語を再定義しています。この入門書では、政府、犯罪集団、産業界、アクセス・アズ・ア・サービス(AaaS)プロバイダーが、攻撃的なサイバー能力を増殖させるために、自主規制市場または半規制市場でどのように活動しているかを説明し、5 つの柱が政策立案者に、サイバーセキュリティ産業の貴重な要素を損なうことなく、技術的に実現可能な核不拡散政策を立案するためのより詳細な枠組みを提供することを提案している。これらの推奨される政策は、AaaS企業の3つのケーススタディとともに、当社の関連レポート「サイバー拡散のカウンターリング」の中で、より詳細に展開されています。AaaSをゼロにする。
Introduction はじめに
The proliferation of offensive cyber capabilities (OCC) has often been compared with nuclear proliferation and stockpiling. Nuclear and cyber are two very different threats, especially in their regulatory maturities, but in both of them a multitude of bilateral and multilateral treaties have been created and then sidestepped, acceded to, expanded, and abandoned like steps in a dance. Regulatory and policy aspects in the OCC domain are particularly difficult due to the elusive nature of cyber capabilities, and the difficulty of measuring them, especially in the absence of a clear framework that defines and maps them to the broader picture of international equilibria. Offensive cyber capabilities are not currently cataclysmic, but are instead quietly and persistently pernicious. The barrier to entry in this domain is much more of a gradual rise than a steep cliff, and this slope is expected to only flatten increasingly over time.1 As states and non-state actors gain access to more and better offensive cyber capabilities, and the in-domain incentives to use them,2 the instability of cyberspace grows. Furthermore, kinetic effects resulting from the employment of offensive cyber capabilities, the difficulties in the attribution process of attacks caused by an invisible militia, and the lack of mature counterproliferation regimes bring the problem to a geopolitical scale. 攻撃的サイバー能力(OCC)の拡散は、しばしば核拡散と備蓄と比較されます。核とサイバーは、特にその規制の成熟度においては全く異なる脅威ですが、両者とも多数の二国間・多国間条約が作成された後、ダンスのステップのように回避され、同意され、拡大され、放棄されてきました。OCC の領域における規制・政策的側面は、サイバー能力の捉えどころのない性質と、それを測定することの難しさから、特に、国際的な均衡の大局的なイメージと定義し、マッピングするための明確な枠組みがないために、特に困難なものとなっています。攻撃的なサイバー能力は、現在のところ激変的なものではなく、静かに持続していく悪質なものです。この領域への参入障壁は、急峻な崖というよりはむしろ緩やかに上昇しており、この傾斜は時間の経過とともにますます平らになっていくと予想されます。さらに、攻撃的なサイバー能力の利用による運動効果、見えない民兵による攻撃の帰属過程の難しさ、成熟した核不拡散体制の欠如が、この問題を地政学的な規模にまで 追い込んでいます。
Creating a counterproliferation regime in cyberspace has confounded policy makers for over a decade. As the number of state-sponsored cyber actors continues to rise alongside the severity of cyber attacks, the issue has become even more pressing. サイバー空間における核拡散防止体制の構築は、10 年以上にわたって政策立案者を困惑させてきました。国家が支援するサイバーアクターの数が、サイバー攻撃の深刻さとともに増加し続けているため、この問題はさらに緊急性を増しています。
The renewed vigor with which the European Union (EU) has seized upon this topic and the arrival of new occupants in the locus of political authority in the United States present an opportunity to provide the debate with a more complete context and to more precisely frame the interests of the players involved. This effort sits within the body of work that frames the construction, sale, and use of OCC as a question of proliferation. Policy efforts should seek to reduce the utility of these capabilities and influence the incentives of the parties involved in the process of proliferation, rather than seeking vainly to block proliferation entirely. 欧州連合(EU)がこの問題に新たな勢いで取り組んでいること、そして米国の政治的権威の座に新たな地位を獲得したことは、この議論をより完全な文脈で提供し、関係者の利益をより正確にフレーム化する機会を提供しています。この取り組みは、OCC の構築、販売、使用を拡散の問題としてフレーム化している一連の研究の中に含まれています 。政策努力は、拡散を完全に阻止することを無駄に求めるのではなく、これらの能力の効用を減じ、拡散のプロセスに関与する当事者のインセンティ ブに影響を与えることを目指すべきです。

 

| | Comments (0)

英国 Ada Lovelace 研究所 データスチュワードシップの法的メカニズムを探る

こんにちは、丸山満彦です。

英国 Ada Lovelance 研究所が「データスチュワードシップの法的メカニズムを探る」という報告書を公表しています。

これ興味深いです。。。

 

Ada Lovelance Institute

・2021.03.04 Exploring legal mechanisms for data stewardship

 

Exploring legal mechanisms for data stewardship データスチュワードシップの法的メカニズムを探る
A joint publication with the AI Council, which explores three legal mechanisms that could help facilitate responsible data stewardship 責任あるデータ・スチュワードシップを促進するための3つの法的メカニズムを検討した、AIカウンシルとの共同出版物です。
Organisations, governments and citizen-driven initiatives around the world aspire to use data to tackle major societal and economic problems, such as combating the COVID-19 pandemic. Realising the potential of data for social good is not an easy task, and from the outset efforts must be made to develop methods for the responsible management of data on behalf of individuals and groups. 世界中の組織、政府、市民主導のイニシアティブは、COVID-19パンデミックへの対策など、社会的・経済的な大問題に取り組むためにデータを活用したいと考えています。社会的利益のためにデータの可能性を実現することは容易なことではありません。最初から、個人やグループのために責任を持ってデータを管理する方法を開発する努力をしなければなりません。
The challenges of the twenty-first century demand new data governance models for collectives, governments and organisations that allow data to be shared for individual and public benefit in a responsible way, while managing the harms that may emerge. 21世紀の課題は、個人や公共の利益のために責任を持ってデータを共有し、発生する可能性のある害を管理することができる、集合体、政府、組織のための新しいデータガバナンスモデルを必要としています。
Produced by a working group of legal, technical and policy experts, this report describes three legal mechanisms which could help collectives, organisations and governments create flexible governance responses that can respond to different elements of today’s data governance challenge, for example by empowering data subjects to more easily control decisions made about their data by setting clear boundaries on data use, assisting in promoting desirable uses, increasing confidence among organisations to share data or injecting a new democratic element into data policy. 本報告書は、法律、技術、政策の専門家からなるワーキンググループによって作成されました。本報告書では、集合体、組織、政府が、今日のデータガバナンスの課題のさまざまな要素に対応できる柔軟なガバナンス対応を構築するのに役立つ3つの法的メカニズムについて説明しています。例えば、データ利用に関する明確な境界線を設定することで、データ主体が自分のデータに関する意思決定をより容易にコントロールできるようにしたり、望ましい利用の促進を支援したり、組織がデータを共有する際の信頼性を高めたり、データ政策に新たな民主主義的要素を注入したりすることができます。
The three legal mechanisms discussed in the report are data trusts, data cooperatives and corporate and contractual models, which can all be powerful mechanisms in the data-governance toolbox. 本報告書で取り上げた3つの法的メカニズムは、データ信託、データ協同組合、企業・契約モデルであり、これらはいずれもデータガバナンスのツールボックスの中で強力なメカニズムとなり得ます。

 

・[PDF]

20210911-64637

 

Contents 目次
Executive summary エグゼクティブ・サマリー
Foreword 序文
How to read this report 本報告書の読み方
This report at a glance 本報告書の概要
Methodology 方法論
Introduction はじめに
Chapter 1: Data trusts 第1章:データトラスト
Chapter 2: Data cooperatives 第2章:データ協同組合
Chapter 3: Corporate and contractual mechanisms 第3章:企業と契約のメカニズム
Final remarks and next steps 最終コメントと次のステップ
Annexes 附属書
Bibliography 参考文献

Continue reading "英国 Ada Lovelace 研究所 データスチュワードシップの法的メカニズムを探る"

| | Comments (0)

経団連 「プログラムの医療機器該当性に関するガイドライン」(案)に対する意見

こんにちは、丸山満彦です。

経団連 が厚生労働省の「プログラムの医療機器該当性に関するガイドライン」(案)に対する意見を提出していますね。。。

● 日本経済団体連合会

・2021.03.04 「プログラムの医療機器該当性に関するガイドライン」(案)に対する意見


全般

  • 「プログラムの医療機器該当性判断事例(別添1)」の整理・追加、「判断フローチャートに係るQ&A(別添2)」や「フローチャート(別紙)」の新規作成などガイドラインの内容が拡充されたことは、プログラム医療機器の早期実用化に資するものであり、高く評価できる。
  • デジタル技術を搭載した製品は日々進化し続けていることから、本ガイドラインの内容は定期的にアップデートすることが必要である。
  • デジタル化により加速する医療機器の開発スピードに後れを取ることなく国際競争力を維持するため、使用者の制限によって研究開発が妨げられないよう、開発段階のプログラムは医療機器に該当しない旨を明記することが望ましい。
  • 「当面の規制改革実施事項」(2020年12月22日 規制改革推進会議)に挙げられている、医療機器プログラム該当性の判断結果を共有できるデータベースの構築・定期的なアップデートおよび、事業者の情報公開の同意に基づいた厚生労働省のホームページにおける公開について、早期実現を期待する。
  • 加えて、DASH for SaMD(厚生労働省)や「当面の規制改革実施事項」(2020年12月22日 規制改革推進会議)にて公表されているプログラム医療機器の特性を踏まえた審査制度や医療保険の評価の明確化など、最先端のプログラム医療機器の開発・早期実用化を加速する環境整備についての早急な検討を期待する。

具体的な意見がこの後にあります・・・

 

なお、意見募集が終了していますが、参考として意見募集時のウェブサイトをあげておきますね。。。

● e-Gov 厚生労働省

・2021.02.03「プログラムの医療機器該当性に関するガイドライン」(案)に関する御意見の募集について

根拠法令条項 医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第2条第4項に基づく任意の意見募集

・[PDF] プログラムの医療機器該当性に関するガイドライン (案)

Downloaded

 

厚生労働省シンボルマーク


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.05 厚生労働省 意見募集 プログラムの医療機器該当性に関するガイドライン

 

| | Comments (0)

2021.03.05

IPA 「2020年度情報セキュリティに対する意識調査【倫理編】【脅威編】」報告書

こんにちは、丸山満彦です。

IPAから「2020年度情報セキュリティに対する意識調査【倫理編】【脅威編】」報告書が公表されていますね。。。

● IPA

・2021.03.04 「2020年度情報セキュリティに対する意識調査【倫理編】【脅威編】」報告書

 

・「2020年度情報セキュリティの倫理に対する意識調査」報告書

 

・「2020年度情報セキュリティの脅威に対する意識調査」報告書

| | Comments (0)

2021.03.04

米国国土安全保障省 緊急指令21-02 オンプレミス版Microsoft Exchangeの脆弱性の軽減

こんにちは、丸山満彦です。

米国国土安全保障省が「緊急指令21-02 オンプレミス版MicrosoftExchangeの脆弱性の軽減」を公表していますね。。。これ、実際の攻撃があったようでバタバタしていますね。。。

● CISA

・2021.03.03 CISA Issues Emergency Directive and Alert on Microsoft Exchange Vulnerabilities

緊急指令

・2021.03.03 CISA Emergency Directive 21-02: Mitigate Microsoft Exchange On-Premises Product Vulnerabilities

アラート

・2021.03.03 AA21-062A: Mitigate Microsoft Exchange Server Vulnerabilities

 

● Microsoft Security Blog

・2021.03.02 Multiple Security Updates Released for Exchange Server

詳細情報とガイダンス  

 

1_20201219003401


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.19 米国国土安全保障省 緊急指令21-01 関連。。。SolarWinds Orion Code Compromise

| | Comments (0)

「サイバー脅威に打ち勝つためのユニークなアライアンスの開発について」 ボストン大学のサイバーセキュリティに関する会議における Paul Abbate FBI副長官のスピーチ

こんにちは、丸山満彦です。

ボストン大学のサイバーセキュリティに関する会議における Paul Abbate FBI副長官のスピーチがFBIのウェブページに記載されていますね。。。

勿論、大学という民間との共催の会議での基調講演というのもあるのでしょうが、FBIは自分たちのミッションを遂行するために、自分たちだけでなく、様々な政府機関、民間の専門家、取引先等と連携してことを運ぶ重要性を感じているようですね。。。

 

スピーチの内容は、

FBI

・2021.03.03 (speech) Developing Unique Partnerships to Defeat the Cyber Threat

FBIのサイバー犯罪に関するページは、

The Cyber Threat

FBIのサイバー戦略について

CISAが主催する”3RD ANNUAL NATIONAL CYBERSECURITY SUMMIT (2020)”での Christopher Wray FBI長官の発表。

・2020.09.16 (Speech) FBI Strategy Addresses Evolving Cyber Threat

Director Wray Emphasizes Closer Partnerships to Combat Cyber Threats and Impose Greater Costs to Cyber Actors

サイバー戦略(2 Pages)

・[PDF] FBI Cyber Strategy

 

Fbi

テキストだけ抜き出しました・・・

 


■ 参考

すでに開催されてしまっていますが・・・カンファレンスのページです。

Boston College

Boston Conference on Cyber Security


 

Continue reading "「サイバー脅威に打ち勝つためのユニークなアライアンスの開発について」 ボストン大学のサイバーセキュリティに関する会議における Paul Abbate FBI副長官のスピーチ"

| | Comments (0)

サイバーに関する統計

こんにちは、丸山満彦です。

サイバーに関する統計やデータについてのリンクをまとめた記事がありました・・・

Forebes

・2021.03.02 Alarming Cybersecurity Stats: What You Need To Know For 2021 by Chuck Brooks

 

これは便利かもです。。。

Cyber

| | Comments (0)

2021.03.03

欧州委員会 オンラインプラットフォーム経済に関する最終報告書を発表

こんにちは、丸山満彦です。

欧州委員会がオンラインプラットフォーム経済に関する最終報告書を発表していましたね。。。

● European Commission - Strategy - Shaping Europe’s digital future - News

・2021.02.26 Final reports of the EU Observatory on the online platform economy

 

20210302-154807 01 Introduction はじめに
02 Measurement and Economic Indicators of the online platform economy オンラインプラットフォーム経済の測定と経済指標
03 Differentiated Treatment 差別化された対応
04 Data in the online platform econmy オンラインプラットフォーム経済についてのデータ
05 Platform power プラットフォームパワー
06 Case study on Market power and transparency in open display advertising オープンディスプレイ広告における市場力と透明性に関する事例研究
     

大作です...

各冊子の目次

 


■ 関連

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.25 「規制します! キリッ」「そうですか... さようなら!」「えっ!...このあたりで...」「では...」

・2021.02.22 「規制します! キリッ」「そうですか... さようなら!」「えっ!...」

・2021.02.19 除草剤をまけば強い植物だけが生き残る

・2021.02.17 クラウドは竹 クラウド集中リスク

・2021.02.09 中国 国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。

・2021.02.02 「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律」が施行された

・2021.01.22 米国 IaaS事業者にKYCのルールを導入することを要請する大統領令 by トランプ元大統領 at 2021.01.19

・2020.12.25 官邸 「デジタル社会の実現に向けた改革の基本方針」と「デジタル・ガバメント実行計画」が閣議決定

・2020.12.22 米国連邦取引委員会 (FTC) がSNS事業者等に個人情報の収集、使用、提示の方法、広告およびユーザ関与の慣行、およびその慣行が子供や10代にどのような影響を与えるかに関するデータを提供するよう要求 at 2020.12.14

・2020.12.17 中国 セキュリティ評価に合格したクラウドプラットフォーム

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

・2020.10.16 米国防省の新たなデータ戦略(データは弾薬)(データは燃料)

・2020.09.18 FedRAMP認定クラウドサービスオファリング(CSO)が200を超えたようですね!

・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

・2020.05.09 GAFAMの時価総額が東証2170社の時価総額を上回る!

・2020.01.30 総務省 経済産業省 クラウドサービスの安全性評価に関する検討会の検討結果を取りまとめました

古い記事です。文書内のリンクはほぼ切れてます...。でも、懐かしい感じです(^^)

・2012.01.07 2012年 クラウドサービス12のトレンド・・・だそうです。。。

・2012.01.02 IT・デジタル特集 2012

 

 

 

Continue reading "欧州委員会 オンラインプラットフォーム経済に関する最終報告書を発表"

| | Comments (0)

2021.03.02

米国の州におけるプライバシー関連法の状況マップ(米国州プライバシー法トラッカー)

こんにちは、丸山満彦です。

欧州のGDPRに始まり、日本はもちろん、中国、ロシアを含む色々な国でプライバシー関連法が成立していますね。米国も例外ではなく、連邦法ではないですが、カリフォルニア州の消費者プライバシー保護法 (CCPA) に続いて各州で独自に法制化の話が出てきていますね。。。

あちこちから出てくるので、各州の状況をまとめたいな・・・と思っていたら、便利なページがありました。。。

Husch Blackwell LLP

・2021 State Privacy Law Tracker - A resource for following the changing landscape of U.S. state privacy laws.

 

2021.03.01現在の状況です。。。

20210302-41917

 

(画面をクリックすると最新のページにいきます...)

 

| | Comments (0)

オランダ 個人情報保護局 データ漏洩報告書2020を公表 - 漏洩報告総数は減っているが、マルウェアによる漏洩は30%増加したようです...

こんにちは、丸山満彦です。

オランダの個人情報保護局 (Autoriteit Persoonsgegevens: AP) が データ漏洩報告書2020を公表しています。 漏洩報告総数は減っているが、マルウェアによる漏洩報告は30%増加したようです。

Autoriteit Persoonsgegevens: AP

・2021.03.01 (News) AP luidt noodklok: explosieve toename hacks en datadiefstal(個人情報保護局はハッキングとデータ盗難の増加についての警鐘を鳴らす)

・[PDF] Rapportage Datalekken 2020

20210301-232746


データ漏洩報告総数

漏洩報告総数
2018 20,881
2019 26,956
2020 23,976

ハッキング、マルウェア、フィッシングにより漏洩したと報告してきた件数は1,173件となっているようですね。2019年に比べて3割増ということです。業界では、医療・福祉分野(13%)で最も多く、次いで教育(11%)、ICTサービス(9%)、貿易・自動車(8%)となっています。

やはり欧米は医療・福祉分野が狙われやすいような感じですね。。。(日本でああまり話題にならないからでしょうかね。。。)

ハッキング対策としては、二要素認証を推してるようですね。。。

 

ーーーーー

報告企業の業種は、医療・福祉分野が多く、ついで金融、行政...

2_20210302002501

 

データ漏洩等の原因は、日本と同じで誤送信ですね。。。全体の2/3ですね。。。

1_20210302000901

 

 

 

| | Comments (0)

2021.03.01

米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

こんにちは、丸山満彦です。

米国国家安全保障局 (National Security Agency: NSA) がゼロトラストセキュリティモデルに関するガイダンスを公表していますね。。。

国防省の重要なネットワークにはゼロトラストを採用することを推奨しているようですね。。。

National Security Agency: NSA - WHAT WE DO - CYBERSECURITY - Cybersecurity Advisories & Technical Guidance

・2021.02.25 NSA Issues Guidance on Zero Trust Security Model

・[PDF] Embracing a Zero Trust Security Model

20210301-110829

目次です。。。

 

Executive Summary エグゼクティブサマリー
Falling behind 遅れをとる
Increasingly sophisticated threats 増え続ける洗練された脅威
What is Zero Trust? ゼロ・トラストとは?
Adopt a Zero Trust mindset ゼロ・トラストの考え方を採用する
Embrace Zero Trust guiding principles ゼロ・トラストの指針を受け入れる
Leverage Zero Trust design concepts ゼロトラストのデザインコンセプトを活用する
Examples of Zero Trust in use ゼロトラストの活用例
Compromised user credentials 危殆化したユーザの資格情報
Remote exploitation or insider threat 遠隔地からの悪用や内部者の脅威
Compromised supply chain 侵入されたサプライチェーン
Zero Trust maturity ゼロトラスト成熟度
Potential challenges on the path to Zero Trust ゼロトラストへの道を歩む上での潜在的な課題
Carefully minimizing embedded trust empowers a more secure mission 埋め込まれた信頼を慎重に最小化することで、より安全なミッションを可能にする
Further guidance 補足的なガイダンス
Works Cited 引用サイト
Disclaimer of Endorsement 免責事項
Purpose 目的
Contact 連絡先

 

報告書の

Further guidance 補足的なガイダンス

で関連性の高いものとしてあげられているもの...

 

https://www.nsa.gov/cybersecurity-guidance.

Of particular relevance are: 

 

Works Cited 引用サイト

 

| | Comments (0)

内閣府の Society 5.0 のWebページを読んでいてふと感じた嘘...

こんにちは、丸山満彦です。

諸般の事情で改めて内閣府のSociety 5.0のWebページを読んでいたのですが、最初に読んだ時に感じた違和感を今回も感じたので、自分なりに整理しておこうと思いました。。

まずは、該当ページを。。。

内閣府 - 内閣府の政策 - 科学技術政策 

Society 5.0

です。

で、該当箇所ですが、


Society 5.0で実現する社会

これまでの情報社会(Society 4.0)では知識や情報が共有されず、分野横断的な連携が不十分であるという問題がありました。人が行う能力に限界があるため、あふれる情報から必要な情報を見つけて分析する作業が負担であったり、年齢や障害などによる労働や行動範囲に制約がありました。また、少子高齢化や地方の過疎化などの課題に対して様々な制約があり、十分に対応することが困難でした。

Society 5.0で実現する社会は、IoT(Internet of Things)で全ての人とモノがつながり、様々な知識や情報が共有され、今までにない新たな価値を生み出すことで、これらの課題や困難を克服します。また、人工知能(AI)により、必要な情報が必要な時に提供されるようになり、ロボットや自動走行車などの技術で、少子高齢化、地方の過疎化、貧富の格差などの課題が克服されます。社会の変革(イノベーション)を通じて、これまでの閉塞感を打破し、希望の持てる社会、世代を超えて互いに尊重し合あえる社会、一人一人が快適で活躍できる社会となります。


の「ロボットや自動走行車などの技術で、少子高齢化、地方の過疎化、貧富の格差などの課題が克服されます 」の部分、特に「貧富の格差」はさらに広がることはあっても、克服はされないと思うんですが、これを書いた人は本気で、Society 5.0が実現すると貧富の格差が克服されると思っていたのでしょうか???

そんなことはないと思いますよね。。。わかってますよね。。。

狩猟社会(Society 1.0)、農耕社会(Society 2.0)、工業社会(Society 3.0)、情報社会(Society 4.0)になるにしたがって、貧富の格差は指数関数的に拡大してきましたよね。。。5.0になるとさらに広がりますよね。。。

ロボットを大量に所有できる人とロボットの苦手な作業をこなす人、AIを使う人とAIに使われる人と。。。同じ所得になるように感じませんよね。。。

これはあかんですよね、、、貧富の差が開く可能性が高いので、どのような対応をしなければならないのか、、、という議論にならないと、、、

技術が高度になるのと自動的に人々が幸せになるのではないですよね。。。その技術を社会でどのように使うかですよね。。。核エネルギーを使えるようになりました(技術が高度になった)が、それで本当に幸せになったと言い切れますでしょうかね。。。原爆で何十万人もの人が死にましたよね。。。使い方次第なんだろうと思います。そこの議論をちゃんとしないとですよね。。。

まぁ、現在既得権を持っている人々にとっては知られたくない真実なのかもしれないのでしょうが・・・

 

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.02 改めて小林弁護士の「人工知能が奪う職業と「洗練された奴隷制」」を読んでみた。。。

 

Hierarchy

 

AIに使われる側も上手く使われることによって不満を持たずに搾取され続ける状態になるということが問題となります。さらに問題が深くなっていく感じですよね。。。

 

| | Comments (0)

« February 2021 | Main | April 2021 »